ORGANISATIONSRICHTLINIE FÜR DIE VERARBEITUNG UND DEN SCHUTZ
PERSONENBEZOGENER DATEN IN DER ORGANISATION
Gemäß den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
(nachstehend "DSGVO" genannt) und gemäß den Bestimmungen des Gesetzes
Nr. 18/2018 vom 29. November 2017 zum Schutz personenbezogener Daten und zur
Änderung und Ergänzung bestimmter Gesetze (nachstehend "Gesetz zum Schutz
personenbezogener Daten und zur Änderung und Ergänzung bestimmter Gesetze"
genannt), (nachstehend "Gesetz zum Schutz personenbezogener Daten und zum
freien Datenverkehr" genannt)
Sie enthält technische und organisatorische Maßnahmen, zu deren Einhaltung
sich unser Unternehmen als Verantwortlicher gemäß Artikel 24 DSGVO verpflichtet
hat, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit
und Schwere für die Rechte und Freiheiten natürlicher Personen, um zu
gewährleisten und nachweisen zu können, dass die Verarbeitung im Einklang mit
der DSGVO erfolgt.
Unternehmen:
Name: CPRS s.r.o.
Hauptsitz: Karpatské námestia 10A, 831 06 Bratislava, Slowakei
ICKO: 533 101 28
Aufsichtsbehörde:
Amt für den Schutz personenbezogener Daten der Slowakischen Republik
Hraničná 12, 820 07 Bratislava 27
Tel: 02/ 32 31 3214
E-Mail: statny.dozor@pdp.gov.sk
(nachstehend "Aufsichtsbehörde" genannt)
1. die Definition der Grundbegriffe
die
betroffene Person ist jede natürliche Person, deren personenbezogene Daten verarbeitet werden,
ein für
die Verarbeitung Verantwortlicher ist jeder, der allein oder gemeinsam mit anderen über den Zweck und die Mittel
der Verarbeitung personenbezogener Daten entscheidet und personenbezogene Daten
in eigenem Namen verarbeitet; der für die Verarbeitung Verantwortliche oder die
spezifischen Anforderungen an seine Bestimmung können in einer speziellen
Verordnung oder einem internationalen Vertrag festgelegt sein, an die bzw. den
die Slowakische Republik gebunden ist, wenn eine solche Verordnung oder ein
solcher Vertrag den Zweck und die Mittel der Verarbeitung personenbezogener Daten
vorsieht,
ein
Auftragsverarbeiter ist jeder, der personenbezogene Daten im Auftrag des für die Verarbeitung
Verantwortlichen verarbeitet,
Verarbeitung
personenbezogener Daten eine Verarbeitung oder eine Gesamtheit von Verarbeitungen personenbezogener
Daten oder einer Gesamtheit personenbezogener Daten, insbesondere das Erheben,
das Erfassen, die Organisation, das Ordnen, die Strukturierung, die
Speicherung, die Veränderung, das Auslesen, das Abfragen, die Benutzung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der
Bereitstellung, die Kombination oder die Verknüpfung sowie die Einschränkung
oder das Löschen, unabhängig davon, ob diese Vorgänge automatisiert oder nicht
automatisiert erfolgen,
die
Einwilligung der betroffenen Person jede ernsthafte und ohne Zwang, für den konkreten Fall, in Kenntnis der
Sachlage und unmissverständlich abgegebene Willensbekundung der betroffenen
Person in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung,
mit der sie in die Verarbeitung ihrer personenbezogenen Daten einwilligt
ein
Informationssystem ist jede organisierte Sammlung personenbezogener Daten, die nach bestimmten
Kriterien zugänglich ist, unabhängig davon, ob das System zentralisiert,
dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten
verteilt ist,
biometrische
Daten personenbezogene Daten,
die sich aus einer spezifischen technischen Verarbeitung personenbezogener
Daten ergeben, welche die physischen Merkmale einer natürlichen Person, die
physiologischen Merkmale einer natürlichen Person oder die Verhaltensmerkmale
einer natürlichen Person betreffen und die eine eindeutige Identifizierung
dieser natürlichen Person ermöglichen oder bestätigen, wie insbesondere
Gesichtsbilder oder daktyloskopische Daten,
Einschränkung
der Verarbeitung personenbezogener Daten durch Kennzeichnung der gespeicherten
personenbezogenen Daten, um deren Verarbeitung in Zukunft einzuschränken,
Profiling
jede Form der
automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass
diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Eigenschaften oder Merkmale, die sich auf eine natürliche Person beziehen, zu
bewerten, insbesondere um Merkmale oder Eigenschaften der betroffenen Person im
Hinblick auf ihre berufliche Leistungsfähigkeit, finanzielle Situation,
Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten,
Standort oder Ortswechsel zu analysieren oder vorherzusagen,
durch
Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne
Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen
Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten
nicht einer identifizierten natürlichen Person oder einer identifizierbaren
natürlichen Person zugewiesen werden können,
durch
Verschlüsselung, bei der personenbezogene Daten so umgewandelt werden, dass eine erneute
Verarbeitung nur nach Eingabe eines ausgewählten Parameters wie eines
Schlüssels oder Passworts möglich ist,
eine
Online-Kennung eine Kennung, die von einer Anwendung, einem Werkzeug oder einem Protokoll
bereitgestellt wird, insbesondere eine IP-Adresse, Cookies, Logins bei
Online-Diensten, Radiofrequenz-Identifikation, die Spuren hinterlassen kann,
die insbesondere in Kombination mit eindeutigen Kennungen oder anderen
Informationen verwendet werden können, um ein Profil der betroffenen Person zu
erstellen und sie zu identifizieren,
Datenschutzverletzung
eine Verletzung der
Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum
Verlust, zur Änderung oder zur unbefugten Weitergabe von oder zum Zugriff auf
übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten
führt,
Empfänger
ist jeder, dem die
personenbezogenen Daten mitgeteilt werden, unabhängig davon, ob es sich um
einen Dritten handelt oder nicht; eine Behörde, die personenbezogene Daten auf
der Grundlage einer Sonderregelung oder eines internationalen Vertrags, an die
die Slowakische Republik gebunden ist, in Übereinstimmung mit den für den
Zweck, für den die personenbezogenen Daten verarbeitet werden, geltenden
Vorschriften über den Schutz personenbezogener Daten verarbeitet, gilt nicht
als Empfänger,
eine
dritte Person, die nicht die betroffene Person, der für die Verarbeitung
Verantwortliche, der Auftragsverarbeiter oder eine andere natürliche Person
ist, die personenbezogene Daten im Auftrag des für die Verarbeitung
Verantwortlichen oder des Auftragsverarbeiters verarbeitet,
2. Kartierung von
personenbezogenen Daten
In diesem Schritt hat unser Unternehmen beschlossen, zu definieren, welche
personenbezogenen Daten es verarbeitet, um die Verarbeitung personenbezogener
Daten analysieren zu können und die Einhaltung der DSGVO zu gewährleisten.
Wir werden einzelne Kategorien personenbezogener Daten als einzelne
Informationssysteme (IS) definieren.
a) IS-Kunden
Vorname, Nachname, Titel, Straße und Hausnummer, Postleitzahl, Ort, E-Mail,
Telefonkontakt, Geburtsdatum, Bankkonto, Ausweisnummer
Zweck der Verarbeitung: Ausstellung von Steuerdokumenten, vertragliche und
vorvertragliche Beziehungen, Bestellungen
(b) IS Personalabrechnung und HR
Personenbezogene Daten von Arbeitnehmern - Vorname, Nachname, Titel,
ständiger Wohnsitz - Straße und Hausnummer, Postleitzahl, Stadt, Geburtsdatum,
Geburtsnummer, Bankkontonummer (IBAN), Name der Krankenkasse,
Zusatzrentenkasse, E-Mail, Telefonkontakt, höchste abgeschlossene Ausbildung,
Grundgehalt, persönliche Bewertung, Beginn und Ende des Zeitraums, in dem der
Arbeitnehmer die Arbeit verrichtet hat, Krankheitsurlaub, Urlaub, Arzt.
Persönliche Daten von Familienmitgliedern des Arbeitnehmers - Namen,
Vornamen und Geburtsnummern der Familienmitglieder, eine Kopie der
Geburtsurkunde des Kindes des Arbeitnehmers, ...
Persönliche Daten von Bewerbern (Vorname, Nachname, Titel, Ausbildung,
Berufserfahrung, E-Mail, Telefonkontakt).
Zweck der Verarbeitung: Sozialversicherungsbeiträge,
Krankenversicherungsbeiträge, Erfüllung der Pflichten des Arbeitgebers im
Zusammenhang mit dem Arbeitsverhältnis mit dem Arbeitnehmer, Anmeldung von
Bewerbern und Arbeitsverhältnissen, Anwesenheitslisten.
(c) IS OSH
Vorname, Nachname, Anschrift, Datum und Art der Ausbildung
Zweck der Verarbeitung: Aufzeichnung von Schulungen zu Sicherheit und
Gesundheitsschutz bei der Arbeit
3. Grundsätze der
Verarbeitung personenbezogener Daten (Artikel 5 GDPR)
Unser Unternehmen hält sich an die folgenden Grundsätze zur Verarbeitung
personenbezogener Daten:
3.1 Rechtmäßigkeit, Fairness und Transparenz (Artikel 5 Absatz 1 Buchstabe a
der Datenschutz-Grundverordnung)
Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in
transparenter Weise gegenüber der betroffenen Person verarbeitet
("Rechtmäßigkeit, Fairness und Transparenz");
3.1.1 Rechtmäßigkeit der Verarbeitung (Artikel 6 GDPR)
Unser Unternehmen verpflichtet sich, Daten nur auf rechtmäßige Weise zu
verarbeiten, um die Grundrechte der betroffenen Person nicht zu verletzen.
Die Verarbeitung personenbezogener Daten durch unser Unternehmen ist
rechtmäßig, wenn sichergestellt ist, dass sie auf mindestens einer der
folgenden Rechtsgrundlagen erfolgt:
(a) Die betroffene Person hat in die Verarbeitung ihrer personenbezogenen
Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
(b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder für vorvertragliche Maßnahmen
auf Antrag der betroffenen Person erforderlich;
c) die Verarbeitung personenbezogener Daten ist aufgrund einer
Sonderregelung oder eines internationalen Vertrags, an den die Slowakische
Republik gebunden ist, erforderlich (§ 13 Absatz 1 Buchstabe c DSGVO)
(d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der
betroffenen Person oder einer anderen natürlichen Person zu schützen;
(e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich,
die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
(f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des für
die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die
den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es
sich bei der betroffenen Person um ein Kind handelt.
Die
Rechtsgrundlagen für die einzelnen Zwecke der Verarbeitung personenbezogener
Daten sind in den Verzeichnissen der Verarbeitungstätigkeiten festgelegt.
3.2 Grundsatz der Zweckbindung (Artikel 5 Absatz 1 Buchstabe b der
Datenschutz-Grundverordnung)
Unser Unternehmen erhebt personenbezogene Daten nur für speziell
festgelegte, ausdrücklich genannte und rechtmäßige Zwecke und darf sie nicht in
einer Weise weiterverarbeiten, die mit diesen Zwecken unvereinbar ist. Unser
Unternehmen informiert die betroffene Person vor der Verarbeitung über den
Zweck der Verarbeitung der personenbezogenen Daten.
Im Abschnitt über die Zuordnung personenbezogener Daten haben wir die
Zwecke für die Verarbeitung individueller personenbezogener Daten dargelegt,
und wir werden personenbezogene Daten nur für die in diesem Abschnitt genannten
Zwecke verarbeiten.
3.3 Der Grundsatz der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c DSGVO)
Unser Unternehmen verarbeitet personenbezogene Daten so, dass diese
Verarbeitung verhältnismäßig und sachdienlich ist und sich auf das notwendige
Maß beschränkt, das sich aus dem Zweck ergibt, für den sie verarbeitet werden.
Um die Minimierung der personenbezogenen Daten zu gewährleisten, hat unser
Unternehmen beschlossen, zu analysieren, ob die verarbeiteten Daten angemessen,
relevant und auf das für die Zwecke, für die sie verarbeitet werden,
erforderliche Maß beschränkt sind.
Die Ergebnisse der Datenminimierungsanalyse werden in den Aufzeichnungen
über die Verarbeitungsaktivitäten dargestellt.
3.4 Grundsatz der sachlichen Richtigkeit (Artikel 5 Absatz 1 Buchstabe d)
DSGVO)
Unser Unternehmen verarbeitet personenbezogene Daten so, dass sie korrekt
sind und bei Bedarf aktualisiert werden, und ergreift angemessene und wirksame
Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die in Bezug auf
die Zwecke, für die sie verarbeitet werden, falsch sind, unverzüglich gelöscht
oder berichtigt werden.
Um den Grundsatz der Korrektheit zu gewährleisten, hat unser Unternehmen
den folgenden Wortlaut in der schriftlichen Zustimmung zur Verarbeitung
personenbezogener Daten:
"Die betroffene Person ist verpflichtet, wahrheitsgemäße und aktuelle
personenbezogene Daten anzugeben. Im Falle einer Änderung der personenbezogenen
Daten hat die betroffene Person den für die Verarbeitung Verantwortlichen
unverzüglich über die Änderung zu unterrichten."
3.5 Grundsatz der Minimierung der Aufbewahrung (Artikel 5 Absatz 1 Buchstabe e)
DSGVO)
Personenbezogene Daten werden von unserem Unternehmen in einer Form
gespeichert, die die Identifizierung der betroffenen Person ermöglicht,
längstens jedoch so lange, wie es für den Zweck, für den die personenbezogenen
Daten verarbeitet werden, erforderlich ist.
3.6 Grundsatz der Integrität und Vertraulichkeit (Artikel 5 Absatz 1 Buchstabe
f) DSGVO)
Personenbezogene Daten werden von unserem Unternehmen in einer Weise
verarbeitet, die eine angemessene Sicherheit personenbezogener Daten
gewährleistet, einschließlich des Schutzes vor unbefugter Verarbeitung
personenbezogener Daten, unrechtmäßiger Verarbeitung personenbezogener Daten,
versehentlichem Verlust personenbezogener Daten, Löschung personenbezogener
Daten oder Beschädigung personenbezogener Daten durch geeignete technische oder
organisatorische Maßnahmen.
3.6.1 In elektronischer Form gespeicherte personenbezogene Daten
Wir verwenden Antivirus und Firewall von IOBIT
Wir speichern und sichern Daten auf einer Backup-Festplatte, und die von
uns verwendeten Stationen sind passwortgeschützt.
Wir verwenden das WPA 2-Protokoll zum Schutz des WLANs. Das Passwort wird
regelmäßig geändert.
Der Computer mit den persönlichen Daten ist durch ein Passwort geschützt,
das nur autorisierte Personen kennen.
Persönliche Daten werden auf meinem Computer gespeichert und dieser
Computer ist passwortgeschützt
3.6.2 In Papierform (gedruckt) gespeicherte personenbezogene Daten
Physische Dokumente (gedruckte Arbeitsverträge, Kundenverträge) werden in
Ordnern, Hüllen und Mappen aufbewahrt, um sie vor Beschädigungen zu schützen.
Aktenordner, Ordner mit physischen Dokumenten werden aufbewahrt:
Ein Schließfach mit Schlüssel, das sich in einem abgeschlossenen Büro
befindet.
Dadurch wird sichergestellt, dass nur befugte Personen Zugang zu diesen
Dokumenten haben.
3.7 Grundsatz der Rechenschaftspflicht (Artikel 5 Absatz 2 GDPR)
Unser Unternehmen ist verantwortlich für die Einhaltung der Grundsätze der
Verarbeitung personenbezogener Daten, für die Übereinstimmung der Verarbeitung
personenbezogener Daten mit den Grundsätzen der Verarbeitung personenbezogener
Daten und ist verpflichtet, diese Übereinstimmung mit den Grundsätzen der
Verarbeitung personenbezogener Daten auf Verlangen der Behörde nachzuweisen.
4. Bedingungen für die
Zustimmung zur Verarbeitung personenbezogener Daten (Artikel 7 GDPR)
Wir stellen sicher, dass die folgenden Bedingungen erfüllt sind, wenn die
betroffene Person ihre Einwilligung gibt
(a) Die Einwilligung in die Verarbeitung personenbezogener Daten muss
freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und
unmissverständlich erteilt werden.
(b) Das Ersuchen um Zustimmung muss in einer Weise gestellt werden, die
sich deutlich von anderen Tatsachen unterscheidet, in einer verständlichen und
leicht zugänglichen Form und in einer klaren und einfachen Weise formuliert
sein.
(c) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu
widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der
Verarbeitung aufgrund der Einwilligung vor deren Widerruf. Die betroffene
Person wird vor der Erteilung der Einwilligung über diese Tatsache informiert.
Der Widerruf der Zustimmung muss so einfach sein wie die Erteilung.
5. Bedingungen für die
Einwilligung des Kindes in Bezug auf Dienste der Informationsgesellschaft
(Artikel 8 DSGVO)
Findet Artikel 6 Absatz 1 Buchstabe a Anwendung, so ist die Verarbeitung
personenbezogener Daten des Kindes im Rahmen eines Angebots von Diensten der
Informationsgesellschaft, das sich direkt an ein Kind richtet, nur rechtmäßig,
wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind jünger als 16 Jahre, so
ist eine solche Verarbeitung nur rechtmäßig, wenn und soweit der Träger der
elterlichen Verantwortung seine Einwilligung erteilt oder genehmigt hat.
In solchen Fällen unternimmt unser Unternehmen angemessene Anstrengungen,
um zu überprüfen, ob der Inhaber der elterlichen Rechte und Pflichten
zugestimmt hat, wobei die verfügbaren Technologien berücksichtigt werden.
6. Verarbeitung besonderer
Kategorien personenbezogener Daten (Artikel 9 GDPR)
Die DSGVO verbietet die Verarbeitung personenbezogener Daten, aus denen die
rassische oder ethnische Herkunft, politische Meinungen, religiöse oder
philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie die Verarbeitung genetischer Daten, biometrischer Daten zur individuellen
Identifizierung einer natürlichen Person, von Daten über Gesundheit oder von
Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen
Person.
Dieses Verbot gilt jedoch nicht, wenn eine der Bedingungen von Artikel 9 Absatz
2 der Datenschutz-Grundverordnung (a) - (j) zutrifft
Meistens handelt es sich um einen der Buchstaben a) oder b) von Artikel 9
Absatz 2 der Datenschutz-Grundverordnung:
(a) die betroffene Person ausdrücklich in die Verarbeitung dieser
personenbezogenen Daten für einen oder mehrere festgelegte Zwecke eingewilligt
hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten sieht vor,
dass das in Absatz 1 genannte Verbot von der betroffenen Person nicht
widerrufen werden kann;
(b) die Verarbeitung ist für die Erfüllung der Pflichten und die Ausübung
der besonderen Rechte des für die Verarbeitung Verantwortlichen oder der
betroffenen Person auf dem Gebiet des Arbeitsrechts, der sozialen Sicherheit
und des Sozialschutzes erforderlich
7. Rechte der betroffenen Person (Kapitel 3
GDPR)
Die Rechte der betroffenen Person sind in Kapitel 3 der DSGVO geregelt, und
unser Unternehmen verpflichtet sich, sie zu respektieren.
Zum Beispiel die folgenden Rechte:
7.1 Informationen, die bei der Einholung personenbezogener Daten von der
betroffenen Person zu erteilen sind (Artikel 13 DSGVO)
Unser Unternehmen wird der betroffenen Person bei der Verarbeitung
personenbezogener Daten folgende Informationen zur Verfügung stellen:
a) Informationen über unser Unternehmen
(b) die Kontaktdaten der verantwortlichen Person, falls vorhanden;
(c) die Zwecke der Verarbeitung
(d) die Rechtsgrundlage für die Verarbeitung
(e) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f der
Datenschutz-Grundverordnung beruht, die berechtigten Interessen des für die
Verarbeitung Verantwortlichen oder des Dritten;
(f) die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten, sofern vorhanden;
(g) die Dauer der Speicherung der personenbezogenen Daten oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
(h) das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen
Auskunft über die die betroffene Person betreffenden personenbezogenen Daten zu
verlangen, sowie das Recht auf Berichtigung oder Löschung oder Einschränkung
der Verarbeitung oder auf Widerspruch gegen die Verarbeitung sowie das Recht
auf Datenübertragbarkeit;
(i) im Falle der Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe
a oder Artikel 9 Absatz 2 Buchstabe a der Datenschutz-Grundverordnung das
Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der Verarbeitung aufgrund der vor dem Widerruf erteilten
Einwilligung berührt wird;
(j) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
(k) Informationen darüber, ob die Bereitstellung personenbezogener Daten
gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines
Vertrags erforderlich ist, ob die betroffene Person verpflichtet ist,
personenbezogene Daten bereitzustellen, sowie über die möglichen Folgen einer
Nichtbereitstellung dieser Daten;
(l) das Vorhandensein einer automatisierten Entscheidungsfindung,
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 der DSGVO, und
zumindest in diesen Fällen aussagekräftige Informationen über das angewandte
Verfahren sowie die Bedeutung und die vorhersehbaren Folgen einer solchen
Verarbeitung für die betroffene Person.
7.2 Zu erteilende Informationen, wenn personenbezogene Daten nicht bei der
betroffenen Person erhoben wurden (Artikel 14 DSGVO)
Unser Unternehmen stellt der betroffenen Person, sofern die
personenbezogenen Daten nicht von ihr selbst stammen, alle unter Punkt 7.1
dieser Organisationsrichtlinie genannten Informationen zur Verfügung sowie die
Quelle der personenbezogenen Daten oder gegebenenfalls die Information, ob die
Daten aus öffentlich zugänglichen Quellen stammen.
Unser Unternehmen informiert die betroffene Person innerhalb einer
angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch
innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter
denen die personenbezogenen Daten gemäß Artikel 14 Absatz 3 der DSGVO
verarbeitet werden
Unser Unternehmen wird der betroffenen Person diese Informationen in den in
Artikel 14 Absatz 5 der DSGVO genannten Fällen nicht zur Verfügung stellen,
insbesondere wenn:
(a) die betroffene Person bereits über die Informationen verfügt
(b) die Bereitstellung dieser Informationen sich als unmöglich erweist oder
einen unverhältnismäßigen Aufwand erfordern würde
(c) die Beschaffung oder Weitergabe ausdrücklich im Unionsrecht oder im
Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche
unterliegt, vorgesehen ist und dieses Recht geeignete Maßnahmen zum Schutz der
berechtigten Interessen der betroffenen Person am Zugang zu den Daten vorsieht
(Artikel 15 DS-GVO)
7.3 Recht der betroffenen Person auf Auskunft (Artikel 15 DSGVO)
Die betroffene Person hat das Recht, von dem für die Verarbeitung
Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende
personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Zugang
zu diesen personenbezogenen Daten zu erhalten
7.4 Recht auf Berichtigung (Artikel 16 GDPR)
Die betroffene Person hat das Recht, unrichtige personenbezogene Daten, die
sie betreffen, unverzüglich von dem für die Verarbeitung Verantwortlichen
berichtigen zu lassen. Im Hinblick auf die Zwecke der Verarbeitung hat die
betroffene Person das Recht, unvollständige personenbezogene Daten
vervollständigen zu lassen, auch durch Abgabe einer ergänzenden Erklärung.
7.5 Recht auf Löschung (Recht auf Vergessenwerden, Artikel 17 GDPR)
Die betroffene Person hat ferner das Recht, von dem für die Verarbeitung
Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten
unverzüglich gelöscht werden, und der für die Verarbeitung Verantwortliche hat
die personenbezogenen Daten unverzüglich zu löschen, wenn einer der folgenden
Gründe gegeben ist:
(a) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder
anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
(b) die betroffene Person ihre Einwilligung, auf deren Grundlage die
Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2
Buchstabe a erfolgt, widerruft und es keine andere Rechtsgrundlage für die
Verarbeitung gibt;
(c) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel
21 Absatz 1 einlegt und keine berechtigten Gründe für die Verarbeitung
vorliegen oder die betroffene Person Widerspruch gegen die Verarbeitung gemäß
Artikel 21 Absatz 2 einlegt;
(d) die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
(e) die personenbezogenen Daten gelöscht werden müssen, um einer
rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht eines
Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt,
nachzukommen;
(f) die personenbezogenen Daten wurden im Zusammenhang mit dem Angebot von
Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
7.6 Recht auf Einschränkung der Verarbeitung (Artikel 18 GDPR)
Die betroffene Person hat das Recht, von dem für die Verarbeitung
Verantwortlichen die Einschränkung der Verarbeitung in einem der folgenden
Fälle zu verlangen:
(a) die betroffene Person die Richtigkeit der personenbezogenen Daten
während eines Zeitraums bestreitet, der es dem für die Verarbeitung
Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu
überprüfen;
(b) die Verarbeitung unrechtmäßig ist und die betroffene Person der
Löschung der personenbezogenen Daten widerspricht und stattdessen die
Einschränkung ihrer Verwendung verlangt;
(c) der für die Verarbeitung Verantwortliche die personenbezogenen Daten
für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie
jedoch zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen
benötigt;
(d) die betroffene Person hat gemäß Artikel 21 Absatz 1 Widerspruch gegen
die Verarbeitung eingelegt, solange nicht nachgewiesen ist, dass die
berechtigten Gründe des für die Verarbeitung Verantwortlichen gegenüber denen
der betroffenen Person überwiegen.
Meldepflicht in Bezug auf die Berichtigung oder Löschung personenbezogener
Daten oder die Einschränkung der Verarbeitung (Artikel 19 GDPR)
Der für die Verarbeitung Verantwortliche unterrichtet jeden Empfänger, dem
die personenbezogenen Daten übermittelt wurden, über die Berichtigung oder
Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß
Artikel 16, Artikel 17 Absatz 1 und Artikel 18, es sei denn, dies erweist sich
als unmöglich oder erfordert einen unverhältnismäßigen Aufwand. Der für die
Verarbeitung Verantwortliche unterrichtet die betroffene Person über diese
Empfänger, wenn die betroffene Person dies wünscht.
7.7 Recht auf Datenübertragbarkeit (Artikel 20 GDPR)
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen
Daten, die sie dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt
hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu
erhalten, und sie hat das Recht, diese Daten einem anderen für die Verarbeitung
Verantwortlichen zu übermitteln, ohne dass der für die Verarbeitung
Verantwortliche, dem die personenbezogenen Daten übermittelt wurden, dies
verhindern kann:
(a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1
Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß
Artikel 6 Absatz 1 Buchstabe b beruht und
(b) wenn die Verarbeitung mit Hilfe automatisierter Verfahren durchgeführt
wird.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat
die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten
direkt von einem für die Verarbeitung Verantwortlichen an einen anderen für die
Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar
ist.
7.8 Widerspruchsrecht (Artikel 21 GDPR)
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer
besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder
f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese
Bestimmungen gestütztes Profiling.
7.9 Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling
(Artikel 22 GDPR)
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer
automatisierten Verarbeitung - einschließlich Profiling - beruhenden
Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung
entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
8. Die Verantwortung des ANBIETERS (Artikel
24 GDPR)
Unser Unternehmen als Betreiber verpflichtet sich, die folgenden
allgemeinen Verpflichtungen einzuhalten:
a) Unter Berücksichtigung der Art, des Umfangs und des Zwecks der
Verarbeitung personenbezogener Daten sowie der unterschiedlich wahrscheinlichen
und schwerwiegenden Risiken für die Rechte der natürlichen Person verpflichten
wir uns, geeignete technische und organisatorische Maßnahmen zu treffen, um
sicherzustellen und nachzuweisen, dass die Verarbeitung personenbezogener Daten
im Einklang mit der DSGVO erfolgt.
(b) Wir werden diese Maßnahmen bei Bedarf aktualisieren.
c) Wir überprüfen regelmäßig die Dauer des Zwecks der Verarbeitung
personenbezogener Daten und stellen sicher, dass personenbezogene Daten
unverzüglich gelöscht werden, wenn der Zweck erfüllt ist.
d) Unser Unternehmen wahrt die Vertraulichkeit der von ihm verarbeiteten
personenbezogenen Daten. Die Verpflichtung zur Vertraulichkeit besteht auch
nach Beendigung der Verarbeitung personenbezogener Daten fort.
9. Speziell konzipierter
und standardisierter Datenschutz (Artikel 25 GDPR)
Unser Unternehmen verpflichtet sich, vor der Verarbeitung personenbezogener
Daten und während der Verarbeitung personenbezogener Daten spezielle
Datenschutzmaßnahmen zu ergreifen, die in der Annahme geeigneter technischer
und organisatorischer Maßnahmen bestehen, beispielsweise auch in Form von
Pseudonymisierung, um angemessene Garantien für den Schutz personenbezogener
Daten wirksam umzusetzen und die DSGVO einzuhalten.
Unser Unternehmen verpflichtet sich, bei der konkreten Ausgestaltung des
Schutzes personenbezogener Daten den Stand der Technik des Datenschutzes, die
Kosten der Umsetzung der Maßnahmen, die Art, den Umfang, den Kontext und den
Zweck der Verarbeitung personenbezogener Daten sowie die Risiken der
Verarbeitung personenbezogener Daten mit unterschiedlicher Wahrscheinlichkeit
und Schwere, die die Verarbeitung personenbezogener Daten für die Rechte der
betroffenen Person darstellt, zu berücksichtigen.
Unser Unternehmen verpflichtet sich zu einem einheitlichen Datenschutz, der
darin besteht, dass geeignete technische und organisatorische Maßnahmen
ergriffen werden, um zu gewährleisten, dass personenbezogene Daten nur für
einen bestimmten Zweck verarbeitet werden, dass die Menge der erhobenen
personenbezogenen Daten und der Umfang ihrer Verarbeitung, die
Aufbewahrungsfrist und die Verfügbarkeit der personenbezogenen Daten auf ein
Mindestmaß beschränkt werden. Unser Unternehmen stellt sicher, dass
personenbezogene Daten nicht standardmäßig einer unbegrenzten Anzahl von
natürlichen Personen zugänglich sind, ohne dass die natürliche Person
eingreifen muss.
10. Vermittler (Artikel 28 GDPR)
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag
des für die Verarbeitung Verantwortlichen verarbeitet.
Unser Unternehmen als Verantwortlicher setzt Auftragsverarbeiter ein, die
in seinem Auftrag personenbezogene Daten verarbeiten. Dazu gehören zum Beispiel
eine Buchhaltungsfirma und ein Arbeitsschutztechniker.
Folgende Auftragsverarbeiter verarbeiten Daten für unser Unternehmen
- ATM smart s.r.o., Kraskova 2, Nové
Unser Unternehmen wird nur Auftragsverarbeiter einsetzen, die ausreichende Garantien
dafür bieten, dass geeignete technische und organisatorische Maßnahmen
getroffen werden, um sicherzustellen, dass die Verarbeitung den Anforderungen
der DSGVO entspricht und den Schutz der Rechte der betroffenen Person
gewährleistet.
Die Verarbeitung durch den Auftragsverarbeiter für unser Unternehmen wird
durch den "Vertrag über die Verarbeitung personenbezogener Daten"
geregelt, von dem ein Muster diesem Dokument beigefügt ist. Sie bindet den
Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen und legt den
Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der
Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der
betroffenen Personen sowie die Pflichten und Rechte des für die Verarbeitung
Verantwortlichen und des Auftragsverarbeiters fest.
Unser Unternehmen wird Änderungen an den Verträgen mit den vorgenannten
Vermittlern unterzeichnen, um sicherzustellen, dass die Verträge allen
Anforderungen der DSGVO entsprechen.
11. Aufzeichnungen über Verarbeitungstätigkeiten
(Artikel 30 GDPR)
Siehe Anhang
11.1 Aufzeichnungen über die Verarbeitungstätigkeiten des für die Verarbeitung
Verantwortlichen
Als für die Verarbeitung Verantwortlicher führen wir Aufzeichnungen über
die Verarbeitungstätigkeiten und stellen sie der Aufsichtsbehörde auf Anfrage
zur Verfügung. Diese Aufzeichnungen enthalten die folgenden Daten:
(a) den Namen und die Kontaktdaten des für die Verarbeitung
Verantwortlichen und gegebenenfalls des gemeinsam für die Verarbeitung
Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen und
der verantwortlichen Person;
(b) die Zwecke der Verarbeitung;
(c) eine Beschreibung der Kategorien von betroffenen Personen und der
Kategorien von personenbezogenen Daten;
(d) die Kategorien von Empfängern, an die die personenbezogenen Daten
weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern
oder internationalen Organisationen;
(e) gegebenenfalls Übermittlungen personenbezogener Daten in ein Drittland
oder an eine internationale Organisation, einschließlich der Angabe des
betreffenden Drittlands oder der betreffenden internationalen Organisation und
- im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der
Datenschutz-Grundverordnung - der Dokumentation der geeigneten Garantien;
(f) soweit möglich, die vorgesehenen Fristen für die Löschung der
verschiedenen Datenkategorien;
(g) soweit möglich, eine allgemeine Beschreibung der technischen und
organisatorischen Sicherheitsmaßnahmen nach Artikel 32 Absatz 1. GDPR
11.2 Aufzeichnungen über die Verarbeitungstätigkeiten des Auftragsverarbeiters
Unser Unternehmen führt als Auftragsverarbeiter ein Verzeichnis der
Verarbeitungstätigkeiten und stellt es der Aufsichtsbehörde auf Anfrage zur
Verfügung. Diese Aufzeichnungen enthalten die folgenden Daten:
(a) Name(n) und Kontaktdaten des/der Auftragsverarbeiter(s) und des für die
Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter
handelt, sowie gegebenenfalls des Vertreters des für die Verarbeitung
Verantwortlichen oder des Auftragsverarbeiters und der verantwortlichen Person;
(b) die Kategorien von Verarbeitungen, die im Auftrag des jeweiligen für
die Verarbeitung Verantwortlichen durchgeführt werden;
(c) gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland
oder eine internationale Organisation, einschließlich der Angabe des
betreffenden Drittlands oder der betreffenden internationalen Organisation und
- im Falle von Übermittlungen nach Artikel 49 Absatz 1 Unterabsatz 2 - der
Dokumentation geeigneter Garantien;
(d) soweit möglich, eine allgemeine Beschreibung der technischen und
organisatorischen Sicherheitsmaßnahmen nach Artikel 32 Absatz 1. GDPR
12. Sicherheit der Verarbeitung
(Artikel 32 GDPR)
Unser Unternehmen trifft unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden
Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische
und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten.
Erlaubnis
zur Verarbeitung personenbezogener Daten (Artikel 32 Absatz 4 DSGVO)
Unser Unternehmen ergreift Maßnahmen, um sicherzustellen, dass jede
natürliche Person, die unter der Aufsicht des für die Verarbeitung
Verantwortlichen oder des Auftragsverarbeiters handelt und Zugang zu
personenbezogenen Daten hat, diese Daten nur auf unsere Anweisung hin
verarbeitet, es sei denn, dies ist nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten erforderlich.
13. Meldung einer Verletzung
des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Artikel 33 und 34
DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet unser
Unternehmen die Verletzung des Schutzes personenbezogener Daten unverzüglich
und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden dieser Tatsache
über die Website der Aufsichtsbehörde -
https://dataprotection.gov.sk/uoou/dp/dp-breach - an die Aufsichtsbehörde.
Ist die Meldung nicht innerhalb von 72 Stunden bei der Aufsichtsbehörde
eingegangen, so ist ihr eine Begründung für die Verzögerung beizufügen.
Die Benachrichtigung über die Datenschutzverletzung muss mindestens
folgende Angaben enthalten:
(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener
Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl
der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der
betroffenen personenbezogenen Datensätze;
(b) die Kontaktdaten unseres Datenschutzbeauftragten für weitere
Informationen über die Datenschutzverletzung;
(c) eine Beschreibung der voraussichtlichen Folgen der Verletzung des
Schutzes personenbezogener Daten;
(d) eine Beschreibung der Maßnahmen, die der für die Verarbeitung
Verantwortliche ergriffen oder vorgeschlagen hat, um die Verletzung des
Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich
Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wir dokumentieren jeden Fall einer Datenverletzung, einschließlich der
Fakten rund um die Datenverletzung, ihrer Folgen und der getroffenen
Abhilfemaßnahmen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die
wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher
Personen führt, werden wir die betroffene Person unverzüglich über die
Verletzung des Schutzes personenbezogener Daten informieren.
14.
Datenschutz-Folgenabschätzung (Artikel 35)
Kann die Art der Verarbeitung, insbesondere unter Verwendung neuer
Technologien und unter Berücksichtigung der Art, des Umfangs, der Umstände und
der Zwecke der Verarbeitung, ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge haben, so nimmt der für die Verarbeitung
Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten
Verarbeitungen für den Schutz personenbezogener Daten vor.
Eine Datenschutz-Folgenabschätzung ist insbesondere in den Fällen
erforderlich, in denen:
(a) eine systematische und umfassende Bewertung personenbezogener Aspekte
natürlicher Personen auf der Grundlage einer automatisierten Verarbeitung, einschließlich
Profiling, auf die sich Entscheidungen stützen, die rechtliche Auswirkungen auf
die natürliche Person haben oder sie in ähnlicher Weise erheblich
beeinträchtigen;
(b) groß angelegte Verarbeitungen besonderer Datenkategorien gemäß Artikel
9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen
und Straftaten gemäß Artikel 10; oder
(c) systematische groß angelegte Überwachung von öffentlich zugänglichen
Standorten.
Die Verarbeitungstätigkeiten unseres Unternehmens umfassen nicht die oben
genannten Fälle, daher ist eine Datenschutz-Folgenabschätzung nicht
erforderlich.
15. Benennung der
verantwortlichen Person (Kapitel 4, Abschnitt 4 der Datenschutzgrundverordnung)
Der Betreiber muss eine verantwortliche Person benennen, wenn
(a) die Verarbeitung personenbezogener Daten durch eine Behörde oder eine
öffentliche Stelle erfolgt, mit Ausnahme der Gerichte bei der Ausübung ihrer
Zuständigkeit,
(b) die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters Verarbeitungen sind, die aufgrund ihrer Art, ihres Umfangs
oder ihres Zwecks eine regelmäßige und systematische Überwachung der
betroffenen Person in großem Umfang erfordern, oder
(c) die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer
Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO oder in der
umfangreichen Verarbeitung personenbezogener Daten im Zusammenhang mit einem
Schuldeingeständnis wegen einer Straftat oder einer Ordnungswidrigkeit gemäß
Artikel 10 der DSGVO.
Da unser Unternehmen keine dieser Bedingungen erfüllt, benennt es keine verantwortliche Person.
16. ÜBERMITTLUNG VON
PERSONENBEZOGENEN DATEN AN EIN DRITTLAND ODER EINE INTERNATIONALE ORGANISATION
Die Übermittlung personenbezogener Daten, die nach der Übermittlung an ein
Drittland oder eine internationale Organisation verarbeitet werden oder
verarbeitet werden sollen, darf nur erfolgen, wenn der für die Verarbeitung
Verantwortliche und der Auftragsverarbeiter die Bedingungen einhalten,
einschließlich der Bedingungen für die Weiterübermittlung der personenbezogenen
Daten aus dem betreffenden Drittland oder von der betreffenden internationalen
Organisation an ein anderes Drittland oder eine andere internationale
Organisation.
Die Datenschutzbehörde veröffentlicht auf ihrer Website eine Liste der
Drittländer, Gebiete und benannten Sektoren in dem betreffenden Drittland sowie
der internationalen Organisationen, für die die Europäische Kommission
entschieden hat, dass ein angemessenes Schutzniveau gewährleistet ist oder
nicht mehr gewährleistet wird.
Die Liste ist unter https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-zarucujucich-primeranu-uroven-ochrany
abrufbar.
Unser Unternehmen überwacht diese Liste regelmäßig und hält sich an Kapitel
4 der DSGVO, falls es personenbezogene Daten in Länder übermittelt, die nicht
auf der Liste der Datenschutzbehörde stehen.
17. Schweigen (§ 79 ZoOOÚ)
Unser Unternehmen ist verpflichtet, die Vertraulichkeit der von ihm verarbeiteten
personenbezogenen Daten zu wahren. Die Verpflichtung zur Vertraulichkeit
besteht auch nach Beendigung der Verarbeitung personenbezogener Daten fort.
Unser Unternehmen ist auch verpflichtet, Personen, die bei dem für die
Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter mit
personenbezogenen Daten in Berührung kommen, zur Wahrung der Vertraulichkeit
der personenbezogenen Daten zu verpflichten. Die Verschwiegenheitspflicht nach
Satz 1 muss auch nach Beendigung des Arbeitsverhältnisses, des
Beamtenverhältnisses, des Dienstverhältnisses oder eines vergleichbaren
Beschäftigungsverhältnisses der natürlichen Person fortbestehen.