Die DSGVO verlangt eine Datenschutz-Folgenabschätzung für jede Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. SYAGA DPIA-Express strukturiert und dokumentiert Ihre DSFA nach der Methodik von Artikel 35 und den Leitlinien des EDSA, ohne Improvisation und ohne Fachjargon.
Feststellen, ob Ihre Verarbeitung einer DSFA bedarf, und diese dann regelkonform durchführen
Jede Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss vor ihrer Durchführung Gegenstand einer Datenschutz-Folgenabschätzung sein (DSGVO, Art. 35).
Der EDSA (vormals Artikel-29-Datenschutzgruppe, Leitlinien WP248 rev.01) hat 9 Kriterien für ein hohes Risiko definiert. Sobald eine Verarbeitung mindestens zwei dieser Kriterien erfüllt, muss grundsätzlich eine DSFA durchgeführt werden: ein einziges falsch eingeschätztes Kriterium, und die Akte ist unvollständig.
Die CNIL (die französische Datenschutzbehörde) veröffentlicht Listen von Verarbeitungen, für die eine DSFA erforderlich ist oder nicht. Um genau zu bestimmen, wo Ihre Verarbeitung steht, ist eine sorgfältige Lektüre erforderlich, kein allgemeiner Eindruck.
Eine DSFA zu überstürzt durchzuführen, setzt Sie vor einer Aufsichtsbehörde der Unvollständigkeit aus; sie nicht durchzuführen, wenn sie erforderlich ist, setzt die Organisation einem Verstoß gegen Artikel 35 aus. Die CNIL-Methode strukturiert diese Entscheidung und dokumentiert sie.
Die von Artikel 35.7 der DSGVO vorgegebene Struktur, angewendet auf Ihre Verarbeitung, mit einer begründeten Schlussfolgerung bei jedem Schritt
Analyse anhand der 3 Fälle von Artikel 35.3, des 9-Kriterien-Rasters des EDSA (WP248 rev.01) und der CNIL-Listen der erforderlichen bzw. nicht erforderlichen Verarbeitungen. Begründete Schlussfolgerung, unabhängig davon, ob die DSFA letztlich verpflichtend ist oder nicht.
Zwecke, Kategorien betroffener Daten und Personen, Empfänger, Aufbewahrungsfristen: die vollständige Kartierung gemäß Artikel 35.7.a, konsistent mit Ihrem Verzeichnis von Verarbeitungstätigkeiten (Art. 30).
Prüfung, dass jede erhobene Angabe für den verfolgten Zweck erforderlich ist, dass die Rechtsgrundlage (Art. 6) für jede Verarbeitung identifiziert ist und dass der Grundsatz der Datenminimierung (Art. 5.1.c) eingehalten wird.
Für jedes identifizierte Risiko: Schwere, Eintrittswahrscheinlichkeit, bereits bestehende Maßnahmen, Restrisiko, dargestellt in Tabellenform, nutzbar für Ihre Geschäftsleitung oder Ihren Datenschutzbeauftragten.
Vorgesehene technische und organisatorische Maßnahmen (Art. 32), begründete Schlussfolgerung und dokumentierte Rechtfertigung im Sinne der Rechenschaftspflicht (Art. 5.2), einsatzbereit im Falle einer Kontrolle durch die CNIL.
Ein strukturiertes, belegtes Dokument, ehrlich darüber, was noch von Ihrem Juristen oder Datenschutzbeauftragten zu validieren ist
Das vollständige Dokument gemäß Artikel 35.7 (a bis d), mit begründeter Schlussfolgerung.
Die vorgelagerte Analyse, die entscheidet, ob Ihre Verarbeitung in den Anwendungsbereich der Pflicht fällt.
Die DSFA stützt sich auf dieselbe Grundlage wie Ihr Verzeichnis von Verarbeitungstätigkeiten.
Jeder Unsicherheitspunkt wird ausdrücklich gekennzeichnet, niemals an Ihrer Stelle entschieden.
Jede rechtliche Aussage ist belegt, nicht aus dem Gedächtnis behauptet.
Geliefert in einem bearbeitbaren, von Ihrem DSB oder Juristen wiederverwendbaren Format.
Eine Methode, die sich auf Texte und Behörden stützt, nicht auf hausgemachte Interpretationen
Datenschutz-Folgenabschätzung. Konsolidierter Text der Verordnung (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
Die 9 Kriterien für ein hohes Risiko des EDSA (vormals Artikel-29-Gruppe), von der CNIL als Referenzmethode zur Bestimmung der DSFA-Pflicht übernommen.
Listen der Verarbeitungen, für die eine DSFA erforderlich ist oder nicht, sowie die CNIL-Methode zur Durchführung einer Folgenabschätzung.
Verzeichnis von Verarbeitungstätigkeiten: die Konsistenzgrundlage (Zwecke, Daten, Fristen), auf der jede DSFA aufbaut.
Der Umfang hängt von der Anzahl der Verarbeitungen, ihrer Komplexität und dem bereits bei Ihnen vorhandenen Dokumentationsstand ab. Angebot nach einem ersten Austausch.
Sie wissen nicht, ob Ihre Verarbeitung betroffen ist
Verarbeitung als hohes Risiko eingestuft
Mehrere risikobehaftete Verarbeitungen abzudecken
Eine DSFA ist nie endgültig
Artikel 35.11 der DSGVO verlangt eine Überprüfung der Analyse bei wesentlicher Änderung der Verarbeitung (neuer Auftragsverarbeiter, Hosting-Wechsel, Erweiterung des Erhebungsumfangs). Ein Angebot für die Überprüfung wird von Fall zu Fall erstellt.
Beschreiben Sie uns Ihre Verarbeitung, wir melden uns mit einem individuellen Angebot.