Durch diese Politik gewährt der Vorstand von Elgrad GmbH dem System der Datenverwendung personenbezogener Daten volle Unterstützung. Das System der Datenverwendung personenbezogener Daten soll mit der Verordnung (EU) 2016/679 zum Schutz von Menschen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten vollständig abstimmen. Der Zweck des Schutzes der personenbezogener Daten ist der Schutz des Privatlebens und anderer Menschenrechte und Grundfreiheiten bei der Sammlung, Verarbeitung und Verwendung personenbezogener Daten. Eine persönliche Information ist jede Information, die sich auf eine natürliche Person bezieht, die identifiziert worden ist oder identifiziert werden kann. Auf diese Daten soll man mit hoher Aufmerksamkeit eingehen, wobei die höchsten ethischen Grundsätze einzuhalten sind. Es ist notwendig, das Gedächtnis über persönliche Daten als äußerst wertvolles und vertrauliches Eigentum zu fördern. Es muss zudem ein Programm zum Aufbau einer solchen korporativen Kultur entwickelt und gefördert werden, in der ein großer Wert auf den Schutz der Vertraulichkeit der persönlichen Daten gelegt wird.
Die Sammlung und die Verarbeitung persönlicher Daten sind ausschließlich dann erlaubt, wenn eine gesetzliche Pflicht vorhanden ist oder eine Pflicht, die auf einem Vertragsverhältnis basiert, während alle anderen Verarbeitungen persönlicher Daten mit eindeutiger Zustimmung des Eigentümers oder seiner Bevollmächtigten erlaubt sind. Die Daten müssen richtig, vollständig und dem Zweck entsprechend sein, zu dem sie verarbeitet werden. Beim Sammlungsprozess persönlicher Daten muss der Befragte die Information zu seiner Identität und Kontaktdaten bekommen, sowie zu den Verarbeitungszwecken, zur rechtlichen Grundlage der Datenverarbeitung, zu den Empfängern, zur Übermittlung ins Drittland, zur Aufbewahrungsfrist und zur Möglichkeit des Widerrufs der Zustimmung. Auf die Sammlung persönlicher Daten von Kindern soll mit besonderer Aufmerksamkeit eingegangen werden, wobei die höchsten ethischen Grundsätze einzuhalten sind.
Die Organisation wird ein Zentralregister aller Personendaten zustande bringen. Es wird für jedes Register eine beauftragte Person ernannt. Das Verarbeitungsregister muss die Identität des Leiters beinhalten, sowie seine Kontaktdaten, den Verarbeitungszweck, die Beschreibung der Befragten, die Datenempfänger, die Informationen zur Übermittlung ins Drittland und die vorgesehenen Aufbewahrungsfristen.
Die Organisation wird nach allen notwendigen technischen, administrativen und physischen Datenschutzmaßnahmen greifen, um die Daten von unbefugtem Zugriff und möglichem Missbrauch zu schützen. Beim Aufbau neuer Informationssysteme müssen von Anfang an die DSGVO- Anforderungen zum Schutz personenbezogener Daten berücksichtigt werden, sowie ihre Durchsetzung.
Es müssen folgende Punkte zustande gebracht und erhalten werden:
Im Falle einer Sicherheitsverletzung personenbezogener Daten ist es notwendig, die Aufsichtsbehörde darüber prompt und unverzüglich zu informieren, spätestens unter 72 Stunden nach dem Vorfall. Im Falle einer Datenpanne ist es zudem notwendig, den Eigentümer der kompromitierten Daten über die Datenverletzung zu informieren, indem eine eindeutige und einfache Sprache benutzt wird.
Die Organisation wird ihr System der Datenverwendung personenbezogener Daten gemäß den anwendbaren Standards im Bereich Daten- und Informationschutz ISO 27001 zustande bringen und erhalten, und die Einhaltung der Norm wird durch das entsprechende Zertifikat bewiesen werden, wenn dies möglich ist.
Falls es dazu berechtigte Gründe gibt, kann der Personendatenschutzbeauftragte eine einstweilige Personendatenverarbeitung zulassen, die dieser Politik nicht gemäß ist. Der Personendatenschutzbeauftragte hat die Pflicht, solche Zulassungen, Verantwortungen und Abgleichsfristen zu notieren und den Vorstand darüber zu informieren.
Diese Politik wird mindestens einmal jährlich revidiert oder nach jeglicher Änderung im rechtlichen Umfeld oder im Risikoumfeld, die auf ihre Effizienz Einfluss nehmen könnte. Der Datenschutzbeauftragte ist zuständig für die Aufrechterhaltung dieser Politik.
Dieses Dokument tritt in Kraft nach der Zulassung des Vorstands in Form der eigenhändigen Unterschrift. Der Eigentümer dieses Dokumentes ist der Vorstand, der verpflichtet ist, es mindestens einmal jährlich zu revidieren, und nach Bedarf zu modifizieren. Dieses Dokument muss modifiziert werden, falls sich die Anzahl der Mitarbeiter bedeutend verändert, oder falls Elgrad GmbH seine Geschäftspolitik verändert.