RODO - wenn ein Faktor eine sogenannte DPiA-Analyse durchführen muss

# Veröffentlichung der Liste

Am 8. Juli 2019 wurde die Mitteilung des Präsidenten des Amtes für den Schutz personenbezogener Daten vom 17. Juni 2019 über die Liste der Arten von Verarbeitungen personenbezogener Daten, die eine Bewertung der Auswirkungen der Verarbeitung auf den Schutz personenbezogener Daten erfordern, veröffentlicht. Einen Tag später erschien die Information auf der Website der Datenschutzbehörde. Worum geht es dabei?

Die veröffentlichte Liste enthält 12 Kategorien von Verarbeitungsvorgängen sowie Beispiele für Vorgänge, bei denen ein hohes Risiko der Verletzung von Rechten oder Freiheiten bestehen kann, und Beispiele für potenzielle Bereiche, die diese Vorgänge abdecken. Als allgemeine Regel gilt, dass eine Verarbeitung, die mindestens zwei der angegebenen Kriterien erfüllt wird eine Datenschutz-Folgenabschätzung erforderlich sein. In einigen Fällen kann ein für die Verarbeitung Verantwortlicher jedoch der Ansicht sein, dass eine Verarbeitung, die nur eines der aufgeführten Kriterien erfüllt, eine Datenschutz-Folgenabschätzung erfordert.

VereinfachungWenn ein Factoring-Unternehmen personenbezogene Daten in der Art und Weise und mit den Methoden verarbeitet, die in der Liste aufgeführt sind, sollte ein spezielles internes Verfahren mit einer Datenschutz-Folgenabschätzung (Data Protection Impact Analysis, DPIA) ausgearbeitet oder zumindest als notwendig erachtet werden.

# Welche Beispiele finden wir in der Liste, bei denen ein Unternehmen entweder verpflichtet ist oder eine DPA in Betracht ziehen sollte?

Ich habe mir erlaubt, Beispiele zu nennen, die auf eine Factoring-Gesellschaft zutreffen könnten:

  • Bewertung der finanziellen Leistungsfähigkeit eines Kunden (Einzelunternehmer) mit Hilfe künstlicher Intelligenz und sogenannter Scoring-Maschinen;
  • Finanzierungs-/Factoring-Limitentscheidungen auf der Grundlage von Informationen aus Schuldnerdatenbanken oder Haushaltsbudgetanalysen zu treffen;
  • Verarbeitung der Standortdaten des Handelsvertreters - Auto / Standort / Telefon;
  • Überwachung der Arbeitszeit der Mitarbeiter, z. B. durch E-Mail-Analyse;
  • Verwendung von Gesichts- oder Stimm-/Fingerabdruckerkennung zur Überprüfung des Zugangs/der Identität zum Büro;
  • Nutzung eines Systems zur Meldung von Missständen;
  • die Verwendung von RFID, bei der den Personen Etiketten/Tags zugewiesen werden oder zugewiesen werden können;
  • Erstellung von Kundenprofilen auf der Grundlage personenbezogener Daten aus verschiedenen Quellen;

# Der Faktor verarbeitet Daten auf die oben angegebene Weise, bis weitere?

Möglicherweise muss eine so genannte Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden. Unternehmen de facto vor Beginn der Verarbeitung (z. B. Aktivierung eines Scorers) eine Bewertung der Auswirkungen der beabsichtigten Verarbeitungen auf den Schutz personenbezogener Daten vorzunehmen. Bei einer solchen Bewertung handelt es sich um eine interne Analyse, die unter anderem eine systematische Beschreibung der beabsichtigten Verarbeitungsvorgänge und -zwecke, eine Bewertung der Erforderlichkeit der Vorgänge zur Erreichung der Zwecke, eine Bewertung des Risikos der Verletzung von Rechten oder Freiheiten und die zur Bewältigung des Risikos geplanten Maßnahmen, einschließlich Garantien zur Gewährleistung des Schutzes personenbezogener Daten, unter Berücksichtigung der berechtigten Interessen der betroffenen Personen, deren Daten verarbeitet werden, umfasst.

Wichtig: Der für die Verarbeitung Verantwortliche sollte eine Bewertung mit dem EDSB (falls ernannt) vornehmen und ist in einigen Fällen verpflichtet, die Personen, deren Daten verarbeitet werden, zu konsultieren. Der für die Verarbeitung Verantwortliche ist auch verpflichtet, die Branchenkodizes zu berücksichtigen. Sollte der für die Verarbeitung Verantwortliche im Falle eines hohen Risikos keine Maßnahmen zur Minimierung dieses Risikos ergreifen, muss er außerdem vor Beginn der Verarbeitung die Aufsichtsbehörde - den Präsidenten des Amtes für den Schutz personenbezogener Daten - konsultieren, der dem für die Verarbeitung Verantwortlichen innerhalb von acht Wochen nach Eingang des Antrags schriftliche Empfehlungen gibt.

Eine Datenschutzfolgenabschätzung kann sowohl von einem professionellen Datenschutzbeauftragten als auch von auf Datenschutz spezialisierten Anwälten erstellt werden. Wenn Sie ein Angebot für eine solche Dienstleistung einholen möchten, bitten wir Sie Kontakt.

Teilen auf...

Lesenswert

Bartosz Nadra

Rechtsanwalt | Geschäftsführender Gesellschafter

1TP5Zeitfactoring

Der erste polnische Blog über die rechtlichen Aspekte des Factoring

Łukasz Jaskowiak

Rechtsanwalt | Geschäftsführender Gesellschafter

1TP5ZeitDie Immobilien von heute

Ein Blog, der dem Immobilienrecht im weitesten Sinne gewidmet ist

Piotr Szwechłowicz

Rechtsberater | Geschäftsführender Gesellschafter

1TP5ZeitTransport

Willkommen auf dem Blog, der dem öffentlichen Verkehr und der TSL-Branche gewidmet ist.