Warschau, 21. Mai 2018
RICHTLINIE ZUM SCHUTZ PERSÖNLICHER DATEN
Liste Inhalt
1. Vorläufige Bestimmungen.. 3
4. Grundlagen des Schutzes personenbezogener Daten im Unternehmen.. 7
5. System zum Schutz personenbezogener Daten.. 8
10. Archivierungs- und Speicherregeln gesammelte Dokumentation mit personenbezogenen Daten.. 17
11. Löschung personenbezogener Daten.. 18
12. Verletzung des Schutzes personenbezogener Daten.. 19
13. Vertrauensvolle Abwicklung.. 19
14. Übermittlung personenbezogener Daten innerhalb Unternehmen.. 20
15. Übermittlung von Daten an Sie dritte.. 20
Unter Berücksichtigung Verpflichtungen aus Art. 25 und Kunst. 32Vorschriften(EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 Schutz natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119, S. 1), um sicherzustellen, dass personenbezogene Daten bei Designers sp o. o. werden im Rahmen der gesetzlichen Bestimmungen verarbeitet und gesichert durch die Umsetzung geeigneter technischer Maßnahmen und Organisationsstrukturen zur wirksamen Umsetzung der Schutzgrundsätze Daten und um die erforderliche Sicherheit für die Verarbeitung zu gewährleisten; und Designer sp. z o. stellt sicher, dass nur diese standardmäßig verarbeitet wurden diejenigen personenbezogenen Daten, die zur Erreichung der Daten erforderlich sind einen bestimmten Verarbeitungszweck.
1. Bestimmungen vorläufig
1.1. Die Richtlinie definiert die Regeln für die Verarbeitung und Sicherung von Daten personenbezogener Daten im Unternehmen, um die Konvergenz sicherzustellen Verarbeitung im Einklang mit den Anforderungen der DSGVO und zwingenden Bestimmungen Polnisches Recht zur Verarbeitung personenbezogener Daten. Richtlinienzustände ein im Unternehmen implementierter Satz und eine Grundlage Anforderungen, Verfahren und Grundsätze des Schutzes personenbezogener Daten. Die Police umfasst:
I. enthält eine Beschreibung der im Unternehmen geltenden Datenschutzgrundsätze;
II. eine Reihe von Verfahren, Anweisungen und detaillierten Vorschriften bzgl Verarbeitung personenbezogener Daten im Unternehmen bzgl einzelne Bereiche des Schutzes personenbezogener Daten; Sie stellen Anhänge zur Richtlinie dar.
1.2. Die Richtlinie gilt für alle Mitarbeiter und Mitarbeiter des Unternehmens. Für Compliance und Für die Einhaltung der Bestimmungen der Richtlinie sind verantwortlich:
I. Unternehmen;
II. im Unternehmen eingerichtete Organisationseinheiten, in welche personenbezogenen Daten verarbeitet werden;
III. Mitarbeiter.
1.3. Zur wirksamen Umsetzung der Richtlinie unter Berücksichtigung des Geltungsbereichs, den Kontext und die Zwecke der Verarbeitung sowie das Risiko einer Verletzung von Rechten und Freiheiten Individuen unterschiedlicher Wahrscheinlichkeit und Bedeutung Bedrohungen Das Unternehmen stellt sicher:
I. Umsetzung geeigneter technischer Maßnahmen und organisatorische Vorkehrungen, die die Einhaltung der Datenverarbeitung gewährleisten personenbezogener Daten mit den gesetzlichen Anforderungen und der erforderlichen Sicherheit der verarbeiteten Daten personenbezogene Daten;
II. Sicherung der IT-Systemressourcen, technische Infrastruktur, Ausrüstung und Zubehör vor Zerstörung, Beschädigung oder Diebstahl;
III. Verhinderung des Zugriffs auf die darin enthaltenen personenbezogenen Daten IT-Systeme übertragen und in Papierform an Personen weitergegeben dies ohne Genehmigung;
IV. Ständige Überwachung der Einhaltung der Verarbeitung personenbezogener Daten gesetzlichen Anforderungen und unterliegt den in Absatz genannten Maßnahmen oben, ständig überprüft und aktualisiert;
V Kontrolle und Überwachung der Verarbeitung personenbezogener Daten.
1.4. Die Einhaltung der Bestimmungen der Richtlinie wird überwacht Unternehmensleitung. Aufsicht, auf die sich der Satz bezieht die vorstehenden Ziele insbesondere, aber nicht ausschließlich um sicherzustellen, dass Aktivitäten im Zusammenhang mit der Verarbeitung von Daten durchgeführt werden Die personenbezogenen Daten im Unternehmen entsprechen den gesetzlichen Anforderungen und Bestimmungen der Richtlinie.
1.5. Das Unternehmen stellt die Einhaltung sicher insbesondere Auftragnehmer des Unternehmens Auftragsverarbeiter mit den jeweils anwendbaren Bestimmungen der Richtlinie Geltungsbereich in allen Situationen, in denen diese Übertragung erfolgt Stellen personenbezogener Daten zur Verarbeitung, einschließlich Speicherung.
1.6. Die Police wird gespeichert und in Papierform zur Verfügung gestellt und elektronisch am Sitz des Unternehmens.
1.7. Die Richtlinie wird zur Verfügung gestellt:
I. verbindlich für alle zur Verarbeitung berechtigten Personen Persönliche Daten im Unternehmen, die autorisierten Personen zur Verfügung gestellt werden müssen entsprechende Kenntnisse und Informationen über die diesbezüglichen Regeln und Anforderungen Verarbeitung personenbezogener Daten im Unternehmen;
II. interessierte Personen, insbesondere natürliche Personen, Betroffene Personen – auf deren Antrag.
2. Wörterbuch Konzepte
Wann immer in dieser Richtlinie Folgendes verwendet wird Wenn Sie Definitionen oder Ausdrücke verwenden, sollten Sie Folgendes angeben Bedeutung:
1) IT-Systemadministrator – bezeichnet eine Person Verantwortlich für die Überwachung und Sicherheit der Systeme IT im Unternehmen eingesetzt und IT-Infrastruktur;
2) Personenbezogene Daten – sind Informationen über eine identifizierte oder mögliche Person identifizierbar zu einer natürlichen Person, wie z. B. Vor- und Nachname, Nummer Kennung, Standortdaten, Online-Kennung oder ein oder mehrere mehrere spezifische Faktoren, die die physische, physiologische, genetische, mentale, wirtschaftliche, die kulturelle oder soziale Identität einer Person körperlich; im Sinne von Art. 4 Punkt 1 DSGVO;
3) Sensible Daten – bezeichnet die betreffenden personenbezogenen Daten in der Kunst. 9 DSGVO;
4) Dokumente mit personenbezogenen Daten – bezeichnet alle Dokumente, inkl die personenbezogene Daten enthalten, ausgenommen Visitenkarten, Kalender und Notizbücher in Papierform oder elektronisch;
5) Leiter einer Organisationseinheit – bezeichnet die koordinierende Person Arbeit der Mitarbeiter in einzelnen Einheiten im Unternehmen geschaffene Organisationsstrukturen;
6) Login – bezeichnet eine Folge von Buchstaben, Ziffern oder Zeichen andere, die den Benutzer für die Datenverarbeitung identifizieren personenbezogene Daten im IT-System;
7) Datenträger – meint alle Medien, auf welche Informationen in elektronischer Form gespeichert werden, in insbesondere: CD-ROMs, DVD-ROMs, BluRays, Disketten, Speicher USB- und andere tragbare Speicher, Magnetkarten und Dokumente Papier mit personenbezogenen Daten;
8) Empfänger – bezeichnet eine natürliche oder juristische Person, Behörde Öffentlichkeit, juristische Person oder andere juristische Person, der es mitgeteilt wird personenbezogene Daten, unabhängig davon, ob sie von Dritten stammen oder nicht. Öffentliche Stellen, die möglicherweise personenbezogene Daten erhalten spezifische Verfahren nach Unions- oder Landesrecht Mitgliedstaat;
9) Autorisierte Person – bezeichnet eine autorisierte Person seitens des Unternehmens, die betreffenden personenbezogenen Daten zu verarbeiten Umfang;
10) Thema Auftragsverarbeiter – bezeichnet eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die Daten verarbeitet personenbezogene Daten im Namen des Unternehmens;
11) Politik – bezeichnet diese Richtlinie zum Schutz personenbezogener Daten von Designers Sp. z o.o. z o. o. vom 21. Mai 2018, nebst allen möglichen Anlagen;
12) Mitarbeiter – bedeutet beide im Unternehmen beschäftigten Personen auf Grundlage eines Arbeitsverhältnisses sowie natürliche Personen Zusammenarbeit mit dem Unternehmen im Rahmen der Vereinbarung Zivilrecht;
13) Unternehmen (Verantwortlicher für personenbezogene Daten) – bezeichnet das Unternehmen Designers sp o. o., ul. F.Szuberta 27, 02-408 Warszawa, eingetragen im Nationalregister Gericht, Aktenzeichen RDF/171687/19/315, unter der Nummer 0000492638, Nummer NIP: 1180036097, REGON: 011055478
14) Verarbeitung – bezeichnet einen Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden oder Sätze personenbezogener Daten auf automatisierte Weise oder nicht automatisierte Aufgaben wie Sammeln, Aufzeichnen, Ordnen, Aufräumen, Speichern, Anpassen oder Modifizieren, Herunterladen, Anzeigen, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise wie Teilen, Abgleichen oder Kombinieren, Einschränken, Entfernung oder Vernichtung im Sinne von Art. 4 Punkt 2 DSGVO;
15) Registrieren - bezeichnet das Register der personenbezogenen Datenverarbeitungsaktivitäten des Unternehmens;
16) DSGVO – bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 27. April 2016 zum Schutz natürlicher Personen im Zusammenhang mit die Verarbeitung personenbezogener Daten und den freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Schutzverordnung). Daten) (ABl. EU L 119, S. 1);
17) Netzwerk lokal – bedeutet die Anbindung der IT-Systeme des Unternehmens ausschließlich für den eigenen Bedarf die Geräte nutzt und Telekommunikationsnetze;
18) Netzwerk umfangreich - hierunter ist ein öffentliches Netzwerk zu verstehen (Telekommunikation) im Sinne des Gesetzes vom 16. Juli 2004 Telekommunikation (GBl. 2004, Nr. 171, Pos. 1800);
19) System – bezeichnet das System zum Schutz personenbezogener Daten im Unternehmen, o im Sinne von § 5 der Richtlinie;
20) System IT – bezeichnet ein Team von Menschen, die miteinander zusammenarbeiten Geräte, Programme, Informationsverarbeitungsverfahren und Werkzeuge Software zur Verarbeitung personenbezogener Daten;
21) Gerät Mobil – bedeutet mobile tragbare Telefone, Tablets und andere tragbare Geräte, die verwendet werden Besitztümer sind bestimmungsgemäß oder dürfen genutzt werden für die Verarbeitung personenbezogener Daten;
22) Authentifizierung – bezeichnet eine Aktion zur Überprüfung der angegebenen Identität Benutzer;
23) Benutzer – bezeichnet eine vom Datenverwalter autorisierte Person Personenbezogene Daten zur Verarbeitung von Daten, die in Systemen, Software, Netzwerkressourcen, Dateien und Ordner, die auf Computern, Servern usw. gespeichert sind. Datenträger und andere elektronische Geräte;
24) Satz Daten – bezeichnet jeden strukturierten Satz personenbezogener Daten, der verfügbar ist nach bestimmten Kriterien.
3. Daten Personenkraftwagen
3.1. Das Unternehmen verarbeitet in Dateien gesammelte personenbezogene Daten Daten. Die im Unternehmen verarbeiteten Datensätze sind im Anhang aufgeführt Nr. 1 nach Polityka.
3.2. Die Liste der Datensätze wird aktualisiert oder erweitert nach Analyse der Auswirkungen und Risiken der Verarbeitung Personenbezogene Daten für die Rechte und Freiheiten betroffener natürlicher Personen Sammlung.
3.3. Das Unternehmen führt keine Verarbeitungstätigkeiten durch, Dies könnte ein erhebliches Risiko eines Verstoßes mit sich bringen Rechte und Freiheiten der Personen, die von den personenbezogenen Daten betroffen sind. IN im Falle der Planung, die in genannten Maßnahmen zu ergreifen Die im vorstehenden Satz genannten Leistungen sind von der Gesellschaft verbindlich zu erbringen vorherige Beurteilung der Auswirkungen der Verarbeitung im Sinne von Kunst. 35 DSGVO.
3.4.
Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich flächendeckend
Räume am Hauptsitz des Unternehmens
an der Ul. F.Szuberta 27, 02-408 Warschau. Ein zusätzlicher Bereich, in dem
Personenbezogene Daten werden von allen Computern verarbeitet
tragbare und andere mobile Geräte und Datenträger
sich außerhalb des im vorstehenden Satz angegebenen Bereichs befinden.
4. Grundlagen Schutz personenbezogener Daten im Unternehmen
4.1. Das Unternehmen stellt sicher, dass die Maßnahmen ergriffen werden technisch und organisatorisch notwendig, um sicherzustellen Vertraulichkeit, Integrität, Verantwortlichkeit und Kontinuität Verarbeitete Daten.
4.2. Berechtigte Personen und alle anderen Personen, denen es zugänglich gemacht wird Die im Unternehmen verarbeiteten personenbezogenen Daten sind verpflichtet sind, personenbezogene Daten in Übereinstimmung mit den gesetzlichen Anforderungen zu verarbeiten und in Übereinstimmung mit den Bestimmungen der Richtlinie sowie anderen internen Rechtshandlungen des Unternehmens oder interne Abläufe im Zusammenhang mit der Verarbeitung personenbezogener Daten.
4.3. Bei der Beschäftigung von Arbeitnehmern und im Verlauf der Beschäftigung ist das Unternehmen stellt sicher, dass:
I. Mitarbeiter vor der Wahrnehmung offizieller Aufgaben eine angemessene Kenntnis der Regeln erhalten Verarbeitung und Schutz personenbezogener Daten im Unternehmen;
II. alle Einer der Mitarbeiter ist schriftlich zur Bearbeitung berechtigt Personenbezogene Daten im erforderlichen Umfang gemäß der Vorlage Anlagen Nr. 2 zur Police;
III. alle Jeder Mitarbeiter ist zur Verschwiegenheit verpflichtet Integrität personenbezogener Daten gemäß der Vorlage im Anhang Nr. 3 der Richtlinie, wonach Mitarbeiter verpflichtet sind: insbesondere, aber nicht beschränkt auf:
A) strikte Einhaltung des Ermächtigungsumfangs;
B) Einhaltung der gesetzlichen Anforderungen und der Bestimmungen der Richtlinie in Umfang der Verarbeitung;
C) Wahrung der Geheimhaltung personenbezogener Daten;
D) Wahrung der Vertraulichkeit und Integrität der Daten personenbezogene Daten;
E) Melden Sie dies unverzüglich dem Unternehmen Vorfälle im Zusammenhang mit Datenschutzverletzungen Persönliche Daten.
4.4. Das Unternehmen stellt sicher, dass personenbezogene Daten verarbeitet werden Das Unternehmen war:
I. verarbeitet gesetzeskonform, zuverlässig und für die Person transparent, auf die sich die Daten beziehen;
II. gesammelt für bestimmte, eindeutige und legitime Zwecke verarbeitet und nicht verarbeitet darüber hinaus in einer Weise, die mit diesen Zwecken unvereinbar ist;
III. angemessen, angemessen und auf das für die Zwecke erforderliche Maß beschränkt womit sie verarbeitet werden;
IV. richtig und bei Bedarf aktualisiert; Das Unternehmen bietet Herstellung Maßnahmen zur Löschung oder Berichtigung von Daten personenbezogene Daten, die im Hinblick auf ihre Zwecke ungeeignet sind Verarbeitung („Genauigkeit“);
V gelagert in einer Form, die die Identifizierung der Person ermöglicht sich die Daten beziehen, und zwar für einen Zeitraum, der nicht länger als nötig ist für die Zwecke, für die die Daten verarbeitet werden;
VI. verarbeitet auf eine Weise, die eine angemessene Sicherheit der Daten gewährleistet personenbezogener Daten, einschließlich Schutz vor unbefugter oder rechtswidriger Nutzung Verarbeitung und zufälliger Verlust, Zerstörung oder Schäden, durch geeignete technische Mittel oder organisatorisch.
4.5. Dabei wird sichergestellt, dass die Verarbeitung personenbezogener Daten im Einklang mit den Grundsätzen erfolgt im Abschnitt angegeben Das Unternehmen stützt die Verarbeitung auf die oben genannten Daten Folgende Gründe:
1) Legalität – Dem Unternehmen liegt der Schutz am Herzen Datenschutz und verarbeitet personenbezogene Daten gemäß den gesetzlichen Anforderungen;
2) Sicherheit – Das Unternehmen sorgt für angemessene Sicherheit Niveau der Sicherheit personenbezogener Daten durch ständige Maßnahmen in dieser Hinsicht;
3) Individuelle Rechte – Das Unternehmen ermöglicht es den Menschen deren personenbezogene Daten verarbeitet werden, Ausübung Ihrer Rechte und setzt diese Rechte um;
4) Verantwortlichkeit – Das Unternehmen stellt eine ordnungsgemäße Leistung sicher Dokumentation, wie Sicherheitsverpflichtungen erfüllt werden Persönliche Daten.
5. System Schutz personenbezogener Daten
Das Unternehmen gewährleistet die Einhaltung der Datenverarbeitung personenbezogene Daten mit gesetzlichen Anforderungen auch durch Gestaltung, Einführung und Wartung des Systems. Das System besteht aus: organisatorische Maßnahmen und technische Schutzmaßnahmen, ausreichend das Risikoniveau, das für einzelne Datensätze ermittelt wurde und Datenkategorien. Das System besteht aus: insbesondere folgende Maßnahmen:
I. Beschränkung des Zugangs zu Räumen, in denen Personenbezogene Daten werden nur für autorisierte Personen verarbeitet und dafür zu sorgen, dass andere Menschen drinnen bleiben können Räume, die ausschließlich für die Verarbeitung personenbezogener Daten genutzt werden in Begleitung einer autorisierten Person;
II. Schließung der Räume, die den betreffenden Bereich bilden im Absatz 3.4 Richtlinien für die Zeit der Abwesenheit von Mitarbeitern, inkl eine Möglichkeit, die den Zugriff Dritter verhindert;
III. Gewährleistung der Sicherheit des im Abschnitt genannten Bereichs 3.4 Richtlinien gegen zufällige Faktoren wie Feuer oder Flut;
IV. Verwendung verschlossener Schränke, Schubladen, Tresore oder Ähnliches technische Maßnahmen zur Personenverhinderung unbefugter Zugriff auf die darin gespeicherten personenbezogenen Daten;
V Umsetzung von Managementgrundsätzen für das eingesetzte IT-System um personenbezogene Daten zu verarbeiten;
VI. Implementierung von Backup-Richtlinien;
VII. Implementierung von Regeln zur Speicherung und Archivierung der gesammelten Informationen Dokumentation mit personenbezogenen Daten;
VIII. Umsetzung von Regeln zur Archivierung und Aufbewahrung von Dokumentationen personenbezogene Daten enthalten;
IX. Umsetzung der Regeln für die Übermittlung personenbezogener Daten innerhalb Unternehmen
X Gewährleistung einer effektiven Entsorgung oder Vernichtung von Dokumenten Persönliche Daten in einer Weise zu enthalten, die dies unmöglich macht ihre anschließende Erholung;
XI. Gewährleistung der Hardware- und IT-Sicherheit, einschließlich:
A) Schutz des lokalen Netzwerks vor von außen initiierten Aktivitäten,
B) Sicherstellung der Aktualität der eingesetzten Software,
C) Sicherung der im Unternehmen verwendeten Computerausrüstung gegen Schadsoftware,
D) Gewährleistung konstanter und häufiger Kopien Sicherungsdaten, die auf Computern, Servern und Netzwerken gespeichert sind Unternehmen,
E) Beschränkung des Zugriffs auf Computerausrüstung, Server usw lokales Netzwerk durch Anwendung von Authentifizierungsregeln;
F) Durchführung von Risikoanalysen für Datenverarbeitungsaktivitäten oder Kategorien davon;
G) Implementierung von Standards zur Verifizierung und Auswahl von Unternehmen Auftragsverarbeiter sowie die Betrauungsbedingungen Datenverarbeitung für einzelne Auftragsverarbeiter;
H) Überwachung von Änderungen in Datenverarbeitungsprozessen personenbezogene Daten im Unternehmen und in der laufenden Verwaltung Änderungen, die den Schutz personenbezogener Daten im Unternehmen betreffen.
6. Registrieren
6.1. Das Register umfasst Kategorien von Datenverarbeitungsaktivitäten personenbezogene Daten im Unternehmen. Über die Registry, Enterprise Dokumente zur Verarbeitung personenbezogener Daten und Inventare i überwacht, wie es personenbezogene Daten verwendet. Das Register ist eine Anlage Nr. 6 bis Polityka.
6.2. Über das Register, insbesondere über Angabe allgemeiner Datenschutzmaßnahmen im Register personenbezogene Daten, die von einer gesonderten Tätigkeit erfasst werden Verarbeitung ist das Unternehmen ebenfalls bestrebt Nachweis der Übereinstimmung der Verarbeitung personenbezogener Daten mit den gesetzlichen Anforderungen.
6.3. Im Register separat für jede identifizierte Kategorie Bei der Verarbeitung personenbezogener Daten wird aufgezeichnet, was am wenigsten:
1) Name der Aktivität;
2) Zweck der Verarbeitung;
3) Beschreibung der Kategorien von Personen, deren personenbezogene Daten verarbeitet werden als Teil einer bestimmten Aktivität;
4) Beschreibung der Kategorien personenbezogener Daten, die in den Daten verarbeitet werden Aktivitäten;
5) Rechtsgrundlage für die Verarbeitung sowie Einzelheiten Kategorie des berechtigten Interesses des Unternehmens, sofern die Grundlage die Verarbeitung auf einem berechtigten Interesse beruht;
6) Beschreibung der Kategorien von Datenempfängern, einschließlich juristischer Personen Verarbeitung,
7) Informationen über die mögliche Übermittlung personenbezogener Daten nach außen das Gebiet der Europäischen Union oder des Europäischen Wirtschaftsraums;
8) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Schutz personenbezogener Daten, die für die betreffenden Daten gelten Aktivitäten.
6.4. Beim Aktualisieren oder Erweitern der Aktivitätskategorie Die Verarbeitung personenbezogener Daten erfolgt unverzüglich durch das Unternehmen Aktualisierung des Registers, um die Übereinstimmung des Registers mit dem Staat sicherzustellen Tatsächlicher Umfang und Umfang der Verarbeitung personenbezogener Daten im Unternehmen.
6.5. Die Bestimmungen des Abschnitts oben schließen die Möglichkeiten nicht aus gegebenenfalls Aufnahme zusätzlicher und ergänzender Informationen in das Register die Einzelheiten oder Lesbarkeit des Registers oder Erleichterung des Datenschutz-Compliance-Managements personenbezogener Daten mit rechtlichen Anforderungen und Umsetzung des Grundsatzes der Rechenschaftspflicht.
6.6. Die Gesellschaft dokumentiert ihre Rechtsgrundlagen im Register Datenverarbeitung für einzelne Verarbeitungstätigkeiten durch Angabe der allgemeinen Rechtsgrundlage für die Verarbeitung, wie zum Beispiel: Einwilligung, Vertrag, dem Unternehmen auferlegte rechtliche Verpflichtung, legitimer Zweck des Unternehmens.
7. Durchführung Verpflichtungen gegenüber Personen, die personenbezogene Daten betreffen
7.1. Das Unternehmen implementiert Consent-Management-Methoden Ermöglicht die Registrierung und Überprüfung des Eigentums die Einwilligung der Person zur Verarbeitung ihrer spezifischen Daten für einen bestimmten Zweck, Einwilligung Fernkommunikation (E-Mail, Telefon, SMS usw.) und Registrierung der Verweigerung der Einwilligung, des Widerrufs der Einwilligung und Ähnliches Maßnahmen wie die Erhebung eines Einspruchs oder einer Einschränkung Verarbeitung.
7.2. Das Unternehmen legt Wert auf Lesbarkeit und Stil bereitgestellte Informationen und Kommunikation mit Personen, deren personenbezogene Daten Prozesse.
7.3. Die Gesellschaft legt sie am Sitz der Gesellschaft zur Einsichtnahme bereit Politik
7.4. Um die Rechte der Person auszuüben, auf die sich die personenbezogenen Daten beziehen Das Unternehmen stellt Verfahren und Mechanismen zur Verfügung, die dies ermöglichen Identifizierung der vom Unternehmen verarbeiteten Daten bestimmter Personen, Integrieren Sie diese Daten, nehmen Sie Änderungen daran vor und löschen Sie sie integrierte Weise.
7.5. Das Unternehmen dokumentiert die Aufgabenerledigung Informationen, Mitteilungen und Anfragen von Personen, Informieren der betroffenen Person über:
A) Verarbeitung ihrer personenbezogenen Daten, wenn sie Daten von ihr erhält Menschen.
B) geplante Änderung des Zwecks der Datenverarbeitung;
C) Aufhebung der Einschränkung der Verarbeitung personenbezogener Daten vor der Aufhebung Verarbeitungsbeschränkungen;
D) Berichtigung, Löschung oder Einschränkung der Datenverarbeitung, es sei denn, es ist ein unverhältnismäßig großer erforderlich Aufwand oder wird unmöglich sein;
E) das Recht, der Verarbeitung zu widersprechen Personenbezogene Daten werden spätestens beim ersten Kontakt mit dieser Website erhoben Person.
7.6. Der Unternehmer hat die Person unverzüglich darüber zu informieren etwaige Verletzung des Schutzes personenbezogener Daten ein hohes Risiko einer Verletzung der Rechte oder Freiheiten dieser Person darstellen.
7.7. Ungeachtet der Bestimmungen des Abschnitts oben, Unternehmen legt fest, wie Personen über die Datenverarbeitung informiert werden möglichst nicht identifiziert werden.
7.8. Auf Anfrage einer Person um Zugang dazu Daten informiert das Unternehmen die Person darüber, ob es seine Daten verarbeitet personenbezogene Daten und informiert die betroffene Person über die Einzelheiten der Verarbeitung gem Kunst. Art. 15 DSGVO und gewährt der Person zudem Zugriff auf die sie betreffenden Daten. Der Zugriff auf die Daten kann durch Aushändigung einer Kopie erfolgen Daten.
7.9. Der Unternehmer stellt die Person zur Verfügung, auf die sich die personenbezogenen Daten beziehen eine Kopie der diesbezüglichen Daten und dokumentiert die Tatsache, dass die erste ausgestellt wurde Kopie der Daten.
7/10. Das Unternehmen berichtigt fehlerhafte Daten auf Anfrage die Person, auf die sich die personenbezogenen Daten beziehen. Das Unternehmen hat das Recht die Berichtigung der Daten verweigern, es sei denn, die Person verlangt dies in angemessener Weise Die Methode zeigt Datenunregelmäßigkeiten, die fordert Korrektur. Im Falle einer Korrektur der Daten ist das Unternehmen informiert die Person auf Anfrage über die Empfänger der Daten.
7/11. Das Unternehmen vervollständigt und aktualisiert die Daten auf Anfrage die Person, auf die sich die personenbezogenen Daten beziehen. Das Unternehmen hat das Recht die Vervollständigung der Daten ggf. verweigern mit den Zwecken der Datenverarbeitung nicht vereinbar. Das Unternehmen kann Verlassen Sie sich auf die Aussage der Person zu den ausgefüllten Daten, es sei denn Dies wird angesichts der von angenommenen Vorschläge nicht ausreichen Unternehmensverfahren oder Gesetze oder es liegen Gründe dafür vor halten die Aussage für unzuverlässig.
7/12. Unter Berücksichtigung des Absatzes unten, auf Wunsch einer Person, Das Unternehmen löscht Daten, wenn:
A) die Daten sind für die Zwecke nicht erforderlich für andere Zwecke erhoben oder verarbeitet wurden,
B) Die Einwilligung zu ihrer Verarbeitung wurde widerrufen und es gibt keine andere Möglichkeit Rechtsgrundlage für die Verarbeitung,
C) die Person hat der Verarbeitung dieser Daten erfolgreich widersprochen Daten,
D) die Daten unrechtmäßig verarbeitet wurden,
E) die Notwendigkeit, Ergebnisse aus der Verpflichtung zu entfernen legal,
7/13. Bei der Löschung personenbezogener Daten berücksichtigt das Unternehmen Folgendes: um die wirksame Umsetzung dieses Rechts sicherzustellen Einhaltung aller Datenschutzgrundsätze, einschließlich Sicherheit, a auch Überprüfung, ob es Ausnahmen gibt, o im Sinne von Art. 17. Abschnitt 3 DSGVO.
7/14. Sofern die Daten einer Löschung unterliegen von der Enterprise veröffentlicht, dann von der Enterprise unternimmt angemessene Schritte, einschließlich technischer Maßnahmen, um Informieren Sie andere Administratoren, die diese Daten verarbeiten personenbezogene Daten, über die Notwendigkeit der Datenlöschung und den Zugriff darauf. W Im Falle der Löschung von Daten informiert das Unternehmen die betroffene Person darüber Datenempfänger auf Anfrage dieser Person.
7.15. Das Unternehmen schränkt die Datenverarbeitung auf Anfrage ein Menschen, wenn:
A) die Person stellt die Richtigkeit der Daten in Frage – und zwar für einen bestimmten Zeitraum überprüfen Sie ihre Richtigkeit,
B) die Verarbeitung ist unrechtmäßig und die betroffene Person Anliegen, lehnt die Löschung personenbezogener Daten mit einer Anfrage ab im Gegenzug deren Verwendung einschränken,
C) Das Unternehmen benötigt keine personenbezogenen Daten mehr, aber sie sind vorhanden Sie werden von der betroffenen Person benötigt, um festzustellen, Verfolgung oder Abwehr von Ansprüchen,
D) Die Person hat aus entsprechenden Gründen Widerspruch gegen die Verarbeitung eingelegt mit ihrer besonderen Situation - bis geklärt ist, ob danach Es gibt legitime Gründe auf der Website des Unternehmens die Einspruchsgründe außer Kraft setzen.
7/16. Während der Einschränkung der Verarbeitung speichert das Unternehmen Daten, verarbeitet diese aber nicht (nicht nutzt, nicht übermittelt), ohne Einwilligung der betroffenen Person, es sei denn, sie dient dem Zweck der Feststellung zur Geltendmachung oder Abwehr von Ansprüchen oder zum Schutz der Rechte einer anderen Person physischer oder rechtlicher Natur oder aus wichtigen Interessengründen öffentlich. Das Unternehmen informiert die Person vor der Stornierung Verarbeitungsbeschränkungen. Im Falle einer Einschränkung der Datenverarbeitung Das Unternehmen teilt der betroffenen Person auf Anfrage die Empfänger der Daten mit diese Person.
17.07. Auf Wunsch einer Person stellt die Gesellschaft ein strukturiertes, häufig verwendetes und geeignetes Format maschinenlesbar oder gegebenenfalls an eine andere Stelle übertragen werden ggf. von ihm bereitgestellte personenbezogene Daten Unternehmen, verarbeitet auf der Grundlage der Einwilligung dieser Person oder zum Zweck Abschluss oder Erfüllung des mit ihr geschlossenen Vertrages in IT-Systemen Unternehmen.
18.07. Wenn eine Person einen bestimmten Grund dafür angibt In diesem Fall legen Sie Widerspruch gegen die oben genannte Verarbeitung Ihrer Daten ein im Sinne der Kunst. Die Datenverarbeitung erfolgt gemäß Art. 21 DSGVO durch das Unternehmen basierend auf dem berechtigten Interesse des Unternehmens oder anvertraut Unternehmen eine Aufgabe im öffentlichen Interesse, Unternehmen verpflichtet sich, die Einwände zu berücksichtigen, sofern sie nicht entstehen seitens der Gesellschaft, rechtlich gerechtfertigte Gründe dafür vorliegen Verarbeitung, wobei Ihre Interessen, Rechte und Freiheiten überwiegen die Person, die den Einspruch erhebt, oder die Grundlage für eine Feststellung, Untersuchung oder Abwehr von Ansprüchen.
19.07. Wenn die Person der Verarbeitung widerspricht Daten durch das Unternehmen zu Marketingzwecken direkt, das Unternehmen wird den Einspruch berücksichtigen und Einstellung dieser Verarbeitung.
8. Minimierung Daten
8.1. Das Unternehmen implementiert Verfahren, um zu helfen Umsetzung des Grundsatzes der Minimierung der verarbeiteten personenbezogenen Daten im Hinblick auf:
A) die Angemessenheit personenbezogener Daten für die Zwecke der Verarbeitung, einschließlich der Begrenzung der Menge der verarbeiteten personenbezogenen Daten und den Umfang der Verarbeitung zum Zweck der Verarbeitung;
B) Beschränkung des Zugriffs auf personenbezogene Daten nur auf Autorisierte Personen, für die die Daten verwendet werden Für die ordnungsgemäße Verarbeitung sind personenbezogene Daten in einem bestimmten Umfang erforderlich Erfüllung von Pflichten;
C) Begrenzung der Speicherdauer personenbezogener Daten auf den Zeitraum für deren Speicherung personenbezogener Daten erforderlich ist um den Zweck der Verarbeitung oder die auferlegten Verpflichtungen zu erreichen auf Enterprise.
8.2. Das Unternehmen überprüft regelmäßig die Mengen verarbeitete Daten, deren Art und Umfang der Verarbeitung, nicht seltener als einmal im Jahr.
8.3. Das Unternehmen wendet Beschränkungen für den Zugriff auf Daten an personenbezogene Daten durch:
A) Verschwiegenheitspflicht der Mitarbeiter inkl auch im Bereich personenbezogener Daten;
B) Überprüfung des Kreises der internen Datenempfänger personenbezogene Daten durch Zuordnung detaillierter Informationen zu einzelnen Mitarbeitern Berechtigungen zur Verarbeitung personenbezogener Daten nur im Umfang soweit dies zur Erfüllung dienstlicher Aufgaben erforderlich ist im Zusammenhang mit den der betroffenen Person mitgeteilten Zwecken;
C) Umsetzung technischer Datenschutzmaßnahmen personenbezogene Daten durch Einschränkung des Zugriffs auf Systeme und Software und Netzwerkressourcen, einschließlich Server, Postfächer und Personenbezogene Daten, die auf Computern, Telefonen und anderen verarbeitet werden Datenträger, die im Datenverarbeitungsprozess verwendet werden Persönlich;
8.4. Das Unternehmen aktualisiert die Zugriffsrechte mit Veränderungen in der Personalzusammensetzung und Veränderungen in den Rollen der Menschen und Änderungen in den Verarbeitungseinheiten. Unternehmen überprüft regelmäßig etablierte Benutzer Systeme, Postfächer und Software und aktualisiert diese weniger als einmal im Jahr.
8.5. Das Unternehmen verarbeitet personenbezogene Daten unter Berücksichtigung Kriterien, die im Register angegeben sind. Das Unternehmen setzt um Mechanismen zur Steuerung des Lebenszyklus personenbezogener Daten im Unternehmen, einschließlich der Überprüfung der weiteren Eignung der Daten in Bezug auf Fristen und Kontrollpunkte, die im Register angegeben sind.
8.6. Daten, deren Nutzbarkeit begrenzt ist Mit der Zeit werden sie aus Systemen, Software usw. entfernt. Computer und andere Datenträger des Unternehmens, sowie aus Referenz- und Hauptdateien. Solche Daten können archiviert und in Sicherungskopien aufgenommen werden Systeme und Informationen, die vom Unternehmen verarbeitet werden. Verfahren zum Archivieren und Verwenden von Archiven, Erstellen und Der Einsatz von Sicherungskopien berücksichtigt die Anforderungen an die Beherrschung Datenlebenszyklus, einschließlich Anforderungen zur Datenlöschung.
9. Sicherheit
9.1. Das Unternehmen verpflichtet alle Personen, die: im Rahmen der Wahrnehmung ihrer dienstlichen Aufgaben erhalten sie jeglicher Umfang des Zugriffs auf personenbezogene Daten, die von verarbeitet werden Unternehmen, mit dem Sie sich vor Ihrem Beitritt vertraut machen sollten Arbeiten mit den geltenden Grundsätzen des Schutzes personenbezogener Daten in der Richtlinie angegeben.
9.2. Unter Berücksichtigung des technischen Wissensstandes und der Implementierungskosten sowie die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko einer Verletzung Rechte und Freiheiten natürlicher Personen in unterschiedlichem Umfang die Eintrittswahrscheinlichkeit und die Schwere der Bedrohung Unternehmen setzt technische und organisatorische Maßnahmen um, um einen ordnungsgemäßen Betrieb sicherzustellen das Schutzniveau personenbezogener Daten, das dem Risiko einer Verletzung entspricht Rechte und Freiheiten natürlicher Personen, die sich aus der Datenverarbeitung ergeben personenbezogene Daten durch das Unternehmen.
9.3. Das Unternehmen führt Analysen durch und dokumentiert diese die Angemessenheit der Sicherheitsmaßnahmen für personenbezogene Daten. IN Zu diesem Zweck:
A) kategorisiert Daten und Verarbeitungsaktivitäten in Bezug auf die damit verbundenen Risiken;
B) analysiert das Risiko der Verletzung von Rechten und Freiheiten natürliche Personen für Datenverarbeitungstätigkeiten oder deren Kategorie. Das Unternehmen analysiert mögliche Situationen und Szenarien von Verstößen gegen den Schutz personenbezogener Daten unter Berücksichtigung Art, Umfang, Kontext und Zwecke der Verarbeitung, Risiko einer Rechtsverletzung bzw Freiheit natürlicher Personen in unterschiedlichem Ausmaß die Eintrittswahrscheinlichkeit und die Schwere der Bedrohung;
9.4. Das Unternehmen setzt Kontinuitätsmaßnahmen um Handeln und Verhindern der Auswirkungen von Katastrophen, also die Fähigkeit, schnell reagieren zu können Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugriffs darauf sie im Falle eines physischen oder technischen Vorfalls.
9.5. Im Unternehmen ernannter Systemadministrator Die IT ergreift Maßnahmen, um die Einhaltung der Gesetze sicherzustellen Verarbeitung personenbezogener Daten in den eingesetzten IT-Systemen vom Unternehmen und Verhalten auf höchstem Niveau Sicherheit personenbezogener Daten in IT-Systemen. Für Pflichten Der IT-Systemadministrator sollte:
A) ständige Kontrolle und Überwachung der Benutzerrechte;
B) Gewährleistung des ordnungsgemäßen Betriebs des IT-Systems gem festgelegte Zwecke der Verarbeitung personenbezogener Daten und Grundsätze der rechtmäßigen Einhaltung Verarbeitung;
C) Überwachung der Erstellung von Sicherungskopien und Steuerung des Kopiersystems im Rahmen ihrer weiteren Eignung für Wiederherstellung personenbezogener Daten im Falle eines Fehlers Systeme, Software und Netzwerkressourcen;
D) Information der Vorstandsmitglieder der Gesellschaft darüber alle festgestellten Unregelmäßigkeiten und Verstöße oder die Sicherheit personenbezogener Daten und des Systems gefährden ES;
E) Maßnahmen ergreifen, um dies zu verhindern Systemausfälle, Unregelmäßigkeiten und rechtsverletzende Vorfälle oder die Sicherheit personenbezogener Daten und des Systems gefährden ES;
F) Durchführung von Inspektionen, Wartungen und Änderungen in Umfang der Durchführung von Aktualisierungen des IT-Systems und Software zur Verarbeitung personenbezogener Daten;
G) Aufrechterhaltung einer ständigen Kontrolle über das Sicherheitsniveau des Systems IT bezüglich der Verarbeitung personenbezogener Daten,
H) Insbesondere die Benutzerauthentifizierung durch Gewährung, Änderung des Geltungsbereichs, Entzug von Rechten an Zugriff auf das IT-System, Netzwerkressourcen, Server, unterstützte Programme, gemäß den Verwaltungsgrundsätzen, im Sinne von § 10 der Richtlinie;
I) Durchführung anderer Aktivitäten und Aufgaben im Zusammenhang mit Verarbeitung personenbezogener Daten unter Verwendung von Servern und Ressourcen Netzwerke, IT-Systeme und Software sowie Sicherstellung Sicherheit personenbezogener Daten im Zusammenhang mit der Verarbeitung.
9.6. Die Nutzer sind zur Einhaltung der Regeln verpflichtet Schutz personenbezogener Daten gemäß dieser Richtlinie und zu ordnungsgemäße Erfüllung der Aufgaben im Bereich:
A) Verarbeitung personenbezogener Daten gemäß den vereinbarten und offengelegten Vereinbarungen die Person, auf die sich die personenbezogenen Daten für die Zwecke beziehen;
B) Teilnahme an Schulungen im Bereich des Schutzes personenbezogener Daten vom Unternehmen organisiert;
C) Befolgung behördlicher Empfehlungen und Anordnungen und Mitteilungen der Vorgesetzten zur Effizienz Funktionieren des Systems;
D) Einhaltung der Regeln zur Sicherheit personenbezogener Daten die in dieser Richtlinie samt Anhängen vorgesehen sind, sowie nicht in der Richtlinie aufgeführt, aber im Unternehmen implementiert;
E) Gewährleistung eines sicheren Betriebs des Systems Vom Benutzer verwendete IT und Netzwerk, einschließlich: Befolgen der Regeln zum Ändern von Passwörtern auf Computern und mobile Geräte, schalten Sie den Computer jedes Mal aus Beendigung der Arbeit und Verlassen des Arbeitsplatzes, keine Datenübertragung personenbezogene Daten, die auf Computern, Servern, E-Mail-Postfächern usw. erfasst werden andere Netzwerkressourcen an Unbefugte weitergeben, anzeigen Seien Sie vorsichtig, wenn Sie E-Mails von erhalten unbekannte Empfänger, deren Identität fraglich ist;
F) Unterlassen Sie es, Dokumente mit Daten wegzutragen personenbezogene Daten außerhalb des Firmensitzes in jeglicher Form, außer dazu befugte Personen;
G) Einhaltung der Regeln zum Schutz personenbezogener Daten im Zusammenhang mit der Wahrnehmung dienstlicher Aufgaben verarbeitet werden enthalten in Visitenkarten und darin aufbewahrten Notizbüchern und Kalendern in schriftlicher oder elektronischer Form;
H) Fehlen einer unabhängigen Vervielfältigung von Ersatzschlüsseln Zutritt zu Räumlichkeiten auf dem Firmengelände,
I) Keine Änderungen am bestehenden Inhalt Insbesondere Siegel mit personenbezogenen Daten Hinzufügen oder Entfernen von Schildern, Erstellen weiterer Schilder auf eigene Faust oder neue Siegel, wobei regelmäßige oder dauerhafte Änderungen an bestehenden vorgenommen werden Siegel untereinander;
J) Stellen Sie den Computermonitor so ein, dass dies unmöglich ist Einsichtnahme der angezeigten personenbezogenen Daten durch Unbefugte in einem Bürozimmer übernachten.
10. RegelnArchivierung und Speicherung gesammelte Dokumentation mit personenbezogenen Daten
10.1. Der Hauptsitz des Unternehmens befindet sich Räume für die Archivierung von Dokumenten. Das Unternehmen ergreift Schritte, um es zu reduzieren unbefugten Personen den Zugang zu den dafür vorgesehenen Räumen gestattet elektronische Zugangskontrolle, Verhinderung Unbefugte haben Zugriff auf die Dokumentation.
10.2. Für die Archivierung der Dokumentation stehen Räume zur Verfügung gegen unbefugten Zugriff durch Unbefugte gesichert unter anderem durch: Aufbewahrung der Dokumentation in verschlossenen Schränken und Den Schlüssel nur den Mitarbeitern anvertrauen und den Zugriff darauf autorisieren Dokumentation. Die Schlüssel zu den Schränken werden an unzugänglichen Orten aufbewahrt für Unbefugte; Verbot, Schlüssel mit anderen Personen zu teilen die keine Mitarbeiter des Unternehmens sind.
10.3. Nicht verwendete Dokumente werden archiviert während des laufenden Betriebs des Unternehmens. UM Verlegung der Dokumentation in einen für Archivzwecke geeigneten Raum Die Entscheidung treffen die Leiter der einzelnen Organisationseinheiten oder der Präsident Vorstand.
10.4. Dokumente, die personenbezogene Daten in Papierform enthalten werden in Ordnern, Ordnern oder Hüllen oder auf andere Weise aufbewahrt vom Leiter der Organisationseinheit übernommene Methode i in einer vom Abteilungsleiter genehmigten Weise sortiert werden organisatorisch. Sie können sich nicht in einem Ordner befinden Dokumente, die personenbezogene Daten zur Verarbeitung enthalten Berechtigt sind Mitarbeiter einer bestimmten Organisationseinheit und Dokumente, die personenbezogene Daten zur Verarbeitung enthalten Mitarbeiter einer bestimmten Organisationseinheit sind nicht berechtigt. Wenn eine Dokumententrennung möglich ist, teilen Sie uns dies bitte mit im vorigen Satz bezeichnet, der Leiter der Organisationseinheit im Einvernehmen mit Ein Vorstandsmitglied trifft weitere technische und organisatorische Maßnahmen Verhindern, dass Mitarbeiter Zugriff auf die Daten haben nicht autorisiert.
10.5. Dokumente, die personenbezogene Daten vor Ort enthalten, inkl wo sich die Arbeitsplätze der Mitarbeiter befinden, werden gespeichert, nachdem die Mitarbeiter ihre Arbeit beendet haben abschließbare Schränke und Schubladen.
10.6. Sofern in dem Raum vorhanden, in dem sie sich befinden Mitarbeiterarbeitsplätze, Unbefugte Verarbeitung personenbezogener Daten einer bestimmten Kategorie gemäß der Anlage Nr. 9 der Richtlinie: Mitarbeiter ergreifen alle erforderlichen Maßnahmen Maßnahmen zur Verhinderung des Zugriffs durch Unbefugte zu personenbezogenen Daten.
10.7. Darüber hinaus gelten die in diesem Absatz vorgesehenen Regeln im Falle der Speicherung personenbezogener Daten außerhalb des Firmensitzes, auf die im Abschnitt verwiesen wird 3.4 Richtlinien.
11. Löschung personenbezogener Daten
11.1. Das Unternehmen speichert personenbezogene Daten für einen Zeitraum von höchstens als für die Zwecke der Verarbeitung erforderlich ist. Nach Ablauf Innerhalb des im Register angegebenen Zeitraums löscht das Unternehmen personenbezogene Daten permanent.
11.2. Das Unternehmen löscht personenbezogene Daten unter Verwendung seiner eigenen Mittel und Mechanismen oder beauftragt die Löschung personenbezogener Daten kooperierende Unternehmen, die bereitstellen ausreichende Garantien für die Umsetzung geeigneter Maßnahmen technische und organisatorische Maßnahmen zur Gefahrenabwehr Verstöße oder Sicherheitsverletzungen personenbezogener Daten.
11.3. Personenbezogene Daten, die in Dokumenten enthalten sind, die aufgrund von die Notwendigkeit, die Kontinuität der Zusammenarbeit mit Auftragnehmern aufrechtzuerhalten, Kunden und anderen Unternehmen, aktuell und korrekt Betrieb des Unternehmens oder aus anderen wichtigen Gründen kann nach der in angegebenen Zeit nicht gelöscht werden Registrieren Sie sich, unterliegen der Anonymisierung.
11.4. Ungeachtet der Bestimmungen des Abschnitts 11.1-oben, Unternehmen löscht personenbezogene Daten in den im Abschnitt genannten Fällen 7.13 Richtlinien.
11.5. Das Unternehmen, das berechtigt ist, personenbezogene Daten zu löschen Server ist der IT-Systemadministrator.
11.6. Vor der Übertragung von Computern und Geräten an eine externe Stelle mobile Geräte, Datenträger mit personenbezogenen Daten, zur Zerstörung oder Reparatur vorgesehen sind, Systemadministrator IT löscht die auf dem Gerät gespeicherten personenbezogenen Daten. Falls Unfähigkeit, personenbezogene Daten zu löschen, Administrator Das IT-System ergreift die notwendigen vorbeugenden Maßnahmen Zugriff auf die Daten durch Unbefugte, z.B. verschlüsselt oder anonymisiert Daten.
12. Verletzung des Schutzes personenbezogener Daten
12.1. Bei Verstößen oder versuchten Verstößen gegen die Verarbeitungsregeln i Der Schutz personenbezogener Daten wird insbesondere berücksichtigt, aber nicht nur:
A) Verletzung der Sicherheit von IT-Systemen, Software und Netzwerkressourcen, in denen sie verarbeitet werden Persönliche Daten;
B) Weitergabe personenbezogener Daten an Unbefugte;
C) Verarbeitung personenbezogener Daten, die nicht dem beabsichtigten Umfang entspricht i der Zweck ihrer Verarbeitung;
D) unbefugte oder zufällige Beschädigung, Verlust, Zerstörung oder Änderung personenbezogener Daten.
12.2. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird das Unternehmen beurteilt, ob der Verstoß ein Risiko hätte darstellen können Verletzung der Rechte und Freiheiten natürlicher Personen und schätzt das Ausmaß ein Risiko.
12.3. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird das Unternehmen ohne unangemessene Verzögerung – wenn möglich, nein später als 72 Stunden nach Entdeckung des Verstoßes – meldet sie der zuständigen Aufsichtsbehörde, sofern sie nicht unzureichend sind Der Verstoß führt voraussichtlich zu einem Risiko einer Rechtsverletzung oder Freiheit natürlicher Personen.
12.4. Unabhängig von den im Abschnitt genannten Pflichten 12.2-oben, Das Unternehmen dokumentiert sämtliche Datenschutzverstöße personenbezogene Daten, einschließlich der Umstände der Verletzung des Schutzes personenbezogener Daten, seine Auswirkungen und ergriffene Abhilfemaßnahmen.
13. Vertrauensvolle Abwicklung
13.1. Das Unternehmen kann die Datenverarbeitung beauftragen personenbezogene Daten nur im Rahmen eines Vertrags an den Auftragsverarbeiter weiterzugeben schriftlich oder in einem anderen Rechtsinstrument (z.B. Verordnungen o.ä.) abgeschlossen werden Allgemeine Regeln für die Weitergabe personenbezogener Daten) nach Bedarf angegeben in der Kunst. 28 Abschnitt 3 DSGVO.
13.2. Das Unternehmen nutzt ausschließlich solche Dienste Prozessoren, die bereitstellen ausreichende Garantien für die Umsetzung geeigneter Maßnahmen technisch und organisatorisch, damit die Verarbeitung den Anforderungen der DSGVO entspricht i schützt die Rechte von Personen, auf die sich personenbezogene Daten beziehen. In Ordnung Überprüfung der Erfüllung der im Satz genannten Verpflichtung vorher, das Unternehmen vor der Beauftragung der Verarbeitung potenziellen Auftragsverarbeiter, wann immer möglich erhält Informationen über die Grundsätze des Schutzes personenbezogener Daten, die von angewendet werden potenzieller Auftragsverarbeiter und die Praktiken dieses Unternehmens bezüglich der Sicherheit personenbezogener Daten.
13.3. Einzelheiten und Regeln für die Weitergabe personenbezogener Daten werden festgelegt der entsprechende Vertrag oder das entsprechende Rechtsinstrument.
14. Übermittlung personenbezogener Daten innerhalb Unternehmen
14.1. Unterlagen, die personenbezogene Daten enthalten, werden zwischen übertragen einzelne Organisationseinheiten und Mitarbeiter, darunter: Grundsätze des Schutzes personenbezogener Daten, die in dieser Richtlinie angegeben sind.
14.2. In Ermangelung einer Genehmigung des Abholmitarbeiters Dokument zur Verarbeitung personenbezogener Daten wird auf diese Weise übermittelt Verhinderung der Verletzung personenbezogener Daten bei deren Nutzung ausreichende technische und organisatorische Ressourcen:
A) E-Mail-Nachrichten werden an einen anderen Mitarbeiter gesendet unberechtigte Verarbeitung der Daten nach vorheriger Löschung Persönliche Daten aus E-Mail-Fußzeilen und deren Inhalt oder Verschlüsselung Daten in einer Weise, die eine Identifizierung einer Person unmöglich macht, auf die sich die Daten beziehen;
B) Papier- und elektronische Dokumente, die an einen anderen Mitarbeiter übertragen werden einer unbefugten Verarbeitung personenbezogener Daten unterliegt Anonymisierung oder Verschlüsselung von Daten;
C) Dokumente in Papierform werden an die Person übermittelt, an die die Daten weitergegeben werden Personenbezogene Daten werden durch einen anderen unbefugten Mitarbeiter übertragen B. für die Datenverarbeitung, werden in Umschlägen oder undurchsichtigen verpackt Dateien werden so beschrieben, dass eine Identifizierung unmöglich ist Adressat.
14.3. Papierdokumente werden an die Person übermittelt, deren personenbezogene Daten Bedenken durch einen anderen Mitarbeiter gespeichert werden und so transportiert werden, dass eine Übergabe an den Empfänger ausgeschlossen ist Verletzung des Schutzes personenbezogener Daten.
15. Übermittlung von Daten in ein Drittland
15.1. Das Unternehmen übermittelt keine personenbezogenen Daten an den Staat ein Dritter mit Sitz außerhalb des Gebiets der Europäischen Union oder der Europäischen Union Wirtschaftsraum, sofern dies nicht der Fall ist Anfrage der Person, auf die sich die personenbezogenen Daten beziehen.
15.2. Um Situationen eines unbefugten Datenexports zu vermeiden insbesondere im Zusammenhang mit der Nutzung öffentlich verfügbarer Daten Cloud-Dienste überprüft das Unternehmen regelmäßig das Nutzerverhalten und stellt sie, wann immer möglich, im Einklang mit dem Gesetz zur Verfügung datenschutzäquivalente Lösungen.
16. Schlussbestimmungen
16.1. Die Richtlinie tritt am Tag der Bekanntgabe in Kraft.
16.2. Für Angelegenheiten, die nicht in der Richtlinie geregelt sind, gelten die entsprechenden Bestimmungen Bestimmungen der DSGVO und allgemeingültiger Rechtsvorschriften Polnisch und europäisch.
16.3. Jegliche Änderungen oder Ergänzungen der Richtlinie bedürfen ihrer eigenen Wirksamkeit der Schriftform unter Androhung der Nichtigkeit. Änderungen oder Ergänzungen der Police treten frühestens in Kraft als innerhalb von 7 Tagen ab dem Datum ihrer Ankündigung.