Diese Checklisten sind nicht durch Externe überarbeitet und validiert worden. Nichtsdestotrotz hält PANELFIT sie für den Zweck, auf den diese Leitlinien abzielen, für angemessen.
Checkliste für die Designphase
Schritt |
☐ Identifizieren Sie die Ziele der jeweiligen Aktivität. |
☐ Überprüfen Sie ob die Aktivität unter “Forschung” fällt. |
☐ Identifizieren Sie die Rollen des Forschungsteams und der von anderen Interessenvertretern. |
☐ Vergewissern Sie sich, dass die Verarbeitung von biometrischen Daten notwendig ist um die Ziele der Aktivität erreichen zu können. |
Checkliste für die Vorbereitungsphase
Schritt |
☐ Überprüfen Sie ob eine der fünf Voraussetzungen für einen DPO gegeben ist. |
☐ Wenn Sie eine öffentliche Behörde sind, überprüfen Sie ob ein DPO durch eine andere öffentliche Behörde ernannt wurde. |
☐ Veröffentlichen Sie die Kontaktinformationen des DPO. |
☐ Identifizieren Sie ob die Datenerhebung direkt über die betroffene Person (data subject) erfolgt, oder indirekt. |
☐ Prüfen Sie, ob Sie für eine Ausnahme von der Informationspflicht gegenüber der betroffenen Person in Frage kommen. |
☐ Erfassen Sie die Beurteilung, ob eine Befreiung von der Informationspflicht in Frage kommt. |
☐ Definieren Sie ein internes Verfahren zur Gewährleistung der Richtigkeit der verarbeiteten Daten. |
☐ Erfassen Sie, ob Ausnahmen für die Verarbeitung besonderer Kategorien personenbezogener Daten gelten. |
☐ Falls ein zusätzliches Gesetz erforderlich ist, überprüfen Sie dessen Existenz. Falls nicht, geben Sie eine andere Ausnahme an. |
☐ Falls Ausnahmen gelten, ist die Rechtsgrundlage für die Datenverarbeitung gemäß Artikel 6 DSGVO anzugeben. |
☐ Wenn Sie sich auf die Zustimmung verlassen, stellen Sie sicher, dass diese ausdrücklich ist. |
☐ Bewahren Sie Aufzeichnungen über die Einverständniserklärungen auf |
☐ Erstellen Sie einen Dokumentenspeicher, der mindestens die von der DSGVO vorgeschriebenen Dokumente enthält. |
☐ Überprüfen Sie, ob die Verarbeitung der Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. |
☐ Erfassen Sie die Ergebnisse dieser vorläufigen Beurteilung. |
☐ Führen Sie ein DPIA (Data Protection Impact Assessment (DPIA) / Datenschutz-Folgenabschätzung) durch falls die Datenverarbeitung ein hohes Risiko darstellt. |
☐ Wenn die Risiken durch die vorgesehenen Maßnahmen nicht gemindert wurden, sind zusätzliche, geeignete, Maßnahmen zu ergreifen. |
☐ Wenn die Risiken nicht gemindert werden können und es nicht möglich istzusätzliche Maßnahmen zu ergreifen, wenden Sie sich an die Aufsichtsbehörde. |
☐ Erfassen Sie das Ergebnis des DPIA. |
Checkliste für die Ausführungsphase
Schritt |
☐ Verarbeiten Sie die Daten unter Anwendung der in der Vorbereitungsphase festgelegten Sicherheitsvorkehrungen und Vorsichtsmaßnahmen. |
☐ Bei der Entwicklung von IKT-Systemen muss sichergestellt werden, dass die betroffene Person (data subject) über eine geeignete Benutzerschnittstelle Zugang zu den erforderlichen Informationen hat. |
☐ Bei der Entwicklung von IKT-Systemen sind die Risiken für die betroffenen Personen im Zusammenhang mit jeder Funktion des Systems zu bewerten. |
☐ Erfassen Sie die Ergebnisse der Risikobewertung in Bezug auf die Systemfunktionen |
☐ Wenn die Risiken nicht gemindert werden können, konsultieren Sie die Aufsichtsbehörde oder verzichten Sie auf die Umsetzung der Aktivität. |
☐ Beachten Sie Anwendungsfälle in denen gefährdete Personen involviert sind. |
☐ Im Falle des Testens von IKT-Systemen müssen Sie beurteilen, ob das Testen des Systems einen anderen Fall der Datenverarbeitung als die Entwicklung des Systems darstellt. |
☐ Erfassen Sie das Ergebnis der Bewertung über das Testen als eine weitere Form der Datenverarbeitung. |
☐ Falls das Testen des Systems einen anderen Fall der Datenverarbeitung darstellt, beurteilen Sie ob die Zwecke und Mittel kompatibel sind. |
☐ Erfassen Sie das Ergebnis dieses Kompatibilitätstests. |
☐ Beurteilen Sie ob die Verbreitung der Ergebnisse auch die Verbreitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten beinhaltet. |
☐ Identifizieren Sie Ausnahmen für die Verarbeitung besonderer Kategorien personenbezogener Daten vor der Weitergabe der Daten. |
☐ Identifizieren Sie die am besten geeigneten Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor der Weitergabe der Daten. |
☐ Benennen Sie die Empfänger der Daten als Datenverarbeiter. |
☐ Informieren Sie die betreffenden Personen über den Transfer der Daten. |
☐ Überprüfen Sie ob der Transfer der Daten über Landesgrenzen hinweg stattfindet. |
☐ Wenn es sich um eine internationale Übermittlung der Daten handelt und keine Ausnahmeregelungen gelten, geben Sie ein Übermittlungsinstrument an. |
☐ Überprüfen Sie ob das Speichern der personenbezogenen Daten rechtmäßig ist. |
☐ Erfassen Sie die Ergebnisse der Beurteilung zur Rechtmäßigkeit der Datenspeicherung |
☐ Falls die Aufbewahrung personenbezogener Daten rechtswidrig ist, löschen oder anonymisieren Sie diese. |