Please disable Adblockers and enable JavaScript for domain CEWebS.cs.univie.ac.at! We have NO ADS, but they may interfere with some of our course material.
CC-RBV-Checklist
ANHANG 2: CHECKLISTE FÜR INFORMATION DER BETRIEBSRÄTE UND DES DATENSCHUTZBEIRATES
DSGVO einarbeiten, Rechenschaftspflicht, Datenfolgeabschätzung
Texte aus dem BR-Vorschlag zur RBV-Daten nach Übereinkunft vom 27.4.2017
Diese Daten müssen ja bereits in der Projektierung vorhanden sein und laut DSGVO dokumentiert werden – hier kein Mehraufwand durch AG
Checkliste: RBV-Daten
Alle IT-Systeme sind zentral zu dokumentieren. Das betrifft auch bzw. insbesondere nicht zentral verwaltete IT-Systeme, insbesondere an OE bzw. Sub-OE laut Organisationsplan der Universität Wien.
Zentrales IT-Register
Zugang: AG, Verantwortliche, DSBR (inklusive bDSB), befugte Betriebsräte.
- Eine zentrale Dokumentation aller IT-Systeme, die die unten angeführten Fragen beantwortet.
- Verantwortliche
- Zweck des IT-Systems bzw der Datenverarbeitung
- Allgemein verständliche Kurzbeschreibung
- Ein Register der Verarbeitungstätigkeiten
- Kategorisierung der verwendeten Daten nach RBV-Daten
- Verarbeitungsfunktion
- Versionierung
- Änderungen, Einstellen der Verarbeitung, Updates
- Ein Datenflussdiagramm der IT-Systeme intern sowie deren externe Verknüpfungen
Für neu einzuführende oder bei Veränderungen bestehender IT-Systeme sind die nachfolgenden definierten Informationen ehest möglich, d.h. schon in der Anfangsphase des Projektes, schriftlich zur Verfügung zu stellen:
Bei Projektbeginn
Im Sinne der Bestimmungen der Datenschutzgesetze sind bei jedem IT-System, das personenbezogene AN-Daten verwendet bzw. verarbeitet, folgende Prüfungen
durchzuführen und zu dokumentieren:
1. Prüfung, ob ein rechtmäßiger Zweck vorliegt.
2. Prüfung, ob die personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
3. Prüfung, ob die personenbezogenen Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
4. Prüfung, ob angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz getroffen worden sind.
Bisheriger Text:
Projektbeschreibung
- Zielsetzung des Projektes
- Auswirkungen des Projektes, insbesondere bezüglich Personal, Veränderung von Arbeitsabläufen (Geschäftsprozessen) und Arbeitsgestaltung
- den Zeitplan des Projektablaufes bis zur Inbetriebnahme
- Bekanntgabe der Projektverantwortlichen und der Ansprechperson(en)
- Bekanntgabe eventueller externer Projektpartner und deren Zugriffsberechtigungen inkl. Verantwortliche für die Vergabe der Zugriffsberechtigungen
- Non-Disclosure-Agreement
- Datensicherheit am Standort sowie die Verknüpfung mit anderen IT-Systemen bzw. Datenbeständen
- Datentransfer und Übermittlung von personenbezogenen Daten von der oder zur Universität (= Dritte).
Dokumentation des IT-Systems
- Hardwarebeschreibung
- Softwarebeschreibung
- angebotener Leistungsumfang
- vorgesehener Einsatz
- Userkategorien
- verantwortliche Stellen
Erfasste Daten
Alle im IT-System verwendeten personenbezogenen Daten sind dem Stand der Technik entsprechend verständlich zu dokumentieren (allenfalls entschlüsselt).
Verarbeitungsdokumentation
- Darstellung der Datenflüsse und Verarbeitungsprozesse
- vorgesehene generelle und individuelle Auswertungen
- vorgesehene Übermittlung von Daten
- gespeicherte Protokolle (Logfiles)
Letzte Änderung: 30.05.2017, 12:28 | 401 Worte