Aus dem revidierten Datenschutzgesetz gehen Dokumentationspflichten für Unternehmen hervor. Es kann zweckmässig sein, einzelne Dokumentationen zu erstellen und zu führen, auch wenn keine Pflicht besteht. Die Dokumentation erleichtert die Einhaltung und Überwachung der Einhaltung der Pflichten.
Dokument | Bis 250 MA * | Bis 250 MA ** | Mehr als 250 MA * | Mehr als 250 MA ** |
Verzeichnis Bearbeitungstätigkeiten (Art. 12 nDSG) | Grds. zwingend, Ausnahme für KMU möglich | zwingend, Ausnahme für KMU möglich | zwingend | zwingend |
Applikationsinventar | empfohlen | empfohlen | empfohlen | empfohlen |
Interne Datenschutzrichtlinien | empfohlen | empfohlen | empfohlen | empfohlen |
Information für AN (Art. 6 u. 19 nDSG; Art. 328b OR) | zwingend | zwingend | zwingend | zwingend |
Datenschutzerklärung für Website (Art. 6 u. 19 nDSG) | zwingend | zwingend | zwingend | zwingend |
Prozess für Betroffenenrechte (Art. 28 nDSG; Art. 16 ff. nDSV) | empfohlen | zwingend | empfohlen | zwingend |
Dokumentation Datensicherheitsmassnahmen (Art. 8 nDSG; Art. 1 ff. nDSV) | empfohlen | empfohlen | empfohlen | empfohlen |
Richtlinie für Datensicherheitsverletzungen (Art. 24 DSG, Art. 15 nDSV) | empfohlen | zwingend | zwingend | zwingend |
Datenschutz-Folgenabschätzung (Art. 22 nDSG) | empfohlen | zwingend | empfohlen | zwingend |
Vereinbarungen mit Auftragsbearbeitern | zwingend | zwingend | zwingend | zwingend |
Zugriffsprotokoll (Art. 8 nDSG; Art. 4 nDSV) | – | *** | – | *** |
Legende:
PD = Personendaten
* keine Bearbeitung besonders schützenswerter PD
** Bearbeitung von besonders schützenswerten PD
*** Zwingend, wenn besonders geschützte Personendaten in grossem Umfang automatisiert bearbeitet werden oder Profiling mit hohem Risko durchgeführt wird und der Datenschutz durch präventive Massnahmen nicht gewährleistet werden kann.
Leistungen