Richtlinie zur Handhabung von Datenschutzverletzungen
Vorwort
Diese Richtlinie regelt den Umgang mit Datenschutzverletzungen bei der Unternehmensgruppe Dienstleistung Rostock GmbH.
Geltungsbereich
Diese Richtlinie gilt für alle Standorte der Unternehmensgruppe Dienstleistung Rostock GmbH.
Diese Richtlinie verpflichtet alle Beschäftigten der Unternehmensgruppe Dienstleistung Rostock GmbH zur Einhaltung der hier festgelegten Pflichten und Vorgaben.
Ziele
Diese Richtlinie soll dazu beitragen, dass die Rechtsvorschriften zur Verarbeitung personenbezogener Daten eingehalten werden.
Gültigkeit
Diese Richtlinie ist ab sofort und bis auf Widerruf gültig.
Im Rahmen der allgemeinen Überprüfung von Richtlinien wird jährlich auf die Aktualität und Umsetzbarkeit geprüft.
Regelungsinhalte
Grundsätze
Bei jedem Vorfall ist zunächst zu prüfen, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt und die Verletzung voraussichtlich zu einem Risiko für die Betroffenen führt. Unter einer Datenschutzverletzung wird allgemein die Vernichtung, der Verlust, die Veränderung und / oder die unbefugte Offenlegung personenbezogener Daten verstanden, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden
Beispiele von Datenschutzverletzungen
- Falschversand von E-Mails,
- offener Mailverteiler (z.B. Einladung an mehrere Klienten, o.ä.) Verlust von Personal- oder Klienten-Akten
- Verlust von Speichermedien (z.B. Fotoapparat mit Speicherkarte) Verlust Diensttelefon
- Hackerangriff
- Schlüsselverlust - sofern personenbezogene Daten gefährdet sind Einbruch – sofern personenbezogene Daten gefährdet sind
- ggf. Weitere: bei Unsicherheit umgehend die Leitung / Geschäftsführung informieren!
Wer ist sofort zu informieren
Jeder Mitarbeiter ist verpflichtet, nach Kenntnisnahme einer Datenschutzverletzung, diese umgehend den Vorgesetzten oder der Geschäftsführung zu melden.
Der Datenschutzbeauftragte ist über die Datenschutzverletzung in Kenntnis zu setzen (Kopie per Mail dsb-nord@ecovis.com; Tel.: 0381 / 12 88 49 -0).
Die Geschäftsführung stimmt sich mit dem Datenschutzbeauftragten zum weiteren Vorgehen ab.
Die Geschäftsführung untersucht gemeinsam mit dem Datenschutzbeauftragten unverzüglich jeden Vorfall oder jede Meldung.
Fristen
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet das verantwortliche Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Meldung an die Aufsichtsbehörde
Die zuständige Aufsichtsbehörde für ist:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg- Vorpommern
Schloss Schwerin, Lennéstraße 1 19053 Schwerin
Telefon: +49 385 59494 0 Telefax: +49 385 59494 58
E-Mail: info@datenschutz-mv.de
Web: http://www.datenschutz-mv.de;
http://www.informationsfreiheit-mv.de
http://www.datenschutz-mv.de/kontakt/kontaktformular/
Die Meldung einer Datenpanne kann bei der Aufsichtsbehörde unter folgendem Link vorgenommen werden:
https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/
Jeder Vorfall wird parallel vom Verantwortlichen und vom Datenschutzbeauftragten in Textform dokumentiert (Anwendung otris privacy: https://otris.ecovis.com/privacy/janus). Dabei werden Zeitpunkt der Kenntnisnahme, Sachverhaltsdarstellung und getroffene Maßnahmen festgehalten.
Sollte die Frist von 72 Stunden bereits verstrichen sein, wird gleichwohl so schnell wie möglich eine Meldung an die Aufsichtsbehörde erfolgen. Dieser Meldung ist dann eine Begründung für die Verzögerung beizufügen.
Die Meldung muss insbesondere beinhalten:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Sollten die genannten Informationen nicht binnen der 72-Stunden-Frist ermittelt oder zusammengestellt werden können, hat gleichwohl eine Meldung an die Aufsichtsbehörde zu erfolgen. Die o.g. Inhalte sind dann unverzüglich an die Aufsichtsbehörde nachzureichen.
Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für von dem Vorfall Betroffenen hat, so benachrichtigt der Verantwortliche die betroffenen Personen unverzüglich von der Schutzverletzung.
Sanktionen
Ein Verstoß gegen diese Richtlinie kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.