Schritte, die zu befolgen sind, wenn die CNIL Erklärungen zur Verarbeitung personenbezogener Daten anfordert: Risiken und Empfehlungen
Wenn ein Unternehmen ein Schreiben der Nationalen Kommission für Informationstechnologie und Freiheiten (CNIL) erhält, in dem es um Erläuterungen zu seinen Praktiken bei der Verarbeitung personenbezogener Daten gebeten wird, befindet es sich in einer heiklen Situation, die eine schnelle, strenge und den Anforderungen der Kommission entsprechende Reaktion erfordert Allgemeine Datenschutzverordnung (DSGVO). Tatsächlich kann eine unzureichende Reaktion schwerwiegende Folgen haben, einschließlich Verwaltungssanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Artikel 83 der DSGVO). In diesem Artikel werden die Schritte untersucht, die bei einem solchen Schreiben zu befolgen sind, die damit verbundenen Risiken, die Möglichkeit, eine Datenschutz-Folgenabschätzung (DSFA) einzureichen, sowie die drei Schlüsselelemente, die in der Antwort enthalten sein müssen, um einen Streit zu vermeiden.
1. Schritte, die als Antwort auf ein Schreiben der CNIL zu befolgen sind
Die CNIL als Aufsichtsbehörde, die für die Einhaltung der Datenschutzgesetze verantwortlich ist, kann ein Schreiben an Unternehmen senden, um Informationen über die von ihnen durchgeführte Verarbeitung personenbezogener Daten einzuholen. Dieses Schreiben kann unterschiedliche Beweggründe haben: eine Beschwerde einer Einzelperson, eine geplante Inspektion oder eine mit einem Bericht verbundene Überprüfung. Was auch immer die Gründe sein mögen, es ist wichtig, die Anfrage ernsthaft und schnell zu bearbeiten.
hat. Analysieren Sie den Inhalt der E-Mail sorgfältig
Der erste Schritt besteht darin, das Bewerbungsformular sorgfältig zu lesen. CNIL. In dem Schreiben können spezifische Informationen zu bestimmten Datenverarbeitungen, der Begründung ihrer Rechtsgrundlage, den getroffenen Sicherheitsmaßnahmen oder auch Einzelheiten dazu angefordert werden interne Verfahren, die die Ausübung von Rechten ermöglichen der betroffenen Menschen. Es ist wichtig, genau zu verstehen, was erwartet wird, welche Reaktionszeiten angegeben sind und welche Dokumente bereitgestellt werden müssen.
B. Erstellen Sie eine vollständige Datei, um auf die Anfrage zu antworten
Nach der Identifizierung der angeforderten Informationen muss eine vollständige und dokumentierte Akte erstellt werden. Diese Datei muss Folgendes enthalten:
- Das Datenverarbeitungsregister (Artikel 30 der DSGVO): In diesem Dokument werden die vom Unternehmen durchgeführten Verarbeitungen, die Zwecke dieser Verarbeitung, die Kategorien der verarbeiteten Daten, die verwendeten Rechtsgrundlagen und etwaige beteiligte Subunternehmer aufgeführt.
- Interne Datenschutzrichtlinien : Sie ermöglichen den Nachweis, dass das Unternehmen organisatorische Maßnahmen zur Einhaltung der Grundsätze des Datenschutzes (Minimierung, Beschränkung der Aufbewahrung, Sicherheit usw.) getroffen hat.
- Die getroffenen technischen und organisatorischen Maßnahmen Zur Gewährleistung der Datensicherheit gemäß Artikel 32 der DSGVO, wie z. B. Verschlüsselung, Pseudonymisierung, Zugriffskontrolle und Verfahren zur Verwaltung von Sicherheitsvorfällen.
C. Wenden Sie sich an den Datenschutzbeauftragten (DPO)
Wenn das Unternehmen einen Datenschutzbeauftragten (DPO) ernannt hat, ist es unbedingt erforderlich, ihn oder sie in den Prozess der Beantwortung der CNIL einzubeziehen. Der Datenschutzbeauftragte spielt dabei eine Schlüsselrolle
Unterstützung bei der organisatorischen Compliance und bei der Verwaltung der Beziehungen zur Aufsichtsbehörde. Zu seinen Aufgaben gehört die Überwachung der Datenverarbeitung, die Sensibilisierung der Mitarbeiter und die Beratung bei der Beantwortung behördlicher Anfragen. Ihre Konsultation ist daher eine Garantie für Treu und Glauben und Sorgfalt im Rahmen des Dialogs mit der CNIL.
2. Risiken bei Nichteinhaltung oder unzureichender Reaktion
Eine unzureichende oder ausbleibende Reaktion auf eine Erklärungsanfrage der CNIL kann verschiedene Risiken für das Unternehmen nach sich ziehen, die von finanziellen Sanktionen bis hin zu Einschränkungen der Datenverarbeitung reichen.
hat. Gefahr verwaltungsrechtlicher Sanktionen
Artikel 83 der DSGVO sieht Bußgelder vor, die in einem angemessenen Verhältnis zur Schwere des Verstoßes stehen. Verstöße gegen grundlegende Datenschutzgrundsätze, Betroffenenrechte oder Sicherheitspflichten können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens führen, wobei der höchste Betrag einbehalten wird.
B. Risiko einer förmlichen Benachrichtigung oder einstweiligen Verfügung zur Einhaltung
Wenn die CNIL der Ansicht ist, dass die Datenverarbeitung nicht den Anforderungen der DSGVO entspricht, kann sie dem Unternehmen eine Mitteilung senden formelle Mitteilung innerhalb einer bestimmten Frist nachzukommen. Liegt keine Regelung vor, kann die Behörde Zwangsmaßnahmen wie eine einstweilige Verfügung ergreifen, um die Verarbeitung einzustellen oder ihre Zwecke einzuschränken.
C. Aussetzung der Datenverarbeitung
In den schwerwiegendsten Fällen kann die CNIL die vorübergehende oder dauerhafte Aussetzung der Verarbeitungstätigkeiten anordnen, was erhebliche Auswirkungen auf die Tätigkeit des Unternehmens haben kann. Beispielsweise könnte ein E-Commerce-Unternehmen daran gehindert werden, seine Kundendatenbanken zu nutzen, was seinen Umsatz direkt beeinträchtigen würde.
3. Eine AIPD einreichen: Wann und warum?
Das AIPD (Data Protection Impact Assessment) ist eine Risikobewertung für Rechte und Freiheiten der von der Verarbeitung betroffenen Personen von Daten. Sie ist erforderlich, wenn die Behandlung ein hohes Risiko darstellt, insbesondere in folgenden Fällen:
- Großflächige Profilierung ;
- Systematische Überwachung eines öffentlich zugänglichen Bereichs ;
- Verarbeitung spezieller Datenkategorien in großem Umfang (sensible Daten, Gesundheitsdaten usw.).
Wenn die AIPD für die betreffende Verarbeitung durchgeführt wurde, wird empfohlen, sie als Antwort auf das Schreiben an die CNIL zu übermitteln. Dies zeigt, dass das Unternehmen die Risiken im Vorfeld bewertet und geeignete Maßnahmen zu deren Minderung ergriffen hat (Artikel 35 und 36 DSGVO). Wenn keine AIPD durchgeführt wurde, muss begründet werden, warum die Behandlung kein hohes Risiko darstellte, das eine solche Analyse rechtfertigte.
4. Die drei wesentlichen Elemente, die in der Antwort enthalten sein müssen, um Rechtsstreitigkeiten zu vermeiden
Eine angemessene Antwort an die CNIL muss spezifische Informationen enthalten, um die Einhaltung der Vorschriften durch das Unternehmen nachzuweisen und eine Eskalation in einem Rechtsstreit zu vermeiden. Hier sind die drei Schlüsselelemente, die Sie bereitstellen müssen:
hat. Beschreiben Sie die eingeführten Compliance-Maßnahmen
Es ist unbedingt nachzuweisen, dass das Unternehmen die Grundprinzipien der DSGVO (Artikel 5), insbesondere Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung, respektiert. Dazu gehört:
- Die Begründung der Rechtsgrundlagen auf der die Verarbeitung beruht (Art. 6 DSGVO).
- Bereitstellung von Informationen an betroffene Personen über die Verarbeitung Ihrer Daten, einschließlich Ihrer Rechte auf Auskunft, Berichtigung, Widerspruch und Löschung (Art. 12 bis 22 DSGVO).
B. Erläutern Sie die Sicherheitsmaßnahmen zum Schutz der Daten
Artikel 32 der DSGVO verlangt von Unternehmen, angemessene Sicherheitsmaßnahmen zu ergreifen, die auf den mit der Verarbeitung verbundenen Risiken basieren. In der Antwort an die CNIL ist Folgendes angebracht:
- Detaillieren Sie die technischen und organisatorischen Maßnahmen wie Zugriffskontrolle, Datenverschlüsselung und Vorfallmanagementverfahren.
- Begründen Sie Sicherheitsentscheidungen im Zusammenhang mit der AIPD, sofern diese durchgeführt wurde, oder mit der Risikobewertung.
C. Übermitteln Sie die AIPD oder begründen Sie deren Fehlen
Wenn die Verarbeitung mit hohen Risiken verbunden ist, kann durch die Vorlage einer DSFA nachgewiesen werden, dass das Unternehmen die erforderlichen Vorkehrungen getroffen hat. In Fällen, in denen eine DSFA nicht erforderlich war, ist es wichtig, die Gründe zu erläutern, warum die Verarbeitung keine ausreichenden Risiken mit sich brachte, um eine solche Analyse zu erfordern (Artikel 35 und 36).
Kurz gesagt, die Antwort auf ein Schreiben der CNIL muss mit größter Sorgfalt vorbereitet werden und präzise und begründete Informationen enthalten, um die Einhaltung der Vorschriften durch das Unternehmen nachzuweisen. Transparenzverfahren, die Zusammenarbeit mit dem DSB und eine lückenlose Dokumentation der getroffenen Maßnahmen sind wesentliche Elemente, um das Risiko von Sanktionen zu reduzieren und das Vertrauen zur Aufsichtsbehörde zu stärken.
Eine gut begründete, durch relevante Dokumente untermauerte Antwort kann ausreichen, um die CNIL vom guten Willen des Unternehmens zu überzeugen und kostspielige Rechtsstreitigkeiten zu vermeiden.