Datenschutzrichtlinie

Richtlinien zum Schutz personenbezogener Daten


1. Dieses Dokument mit dem Titel "Richtlinien zum Schutz personenbezogener Daten" (im Folgenden: Richtlinien) definiert die Anforderungen, Grundsätze und Vorschriften für den Schutz personenbezogener Daten in der in Kokotowie, Kokotów 703, 32-002 Węgrzce Wielkie (nachstehend als Gesellschaft bezeichneten) GmbH mit beschränkter Haftung ).

Diese Richtlinie ist eine Politik zum Schutz personenbezogener Daten im Sinne der RODO - Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27/04/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 / EG (allgemeine Datenschutzverordnung) (ABl. EU L 119, S. 1).

2. Die Politik umfasst:
a) eine Beschreibung der in der Gesellschaft geltenden Datenschutzbestimmungen,
b) Verweise auf ergänzende Anhänge (Referenzverfahren oder Anweisungen zu bestimmten Bereichen des Schutzes personenbezogener Daten, die eine nähere Angabe der Dokumente erfordern).

3. Verantwortlich für die Umsetzung und Pflege dieser Richtlinie ist gemäß den Regeln
Vertretung der Firma:
a) ein Mitglied des Verwaltungsrats, das mit der Überwachung des Bereichs des Schutzes personenbezogener Daten betraut wurde.
b) eine vom Board benannte Person, um die Einhaltung des Schutzes personenbezogener Daten sicherzustellen; für
Überwachung und Überwachung der Einhaltung der Richtlinien sind:
c) Datenschutzbeauftragter, falls im Unternehmen bestellt,
d) Interne Revisionseinheit, wenn sie in der Gesellschaft tätig ist;

4. Für die Anwendung dieser Richtlinie sind folgende Personen verantwortlich:
a) Das Unternehmen
b) Organisationseinheit, die für den Bereich Informationssicherheit zuständig ist,
c) Organisationseinheiten, die personenbezogene Daten in großem Umfang verarbeiten,
d) andere Organisationseinheiten,
e) alle Mitarbeiter der Gesellschaft.

Das Unternehmen sollte auch sicherstellen, dass das Verhalten der Vertragspartner des Unternehmens mit dieser Richtlinie in dem Umfang vereinbar ist, in dem sie vom Unternehmen personenbezogene Daten übermittelt werden.

5. Abkürzungen und Definitionen
• Richtlinie bedeutet diese Richtlinie zum Schutz personenbezogener Daten, sofern sich aus dem Kontext nichts anderes ergibt.
• RODO steht für die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 / EG (allgemeine Schutzverordnung) Daten) (ABl. EU L 119, S. 1).
• Daten sind personenbezogene Daten, sofern sich aus dem Zusammenhang nichts anderes ergibt.
• Als Sonderkategoriedaten gelten die in Artikel 9 Absatz 1 der DS-GVO aufgeführten Daten, dh personenbezogene Daten, aus denen Rasse oder ethnische Herkunft, politische Ansichten, religiöse oder ideologische Überzeugungen, Gewerkschaftsmitgliedschaft, genetische und biometrische Daten hervorgehen, um eine natürliche Person eindeutig zu identifizieren oder Daten zu Gesundheit, Sexualität oder sexueller Orientierung.
• Strafdaten sind in Artikel 10 der DSGVO aufgeführte Daten, d. H. Daten zu Verurteilungen und Gesetzesverstößen.
• Daten für Kinder sind Daten von Personen unter 16 Jahren.
• Die Person bezeichnet die Person, auf die sich die Daten beziehen, sofern sich aus dem Kontext nichts anderes ergibt.
• Verarbeitende Entität ist eine Organisation oder Person, die mit der Verarbeitung personenbezogener Daten durch das Unternehmen betraut ist (z. B. ein IT-Diensteanbieter, Entität, die an der Erbringung der von dem Unternehmen erbrachten Dienstleistungen beteiligt ist).
• Profiling bezeichnet jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der personenbezogene Daten zur Beurteilung einiger persönlicher Faktoren der Person verwendet werden, insbesondere zur Analyse oder Vorhersage von Aspekten der Auswirkungen der Arbeit dieser Person, ihrer wirtschaftlichen Situation, ihrer Gesundheit, ihrer persönlichen Vorlieben, ihrer Interessen und ihrer Zuverlässigkeit Verhalten, Ort oder Bewegung.
• Datenexport bedeutet die Übertragung von Daten in ein Drittland oder eine internationale Organisation.
• IOD oder Inspector ist der Inspektor für den Schutz personenbezogener Daten.
• RCPD oder Registry bezeichnet das Register für die Verarbeitung personenbezogener Daten.
Das Unternehmen bedeutet CENTER ZOO spółka z ograniczoną odpowiedzialnością mit Sitz in Kokotów.

6. Schutz personenbezogener Daten im Unternehmen, allgemeine Regeln:
a) Säulen des Schutzes personenbezogener Daten im Unternehmen:
• Rechtmäßigkeit - Das Unternehmen achtet auf den Schutz der Privatsphäre und verarbeitet Daten gemäß den gesetzlichen Bestimmungen.
• Sicherheit - Das Unternehmen gewährleistet ein angemessenes Maß an Datensicherheit und ergreift ständig Maßnahmen in diesem Bereich.
• Rechte von Einzelpersonen - Das Unternehmen ermöglicht es Personen, die Daten verarbeiten, ihre Rechte wahrzunehmen und diese Rechte umzusetzen.
• Verantwortlichkeit - Das Unternehmen dokumentiert, wie es seinen Verpflichtungen nachkommt, Compliance jederzeit nachzuweisen.

b) Die Gesellschaft verarbeitet personenbezogene Daten nach folgenden Grundsätzen:
• basierend auf der Rechtsgrundlage und im Einklang mit dem Gesetz (Legalismus);
• ehrlich und ehrlich (Fairness);
• transparent für die betroffene Person (Transparenz);
• für bestimmte Zwecke und nicht "auf Lager" (Minimierung);
• nicht mehr als notwendig (Angemessenheit);
• unter Beachtung der Datengenauigkeit (Korrektheit) 

;
• nicht mehr als nötig (zeitliche Abhängigkeit);
• Gewährleistung einer angemessenen Datensicherheit (Sicherheit).

7. Datenschutzsystem:
Das System zum Schutz personenbezogener Daten in der Firma besteht aus folgenden Elementen:
a) Datenbestand Das Unternehmen identifiziert personenbezogene Datenressourcen im Unternehmen, Datenklassen, Beziehungen zwischen Datenressourcen, Identifikation von Datennutzungsmethoden (Inventar), einschließlich:
• Fälle, in denen Sonderkategoriedaten und kriminelle Daten verarbeitet werden;
• Fälle der Datenverarbeitung von Personen, die das Unternehmen nicht identifiziert (Daten
unidentifizierten / UFO);
• Fälle der Datenverarbeitung von Kindern;
• Profilierung;
• gemeinsame Datenverwaltung.
b) Registrieren. Das Unternehmen entwickelt, pflegt und führt ein Register der Aktivitäten für personenbezogene Daten im Unternehmen (Register). Das Register ist ein Instrument zur Bilanzierung der Einhaltung des Datenschutzes im Unternehmen.
c) Rechtsgrundlage. Das Unternehmen gibt die rechtlichen Gründe für die Datenverarbeitung an, identifiziert sie, prüft sie und registriert sie im Register, einschließlich:
• unterhält ein System zur Verwaltung der Zustimmungen für die Datenverarbeitung und Fernkommunikation,
• Inventarisierung und Angabe der Gründe für Fälle, in denen das Unternehmen Daten auf der Grundlage von verarbeitet
berechtigtes Interesse der Gesellschaft.
d) Umgang mit individuellen Rechten. Das Unternehmen erfüllt seine Informationspflichten gegenüber den Personen, deren Daten es verarbeitet, und stellt die Wahrung seiner Rechte sicher, indem es die diesbezüglichen Anfragen umsetzt, einschließlich:
• Informationspflichten. Die Gesellschaft stellt den berechtigten Personen bei der Datenerhebung und in anderen Situationen die erforderlichen rechtlichen Informationen zur Verfügung und organisiert und stellt die Erfüllung dieser Pflichten nachweislich bereit.
• die Fähigkeit, Anfragen zu stellen. Das Unternehmen prüft und gewährleistet die Möglichkeit der effektiven Ausführung jeder Art von Anforderung durch sich selbst und seine Verarbeiter.
• Anfragen bearbeiten. Das Unternehmen sorgt für angemessene Ausgaben und Verfahren, um sicherzustellen, dass die Anträge der Menschen rechtzeitig und in der vom BIP geforderten und dokumentierten Art und Weise gestellt werden.
• Benachrichtigung bei Verstößen. Das Unternehmen wendet Verfahren an, um die Notwendigkeit zu ermitteln, die von der festgestellten Datenschutzverletzung betroffenen Personen zu benachrichtigen.
e) Minimierung. Das Unternehmen verfügt über Grundsätze und Methoden zur Verwaltung der Minimierung (Datenschutz standardmäßig), einschließlich:
• Grundsätze des Datenadäquanzmanagements;
• Grundsätze der Regulierung und Verwaltung des Zugangs zu Daten;
• Regeln für die Verwaltung der Datenspeicherung und Überprüfung der weiteren Eignung.
f) Sicherheit Das Unternehmen gewährleistet ein angemessenes Sicherheitsniveau
Daten, einschließlich:
• führt Risikoanalysen für Datenverarbeitungsaktivitäten oder -kategorien durch;
• führt Folgenabschätzungen zum Datenschutz durch, wenn das Risiko einer Verletzung von Rechten und Freiheiten hoch ist;
• passt die Datenschutzmaßnahmen an das angegebene Risiko an;
• verfügt über ein Informationssicherheits-Managementsystem;
• verwendet Verfahren, um identifizierte Datenverletzungen zu identifizieren, zu bewerten und an die Datenschutzbehörde zu melden - Vorfälle verwalten.
g) Prozessor. Das Unternehmen hat Regeln für die Auswahl der Datenverarbeitung zum Nutzen des Unternehmens, Anforderungen an die Verarbeitungsbedingungen (Betrauungsvertrag) und Regeln für die Überprüfung der Erfüllung von Betrauungsvereinbarungen.
h) Datenexport Das Unternehmen verfügt über Regeln zur Überprüfung, dass das Unternehmen keine Daten an Länder übermittelt
Drittstaaten (dh außerhalb der EU, Norwegen, Liechtenstein, Island) oder an internationale Organisationen
und um die rechtmäßigen Bedingungen für eine solche Übertragung zu gewährleisten, falls vorhanden.
i) Datenschutz durch Gestaltung. Das Unternehmen verwaltet Änderungen, die sich auf den Datenschutz auswirken. Zu diesem Zweck berücksichtigen die Verfahren für den Start neuer Projekte im Unternehmen die Notwendigkeit, die Auswirkungen von Änderungen auf den Datenschutz, die Risikoanalyse, die Gewährleistung des Datenschutzes (und die Einhaltung der Verarbeitungsziele, die Datensicherheit und -minimierung) bereits in der Entwurfsphase einer Änderung oder zu Beginn eines neuen Projekts zu bewerten.
j) grenzüberschreitende Abwicklung Das Unternehmen hat die Regeln für die Überprüfung der grenzüberschreitenden Verarbeitung sowie die Grundsätze für die Festlegung des führenden Aufsichtsorgans und der Hauptorganisationseinheit im Sinne des RODO.

8. Inventar
a) Angaben zu bestimmten Kategorien und Strafdaten:
Das Unternehmen verarbeitet keine spezifischen Kategoriedaten oder kriminellen Daten.
b) Nicht identifizierte Daten:
Das Unternehmen identifiziert Fälle, in denen es nicht identifizierte Daten verarbeitet oder verarbeiten kann, und unterhält Mechanismen, die die Umsetzung der Rechte von Personen ermöglichen, die von nicht identifizierten Daten betroffen sind.
c) Profilierung
Das Unternehmen identifiziert Fälle, in denen die Profilierung der verarbeiteten Daten durchgeführt wird, und unterhält Mechanismen, die die Übereinstimmung dieses Prozesses mit dem Gesetz sicherstellen. Bei der Identifizierung von Fällen von Profilerstellung und automatisierter Entscheidungsfindung beachtet die Gesellschaft die diesbezüglichen Regeln.
d) Mitverabreichung
Das Unternehmen verwaltet die Daten nicht gemeinsam.

9. REGISTRIERUNG VON DATENVERARBEITUNGSAKTIVITÄTEN
a) RCPD ist eine Form der Dokumentation von Datenverarbeitungsaktivitäten, fungiert als Datenverarbeitungskarte und ist eines der Schlüsselelemente, die die Implementierung des Fonds ermöglichen 

der allgemeine Grundsatz, auf dem das gesamte System des Schutzes personenbezogener Daten beruht, das sind die Grundsätze der Verantwortlichkeit.
b) Das Unternehmen führt einen Datenverarbeitungsdatensatz, in dem es die Art und Weise überprüft, in der es personenbezogene Daten verwendet.
c) Die Kanzlei ist eines der grundlegenden Tools, mit denen das Unternehmen die meisten Datenschutzverpflichtungen erfüllen kann.
d) Im Register erfasst das Unternehmen für jede Datenverarbeitungsaktivität, die das Unternehmen für die Anforderungen des Registers als getrennt betrachtet, mindestens Folgendes:
• Name der Tätigkeit
• den Zweck der Verarbeitung,
• Beschreibung der Kategorie von Personen,
• Beschreibung der Datenkategorien
• die Rechtsgrundlage der Verarbeitung, einschließlich der Kategorie des berechtigten Interesses der Gesellschaft, wenn sie auf einem berechtigten Interesse beruht,
• Art und Weise der Datenerhebung
• Beschreibung der Kategorien der Datenempfänger (einschließlich der Verarbeiter),
• Informationen zu Transfers außerhalb der EU / des EWR;
• eine allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.
e) Das Formular des Registers ist Anhang Nr. 1 der Richtlinie - "Muster des Registers der Datenverarbeitungsaktivitäten". Die Register-Vorlage enthält auch optionale Spalten. In nicht obligatorischen Spalten registriert das Unternehmen die erforderlichen Informationen und Möglichkeiten, wobei zu berücksichtigen ist, dass der umfassendere Inhalt des Registers die Verwaltung und Einhaltung der Datenschutzbestimmungen erleichtert.

10. GRÜNDE FÜR DIE VERARBEITUNG
a) Die Gesellschaft dokumentiert im Register die rechtlichen Gründe für die Datenverarbeitung für bestimmte Verarbeitungstätigkeiten.
b) Durch die Angabe der allgemeinen Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, wesentliche Interessen, rechtmäßiger Zweck der Gesellschaft) in den Dokumenten legt die Gesellschaft die Grundlage genau und lesbar fest, wenn dies erforderlich ist. Zum Beispiel für die Einwilligung - Angabe des Geltungsbereichs, wenn das Gesetz die Grundlage ist - Angabe einer bestimmten Bestimmung und anderer Dokumente, z. B. Vereinbarung, Verwaltungsvereinbarung, lebenswichtige Interessen - Angabe von Kategorien von Ereignissen, in denen sie eintreten, legitimer Zweck - Angabe eines bestimmten Ziels, beispielsweise Marketing eigene, Ansprüche zu verfolgen.
c) Das Unternehmen setzt die Einwilligungsverwaltungsmethoden ein, die die Registrierung und Überprüfung der Zustimmung der Person zur Verarbeitung ihrer spezifischen Daten für einen bestimmten Zweck, die Zustimmung zur Fernkommunikation (E-Mail, Telefon, SMS usw.) und die Registrierung der Einwilligungsverweigerung, den Widerruf der Zustimmung und ähnliche Aktivitäten ( Einspruch, Einschränkung usw.).
d) Der Manager der Organisationseinheit des Unternehmens ist verpflichtet, die Rechtsgrundlage zu kennen, auf deren Grundlage die Zelle, die er / sie leitet, bestimmte Aktivitäten zur Verarbeitung personenbezogener Daten durchführt. Wenn das berechtigte Interesse des Unternehmens darauf beruht, ist der Manager des Unternehmens verpflichtet, das spezifische Interesse des Unternehmens zu kennen, das gerade bearbeitet wird.

11. FUNKTIONSWEISE DER RECHTE DER EINHEIT UND INFORMATIONSVERPFLICHTUNGEN
a) Das Unternehmen achtet auf die Lesbarkeit und den Stil der bereitgestellten Informationen und die Kommunikation mit den Personen, deren Daten es verarbeitet.
b) Die Gesellschaft ermöglicht den Menschen, ihre Rechte durch verschiedene Aktivitäten geltend zu machen. Dazu gehören: Aufrufen von Informationen oder Einsprüchen auf der Website der Gesellschaft zu Informationen über die Rechte von Einzelpersonen, deren Verwendung in der Gesellschaft, einschließlich Identifizierungsanforderungen, Kontaktmöglichkeiten mit der Gesellschaft zu diesem Zweck eine optionale Liste von "zusätzlichen" Anfragen usw.
c) Die Gesellschaft achtet auf die Einhaltung gesetzlicher Fristen für die Erfüllung von Verpflichtungen gegenüber Personen.
d) Die Gesellschaft führt angemessene Methoden zur Identifizierung und Authentifizierung von Personen zur Verwirklichung der individuellen Rechte und Informationspflichten ein.
e) Zur Umsetzung der Rechte des Unternehmens stellt die Gesellschaft Verfahren und Mechanismen zur Verfügung, die dies zulassen
Daten bestimmter Personen, die vom Unternehmen verarbeitet werden, identifizieren, diese Daten einbinden, Änderungen daran vornehmen und auf integrierte Weise löschen;
f) Die Gesellschaft dokumentiert den Umgang mit Informationspflichten, Mitteilungen und Anfragen von Personen.

12. INFORMATIONSPFLICHTEN
a) Die Gesellschaft definiert rechtmäßige und wirksame Wege zur Erfüllung ihrer Pflichten
Informationen.
b) Das Unternehmen informiert die Person über die Verlängerung der Frist für die Prüfung des Antrags dieser Person um mehr als einen Monat.
c) Das Unternehmen informiert die Person über die Verarbeitung seiner Daten, wenn Daten von dieser Person erhoben werden.
d) Die Gesellschaft informiert die Person über die Verarbeitung ihrer Daten, wenn indirekt Daten über diese Person erhoben werden.
e) Das Unternehmen definiert die Methode, um die Menschen über die Verarbeitung nicht identifizierter Daten zu informieren, sofern dies möglich ist (z. B. eine Platte in dem von Videoüberwachung abgedeckten Bereich).
f) Die Gesellschaft informiert die Person über die geplante Änderung des Zwecks der Datenverarbeitung.
g) Das Unternehmen informiert die Person vor dem Widerruf der Bearbeitungsgrenze.
h) Das Unternehmen informiert die Empfänger über die Berichtigung, Löschung oder Einschränkung der Datenverarbeitung (es sei denn, dies erfordert einen unverhältnismäßig großen Aufwand oder ist unmöglich).
i) Die Gesellschaft informiert die Person spätestens bis zum Datum des Widerspruchsrechts gegen die Datenverarbeitung
erster Kontakt mit dieser Person.
j) Das Unternehmen muss die Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren, wenn
Es besteht die Gefahr, dass die Rechte oder Freiheiten dieser Person verletzt werden.

13. ANTRAG AUF MENSCHEN
a) Rechte Dritter. Umsetzung der Rechte der betroffenen Personen, SDas Regal bietet Verfahrensgarantien zum Schutz der Rechte und Freiheiten Dritter. Insbesondere wenn zuverlässige Informationen eingehen, kann die Ausführung einer Anfrage einer Person nach einer Kopie der Daten oder des Rechts zur Übertragung der Daten die Rechte und Freiheiten anderer beeinträchtigen (z. B. ein Gesetz zum Schutz der Daten anderer Personen, Rechte des geistigen Eigentums, Geschäftsgeheimnisse,
kann das Unternehmen die Person auffordern, Zweifel zu klären oder andere rechtmäßige Schritte zu unternehmen, einschließlich der Weigerung, die Anfrage zu erfüllen.
b) Nicht verarbeitend. Das Unternehmen teilt der Person mit, dass es keine diesbezüglichen Daten verarbeitet, wenn diese Person eine Anfrage bezüglich ihrer Rechte gestellt hat.
c) Ablehnung. Das Unternehmen teilt der Person innerhalb eines Monats nach Erhalt der Anfrage mit, dass sie es ablehnt, die Anfrage und die damit verbundenen Rechte zu berücksichtigen.
d) Zugang zu Daten. Auf Anfrage von Personen bezüglich des Zugriffs auf seine Daten informiert das Unternehmen die Person, ob sie ihre Daten verarbeitet, und informiert die Person über die Einzelheiten der Verarbeitung gemäß Artikel. 15 GROSS (der Umfang entspricht der Informationspflicht bei der Datenerhebung) und stellt auch die Person bereit
Zugriff auf seine Daten. Der Zugriff auf die Daten kann durch Ausgabe einer Kopie der Daten erfolgen, mit dem Vorbehalt, dass die bei der Ausübung des Rechts auf Zugang zu Daten erteilte Kopie der Daten von der Gesellschaft nicht als erste kostenlose Kopie der Daten für die Zwecke von Gebühren für Datenkopien erkannt wird.
e) Datenkopien. Auf Anfrage stellt das Unternehmen der Person eine Kopie seiner Daten zur Verfügung und nimmt die Tatsache der ersten Kopie der Daten zur Kenntnis. Das Unternehmen führt eine Preisliste für Datenkopien ein und pflegt diese gemäß
welche Gebühren Gebühren für spätere Kopien von Daten. Der Preis der Kopie der Daten wird auf der Grundlage berechnet
die geschätzten Stückkosten für die Bearbeitung der Anforderung einer Kopie der Daten.
f) Berichtigung von Daten. Das Unternehmen korrigiert auf Wunsch der Person falsche Daten. Das Unternehmen hat das Recht, die Berichtigung der Daten zu verweigern, es sei denn, die Person hat auf angemessene Weise die Unregelmäßigkeit der Daten nachgewiesen, deren Berichtigung verlangt wird. Im Falle einer Datenkorrektur
Das Unternehmen informiert die Person auf Antrag dieser Person über die Empfänger der Daten.
g) Vervollständigung der Daten. Das Unternehmen ergänzt und aktualisiert Daten auf Wunsch einer Person. Das Unternehmen hat das Recht, die Ergänzung der Daten zu verweigern, wenn die Ergänzung nicht mit den Zwecken der Datenverarbeitung vereinbar wäre (z. B. muss das Unternehmen keine Daten verarbeiten, die für das Unternehmen nicht erforderlich sind). Die Gesellschaft kann sich auf eine Erklärung der Person bezüglich der vervollständigten Daten berufen, es sei denn, dies ist aufgrund der von der Gesellschaft angewandten Verfahren (z. B. hinsichtlich der Erlangung solcher Daten), des Gesetzes oder der Gründe, um die Erklärung für unzuverlässig zu erklären.
h) Daten entfernen Auf Antrag einer Person löscht das Unternehmen Daten, wenn:
• Die Daten sind nicht für den Zweck erforderlich, für den sie zu anderen legitimen Zwecken erhoben oder verarbeitet wurden.
• Die Zustimmung zu ihrer Verarbeitung wurde widerrufen, und es gibt keine andere Rechtsgrundlage für die Verarbeitung.
• Die Person hat der Verarbeitung dieser Daten effektiv widersprochen.
• Die Daten wurden rechtswidrig verarbeitet.
• die Notwendigkeit der Entfernung ergibt sich aus der gesetzlichen Verpflichtung,
• Die Anfrage bezieht sich auf Daten eines Kindes, die aufgrund der Zustimmung zur Erbringung von Diensten der Informationsgesellschaft, die dem Kind direkt angeboten werden (z. B. Teilnahme am Wettbewerb auf der Website), erhoben werden. Das Unternehmen definiert den Umgang mit dem Recht, Daten zu löschen, so, dass eine wirksame Umsetzung dieses Rechts gewährleistet ist, wobei alle Datenschutzgrundsätze, einschließlich der Sicherheit, beachtet werden, und überprüft, dass es keine Ausnahmen gibt, auf die in der Kunst Bezug genommen wird. 17 sek. 3 RHODE. Wenn das Unternehmen, das die Daten gelöscht hat, von der Gesellschaft veröffentlicht wurde, ergreift das Unternehmen angemessene Maßnahmen, einschließlich technischer Maßnahmen, um andere Administratoren, die diese personenbezogenen Daten verarbeiten, über die Notwendigkeit zu informieren, Daten zu löschen und darauf zuzugreifen. Im Falle der Datenlöschung informiert das Unternehmen die Person auf Verlangen dieser Person über die Empfänger der Daten.
i) Begrenzung der Verarbeitung. Das Unternehmen beschränkt die Verarbeitung von Daten auf Antrag einer Person, wenn:
• die Person fragt nach der Richtigkeit der Daten - für einen Zeitraum, in dem ihre Richtigkeit überprüft werden kann,
• die Verarbeitung ist rechtswidrig und die betroffene Person widerspricht der Entfernung personenbezogener Daten und fordert stattdessen die Beschränkung ihrer Verwendung auf,
• Das Unternehmen benötigt keine personenbezogenen Daten mehr, sondern die betroffenen Personen benötigen zur Feststellung, Durchsetzung oder Verteidigung von Ansprüchen.
• Die Person hat aus Gründen, die sich auf ihre besondere Situation beziehen, der Verarbeitung widersprochen - bis festgestellt wird, ob die Gesellschaft rechtlich begründete Gründe hat, aus denen der Einwand erhebt. Während der Verarbeitungsbeschränkung speichert das Unternehmen Daten, verarbeitet diese jedoch nicht (es verwendet sie nicht, überträgt sie nicht), ohne dass die betroffene Person damit einverstanden ist, es sei denn, Ansprüche festzustellen, zu untersuchen oder zu verteidigen oder die Rechte einer anderen natürlichen oder juristischen Person zu schützen. oder aus wichtigen Gründen des öffentlichen Interesses. Das Unternehmen informiert die Person vor dem Widerruf der Bearbeitungsgrenze. Im Fall von ogra

Die Verarbeitung von Daten Das Unternehmen informiert die Person auf Antrag dieser Person über die Empfänger der Daten.
j) Datenübertragung Auf Wunsch der Person gibt die Gesellschaft in einem strukturierten, üblicherweise verwendeten maschinenlesbaren Format aus oder übermittelt, wenn möglich, an eine andere juristische Person Daten über diese Person, die sie der Gesellschaft zur Verfügung gestellt hat, und die auf der Grundlage der Zustimmung der Person verarbeitet werden, oder um einen Vertrag abzuschließen oder abzuschließen es war in den IT-Systemen des Unternehmens enthalten.
k) Einspruch in einer besonderen Situation. Wenn eine Person ihrer besonderen Situation widerspricht und der Verarbeitung ihrer Daten widerspricht und die Daten von der Gesellschaft auf der Grundlage des berechtigten Interesses der Gesellschaft oder der der Gesellschaft im öffentlichen Interesse übertragenen Aufgabe verarbeitet werden, wird die Gesellschaft den Einspruch berücksichtigen, es sei denn, die Gesellschaft hat rechtlich begründete Gründe dafür. Verarbeitung, Aufhebung der Interessen, Rechte und Freiheiten der angreifenden Person oder Gründe für die Feststellung, Untersuchung oder Verteidigung von Ansprüchen.
l) Widerspruch in der wissenschaftlichen Forschung, historischen oder statistischen Zwecken. wenn
Das Unternehmen führt wissenschaftliche Forschung, historische Forschung oder Datenverarbeitung zu statistischen Zwecken durch. Die Person kann gegen eine solche Verarbeitung eine begründete Motivation angeben, die sich aus ihrer besonderen Situation ergibt. Das Unternehmen wird diesen Einwand berücksichtigen, es sei denn, die Bearbeitung ist zur Erfüllung der im öffentlichen Interesse ausgeführten Aufgabe erforderlich.
m) Einspruch gegen Direktmarketing. Wenn die Person der Verarbeitung ihrer Daten durch das Unternehmen zu Direktmarketingzwecken (einschließlich Profilierung) widerspricht, berücksichtigt das Unternehmen den Einspruch und die Einstellung dieser Verarbeitung.
n) Das Recht auf Eingriffe von Menschen mit automatischer Verarbeitung. Wenn das Unternehmen
verarbeitet automatisch Daten, insbesondere Profile von Personen und trifft somit Entscheidungen, die Rechtswirkungen verursachen oder eine Person erheblich beeinträchtigen. Die Gesellschaft bietet die Möglichkeit, Berufung einzulegen und Entscheidungen der Gesellschaft zu treffen, es sei denn, eine solche automatische Entscheidung:
• ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Beschwerdeführer erforderlich
Person und der Firma oder
• es ist ausdrücklich gesetzlich zulässig oder
• basiert auf einer ausdrücklichen Einwilligung, die Menschen storniert.

14. MINIMIERUNG
Das Unternehmen legt Wert auf die Minimierung der Datenverarbeitung in Bezug auf:
• Angemessenheit der Daten für Zwecke (Datenvolumen und Umfang der Verarbeitung),
• Zugang zu Daten,
• zeit der datenspeicherung.
a) Minimierung des Umfangs
Das Unternehmen hat den Umfang der erfassten Daten, den Umfang ihrer Verarbeitung und die im Hinblick auf die Angemessenheit der Datenverarbeitung verarbeitete Datenmenge für die Zwecke der Verarbeitung im Rahmen der Umsetzung der DSGVO überprüft. Das Unternehmen überprüft regelmäßig mindestens einmal jährlich die verarbeitete Datenmenge und den Umfang der Verarbeitung. Das Unternehmen führt im Rahmen der Änderungsverwaltungsverfahren eine Überprüfung der Änderungen in Bezug auf Umfang und Umfang der Datenverarbeitung durch (Privacy by Design).
b) Minimierung des Zugriffs
Das Unternehmen wendet Beschränkungen für den Zugriff auf personenbezogene Daten an: rechtlich (Vertraulichkeitsverpflichtungen, Berechtigungsbeschränkungen), physisch (Zugangszonen, Schließung von Geschäftsräumen) und logisch (Einschränkungen der Rechte an Systemen, die persönliche Daten verarbeiten, und Netzwerkressourcen, in denen sich personenbezogene Daten befinden). Das Unternehmen wendet eine physische Zugangskontrolle an. Das Unternehmen aktualisiert die Zugriffsrechte für Änderungen in der Zusammensetzung des Personals und Änderungen in den Rollen von Personen und Änderungen von Entitäten
Verarbeitung. Das Unternehmen überprüft regelmäßig bestehende Systembenutzer und aktualisiert sie mindestens einmal im Jahr. Detaillierte Regeln für die physische und logische Zugriffskontrolle sind in den physischen Sicherheits- und Informationssicherheitsverfahren des Unternehmens enthalten.
c) Minimierung der Zeit Die Gesellschaft implementiert Mechanismen zur Kontrolle des Lebenszyklus von personenbezogenen Daten in der Gesellschaft, einschließlich der Überprüfung der weiteren Eignung der Daten in Bezug auf die im Register angegebenen Daten und Kontrollpunkte. Daten, deren Nutzungsumfang mit der Zeit begrenzt ist, werden aus den Produktionssystemen des Unternehmens sowie aus den Handheld- und Hauptdateien entfernt. Solche Daten können archiviert werden und sich auf System- und Informationssicherungen befinden
von der Gesellschaft verarbeitet. Die Verfahren zum Archivieren und Verwenden von Archiven, Erstellen und Verwenden von Sicherungskopien berücksichtigen die Anforderungen an die Kontrolle des Lebenszyklus von Daten, einschließlich der Anforderungen an das Löschen von Daten.

15. SICHERHEIT
Das Unternehmen bietet ein Sicherheitsniveau, das dem Risiko einer Verletzung der Rechte und Freiheiten von Personen infolge der Verarbeitung personenbezogener Daten durch das Unternehmen entspricht.
a) Risikoanalyse und Angemessenheit der Sicherheitsmaßnahmen
Das Unternehmen führt und dokumentiert die Angemessenheitsanalyse der Sicherheitsmaßnahmen für personenbezogene Daten. Zu diesem Zweck:
• Das Unternehmen gewährleistet einen angemessenen Wissensstand in Bezug auf Informationssicherheit, Cybersicherheit und Geschäftskontinuität - entweder intern oder mit Unterstützung spezialisierter Einheiten.
• Das Unternehmen kategorisiert Daten und Verarbeitungsaktivitäten nach den von ihnen ausgehenden Risiken.
• Die Firma führt eine 

alizy das Risiko einer Verletzung der Rechte oder Freiheiten natürlicher Personen bei Datenverarbeitungstätigkeiten oder Datenkategorien. Das Unternehmen analysiert mögliche Situationen und Szenarien für einen Verstoß gegen personenbezogene Daten und berücksichtigt dabei Art, Umfang, Kontext und Zweck der Verarbeitung, das Risiko einer Verletzung der Rechte oder Freiheiten von Personen mit einer unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der Bedrohung.
• Das Unternehmen bestimmt die organisatorischen und technischen Sicherheitsmaßnahmen, die angewendet werden können, und bewertet die Kosten für die Implementierung. Dabei legt das Unternehmen die Eignung fest und wendet solche Maßnahmen und Vorgehensweisen an als:
 Pseudonymisierung,
 Verschlüsselung persönlicher Daten,
 andere Maßnahmen zur Cyber-Sicherheit, die die kontinuierliche Vertraulichkeit gewährleisten können,
Integrität, Verfügbarkeit und Robustheit von Verarbeitungssystemen und Dienstleistungen,
 Maßnahmen zur Gewährleistung der Geschäftskontinuität und zur Verhinderung der Folgen von Katastrophen, d. H. Die Fähigkeit, den Zugang zu personenbezogenen Daten und den Zugang zu diesen Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.
b) Folgenabschätzung für den Datenschutz Die Gesellschaft bewertet die Auswirkungen geplanter Verarbeitungsvorgänge zum Schutz personenbezogener Daten, wenn gemäß der Risikoanalyse das Risiko besteht, dass die Rechte und Freiheiten von Personen verletzt werden. Das Unternehmen wendet die im Unternehmen angewandte Methode der Folgenabschätzung an.
c) Sicherheitsmaßnahmen Die Gesellschaft wendet Sicherheitsmaßnahmen an, die im Rahmen von Risikoanalysen festgelegt wurden, sowie die Angemessenheit von Sicherheitsmaßnahmen und Folgenabschätzungen für den Datenschutz. Personenbezogene Sicherheitsmaßnahmen sind Teil der Informationssicherheitsmaßnahmen und bieten Cyber-Sicherheit im Unternehmen. Sie werden in den vom Unternehmen für diese Bereiche festgelegten Verfahren ausführlicher beschrieben.
d) Meldung von Verstößen Das Unternehmen wendet Verfahren an, um festgestellte Verstöße gegen die Datenschutzbestimmungen innerhalb von 72 Stunden nach Feststellung des Verstoßes zu identifizieren, zu bewerten und zu melden.

16. VERARBEITUNG
Das Unternehmen hat die Grundsätze der Auswahl und Überprüfung der Datenverarbeitung für das Unternehmen, um sicherzustellen, dass die Verarbeiter ausreichende Garantien zur Verfügung stellen, um geeignete organisatorische und technische Maßnahmen zu ergreifen, um die Sicherheit, die Umsetzung einzelner Rechte und andere Datenschutzpflichten des Unternehmens sicherzustellen. Das Unternehmen hat Mindestanforderungen in Bezug auf den Vertrag zur Übertragung der Datenverarbeitung in Anhang Nr. 2 der Richtlinie festgelegt
- "Mustervertrag für die Übertragung der Datenverarbeitung". Das Unternehmen rechnet die Verarbeiter mit Sub-Verarbeitern sowie anderen Anforderungen ab, die sich aus den Grundsätzen der Erteilung personenbezogener Daten ergeben.

17. DATENEXPORT
Das Unternehmen exportiert keine Daten außerhalb des Europäischen Wirtschaftsraums (EWR 2017 = Europäische Union, Island, Liechtenstein und Norwegen).

18. DATENSCHUTZ DESIGN
Das Unternehmen verwaltet eine Änderung, die sich auf den Datenschutz auswirkt, so dass eine Bereitstellung möglich ist
angemessene Sicherheit personenbezogener Daten und Minimierung ihrer Verarbeitung. Zu diesem Zweck
Die Grundsätze der Projektdurchführung durch das Unternehmen beziehen sich auf die Grundsätze der Datensicherheit
personenbezogene Daten und Minimierung, die eine Folgenabschätzung zum Datenschutz und Datenschutz erfordern
Integrierte und gestaltete Sicherheit und Minimierung der Datenverarbeitung von Anfang an
Projekt oder Investition.

19. SCHLUSSBESTIMMUNGEN
Die Datenschutzerklärung tritt am 25. Mai 2019 in Kraft.

Die Website verwendet Cookies zur Bereitstellung von Services in Übereinstimmung mit Richtlinien bezüglich Cookies. Sie können die Bedingungen für die Speicherung oder den Zugriff auf Cookies in Ihrem Browser festlegen.
Ich verstehe
pixel