“DSGVO”
3DFORM Sp. z o.o.
- Die 3DFORM Sp. z o.o. ist der Datenverantwortliche im Sinne von Artikel 4 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) (ABl. EU L vom 4. Mai 2016), im Folgenden als Datenverantwortlicher bezeichnet.
- Um sicherzustellen, dass die Verarbeitung personenbezogener Daten durch den Datenverantwortlichen gemäß geltendem Recht erfolgt und insbesondere einen hohen Schutz der verarbeiteten personenbezogenen Daten gewährleistet, übernimmt der Datenverantwortliche diese Richtlinie.
- Diese Richtlinie entspricht:
- der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) (ABl. EU L vom 4. Mai 2016 — im Folgenden als DSGVO bezeichnet);
- dem Gesetz vom 10. Mai 2018 zum Schutz personenbezogener Daten (Amtsblatt 2018, Position 1000, im Folgenden als Datenschutzgesetz bezeichnet);
- dem Gesetz vom 18. Juli 2002 über die Erbringung von elektronischen Diensten (konsolidierter Text: Amtsblatt 2017, Position 1219, geändert — im Folgenden als Gesetz über die Erbringung von elektronischen Diensten bezeichnet);
- dem Gesetz vom 26. Juni 1974 — Arbeitsgesetzbuch (konsolidierter Text: Amtsblatt 2018, Position 108, geändert — im Folgenden als Arbeitsgesetzbuch bezeichnet);
- Diese Richtlinie bildet einen integralen Bestandteil des Systems zum Schutz personenbezogener Daten beim Datenverantwortlichen und spezifiziert insbesondere:
- die Grundsätze der Datenverarbeitung beim Datenverantwortlichen;
- die angewendeten Verfahren beim Datenverantwortlichen;
- Vorlagen und Formulare, die beim Datenverantwortlichen verwendet werden.
- Diese Richtlinie ist eine gesetzliche Maßnahme gemäß Artikel 24 Absatz 2 der DSGVO.
- Verantwortlich für die Einhaltung dieser Richtlinie sind:
- Der Datenverantwortliche,
- das gesamte Personal, das beim Datenverantwortlichen tätig ist.
- Der Datenverantwortliche sollte auch sicherstellen, dass die Vertragspartner, die auf der Grundlage von Zivilverträgen mit dem Datenverantwortlichen zusammenarbeiten, in dem Umfang, in dem personenbezogene Daten an sie übermittelt werden, und das Personal, das beim Datenverantwortlichen tätig ist, sich an diese Richtlinie halten.
- Zu Zwecken dieser Richtlinie werden folgende Definitionen der verwendeten Begriffe übernommen:
- Daten bezeichnen alle Informationen über eine identifizierte oder identifizierbare natürliche Person; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch einen Bezug zu einem Kennzeichen wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren spezifischen Faktoren, die die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person bestimmen;
- Besonders geschützte Daten sind Daten gemäß Artikel 9 Absatz 1 der DSGVO, d.h. personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Angaben zum Sexualleben oder zur sexuellen Orientierung hervorgehen;
- Strafrechtliche Daten sind Daten gemäß Artikel 10 der DSGVO, d.h. Daten zu Verurteilungen und Straftaten;
- Kinderdaten bezeichnen Daten von Personen unter einem Jahr;
- Datenexport bezeichnet die Übermittlung von Daten in Drittländer oder internationale Organisationen;
- Person bezeichnet die Person, auf die sich die Daten beziehen, sofern sich aus dem Kontext nichts anderes ergibt;
- Richtlinie bezeichnet diese Datenschutzrichtlinie, sofern sich aus dem Kontext nichts anderes ergibt;
- Verarbeiter bezeichnet eine Organisation oder Person, der der Datenverantwortliche die Verarbeitung personenbezogener Daten anvertraut hat;
- Profiling bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
- DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) (ABl. EU L 119,
10. Grundlagen des Systems zum Schutz personenbezogener Daten:
- Der Datenverantwortliche erstellt ein System zum Schutz personenbezogener Daten in seinem Unternehmen und baut es auf folgenden Grundlagen auf:
- Sicherheit — Der Datenverantwortliche ist verpflichtet, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos der Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere;
- Rechtmäßigkeit — Der Datenverantwortliche sowie alle an den Prozessen zur Verarbeitung personenbezogener Daten beteiligten Personen sind verpflichtet, alle mit personenbezogenen Daten verbundenen Operationen unter vollständiger Einhaltung des geltenden Rechts durchzuführen;
- Risikobasierte Ansatz — Der Datenverantwortliche ist verpflichtet, die mit der Verarbeitung personenbezogener Daten verbundenen Risiken zu identifizieren und ihre Auswirkungen auf die mit personenbezogenen Daten verbundenen Operationen, insbesondere auf die Rechte und Freiheiten natürlicher Personen, festzulegen;
- Achtung der Rechte natürlicher Personen — Der Datenverantwortliche sowie alle an den Prozessen zur Verarbeitung personenbezogener Daten beteiligten Personen sind verpflichtet, natürlichen Personen die Ausübung ihrer Rechte im Zusammenhang mit dem Schutz personenbezogener Daten zu erleichtern;
- Rechenschaftspflicht — Der Datenverantwortliche sowie alle an den Prozessen zur Verarbeitung personenbezogener Daten beteiligten Personen sind verpflichtet, die Erfüllung der aus den Datenschutzbestimmungen resultierenden Pflichten zu dokumentieren.
11. Datenschutzgrundsätze:
- Der Datenverwalter verarbeitet personenbezogene Daten gemäß folgenden Grundsätzen:
- Grundsatz der Zeitlichkeit — Personenbezogene Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Person ermöglicht, für einen Zeitraum, der nicht länger ist als für die Zwecke, für die diese Daten verarbeitet werden, erforderlich ist;
- Grundsatz der Integrität und Vertraulichkeit — Personenbezogene Daten werden in einer Weise verarbeitet, die angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schäden, durch geeignete technische Maßnahmen oder
- Grundsatz der Datenminimierung — Personenbezogene Daten sind angemessen, geeignet und auf das für die Zwecke, für die sie verarbeitet werden, notwendige beschränkt;
- Grundsatz der Zweckbindung — Personenbezogene Daten werden für spezifische, eindeutige und rechtlich begründete Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet;
- Grundsatz der Richtigkeit — Personenbezogene Daten sind richtig und werden bei Bedarf aktualisiert; alle angemessenen Maßnahmen sind zu ergreifen, um personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich zu löschen oder zu berichtigen;
- Grundsatz der Rechtmäßigkeit, Fairness und Transparenz — Personenbezogene Daten werden rechtmäßig, fair und in einer Weise verarbeitet, die für die betroffene Person transparent ist.
12. Datenschutzsystem:
Das Datenschutzsystem des Datenverwalters besteht aus folgenden Elementen:
- Sicherheit. Der Administrator gewährleistet ein angemessenes Sicherheitsniveau für die Daten, einschließlich:
- Anpassung der Datenschutzmaßnahmen an das festgelegte Risiko;
- Verfügung über ein Informationssicherheitsmanagementsystem;
- Durchführung von Risikoanalysen für Datenverarbeitungstätigkeiten oder -kategorien;
- Durchführung von Folgenabschätzungen zum Schutz personenbezogener Daten, wenn das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist;
- Anwendung von Verfahren zur Identifizierung, Bewertung und Meldung von identifizierten Datenschutzverletzungen an die Aufsichtsbehörde – Verwaltung von Vorfällen.
- Datenexport. Der Administrator hat Richtlinien zur Überprüfung, ob Daten an Drittländer (d. h. außerhalb der EU, Norwegen, Liechtenstein, Island) oder internationale Organisationen übermittelt werden, und stellt die gesetzeskonformen Bedingungen für solche Übermittlungen sicher, wenn sie stattfinden.
- Dateninventur. Der Administrator identifiziert die personenbezogenen Datenressourcen, die er besitzt, die Datenklassen, die Beziehungen zwischen den Datenressourcen, die Nutzungsmethoden der Daten (Inventur), einschließlich:
- Fälle der Verarbeitung besonderer Kategorien von Daten und “krimineller” Daten (spezielle Daten);
- Fälle der Verarbeitung von Daten von Personen, die der Administrator nicht identifiziert (nicht identifizierte Daten);
- Fälle der Verarbeitung von Daten von Kindern;
- Profiling;
- gemeinsame Verwaltung.
- Der Administrator hat Grundsätze für das Management der Minimierung (Datenschutz von Anfang an), einschließlich:
- Grundsätze der Angemessenheit der Datenverarbeitung;
- Regeln und Managementpraktiken des Datenzugriffs;
- Prinzipien des Verwaltens der Aufbewahrungsfrist und der Überprüfung der weiteren Eignung von Daten;
- Unterstützung der Rechte des Einzelnen. Der Administrator erfüllt die Informationspflichten gegenüber den Personen, deren Daten verarbeitet werden, und gewährleistet die Unterstützung ihrer Rechte, indem er entsprechende Anträge bearbeitet, nämlich:
- Informationspflichten. Der Administrator stellt den Personen die gesetzlich vorgeschriebenen Informationen beim Sammeln von Daten und in anderen Situationen bereit und organisiert und dokumentiert die Erfüllung dieser Pflichten.
- Möglichkeit, Anfragen zu stellen. Der Administrator überprüft und stellt sicher, dass die Möglichkeit
effektive Bearbeitung aller Arten von Anfragen durch sich selbst und seine Auftragsverarbeiter gewährleistet ist.
- Bearbeitung von Anfragen. Der Administrator stellt angemessene Ressourcen und Verfahren bereit, damit Anfragen von Personen innerhalb der gesetzten Fristen und in der gemäß DSGVO erforderlichen Weise bearbeitet und dokumentiert werden.
- Rechtsgrundlagen. Der Administrator stellt die Identifizierung, Überprüfung der Rechtsgrundlagen für die Datenverarbeitung sicher und registriert sie im Register, einschließlich:
- Pflege eines Systems für die Verwaltung von Einwilligungen zur Datenverarbeitung und der Fernkommunikation;
- Inventarisierung und Ausarbeitung der Rechtfertigungsfälle, in denen Daten auf der Grundlage eines rechtlich begründeten Interesses des Vertragspartners verarbeitet werden.
- Auftragsverarbeiter. Der Administrator hat Richtlinien für die Auswahl von Auftragsverarbeitern im Namen des Administrators, Anforderungen an die Verarbeitungsbedingungen (Auftragsverarbeitungsvertrag), Regeln zur Überprüfung der Erfüllung der Auftragsverarbeitungsverträge.
- Datenschutz von Anfang an. Der Administrator verwaltet Änderungen, die die Privatsphäre beeinflussen. Zu diesem Zweck berücksichtigen die Verfahren zur Einführung neuer Projekte und Investitionen beim Administrator die Notwendigkeit der Bewertung der Auswirkungen der Änderung auf den Datenschutz (einschließlich der Konformität der Verarbeitungszwecke, Datensicherheit und Minimierung) bereits in der Planungsphase der Änderung, Investition oder zu Beginn eines neuen Projekts.
- Transnationale Verarbeitung. Der Administrator hat Richtlinien zur Überprüfung, wann Fälle transnationaler Verarbeitung auftreten, und Regeln zur Bestimmung der federführenden Aufsichtsbehörde und der Hauptorganisationseinheit gemäß DSGVO.
- Der Administrator erstellt, führt und pflegt ein Register der Datenverarbeitungstätigkeiten (Register). Das Register ist ein Instrument zur Rechenschaftspflicht in Bezug auf den Datenschutz beim Administrator.
- Meldung von Verstößen. Der Administrator wendet Verfahren an, um die Notwendigkeit der Benachrichtigung betroffener Personen über identifizierte Verstöße gegen den Datenschutz festzustellen.
13. Beteiligte an der Erstellung des Datenschutzsystems:
- Gemeinsame Verwalter von Personendaten:
- Der Datenverwalter kann gemeinsam mit einem anderen Verwalter die Ziele und Methoden der Verarbeitung personenbezogener Daten festlegen – wenn dies aus den vom Datenverwalter durchgeführten Maßnahmen erforderlich ist.
- Der Datenverwalter ist verpflichtet, mit dem gemeinsamen Verwalter personenbezogener Daten einen Vertrag über die gemeinsame Verwaltung personenbezogener Daten abzuschließen.
- Im Vertrag über die gemeinsame Verwaltung personenbezogener Daten sind insbesondere folgende Punkte zu regeln:
- Bereiche der Verantwortlichkeiten des Datenverwalters und des gemeinsamen Verwalters personenbezogener Daten;
- Verfahren zur Erfüllung der aus den Datenschutzvorschriften resultierenden Pflichten;
- Verfahren zur Erfüllung der Informationspflichten gemäß Artikel 13 und Artikel 14 der DSGVO;
- Kontaktpunkt – wenn erforderlich;
- Beziehungen zwischen dem Datenverwalter und dem gemeinsamen Verwalter personenbezogener Daten und den betroffenen Personen;
- Verfahren zur Weitergabe von Dateninhalten an Personen, die zwischen dem Datenverwalter und dem gemeinsamen Verwalter personenbezogener Daten vereinbart wurden.
2) Datenschutzbeauftragter:
- In den in Artikel 37 Absatz 1 der DSGVO oder im polnischen Recht festgelegten Fällen ist der Datenverwalter verpflichtet, einen Datenschutzbeauftragten zu benennen.
- In Fällen, die nicht in Absatz 1 genannt sind, kann der Datenverwalter freiwillig entscheiden, einen Datenschutzbeauftragten zu benennen.
- Der Datenverwalter benachrichtigt den Präsidenten des Amtes für den Schutz personenbezogener Daten innerhalb von 14 Tagen über:
- die Ernennung des Datenschutzbeauftragten, unter Angabe seiner Kontaktdaten;
- die Änderung des Datenschutzbeauftragten, unter Angabe seiner Kontaktdaten;
- den Verzicht auf die Ernennung eines Datenschutzbeauftragten, wenn zuvor einer ernannt wurde.
- Der Datenverwalter kann einen Datenschutzbeauftragten auf der Grundlage eines Arbeitsvertrags oder eines zivilrechtlichen Vertrags für Dienstleistungen einstellen.
- Die Aufgaben des Datenschutzbeauftragten umfassen:
- Informieren des Datenverwalters und der von ihm beschäftigten Personen, die personenbezogene Daten verarbeiten, über ihre gesetzlichen Verpflichtungen;
- Beratung zur Einhaltung der Datenschutzbestimmungen;
- Durchführung von Maßnahmen zur Steigerung des Bewusstseins für den Datenschutz;
- Durchführung von Schulungen für Mitarbeiter zum Datenschutz;
- Durchführung von Audits;
- Überwachung der Einhaltung der Datenschutzbestimmungen, dieser Richtlinie und anderer Dokumente des Datenverwalters;
- Überwachung der Aufgabenverteilung;
- als Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung fungieren, einschließlich vorheriger Konsultationen gemäß Artikel 36 der DSGVO, und in geeigneten Fällen Konsultationen zu allen anderen Angelegenheiten durchführen;
- auf Anfrage des Datenverwalters Empfehlungen zur Bewertung der Datenschutzfolgen geben und deren Umsetzung gemäß Artikel 35 der DSGVO überwachen;
- Zusammenarbeit mit dem Präsidenten des Amtes für den Schutz personenbezogener Daten;
- Der Datenverwalter ist verpflichtet sicherzustellen, dass der Datenschutzbeauftragte in alle Datenschutzfragen angemessen und unverzüglich einbezogen wird.
- Der Datenverwalter ist verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die für den Erhalt seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
- Der Datenverwalter:
- kann dem Datenschutzbeauftragten keine Anweisungen erteilen;
- kann den Datenschutzbeauftragten nicht für die Erfüllung seiner Aufgaben bestrafen;
- kann den Datenschutzbeauftragten nicht abberufen, weil er seine Aufgaben erfüllt.
- Der Datenschutzbeauftragte unterliegt direkt dem Datenverwalter oder der obersten Führungsebene des Datenverwalters.
3) Bevollmächtigte Personen:
- Personen, die im Rahmen der Struktur des Datenverwalters personenbezogene Daten verarbeiten, dürfen dies nur auf Anweisung des Datenverwalters tun.
- Bevor eine Person mit der Verarbeitung personenbezogener Daten beginnt, hat sie folgende Pflichten zu erfüllen:
- sich mit den Dokumenten zum Datenschutz vertraut zu machen, insbesondere mit dieser Richtlinie – im vom Datenverwalter festgelegten Umfang;
- eine schriftliche Erklärung über die Kenntnisnahme der Dokumente zum Datenschutz sowie über die Teilnahme an Schulungen zum Datenschutz abzugeben;
- eine schriftliche Erklärung über die Einhaltung der Datenschutzgrundsätze und der festgelegten Verfahren abzugeben;
- eine Datenschutzschulung durchzuführen
- Der Datenverwalter gewährt den bevollmächtigten Personen Zugang zu den Dokumenten zum Datenschutz, mit Ausnahme derjenigen Dokumente, die nicht für alle bevollmächtigten Personen zugänglich sein sollten.
- Der Datenverwalter führt ein Verzeichnis der bevollmächtigten Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind.
4) Auftragsverarbeiter
- Der Datenverwalter kann die Verarbeitung personenbezogener Daten je nach eigenen Bedürfnissen einem Auftragsverarbeiter übertragen.
- Der Datenverwalter ist verpflichtet, die Verarbeitung personenbezogener Daten nur solchen Auftragsverarbeitern zu übertragen, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, damit die Verarbeitung den Anforderungen der DSGVO entspricht und die Rechte der betroffenen Personen geschützt werden. Die Inanspruchnahme der Dienste von Auftragsverarbeitern, die solche Garantien nicht bieten, ist untersagt.
- Wenn der Auftragsverarbeiter die Dienste eines anderen Auftragsverarbeiters in Anspruch nimmt, der keine ähnlichen Garantien bietet, wie in Absatz 2 vorgesehen, ist der Datenverwalter verpflichtet, Widerspruch einzulegen, und kann in anderen Fällen Widerspruch einlegen, wenn dafür Gründe vorliegen.
- Der Datenverwalter ist verpflichtet, die Einhaltung der DSGVO durch den Auftragsverarbeiter während der gesamten Vertragslaufzeit zu überwachen.
- Im Falle eines Verstoßes gegen die Bestimmungen der DSGVO durch den Auftragsverarbeiter ist der Datenverwalter verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter unverzüglich einzustellen.
- Der Datenverwalter führt ein Verzeichnis der Auftragsverarbeiter, mit denen er Vereinbarungen zur Auftragsverarbeitung personenbezogener Daten abgeschlossen hat.
5. Empfänger personenbezogener Daten:
- Der Datenverwalter gibt personenbezogene Daten nur nach Überprüfung der Rechtsgrundlage für eine solche Offenlegung an Empfänger personenbezogener Daten weiter.
- Im Falle des Fehlens einer Rechtsgrundlage gemäß Absatz 1 verweigert der Datenverwalter die Offenlegung personenbezogener Daten an jeden Empfänger.
- Der Datenverwalter führt ein Verzeichnis der Empfänger von Daten
14. Verzeichnis der Datenverarbeitungstätigkeiten
- Das VDV (Verzeichnis der Datenverarbeitungstätigkeiten) dient dazu, Datenverarbeitungstätigkeiten zu dokumentieren, stellt eine Art Karte der Datenverarbeitung dar und ist eines der Schlüsselelemente, die die Umsetzung des grundlegenden Prinzips ermöglichen, auf dem das gesamte System zum Schutz personenbezogener Daten basiert, nämlich das Rechenschaftspflichtprinzip.
- Der Verantwortliche führt das Verzeichnis der Datenverarbeitungstätigkeiten, in dem er die Art und Weise, wie er personenbezogene Daten verwendet, inventarisiert und überwacht.
- Das Verzeichnis der Datenverarbeitungstätigkeiten ist eines der grundlegenden Werkzeuge, die dem Verantwortlichen ermöglichen, die meisten seiner Schutzpflichten abzurechnen
- Im Verzeichnis werden für jede Datenverarbeitungstätigkeit, die der Verantwortliche für den Bedarf des Verzeichnisses als getrennt erachtet, mindestens folgende Informationen festgehalten:
- Bezeichnung der Tätigkeit,
- Zweck der Verarbeitung,
- Beschreibung der Personenkategorien,
- Beschreibung der Datenkategorien,
- Rechtsgrundlage für die Verarbeitung, einschließlich der Aufschlüsselung der Kategorien des berechtigten Interesses einer anderen Partei und/oder des Verantwortlichen, wenn
die Grundlage ein berechtigtes Interesse ist, – Art der Datenerfassung,
- Beschreibung der Datenempfänger (einschließlich Verarbeitern),
- Informationen über die Übermittlung außerhalb der EU/EWR;
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz
- Die Vorlage des Registers ist ein Anhang zur Richtlinie.
15. Risikomanagement:
- Der Datenverantwortliche führt ein Risikomanagementverfahren ein und hält es aufrecht.
- Der Datenverantwortliche ist verpflichtet, Risiken bei geplanten und durchgeführten Prozessen der Verarbeitung personenbezogener Daten zu berücksichtigen.
- Das Risikomanagementverfahren ist ein Anhang zur
16. Datenschutz-Folgenabschätzung
- In Fällen gemäß Art. 35 Abs. 1 DSGVO, Art. 35 Abs. 3 DSGVO sowie in Bezug auf Verarbeitungsvorgänge, die in der vom Präsidenten des Amtes für den Schutz personenbezogener Daten gemäß Art. 35 Abs. 4 DSGVO veröffentlichten Liste enthalten sind, ist der Datenschutzbeauftragte verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen.
- Eine Datenschutz-Folgenabschätzung ist nicht erforderlich für Verarbeitungsvorgänge, die in der vom Präsidenten des Amtes für den Schutz personenbezogener Daten gemäß Art. 35 Abs. 5 DSGVO veröffentlichten Liste enthalten sind.
- Das Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung ist ein Anhang zur Richtlinie.
17. Vorherige Konsultationen mit dem Präsidenten des Amtes für den Schutz personenbezogener Daten:
- Wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn der Datenverantwortliche keine Maßnahmen zur Minimierung dieses Risikos ergreift, ist der Datenverantwortliche verpflichtet, sich vor Beginn der Verarbeitung mit dem Präsidenten des Amtes für den Schutz personenbezogener Daten abzustimmen.
- Das Verfahren zur Durchführung vorheriger Konsultationen mit dem Präsidenten des Amtes für den Schutz personenbezogener Daten ist ein Anhang zur Richtlinie.
18. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen:
- Der Datenverantwortliche ist verpflichtet, den Datenschutz bereits bei der Entwicklung neuer Systeme, Programme, Anwendungen, Dienste sowie bei der Gestaltung neuer Prozesse und Methoden der Verarbeitung personenbezogener Daten (Datenschutz durch Technikgestaltung) zu berücksichtigen.
- Der Datenverantwortliche ist verpflichtet, einen Standarddatenschutz sicherzustellen, d. h. es dürfen standardmäßig nur diejenigen personenbezogenen Daten verarbeitet werden, die für einen bestimmten Verarbeitungszweck erforderlich sind (Datenschutz durch Voreinstellungen). Die Einschränkung der Privatsphäre oder ihre Beschränkung ist nur auf ausdrücklichen Antrag der betroffenen Person möglich.
- Das Verfahren zur Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist ein Anhang zu
19. Minimierung:
- Der Datenverantwortliche ist verpflichtet, dem Grundsatz der Minimierung zu folgen.
- Zur Gewährleistung der Einhaltung des Grundsatzes der Minimierung überprüft der Datenverantwortliche insbesondere:
- die Menge der verarbeiteten personenbezogenen Daten – Der Datenverantwortliche darf nicht mehr personenbezogene Daten verarbeiten, als sich aus dem festgelegten Zweck ergibt;
die Anzahl der Verarbeitungsvorgänge darf nicht größer sein als der festgelegte Zweck;
- den Umfang der verarbeiteten personenbezogenen Daten – die Datenverarbeitung muss auf das erforderliche Mindestmaß beschränkt sein;
- den Zeitraum der Datenspeicherung – Die personenbezogenen Daten dürfen nur so lange gespeichert werden, wie es für die Durchführung der Verarbeitungstätigkeit erforderlich ist;
- den Zugang zu personenbezogenen Daten – Die personenbezogenen Daten dürfen nur von den Personen verarbeitet werden, die dazu berechtigt sind;
- die Verwendung von Daten in automatisierten Entscheidungsfindungsprozessen – Entscheidungen, die aufgrund automatisierter Verarbeitung getroffen werden und eine rechtliche oder ähnliche Wirkung für die betroffene Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen, dürfen nicht auf solchen personenbezogenen Daten beruhen, die in besonders geschützten Kategorien von Daten enthalten sind.
20. Schutz personenbezogener Daten ab dem Zeitpunkt der Erfassung:
- Der Datenverantwortliche ergreift technische und organisatorische Maßnahmen, um die personenbezogenen Daten ab dem Zeitpunkt ihrer Erfassung zu schützen, einschließlich:
- die Verschlüsselung personenbezogener Daten,
- die Gewährleistung der Integrität und Vertraulichkeit personenbezogener Daten,
- die Umsetzung von Mechanismen zur Gewährleistung der Authentizität und Sicherheit personenbezogener Daten.
21. Überwachung der Datenschutzkonformität:
- Der Datenverantwortliche ist verpflichtet, die Einhaltung der Datenschutzbestimmungen zu überwachen und zu überprüfen.
- Die Überwachung der Einhaltung der Datenschutzbestimmungen erfolgt regelmäßig.
21. Handhabung der Rechte Einzelner und Informationspflichten:
- Der Datenadministrator kümmert sich um die Klarheit und den Stil der übermittelten Informationen und Kommunikation mit den Personen, deren Daten verarbeitet werden.
- Der Datenadministrator achtet darauf, gesetzliche Fristen für die Erfüllung von Verpflichtungen gegenüber Einzelpersonen einzuhalten.
- Der Datenadministrator führt angemessene Methoden zur Identifizierung und Authentifizierung von Personen für die Erfüllung der Rechte und Pflichten ein.
- Zur Erfüllung der Rechte einer Einzelperson stellt der Datenadministrator Verfahren und Mechanismen bereit, um die Daten bestimmter Personen, die vom Datenadministrator verarbeitet werden, zu identifizieren, zu integrieren, Änderungen vorzunehmen und in integrierter Weise zu löschen.
- Der Datenadministrator dokumentiert die Erfüllung der Informationspflichten, Benachrichtigungen und Anfragen von Personen.
– Informationspflichten:
- Der Datenadministrator legt rechtskonforme und effektive Methoden zur Erfüllung der Informationspflichten fest;
- Der Datenadministrator informiert die Person über eine Verlängerung der Frist von mehr als einem Monat zur Bearbeitung ihrer Anfrage.
- Der Datenadministrator informiert die Person über die Verarbeitung ihrer Daten bei der Erhebung von Daten von dieser Person.
- Der Datenadministrator informiert die Person über die Verarbeitung ihrer Daten bei der Erhebung von Daten über diese Person, die nicht direkt von ihr stammen;
- Der Datenadministrator legt fest, wie Personen über die Verarbeitung nicht identifizierter Daten informiert werden, soweit dies möglich ist;
- Der Datenadministrator informiert die Person über geplante Änderungen des Zwecks der Datenverarbeitung;
- Der Datenadministrator informiert die Person vor der Aufhebung der Einschränkung der Datenverarbeitung;
- Der Datenadministrator informiert die Empfänger über Berichtigung, Löschung oder Einschränkung der Datenverarbeitung (es sei denn, dies erfordert einen unverhältnismäßig großen Aufwand oder ist unmöglich);
- Der Datenadministrator informiert die Person spätestens beim ersten Kontakt über das Recht auf Widerspruch gegen die Datenverarbeitung;
- Der Datenadministrator benachrichtigt die Person unverzüglich über Verletzungen des Schutzes personenbezogener Daten, wenn diese Verletzung die Rechte oder Freiheiten dieser Person erheblich beeinträchtigen könnte.
– Personenbezogene Anfragen:
- Rechte Dritter. Bei der Erfüllung der Rechte von Personen, deren Daten verarbeitet werden, stellt der Datenadministrator prozedurale Garantien zum Schutz der Rechte und Freiheiten Dritter sicher. Insbesondere wenn glaubwürdige Informationen vorliegen, dass die Erfüllung einer Anfrage einer Person nach Bereitstellung einer Kopie ihrer Daten oder des Rechts auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen beeinträchtigen könnte. Der Datenadministrator kann die betreffende Person kontaktieren, um Unklarheiten zu klären, oder andere gesetzlich zulässige Maßnahmen ergreifen, einschließlich der Ablehnung der Erfüllung der Anfrage.
- Nichtverarbeitung. Der Datenadministrator informiert die Person darüber, dass ihre Daten nicht verarbeitet werden, wenn diese Person eine Anfrage im Zusammenhang mit ihren Rechten gestellt hat.
- Ablehnung. Der Datenadministrator informiert die Person innerhalb eines Monats nach Erhalt der Anfrage über die Ablehnung der Antragsbearbeitung und über die damit verbundenen Rechte der Person.
- Zugriff auf Daten. Auf Anfrage der betroffenen Person informiert der Datenadministrator die Person darüber, ob ihre Daten verarbeitet werden, und gibt der Person Informationen über die Einzelheiten der Verarbeitung gemäß Artikel 15 der DSGVO (der Umfang entspricht der Informationspflicht bei der Datensammlung), und gewährt der Person Zugang zu ihren Daten. Der Zugriff auf Daten kann durch Bereitstellung einer Kopie der Daten erfolgen, unter der Bedingung, dass die vom Datenadministrator bereitgestellte Kopie der Daten nicht als erste kostenlose Kopie der Daten für die Zwecke der Kopiengebühren betrachtet wird.
- Datenkopien. Auf Anfrage stellt der Datenadministrator der Person eine Kopie ihrer Daten zur Verfügung und dokumentiert die Ausgabe der ersten Kopie der Daten. Der Datenadministrator legt einen Preis für Datenkopien fest und erhält diesen gemäß einem Tarif für nachfolgende Datenkopien. Der Preis für Datenkopien wird auf der Grundlage der geschätzten Kosten pro Anfrage für die Bereitstellung von Datenkopien berechnet.
- Datenberichtigung. Auf Anfrage der Person korrigiert der Datenadministrator unrichtige Daten. Das Unternehmen kann die Berichtigung von Daten verweigern, es sei denn, die Person kann auf angemessene Weise die Unrichtigkeit der zu korrigierenden Daten nachweisen. Im Falle einer Datenkorrektur informiert der Datenadministrator die Person auf deren Anfrage über die Empfänger der Daten.
- Datenergänzung. Auf Anfrage der Person ergänzt und aktualisiert der Datenadministrator die Daten. Der Datenadministrator kann die Ergänzung von Daten ablehnen, wenn die Ergänzung nicht mit den Zwecken der Datenverarbeitung vereinbar wäre. Der Datenadministrator kann sich auf eine Erklärung der Person zur Ergänzung der Daten verlassen, es sei denn, dies reicht gemäß den vom Datenadministrator festgelegten Verfahren nicht aus.
- Löschung. Auf Anfrage der Person löscht der Datenadministrator die Daten, wenn:
- die Person wirksam gegen die Verarbeitung dieser Daten Widerspruch eingelegt hat,
- die Daten nicht mehr für die Zwecke erforderlich sind, für die sie erhoben wurden oder anderweitig verarbeitet werden,
- die Einwilligung zur Verarbeitung widerrufen wurde und es keine andere rechtliche Grundlage für die Verarbeitung gibt,
- die Daten unrechtmäßig verarbeitet wurden,
- die Löschung gesetzlich vorgeschrieben ist,
- die Anfrage die Daten eines Kindes betrifft, die auf der Grundlage der Einwilligung zur Erbringung von Diensten der Informationsgesellschaft direkt an das Kind erhoben wurden (z. B. das Profil eines Kindes auf einer Social-Media-Plattform, die Teilnahme an einem Wettbewerb auf einer Website).
- Einschränkung der Verarbeitung. Auf Anfrage der Person beschränkt der Datenadministrator die Verarbeitung von Daten, wenn:
- die Richtigkeit der Daten von der Person bestritten wird – für den Zeitraum, der es ermöglicht, die Richtigkeit zu überprüfen,
- die Verarbeitung rechtswidrig ist und die betroffene Person sich gegen das Löschen der personenbezogenen Daten ausspricht und stattdessen die Einschränkung ihrer Nutzung verlangt,
- der Datenadministrator die personenbezogenen Daten nicht mehr benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt,
- die Person Widerspruch gegen die Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben – bis festgestellt wurde, ob überwiegende berechtigte Gründe für die Verarbeitung seitens des Datenadministrators vorliegen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
- Datenübertragbarkeit. Auf Anfrage der Person stellt der Datenadministrator, sofern möglich, Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereit oder überträgt sie an einen anderen Verantwortlichen, sofern sie Daten der Person verarbeitet, die diese dem Datenadministrator zur Verfügung gestellt hat und die auf Einwilligung der betroffenen Person oder zur Erfüllung eines Vertrags mit der betroffenen Person verarbeitet werden, in den Informationssystemen des Administrators.
- Widerspruch in besonderen Situationen. Wenn eine Person einen begründeten Widerspruch gegen die Verarbeitung ihrer Daten aufgrund ihrer besonderen Situation vorbringt und die Daten vom Datenadministrator auf der Grundlage des berechtigten Interesses des Datenadministrators oder zur Erfüllung einer dem Datenadministrator übertragenen Aufgabe im öffentlichen Interesse verarbeitet werden, wird der Datenadministrator den Widerspruch berücksichtigen, es sei denn, es liegen wesentliche rechtliche Gründe auf Seiten des Datenadministrators vor, die die Interessen, Rechte und Freiheiten der widersprechenden Person überwiegen, oder es gibt Gründe für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Widerspruch bei wissenschaftlichen, historischen oder statistischen Zwecken. Wenn der Datenadministrator wissenschaftliche, historische Forschungen durchführt oder Daten für statistische Zwecke verarbeitet, kann eine Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, einen begründeten Widerspruch gegen eine solche Verarbeitung einlegen. Der Datenadministrator wird diesen Widerspruch berücksichtigen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
- Widerspruch gegen Direktmarketing. Wenn eine Person Widerspruch gegen die Verarbeitung ihrer Daten durch den Datenadministrator für Direktmarketingzwecke (einschließlich möglicherweise des Profilings) einlegt, wird der Datenadministrator den Widerspruch berücksichtigen und die Verarbeitung einstellen.
- Recht auf menschliches Eingreifen bei automatisierter Verarbeitung. Wenn der Datenadministrator Daten automatisiert verarbeitet, einschließlich insbesondere des Profilings von Personen, und daraus Rechtswirkungen oder eine erhebliche Beeinträchtigung für die betroffene Person entstehen, stellt das Unternehmen die Möglichkeit eines Einspruchs und einer menschlichen Entscheidung auf Seiten des Datenadministrators bereit, es sei denn, eine solche automatisierte Entscheidung ist (i) zur Erfüllung oder Durchführung eines Vertrags zwischen der betroffenen Person und dem Datenadministrator erforderlich; oder (ii) ausdrücklich durch Rechtsvorschriften zugelassen; oder (iii) beruht auf der ausdrücklichen Zustimmung der betroffenen Person.
- Der Datenverantwortliche ist verpflichtet zu überwachen, ob personenbezogene Daten an Drittländer oder internationale Organisationen übertragen werden, insbesondere bei der Nutzung von Dienstleistungen anderer Unternehmen.
- Der Datenverantwortliche ist verpflichtet, die Rechtsgrundlage für die Übertragung personenbezogener Daten an Drittländer oder internationale Organisationen zu identifizieren und zu überprüfen.
- Der Datenverantwortliche ist verpflichtet, Änderungen zu überwachen.
- Fälle der Übertragung personenbezogener Daten an Drittländer oder internationale Organisationen werden im Register der Datenverarbeitungstätigkeiten erfasst.
- Der Datenverantwortliche ist verpflichtet, Maßnahmen zur Steigerung des Bewusstseins für den Datenschutz unter seinen Mitarbeitern zu ergreifen und deren Wissen und Qualifikationen in diesem Bereich zu verbessern.
- Der Datenverantwortliche stellt Schulungen zum Datenschutz für seine Mitarbeiter bereit, deren Häufigkeit und Fortgeschrittenheitsgrad von der Position des Mitarbeiters im Datenschutzsystem abhängen.
- Im Falle von Unklarheiten, die nicht durch diese Richtlinie geklärt werden, gelten die allgemeinen Datenschutzgesetze, insbesondere in Bezug auf den Schutz personenbezogener Daten.
- Im Falle einer Änderung der Rechtslage, die dazu führt, dass diese Richtlinie nicht mehr rechtskonform ist, verliert diese Bestimmung ihre Gültigkeit. Der Datenverantwortliche ergreift sofort Maßnahmen, um diese Richtlinie an die neue Rechtslage anzupassen.
- Diese Richtlinie kann in derselben Weise geändert oder aufgehoben werden, wie sie verabschiedet wurde.
- Diese Richtlinie tritt am 25. Mai 2018 in Kraft.
22. Übertragung personenbezogener Daten an Drittländer oder internationale Organisationen:
23. Schulungen:
24. Abschließende Bestimmungen
26. Liste der Anhänge:
Alle Anhänge, die Bestandteil dieser Richtlinie sind, befinden sich im Besitz des Datenverantwortlichen und werden auf schriftliche Anfrage zur Verfügung gestellt, wobei die rechtlichen Interessen der betroffenen Parteien berücksichtigt werden, deren Daten in den genannten Anhängen enthalten sind.
Cookie-Richtlinie:
Cookies sind digitale Daten, die auf dem Endgerät des Benutzers gespeichert werden und für die Nutzung von Websites bestimmt sind.
Cookies enthalten in der Regel den Namen der Website, von der sie stammen, die Dauer ihrer Speicherung auf dem Endgerät und eine Nummer.
Der Dienst sammelt keine Informationen automatisch, außer den Informationen, die in Cookies enthalten sind.
Der Betreiber, die Firma 3DFORM Sp. z o.o., Włókniarek 10, 67-100 Nowa Sól, ist für das Platzieren von Cookies auf dem Endgerät des Benutzers verantwortlich und hat Zugriff darauf.
Cookies werden verwendet, um:
die Nutzung von Websites zu optimieren.
Statistiken zu erstellen, die dazu beitragen zu verstehen, wie Benutzer die Websites nutzen, um deren Struktur und Inhalt zu verbessern.
Im Rahmen des Dienstes werden folgende Arten von Cookies verwendet: Session-Cookies und Persistente Cookies.
Persistente Cookies werden für die in den Cookie-Parametern festgelegte Zeit auf dem Endgerät des Benutzers gespeichert.
Session-Cookies sind temporäre Dateien, die auf dem Endgerät gespeichert sind, bis der Benutzer sich ausloggt oder die Website verlässt.
Im Rahmen des Dienstes werden Cookies mithilfe von externer Software des Unternehmens Google erstellt. Diese Cookies dienen der Erfassung des Website-Verkehrs und der Website-Statistiken über Google Analytics und Google Webmasters.
In vielen Fällen erlaubt der Standard Ihrer Internet-Browser das Speichern von Cookies auf Ihrem Endgerät.
Benutzer können die Einstellungen für Cookies selbst ändern. Detaillierte Informationen zu den Möglichkeiten und Methoden zur Verwaltung von Cookies finden Sie in den Einstellungen Ihres Internet-Browsers.
Diese Einstellungen ermöglichen unter anderem die Änderung bezüglich des Blockierens der automatischen Verarbeitung von Cookies und das Benachrichtigen über deren Platzierung auf dem Endgerät.