PRAKTIKEN DER ZUSTIMMUNG
Die Zustimmung ist das freiwillige Einverständnis mit dem, was getan oder vorgeschlagen wird. Die Zustimmung kann entweder ausdrücklich oder stillschweigend erfolgen. Die ausdrückliche Zustimmung wird entweder mündlich oder schriftlich erteilt. Die ausdrückliche Zustimmung ist unmissverständlich und erfordert keine Schlussfolgerungen seitens der Organisation, die um Zustimmung ersucht. Eine stillschweigende Zustimmung liegt vor, wenn die Zustimmung vernünftigerweise aus dem Handeln oder Nichthandeln der betreffenden Person abgeleitet werden kann.
AUSDRÜCKLICHE ZUSTIMMUNG
Sie haben angegeben, dass Ihre Organisation keine sensiblen oder potenziell sensiblen Daten sammelt. Wenn Ihre Organisation in Zukunft beschließt, sensible oder potenziell sensible Daten zu erheben, sollten Sie immer sicherstellen, dass Sie die ausdrückliche Zustimmung Ihres Kunden einholen. Mit anderen Worten: Sie müssen den Kunden direkt fragen, ob er damit einverstanden ist, dass Sie die Daten sammeln und/oder an eine andere Organisation weitergeben. Wenn Sie z. B. Finanzdaten für eine Kreditprüfung erfassen, lassen Sie den Kunden ein Antragsformular unterschreiben, das besagt, dass Sie die Daten an eine Kreditauskunftei weitergeben werden und dass der Kunde damit einverstanden ist.1 Die ausdrückliche Zustimmung sollte immer dann verwendet werden, wenn es möglich ist, und in allen Fällen, in denen die personenbezogenen Daten als sensibel gelten.
STILLSCHWEIGENDE ZUSTIMMUNG
Sie haben angegeben, dass Ihr Unternehmen keine Informationen sammelt, um einen Verkauf oder eine andere Transaktion abzuschließen, die Kreditwürdigkeit eines Kunden zu überprüfen, eine spezielle Bestellung für einen Kunden aufzugeben, eine Lieferung zu veranlassen oder eine Rücksendung zu bearbeiten. Sollte Ihr Unternehmen in Zukunft beschließen, diese Daten zu erheben, denken Sie daran, dass Sie davon ausgehen können, dass der Kunde sein Einverständnis gegeben hat, wenn er Ihnen die Daten zur Verfügung stellt, solange die erhobenen Daten für die Durchführung einer der oben genannten Aktionen erforderlich sind. (Dies wird als “stillschweigende Zustimmung” bezeichnet).
Denken Sie daran:
Sie können den Abschluss einer Transaktion nicht verweigern, wenn der Kunde sich weigert, in die Erfassung von Daten einzuwilligen, die für den Abschluss der Transaktion nicht erforderlich sind.
Wenn Sie später beschließen, diese Daten für einen anderen Zweck zu verwenden, müssen Sie die Zustimmung des Kunden erneut einholen.
OPT-OUT-ZUSTIMMUNG
Sie erheben die folgenden Daten zu sekundären Zwecken, z. B. zu Marketingzwecken, zur Verwaltung eines Kundenbindungsprogramms oder zur Pflege von Kundenbeziehungen:
Unter diesen Umständen müssen Sie dem Kunden die Möglichkeit geben, Ihnen mitzuteilen, dass er nicht möchte, dass Sie seine Daten für diesen Zweck verwenden. Dies wird als “Opt-out” bezeichnet.
Opt-outs müssen klar, leicht verständlich und für den Kunden einfach zu bewerkstelligen sein. Sie können z. B. ein Opt-out-Kästchen auf einem Papier- oder Web-Antragsformular anbringen, das den Kunden darauf hinweist, dass sie hier ankreuzen können, wenn sie kein Werbematerial per Post erhalten möchten. Lassen Sie den Kunden wissen, was er verpassen wird – z. B. Sonderangebote und Informationen über neue Produkte -, aber minimieren, verstecken oder verschleiern Sie die Abmeldung nicht. Machen Sie es nicht zu kompliziert, z. B. indem Sie den Kunden auffordern, eine spezielle Telefonnummer zu bestimmten Zeiten anzurufen. Es geht darum, den Kunden entscheiden zu lassen.
SICHERHEITSPLAN
ZUGANG VON MITARBEITERN ZU KUNDENINFORMATIONEN
Sie haben angegeben, dass es in Ihrer Organisation keine Mitarbeiter gibt, die unnötigerweise Informationen einsehen oder verarbeiten. Dies ist eine gute Praxis. Indem Sie die Anzahl der Personen, die Informationen einsehen oder bearbeiten, begrenzen, verringern Sie das Risiko einer unangemessenen Nutzung oder Offenlegung.
AUFBEWAHRUNG PERSONENBEZOGENER INFORMATIONEN: PAPIERAKTEN
Sie haben angegeben, dass Ihre Organisation keine Informationen in Papierakten aufbewahrt.
Wenn Sie in Zukunft beabsichtigen, personenbezogene Daten in Papierakten zu speichern, ist es äußerst wichtig, alle möglichen Maßnahmen zu ergreifen, um die personenbezogenen Daten Ihrer Kunden sicher aufzubewahren. Sie sollten diese Akten schützen, indem Sie sie an einen anderen Ort bringen:
einen verschlossenen Schrank
einen gesperrten Bereich
einen Bereich mit einem Alarmsystem
AUFBEWAHRUNG PERSÖNLICHER INFORMATIONEN: ELEKTRONISCHE DATEIEN
Im Folgenden sind die Arten von Informationen aufgeführt, die Sie in elektronischen Dateien speichern dürfen:
Name
Es ist äußerst wichtig, alle möglichen Maßnahmen zu ergreifen, um die persönlichen Daten Ihrer Kunden sicher zu speichern. Versuchen Sie die folgenden Methoden zum Schutz dieser Dateien zu verwenden:
Computer-Passwörter
Firewalls
Verschlüsselte Datendateien
Verschlüsselte persönliche Daten, die über das Internet gesendet oder empfangen werden (z. B. per E-Mail oder über Webformulare)
Elektronische Prüfpfade, aus denen hervorgeht, wer Zugang zu den Informationen hat
Aufbewahrung von Sicherungsdateien in einem verschlossenen Schrank
Seien Sie besonders vorsichtig bei Laptops, USB-Schlüsseln und drahtlosen elektronischen Geräten. Auf diesen Geräten können potenziell große Mengen an persönlichen Daten Ihrer Kunden gespeichert sein. Alle diese Geräte sollten durch ein Passwort geschützt sein und über die stärkstmögliche Form des Schutzes verfügen.
SAMMLUNG SENSIBLER INFORMATIONEN
Sie haben angegeben, dass Ihr Unternehmen keine sensiblen oder potenziell sensiblen Daten sammelt. Sollte Ihre Organisation in Zukunft sensible oder potenziell sensible Daten sammeln, sollten Sie mehr als eine Methode in Betracht ziehen, um die Vertraulichkeit der Daten zu gewährleisten.
Gehen Sie abschließend Ihre alten Dateien durch
LISTE DER DRITTPARTEIEN
Sie geben personenbezogene Daten an die folgenden Drittanbieter oder Vertreter weiter:
Mit keinen anderen Parteien
Sie müssen die Datenschutzpraktiken dieser Firmen überprüfen, um sicherzustellen, dass sie die gleichen Standards erfüllen, die Sie für Ihr Unternehmen anwenden. Sie sollten auch mit Ihrem Anwalt über die Aufnahme spezieller Klauseln in alle Verträge sprechen, die die Weitergabe von Daten an Dritte vorsehen:
den Dritten verpflichten, Ihre Kundendaten zu schützen
Ihnen die Befugnis zu geben, den Dritten zu überprüfen, um sicherzustellen, dass er sich an faire Informationspraktiken hält
sicherzustellen, dass der Dritte die Informationen nur für die im Vertrag festgelegten Zwecke verwendet
von der Drittpartei zu verlangen, dass sie alle Anfragen von Kunden nach Einsicht in ihre Kundendaten an Sie weiterleitet.