什么是“必须具备的”?
由于需要说明和提供证据的义务,文档特别适合证明符合 GDPR 的规定。参见 GDPR 第 5 条第 2 款。这尤其包括根据 GDPR 第 32 条签订订单处理合同以及记录公司的技术和组织措施。此外,根据 GDPR 第 30 条的规定,处理活动的登记也是必不可少的。处理活动登记册是涉及个人数据的所有流程(处理)的概述。此处详细说明了 此类目录的创建。
数据保护影响评估(例如针对特殊类别的个人数据的某些处理)也可能是必要的,因此应以记录的方式进行。作为 GDPR 第 32 条所定义的组织措施,必须落实员工保密义务和信息信函。此外,应定期对员工进行数据保护培训,并以可审计的方式保存从员工处获得的同意声明,例如关于在雇主网站上发布员工照片的同意声明。
现在出现的问题是,在所谓的初创企业退出中出售一家初创企业时需要考虑什么。首先必须明确的是,客户数据是不能像商品一样出售的。这里也必须遵守 GDPR 的要求。必须区分正在进行的合同的客户数据(需要客户的批准)和没有正在进行的合同的现有客户的数据,对于这些客户来说,有效合同关系可以追溯到三年以上,因此其数据受到处理限制。此外,这些星座必须与合同启动后期阶段的客户数据区分开来,因为后者传输的异议期更长。此外,如果出现未决索赔,客户数据将被分配,并可能因此传递给买方。根据 GDPR 第 9 条第 1 款,属于特殊类别的个人数据的客户数据可以在根据 GDPR 第 9 条第 2 款 a) 项和 GDPR 第 7 条获得知情同意后进行传输。对于雇员和工人的数据,仅在评估雇佣关系及其建立或终止需要时才可以处理,请参阅 GDPR 第 88 条、BDSG-new 第 26 节。在这种情况下,卖方被允许处理相应数据多长时间的问题也至关重要。除非有相应的保留义务,否则前雇主必须立即删除该数据。
初创企业数字化工作场所的要求
初创企业通常高度数字化地开展工作,并且以高效使用移动设备为特点。然而,使用Slack和Microsoft Office 365以及Google服务等工作工具也带来了一些应该避免的数据保护风险。通过提供多种(数字)选择,初创企业的员工通常能够在家工作。尤其是在家庭办公室中,上述工具往往是必需的。为了保护个人数据,GDPR第32条第1款b项规定,必须 菲律宾号码数据 采取适当的保护措施,以确保与数据处理相关的服务和系统的机密性、可用性、弹性和完整性。无论是在工作场所还是家庭办公室,都应实施访问和进入控制以及输入和传输控制,以便排除数据泄露并在安全的级别处理个人数据。通过有针对性的技术和组织措施,可以将家庭办公室中的风险(例如第三方未经授权使用设备和系统或泄露敏感信息)降至最低。
GDPR 下的软件开发
软件开发也受到数据保护的影响:初创企业在选择或开发软件时应该特别小心,因为个人数据的收集有几个重要原则,特别是在 GDPR 第 5 条第 1 款中列出。这些原则包括透明度要求、目的限制和数据最小化原则。关于符合数据保护的软件开发的其他基本标准包括 GDPR 第 25 条和第 78 条。这里的重点是保护有关人员的权利和自由。个人数据必须通过“技术设计的数据保护”来保护,也称为“设计隐私”。这些是技术设计,例如安全加密和个人数据的假名化。此外,应通过所谓的数据保护友好的默认设置(“默认隐私”)来确保数据保护。这是关于这样的原则:通过默认设置,仅处理各自处理目的所需的数据。技术和组织措施在软件开发中起着重要作用,应在软件开发过程中尽早考虑到这一点,因为后续实施往往需要更大的精力和成本。这些设计应该尽可能有效地实施数据保护原则。在选择 TOM 时,必须特别注意确保它们始终处于最先进的状态并定期检查。