ALLGEMEINE DATENSCHUTZVERORDNUNG (DSGVO) -RICHTLINIE
1. Erklärung zur Richtlinie
Jeden Tag wird unser Unternehmen personenbezogene Daten unserer Kunden, Lieferanten, Bewerber und Kollegen erhalten, verwenden und speichern. Es ist wichtig, dass diese Informationen rechtmäßig und angemessen gemäß den Anforderungen des [Datenschutzgesetzes von 2018] und der Datenschutz-Grundverordnung ('Datenschutzanforderungen') behandelt werden.
Wir nehmen unsere Datenschutzpflichten ernst, da wir das entgegengebrachte Vertrauen respektieren, personenbezogene Informationen angemessen und verantwortungsbewusst zu nutzen.
2. Über diese Richtlinie
Diese Richtlinie und alle anderen darin genannten Dokumente legen die Grundlagen fest, nach denen wir alle personenbezogenen Daten verarbeiten, die wir sammeln oder verarbeiten.
Diese Richtlinie ist kein Bestandteil des Arbeitsvertrags eines Mitarbeiters und kann jederzeit geändert werden.
Alex Smit ist unser Datenschutzbeauftragter (DPO) und verantwortlich für die Gewährleistung der Unternehmenskonformität mit den Datenschutzanforderungen und dieser Richtlinie. Fragen zur Anwendung dieser Richtlinie oder Bedenken, dass die Richtlinie nicht befolgt wurde, sollten zunächst an den DPO gerichtet werden oder gemäß unserer Beschwerderichtlinie des Unternehmens gemeldet werden (siehe Mitarbeiterhandbuch).
3. Was sind personenbezogene Daten?
Personenbezogene Daten sind Daten (ob elektronisch oder papierbasiert gespeichert), die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt aus diesen Daten (oder aus diesen Daten und anderen in unserem Besitz befindlichen Informationen) identifiziert werden kann.
Verarbeitung ist jede Tätigkeit, die die Verwendung personenbezogener Daten beinhaltet. Dazu gehören das Beschaffen, Speichern oder Halten der Daten, deren Organisation, Änderung, Abruf, Nutzung, Offenlegung, Löschung oder Vernichtung. Zur Verarbeitung zählt auch die Übermittlung personenbezogener Daten an Dritte.
Empfindliche personenbezogene Daten umfassen personenbezogene Daten über die rassische oder ethnische Herkunft einer Person, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische, biometrische, physische oder geistige Gesundheitszustände, sexuelle Ausrichtung oder Sexualleben. Darüber hinaus kann es Daten zu strafbaren Handlungen oder Verurteilungen enthalten. Empfindliche personenbezogene Daten dürfen nur unter strengen Bedingungen verarbeitet werden, einschließlich mit der Einwilligung der betroffenen Person.
4. Grundsätze des Datenschutzes
Jeder, der personenbezogene Daten verarbeitet, muss sicherstellen, dass die Daten:
a. Fair, rechtmäßig und transparent verarbeitet wird.
b. Für bestimmte, explizite und legitime Zwecke erhoben wird und eine weitere Verarbeitung für einen kompatiblen Zweck abgeschlossen wird.
c. Angemessen, relevant und auf das für die beabsichtigten Zwecke notwendige Maß begrenzt ist.
d. Richtig ist und, wenn erforderlich, auf dem neuesten Stand gehalten wird.
e. In einer Form aufbewahrt wird, die die Identifizierung nicht länger als für die beabsichtigten Zwecke erlaubt.
f. In Übereinstimmung mit den Rechten der betroffenen Person und in einer Weise verarbeitet wird, die angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schäden unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen.
g. Nicht an Personen oder Organisationen in Länder ohne angemessenen Schutz übertragen wird und ohne die betroffene Person zunächst informiert zu haben.
5. Fair und Rechtmäßige Verarbeitung
Die Datenschutzanforderungen sollen nicht die Verarbeitung personenbezogener Daten verhindern, sondern sicherstellen, dass sie fair erfolgt und die Rechte der betroffenen Person nicht beeinträchtigt werden.
Gemäß den Datenschutzanforderungen werden wir personenbezogene Daten nur verarbeiten, wenn dies für einen rechtmäßigen Zweck erforderlich ist. Zu den rechtmäßigen Zwecken gehören (unter anderem): ob die betroffene Person ihre Einwilligung gegeben hat, die Verarbeitung für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, zur Einhaltung einer gesetzlichen Verpflichtung oder für das berechtigte Interesse des Unternehmens. Bei der Verarbeitung sensibler personenbezogener Daten müssen zusätzliche Bedingungen erfüllt sein.
6. Verarbeitung für begrenzte Zwecke
Im Rahmen unseres Geschäfts können wir personenbezogene Daten sammeln und verarbeiten. Dies kann Daten umfassen, die wir direkt von einer betroffenen Person erhalten (zum Beispiel durch Ausfüllen von Formularen oder Korrespondenz per Post, Telefon, E-Mail oder auf andere Weise) und Daten, die wir von anderen Quellen erhalten (einschließlich beispielsweise Standortdaten, Geschäftspartnern, Unterauftragnehmern in technischen, Zahlungs- und Lieferdiensten, Auskunfteien und anderen).
Wir werden personenbezogene Daten nur für die spezifischen Zwecke verarbeiten, die in Anhang 1 festgelegt sind, oder für andere Zwecke, die ausdrücklich von den Anforderungen des Datenschutzes gestattet sind. Wir werden diese Zwecke der betroffenen Person mitteilen, wenn wir die Daten zum ersten Mal erfassen oder so bald wie möglich danach.
7. Benachrichtigung von Personen
Wenn wir personenbezogene Daten direkt von einer Person erheben, informieren wir sie über:
a. Der Zweck oder die Zwecke, für die wir beabsichtigen, diese personenbezogenen Daten zu verarbeiten, sowie die rechtliche Grundlage für die Verarbeitung.
b. Wenn wir uns auf die berechtigten Interessen des Unternehmens stützen, um personenbezogene Daten zu verarbeiten, die verfolgten berechtigten Interessen.
c. Die Arten von Dritten, falls vorhanden, mit denen wir diese personenbezogenen Daten teilen oder offenlegen werden.
d. Wie Einzelpersonen unsere Verwendung und Offenlegung ihrer personenbezogenen Daten einschränken können.
e. Informationen darüber, wie lange ihre Informationen gespeichert werden oder die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden.
f. Ihr Recht, von uns als Verantwortlichem Zugang zu den personenbezogenen Daten zu verlangen sowie Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung.
g. Ihr Recht, der Verarbeitung zu widersprechen, sowie ihr Recht auf Datenübertragbarkeit.
h. Ihr Recht, ihre Einwilligung jederzeit zu widerrufen (sofern Einwilligung erteilt wurde), ohne die Rechtmäßigkeit der Verarbeitung vor dem Widerruf der Einwilligung zu beeinträchtigen.
i. Das Recht, eine Beschwerde bei der Datenschutzbehörde zu erheben.
j. Weitere Quellen, aus denen personenbezogene Daten über die betroffene Person stammen und ob sie aus öffentlich zugänglichen Quellen stammen.
k. Ob die Bereitstellung der personenbezogenen Daten eine gesetzliche oder vertragliche Verpflichtung darstellt oder eine Voraussetzung ist, um einen Vertrag abzuschließen, sowie ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und die Folgen eines Nichtbereitstellens der Daten.
Wenn wir personenbezogene Daten über eine Person von anderen Quellen erhalten, werden wir ihnen diese Informationen so bald wie möglich zur Verfügung stellen (zusätzlich zur Angabe der betroffenen Kategorien personenbezogener Daten), spätestens jedoch innerhalb von 1 Monat.
Wir werden auch betroffene Personen, deren personenbezogene Daten wir verarbeiten, darüber informieren, dass wir für diese Daten der Datenverantwortliche sind, unsere Kontaktdaten und wer der DPO ist.
8. Angemessene, relevante und nicht übermäßige Verarbeitung
Wir werden nur personenbezogene Daten erheben, soweit dies für den spezifischen, der betroffenen Person mitgeteilten Zweck erforderlich ist.
9. Korrekte Daten
Wir werden sicherstellen, dass die von uns gespeicherten personenbezogenen Daten korrekt und aktuell sind. Wir werden die Richtigkeit aller personenbezogenen Daten zum Zeitpunkt der Erhebung und in regelmäßigen Abständen danach überprüfen. Wir werden alle angemessenen Maßnahmen ergreifen, um ungenaue oder veraltete Daten zu löschen oder zu korrigieren.
10. Zeitnahe Verarbeitung
Wir werden personenbezogene Daten nicht länger aufbewahren, als es für den Zweck oder die Zwecke, für die sie erhoben wurden, erforderlich ist. Wir werden alle angemessenen Schritte unternehmen, um alle Daten, die nicht mehr benötigt werden, zu löschen oder aus unseren Systemen zu entfernen.
11. Verarbeitung im Einklang mit den Rechten der betroffenen Person
Wir werden alle personenbezogenen Daten im Einklang mit den Rechten der betroffenen Personen verarbeiten, insbesondere ihrem Recht auf:
a. Bestätigung, ob personenbezogene Daten, die die Person betreffen, verarbeitet werden.
b. Zugriff auf alle über sie gespeicherten Daten durch einen Datenverantwortlichen zu verlangen.
c. Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
d. Eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
e. Widerspruch gegen die Verarbeitung, einschließlich für Direktmarketing.
12. Datensicherheit
Wir werden angemessene Sicherheitsmaßnahmen gegen rechtswidrige oder unbefugte Verarbeitung personenbezogener Daten sowie gegen unbeabsichtigte oder rechtswidrige Zerstörung, Beschädigung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden, ergreifen. Sollte ein rechtswidriger Datentransfer erfolgen, wird dies vom entsprechenden Beamten untersucht und die disziplinarischen Verfahren des Unternehmens werden angewendet.
Wir werden Verfahren und Technologien einführen, um die Sicherheit aller personenbezogenen Daten von dem Zeitpunkt der Festlegung der Mittel zur Verarbeitung und des Zeitpunkts der Datenerhebung bis zum Zeitpunkt der Zerstörung zu gewährleisten. Personenbezogene Daten werden nur an einen Datenverarbeiter übertragen, wenn dieser sich damit einverstanden erklärt, sich an diese Verfahren und Richtlinien zu halten, oder wenn er selbst angemessene Maßnahmen ergreift.
Wir werden die Datensicherheit gewährleisten, indem wir die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten schützen, wie folgt definiert:
a. Vertraulichkeit bedeutet, dass nur autorisierte Personen auf die Daten zugreifen können.
b. Integrität bedeutet, dass personenbezogene Daten genau und für den Zweck, für den sie verarbeitet werden, geeignet sein sollten.
c. Verfügbarkeit bedeutet, dass autorisierte Benutzer die Daten abrufen können sollten, wenn sie diese für autorisierte Zwecke benötigen. Personenbezogene Daten sollten daher auf dem zentralen Computersystem unseres Unternehmens statt auf einzelnen PCs gespeichert werden.
Sicherheitsverfahren umfassen:
a. Zugangskontrollen. Jede unbekannte Person in zugangskontrollierten Bereichen sollte gemeldet werden.
b. Sichere abschließbare Schreibtische und Schränke. Schreibtische und Schränke sollten abgeschlossen werden, wenn sie vertrauliche Informationen jeglicher Art enthalten. (Personenbezogene Informationen gelten immer als vertraulich.)
c. Datensparsamkeit.
d. Entsorgungsmethoden. Papiere sollten geschreddert werden. Digitale Speichergeräte sollten physisch zerstört werden, wenn sie nicht mehr benötigt werden.
e. Ausrüstung. Mitarbeiter müssen sicherstellen, dass individuelle Bildschirme keine vertraulichen Informationen für Vorbeigehende anzeigen und sich von ihrem PC abmelden, wenn er unbeaufsichtigt bleibt.
13. Anträge auf Auskunft durch Betroffene
Personen müssen einen formellen Antrag auf Informationen stellen, die wir über sie haben. Mitarbeiter, die einen Antrag erhalten, sollten ihn sofort an den Datenschutzbeauftragten (DPO) oder ein Mitglied des Personalwesens weiterleiten.
Bei telefonischen Anfragen geben wir nur personenbezogene Daten preis, die wir in unseren Systemen gespeichert haben, wenn die folgenden Bedingungen erfüllt sind:
a. Wir überprüfen die Identität des Anrufers, um sicherzustellen, dass Informationen nur an berechtigte Personen weitergegeben werden.
b. Wir empfehlen dem Anrufer, seine Anfrage schriftlich einzureichen, wenn wir uns nicht sicher über die Identität des Anrufers sind und wenn deren Identität nicht überprüft werden kann.
Bei einer elektronischen Anfrage werden die Daten nach Möglichkeit elektronisch bereitgestellt.
Unsere Mitarbeiter werden bei schwierigen Situationen eine Anfrage an ihren Vorgesetzten zur Unterstützung weiterleiten.
14. Änderungen an dieser Richtlinie
Wir behalten uns das Recht vor, diese Richtlinie jederzeit zu ändern. Bei Bedarf werden wir Änderungen durch ein Cookie-Banner auf der Website mitteilen.