ORGANISATIONSRICHTLINIE FÜR DIE VERARBEITUNG UND DEN SCHUTZ PERSONENBEZOGENER DATEN IN DER ORGANISATION
Gemäß den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend "DSGVO" genannt) und gemäß den Bestimmungen des Gesetzes Nr. 18/2018 vom 29. November 2017 zum Schutz personenbezogener Daten und zur Änderung und Ergänzung bestimmter Gesetze (nachstehend "Gesetz zum Schutz personenbezogener Daten und zur Änderung und Ergänzung bestimmter Gesetze" genannt), (nachstehend "Gesetz zum Schutz personenbezogener Daten und zum freien Datenverkehr" genannt)
Sie enthält technische und organisatorische Maßnahmen, zu deren Einhaltung sich unser Unternehmen als Verantwortlicher gemäß Artikel 24 DSGVO verpflichtet hat, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, um zu gewährleisten und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
Unternehmen:
Name: CPRS s.r.o.
Hauptsitz: Karpatské námestia 10A, 831 06 Bratislava, Slowakei
ICKO: 533 101 28
Aufsichtsbehörde:
Amt für den Schutz personenbezogener Daten der Slowakischen Republik
Hraničná 12, 820 07 Bratislava 27
Tel: 02/ 32 31 3214
E-Mail: statny.dozor@pdp.gov.sk
(nachstehend "Aufsichtsbehörde" genannt)
1. die Definition der Grundbegriffe
die betroffene Person ist jede natürliche Person, deren personenbezogene Daten verarbeitet werden,
ein für die Verarbeitung Verantwortlicher ist jeder, der allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet und personenbezogene Daten in eigenem Namen verarbeitet; der für die Verarbeitung Verantwortliche oder die spezifischen Anforderungen an seine Bestimmung können in einer speziellen Verordnung oder einem internationalen Vertrag festgelegt sein, an die bzw. den die Slowakische Republik gebunden ist, wenn eine solche Verordnung oder ein solcher Vertrag den Zweck und die Mittel der Verarbeitung personenbezogener Daten vorsieht,
ein Auftragsverarbeiter ist jeder, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet,
Verarbeitung personenbezogener Daten eine Verarbeitung oder eine Gesamtheit von Verarbeitungen personenbezogener Daten oder einer Gesamtheit personenbezogener Daten, insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Strukturierung, die Speicherung, die Veränderung, das Auslesen, das Abfragen, die Benutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie die Einschränkung oder das Löschen, unabhängig davon, ob diese Vorgänge automatisiert oder nicht automatisiert erfolgen,
die Einwilligung der betroffenen Person jede ernsthafte und ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung, mit der sie in die Verarbeitung ihrer personenbezogenen Daten einwilligt
ein Informationssystem ist jede organisierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob das System zentralisiert, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten verteilt ist,
biometrische Daten personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung personenbezogener Daten ergeben, welche die physischen Merkmale einer natürlichen Person, die physiologischen Merkmale einer natürlichen Person oder die Verhaltensmerkmale einer natürlichen Person betreffen und die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie insbesondere Gesichtsbilder oder daktyloskopische Daten,
Einschränkung der Verarbeitung personenbezogener Daten durch Kennzeichnung der gespeicherten personenbezogenen Daten, um deren Verarbeitung in Zukunft einzuschränken,
Profiling jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Eigenschaften oder Merkmale, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Merkmale oder Eigenschaften der betroffenen Person im Hinblick auf ihre berufliche Leistungsfähigkeit, finanzielle Situation, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder Ortswechsel zu analysieren oder vorherzusagen,
durch Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten natürlichen Person oder einer identifizierbaren natürlichen Person zugewiesen werden können,
durch Verschlüsselung, bei der personenbezogene Daten so umgewandelt werden, dass eine erneute Verarbeitung nur nach Eingabe eines ausgewählten Parameters wie eines Schlüssels oder Passworts möglich ist,
eine Online-Kennung eine Kennung, die von einer Anwendung, einem Werkzeug oder einem Protokoll bereitgestellt wird, insbesondere eine IP-Adresse, Cookies, Logins bei Online-Diensten, Radiofrequenz-Identifikation, die Spuren hinterlassen kann, die insbesondere in Kombination mit eindeutigen Kennungen oder anderen Informationen verwendet werden können, um ein Profil der betroffenen Person zu erstellen und sie zu identifizieren,
Datenschutzverletzung eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Weitergabe von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt,
Empfänger ist jeder, dem die personenbezogenen Daten mitgeteilt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht; eine Behörde, die personenbezogene Daten auf der Grundlage einer Sonderregelung oder eines internationalen Vertrags, an die die Slowakische Republik gebunden ist, in Übereinstimmung mit den für den Zweck, für den die personenbezogenen Daten verarbeitet werden, geltenden Vorschriften über den Schutz personenbezogener Daten verarbeitet, gilt nicht als Empfänger,
eine dritte Person, die nicht die betroffene Person, der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter oder eine andere natürliche Person ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters verarbeitet,
2. Kartierung von personenbezogenen Daten
In diesem Schritt hat unser Unternehmen beschlossen, zu definieren, welche personenbezogenen Daten es verarbeitet, um die Verarbeitung personenbezogener Daten analysieren zu können und die Einhaltung der DSGVO zu gewährleisten.
Wir werden einzelne Kategorien personenbezogener Daten als einzelne Informationssysteme (IS) definieren.
a) IS-Kunden
Vorname, Nachname, Titel, Straße und Hausnummer, Postleitzahl, Ort, E-Mail, Telefonkontakt, Geburtsdatum, Bankkonto, Ausweisnummer
Zweck der Verarbeitung: Ausstellung von Steuerdokumenten, vertragliche und vorvertragliche Beziehungen, Bestellungen
(b) IS Personalabrechnung und HR
Personenbezogene Daten von Arbeitnehmern - Vorname, Nachname, Titel, ständiger Wohnsitz - Straße und Hausnummer, Postleitzahl, Stadt, Geburtsdatum, Geburtsnummer, Bankkontonummer (IBAN), Name der Krankenkasse, Zusatzrentenkasse, E-Mail, Telefonkontakt, höchste abgeschlossene Ausbildung, Grundgehalt, persönliche Bewertung, Beginn und Ende des Zeitraums, in dem der Arbeitnehmer die Arbeit verrichtet hat, Krankheitsurlaub, Urlaub, Arzt.
Persönliche Daten von Familienmitgliedern des Arbeitnehmers - Namen, Vornamen und Geburtsnummern der Familienmitglieder, eine Kopie der Geburtsurkunde des Kindes des Arbeitnehmers, ...
Persönliche Daten von Bewerbern (Vorname, Nachname, Titel, Ausbildung, Berufserfahrung, E-Mail, Telefonkontakt).
Zweck der Verarbeitung: Sozialversicherungsbeiträge, Krankenversicherungsbeiträge, Erfüllung der Pflichten des Arbeitgebers im Zusammenhang mit dem Arbeitsverhältnis mit dem Arbeitnehmer, Anmeldung von Bewerbern und Arbeitsverhältnissen, Anwesenheitslisten.
(c) IS OSH
Vorname, Nachname, Anschrift, Datum und Art der Ausbildung
Zweck der Verarbeitung: Aufzeichnung von Schulungen zu Sicherheit und Gesundheitsschutz bei der Arbeit
3. Grundsätze der Verarbeitung personenbezogener Daten (Artikel 5 GDPR)
Unser Unternehmen hält sich an die folgenden Grundsätze zur Verarbeitung personenbezogener Daten:
3.1 Rechtmäßigkeit, Fairness und Transparenz (Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung)
Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet ("Rechtmäßigkeit, Fairness und Transparenz");
3.1.1 Rechtmäßigkeit der Verarbeitung (Artikel 6 GDPR)
Unser Unternehmen verpflichtet sich, Daten nur auf rechtmäßige Weise zu verarbeiten, um die Grundrechte der betroffenen Person nicht zu verletzen.
Die Verarbeitung personenbezogener Daten durch unser Unternehmen ist rechtmäßig, wenn sichergestellt ist, dass sie auf mindestens einer der folgenden Rechtsgrundlagen erfolgt:
(a) Die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
(b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für vorvertragliche Maßnahmen auf Antrag der betroffenen Person erforderlich;
c) die Verarbeitung personenbezogener Daten ist aufgrund einer Sonderregelung oder eines internationalen Vertrags, an den die Slowakische Republik gebunden ist, erforderlich (§ 13 Absatz 1 Buchstabe c DSGVO)
(d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
(e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
(f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
Die Rechtsgrundlagen für die einzelnen Zwecke der Verarbeitung personenbezogener Daten sind in den Verzeichnissen der Verarbeitungstätigkeiten festgelegt.
3.2 Grundsatz der Zweckbindung (Artikel 5 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung)
Unser Unternehmen erhebt personenbezogene Daten nur für speziell festgelegte, ausdrücklich genannte und rechtmäßige Zwecke und darf sie nicht in einer Weise weiterverarbeiten, die mit diesen Zwecken unvereinbar ist. Unser Unternehmen informiert die betroffene Person vor der Verarbeitung über den Zweck der Verarbeitung der personenbezogenen Daten.
Im Abschnitt über die Zuordnung personenbezogener Daten haben wir die Zwecke für die Verarbeitung individueller personenbezogener Daten dargelegt, und wir werden personenbezogene Daten nur für die in diesem Abschnitt genannten Zwecke verarbeiten.
3.3 Der Grundsatz der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c DSGVO)
Unser Unternehmen verarbeitet personenbezogene Daten so, dass diese Verarbeitung verhältnismäßig und sachdienlich ist und sich auf das notwendige Maß beschränkt, das sich aus dem Zweck ergibt, für den sie verarbeitet werden.
Um die Minimierung der personenbezogenen Daten zu gewährleisten, hat unser Unternehmen beschlossen, zu analysieren, ob die verarbeiteten Daten angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sind.
Die Ergebnisse der Datenminimierungsanalyse werden in den Aufzeichnungen über die Verarbeitungsaktivitäten dargestellt.
3.4 Grundsatz der sachlichen Richtigkeit (Artikel 5 Absatz 1 Buchstabe d) DSGVO)
Unser Unternehmen verarbeitet personenbezogene Daten so, dass sie korrekt sind und bei Bedarf aktualisiert werden, und ergreift angemessene und wirksame Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die in Bezug auf die Zwecke, für die sie verarbeitet werden, falsch sind, unverzüglich gelöscht oder berichtigt werden.
Um den Grundsatz der Korrektheit zu gewährleisten, hat unser Unternehmen den folgenden Wortlaut in der schriftlichen Zustimmung zur Verarbeitung personenbezogener Daten:
"Die betroffene Person ist verpflichtet, wahrheitsgemäße und aktuelle personenbezogene Daten anzugeben. Im Falle einer Änderung der personenbezogenen Daten hat die betroffene Person den für die Verarbeitung Verantwortlichen unverzüglich über die Änderung zu unterrichten."
3.5 Grundsatz der Minimierung der Aufbewahrung (Artikel 5 Absatz 1 Buchstabe e) DSGVO)
Personenbezogene Daten werden von unserem Unternehmen in einer Form gespeichert, die die Identifizierung der betroffenen Person ermöglicht, längstens jedoch so lange, wie es für den Zweck, für den die personenbezogenen Daten verarbeitet werden, erforderlich ist.
3.6 Grundsatz der Integrität und Vertraulichkeit (Artikel 5 Absatz 1 Buchstabe f) DSGVO)
Personenbezogene Daten werden von unserem Unternehmen in einer Weise verarbeitet, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter Verarbeitung personenbezogener Daten, unrechtmäßiger Verarbeitung personenbezogener Daten, versehentlichem Verlust personenbezogener Daten, Löschung personenbezogener Daten oder Beschädigung personenbezogener Daten durch geeignete technische oder organisatorische Maßnahmen.
3.6.1 In elektronischer Form gespeicherte personenbezogene Daten
Wir verwenden Antivirus und Firewall von IOBIT
Wir speichern und sichern Daten auf einer Backup-Festplatte, und die von uns verwendeten Stationen sind passwortgeschützt.
Wir verwenden das WPA 2-Protokoll zum Schutz des WLANs. Das Passwort wird regelmäßig geändert.
Der Computer mit den persönlichen Daten ist durch ein Passwort geschützt, das nur autorisierte Personen kennen.
Persönliche Daten werden auf meinem Computer gespeichert und dieser Computer ist passwortgeschützt
3.6.2 In Papierform (gedruckt) gespeicherte personenbezogene Daten
Physische Dokumente (gedruckte Arbeitsverträge, Kundenverträge) werden in Ordnern, Hüllen und Mappen aufbewahrt, um sie vor Beschädigungen zu schützen.
Aktenordner, Ordner mit physischen Dokumenten werden aufbewahrt:
Ein Schließfach mit Schlüssel, das sich in einem abgeschlossenen Büro befindet.
Dadurch wird sichergestellt, dass nur befugte Personen Zugang zu diesen Dokumenten haben.
3.7 Grundsatz der Rechenschaftspflicht (Artikel 5 Absatz 2 GDPR)
Unser Unternehmen ist verantwortlich für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten, für die Übereinstimmung der Verarbeitung personenbezogener Daten mit den Grundsätzen der Verarbeitung personenbezogener Daten und ist verpflichtet, diese Übereinstimmung mit den Grundsätzen der Verarbeitung personenbezogener Daten auf Verlangen der Behörde nachzuweisen.
4. Bedingungen für die Zustimmung zur Verarbeitung personenbezogener Daten (Artikel 7 GDPR)
Wir stellen sicher, dass die folgenden Bedingungen erfüllt sind, wenn die betroffene Person ihre Einwilligung gibt
(a) Die Einwilligung in die Verarbeitung personenbezogener Daten muss freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erteilt werden.
(b) Das Ersuchen um Zustimmung muss in einer Weise gestellt werden, die sich deutlich von anderen Tatsachen unterscheidet, in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Weise formuliert sein.
(c) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf. Die betroffene Person wird vor der Erteilung der Einwilligung über diese Tatsache informiert. Der Widerruf der Zustimmung muss so einfach sein wie die Erteilung.
5. Bedingungen für die Einwilligung des Kindes in Bezug auf Dienste der Informationsgesellschaft (Artikel 8 DSGVO)
Findet Artikel 6 Absatz 1 Buchstabe a Anwendung, so ist die Verarbeitung personenbezogener Daten des Kindes im Rahmen eines Angebots von Diensten der Informationsgesellschaft, das sich direkt an ein Kind richtet, nur rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind jünger als 16 Jahre, so ist eine solche Verarbeitung nur rechtmäßig, wenn und soweit der Träger der elterlichen Verantwortung seine Einwilligung erteilt oder genehmigt hat.
In solchen Fällen unternimmt unser Unternehmen angemessene Anstrengungen, um zu überprüfen, ob der Inhaber der elterlichen Rechte und Pflichten zugestimmt hat, wobei die verfügbaren Technologien berücksichtigt werden.
6. Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 GDPR)
Die DSGVO verbietet die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zur individuellen Identifizierung einer natürlichen Person, von Daten über Gesundheit oder von Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.
Dieses Verbot gilt jedoch nicht, wenn eine der Bedingungen von Artikel 9 Absatz 2 der Datenschutz-Grundverordnung (a) - (j) zutrifft
Meistens handelt es sich um einen der Buchstaben a) oder b) von Artikel 9 Absatz 2 der Datenschutz-Grundverordnung:
(a) die betroffene Person ausdrücklich in die Verarbeitung dieser personenbezogenen Daten für einen oder mehrere festgelegte Zwecke eingewilligt hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten sieht vor, dass das in Absatz 1 genannte Verbot von der betroffenen Person nicht widerrufen werden kann;
(b) die Verarbeitung ist für die Erfüllung der Pflichten und die Ausübung der besonderen Rechte des für die Verarbeitung Verantwortlichen oder der betroffenen Person auf dem Gebiet des Arbeitsrechts, der sozialen Sicherheit und des Sozialschutzes erforderlich
7. Rechte der betroffenen Person (Kapitel 3 GDPR)
Die Rechte der betroffenen Person sind in Kapitel 3 der DSGVO geregelt, und unser Unternehmen verpflichtet sich, sie zu respektieren.
Zum Beispiel die folgenden Rechte:
7.1 Informationen, die bei der Einholung personenbezogener Daten von der betroffenen Person zu erteilen sind (Artikel 13 DSGVO)
Unser Unternehmen wird der betroffenen Person bei der Verarbeitung personenbezogener Daten folgende Informationen zur Verfügung stellen:
a) Informationen über unser Unternehmen
(b) die Kontaktdaten der verantwortlichen Person, falls vorhanden;
(c) die Zwecke der Verarbeitung
(d) die Rechtsgrundlage für die Verarbeitung
(e) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung beruht, die berechtigten Interessen des für die Verarbeitung Verantwortlichen oder des Dritten;
(f) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern vorhanden;
(g) die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
(h) das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen Auskunft über die die betroffene Person betreffenden personenbezogenen Daten zu verlangen, sowie das Recht auf Berichtigung oder Löschung oder Einschränkung der Verarbeitung oder auf Widerspruch gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit;
(i) im Falle der Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a der Datenschutz-Grundverordnung das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der vor dem Widerruf erteilten Einwilligung berührt wird;
(j) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
(k) Informationen darüber, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines Vertrags erforderlich ist, ob die betroffene Person verpflichtet ist, personenbezogene Daten bereitzustellen, sowie über die möglichen Folgen einer Nichtbereitstellung dieser Daten;
(l) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 der DSGVO, und zumindest in diesen Fällen aussagekräftige Informationen über das angewandte Verfahren sowie die Bedeutung und die vorhersehbaren Folgen einer solchen Verarbeitung für die betroffene Person.
7.2 Zu erteilende Informationen, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14 DSGVO)
Unser Unternehmen stellt der betroffenen Person, sofern die personenbezogenen Daten nicht von ihr selbst stammen, alle unter Punkt 7.1 dieser Organisationsrichtlinie genannten Informationen zur Verfügung sowie die Quelle der personenbezogenen Daten oder gegebenenfalls die Information, ob die Daten aus öffentlich zugänglichen Quellen stammen.
Unser Unternehmen informiert die betroffene Person innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten gemäß Artikel 14 Absatz 3 der DSGVO verarbeitet werden
Unser Unternehmen wird der betroffenen Person diese Informationen in den in Artikel 14 Absatz 5 der DSGVO genannten Fällen nicht zur Verfügung stellen, insbesondere wenn:
(a) die betroffene Person bereits über die Informationen verfügt
(b) die Bereitstellung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde
(c) die Beschaffung oder Weitergabe ausdrücklich im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, vorgesehen ist und dieses Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person am Zugang zu den Daten vorsieht (Artikel 15 DS-GVO)
7.3 Recht der betroffenen Person auf Auskunft (Artikel 15 DSGVO)
Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Zugang zu diesen personenbezogenen Daten zu erhalten
7.4 Recht auf Berichtigung (Artikel 16 GDPR)
Die betroffene Person hat das Recht, unrichtige personenbezogene Daten, die sie betreffen, unverzüglich von dem für die Verarbeitung Verantwortlichen berichtigen zu lassen. Im Hinblick auf die Zwecke der Verarbeitung hat die betroffene Person das Recht, unvollständige personenbezogene Daten vervollständigen zu lassen, auch durch Abgabe einer ergänzenden Erklärung.
7.5 Recht auf Löschung (Recht auf Vergessenwerden, Artikel 17 GDPR)
Die betroffene Person hat ferner das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der für die Verarbeitung Verantwortliche hat die personenbezogenen Daten unverzüglich zu löschen, wenn einer der folgenden Gründe gegeben ist:
(a) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
(b) die betroffene Person ihre Einwilligung, auf deren Grundlage die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a erfolgt, widerruft und es keine andere Rechtsgrundlage für die Verarbeitung gibt;
(c) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 einlegt und keine berechtigten Gründe für die Verarbeitung vorliegen oder die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 2 einlegt;
(d) die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
(e) die personenbezogenen Daten gelöscht werden müssen, um einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, nachzukommen;
(f) die personenbezogenen Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
7.6 Recht auf Einschränkung der Verarbeitung (Artikel 18 GDPR)
Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Einschränkung der Verarbeitung in einem der folgenden Fälle zu verlangen:
(a) die betroffene Person die Richtigkeit der personenbezogenen Daten während eines Zeitraums bestreitet, der es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(b) die Verarbeitung unrechtmäßig ist und die betroffene Person der Löschung der personenbezogenen Daten widerspricht und stattdessen die Einschränkung ihrer Verwendung verlangt;
(c) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie jedoch zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
(d) die betroffene Person hat gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung eingelegt, solange nicht nachgewiesen ist, dass die berechtigten Gründe des für die Verarbeitung Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Meldepflicht in Bezug auf die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung (Artikel 19 GDPR)
Der für die Verarbeitung Verantwortliche unterrichtet jeden Empfänger, dem die personenbezogenen Daten übermittelt wurden, über die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß Artikel 16, Artikel 17 Absatz 1 und Artikel 18, es sei denn, dies erweist sich als unmöglich oder erfordert einen unverhältnismäßigen Aufwand. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies wünscht.
7.7 Recht auf Datenübertragbarkeit (Artikel 20 GDPR)
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der für die Verarbeitung Verantwortliche, dem die personenbezogenen Daten übermittelt wurden, dies verhindern kann:
(a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
(b) wenn die Verarbeitung mit Hilfe automatisierter Verfahren durchgeführt wird.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem für die Verarbeitung Verantwortlichen an einen anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
7.8 Widerspruchsrecht (Artikel 21 GDPR)
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
7.9 Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling (Artikel 22 GDPR)
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
8. Die Verantwortung des ANBIETERS (Artikel 24 GDPR)
Unser Unternehmen als Betreiber verpflichtet sich, die folgenden allgemeinen Verpflichtungen einzuhalten:
a) Unter Berücksichtigung der Art, des Umfangs und des Zwecks der Verarbeitung personenbezogener Daten sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte der natürlichen Person verpflichten wir uns, geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen und nachzuweisen, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt.
(b) Wir werden diese Maßnahmen bei Bedarf aktualisieren.
c) Wir überprüfen regelmäßig die Dauer des Zwecks der Verarbeitung personenbezogener Daten und stellen sicher, dass personenbezogene Daten unverzüglich gelöscht werden, wenn der Zweck erfüllt ist.
d) Unser Unternehmen wahrt die Vertraulichkeit der von ihm verarbeiteten personenbezogenen Daten. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Verarbeitung personenbezogener Daten fort.
9. Speziell konzipierter und standardisierter Datenschutz (Artikel 25 GDPR)
Unser Unternehmen verpflichtet sich, vor der Verarbeitung personenbezogener Daten und während der Verarbeitung personenbezogener Daten spezielle Datenschutzmaßnahmen zu ergreifen, die in der Annahme geeigneter technischer und organisatorischer Maßnahmen bestehen, beispielsweise auch in Form von Pseudonymisierung, um angemessene Garantien für den Schutz personenbezogener Daten wirksam umzusetzen und die DSGVO einzuhalten.
Unser Unternehmen verpflichtet sich, bei der konkreten Ausgestaltung des Schutzes personenbezogener Daten den Stand der Technik des Datenschutzes, die Kosten der Umsetzung der Maßnahmen, die Art, den Umfang, den Kontext und den Zweck der Verarbeitung personenbezogener Daten sowie die Risiken der Verarbeitung personenbezogener Daten mit unterschiedlicher Wahrscheinlichkeit und Schwere, die die Verarbeitung personenbezogener Daten für die Rechte der betroffenen Person darstellt, zu berücksichtigen.
Unser Unternehmen verpflichtet sich zu einem einheitlichen Datenschutz, der darin besteht, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um zu gewährleisten, dass personenbezogene Daten nur für einen bestimmten Zweck verarbeitet werden, dass die Menge der erhobenen personenbezogenen Daten und der Umfang ihrer Verarbeitung, die Aufbewahrungsfrist und die Verfügbarkeit der personenbezogenen Daten auf ein Mindestmaß beschränkt werden. Unser Unternehmen stellt sicher, dass personenbezogene Daten nicht standardmäßig einer unbegrenzten Anzahl von natürlichen Personen zugänglich sind, ohne dass die natürliche Person eingreifen muss.
10. Vermittler (Artikel 28 GDPR)
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Unser Unternehmen als Verantwortlicher setzt Auftragsverarbeiter ein, die in seinem Auftrag personenbezogene Daten verarbeiten. Dazu gehören zum Beispiel eine Buchhaltungsfirma und ein Arbeitsschutztechniker.
Folgende Auftragsverarbeiter verarbeiten Daten für unser Unternehmen
- ATM smart s.r.o., Kraskova 2, Nové
Unser Unternehmen wird nur Auftragsverarbeiter einsetzen, die ausreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Person gewährleistet.
Die Verarbeitung durch den Auftragsverarbeiter für unser Unternehmen wird durch den "Vertrag über die Verarbeitung personenbezogener Daten" geregelt, von dem ein Muster diesem Dokument beigefügt ist. Sie bindet den Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen und legt den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters fest.
Unser Unternehmen wird Änderungen an den Verträgen mit den vorgenannten Vermittlern unterzeichnen, um sicherzustellen, dass die Verträge allen Anforderungen der DSGVO entsprechen.
11. Aufzeichnungen über Verarbeitungstätigkeiten (Artikel 30 GDPR)
Siehe Anhang
11.1 Aufzeichnungen über die Verarbeitungstätigkeiten des für die Verarbeitung Verantwortlichen
Als für die Verarbeitung Verantwortlicher führen wir Aufzeichnungen über die Verarbeitungstätigkeiten und stellen sie der Aufsichtsbehörde auf Anfrage zur Verfügung. Diese Aufzeichnungen enthalten die folgenden Daten:
(a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls des gemeinsam für die Verarbeitung Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen und der verantwortlichen Person;
(b) die Zwecke der Verarbeitung;
(c) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
(d) die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
(e) gegebenenfalls Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und - im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der Datenschutz-Grundverordnung - der Dokumentation der geeigneten Garantien;
(f) soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
(g) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 32 Absatz 1. GDPR
11.2 Aufzeichnungen über die Verarbeitungstätigkeiten des Auftragsverarbeiters
Unser Unternehmen führt als Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten und stellt es der Aufsichtsbehörde auf Anfrage zur Verfügung. Diese Aufzeichnungen enthalten die folgenden Daten:
(a) Name(n) und Kontaktdaten des/der Auftragsverarbeiter(s) und des für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der verantwortlichen Person;
(b) die Kategorien von Verarbeitungen, die im Auftrag des jeweiligen für die Verarbeitung Verantwortlichen durchgeführt werden;
(c) gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und - im Falle von Übermittlungen nach Artikel 49 Absatz 1 Unterabsatz 2 - der Dokumentation geeigneter Garantien;
(d) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 32 Absatz 1. GDPR
12. Sicherheit der Verarbeitung (Artikel 32 GDPR)
Unser Unternehmen trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Erlaubnis zur Verarbeitung personenbezogener Daten (Artikel 32 Absatz 4 DSGVO)
Unser Unternehmen ergreift Maßnahmen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters handelt und Zugang zu personenbezogenen Daten hat, diese Daten nur auf unsere Anweisung hin verarbeitet, es sei denn, dies ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
13. Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Artikel 33 und 34 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet unser Unternehmen die Verletzung des Schutzes personenbezogener Daten unverzüglich und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden dieser Tatsache über die Website der Aufsichtsbehörde - https://dataprotection.gov.sk/uoou/dp/dp-breach - an die Aufsichtsbehörde.
Ist die Meldung nicht innerhalb von 72 Stunden bei der Aufsichtsbehörde eingegangen, so ist ihr eine Begründung für die Verzögerung beizufügen.
Die Benachrichtigung über die Datenschutzverletzung muss mindestens folgende Angaben enthalten:
(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
(b) die Kontaktdaten unseres Datenschutzbeauftragten für weitere Informationen über die Datenschutzverletzung;
(c) eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(d) eine Beschreibung der Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen oder vorgeschlagen hat, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wir dokumentieren jeden Fall einer Datenverletzung, einschließlich der Fakten rund um die Datenverletzung, ihrer Folgen und der getroffenen Abhilfemaßnahmen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, werden wir die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.
14. Datenschutz-Folgenabschätzung (Artikel 35)
Kann die Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, so nimmt der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz personenbezogener Daten vor.
Eine Datenschutz-Folgenabschätzung ist insbesondere in den Fällen erforderlich, in denen:
(a) eine systematische und umfassende Bewertung personenbezogener Aspekte natürlicher Personen auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, auf die sich Entscheidungen stützen, die rechtliche Auswirkungen auf die natürliche Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen;
(b) groß angelegte Verarbeitungen besonderer Datenkategorien gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10; oder
(c) systematische groß angelegte Überwachung von öffentlich zugänglichen Standorten.
Die Verarbeitungstätigkeiten unseres Unternehmens umfassen nicht die oben genannten Fälle, daher ist eine Datenschutz-Folgenabschätzung nicht erforderlich.
15. Benennung der verantwortlichen Person (Kapitel 4, Abschnitt 4 der Datenschutzgrundverordnung)
Der Betreiber muss eine verantwortliche Person benennen, wenn
(a) die Verarbeitung personenbezogener Daten durch eine Behörde oder eine öffentliche Stelle erfolgt, mit Ausnahme der Gerichte bei der Ausübung ihrer Zuständigkeit,
(b) die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters Verarbeitungen sind, die aufgrund ihrer Art, ihres Umfangs oder ihres Zwecks eine regelmäßige und systematische Überwachung der betroffenen Person in großem Umfang erfordern, oder
(c) die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO oder in der umfangreichen Verarbeitung personenbezogener Daten im Zusammenhang mit einem Schuldeingeständnis wegen einer Straftat oder einer Ordnungswidrigkeit gemäß Artikel 10 der DSGVO.
Da unser Unternehmen keine dieser Bedingungen erfüllt, benennt es keine verantwortliche Person.
16. ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN AN EIN DRITTLAND ODER EINE INTERNATIONALE ORGANISATION
Die Übermittlung personenbezogener Daten, die nach der Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden oder verarbeitet werden sollen, darf nur erfolgen, wenn der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Bedingungen einhalten, einschließlich der Bedingungen für die Weiterübermittlung der personenbezogenen Daten aus dem betreffenden Drittland oder von der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation.
Die Datenschutzbehörde veröffentlicht auf ihrer Website eine Liste der Drittländer, Gebiete und benannten Sektoren in dem betreffenden Drittland sowie der internationalen Organisationen, für die die Europäische Kommission entschieden hat, dass ein angemessenes Schutzniveau gewährleistet ist oder nicht mehr gewährleistet wird.
Die Liste ist unter https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-zarucujucich-primeranu-uroven-ochrany abrufbar.
Unser Unternehmen überwacht diese Liste regelmäßig und hält sich an Kapitel 4 der DSGVO, falls es personenbezogene Daten in Länder übermittelt, die nicht auf der Liste der Datenschutzbehörde stehen.
17. Schweigen (§ 79 ZoOOÚ)
Unser Unternehmen ist verpflichtet, die Vertraulichkeit der von ihm verarbeiteten personenbezogenen Daten zu wahren. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Verarbeitung personenbezogener Daten fort.
Unser Unternehmen ist auch verpflichtet, Personen, die bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter mit personenbezogenen Daten in Berührung kommen, zur Wahrung der Vertraulichkeit der personenbezogenen Daten zu verpflichten. Die Verschwiegenheitspflicht nach Satz 1 muss auch nach Beendigung des Arbeitsverhältnisses, des Beamtenverhältnisses, des Dienstverhältnisses oder eines vergleichbaren Beschäftigungsverhältnisses der natürlichen Person fortbestehen.