下萨克森数据保护机构(下萨克森DPA)已审核50个大中型组织,以自2018年6月自2018年6月以来审核了其实施GDPR的要求。2019年11月5日,下萨克森DPA发布了一份总结其调查结果的报告( 报告 ;有德国人  这里 )。

报告中的调查结果摘要

我们之前报道过我们的 博客 下萨克森DPA发布了用于评估审计组织的GDPR准备情况的清单( 清单 )。此检查表是一个有用的工具,用于确定组织是否具有GDPR合规性空白的位置。

下萨克森DPA现在已经总结了其审计的调查结果。它已根据交通灯系统分组审核组织:

  • 绿色(=主要令人满意):9个组织
  • 黄色(=一些缺陷):32个组织
  • 红色(=重大缺陷):8个组织

该报告还突出显示仍然提高最多的GDPR合规项目:

  • 大多数缺陷:IT安全,数据保护影响评估( DPIA. )
  • 中等缺陷:处理活动的记录( 罗巴 ),同意,数据主体权利
  • 低缺陷:数据处理协议,数据保护人员( DPO ),数据违规通知,问责制

报告中概述的缺陷

下萨克森DPA概述了一些组织的缺陷。

IT安全性:

  • 对GDPR实际上需要什么关于IT安全性的理解(例如,基于风险的方法)缺乏了解
  • 通过设计缺乏对隐私概念的理解和设计

DPIA:

  • 监督机构提供的黑名单知识不足
  • 关于DPIA的决定是否必要的文件不足
  • 缺乏系统的方法
  • DPO 已经进行了DPIA
  • 关于复杂数据处理活动的事实的描述不足(仅有半页)
  • 缺乏解决所确定的风险的措施

罗皮:

  • 没有明确的罗马更新过程的定义
  • 无法识别标准程序(例如,用于网站或求职管理的操作)
  • 罗马斯(例如,DPO)中缺乏联系信息

同意:

  • 即使他们可以根据第6条GDPR第6条的其他法律理由,处理活动是通过同意的合理性
  • 没有粒状选择
  • 没有关于撤回同意选项的信息

数据subject rights:

  • 使用隐私政策模板而不适应特定组织的处理活动
  • 兴趣平衡描述不足(第6(1)(F)GDPR)。
  • 验证数据主题的流程不足,用于提供与访问请求有关的个人数据处理的副本(第15(3)条GDP)

数据处理协议:

  • 完全符合下萨克森DPA的法律视图(例如,关于IT系统的维护)

DPO:

  • 没有DPO专家知识的证据

数据违规通知:

  • 关于处理数据泄露的责任没有明确的规则

评论

组织应在GDPR生效以确定其仍然存在的任何合规间隙后进行内部GDPR准备审核。该报告和清单突出了监督机构特别关注的一些GDPR项目。因此,应具体审查这些项目的实施。