EU-Datenschutzgrundverordnung · Einführung nur mit Betriebsvereinbarung möglich (!) keine BV...

EU-DatenschutzgrundverordnungAuswirkungen auf das Personalmanagement

Umfassendes WKO Informationspaket

www.wko.at/datenschutz

2 Online-Ratgeber

Checklisten und Muster

Broschüre und Merkblätter

Präsentationsfilm über die Vorträge

Webinare

Veranstaltungen

Geförderte Beratung über Förderprogramm KMU digital

2

http://www.wko.at/datenschutz

www.wko/datenschutz

Musterdokumente und –verträge:

Vereinbarung über Auftragsverarbeitung

Musterverarbeitungsverzeichnis und Anwendungsbeispiele für Verantwortliche und

Auftragsverarbeiter

Musterschreiben zur Auskunftserteilung

Mustermeldung an Aufsichtsbehörde bei Verlust der Kontrolle über Daten

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten

betroffenen Person

Information und Beratung

T 05-90909

[email protected]

wko.at/datenschutz

3

mailto:[email protected]

© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06

Personalverwaltung & Datenschutz

Was ändert sich am 25.05.2018 ?


RA Dr. Thomas Schweiger, LL.M. (Duke)

Rechtsanwalt in Linz seit 09.09.1999

vorwiegend im Bereich Beratung tätig

diverse Publikationen im Bereich Datenschutz & IT-Recht

01/2018: CIPP/E – Certified International Privacy Professional

Spezialgebiet: Datenschutz

www.dataprotect.at

Newsletter zum Datenschutz & Blog auf der Website


DSGVO – Herausforderungen

Compliance

Rechenschaftsverpflichtung

Nachweispflicht

umfassende Informationspflichten

Schulung & Training

Dokumentation

Revision & Review


Arbeitnehmerdaten im Unternehmen• Bewerberdaten

• Personalverwaltung („Personalakt“)

• Personalverrechnung

• Arbeitszeitaufzeichnung

• Ressourcenplanungen

bewusste Verarbeitung von AN-Daten

• Videoüberwachung

• Veranstaltungen (zB Fotos)

• Zugangs- oder Zutrittskontrollen

bewusste Verarbeitung von Daten > AN-Daten

als Nebenprodukt

• Internet & Kommunikationsmittel (Logfiles, Telefon, Mobiltelefon, Email)

• gemeinsames Arbeiten (Sharepoint, Skype for Business ..)

• Firmenfahrzeug (GPS), Office 365, Mitarbeiterbefragung

• Tätigkeiten in der Cloud, Ticketsysteme

• Computer Integrated Manufacturing, Call-Center

personenbezogene Daten als

„Nebenprodukt“ bei Arbeitsprozessen


DSGVO <> DSG (ab 25.05.2018) Datenschutz für „juristische Personen“ in Ö? Öffnungsklausel: Kinder – ab 14. Lebensjahr keine Geldbußen für Behörden / öff Stellen Geldbußen (primär): das Unternehmen Ergänzungen zur DSGVO: Datengeheimnis (§ 6)

Bildverarbeitung (§§ 11, 12)

Beschäftigtendatenschutz (Verweis auf das ArbVG)

Straftatbestand (Gewinn-, Schädigungsabsicht)


Was gibt es Neues ?VV (Verz. von Verarbeitungstätigkeiten) / ROPA – Art 30

DSFA (Datenschutz-Folgenabschätzung) / (D)PIA – Art 35 ff

DSB (Datenschutzbeauftragte/r) / DPO - Art 37 ff

DBN (Data Breach Notification) – Art 33 ff

Schadenersatz / Geldbußen – Art. 82, 83 / §§ 29, 30


Verzeichnis von Verarbeitungstätigkeiten (VV)

Ausnahme: < 250 MA, kein Risiko, Verarbeitung gelegentlich, keine Art. 9 / 10 Daten

Inhalt:

Namen und Kontaktdaten des Verantwortlichen

Zweck(e) der Verarbeitung

Kategorien der betroffenen Personen & Daten

Kategorien der Empfänger

Löschungsfrist

technische u organisatorische Maßnahmen (TOMs)


11


13


14


15


technische & organisatorische Maßnahmen

§ 54 DSG (PJ DSRL-Umsetzung)

zehn Maßnahmen

branchenspezifische Maßnahmen

Unterlagen der Wirtschaftskammer:

IT-Sicherheitshandbuch (it-safe.at)

IT- Sicherheitshandbuch für Mitarbeiterinnen und Mitarbeiter (it-safe.at)


Data Breach Notification (DBN)

Verletzung des Schutzes personenbezogener Daten

Verantwortlicher / Auftragsverarbeiter

Meldung an

Aufsichtsbehörde (unverzüglich, binnen 72 h)

betroffene Person (unverzüglich)


Recht-mäßigkeit

Transparenz Zweck(e)

Datenmini-mierung Richtigkeit

Speicher-begrenzung

Integrität & Vertraulichkeit


Rechtmäßigkeit / Personalverwaltung „allgemeine Daten“

Einwilligung

Arbeitsvertrag

rechtl. (gesetzliche) Verpflichtung

berechtige Interessen

„Daten besonderer Kategorien“ (Art 9) Arbeitsrecht / Recht der sozialen Sicherheit

Arbeitsmedizin / Beurteilung der Arbeitsfähigkeit

Gesetz / Kollektivvereinbarung

geeignete Garantien


Datenschutz im Beschäftigungskontext (Art 88 DSGVO)Rechtsvorschriften & Kollektivvereinbarungen

Zwecke

Einstellung

Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten

Management, Planung und Organisation der Arbeit

Gleichheit und Diversität am Arbeitsplatz

Gesundheit und Sicherheit am Arbeitsplatz

Schutzes des Eigentums der Arbeitgeber oder der Kunden

Inanspruchnahme von Rechten und Leistungen

Beendigung


Zweck(e) - PersonalverwaltungVerarbeitung und Übermittlung von Daten für Lohn-,

Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in diesen Angelegenheiten

Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.


Transparenz / Information / Rechte

Informationsverpflichtung (allgemein)

bei der Erhebung (direkt; Art 13)

nicht bei der betroffenen Person erhobene Daten (Art 14)

Rechte der betroffenen Personen (individuell)

Auskunft, Berichtigung, Löschung, Einschränkung

Datenübertragbarkeit

Widerspruch


Erfüllung der Informationspflicht beim Personal

Beschäftigte (direkt)

bei Eintritt / Unterfertigung des Dienstzettels/vertrages

keine „Zustimmung“, sondern Information!

Bewerber (direkt)

beim Inserat – Hinweis & Verweis auf Homepage

bei Bewerbungsportal

bei Bewerbungsgespräch

durch aktive Information bei Initiativbewerbung

dritte Personen (Ehegatten, Kinder, sonstige Personen) (indirekt)

sind bei der Erhebung zu informieren (max. 1 Monat!)


Speicherbegrenzung (zeitlich) Löschfristen / Speicherdauer (absolute, relative Angabe

unterschiedl Datenkategorien – unterschiedl Fristen

Personaldaten (generell)?

Dienstzeugnis?

Bewerber ?

andere Daten ?

Fotos Homepage / Mitarbeiterzeitung etc…

Videoüberwachung, Logfiles


Was müssen Beschäftigte wissen? Datengeheimnis gem. § 6 DSG

Auftragsbezogenheit der Datenverarbeitung

besonderes Augenmerk: Übermittlung von pb Daten

Was ist bei „Anfragen“ zum Datenschutz zu beachten (Leitfaden für Betroffenenrechte)

Wann liegt ein Datenschutzvorfall vor? Was ist zu tun? (Leitfaden Datenschutzvorfälle)

Kenntnis über die zentrale Stelle zu Datenschutzfragen im Unternehmen (D-ICT, D-CERT)


Aktuelles & Judikatureinblicke

Videoüberwachung & Betriebsvereinbarung

Telefonanlage zeichnet Daten auf

GPS-Ortung des Fuhrparks

biometrische Zeiterfassung vs. Zutrittskontrolle


Videoaufzeichnung (Post/Kundenbereich)

Videoüberwachung in Postfilialen / Kundenbereich

Kontrolle von Beschäftigten – nicht gewollt

erfasster Bereich – kein Arbeitsbereich, aber Zugang

Datenschutzbehörde prüft (zulässig) als Vorfrage

VwGH (23.10.2017) – BV (§§ 96, 96a ArbVG) ist notwendig

keine BV -> Verarbeitung unrechtmäßig

kein BR -> Einzelvereinbarung (§ 10 (1) AVRAG)

unrechtmäßige Verarbeitung – Geldbuße u Schadenersatz


Aufzeichnung von Telefondaten

Telefonanlage speichert die Daten der Rufnummern der einzelnen Nebenstellen

Kontrollmaßnahme, die die Menschenwürde berührt?

Einführung nur mit Betriebsvereinbarung möglich (!)

keine BV – Unterlassungsklage durch BR ist möglich (!)

kein BR – Einzelvereinbarung gem. § 10 (1) AVRAG)


GPS Ortung des Fuhrparks


GPS-Ortung des Fuhrparks

Daten über Fahrzeuge des Unternehmens / personenbezogene Daten ?

Zweck der Aufzeichnung

Auswertungsmöglichkeiten

Zulässigkeit: datenschutzrechtlich

arbeitsverfassungsrechtlich

sinnvolle Maßnahmen des BR


biometrisches Zeiterfassungssystem

Krankenhaus führt Zeiterfassungssystem mit biometrischen Daten ein (Fingerscan)

keine Befassung des Betriebsrates

Betriebsrat klagt auf Unterlassung (mit Antrag auf eV)

AZG: Aufzeichnungspflicht für AG

Problem: gespeicherte „Templates“

Abwägung: Zutrittskontrolle? Zweck


Spezialteil

Arbeitnehmerdatenverarbeitung in Unternehmen

Was ist zu beachten?


Regelungen im DSG, ArbVG, AVRAG

DSGVO -> DSG -> ArbVG

Betriebsvereinbarungen im ArbVG

mögliche Datenanwendungen

AVRAG (für betriebsratslose Unternehmen)


Bestimmung in DSGVO & DSG


notwendige Betriebsvereinbarung

zustimmungspflichtige Maßnahmen keine Möglichkeit, die Zustimmung zu ersetzen

§ 96 Abs. 1 ArbVG Einführung von Z 1: betrieblicher Disziplinarordnung Z 2: Personalfragebögen Z 3: Kontrollmaßnahmen und technischen Systemen zur

Kontrolle der Arbeitnehmer, die die Menschenwürde berühren


erzwingbare Betriebsvereinbarungnotwendige, ersetzbare BVZustimmung kann durch Schlichtungsstelle ersetzt werden

§ 96a Abs. 1 Z 1 ArbVG: Einführung von Systemen

zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung

von personenbezogenen Daten des Arbeitnehmers,

die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen


Bestimmung für Unternehmen ohne BR

Vielen Dank für Ihr Interesse!

EU-Datenschutzgrundverordnung · Einführung nur mit Betriebsvereinbarung möglich (!) keine BV...

Documents

Transcript of EU-Datenschutzgrundverordnung · Einführung nur mit Betriebsvereinbarung möglich (!) keine BV...