Das nDSG schreibt nicht vor, wie sich Unternehmen zu organisieren haben. Zur Einhaltung und laufenden Überwachung der Einhaltung der Vorschriften sind jedoch organisatorische Datenschutzvorkehrungen zweckmässig. Sie erleichtern die Abläufe, klären Zuständigkeiten und sind bei der Wahrung von Betroffenenrechte und für Auskünfte an den EDÖB hilfreich.
- Bestellung eines Datenschutzverantwortlichen im Unternehmen
- Umsetzung und Überwachung laufende Einhaltung von Vorschriften, Richtlinien und Weisungen
- Ansprechperson intern und für betroffene Personen
- Ansprechperson für den EDÖB
- Beizug eines Datenschutzberaters bei Bedarf
- Bei Datenbearbeitung durch Unternehmen ausserhalb der Schweiz: Bestellung eines Vertreters in der Schweiz, wenn die Voraussetzungen erfüllt sind
- Datenbeschaffung und Bearbeitung
- Nur notwendige Daten beschaffen und bearbeiten
- Systemeinstellungen Privacy by default und Privacy by design
- Datensicherheit
- Zugang (physisch u. digital) beschränken auf notwendiges Personal
- Zugriffsprotokollierung der IT (sofern notwendig)
- Ggf. Zugangskontrolle
- Informationspflichten
- Standardisiertes Vorgehen für Auskunfts- und Herausgabebegehren etc. von betroffenen Personen
- Standardisiertes Vorgehen bei Datensicherheitsverletzungen
