Halian logo

Politik zum Schutz personenbezogener Daten

1. Zweck, Anwendungsbereich und Nutzer

Halian Holdings Ltd. (im Folgenden als "Unternehmen" bezeichnet) ist bestrebt, die geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern, in denen das Unternehmen tätig ist, einzuhalten. Diese Richtlinie legt die grundlegenden Prinzipien dar, nach denen das Unternehmen die personenbezogenen Daten von Verbrauchern, Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und anderen Personen verarbeitet, und zeigt die Verantwortlichkeiten seiner Geschäftsabteilungen und Mitarbeiter bei der Verarbeitung personenbezogener Daten auf.

Diese Richtlinie gilt für das Unternehmen und seine direkt oder indirekt kontrollierten hundertprozentigen Tochtergesellschaften, die im Europäischen Wirtschaftsraum (EWR) tätig sind oder die personenbezogenen Daten von betroffenen Personen im EWR verarbeiten.

Die Nutzer dieses Dokuments sind alle Mitarbeiter, ob fest angestellt oder befristet, und alle Auftragnehmer, die im Namen des Unternehmens arbeiten.

2. Referenzdokumente

EU GDPR 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG)

  • Richtlinie zum Schutz personenbezogener Daten von Mitarbeitern

  • Richtlinie zur Vorratsdatenspeicherung

  • Stellenbeschreibung des Datenschutzbeauftragten

  • Richtlinien für Dateninventarisierung und -verarbeitungstätigkeiten

  • Verfahren für Anträge auf Zugang zu personenbezogenen Daten

  • Leitlinien zur Datenschutz-Folgenabschätzung

  • Verfahren für die grenzüberschreitende Übermittlung personenbezogener Daten

  • IT-Sicherheitspolitik

  • Sicherheitsverfahren für die IT-Abteilung

  • Richtlinie für mobile Geräte und Telearbeit

  • Richtlinie zu "Clear Desk" und "Clear Screen

  • Verfahren zur Benachrichtigung bei Datenschutzverletzungen

3. Begriffsbestimmungen

Die folgenden Definitionen der in diesem Dokument verwendeten Begriffe stammen aus Artikel 4 der Allgemeinen Datenschutzverordnung der Europäischen Union:

Personenbezogene Daten: AlleInformationen, die sich auf eine bestimmte oder bestimmbare natürliche Person ("betroffene Person") beziehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Sensible personenbezogene Daten: PersonenbezogeneDaten, die aufgrund ihrer Art in Bezug auf die Grundrechte und -freiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da der Kontext ihrer Verarbeitung erhebliche Risiken für die Grundrechte und -freiheiten mit sich bringen könnte. Zu diesen personenbezogenen Daten gehören personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.

Für die Verarbeitung Verantwortlicher: Dienatürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Datenverarbeiter: Einenatürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.

Verarbeitung: Einmit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung der Daten.

Anonymisierung: IrreversibleDe-Identifizierung personenbezogener Daten, so dass die Person weder durch den für die Verarbeitung Verantwortlichen noch durch eine andere Person mit vertretbarem Zeit-, Kosten- und Technologieaufwand identifiziert werden kann, um diese Person zu identifizieren. Die Grundsätze der Verarbeitung personenbezogener Daten gelten nicht für anonymisierte Daten, da es sich nicht mehr um personenbezogene Daten handelt.

Pseudonymisierung: DieVerarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Durch die Pseudonymisierung wird die Möglichkeit, personenbezogene Daten mit einer betroffenen Person in Verbindung zu bringen, verringert, aber nicht vollständig beseitigt. Da es sich bei pseudonymisierten Daten immer noch um personenbezogene Daten handelt, sollte die Verarbeitung pseudonymisierter Daten mit den Grundsätzen der Verarbeitung personenbezogener Daten übereinstimmen.

Grenzüberschreitende Verarbeitung personenbezogener Daten: Die Verarbeitungpersonenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Europäischen Union in mehr als einem Mitgliedstaat erfolgt, wenn der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist; oder die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzigen Niederlassung eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, die jedoch betroffene Personen in mehr als einem Mitgliedstaat erheblich beeinträchtigt oder beeinträchtigen könnte;

Aufsichtsbehörde: Eineunabhängige öffentliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 der EU-DSGVO eingerichtet wurde;

Federführende Aufsichtsbehörde: DieAufsichtsbehörde, die die Hauptverantwortung für die Bearbeitung einer grenzüberschreitenden Datenverarbeitungstätigkeit trägt, z. B. wenn eine betroffene Person eine Beschwerde über die Verarbeitung ihrer personenbezogenen Daten einreicht; sie ist u. a. für die Entgegennahme von Meldungen über Datenschutzverletzungen zuständig, muss über risikoreiche Verarbeitungstätigkeiten informiert werden und hat die volle Befugnis, die Einhaltung der Bestimmungen der EU-DSGVO zu gewährleisten;

Jede "lokale Aufsichtsbehörde" wird weiterhin in ihrem eigenen Hoheitsgebiet tätig sein und jede lokale Datenverarbeitung überwachen, die sich auf betroffene Personen auswirkt oder von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter aus der EU oder einem Drittland durchgeführt wird, wenn sich deren Verarbeitung auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet bezieht. Zu ihren Aufgaben und Befugnissen gehören die Durchführung von Untersuchungen und die Verhängung von Verwaltungsmaßnahmen und Bußgeldern, die Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Sicherheit und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie der Zugang zu allen Räumlichkeiten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters, einschließlich aller Datenverarbeitungsgeräte und -mittel.

"Hauptniederlassung eines für die Verarbeitung Verantwortlichen" mit Niederlassungen in mehr als einem Mitgliedstaat, der Ort seiner zentralen Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des für die Verarbeitung Verantwortlichen in der Union getroffen und die letztgenannte Niederlassung ist befugt, diese Entscheidungen umzusetzen; in diesem Fall ist die Niederlassung, die diese Entscheidungen getroffen hat, als Hauptniederlassung zu betrachten; "Hauptniederlassung eines Auftragsverarbeiters" mit Niederlassungen in mehr als einem Mitgliedstaat, der Ort seiner Hauptverwaltung in der Union oder, wenn der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Hauptverarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung des Auftragsverarbeiters stattfinden, soweit der Auftragsverarbeiter besonderen Verpflichtungen nach dieser Verordnung unterliegt;

Gruppenunternehmen: JedeHoldinggesellschaft zusammen mit ihrer Tochtergesellschaft.

4. Grundprinzipien für die Verarbeitung personenbezogener Daten

In den Datenschutzgrundsätzen werden die grundlegenden Verantwortlichkeiten für Organisationen, die personenbezogene Daten verarbeiten, dargelegt. In Artikel 5 Absatz 2 der Datenschutz-Grundverordnung heißt es: "Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss in der Lage sein, diese nachzuweisen."

4.1. Rechtmäßigkeit, Fairness und Transparenz

Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer gegenüber der betroffenen Person transparenten Weise verarbeitet werden.

4.2. Zweckbeschränkung

Personenbezogene Daten müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

4.3. Datenminimierung

Personenbezogene Daten müssen angemessen und sachdienlich sein und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das Unternehmen muss personenbezogene Daten anonymisieren oder pseudonymisieren, wenn dies möglich ist, um die Risiken für die betroffenen Personen zu verringern.

4.4. Korrektheit

Personenbezogene Daten müssen richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden; es sind angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, rechtzeitig gelöscht oder berichtigt werden.

4.5. Begrenzung der Speicherdauer

Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

4.6. Integrität und Vertraulichkeit

Unter Berücksichtigung des Stands der Technik und anderer verfügbarer Sicherheitsmaßnahmen, der Implementierungskosten sowie der Wahrscheinlichkeit und Schwere von Risiken für personenbezogene Daten muss das Unternehmen geeignete technische oder organisatorische Maßnahmen ergreifen, um personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugtem Zugriff oder Offenlegung.

4.7. Rechenschaftspflicht

Die für die Datenverarbeitung Verantwortlichen müssen für die Einhaltung der oben genannten Grundsätze verantwortlich und in der Lage sein, diese nachzuweisen.

5. Einbindung des Datenschutzes in die Unternehmenstätigkeit

Um die Einhaltung der Grundsätze des Datenschutzes nachzuweisen, sollte eine Organisation den Datenschutz in ihre Geschäftsaktivitäten einbauen.

5.1. Benachrichtigung der betroffenen Personen

(Siehe den Abschnitt Richtlinien für faire Verarbeitung).

5.2. Wahlmöglichkeit und Einwilligung der betroffenen Person

(Siehe den Abschnitt Richtlinien für faire Verarbeitung.)

5.3. Erhebung

Das Unternehmen muss sich bemühen, so wenig personenbezogene Daten wie möglich zu erheben. Wenn personenbezogene Daten von Dritten erhoben werden, müssen der DSB und die Leiter der jeweiligen Abteilungen (wie im Datenerhebungsverzeichnis beschrieben) sicherstellen, dass die personenbezogenen Daten rechtmäßig erhoben werden.

5.4. Verwendung, Aufbewahrung und Beseitigung

Die Zwecke, Methoden, Speicherbegrenzungen und Aufbewahrungsfristen für personenbezogene Daten müssen mit den Angaben im Datenschutzhinweis übereinstimmen. Das Unternehmen muss die Richtigkeit, Integrität, Vertraulichkeit und Relevanz der personenbezogenen Daten entsprechend dem Verarbeitungszweck wahren. Angemessene Sicherheitsmechanismen zum Schutz personenbezogener Daten müssen eingesetzt werden, um zu verhindern, dass personenbezogene Daten gestohlen, missbraucht oder misshandelt werden, und um Verstöße gegen den Datenschutz zu verhindern. Der DSB ist für die Einhaltung der in diesem Abschnitt aufgeführten Anforderungen verantwortlich.

5.5. Offenlegung von Daten gegenüber Dritten

Wenn das Unternehmen einen Drittanbieter oder Geschäftspartner mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt, muss der DSB sicherstellen, dass dieser Verarbeiter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreift, die den damit verbundenen Risiken angemessen sind. Zu diesem Zweck muss der Fragebogen zur Einhaltung der GDPR durch den Auftragsverarbeiter verwendet werden.

Das Unternehmen muss den Lieferanten oder Geschäftspartner vertraglich dazu verpflichten, das gleiche Datenschutzniveau zu gewährleisten. Der Lieferant oder Geschäftspartner darf personenbezogene Daten nur zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber dem Unternehmen oder auf Anweisung des Unternehmens und nicht für andere Zwecke verarbeiten. Wenn das Unternehmen personenbezogene Daten gemeinsam mit einem unabhängigen Dritten verarbeitet, muss das Unternehmen seine jeweiligen Verantwortlichkeiten und die des Dritten in dem betreffenden Vertrag oder einem anderen rechtsverbindlichen Dokument, wie z. B. der Vereinbarung über die Datenverarbeitung durch den Lieferanten, ausdrücklich festlegen.

5.6. Grenzüberschreitende Übermittlung von personenbezogenen Daten

Vor der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) müssen angemessene Sicherheitsvorkehrungen getroffen werden, einschließlich der Unterzeichnung einer Datenübertragungsvereinbarung, wie von der Europäischen Union gefordert, und, falls erforderlich, muss die Genehmigung der zuständigen Datenschutzbehörde eingeholt werden. Die Einrichtung, die die personenbezogenen Daten erhält, muss die Grundsätze der Verarbeitung personenbezogener Daten einhalten, die im Verfahren für die grenzüberschreitende Datenübermittlung dargelegt sind.

5.7. Auskunftsrechte der betroffenen Personen

Als für die Verarbeitung Verantwortlicher ist der DSB dafür verantwortlich, den betroffenen Personen einen angemessenen Zugangsmechanismus zur Verfügung zu stellen, der es ihnen ermöglicht, auf ihre personenbezogenen Daten zuzugreifen und sie zu aktualisieren, zu berichtigen, zu löschen oder ihre personenbezogenen Daten zu übermitteln, sofern dies angemessen oder gesetzlich vorgeschrieben ist. Der Zugangsmechanismus wird in dem Verfahren zur Beantragung des Zugangs zu personenbezogenen Daten näher erläutert.

5.8. Übertragbarkeit von Daten

Die betroffenen Personen haben das Recht, auf Antrag eine Kopie der Daten, die sie uns zur Verfügung gestellt haben, in einem strukturierten Format zu erhalten und diese Daten kostenlos an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Der behördliche Datenschutzbeauftragte ist dafür verantwortlich, dass solche Anträge innerhalb eines Monats bearbeitet werden, nicht unverhältnismäßig sind und die Rechte anderer Personen an personenbezogenen Daten nicht beeinträchtigen.

5.9. Recht auf Vergessenwerden

Die betroffenen Personen haben das Recht, auf Antrag von der Gesellschaft die Löschung ihrer personenbezogenen Daten zu verlangen. Wenn das Unternehmen als für die Verarbeitung Verantwortlicher handelt, müssen der DSB und der IT-Manager die erforderlichen Maßnahmen (einschließlich technischer Maßnahmen) ergreifen, um dem Antrag nachzukommen und die Dritten, die diese Daten verwenden oder verarbeiten, zu informieren, damit sie dem Antrag nachkommen.

6. Leitlinien für eine faire Verarbeitung

Personenbezogene Daten dürfen nur mit ausdrücklicher Genehmigung des Datenschutzbeauftragten verarbeitet werden. Das Unternehmen muss entscheiden, ob es für jede Datenverarbeitungstätigkeit eine Datenschutz-Folgenabschätzung gemäß den Leitlinien für die Datenschutz-Folgenabschätzung durchführt.

6.1. Benachrichtigung der betroffenen Personen

Zum Zeitpunkt der Erhebung oder vor der Erhebung personenbezogener Daten für jegliche Art von Verarbeitungstätigkeiten, einschließlich, aber nicht beschränkt auf den Verkauf von Produkten, Dienstleistungen oder Marketingaktivitäten, ist der DSB dafür verantwortlich, die betroffenen Personen ordnungsgemäß über Folgendes zu informieren: die Arten der erhobenen personenbezogenen Daten, die Zwecke der Verarbeitung, die Verarbeitungsmethoden, die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten, die Aufbewahrungsfrist, mögliche internationale Datenübermittlungen, wenn Daten an Dritte weitergegeben werden, und die Sicherheitsmaßnahmen des Unternehmens zum Schutz personenbezogener Daten. Diese Informationen werden in den Datenschutzhinweisen bereitgestellt.

Wenn Ihr Unternehmen mehrere Datenverarbeitungstätigkeiten durchführt, müssen Sie verschiedene Hinweise ausarbeiten, die sich je nach Verarbeitungstätigkeit und Kategorie der erhobenen personenbezogenen Daten unterscheiden, z. B. könnte ein Hinweis für den Postversand und ein anderer für den Versand verfasst werden.

Wenn personenbezogene Daten an Dritte weitergegeben werden, muss der DSB sicherstellen, dass die betroffenen Personen durch einen Datenschutzhinweis darüber informiert werden.

Werden personenbezogene Daten gemäß der Richtlinie für den grenzüberschreitenden Datentransfer in ein Drittland übermittelt, sollte dies im Datenschutzhinweis zum Ausdruck kommen und klar angegeben werden, wohin und an welche Stelle personenbezogene Daten übermittelt werden.

Werden sensible personenbezogene Daten erhoben, muss der Datenschutzbeauftragte dafür sorgen, dass in der Datenschutzerklärung ausdrücklich angegeben wird, zu welchem Zweck diese sensiblen personenbezogenen Daten erhoben werden.

6.2. Einholung von Einwilligungen

Beruht die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person oder auf anderen rechtmäßigen Gründen, so ist der DSB dafür verantwortlich, eine Aufzeichnung über diese Einwilligung aufzubewahren. Der DSB ist dafür verantwortlich, den betroffenen Personen die Möglichkeit zu geben, ihre Einwilligung zu erteilen, und er muss sie darüber informieren und sicherstellen, dass ihre Einwilligung (wenn die Einwilligung als rechtmäßige Grundlage für die Verarbeitung verwendet wird) jederzeit widerrufen werden kann.

Betrifft die Erhebung personenbezogener Daten ein Kind unter 16 Jahren, so muss der DSB sicherstellen, dass die elterliche Zustimmung vor der Erhebung mit Hilfe des Formulars "Elterliche Zustimmung" erteilt wird.

Bei Anträgen auf Berichtigung, Änderung oder Vernichtung personenbezogener Daten muss der DSB sicherstellen, dass diese Anträge innerhalb eines angemessenen Zeitraums bearbeitet werden. Der DSB muss auch die Anträge aufzeichnen und ein Protokoll darüber führen.

Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Falls das Unternehmen die erhobenen personenbezogenen Daten für einen anderen Zweck verarbeiten will, muss es die Zustimmung der betroffenen Personen in klarer und präziser Form einholen. Ein solches Ersuchen sollte den ursprünglichen Zweck, für den die Daten erhoben wurden, sowie den neuen oder zusätzlichen Zweck bzw. die neuen Zwecke enthalten. Der Antrag muss auch den Grund für die Änderung des/der Zwecke(s) enthalten. Der Datenschutzbeauftragte ist für die Einhaltung der Bestimmungen dieses Absatzes verantwortlich.

Der behördliche Datenschutzbeauftragte muss jetzt und in Zukunft sicherstellen, dass die Erhebungsmethoden mit den einschlägigen Rechtsvorschriften, bewährten Verfahren und Industriestandards übereinstimmen.

Der DSB ist für die Erstellung und Pflege eines Registers der Datenschutzhinweise verantwortlich.

7. Organisation und Zuständigkeiten

Die Verantwortung für die Gewährleistung einer angemessenen Verarbeitung personenbezogener Daten liegt bei allen, die für oder mit dem Unternehmen arbeiten und Zugang zu den vom Unternehmen verarbeiteten personenbezogenen Daten haben.

Die Hauptverantwortungsbereiche für die Verarbeitung personenbezogener Daten liegen bei den folgenden organisatorischen Rollen:

DieGeschäftsleitung trifftEntscheidungen über die allgemeinen Strategien des Unternehmens und genehmigt diese.

DerDatenschutzbeauftragte (DSB) ist verantwortlich für die Verwaltung des Programms zum Schutz personenbezogener Daten und für die Entwicklung und Förderung von durchgängigen Richtlinien zum Schutz personenbezogener Daten, wie in der Stellenbeschreibung des Datenschutzbeauftragten festgelegt;

DerRechtsberater überwacht und analysiertzusammen mit dem Datenschutzbeauftragten die Gesetze zum Schutz personenbezogener Daten und Änderungen der Vorschriften, entwickelt Compliance-Anforderungen und unterstützt die Geschäftsabteilungen bei der Erreichung ihrer Ziele im Bereich personenbezogene Daten.

DerIT-Manager ist verantwortlich für:

  • Sicherstellung, dass alle zur Datenspeicherung verwendeten Systeme, Dienste und Geräte akzeptablen Sicherheitsstandards entsprechen.

  • Er führt regelmäßige Überprüfungen und Scans durch, um sicherzustellen, dass die Sicherheitshardware und -software ordnungsgemäß funktioniert.

DerVertriebsleiter ist verantwortlich für:

  • Genehmigung von Datenschutzerklärungen, die Mitteilungen wie E-Mails und Briefen beigefügt sind.

  • Beantwortung von Datenschutzanfragen von Journalisten oder Medien wie Zeitungen.

  • Gegebenenfalls Zusammenarbeit mit dem Datenschutzbeauftragten, um sicherzustellen, dass Marketinginitiativen die Datenschutzgrundsätze einhalten.

DerHuman Resources Manager istverantwortlich für:

  • Verbesserung des Bewusstseins aller Mitarbeiter für den Schutz personenbezogener Daten der Nutzer.

  • Organisation von Fachwissen über den Schutz personenbezogener Daten und von Schulungen zur Sensibilisierung der Mitarbeiter, die mit personenbezogenen Daten arbeiten.

  • Durchgängiger Schutz der personenbezogenen Daten der Mitarbeiter. Er muss sicherstellen, dass die personenbezogenen Daten der Mitarbeiter auf der Grundlage der legitimen Geschäftszwecke und der Notwendigkeit des Arbeitgebers verarbeitet werden.

DerBetriebsleiter istdafür verantwortlich, die Verantwortung für den Schutz personenbezogener Daten an die Zulieferer weiterzugeben, das Bewusstsein der Zulieferer für den Schutz personenbezogener Daten zu schärfen und die Anforderungen an personenbezogene Daten an alle Drittanbieter weiterzugeben, die sie nutzen. Die Beschaffungsabteilung muss sicherstellen, dass sich das Unternehmen das Recht vorbehält, Lieferanten zu überprüfen.

8. Leitlinien für die Einrichtung der federführenden Aufsichtsbehörde

8.1. Notwendigkeit der Einrichtung einer federführenden Aufsichtsbehörde

Die Benennung einer federführenden Aufsichtsbehörde ist nur dann relevant, wenn das Unternehmen personenbezogene Daten grenzüberschreitend verarbeitet.

Eine grenzüberschreitende Verarbeitung personenbezogener Daten liegt vor, wenn:

a) die Verarbeitung personenbezogener Daten durch Tochtergesellschaften des Unternehmens erfolgt, die in anderen Mitgliedstaaten ansässig sind;

oder

b) die Verarbeitung personenbezogener Daten in einer einzigen Niederlassung des Unternehmens in der Europäischen Union stattfindet, die jedoch betroffene Personen in mehr als einem Mitgliedstaat erheblich beeinträchtigt oder beeinträchtigen könnte.

Wenn das Unternehmen nur Niederlassungen in einem Mitgliedstaat hat und seine Verarbeitungstätigkeiten nur betroffene Personen in diesem Mitgliedstaat betreffen, ist es nicht erforderlich, eine federführende Aufsichtsbehörde einzurichten. Die einzige zuständige Behörde ist dann die Aufsichtsbehörde des Landes, in dem das Unternehmen rechtmäßig niedergelassen ist.

8.2. Hauptniederlassung und federführende Aufsichtsbehörde

8.2.1. Hauptniederlassung für den für die Datenverarbeitung Verantwortlichen

Die Geschäftsleitung muss die Hauptniederlassung ermitteln, damit die federführende Aufsichtsbehörde bestimmt werden kann.

Hat das Unternehmen seinen Sitz in einem EU-Mitgliedstaat und trifft es Entscheidungen im Zusammenhang mit grenzüberschreitenden Verarbeitungstätigkeiten am Ort seiner Hauptverwaltung, so gibt es eine einzige federführende Aufsichtsbehörde für die vom Unternehmen durchgeführten Datenverarbeitungstätigkeiten.

Wenn das Unternehmen mehrere Niederlassungen hat, die unabhängig voneinander handeln und Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten treffen, muss die Geschäftsleitung anerkennen, dass es mehr als eine federführende Aufsichtsbehörde gibt.

8.2.2. Hauptniederlassung des Datenverarbeiters

Wenn das Unternehmen als Datenverarbeiter auftritt, ist die Hauptniederlassung der Ort der zentralen Verwaltung. Befindet sich der Ort der zentralen Verwaltung nicht in der EU, ist die Hauptniederlassung die Niederlassung in der EU, in der die Hauptverarbeitungstätigkeiten stattfinden.

8.2.3. Hauptniederlassung von Nicht-EU-Unternehmen für für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter

Wenn das Unternehmen keine Hauptniederlassung in der EU hat und eine oder mehrere Tochtergesellschaften in der EU hat, ist die zuständige Aufsichtsbehörde die örtliche Aufsichtsbehörde.

Wenn das Unternehmen weder eine Hauptniederlassung in der EU noch Tochtergesellschaften in der EU hat, muss es einen Vertreter in der EU benennen, und die zuständige Aufsichtsbehörde ist die örtliche Aufsichtsbehörde, in der der Vertreter seinen Sitz hat.

9. Reaktion auf Verletzungen des Schutzes personenbezogener Daten

Wenn das Unternehmen von einer mutmaßlichen oder tatsächlichen Verletzung des Schutzes personenbezogener Daten erfährt, müssen der DSB und der IT-Manager eine interne Untersuchung durchführen und rechtzeitig geeignete Abhilfemaßnahmen gemäß der Richtlinie zu Datenschutzverletzungen ergreifen. Besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen, muss das Unternehmen die zuständigen Datenschutzbehörden unverzüglich und nach Möglichkeit innerhalb von 72 Stunden benachrichtigen.

10. Prüfung und Rechenschaftspflicht

Die IT- und Betriebsabteilung ist dafür verantwortlich, die Umsetzung dieser Richtlinie durch die Geschäftsabteilungen zu überprüfen.

Jeder Mitarbeiter, der gegen diese Richtlinie verstößt, muss mit disziplinarischen Maßnahmen rechnen und kann auch zivil- oder strafrechtlich belangt werden, wenn sein Verhalten gegen Gesetze oder Vorschriften verstößt.

11. Rechtskonflikte

Diese Richtlinie soll den Gesetzen und Vorschriften am Ort der Niederlassung und in den Ländern, in denen das Unternehmen tätig ist, entsprechen. Im Falle eines Konflikts zwischen dieser Richtlinie und den geltenden Gesetzen und Vorschriften haben letztere Vorrang.

12. Verwaltung der auf der Grundlage dieses Dokuments geführten Aufzeichnungen

Name der Aufzeichnung Ort der Aufbewahrung Für die Aufbewahrung verantwortliche Person Kontrollen zum Schutz der Aufzeichnungen Aufbewahrungszeit
Einwilligungsformulare für Betroffene RDB-Datenbank Datenschutzbeauftragter Nur befugte Personen haben Zugriff auf die Formulare 10 Jahre
Formular für die Rücknahme der Einwilligung der betroffenen Person RDB-Datenbank Datenschutzbeauftragter Nur befugte Personen haben Zugriff auf die Formulare 10 Jahre
Einverständniserklärung der Eltern RDB-Datenbank Datenschutzbeauftragter Nur befugte Personen haben Zugriff auf die Formulare 10 Jahre
Formular für die Rücknahme der elterlichen Zustimmung RDB-Datenbank Datenschutzbeauftragter Nur befugte Personen haben Zugriff auf die Formulare 10 Jahre
Vereinbarungen über die Verarbeitung von Lieferantendaten \<Operationen> \Verträge \Lieferanten Datenschutzbeauftragter Nur autorisierte Personen können auf die Formulare zugreifen 5 Jahre nach Auslaufen der Vereinbarung
Register der Datenschutzerklärungen \<Betrieb> \Verträge \Hinweise Datenschutzbeauftragter Nur autorisierte Personen können auf die Formulare zugreifen Dauerhaft

13. Gültigkeitsdauer und Dokumentenverwaltung

Dieses Dokument ist gültig ab dem 02-Juli-2018.

Version 1.3