Ab 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung DSGVO in Kraft. Wir möchten Sie gern darüber informieren, wie Ixly mit der Einführung der DSGVO umgeht. In dieser Nachricht erklären wir, welche Änderungen wir bereits durchgeführt haben, was noch kommt und was das genau für Sie bedeutet.
Es ist nicht leicht, das neue Gesetz in ein paar Sätzen zusammenzufassen. Hier sind die wichtigsten Veränderungen:
- Der Grund, warum eine Organisation Daten dokumentiert, muss deutlich sein.
- Betroffene müssen der Speicherung aktiv und eindeutig zustimmen.
- Betroffene haben mehr Rechte, u.a. Einsicht, Änderung, Übertragung und Löschen ihrer Daten.
- Alles, was eine Organisation mit personenbezogenen Daten macht, muss nachweislich festgelegt sein.
- Organisationen dürfen nur Daten dokumentieren und speichern, die zu verantworten sind.
- Die Datensicherheit muss auf dem neuesten Stand sein und bleiben.
- Wenn externe Parteien personenbezogene Daten verarbeiten, für die Sie verantwortlich sind, muss dies in einem Vertrag zur Auftragsdatenverarbeitung festgelegt werden.
Was wird sich verändern?
Es verändert sich viel. Wichtig ist vor allem die Art und Weise, wie Daten beschaffen werden, wie die Nutzung der Daten registriert wird und wie die Daten gesichert werden.
In der Praxis bedeutet das, dass Sie als Organisation laut der DSGVO ‚verantwortlich‘ sind. Ixly ist nach der DSGVO ‚ Auftragsverarbeiter‘, weil wir in Ihrem Auftrag Daten in unseren Systemen verarbeiten. Mit unseren Maßnahmen wollen wir Sie so gut wie möglich abdecken und unsere Systeme so einrichten, dass Sie der DSGVO entsprechen.
Wir geben Punkt für Punkt an, was das für Sie bedeutet und wie Ixly damit umgeht.
• Der Grund, warum eine Organisation Daten dokumentiert, muss deutlich sein.
• Betroffene müssen der Speicherung aktiv und eindeutig zustimmen.
Im Mai wird beim Einloggen des Kandidaten ein Schritt zugefügt, bei dem er aktiv gebeten wird, der Speicherung seiner Daten zuzustimmen, mit einem Link zum Privacy Statement. Auch können Sie in Kürze Ihr eigenes Privacy Statement verwalten. Die Zustimmung des Kandidaten wird im System geloggt.
• Betroffene haben mehr Rechte, u.a. Einsicht, Änderung, Übertragung und Löschen ihrer Daten.
Wir werden die Systeme in Kürze so einrichten, dass Organisationsverwalter wie Sie die Einsicht, Änderung, Übertragung und das Löschen von Daten leicht ermöglichen können, damit Sie innerhalb der festgelegten Fristen diesen Anfragen entsprechen können. Hierüber folgen Anfang Mai nähere Informationen. Im Moment ist das Löschen van Daten bereits möglich und wir dokumentieren bereits, welche Daten wann gelöscht wurden.
• Alles, was eine Organisation mit personenbezogenen Daten macht, muss nachweislich festgelegt sein.
Sie müssen verantworten können, welche Daten Sie dokumentieren. In der Datenschutzerklärung von Ixly steht dazu Folgendes:
„Es geht um Informationen, die Sie uns geben, wie beispielsweise personenbezogene Daten wie Name, Alter, Ausbildung oder Ausbildungsniveau, E-Mail-Adresse, Wohnort, Geburtsdatum, Korrespondenz, Ihre Handlungen in unseren Anwendungen sowie Informationen zu Traffic und Ortsdaten. Tests und Fragebögen beinhalten verschiedene Arten Informationen, u.a. über Ihre Kompetenzen und Persönlichkeit. Bei jedem Fragebogen wird das Ziel erläutert. Bei besonderen Fragebögen kann nach Angaben gefragt werden, die mit Ihrer Vitalität und Gesundheit zu tun haben. In den Fragebögen, in denen das zutrifft, wird dies vorab verdeutlicht und separat um Ihre Zustimmung gebeten. Die verantwortliche Organisation kann in unseren Anwendungen auch maßgeschneiderte Fragen aufnehmen und muss Sie darüber informieren.“
Hier finden Sie das vollständige Statement
• Organisationen dürfen nur Daten dokumentieren und speichern, die zu verantworten sind.
In der Datenschutzerklärung finden Sie die Angaben, die wir verarbeiten. Wenn Sie in Ihrer Organisation auch in anderen Systemen Daten speichern, müssen Sie das selbst beschreiben und festlegen.
• Die Datensicherheit muss auf dem neuesten Stand sein und bleiben.
Alle Systeme von Ixly entsprechen dem ISO 27001-Zertifikat für Datensicherheit. Dieses Zertifikat stellt spezifische Ansprüche an das prozesshafte Einrichten von Datensicherung und daran, dass diese Sicherung auf dem neuesten Stand bleiben muss, wie es auch die DSGVO verlangt.
• Wenn externe Parteien personenbezogene Daten verarbeiten, für die Sie verantwortlich sind, muss dies in einem Vertrag zur Auftragsdatenverarbeitung festgelegt werden.
Ixly ist für Sie eine externe Partei, die personenbezogene Daten verarbeitet. Wir haben deshalb einen neuen Vertrag zur Auftragsdatenverarbeitung erstellt, der ab heute gilt und den Anforderungen der DSGVO entspricht. Diese Vereinbarung ersetzt die bisherige. Sie können den Vertrag zur Auftragsdatenverarbeitung hier einsehen (englisch).
Mit diesen Informationen und Maßnahmen hoffen wir, Sie so gut wie möglich abzudecken und die DSGVO für Sie leichter zu machen.
-> DSGVO, Assessments und Tests: eine Liste der besten Seiten mit Info