Datenschutz

Richtlinie zum Schutz personenbezogener Daten und zur Sicherheit von Informationssystemen

Dieses Dokument wurde für Patroners Sp. z o. o. mit Sitz in Luboń, ul. Kwiatowa 41a, registriert unter NIP-Nummer: 783-18-53-424 (im Folgenden bezeichnet alsAdministrator).

Inhalt

  1. Terminologie
    1.1. Eintrag
    1.2. Die Grundlagen zum Erstellen eines Dokuments
    1.3. Informationssysteme als Determinante des Niveaus der Unternehmenssicherheit
    1.4. Bedrohungen der IT-Sicherheit
    1.5. Die Hauptziele der IT-Systemsicherheit
  2. Vorstellung der Sicherheitspolitik 
    2.1. Die Bestimmung
    2.2. Sicherheitsregeln mit globalem Ansatz
    2.3. Gestaltung der Datensicherheit durch den Administrator
    2.4. Anwendungsschema
    2.5. Überprüfung der Sicherheitsrichtlinie für Informationssysteme
  3. Grundlegende Ziele der SICHERHEIT 
    3.1. Sicherheitskultur
    3.2. Kundendatenverordnung
    3.3. Zugriffskontrolle und Berechtigungen
    3.4. Ermöglicht die Rückverfolgung von Vorgängen
  4. Datenschutzrichtlinie
    4.1. SCHUTZ PERSONENBEZOGENER DATEN BEIM ADMINISTRATOR – SCHUTZVERFAHREN. 
    4.1.1. Grundlagen des Schutzes personenbezogener Daten
    4.1.2. Datenschutzrichtlinie
    4.1.3. Verwendete Datenschutzsysteme
    4.2. INVENTAR
    4.2.1. Daten der besonderen Kategorie und kriminelle Daten
    4.2.2. Nicht identifizierte Daten
    4.2.3. Profilierung
    4.2.4. Gemeinsame Verantwortlichkeit
    4.3. VERZEICHNIS DER DATENVERARBEITUNGSTÄTIGKEITEN (im Folgenden: „RCPD“)
    4.4. RECHTSGRUNDLAGEN FÜR DIE VERARBEITUNG
    4.5. VERFAHREN ZUM UMGANG MIT INDIVIDUELLEN RECHTEN UND INFORMATIONSPFLICHTEN
    4.6. INFORMATIONSPFLICHTEN
    4.7. ANFRAGEN NATÜRLICHER PERSONEN, DEREN DATEN VOM ADMINISTRATOR VERARBEITET WERDEN
    4.8. MINIMIERUNG DER DATENVERARBEITUNG
    4.8.1. Minimierung des Zugriffs auf personenbezogene Daten
    4.8.2. Minimierung der Datenverarbeitungszeit
    4.8.3. Minimierung des Umfangs der Datenverarbeitung
    4.9. SICHERHEIT DER DATENVERARBEITUNG DURCH DEN ADMINISTRATOR
    4.9.1. Risikoanalyse
    4.9.2. Datenschutz-Folgenabschätzungen
    4.9.3. Vom Administrator ergriffene Sicherheitsmaßnahmen
    4.9.4. Meldung von Verstößen
    4.10. STELLEN, DIE PERSONENBEZOGENE DATEN VERARBEITEN (SOGENANNTE „VERARBEITER“ ODER „VERARBEITER“)
    4.11. DATENÜBERTRAGUNG IN DRITTLÄNDER
    4.12. DATENSCHUTZ-DESIGN
  5. Dokumentenklassifizierung 
    5.1. Eigentum, Aktualisierung und Überprüfung

1. Terminologie

1.1 Einleitung

Dieses Dokument mit dem Titel „Personal Data Protection and Information Systems Security Policy“ (im Folgenden: „Politik“) ist eine Karte der Anforderungen, Regeln und Vorschriften zum Schutz personenbezogener Daten sowie zur Informationssicherheit in den vom Administrator verwendeten Systemen. Die Richtlinie ist eine Beschreibung der Sicherung der Informationssysteme des Administrators sowie eine Richtlinie zum Schutz personenbezogener Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen zur Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „ZEIGT“).

1.2. Die Grundlagen zum Erstellen eines Dokuments

Der Administrator, der seine ihm durch die DSGVO auferlegten Verpflichtungen in der in diesem Dokument angegebenen Weise sowie die Bestimmungen zur Einführung der DSGVO in die polnische Rechtsordnung im Sinne der oben genannten Rechtsakte erfüllt, ist auch:

  • Mitarbeiter des Administrators,
  • Prozesse der Geschäftsmethode des Administrators,
  • Kenntnisse über die Kunden des Administrators,
  • Geschäftspartner des Administrators und seine Beziehungen zu ihnen.

Das Vertrauen zwischen Kunden und unserem Unternehmen und unseren Mitarbeitern sowie unser Erbe sind die Elemente, die den Wert des Administrators ausmachen, uns auszeichnen und unsere Identität schaffen, unsere Kultur widerspiegeln. Es ist unsere Pflicht, sie zu schützen.

1.3. Informationssysteme als Determinante des Niveaus der Unternehmenssicherheit

Informationssysteme entwickeln sich täglich weiter, sie erleichtern den Informationsaustausch. Aus diesen Gründen sind die IT-Systeme des Administrators zum Hauptwerkzeug geworden in:

  • Entwicklung und Weitergabe unseres Erbes, wodurch wir dynamischer und effektiver sein können;
  • Die Aufrechterhaltung langfristiger und vertrauensvoller Beziehungen zu unseren Kunden und Mitarbeitern ermöglicht es uns, eine hohe Effizienz sicherzustellen und Dienstleistungen anzubieten, die auf die Bedürfnisse und Gewohnheiten jeder Person zugeschnitten sind.

Unser IT-System ist ein Schlüsselfaktor für die Entwicklung unseres Erbes und die Entwicklung eines vollständigen Kundenvertrauens.

Wir sind uns jedoch bewusst, dass unsere IT-Systeme heutzutage allen Arten von Bedrohungen ausgesetzt sind, die im Falle eines Vorfalls negative Folgen für unser Geschäft haben können. Daher wenden wir die gebotene Sorgfalt an, um sie angemessen zu schützen, und stellen uns immer wieder neuen Herausforderungen Tag für Tag, darunter auch das Bestreben, die Sicherheit der von uns eingesetzten IT-Systeme stetig zu erhöhen.

1.4. Bedrohungen der IT-Sicherheit

Die Höhe des IT-Sicherheitsrisikos wird auf Basis einer globalen strategischen Risikolandkarte ermittelt. Die wichtigsten IT-Sicherheitsbedrohungen sind:

  • Unfähigkeit des Informationssystems in einem geschäftskritischen Moment;
  • Unfähigkeit, internen Missbrauch in IT-Systemen zu erkennen;
  • Entscheidungsfehler aufgrund falscher Finanzdaten;
  • Datenverlust oder Offenlegung von Kundendatensätzen;
  • Verlust des Wettbewerbsvorteils wie oben das Ergebnis eines Datenlecks;

Unser Erbe und die Informationssysteme, die unsere kritischen Geschäftsprozesse unterstützen, sind in Sicherheitsbedrohungen enthalten.

1.5. Die Hauptziele der IT-Systemsicherheit

Ja, um Risiken zu vermeiden, müssen wir unsere sensiblen Informationssysteme in der Praxis schützen. Diese Strategie ist in der Sicherheitsrichtlinie für Informationssysteme enthalten und bezieht sich auf die wichtigsten Sicherheitsziele, die darauf abzielen, das Risiko auf ein akzeptables Niveau zu reduzieren.

Die wichtigsten Sicherheitsziele werden in Kapitel 4 dieses Dokuments ausführlich beschrieben.

Die Richtlinie zum Schutz personenbezogener Daten und zur Sicherheit von Informationssystemen ist das grundlegende Dokument der Unternehmenssicherheit des Administrators, angepasst an strategische Bedrohungen und ein Dokument im Einklang mit der DSGVO.

2. Vorstellung der Sicherheitspolitik

2.1. Die Bestimmung

Die Richtlinie zum Schutz personenbezogener Daten und zur Sicherheit von Informationssystemen des Administrators zielt darauf ab, das Vertrauen der Benutzer (Mitarbeiter, Kunden, Partner) in die Informationssysteme der bereitgestellten Dienste zu wecken, zu fördern und zu stärken.

2.2. Sicherheitsregeln mit globalem Ansatz

Unter Berücksichtigung der globalen Sicherheit der Informationssysteme des Administrators unterscheiden wir die folgenden Motivationsprinzipien:

  • Realismus: Die IT-Sicherheitsrichtlinie wird schrittweise aufgebaut, an die Größe des Administrators angepasst und strebt nach schrittweiser Verbesserung (dynamischer Ansatz),
  • Pragmatismus: Lösungen (Regeln, Maßnahmen, Verfahren) werden so angewendet, dass der richtige Kompromiss zwischen Effizienz, Einfachheit und Kostenkontrolle gefunden wird, mit Fokus auf Kundenservice,
  • Verantwortung: Die Organisation des Sicherheitsmanagementsystems ist an den Administrator angepasst, autonom und verantwortlich, der in Synergie von gemeinsamem Interesse handelt,
  • Konsistenz: Die Aktivitäten der mit dem Administrator zusammenarbeitenden Personen stehen im Einklang mit der im Tätigkeitsbereich des Administrators geltenden Sicherheit, unter Berücksichtigung der Verbesserung der Zusammenarbeit und einer gemeinsamen Vision (globaler Ansatz),
  • Antizipation: größere Vorhersagesicherheit (bei IT-Projekten, Service-Definitionen, Neuprojekterstellung oder deren Weiterentwicklung), spezifischere Aktivitäten und Anwendungen können effektiv und dauerhaft angepasst werden.

2.3. Gestaltung der Datensicherheit durch den Administrator

Die Sicherheitsarchitektur des Administrators basiert auf einem Musterreferenzdokument. Diese Vorlage besteht aus:

  • dieses Dokuments, das strategische Punkte in Bezug auf die Sicherheit identifiziert
    beim Administrator und deren Übersetzung in grundlegende Ziele: Es ist grundlegend für alle Fragen der Sicherheit des Administrators;
  • Sicherheitsstandards, die das Sicherheitsniveau definieren, das durch die Umsetzung der vom Administrator festgelegten grundlegenden Sicherheitsziele auf verschiedene Weise erreicht wird, einschließlich der Verwendung von Tools und Best Practices, die dem Administrator bekannt sind;
  • Verfahren und Betriebsarten, die technisch beschreiben, wie Sicherheitsmaßnahmen umgesetzt werden.

Diese Sicherheitsarchitektur wird vom Administrator implementiert und hat die Form der Richtlinie zum Schutz personenbezogener Daten und der Sicherheit von Informationssystemen, um die Umsetzung bestimmter Ziele zu ermöglichen.

2.4. Anwendungsdiagramm

Dieses Dokument gilt für alle vom Administrator verwendeten Informationssysteme, insbesondere:

  • alle Mitarbeiter des Administrators;
  • alle Partner (Unternehmer, einschließlich Handelsunternehmen, Dienstleister, Subunternehmer);
  • alle Prozesse und Anwendungen;
  • alle Komponenten von IT-Systemen (Bürorechner, Laptops, Smartphones, Tablets etc.).

2.5. Überprüfung der Sicherheitsrichtlinie für Informationssysteme

Um ihre ständige Nützlichkeit, Angemessenheit und Wirksamkeit zu gewährleisten, wird die Richtlinie zum Schutz personenbezogener Daten und zur Sicherheit von Informationssystemen des Administrators jedes Mal aktualisiert 2 Jahre, oder bei wesentlichen Änderungen im Prozess der Neubewertung ihrer Legitimität und im Prozess der Bestimmung strategischer Risiken.

3. Grundlegende Ziele der SICHERHEIT

3.1. Sicherheitskultur

Personen, die mit dem Administrator zusammenarbeiten, sind die Hauptelemente in Informationssicherheitssystemen. Sie sind das Rückgrat der Sicherheitsstrategie. Ihre Handlungen können jedoch auch zu schweren Unfällen führen, da sie die Risiken nicht kennen und die bewährten Verfahren nicht befolgen.

Folglich sollte ein Informations- und Schulungsprogramm implementiert werden, um die Sicherheitskultur unter allen Mitarbeitern des Administrators, einschließlich Dritter (Partner, Subunternehmer usw.), während der gesamten Zeit, die er beim Administrator und im Ausland verbracht hat, zu verbreiten.

3.2. Gesetzliche Regelungen zu Kundendaten

IT-Systeme unterliegen zahlreichen gesetzlichen Vorschriften (Schutz personenbezogener Daten, Finanzinformationen) oder Datenschutzvorschriften (Kreditkartenzahlung).

Gesetzliche Regelungen sind keine Option, sondern Pflicht. Daher muss die behördliche Überwachung in Bezug auf die IT-Sicherheit den lokalen Gesetzen entsprechen. Rechtsberatung sollte von Rechtsberatern eingeholt werden.

Darüber hinaus müssen Informationssysteme alle erforderlichen Sicherheitsmaßnahmen unter Berücksichtigung regulatorischer Anforderungen anwenden.

3.3. Zugriffskontrolle und Berechtigungen

Das Informationssystem speichert die meisten Daten, außerdem sind einige Informationen aufgrund ihres Inhalts, aber auch aufgrund sich ständig ändernder IT-Bedrohungen, anfälliger für Lecks als andere. Einige dieser Daten unterliegen Vorschriften oder gesetzlichen Verpflichtungen (Kundendaten etc.). Der Zugang zu vertraulichen Informationen muss natürlich strikt beschränkt werden.

Dementsprechend werden Verfahren und betriebliche Maßnahmen eingeführt, um den Zugriff auf das Informationssystem erforderlichenfalls zu kontrollieren. Dies sind die folgenden Regeln:

  • eindeutige Identifizierung von Benutzern,
  • sichere Benutzerauthentifizierung, was bedeutet, dass die Authentifizierungsmittel personenbezogen sind und das Sicherheitsniveau gewährleistet ist,
  • geringere Privilegien, was bedeutet, dass Benutzer Rechte haben, die an ihre Position angepasst sind, nicht mehr und nicht weniger,
  • das Bedürfnis nach Wissen – das bedeutet, dass Benutzer nur auf die Dienste zugreifen können, die sie für ihre Arbeit benötigen, nicht mehr und nicht weniger.

3.4. Ermöglicht die Rückverfolgung von Vorgängen

Zahlreiche sensible Vorgänge durchlaufen das Informationssystem. Erwähnenswert sind hier Finanzoperationen, Operationen auf dem Kunden- oder Mitarbeitermanagement. Diese Vorgänge sind nach einem angepassten Durchlaufverfahren zu überwachen.

Folglich wird die Rückverfolgbarkeit sensibler Vorgänge gewährleistet durch:

  • Definition der Protokollaufzeichnungsrichtlinie, angepasst an die Bedeutung der Überwachung von Vorgängen und die Einhaltung der geltenden gesetzlichen Anforderungen,
  • Definieren und Implementieren automatischer Lösungen für die sichere Verwaltung aller Aspekte des Protokollverwaltungsprozesses (Generierung, Sammlung, Speicherung, Archivierung, Speicherzeit),

4. Datenschutzrichtlinie

Die Richtlinie enthält in ihrem Inhalt:

  1. Beschreibung der für den Administrator geltenden Datenschutzbestimmungen,
  2. ggf. auch Verweise auf detailliertere Anlagen (Musterverfahren oder Anweisungen zu einzelnen Bereichen im Bereich des Schutzes personenbezogener Daten, die in separaten Dokumenten geklärt werden müssen).

Der Vorstand des Administrators ist für die Umsetzung und Aufrechterhaltung dieser Richtlinie verantwortlich, und innerhalb des Vorstands:

  1. ein Vorstandsmitglied oder Vorstandsmitglieder, die mit der Aufsicht über den Bereich des Schutzes personenbezogener Daten betraut sind,
  2. eine von der Geschäftsführung beauftragte Person, die die Einhaltung des Schutzes personenbezogener Daten sicherstellt.

Für die Anwendung dieser Richtlinie sind verantwortlich:

  1. Administrator,
  2. alle Mitarbeiter des Administrators.

Der Administrator sollte auch sicherstellen, dass das Verhalten der Auftragnehmer mit dieser Richtlinie in angemessenem Umfang eingehalten wird, insbesondere in Fällen, in denen wir mit der Übermittlung personenbezogener Daten durch den Administrator an sie zu tun haben. Zu diesem Zweck schließt der Administrator mit Auftragnehmern, die Zugang zu den personenbezogenen Daten der Kunden des Administrators erhalten, Verträge zur Beauftragung der Verarbeitung personenbezogener Daten ab.

4.1. Schutz personenbezogener Daten beim Administrator - Schutzverfahren.

4.1.1. Grundlagen des Datenschutzes:

    1. Rechtmäßigkeit – Der Administrator kümmert sich um den Schutz der Privatsphäre und verarbeitet Daten in Übereinstimmung mit dem Gesetz und nur auf der Grundlage des geltenden Rechts.
    2. Sicherheit – Der Administrator gewährleistet ein dem Bereich seiner Tätigkeit entsprechendes Datensicherheitsniveau, indem er ständig Maßnahmen in diesem Bereich ergreift (der Administrator nutzt die Dienstleistungen von Stellen, die sich professionell mit Datenschutzfragen befassen, wie z. B. Anwaltskanzleien).
    3. Rechte von Einzelpersonen – Der Administrator ermöglicht es den natürlichen Personen, deren Daten er verarbeitet, ihre Rechte auszuüben, die ihnen durch die Bestimmungen der DSGVO gewährt werden, und setzt diese Rechte um, indem er alle in dieser Richtlinie beschriebenen Datenschutzstufen einhält.
    Rechenschaftspflicht – Der Verwalter dokumentiert, wie er seine Pflichten erfüllt, damit er die Einhaltung jederzeit nachweisen kann. Die Dokumentation wird an ordnungsgemäß geschützten Orten gespeichert, wobei die Sicherheitsregeln gegen Datenlecks eingehalten werden.

4.1.2. Datenschutzrichtlinie

Der Administrator verarbeitet personenbezogene Daten, wobei zuallererst zu berücksichtigen ist, dass die Datenverarbeitung stattfinden sollte:

  1. auf gesetzlicher Grundlage und in Übereinstimmung mit dem Gesetz (Legalismus),
  2. zuverlässig und unter Wahrung der Rechte des Einzelnen (Zuverlässigkeit),
  3. auf transparente Weise für die betroffene Person, wobei zu berücksichtigen ist, dass natürliche Personen nur eine begrenzte Zeit haben, sich mit den vom Administrator verwendeten Datenverarbeitungsmethoden vertraut zu machen (Transparenz),
  4. für bestimmte Zwecke und nicht für unbestimmte Zwecke – Datenverarbeitung „für die Zukunft“ (Minimierung),
  5. nur soweit erforderlich (Angemessenheit),
  6. sorgfältig darauf achten, dass die vom Administrator verarbeiteten Daten der Realität entsprechen (Korrektheit),
  7. nicht länger als es notwendig ist, um die Verpflichtungen zu erfüllen, die sich aus der rechtlichen oder tatsächlichen Beziehung zwischen dem Administrator und der anderen Partei ergeben, und nur in dem Umfang, in dem der Administrator die natürliche Person über den Zeitpunkt informiert hat, zu dem die Daten verarbeitet werden (Zeitraum) ,
  8. Gewährleistung einer angemessenen Datensicherheit aufgrund potenzieller Risiken und Bedrohungen im Zusammenhang mit Operationen, die mit personenbezogenen Daten durchgeführt werden (Sicherheit).

4.1.3. Verwendete Datenschutzsysteme

  1. Datenbestand. Der Administrator identifiziert personenbezogene Datenressourcen, Datenklassen, Abhängigkeiten zwischen Datenressourcen, identifiziert Möglichkeiten zur Verwendung von Daten (Inventar), einschließlich:
    • Fälle der Verarbeitung von Daten von Personen, die vom Administrator nicht identifiziert wurden (nicht identifizierte Daten),
    • Fälle der Verarbeitung von Daten von Kindern,
    • Profilierung,
  2. Register der Verarbeitung personenbezogener Daten. Der Administrator entwickelt, pflegt und verwaltet ein Verzeichnis der Aktivitäten, die mit personenbezogenen Daten beim Administrator durchgeführt werden (im Folgenden: “Registrieren“Die”RCPD“). Das Register ist ein Instrument zur Abrechnung der Übereinstimmung der Verarbeitung personenbezogener Daten durch den Administrator mit den allgemein geltenden gesetzlichen Bestimmungen.
  3. Rechtliche Grundlagen. Der Administrator liefert, identifiziert und überprüft die Rechtsgrundlagen für die Datenverarbeitung und registriert sie im Register, einschließlich:

     

    • unterhält ein Einwilligungsmanagementsystem für die Datenverarbeitung und die Fernkommunikation, um die Möglichkeit der Kommunikation mit natürlichen Personen für bestimmte Zwecke einfach festzustellen;
    • rechtfertigt Fälle, in denen der Administrator Daten auf der Grundlage des berechtigten Interesses des Administrators verarbeitet.
  4. Umgang mit Individualrechten. Der Administrator erfüllt die Informationspflichten gegenüber den Personen, deren Daten er verarbeitet, und stellt die Wahrnehmung ihrer Rechte sicher (Artikel 12 Absatz 3 der DSGVO), indem er die diesbezüglich erhaltenen Anfragen erfüllt, einschließlich:

     

    • Informationspflicht. Der Administrator stellt Personen die erforderlichen Informationen bei der Datenerhebung und in anderen Situationen zur Verfügung (in der Anfangsphase der Umsetzung der Bestimmungen der DSGVO legalisiert der Administrator die bestehende Datenbank im Rahmen der Benachrichtigung über neue Rechte, die natürlichen Personen durch die DSGVO gewährt werden). und organisiert und sichert die Dokumentation der Erfüllung dieser Verpflichtungen, um ihre Erfüllung im Falle einer möglichen Inspektion durch das Amt für den Schutz personenbezogener Daten nachweisen zu können,
    • Erledigung von Anfragen von Einzelpersonen. Der Administrator stellt die Möglichkeit sicher, an ihn gerichtete Anfragen von natürlichen Personen auszuführen, deren personenbezogene Daten er sowohl von ihm selbst als auch von seinen Auftragsverarbeitern verarbeitet (Pflichten der Auftragsverarbeiter, die sich aus Verträgen zur Beauftragung der Verarbeitung personenbezogener Daten ergeben),
    • Bearbeitung von Anfragen von Einzelpersonen. Der Administrator stellt angemessene finanzielle und personelle Ausgaben sowie Verfahren bereit, damit die Anfragen von Personen innerhalb der von der DSGVO geforderten Fristen und in der Weise umgesetzt werden, sowie dass ihre Ausführung jedes Mal ordnungsgemäß dokumentiert wird,
    • Meldung von Verstößen. Der Administrator wendet Verfahren an, mit denen festgestellt werden kann, ob Personen, die von einer festgestellten Datenschutzverletzung betroffen sind, benachrichtigt werden müssen. Zu diesem Zweck überwacht ein Mitglied der Geschäftsführung oder eine hierfür bestimmte Person die Datenverarbeitungsvorgänge derart, dass eine Meldung von Verstößen unverzüglich, jedoch stets innerhalb der vom allgemein geltenden Recht vorgegebenen Fristen erfolgen kann.
  5. Minimalisierung. Der Administrator hat Regeln und Methoden implementiert, die mit dem in den Bestimmungen der DSGVO festgelegten Minimierungsprinzip vereinbar sind, um keine unnötigen und redundanten personenbezogenen Daten zu verarbeiten. Der Administrator ist bestrebt, durch das Prinzip der Minimierung sicherzustellen, dass seine Datenbank keine Daten enthält, die für die korrekte Durchführung der rechtlichen und tatsächlichen Beziehungen zwischen dem Administrator und seinen Kunden und Auftragnehmern (privacy by default) nicht unbedingt erforderlich sind, einschließlich:
    • Regeln, die helfen, die Angemessenheit der Daten bereits in der Phase der Datenerhebung effektiv zu verwalten (Formulare, die angepasst sind, um keine redundanten Daten zu sammeln),
    • Regeln für die Verwaltung des Zugriffs auf die Daten natürlicher Personen, die einen solchen Zugriff beantragen, durch entsprechende Schulung der für diese Fragen zuständigen Personen im Tätigkeitsbereich des Administrators sowie Vorbereitung eines geeigneten Betriebsverfahrens,
    • Regeln für die Verwaltung des Zeitraums der Datenspeicherung und die Überprüfung der weiteren Nützlichkeit und folglich die sofortige Entfernung personenbezogener Daten natürlicher Personen, wenn die Rechtsgrundlage für eine solche Maßnahme abläuft.
  6. Sicherheit. Der Administrator gewährleistet ein angemessenes Maß an Datensicherheit, einschließlich:
    • führt die erforderlichen Risikoanalysen für Datenverarbeitungstätigkeiten oder deren Kategorien anhand einer geeigneten Risikoskala durch, die dem Verzeichnis der Datenverarbeitungstätigkeiten beigefügt ist,
    • führt Datenschutz-Folgenabschätzungen durch, wenn das Risiko der Verletzung der Rechte und Freiheiten natürlicher Personen aufgrund ihrer Art oder ihres Speicherorts hoch ist,
    • passt Datenschutzmaßnahmen an das erkannte Risiko an,
    • verfügt über interne Informationssicherheitsmanagementverfahren,
    • wendet Verfahren an, um eine identifizierte Datenschutzverletzung zu identifizieren, zu bewerten und an das Data Protection Office zu melden – verwaltet Vorfälle.
  7. Prozessoren. Der Administrator hat Regeln für die Überprüfung von Stellen, die Daten für den Administrator verarbeiten, Anforderungen an die Bedingungen der Verarbeitung (zu diesem Zweck wird mit jeder Stelle, die personenbezogene Daten verarbeitet, die vom Administrator anvertraut wird, ein Vertrag über die Beauftragung der Verarbeitung personenbezogener Daten geschlossen), Regeln für Überprüfung der Erfüllung von Betrauungsvereinbarungen, in erster Linie durch Anwendung der Anforderungen, die von den Verarbeitungseinheiten der vom Administrator verwendeten Sicherheitsverfahren vorgelegt werden, die Anhänge zu den Datenverarbeitungs-Betrauungsvereinbarungen im Namen des Administrators sind.
  8. Datenübermittlung an Drittländer. Der Administrator prüft, ob personenbezogene Daten natürlicher Personen nicht an Drittländer (d. h. außerhalb der Europäischen Union, Norwegen, Liechtenstein und Island) oder an internationale Organisationen übermittelt werden, und stellt die rechtmäßigen Bedingungen für eine solche Übermittlung sicher, falls sie stattfindet.
  9. Datenschutz durch Design. Der Administrator verwaltet Änderungen, die den Datenschutz betreffen, und kontrolliert sie in angemessener Weise gemäß den Bestimmungen zum Schutz personenbezogener Daten. Zu diesem Zweck berücksichtigen die Verfahren zum Starten neuer Projekte und Investitionen durch den Administrator die Notwendigkeit, die Auswirkungen der Änderung auf den Datenschutz, die Risikoanalyse und die Gewährleistung der Privatsphäre (einschließlich der Einhaltung der Verarbeitungszwecke, der Datensicherheit und -minimierung) zu bewerten. bereits in der Phase der Planung einer Veränderung, Investition oder zu Beginn eines neuen Projekts.

Grenzüberschreitende Verarbeitung. Der Administrator prüft jedes Mal, ob eine grenzüberschreitende Verarbeitung personenbezogener Daten vorliegt, um alle gesetzlichen Verpflichtungen zu erfüllen, die dem Administrator in diesem Zusammenhang auferlegt werden.

4.2. Inventar

4.2.1. Daten der besonderen Kategorie und kriminelle Daten

Der Administrator identifiziert keine Fälle, in denen er Daten besonderer Kategorien oder krimineller Daten verarbeitet oder verarbeiten kann, daher ist es nicht erforderlich, Mechanismen zu unterhalten, die darauf abzielen, die Konformität der Verarbeitung dieser Kategorien personenbezogener Daten mit dem Gesetz zu gewährleisten.

4.2.2. Nicht identifizierte Daten

Der Administrator erkennt Fälle an, in denen er nicht identifizierte Daten verarbeitet oder verarbeiten kann, und ergreift daher erforderlichenfalls alle erforderlichen Schritte, um die Umsetzung der Rechte von Personen zu erleichtern, auf die sich nicht identifizierte Daten beziehen.

4.2.3. Profilierung

Der Administrator identifiziert Fälle, in denen er eine Profilerstellung der verarbeiteten Daten durchführt, und ergreift daher alle Maßnahmen und Anstrengungen, um sicherzustellen, dass dieser Prozess in Übereinstimmung mit dem Gesetz und unter Wahrung der Rechte natürlicher Personen erfolgt, deren Daten verarbeitet werden.

4.2.4. Gemeinsame Verantwortlichkeit

Der Administrator identifiziert keine Fälle der Mitverwaltung personenbezogener Daten.

4.3. Verzeichnis der Datenverarbeitungstätigkeiten (im Folgenden: „RCPD“)

  1. RCPD Es ist eine Form der Dokumentation von Datenverarbeitungsaktivitäten, fungiert als Datenverarbeitungslandkarte und ist eines der Grundelemente, das die Umsetzung des Grundprinzips ermöglicht, auf dem das gesamte System zum Schutz personenbezogener Daten basiert, d. h. des Prinzips der Rechenschaftspflicht nicht nur Stellen, die die Datenverarbeitung kontrollieren, können klar bestimmen, wie die dem Datenverantwortlichen auferlegten Pflichten zu erfüllen sind, sondern der Verantwortliche könnte auch interne Verstöße erkennen und darauf reagieren.
  2. Der Administrator betreibt das RCPD, in dem er die Art und Weise der Verwendung personenbezogener Daten inventarisiert und überwacht.
  3. RCPD ist neben diesem Dokument, das der Administrator Mitarbeitern zu Bildungs- und Informationszwecken zur Verfügung stellt, eines der grundlegenden Tools, mit denen der Administrator die meisten Datenschutzverpflichtungen erfüllen kann.
  4. In der RCPD zeichnet der Administrator für jede Datenverarbeitungsaktivität, die der Administrator für die Zwecke der RCPD als getrennt betrachtet, mindestens Folgendes auf:
    • Aktivitätsname,
    • Organisationseinheit
    • Zweck der Verarbeitung,
    • Kategorien von Menschen,
    • Datenkategorien,
    • die Rechtsgrundlage für die Verarbeitung,
    • Datenquelle,
    • das geplante Datum der Löschung der Datenkategorie,
    • Name des gemeinsamen Verantwortlichen und seine Kontaktdaten (falls zutreffend),
    • Name des Auftragsverarbeiters und seine Kontaktdaten (falls zutreffend)
    • Kategorien von Empfängern (falls zutreffend),
    • Name des Systems oder der Software, die bei der Verarbeitung personenbezogener Daten verwendet wird,
    • Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gem. 32 Sek. 1 DSGVO,
    • Übermittlung an ein Drittland oder eine internationale Organisation (Name des Landes und der Körperschaft),
    • Wenn die Übertragung und Art. 49 Sek. 1, zweiter Absatz der DSGVO – Dokumentation geeigneter Garantien.
  5. Die RCPD-Vorlage ist als Anhang 1 der Richtlinie beigefügt – „Data Processing Activity Register Template“. Die RCPD-Vorlage enthält auch Spalten, die nicht gesetzlich vorgeschrieben sind. In den optionalen Spalten trägt der Administrator Informationen nach Bedarf und Möglichkeit ein, wobei zu berücksichtigen ist, dass der umfassendere Inhalt des RCPD die Verwaltung und Abrechnung der Datenschutzkonformität erleichtert. Der Administrator fügt dem Register eine Risikoskala hinzu, die es ermöglicht, die Risiken im Zusammenhang mit der Verarbeitung bestimmter Datenkategorien vollständiger zu definieren, um die Schutzmaßnahmen am besten an die Kategorie der verarbeiteten Daten anzupassen.

4.4. Rechtsgrundlagen für die Verarbeitung

  1. Der Administrator dokumentiert die Rechtsgrundlagen für die Datenverarbeitung im RCPD für einzelne Verarbeitungstätigkeiten, um das Register an die Änderung von Rechtsakten anpassen zu können, aus denen sich die Verpflichtungen ergeben.
  2. Durch die Angabe der allgemeinen Rechtsgrundlage in den Dokumenten (Einwilligung, Vertrag, gesetzliche Verpflichtung, lebenswichtige Interessen, legitimer Zweck des Administrators) legt der Administrator die Grundlage genau fest, wenn dies aufgrund der Datenkategorie und der Daten erforderlich und erforderlich ist Grundsatz der Transparenz. Auf diese Weise gibt der Administrator zum Beispiel den Umfang der eingeholten Zustimmung an, während er den Zweck darstellt, für den sie eingeholt wurde, und wann die Grundlage das Gesetz ist – unter Angabe einer bestimmten Bestimmung und anderer Dokumente, z.B. Vertrag, Verwaltungsvereinbarung, etc. – Angabe der Kategorien von Veranstaltungen, in denen sich ein berechtigter Zweck verwirklicht – Angabe eines konkreten Zwecks, z.B. Direktmarketing, Abwehr von Ansprüchen sowie der Möglichkeit, diese zu verfolgen.
  3. Der Administrator implementiert Zustimmungsmanagementmethoden, die die Registrierung und Überprüfung der Zustimmung einer Person zur Verarbeitung ihrer spezifischen Daten für einen bestimmten Zweck in jeder Phase der Datenverarbeitung ermöglichen, Zustimmung zur Fernkommunikation gemäß den Bestimmungen des Telekommunikationsgesetzes vom 16. Juli 2004 Gesetz (Gesetzblatt 2004 Nr. 171 Pos. 1800) und Gesetz vom 18. Juli 2002 über die Erbringung elektronischer Dienstleistungen (Gesetzblatt 2002 Nr. 144 Pos. 1204) sowie Registrierung der Verweigerung der Einwilligung, Widerruf der Einwilligung und ähnliche Aktivitäten (Widerspruch, Aufforderung zur Löschung von Daten etc.).

4.5. Verfahren zum Umgang mit individuellen Rechten und Informationspflichten

  1. Der Administrator kümmert sich um die Lesbarkeit der bereitgestellten Informationen und die Kommunikation mit den Personen, deren Daten er verarbeitet, um sicherzustellen, dass die Person die bereitgestellten Informationen gelesen hat und deren Inhalt vollständig versteht. Zu diesem Zweck arbeitet der Administrator mit externen Stellen (Rechtsberatern) zusammen, um Informationspflichten mit möglichst transparentem Inhalt und in Übereinstimmung mit den Bestimmungen des allgemein geltenden Rechts zu schaffen.
  2. Der Administrator erleichtert den Menschen die Ausübung ihrer Rechte durch Aktivitäten wie: das Posten von Links auf der Website des Administrators zu Informationen über die Rechte von Personen, deren Nutzung im Tätigkeitsbereich des Administrators sowie Methoden zur Kontaktaufnahme mit dem Administrator für diesen Zweck.
  3. Der Administrator achtet darauf, die gesetzlichen Fristen für die Erfüllung von Verpflichtungen gegenüber natürlichen Personen einzuhalten, deren personenbezogene Daten er verarbeitet, indem er geeignete Verfahren und Formulare anwendet, mit denen er Anfragen und Fragen an den Administrator zum Schutz personenbezogener Daten natürlicher Personen beantwortet deren Daten verarbeitet werden.
  4. Der Administrator führt angemessene Methoden zur Identifizierung von Personen ein, um individuelle Rechte und Informationspflichten auszuüben, so dass Unbefugte keinen Zugang zu personenbezogenen Daten erhalten, die sie nicht betreffen.
  5. Um die Rechte von Einzelpersonen auszuüben, stellt der Administrator Verfahren und Mechanismen bereit, um die vom Administrator verarbeiteten Daten bestimmter Personen zu identifizieren, um effektiv auf Anfragen natürlicher Personen zu reagieren und ihnen personenbezogene Daten über sie bereitzustellen sowie zu geben ihnen die Möglichkeit, Rechte wie Berichtigung von Daten, deren Löschung oder Übertragung (soweit möglich) auszuüben.
  6. Der Administrator dokumentiert die Behandlung von Informationspflichten, Benachrichtigungen und Anfragen natürlicher Personen, um die Transparenz der Aktivitäten des Administrators im Bereich des Schutzes personenbezogener Daten zu wahren.

4.6. Informationspflichten

  1. Der Administrator definiert in Absprache mit externen Stellen (Rechtsberatern) rechtmäßige und wirksame Wege zur Erfüllung von Informationspflichten.
  2. Der Administrator informiert die Person über die Verlängerung der Frist zur Prüfung des Antrags dieser Person um mehr als einen Monat (Artikel 12 Absatz 3 der DSGVO), falls es unmöglich ist, ihren Antrag vor Ablauf dieser Frist zu berücksichtigen.
  3. Der Administrator informiert die Person über die Verarbeitung ihrer Daten, wenn personenbezogene Daten direkt von dieser Person bezogen werden.
  4. Der Administrator informiert die Person über die Verarbeitung personenbezogener Daten, auch wenn personenbezogene Daten nicht direkt von dieser Person bezogen werden.
  5. Der Administrator legt die Methode fest, wie Personen nach Möglichkeit über die Verarbeitung nicht identifizierter Daten informiert werden (z. B. Information am Eingang des Gebäudes über den von der Videoüberwachung abgedeckten Bereich).
  6. Der Administrator informiert die Person über die geplante Änderung des Zwecks der Datenverarbeitung, wenn eine solche Situation eintritt.
  7. Der Administrator informiert die Empfänger der Daten über die Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten (es sei denn, dies würde einen unverhältnismäßigen Aufwand erfordern oder wäre unmöglich).
  8. Der Administrator informiert die Person über das Widerspruchsrecht sowie alle ihre Rechte, deren Quelle Kunst ist. 13 oder 14 DSGVO in Bezug auf die Verarbeitung ihrer personenbezogenen Daten spätestens beim ersten Kontakt mit dieser Person.
  9. Der Administrator benachrichtigt die Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten, wenn dadurch ein hohes Risiko der Verletzung der Rechte oder Freiheiten dieser Person entstehen kann.

4.7. Anfragen von natürlichen Personen, deren Daten vom Administrator verarbeitet werden

  1. Rechte Dritter. Durch die Umsetzung der Rechte der betroffenen Personen führt der Administrator Garantien zum Schutz der Rechte Dritter in Bezug auf den Schutz ihrer personenbezogenen Daten ein. In einer Situation, in der beispielsweise die Ausführung des Antrags einer Person auf eine Kopie von Daten oder das Recht auf Datenübertragung die Rechte und Freiheiten anderer Personen beeinträchtigen oder ihre rechtlichen Interessen (z. B. Rechte in Bezug auf den Schutz anderer Personen) erheblich verletzen könnte Personendaten, wenn der Administrator Dokumente bereitstellen müsste, die personenbezogene Daten der interessierten Partei enthalten, die auch personenbezogene Daten anderer Personen enthalten, die aus verschiedenen Gründen nicht anonymisiert werden können, geistige Eigentumsrechte, Geschäftsgeheimnisse oder Persönlichkeitsrechte), kann der Administrator dies verlangen Person, um Zweifel zu klären oder die Erfüllung der Anfrage abzulehnen.
  2. Weigerung, der Aufforderung nachzukommen. Der Administrator informiert die Person durch Zusendung des entsprechenden Formulars innerhalb eines Monats nach Erhalt der Anfrage über die Weigerung, die Anfrage zu prüfen, und über die Rechte der damit verbundenen Person, falls dies aus verschiedenen in diesem Dokument genannten Gründen der Fall ist oder sich direkt aus allgemein geltendem Recht (z. B. Steuerpflichten) ergeben, ist es unmöglich, dem Wunsch der Person nachzukommen.
  3. Zugriff auf personenbezogene Daten. Auf Anfrage der Person bezüglich des Zugangs zu ihren Daten teilt der Administrator der Person mit, ob er ihre Daten verarbeitet, und informiert die Person über die Einzelheiten der Verarbeitung gemäß Art. 15 DSGVO (Umfang der Verarbeitung entspricht der Informationspflicht bei Datenerhebung). Der Administrator gewährt der anfordernden Person Zugriff auf personenbezogene Daten, jedoch nur, wenn dadurch keine Verletzung der personenbezogenen Daten anderer Personen droht (keine Möglichkeit, personenbezogene Daten zu anonymisieren, die sich nicht direkt auf die anfordernde Person beziehen, oder das Risiko der Offenlegung a Geschäftsgeheimnis usw.). Der Zugriff auf die Daten kann durch Ausstellung einer Kopie der Daten erfolgen, mit der Maßgabe, dass jede weitere (nach der ersten) Kopie der personenbezogenen Daten eine Kopie ist, für die der Administrator angemessene Gebühren erheben kann, die durch den mit der Beschaffung verbundenen Aufwand gerechtfertigt sind und der betroffenen Person auszustellen.
  4. Einstellung der Verarbeitung. Der Administrator informiert die Person, dass er keine sie betreffenden Daten verarbeitet, wenn eine solche Person einen Antrag bezüglich ihrer Rechte gestellt hat.
  5. Korrektur von Daten. Der Administrator berichtigt falsche Daten auf Anfrage einer natürlichen Person, auf die sich die vom Administrator verarbeiteten personenbezogenen Daten beziehen. Der Administrator hat das Recht, die Berichtigung der Daten zu verweigern, es sei denn, die Person weist vernünftigerweise die Unrichtigkeit der Daten nach, deren Berichtigung sie verlangt.
  6. Vervollständigung der Daten. Der Administrator vervollständigt und aktualisiert Daten auf Anfrage einer Person. Der Administrator hat das Recht, die Ergänzung der Daten abzulehnen, wenn die Ergänzung mit den Zwecken der Datenverarbeitung unvereinbar wäre, weil der natürlichen Person bereits Dokumente zur Verfügung gestellt wurden, die ihn über die Zwecke der Verarbeitung informieren (z. B. sollte der Administrator dies nicht tun , in Übereinstimmung mit diesem Dokument unnötige oder redundante Daten verarbeiten). Der Administrator kann sich auf die Erklärung der Person bezüglich der ergänzten Daten verlassen, es sei denn, sie ist im Lichte der vom Administrator angewandten Verfahren (z die Person, die die Anfrage stellt, ist unzuverlässig.
  7. Datenkopien. Auf Anfrage stellt der Administrator der Person eine Kopie der ihn betreffenden Daten zur Verfügung und zeichnet die Tatsache auf, dass die erste Kopie der Daten ausgestellt wurde, vorbehaltlich der in diesem Dokument enthaltenen Situationen in Bezug auf die Möglichkeit einer Verletzung personenbezogener Daten Dritter .
  8. Datenübertragbarkeit. Auf Anfrage einer Person gibt der Administrator Daten in einem allgemein verwendeten computerlesbaren Format aus oder überträgt sie an eine andere Stelle, wenn möglich, Daten über diese Person, die er dem Administrator zur Verfügung gestellt hat, die auf der Grundlage der Zustimmung dieser Person oder für die verarbeitet wurden Zweck des Abschlusses oder der Erfüllung eines Vertrags mit ihm, die in den IT-Systemen des Administrators enthalten sind.
  9. Widerrufsrecht bei der Verarbeitung personenbezogener Daten. Wenn der Administrator Daten automatisch verarbeitet, einschließlich insbesondere der Profilerstellung von Personen, bietet der Administrator auch die Möglichkeit, die Entscheidung eines Mitarbeiters oder Vorstandsmitglieds anzufechten, der für diese Art von Maßnahmen seitens des Administrators befugt ist, sofern dies nicht der Fall ist eine automatische Entscheidung
    • für den Abschluss oder die Erfüllung eines Vertrags zwischen der empfehlenden Person und dem Administrator erforderlich ist,
    • gesetzlich ausdrücklich erlaubt ist,
    • beruht auf der ausdrücklichen Einwilligung des Beschwerdeführers.
  10. Löschung von Daten. Auf Antrag einer Person löscht der Administrator Daten, wenn:
    • die Daten für die Zwecke, für die sie erhoben wurden, nicht erforderlich sind oder für andere rechtmäßige oder gesetzlich vorgeschriebene Zwecke verarbeitet werden,
    • die Zustimmung zu ihrer Verarbeitung wurde widerrufen und der Administrator hat keine andere Rechtsgrundlage für die Verarbeitung,
    • die natürliche Person, deren personenbezogene Daten verarbeitet werden, einen wirksamen Widerspruch gegen die Verarbeitung dieser Daten eingelegt hat,
    • die Daten unrechtmäßig verarbeitet wurden,
    • die Notwendigkeit der Entfernung ergibt sich aus einer rechtlichen Verpflichtung,
    • Die Anfrage betrifft die Daten des Kindes, die auf der Grundlage der Einwilligung erhoben wurden, um Dienstleistungen direkt für das Kind zu erbringen.

      Der Administrator bestimmt die Methode zur Ausübung des Rechts auf Löschung von Daten unter Berücksichtigung der Verpflichtung, eine wirksame Umsetzung dieses Rechts sicherzustellen. Wir sprechen in erster Linie über das Sicherheitsprinzip sowie über die Einhaltung der Verpflichtung, zu prüfen, ob es Ausnahmen im Sinne von Art. 17 Sek. 3 DSGVO.

      Wenn die zu löschenden Daten vom Administrator auf der Website oder zu Marketingzwecken einer vom Administrator organisierten Veranstaltung oder einer Veranstaltung, an der der Administrator aktiv teilnimmt, veröffentlicht wurden, vorausgesetzt, dass gleichzeitig die erforderlichen Zustimmungen von Personen eingeholt werden, deren persönliche Daten auf diese Weise verarbeitet werden, ergreift der Administrator angemessene Maßnahmen, einschließlich technischer Maßnahmen, um andere Administratoren, die diese personenbezogenen Daten verarbeiten, über die Notwendigkeit zu informieren, Daten zu löschen und auf sie zuzugreifen.

      Im Falle der Löschung von Daten informiert der Administrator die Person auf Anfrage dieser Person über die Empfänger der Daten.
  11. Verarbeitungsbeschränkung. Der Administrator schränkt die Datenverarbeitung auf Antrag einer Person ein, wenn:
    • personenbezogene Daten, die vom Administrator verarbeitet werden, werden von der natürlichen Person, auf die sich die Daten beziehen, befragt – für den Zeitraum, der aus Sicht der Überprüfung ihrer Richtigkeit erforderlich ist,
    • Die Verarbeitung ist unrechtmäßig, aber die betroffene Person widersetzt sich der Entfernung personenbezogener Daten und möchte nur, dass ihre Verarbeitung aufgrund der von ihr angegebenen Zwecke eingeschränkt wird,
    • Der Administrator benötigt keine personenbezogenen Daten mehr, aber sie werden von der betroffenen Person benötigt, um Ansprüche geltend zu machen, zu verfolgen oder zu verteidigen,
    • die Person hat der Verarbeitung ihrer personenbezogenen Daten widersprochen – bis festgestellt wurde, ob es seitens des Administrators rechtlich begründete Rechtsgründe gibt, die die Gründe für den Widerspruch außer Kraft setzen (z. B. Steuer- und andere Vorschriften).

      Während der Einschränkung der Verarbeitung speichert der Administrator Daten, verwendet sie jedoch nicht und überträgt sie nicht an Dritte oder andere Stellen, die vom Administrator und seinen Mitarbeitern getrennt sind und die zum Zugriff auf die betreffenden Daten berechtigt sind. Ausgenommen hiervon ist die ausdrückliche Einwilligung der betroffenen Person sowie die Feststellung, Untersuchung oder Abwehr von Ansprüchen.

      Im Falle der Einschränkung der Datenverarbeitung informiert der Administrator auf Anfrage der Person, auf die sich die verarbeiteten personenbezogenen Daten beziehen, diese Person über die Empfänger der Daten.
  12. Widerspruch gegen die Verarbeitung personenbezogener Daten. Wenn eine Person einen begründeten Widerspruch gegen die Verarbeitung ihrer Daten erhebt und die Daten vom Administrator aufgrund des berechtigten Interesses des Administrators oder für eine dem Administrator übertragene Aufgabe im öffentlichen Interesse verarbeitet werden, wird der Administrator den Widerspruch berücksichtigen. Eine Ausnahme hiervon ist die Situation, in der der Administrator wichtige, rechtlich gerechtfertigte Gründe für die Verarbeitung hat, die aufgrund aller Umstände und allgemein geltenden gesetzlichen Bestimmungen als Vorrang vor den Interessen und Rechten der Person angesehen werden sollten, die den Widerspruch einlegt.

Widerspruch gegen Direktmarketing. Wenn eine natürliche Person, deren personenbezogene Daten vom Administrator verarbeitet werden, der Verarbeitung ihrer Daten durch den Administrator für Direktmarketingzwecke widerspricht, wird der Administrator den Widerspruch berücksichtigen und diese Verarbeitung einstellen, ohne Ausnahmen, die durch die tatsächliche Situation oder gesetzliche Bestimmungen begründet sind .

4.8. Minimierung der Datenverarbeitung

Der Administrator achtet darauf, die Datenverarbeitung unter folgenden Gesichtspunkten zu minimieren:

  1. Eignung der verarbeiteten personenbezogenen Daten für die Zwecke, für die sie verarbeitet werden,
  2. Zugang zu personenbezogenen Daten, die vom Administrator verarbeitet werden,
  3. den Zeitpunkt der Speicherung personenbezogener Daten.

4.8.1. Minimierung des Zugriffs auf personenbezogene Daten

Der Administrator wendet Beschränkungen für den Zugriff auf personenbezogene Daten an, die rechtlicher Natur sind (Vertraulichkeitsverpflichtungen von Mitarbeitern, Berechtigungen von Mitarbeitern, die Zugriff auf personenbezogene Daten haben), physisch (Zugriff auf Dateien mit personenbezogenen Daten nur für autorisierte Personen, um diese zu minimieren das Risiko von Datenlecks, Schließung von Räumen ) und Logistik (Zuweisung geeigneter Passwörter für den Zugriff auf personenbezogene Daten, um das Risiko eines unbefugten Zugriffs auf Daten zu minimieren).

Der Administrator wendet auch eine physische Zugangskontrolle an, indem er Kunden und Personen, die keinen Kooperationsvertrag mit dem Administrator und entsprechende Anhänge unterzeichnet haben, die sie zum Zugriff auf Daten sowie Vertraulichkeitserklärungen vom Arbeitsplatz berechtigen, daran hindert.

Der Administrator aktualisiert die Zugriffsrechte bei Änderungen in der Zusammensetzung des Personals und Änderungen in den Rollen von Personen und Änderungen in Verarbeitungseinheiten.

Der Administrator überprüft regelmäßig die eingerichteten Systembenutzer und aktualisiert sie mindestens einmal im Jahr.

4.8.2. Minimierung der Datenverarbeitungszeit

Der Administrator implementiert Mechanismen zur Kontrolle der Verarbeitung personenbezogener Daten in allen Phasen der Verarbeitung, einschließlich der Überprüfung der weiteren Eignung der Daten in Bezug auf die in der RCPD angegebenen Daten und Kontrollpunkte sowie in den Informationspflichten für Personen, deren personenbezogene Daten verarbeitet werden .

Daten, deren Nutzwert zeitlich begrenzt ist, werden aus den IT-Systemen des Administrators sowie aus Orten entfernt, an denen Dokumente mit personenbezogenen Daten gespeichert sind.

Die oben genannten Daten können in begründeten Fällen archiviert und in Sicherungskopien der vom Administrator verarbeiteten Systeme und Informationen aufgenommen werden.

4.8.3. Minimierung des Umfangs der Datenverarbeitung

Bei der Umsetzung der DSGVO hat der Administrator den Umfang der erhaltenen Daten, den Umfang der Verarbeitung der betreffenden Daten sowie die Menge der verarbeiteten Daten im Hinblick auf die Angemessenheit für die Zwecke der Verarbeitung überprüft.

Der Administrator verpflichtet sich, den Inhalt der verarbeiteten personenbezogenen Daten, ihre Menge und den Umfang ihrer Verarbeitung regelmäßig, mindestens einmal im Jahr, zu überprüfen.

Der Administrator überprüft Änderungen in Bezug auf Umfang und Umfang der Verarbeitung personenbezogener Daten auf die oben genannte Weise im Rahmen der Verfahren zur Verwaltung der betreffenden Änderung (Privacy by Design).

4.9. Sicherheit der Datenverarbeitung durch den Administrator

Der Administrator gewährleistet ein Sicherheitsniveau, das dem Risiko der Verletzung der Rechte natürlicher Personen im Zusammenhang mit der Art der verarbeiteten personenbezogenen Daten sowie den Orten, an denen die Daten gespeichert werden, entspricht.

4.9.1. Risikoanalyse

Der Administrator führt Analysen über die Angemessenheit der Maßnahmen zum Schutz personenbezogener Daten durch und dokumentiert diese. Für diesen Zweck:

  1. Der Administrator stellt den angemessenen Wissensstand über Informationssicherheit und Cybersicherheit sicher – intern und mit Unterstützung spezialisierter Stellen (Kanzleien, die auf den Schutz personenbezogener Daten in Unternehmen spezialisiert sind).
  2. Der Administrator kategorisiert Daten und Verarbeitungsaktivitäten in Bezug auf das Risiko, das sie darstellen, und erstellt ein entsprechendes Datenverarbeitungsregister, auf das sich der Administrator bei der Auswahl von Datenschutzverfahren stützt.
  3. Der Administrator führt Analysen des Risikos der Verletzung der Rechte natürlicher Personen für Datenverarbeitungsaktivitäten oder deren Kategorien durch. Der Administrator analysiert mögliche Situationen und Szenarien der Verletzung des Schutzes personenbezogener Daten unter Berücksichtigung der Art und des Umfangs sowie der Zwecke der Verarbeitung, des Risikos der Verletzung der Rechte natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere der Bedrohung, insbesondere aufgrund die Art und Beschaffenheit der verarbeiteten Daten.
  4. Der Administrator legt mögliche organisatorische und technische Sicherheitsmaßnahmen fest und bewertet den Aufwand für deren Umsetzung. Zu diesem Zweck bestimmt der Administrator die Eignung und wendet folgende Maßnahmen und Vorgehensweisen an:

    • Pseudonymisierung,
    • Verschlüsselung personenbezogener Daten,
    • andere Maßnahmen, die die Fähigkeit ausmachen, die Vertraulichkeit, Integrität, Verfügbarkeit und Angemessenheit des Betriebs von Verarbeitungssystemen und -diensten, einschließlich hauptsächlich IT-Systemen, kontinuierlich sicherzustellen,
    • Maßnahmen zur Gewährleistung der Geschäftskontinuität und zur Verhinderung der Auswirkungen von Systemausfällen, d. h. die Möglichkeit, die Verfügbarkeit personenbezogener Daten und den Zugriff darauf im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen, damit der Administrator Folgendes sicherstellen kann:

      • Schutz vor dem Verlust personenbezogener Daten, die vom Administrator verarbeitet werden,
      • die Fähigkeit, die Rechte, die Einzelpersonen durch die DSGVO gewährt werden, effektiv auszuüben (Artikel 15-22 der DSGVO).

4.9.2. Datenschutz-Folgenabschätzungen

Der Administrator bewertet die Auswirkungen geplanter Verarbeitungsvorgänge zum Schutz personenbezogener Daten, wenn gemäß der Risikoanalyse (die einen Anhang zur RCPD darstellt) das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist.

4.9.3. Vom Administrator ergriffene Sicherheitsmaßnahmen

Der Administrator wendet Sicherheitsmaßnahmen an, die im Rahmen von Risikoanalysen festgelegt wurden, die für einzelne Kategorien der Datenverarbeitung geeignet sind, sowie die Angemessenheit der getroffenen Sicherheitsmaßnahmen und Datenschutz-Folgenabschätzungen.

Sicherheitsmaßnahmen für personenbezogene Daten sind ein Element der Informationssicherheitsmaßnahmen und der Gewährleistung der Cybersicherheit durch den Administrator.

4.9.4. Meldung von Verstößen

Der Administrator verwendet Verfahren, um eine festgestellte Datenschutzverletzung innerhalb von 72 Stunden nach Feststellung der Verletzung zu identifizieren, zu bewerten und der Datenschutzbehörde zu melden sowie die Person zu benachrichtigen, deren vom Administrator verarbeitete personenbezogene Daten verletzt wurden, damit die betroffene Person die notwendigen Schritte zum Schutz ihrer Rechte unternehmen können.

4.10. Stellen, die personenbezogene Daten verarbeiten (sog. „Auftragsverarbeiter“ oder „Auftragsverarbeiter“)

Der Administrator hat Regeln für die Auswahl und Überprüfung von Unternehmen, die personenbezogene Daten für und im Auftrag des Administrators verarbeiten. Diese Regeln und Verfahren wurden entwickelt, um sicherzustellen, dass die Auftragsverarbeiter Garantien für die Umsetzung geeigneter organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit, zur Ausübung der Rechte des Einzelnen und anderer Datenschutzverpflichtungen, die dem Administrator obliegen, in der vorgesehenen Weise bieten in den Bestimmungen der DSGVO, gleichzeitig angepasst an die Besonderheiten des Administrators ja, um die verarbeiteten personenbezogenen Daten so effektiv wie möglich zu schützen.

Der Administrator hat die entsprechenden Anforderungen für die Vereinbarung zur Betrauung der Datenverarbeitung übernommen, die Anhang 2 der Richtlinie darstellt – „Vorlage der Vereinbarung zur Betrauung der Datenverarbeitung“.

Der Administrator rechnet die Auftragsverarbeiter mit der Verwendung von Subunternehmern für die Verarbeitung personenbezogener Daten sowie mit anderen Anforderungen ab, die sich aus den Grundsätzen der Anvertrauung personenbezogener Daten ergeben. Zu diesem Zweck erlegt der Administrator den Auftragsverarbeitern Verpflichtungen auf, die Sicherheitsvorschriften bei den Subunternehmern der Verarbeitung einzuhalten, insofern wir davon sprechen, diesen Stellen genau die gleichen faktischen und rechtlichen Anforderungen aufzuerlegen wie den Stellen, die personenbezogene Daten im Auftrag des Administrators verarbeiten.

4.11. Datenübermittlung an Drittländer

Der Administrator registriert Fälle des Datenexports im RCPD, d. h. der Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR im Jahr 2018 = Europäische Union, Island, Liechtenstein und Norwegen).

Um die Situation des unbefugten Datenexports in Drittländer zu vermeiden, insbesondere im Zusammenhang mit der Nutzung öffentlich zugänglicher Cloud-Dienste, überprüft der Administrator regelmäßig das Verhalten der Benutzer.

4.12. Datenschutzdesign

Der Administrator reagiert aktiv auf Änderungen in der Verarbeitung personenbezogener Daten, die den Datenschutz betreffen oder beeinträchtigen können, um eine angemessene Sicherheit personenbezogener Daten zu gewährleisten und deren Verarbeitung zu minimieren.

Zu diesem Zweck beziehen sich die Grundsätze der Durchführung von Projekten und Unternehmungen durch den Administrator auf die Grundsätze der Sicherheit und Minimierung personenbezogener Daten, die eine Bewertung der Auswirkungen auf die Privatsphäre und den Datenschutz erfordern. Bei der Planung neuer Projekte berücksichtigt der Administrator von Projektbeginn an die Sicherheit und Minimierung der Datenverarbeitung.

5. Klassifizierung von Dokumenten

Dieses Dokument wird als „internes Dokument des Administrators“ eingestuft und sollte ohne die formelle Genehmigung des Managements des Administrators nicht außerhalb des Unternehmens offengelegt werden.

5.1. Eigentum, Aktualisierung und Überprüfung

Diese Richtlinie zum Schutz personenbezogener Daten und zur Sicherheit des Informationssystems ist Eigentum des Administrators. Die Aktualisierung dieses Dokuments erfolgt durch den Vorstand des Administrators oder dazu bevollmächtigte Personen.

Warenkorb
0
    0
    Ihr Korb
    Dein Einkaufswagen ist leerZurück in den Laden
    Kauf weiter
    Nach oben scrollen