Gegenstand

Durch diese Politik gewährt der Vorstand von Elgrad GmbH dem System der Datenverwendung personenbezogener Daten volle Unterstützung. Das System der Datenverwendung personenbezogener Daten soll mit der Verordnung (EU) 2016/679 zum Schutz von Menschen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten vollständig abstimmen. Der Zweck des Schutzes der personenbezogener Daten ist der Schutz des Privatlebens und anderer Menschenrechte und Grundfreiheiten bei der Sammlung, Verarbeitung und Verwendung personenbezogener Daten. Eine persönliche Information ist jede Information, die sich auf eine natürliche Person bezieht, die identifiziert worden ist oder identifiziert werden kann. Auf diese Daten soll man mit hoher Aufmerksamkeit eingehen, wobei die höchsten ethischen Grundsätze einzuhalten sind. Es ist notwendig, das Gedächtnis über persönliche Daten als äußerst wertvolles und vertrauliches Eigentum zu fördern. Es muss zudem ein Programm zum Aufbau einer solchen korporativen Kultur entwickelt und gefördert werden, in der ein großer Wert auf den Schutz der Vertraulichkeit der persönlichen Daten gelegt wird.

 

Referenzdokumente

  • Verordnung (EU) 2016/679

 

Sammlung und Verarbeitung

Die Sammlung und die Verarbeitung persönlicher Daten sind ausschließlich dann erlaubt, wenn eine gesetzliche Pflicht vorhanden ist oder eine Pflicht, die auf einem Vertragsverhältnis basiert, während alle anderen Verarbeitungen persönlicher Daten mit eindeutiger Zustimmung des Eigentümers oder seiner Bevollmächtigten erlaubt sind. Die Daten müssen richtig, vollständig und dem Zweck entsprechend sein, zu dem sie verarbeitet werden. Beim Sammlungsprozess persönlicher Daten muss der Befragte die Information zu seiner Identität und Kontaktdaten bekommen, sowie zu den Verarbeitungszwecken, zur rechtlichen Grundlage der Datenverarbeitung, zu den Empfängern, zur Übermittlung ins Drittland, zur Aufbewahrungsfrist und zur Möglichkeit des Widerrufs der Zustimmung. Auf die Sammlung persönlicher Daten von Kindern soll mit besonderer Aufmerksamkeit eingegangen werden, wobei die höchsten ethischen Grundsätze einzuhalten sind.

 

Befragtenrechte

  • Dem Befragten müssen alle Informationen bezüglich der Datenverarbeitung prägnant, transparent, verständlich und einfach abrufbar zur Verfügung gestellt werden.
  • Der Befragte hat das Einsichtsrecht in die Personendaten, die im Datenregister gespeichert sind und die sich auf ihn beziehen.
  • Der Befragte hat das Recht zu verlangen, dass nicht korrekte Personendaten, die sich auf ihn beziehen, korrigiert werden.
  • Der Befragte hat das Recht zu verlangen, dass die Personendaten, die sich auf ihn beziehen und für welche er seine Zustimmung gegeben hat, gelöscht werden.
  • Der Befragte hat das Recht, seine Zustimmung für die Personendatenverarbeitung zu widerrufen und zu verlangen, dass die Personendaten nicht mehr verarbeitet werden.
  • Der Befragte hat das Recht, die Personendaten zu erhalten, die sich auf ihn beziehen, und welche er dem Verarbeitungsleiter in einem strukturierten, üblich gebrauchten und maschinenlesbaren Format geliefert hat.

 

Datenverarbeitungsregister personenbezogener Daten

Die Organisation wird ein Zentralregister aller Personendaten zustande bringen. Es wird für jedes Register eine beauftragte Person ernannt. Das Verarbeitungsregister muss die Identität des Leiters beinhalten, sowie seine Kontaktdaten, den Verarbeitungszweck, die Beschreibung der Befragten, die Datenempfänger, die Informationen zur Übermittlung ins Drittland und die vorgesehenen Aufbewahrungsfristen.

 

Datenschutz

Die Organisation wird nach allen notwendigen technischen, administrativen und physischen Datenschutzmaßnahmen greifen, um die Daten von unbefugtem Zugriff und möglichem Missbrauch zu schützen. Beim Aufbau neuer Informationssysteme müssen von Anfang an die DSGVO- Anforderungen zum Schutz personenbezogener Daten berücksichtigt werden, sowie ihre Durchsetzung.

 

Vorfallmanagement

Es müssen folgende Punkte zustande gebracht und erhalten werden:

  • Der Reaktionsplan auf Vorfälle in Bezug auf Sicherheitsverletzungen personenbezogener Daten.
  • Das Register der Vorfälle der Sicherheitsverletzungen personenbezogener Daten.
  • Das Prozess zur Informierung der Aufsichtsbehörde und der geschädigten Person über die Vorfälle der Sicherheitsverletzungen personenbezogener Daten.

Im Falle einer Sicherheitsverletzung personenbezogener Daten ist es notwendig, die Aufsichtsbehörde darüber prompt und unverzüglich zu informieren, spätestens unter 72 Stunden nach dem Vorfall. Im Falle einer Datenpanne ist es zudem notwendig, den Eigentümer der kompromitierten Daten über die Datenverletzung zu informieren, indem eine eindeutige und einfache Sprache benutzt wird.

 

Zertifizierung

Die Organisation wird ihr System der Datenverwendung personenbezogener Daten gemäß den anwendbaren Standards im Bereich Daten- und Informationschutz ISO 27001 zustande bringen und erhalten, und die Einhaltung der Norm wird durch das entsprechende Zertifikat bewiesen werden, wenn dies möglich ist.

 

Ausnahmen

Falls es dazu berechtigte Gründe gibt, kann der Personendatenschutzbeauftragte eine einstweilige Personendatenverarbeitung zulassen, die dieser Politik nicht gemäß ist. Der Personendatenschutzbeauftragte hat die Pflicht, solche Zulassungen, Verantwortungen und Abgleichsfristen zu notieren und den Vorstand darüber zu informieren.

 

Verantwortungen

  • Alle Mitarbeiter müssen die durch diese Politik definierten Maßnahmen einhalten, sowie die dritten Seiten, die im Rahmen ihrer Zusammenarbeit mit der Organisation den Zugriff zu Personendaten erhalten.
  • Der Datenschutzbeauftragte wird vom Vorstand ernannt und antwortet ihm direkt für seine Arbeit. Der Datenschutzbeauftragte ist zuständig für das Zustandebringen und die Wartung des Systems der Personendatenverwendung und für die Koordinierung aller Tätigkeiten in Bezug auf die Personendatenverwendung. Der Datenschutzbeauftragte ist zuständig für:
    • Informierung und Beratung des Verarbeitungsleiters oder -Vollstreckers und der Mitarbeiter, die Personendaten bearbeiten, über ihre Pflichte aus der Verordnung,
    • die Beaufsichtigung der Einhaltung der Verordnung, der internen Politik und anderer Regelungen in Bezug auf den Personendatenschutz,
    • das Zustandebringen und die Wartung des Personendatenregisters,
    • Zuordnung der Verantwortung für den Personendatenschutz an die Mitarbeiter und an die dritten Seiten, die an der Sammlung und der Verarbeitung personenbezogener Daten teilnehmen,
    • den Aufbau vom Gedächtnis und Fortbildungen im Bereich Personendatenschutz,
    • den Einbau des Datenschutzes in Geschäftsprozesse und Informationssysteme,
    • den Einbau des Datenschutzes in Auditierungsprozesse,
    • die Beratung bei der Durchführung der Leistungsbeurteilungen zum Datenschutz,
    • die Zusammenarbeit mit Aufsichtsbehörden,
    • die Beaufsichtigung des Prozesses des Risikomanagements bei Personendatenbearbeitung,
    • die Informierung des Vorstands über die Effizienz des Systems der Personendatenverwendung.

Diese Politik wird mindestens einmal jährlich revidiert oder nach jeglicher Änderung im rechtlichen Umfeld oder im Risikoumfeld, die auf ihre Effizienz Einfluss nehmen könnte. Der Datenschutzbeauftragte ist zuständig für die Aufrechterhaltung dieser Politik.

 

Gültigkeit und Dokumentenmanagement

Dieses Dokument tritt in Kraft nach der Zulassung des Vorstands in Form der eigenhändigen Unterschrift. Der Eigentümer dieses Dokumentes ist der Vorstand, der verpflichtet ist, es mindestens einmal jährlich zu revidieren, und nach Bedarf zu modifizieren. Dieses Dokument muss modifiziert werden, falls sich die Anzahl der Mitarbeiter bedeutend verändert, oder falls Elgrad GmbH seine Geschäftspolitik verändert.