DATENSCHUTZRICHTLINIE GEMÄSS DSGVO

1. GELTUNGSBEREICH, ZWECK UND EMPFÄNGER

Das Unternehmen verpflichtet sich, die geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern, in denen das Unternehmen tätig ist, zu beachten. Diese Richtlinie legt die grundlegenden Prinzipien fest, nach denen das Unternehmen personenbezogene Daten von Verbrauchern, Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und anderen Personen behandelt, und weist die Verantwortlichkeiten seiner Unternehmensabteilungen und Mitarbeiter während der Datenverarbeitung aus.
Diese Richtlinie gilt für das Unternehmen und für Unternehmen, die es direkt oder indirekt kontrolliert, die innerhalb des Europäischen Wirtschaftsraums (EWR) tätig sind oder personenbezogene Daten der Betroffenen innerhalb des EWR verarbeiten.
Die Empfänger dieses Dokuments sind alle Mitarbeiter, ob fest oder temporär, sowie alle Mitarbeiter, die im Auftrag des Unternehmens arbeiten.

2. BEZUGSDOKUMENTE

Die Verordnung (EU) 2016/679 vom 27. April 2016 (im Folgenden DSGVO), Gesetzesdekret Nr. 196 vom 30. Juni 2003 (Datenschutzkodex) und Änderungen. Richtlinie zur Datenaufbewahrung Leitfaden für die Datenerfassung und -verarbeitung Beschreibung der Rolle des Datenschutzbeauftragten Verfahren zur Anforderung von Datenzugriff durch die betroffene Person Methodik zur Bewertung der Auswirkungen auf den Datenschutz Verfahren zur Meldung von Datenschutzverletzungen SGI-Handbuch

3. ZWECK UND ZIELSETZUNG

Die DSGVO legt die Regeln zum Schutz natürlicher Personen im Hinblick auf die Verarbeitung personenbezogener Daten sowie die Regeln für die freie Bewegung dieser Daten fest (Artikel 1).

4. MATERIELLER GELTUNGSBEREICH

Im materiellen Geltungsbereich der Verordnung befinden sich: Personenbezogene Daten, die ganz oder teilweise automatisiert verarbeitet werden. Personenbezogene Daten, die in einem Archiv enthalten sind oder dazu bestimmt sind, dort eingefügt zu werden. Außerhalb des materiellen Geltungsbereichs befinden sich: Personenbezogene Daten, die im Rahmen von Tätigkeiten verwendet werden, die nicht unter das EU-Recht fallen. Personenbezogene Daten, die für Zollkontrollen und Asyl- und Einwanderungsverfahren verwendet werden. Personenbezogene Daten, die im Zusammenhang mit rein persönlichen Aktivitäten verwendet werden. Personenbezogene Daten, die für die Verhinderung von Straftaten verwendet werden, usw.

5. RÄUMLICHER GELTUNGSBEREICH

Die Verordnung gilt für: Personenbezogene Daten, die im Rahmen von Tätigkeiten verwendet werden, die nicht unter das EU-Recht fallen. Personenbezogene Daten, die für Zollkontrollen und Asyl- und Einwanderungsverfahren verwendet werden. Personenbezogene Daten, die im Zusammenhang mit rein persönlichen Aktivitäten verwendet werden. Personenbezogene Daten, die für die Verhinderung von Straftaten verwendet werden, usw.

6. DEFINITIONEN

Im Vergleich zum Datenschutzkodex (Gesetzesdekret Nr. 196 vom 30.06.2003) wurden die Definitionen sensibler Daten und gerichtlicher Daten entfernt; es wird jetzt von Folgendem gesprochen:
Zu den Verantwortlichen und Auftragsverarbeitern in der Union, unabhängig vom Ort der Datenverarbeitung.
Zu den Verantwortlichen und Auftragsverarbeitern, die nicht in der Union ansässig sind, wenn die Verarbeitungstätigkeiten Folgendes umfassen: - Waren oder Dienstleistungen, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht. - Überwachung des Verhaltens der betroffenen Personen innerhalb der EU.
Zu den Verantwortlichen, die nicht in der Union, sondern an einem Ort, an dem das Recht eines Mitgliedstaats gilt, ansässig sind.
Besondere Kategorien personenbezogener Daten: personenbezogene Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Informationen zur sexuellen Orientierung einer Person offenlegen.
Gesundheitsdaten: personenbezogene Daten zur physischen oder mentalen Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, die Informationen über ihren Gesundheitszustand offenbaren.
Genetische Daten: personenbezogene Daten zu den erblichen oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über die Physiologie oder Gesundheit dieser Person liefern, insbesondere aus der Analyse einer biologischen Probe dieser Person resultieren; Biometrische Daten: personenbezogene Daten, die durch eine spezifische technische Verarbeitung zu den physischen, physiologischen oder Verhaltensmerkmalen einer natürlichen Person gewonnen werden und die deren eindeutige Identifizierung ermöglichen oder bestätigen, wie z. B. Gesichtsbilder oder Fingerabdruckdaten.
Die folgenden Definitionen von Begriffen in diesem Dokument stammen aus der Datenschutz-Grundverordnung der Europäischen Union (DSGVO): Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person"); als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Identifikationsnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen ihrer Identität.
Verantwortlicher für die Datenverarbeitung (Verantwortlicher): die natürliche oder juristische Person, die, allein oder gemeinsam mit anderen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
Auftragsverarbeiter (Auftragsverarbeiter DP): die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Datenschutzbeauftragter (Data Protection Officer DPO): die natürliche Person, das Unternehmen, die öffentliche oder private Einrichtung, der Verband oder das Organ, dem der Verantwortliche spezifische und klar definierte Aufgaben für das Management und die Kontrolle der Datenverarbeitung übertragen hat, auch außerhalb seiner organisatorischen Struktur. Die Bestellung eines DPO ist obligatorisch: - wenn die Verarbeitung von einer öffentlichen Behörde oder einem öffentlichen Organ durchgeführt wird; - wenn die Haupttätigkeiten des Verantwortlichen oder des Auftragsverarbeiters in der regelmäßigen und systematischen Überwachung von betroffenen Personen im großen Umfang bestehen; oder - wenn die Haupttätigkeiten des Verantwortlichen oder des Auftragsverarbeiters in der groß angelegten Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten bestehen.
Die obligatorische Bestellung eines DPO kann auch in weiteren Fällen gemäß nationalem Recht oder EU-Recht vorgesehen sein. Wenn ein DPO freiwillig bestellt wird, gelten dieselben Anforderungen - hinsichtlich Kriterien für die Bestellung, Position und Aufgaben - wie für obligatorisch bestellte DPOs (Art. 37 DSGVO).
Verarbeitung: jede Operation oder Gesamtheit von Operationen, die mit oder ohne automatisierte Verfahren an personenbezogenen Daten oder Datenmengen durchgeführt werden, wie Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Extraktion, Konsultation, Nutzung, Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.
Einwilligung der betroffenen Person: jede freiwillige, spezifische, informierte und eindeutige Willensbekundung der betroffenen Person, mit der diese ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch Erklärung oder eindeutige positive Handlung erklärt.
Verletzung des Schutzes personenbezogener Daten: jede Sicherheitsverletzung, die unbeabsichtigt oder unrechtmäßig zu Vernichtung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
Anonymisierung: die irreversible Entidentifizierung personenbezogener Daten, so dass die betroffene Person unter Verwendung angemessener Zeit, Kosten und Technologien durch den Verantwortlichen oder eine andere Person nicht identifiziert werden kann. Die Grundsätze des Datenschutzes sollten daher nicht auf anonyme Informationen angewendet werden, d. h. Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, vorausgesetzt, dass solche zusätzlichen Informationen getrennt aufbewahrt und technischen und organisatorischen Maßnahmen unterliegen, die sicherstellen, dass diese personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden. Die Pseudonymisierung reduziert, beseitigt jedoch nicht vollständig die Möglichkeit, personenbezogene Daten der betroffenen Person zuzuordnen. Da pseudonymisierte Daten dennoch personenbezogene Daten sind, sollte die Verarbeitung pseudonymisierter Daten den Grundsätzen der Verarbeitung personenbezogener Daten entsprechen.
Grenzüberschreitende Datenverarbeitung: die Verarbeitung personenbezogener Daten im Rahmen der Aktivitäten von Einrichtungen in mehr als einem Mitgliedstaat eines Verantwortlichen oder Auftragsverarbeiters in der Union, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat ansässig ist; oder die Verarbeitung personenbezogener Daten im Rahmen der Aktivitäten einer einzigen Einrichtung eines Verantwortlichen oder Auftragsverarbeiters in der Union, die sich jedoch erheblich auf betroffene Personen in mehr als einem Mitgliedstaat auswirkt; Aufsichtsbehörde: die unabhängige öffentliche Stelle, die von einem Mitgliedstaat gemäß Artikel 51 der EU-DSGVO eingerichtet wurde; für Italien ist dies die Datenschutzbehörde (GARANTE) mit Sitz in Piazza di Monte Citorio Nr. 121 - 00186 Rom - www.gpdp.it - www.garanteprivacy.it E-Mail: [email protected] Fax: (+39) 06.69677.3785 Zentrale Telefonnummer: (+39) 06.69677.1

GRUNDSÄTZE FÜR DIE BEHANDLUNG PERSONENBEZOGENER DATEN

Die Grundsätze für den Datenschutz legen die Verantwortlichkeiten der Organisationen bei der Verwaltung personenbezogener Daten dar. Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss dies nachweisen können.

RECHTMÄSSIGKEIT, FAIRNESS UND TRANSPARENZ

Personenbezogene Daten müssen rechtmäßig, fair und transparent gegenüber der betroffenen Person verarbeitet werden. Die Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens EINE der folgenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung für eine oder mehrere bestimmte Zwecke gegeben. Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person zu schützen. Die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Verarbeitung ist erforderlich zur Wahrung der berechtigten Interessen des Verantwortlichen.

BESCHRÄNKUNG DER ZWECKE

Personenbezogene Daten müssen für bestimmte, eindeutige und legitime Zwecke erfasst und anschließend so verarbeitet werden, dass sie mit diesen Zwecken nicht unvereinbar sind.

DATENMINIMIERUNG

Personenbezogene Daten müssen angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das Unternehmen muss, wenn möglich, Anonymisierung oder Pseudonymisierung auf personenbezogene Daten anwenden, um das Risiko für die betroffenen Personen zu verringern.

RICHTIGKEIT

Personenbezogene Daten müssen genau und, wenn erforderlich, auf dem neuesten Stand sein; alle vernünftigen Maßnahmen müssen ergriffen werden, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen, soweit sie für die Zwecke, für die sie verarbeitet werden, ungenau sind.

BESCHRÄNKUNG DER SPEICHERDAUER

Daten dürfen nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

INTEGRITÄT UND VERTRAULICHKEIT

Unter Berücksichtigung der verfügbaren Technologien und anderer Sicherheitsmaßnahmen sowie der Umsetzungskosten sowie der Wahrscheinlichkeit und Schwere der Risiken für personenbezogene Daten hat das Unternehmen technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Sicherheitsniveau für personenbezogene Daten sicherzustellen, einschließlich Schutz vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Änderung, Offenlegung oder unbefugtem Zugriff.

VERANTWORTLICHKEIT

Der Verantwortliche für die Datenverarbeitung ist für die Einhaltung der oben genannten Grundsätze verantwortlich und kann dies durch die ordnungsgemäße Anwendung und Befolgung dieser Richtlinie nachweisen.

8. DATENSCHUTZPRINZIPIEN IN GESCHÄFTSTÄTIGKEITEN

Das Unternehmen hat die Grundsätze des Datenschutzes in seinem eigenen Datenschutzmanagementsystem implementiert und stellt die gesetzliche Konformität der verschiedenen operativen Phasen von der Datensammlung bis zur Verarbeitung sicher. Ziel des Unternehmens ist es, seine organisatorischen und operativen Prozesse ständig zu verbessern, um so wenig personenbezogene Daten wie möglich zu sammeln. Wenn personenbezogene Daten von Dritten gesammelt werden, muss der Verantwortliche sicherstellen, dass die personenbezogenen Daten rechtmäßig gesammelt werden. Handbuch des organisatorischen Datenschutzmodells gemäß der Verordnung (EU) 2016/679, Überarbeitung 01 vom 14.09.2018 INTERNES DOKUMENT Seite 13 von 44

VERWENDUNG, SPEICHERUNG UND ENTSORGUNG

Die Zwecke, Methoden, Grenzen der Datenaufzeichnung und die Aufbewahrungsfrist für personenbezogene Daten müssen mit den Informationen in der Datenschutzerklärung übereinstimmen. Das Unternehmen muss die Genauigkeit, Integrität, Vertraulichkeit und Relevanz der personenbezogenen Daten im Einklang mit dem Verarbeitungszweck aufrechterhalten. Es sind angemessene Sicherheitsmechanismen erforderlich, um personenbezogene Daten vor Diebstahl, missbräuchlicher Nutzung oder Missbrauch zu schützen und Datenschutzverletzungen zu verhindern. Der Verantwortliche ist für die Einhaltung der in diesem Abschnitt aufgeführten Anforderungen verantwortlich.

WEITERGABE AN DRITTE

Immer wenn das Unternehmen einen Drittanbieter oder geschäftlichen Partner für die Verarbeitung personenbezogener Daten im eigenen Auftrag verwendet, müssen Garantien eingeholt werden, dass dieser angemessene Sicherheitsmaßnahmen zur Sicherung der personenbezogenen Daten bereitstellt, die den damit verbundenen Risiken entsprechen (z. B. missbräuchliche Verwendung personenbezogener Daten, unbefugte Offenlegung usw.). Das Unternehmen verpflichtet sich vertraglich, vom Drittanbieter oder geschäftlichen Partner ein angemessenes Datenschutzniveau zu verlangen (GDPR-NRET External Data Processing Officer Appointment Form). Drittanbieter oder geschäftliche Partner dürfen personenbezogene Daten nur zur Erfüllung ihrer vertraglichen Verpflichtungen gegenüber dem Unternehmen oder gemäß den Anweisungen des Unternehmens und nicht für andere Zwecke verarbeiten. Wenn das Unternehmen personenbezogene Daten gemeinsam mit einem unabhängigen Dritten verarbeitet, muss es die eigenen und die Verantwortlichkeiten des Dritten im entsprechenden Vertrag oder einem anderen rechtlich bindenden Dokument ausdrücklich festlegen.

ÜBERTRAGUNG PERSONENBEZOGENER DATEN ÜBER GRENZEN HINWEG

Das Unternehmen überträgt keine personenbezogenen Daten ins Ausland; jedoch müssen vor einer Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) angemessene Schutzmaßnahmen getroffen werden, einschließlich des Abschlusses einer Vereinbarung über die Übertragung personenbezogener Daten, wie von der Europäischen Union gefordert. Gegebenenfalls ist die Genehmigung der zuständigen Datenschutzbehörde einzuholen.

AUSKUNFTSRECHT DER BETROFFENEN PERSONEN

Das Unternehmen ist verpflichtet, den Betroffenen einen angemessenen Zugangsmechanismus zur Verfügung zu stellen, um ihnen den Zugang zu ihren personenbezogenen Daten zu ermöglichen. Es muss ihnen ermöglicht werden, ihre personenbezogenen Daten zu aktualisieren, zu korrigieren, zu löschen oder, falls erforderlich, gemäß den gesetzlichen Bestimmungen zu übertragen. Der Zugangsmechanismus wird in der Verfahrensanleitung für Anfragen der betroffenen Person zum Datenzugriff ausführlicher erläutert.

DATENÜBERTRAGBARKEIT

Betroffene Personen haben das Recht, auf Anfrage eine Kopie der von ihnen bereitgestellten Daten in einem strukturierten Format zu erhalten und diese Daten kostenlos an einen anderen Verantwortlichen zu übermitteln. Das Unternehmen ist dafür verantwortlich, sicherzustellen, dass solche Anfragen innerhalb eines Monats bearbeitet werden, nicht übermäßig sind und die Rechte anderer Personen in Bezug auf personenbezogene Daten nicht beeinträchtigen.

RECHT AUF VERGESSENWERDEN

Auf Anfrage haben betroffene Personen das Recht, von dem Unternehmen die Löschung ihrer personenbezogenen Daten zu erhalten, wenn einer der folgenden Gründe vorliegt: Die personenbezogenen Daten sind nicht mehr erforderlich für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden. Die betroffene Person widerruft die Einwilligung, auf die die Verarbeitung beruht, und es gibt keine andere rechtliche Grundlage für die Verarbeitung. Die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine zwingenden berechtigten Gründe für die Verarbeitung vor. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung der personenbezogenen Daten ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen.

9. RICHTLINIEN ZUR KORREKTEN DATENVERARBEITUNG

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dies ausdrücklich vom Verantwortlichen für die Verarbeitung autorisiert wurde. Der Verantwortliche entscheidet, ob für jede Datenverarbeitungsaktivität eine Datenschutz-Folgenabschätzung durchgeführt werden soll, gemäß den Leitlinien zur Datenschutz-Folgenabschätzung.

MITTEILUNGEN AN BETROFFENE

Bei der Erhebung oder vor der Erhebung personenbezogener Daten für jede Art von Verarbeitungstätigkeit, einschließlich, aber nicht beschränkt auf den Verkauf von Produkten, Dienstleistungen oder Marketingaktivitäten, ist der Verantwortliche dafür verantwortlich, die betroffenen Personen angemessen über Folgendes zu informieren: die Identität und die Kontaktdaten des Verantwortlichen für die Verarbeitung; falls ernannt, die Identität und die Kontaktdaten des Datenschutzbeauftragten (DSB); die Methoden und Zwecke der Datenverarbeitung; die rechtlichen Grundlagen für die Datenverarbeitung; Kategorien von Empfängern; mögliche Datenübertragungen (falls vorhanden); die Aufbewahrungsfrist; die Rechte der betroffenen Person in Bezug auf ihre personenbezogenen Daten; ob die Daten mit Dritten geteilt werden und die von der Firma festgelegten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten; die Folgen der Nichterteilung der Einwilligung zur Verarbeitung. Diese Informationen werden durch die Datenschutzerklärung bereitgestellt (GDPR-IC-Modell für Kunden; GDPR-IF für Lieferanten). Das Unternehmen muss auch im Einklang mit dem Grundsatz der Rechenschaftspflicht sicherstellen, dass die betroffene Person bestätigt, die Erklärung gelesen und verstanden zu haben, indem sie eine entsprechende Erklärung auf einer Kopie derselben abgibt.

EINHOLEN VON EINWILLIGUNGEN

Immer wenn die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person oder auf anderen legitimen Gründen beruht, ist der Verantwortliche dafür verantwortlich: eine Aufzeichnung dieser Einwilligung aufzubewahren (durch Aufbewahrung des vom Betroffenen unterzeichneten Informationsformulars); den Betroffenen Optionen für die Einwilligung zu bieten; die betroffenen Personen zu informieren und sicherzustellen, dass die erteilte Einwilligung (immer wenn die Einwilligung als Rechtsgrundlage für die Verarbeitung verwendet wird) jederzeit widerrufen werden kann. Wenn die Erhebung personenbezogener Daten einen Minderjährigen unter 16 Jahren betrifft, muss der Verantwortliche sicherstellen, dass die Einwilligung des sorgeberechtigten Inhabers vor der Erhebung unter Verwendung des spezifischen Formulars eingeholt wird. Bei der Aufforderung zur Korrektur, Änderung oder Löschung von personenbezogenen Datensätzen muss der Verantwortliche sicherstellen, dass solche Anfragen innerhalb angemessener Frist bearbeitet werden, und muss auch Aufzeichnungen über die Anfragen führen und ein Register darüber führen. Personenbezogene Daten dürfen nur für die Zwecke verarbeitet werden, für die sie ursprünglich gesammelt wurden. Falls das Unternehmen die gesammelten personenbezogenen Daten für einen anderen Zweck verarbeiten möchte, muss es die Zustimmung der betroffenen Personen in klarer und prägnanter schriftlicher Form einholen. Eine solche Anfrage sollte auch den ursprünglichen Zweck, für den die Daten gesammelt wurden, und die neuen oder zusätzlichen Zwecke enthalten. Die Anfrage muss auch den Grund für die Änderung des Zwecks enthalten. Der Verantwortliche muss sicherstellen, dass die Erhebungsmethoden gegenwärtig und zukünftig den geltenden Gesetzen, bewährten Verfahren und relevanten Branchenstandards entsprechen. Der Verantwortliche ist für die Erstellung und Pflege eines Registers der Datenschutzinformationen verantwortlich.

BEHANDLUNG BESTIMMTER KATEGORIEN VON PERSONENBEZOGENEN DATEN

Es ist verboten, personenbezogene Daten zu verarbeiten, die offenlegen: Rasse; ethnische Herkunft; politische Meinungen; religiöse Überzeugungen; philosophische Überzeugungen; Gewerkschaftszugehörigkeit; genetische Daten; biometrische Daten; Gesundheitsdaten; Sexualleben einer Person; sexuelle Orientierung. Ausnahmen: Die betroffene Person hat ihre ausdrückliche Einwilligung gegeben; Die Verarbeitung ist erforderlich, um die spezifischen Pflichten und Rechte des Verantwortlichen oder der betroffenen Person im Bereich des Arbeitsrechts, der sozialen Sicherheit und des Sozialschutzes zu erfüllen und auszuüben, soweit dies durch das Unionsrecht oder das Recht der Mitgliedstaaten oder durch einen Tarifvertrag gemäß dem Recht der Mitgliedstaaten gestattet ist, sofern angemessene Garantien für die Grundrechte und Interessen der betroffenen Person vorliegen; die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, wenn die betroffene Person körperlich oder rechtlich nicht in der Lage ist, ihre Einwilligung zu geben; die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeiten und unter angemessenen Garantien durch eine Stiftung, Vereinigung oder andere gemeinnützige Einrichtung, die politische, philosophische, religiöse oder gewerkschaftliche Zwecke verfolgt, vorausgesetzt, dass die Verarbeitung nur die Mitglieder, ehemaligen Mitglieder oder Personen betrifft, die aufgrund ihrer Zwecke regelmäßige Kontakte mit der Stiftung, Vereinigung oder Einrichtung haben, und dass personenbezogene Daten ohne Einwilligung der betroffenen Person nicht nach außen weitergegeben werden; die personenbezogenen Daten werden vom Betroffenen offenkundig öffentlich gemacht; die Verarbeitung ist erforderlich, um ein Recht vor Gericht geltend zu machen, auszuüben oder zu verteidigen, oder wenn die Gerichtsbehörden in Ausübung ihrer gerichtlichen Funktionen handeln; die Verarbeitung ist für erhebliche öffentliche Interessen im Bereich des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich, wobei sie im Verhältnis zu dem verfolgten Zweck angemessen ist, den Kern des Rechts auf Datenschutz wahrt und geeignete und spezifische Maßnahmen vorsieht, um die Grundrechte und Interessen der betroffenen Person zu schützen; die Verarbeitung ist für Zwecke der vorbeugenden oder arbeitsmedizinischen Medizin, der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, der Diagnose, Pflege oder medizinischen oder sozialen Therapie oder Verwaltung von Gesundheits- oder Sozialdiensten aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten oder gemäß dem Vertrag mit einem Gesundheitsdienstleister erforderlich; die Verarbeitung ist für erhebliche öffentliche Interessen im Bereich der öffentlichen Gesundheit erforderlich, wie der Schutz vor ernsthaften grenzüberschreitenden Gesundheitsgefahren oder die Sicherstellung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten, das geeignete und spezifische Maßnahmen vorsieht, um die Rechte und Freiheiten der betroffenen Person zu schützen, insbesondere das Berufsgeheimnis; die Verarbeitung ist für Archivzwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Die Rechtmäßigkeit der Verarbeitung ist eine Voraussetzung.

10. ANFORDERUNGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN VON MITARBEITERN

Jede Verarbeitung personenbezogener Daten von Mitarbeitern durch Abteilungen und Einzelpersonen innerhalb des Unternehmens muss für legitime Zwecke erfolgen und folgende Anforderungen erfüllen.

MITTEILUNG AN MITARBEITER

Zu Zwecken der Transparenz bei der Verarbeitung personenbezogener Daten von Mitarbeitern muss ein Mitarbeiter, wenn eine Abteilung oder eine Einzelperson innerhalb des Unternehmens personenbezogene Daten eines Mitarbeiters erhebt, über die Arten der gesammelten Daten, die Zwecke und Arten der Verarbeitung, die Rechte des Mitarbeiters und die ergriffenen Sicherheitsmaßnahmen informiert werden. Diese Informationen werden durch eine separate Datenschutzerklärung (GDPR-ID-Formular) bereitgestellt.

MITTEILUNG AN BEWERBER

Die gleiche Transparenz, die für die Verarbeitung personenbezogener Daten von Mitarbeitern gewährleistet ist, wird auch für die Erhebung personenbezogener Daten eines Bewerbers während eines Vorstellungsgesprächs für eine mögliche Anstellung sichergestellt. Der Bewerber muss über die Arten der gesammelten Daten, die Zwecke und Arten der Verarbeitung, seine Rechte und die ergriffenen Sicherheitsmaßnahmen informiert werden. Diese Informationen werden durch eine separate Datenschutzerklärung (GDPR-ICL-Modell) bereitgestellt.

AUSWAHL UND EINWILLIGUNG DER MITARBEITER

Grundsätzlich kann das Unternehmen personenbezogene Daten von Mitarbeitern für legitime Zwecke als Arbeitgeber verarbeiten und kann dies im Allgemeinen ohne die Zustimmung des Mitarbeiters tun, um die Effizienz der internen Abläufe zu verbessern. Sicherheits- und Personalmanagementaktivitäten wie Interviews, Einstellungen, Beendigung des Arbeitsverhältnisses, Anwesenheit, Vergütung und Leistungen, Mitarbeiterdienste, Gesundheit und Arbeitssicherheit können die Verarbeitung sensibler personenbezogener Daten mit sich bringen.

ERHEBUNG

Unternehmensabteilungen und Einzelpersonen müssen personenbezogene Daten von Mitarbeitern für legitime Zwecke sammeln und das Prinzip der Datensparsamkeit beachten. Wenn die personenbezogenen Daten eines Bewerbers oder Mitarbeiters von einem Dritten (z. B. Zeitarbeitsagenturen) gesammelt werden, muss das Unternehmen sicherstellen, dass dieser Dritte die personenbezogenen Daten auf legitime Weise erhält. Keine Unternehmensabteilung oder Einzelperson darf personenbezogene Daten von Bewerbern oder Mitarbeitern auf rechtswidrige oder unethische Weise sammeln.

NUTZUNG, SPEICHERUNG UND ENTSORGUNG

Die Unternehmensabteilungen und Einzelpersonen müssen die persönlichen Daten der Mitarbeiter gemäß der Kommunikation an den Mitarbeiter konsistent nutzen, speichern und entsorgen. Sie müssen auch sicherstellen, dass die Daten genau, vollständig und relevant sind. Das Unternehmen hat angemessene Sicherheitsmaßnahmen implementiert, um die persönlichen Daten der Mitarbeiter vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugtem Zugriff oder Offenlegung zu schützen, gemäß der Richtlinie für Informationssicherheit und anderen Dokumenten, die die Datensicherheit beschreiben. Unternehmensabteilungen und Einzelpersonen dürfen die persönlichen Daten der Mitarbeiter nicht unrechtmäßig zerstören oder ändern. Sie dürfen nicht unbefugt oder ohne Genehmigung auf persönliche Mitarbeiterdaten zugreifen, sie verkaufen oder an Dritte weitergeben. Im Rahmen der Geschäftsaktivitäten entscheidet der Verantwortliche, ob die persönlichen Daten der Mitarbeiter auf folgende Weise verarbeitet werden, um das Risiko für den Datenschutz zu minimieren: Die persönlichen Daten der Mitarbeiter können anonymisiert werden, um eine irreversibel De-Identifizierung zu ermöglichen; oder die Daten können zu statistischen oder Forschungsergebnissen aggregiert werden. (Die Grundsätze der Verarbeitung personenbezogener Daten gelten nicht für anonymisierte oder aggregierte Daten, da es sich nicht um personenbezogene Daten handelt).

WEITERGABE AN DRITTE

Wenn Unternehmensabteilungen und Einzelpersonen die persönlichen Daten der Mitarbeiter an einen Lieferanten, einen Geschäftspartner oder Dritte weitergeben müssen, sollten sie sicherstellen, dass der Lieferant, der Geschäftspartner oder andere Dritte angemessene Sicherheitsmaßnahmen ergreifen, um die Mitarbeiterdaten vor den damit verbundenen Risiken zu schützen. Sie sollten auch verlangen, dass der Dritte dasselbe Datenschutzniveau bietet, das sie dem Unternehmen vertraglich oder anderweitig zusichern (GDPR-NRET-Formular). Darüber hinaus sollten Unternehmensabteilungen und Einzelpersonen, wenn sie die persönlichen Daten der Mitarbeiter als Reaktion auf eine Anfrage von Strafverfolgungsbehörden oder einer Justizbehörde offenlegen, zuerst den Datenschutzbeauftragten (DPO) informieren, der von der Firma autorisiert ist, koordinierte Anstrengungen zur Bewältigung der Anfrage zu unternehmen.

ÜBERTRAGUNG PERSÖNLICHER MITARBEITERDATEN ÜBER LANDESGRENZEN HINWEG

Das Unternehmen führt keine grenzüberschreitenden Datenübertragungen durch. Falls dies jedoch erforderlich sein sollte, müssen Unternehmensabteilungen und Einzelpersonen vor der Übertragung persönlicher Daten den Datenschutzbeauftragten (DPO) oder den Verantwortlichen für die Verarbeitung konsultieren, um festzustellen, ob die grenzüberschreitende Übertragung notwendig und rechtmäßig ist.

ZUGANG DER MITARBEITER

Unternehmensabteilungen müssen den Mitarbeitern angemessene Mittel zur Verfügung stellen, um auf die sie betreffenden persönlichen Daten zuzugreifen, und es den Mitarbeitern ermöglichen, ihre persönlichen Daten bei Bedarf oder auf Anfrage gesetzlich zu aktualisieren, zu korrigieren, zu löschen oder zu übertragen. Wenn auf eine Anfrage eines Mitarbeiters zum Zugriff reagiert wird, dürfen Unternehmensabteilungen keine personenbezogenen Daten bereitstellen, bevor die Identität des Mitarbeiters überprüft wurde. Das Unternehmen muss sicherstellen, die Identität der anfragenden Person zu kennen, bevor personenbezogene Daten an diese Person gesendet werden können.

VERANTWORTLICHKEIT

Die Personalabteilung ist zuständig für das Management des Datenschutzes der persönlichen Daten der Mitarbeiter.

11. UNTERNEHMENSORGANISATION

Die DSGVO bringt neue organisatorische Verpflichtungen mit sich. Die Verantwortung für eine angemessene Behandlung personenbezogener Daten liegt bei allen, die für oder mit dem Unternehmen arbeiten und Zugang zu den von dem Unternehmen verarbeiteten personenbezogenen Daten haben. Zu diesem Zweck hat das Unternehmen eine eigene Organisationsstruktur für den Datenschutz implementiert. Die Hauptverantwortungsbereiche sind in den folgenden organisatorischen Rollen identifizierbar: Der Datenverantwortliche trifft Entscheidungen und genehmigt die allgemeinen Strategien des Unternehmens in Bezug auf den Schutz personenbezogener Daten. Diese Rolle wird vom derzeitigen gesetzlichen Vertreter wahrgenommen. Der Datenschutzbeauftragte (DSB/DSO) ist für die Verwaltung des Programms zum Schutz personenbezogener Daten verantwortlich und fördert die Entwicklung und Förderung von Datenschutzrichtlinien von Anfang bis Ende, wie in der Beschreibung der Rolle des Datenschutzbeauftragten festgelegt. Der Systemadministrator ist dafür verantwortlich, sicherzustellen, dass alle für die Datenaufzeichnung verwendeten Systeme, Dienste und Geräte akzeptable Sicherheitsstandards erfüllen. Er führt regelmäßige Kontrollen und Scans durch, um sicherzustellen, dass die Sicherheits-Hardware und -Software ordnungsgemäß funktionieren. Die Interne Revision ist für interne Überprüfungen zur Einhaltung der Verfahren und Richtlinien zum Schutz personenbezogener Daten verantwortlich. Autorisierte Personen sind formell befugte Mitarbeiter, die vom Verantwortlichen autorisiert wurden, Verarbeitungsvorgänge durchzuführen.

12. ALLGEMEINE VERPFLICHTUNGEN

VERARBEITUNGSVERZEICHNISSE

Der Datenverantwortliche muss ein Verzeichnis der Verarbeitungstätigkeiten führen, das folgende Informationen enthält: Kontaktdaten des Datenverantwortlichen und, falls zutreffend, des Mitverantwortlichen und des Datenschutzbeauftragten; Zweck der Verarbeitung; Kategorien betroffener Personen; Kategorien personenbezogener Daten, die verarbeitet werden; Kategorien von Empfängern, denen personenbezogene Daten offengelegt wurden oder offengelegt werden; wenn zutreffend, Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation; wenn möglich, die voraussichtlichen Fristen für die Löschung verschiedener Kategorien von Daten; wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

REAKTION AUF VORFÄLLE VON VERLETZUNGEN PERSONENBEZOGENER DATEN

Wenn das Unternehmen von einer mutmaßlichen oder tatsächlichen Verletzung personenbezogener Daten erfährt, muss der Datenverantwortliche in Zusammenarbeit mit dem Datenschutzbeauftragten eine interne Untersuchung durchführen und rechtzeitig geeignete Korrekturmaßnahmen gemäß dem Verfahren zur Reaktion und Mitteilung von Datenschutzverletzungen ergreifen.

AUDIT UND VERANTWORTLICHMACHUNG

Die Interne Revision ist dafür verantwortlich zu überprüfen, wie die Unternehmensabteilungen diese Richtlinie umsetzen. Jeder Mitarbeiter, der gegen diese Richtlinie verstößt, unterliegt disziplinarischen Maßnahmen und kann auch zivil- oder strafrechtlich haftbar gemacht werden, wenn sein Verhalten gegen Gesetze oder Vorschriften verstößt.

KONFLIKTE MIT DEM GESETZ

Diese Richtlinie soll die Gesetze und Vorschriften am Standort und in den Ländern, in denen das Unternehmen tätig ist, einhalten.