Heim / Datenschutzerklärung Metal-Fach Sp. z o.o.
Gemäß Artikel 24 der Verordnung 2016/679 wird ab dem 1.09.2018 folgende Datenschutzerklärung eingeführt
Gesetzliche Anforderungen:
Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 (Gbl. Jg. 2018, Pos. 1000). Verordnung des Ministers des Innern und der Verwaltung vom 29. April 2004 über die Dokumentation der Verarbeitung personenbezogener Daten und über die technischen und organisatorischen Bedingungen, die von Geräten und IT-Systemen für die Verarbeitung personenbezogener Daten zu erfüllen sind (Gbl. Jg. 2004 Nr. 100, Pos. 1024).
INHALTSVERZEICHNIS:
1. Liste der grundlegenden Abkürzungen
2. Liste der Grunddefinitionen
3. Einführung
4. Ziele der Datenschutzerklärung
5. Datenschutzbeauftragter
6. Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind
7. Grundprinzipien des Schutzes personenbezogener Daten
8. Berechtigung zur Verarbeitung personenbezogener Daten
9. Beauftragung mit der Verarbeitung personenbezogener Daten
10. Bereitstellung personenbezogener Daten
11. Übermittlung personenbezogener Daten außerhalb Polens
12. Liste der Gebäude, Räume oder Teile von Räumen, die einen Bereich bilden, in dem personenbezogene Daten verarbeitet werden
13. Liste der Datenbestände personenbezogener Daten mit Angabe der Programme für die Verarbeitung dieser Daten
14. Beschreibung der Struktur der Dateien mit personenbezogenen Daten
15. Beschreibung des Datenflusses zwischen den einzelnen Systemen
16. Festlegung der technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Vertraulichkeit, Integrität und Rechenschaftspflicht für die verarbeiteten Daten zu gewährleisten
17. Straf- und Ordnungsvorschriften
18. Schlussbestimmungen
19. Anlagen
DSG Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 (Gbl. Jg. 2018, Pos. 1000)
DSGVO Verordnung EU 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Ver. MSWIA Verordnung des Ministers des Innern und der Verwaltung vom 29. April 2004 über die Dokumentation der Verarbeitung personenbezogener Daten und über die technischen und organisatorischen Bedingungen, die von Geräten und IT-Systemen für die Verarbeitung personenbezogener Daten zu erfüllen sind
UODO Datenschutzbehörde
ADO Für die personenbezogenen Daten Verantwortlicher
IDO Datenschutzbeauftragter
ASI Administrator von Informationssystemen
SI Informationssystem
SZBDO Sicherheitsmanagementsystem für personenbezogene Daten
PODO Datenschutzerklärung
IZSI Anleitung zum Management von Informationssystemen
Jedes Mal, wenn in dieser Sicherheitsrichtlinie auf die unten erwähnten Begriffe Bezug genommen wird, wird darunter Folgendes verstanden:
1. Für die personenbezogenen Daten Verantwortlicher – versteht sich als Behörde, Organisationseinheit, Einrichtung oder Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet;
2. Datenschutzbeauftragter – versteht sich als eine natürliche Person, die von dem für die personenbezogenen Daten Verantwortlichen gemäß Artikel 8 DSG ernannt wird;
3. Administrator von Informationssystemen – bezeichnet eine Person oder eine externe Stelle, die vom für die personenbezogenen Daten Verantwortlichen ernannt wird und für das Funktionieren von Informations- und Kommunikationssystemen und -netzen sowie für die Einhaltung der Regeln und Anforderungen an die Sicherheit von Informations- und Kommunikationssystemen und -netzen verantwortlich ist;
4. Berechtigte Person – versteht sich als eine Person, die von dem für die personenbezogenen Daten Verantwortlichen zur Verarbeitung personenbezogener Daten berechtigt wird. Der Nutzer kann ein Mitarbeiter des Unternehmens, eine auf der Grundlage eines Dienstleistungsvertrags oder eines anderen zivilrechtlichen Vertrages eine Arbeit ausführende Person sowie eine Freiwilligenarbeit, eine Probezeit oder ein Praktikum absolvierende Person sein.
5. Personenbezogene Daten – sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Identifikationsnummer oder auf einen oder mehrere Faktoren, die spezifisch für ihre körperliche, geistige, wirtschaftliche, kulturelle oder soziale Identität sind;
6. Datenbestand personenbezogener Daten – versteht sich als jeder strukturierter Satz personenbezogener Daten, der nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob der Satz verstreut oder funktional aufgeteilt ist;
7. Verarbeitung personenbezogener Daten – darunter versteht man alle Vorgänge, die mit personenbezogenen Daten durchgeführt werden, wie z.B. Erhebung, Aufzeichnung, Speicherung, Verarbeitung, Änderung, Offenlegung und Löschung, insbesondere in IT-Systemen;
8. IT-System – wird verstanden als eine Reihe von kooperierenden Geräten, Programmen, Informationsverarbeitungsverfahren und Softwaretools, die für die Datenverarbeitung verwendet werden;
9. Sicherung der Daten in einem IT-System – bezeichnet die Umsetzung und Anwendung von angewandten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor unbefugter Verarbeitung;
10. Informationssicherheit – wird verstanden als eine Reihe von Prinzipien, die bei der Gestaltung und Nutzung von Systemen und Anwendungen zur Verarbeitung von Informationen befolgt werden sollten, so dass der Zugang zu ihnen unter allen Umständen mit den Annahmen übereinstimmt;
11. Löschung von Daten – wird als Zerstörung personenbezogener Daten oder eine solche Änderung verstanden, die es nicht ermöglicht, die Identität der betroffenen Person festzustellen;
12. Zustimmung der betroffenen Person- darunter versteht man eine Willenserklärung, deren Inhalt die Zustimmung zur Verarbeitung personenbezogener Daten jener Person darstellt, die die Erklärung abgibt. Die Zustimmung darf keine andere Absichtserklärung implizieren oder durch keine andere impliziert werden. Die Einwilligung kann jederzeit widerrufen werden;
13. Empfänger von Daten – sind alle Personen, denen personenbezogene Daten zur Verfügung gestellt werden, mit Ausnahme:
– der betroffenen Person,
– einer Person, die zur Verarbeitung personenbezogener Daten berechtigt ist,
– staatlicher Behörden oder lokaler Selbstverwaltungsbehörden, denen im Rahmen eines Verfahrens Daten zur Verfügung gestellt werden;
14. Drittland – bezeichnet ein Land, das zum Europäischen Wirtschaftsraum gehört;
15. Passwort – versteht sich als eine Folge von Buchstaben, digitalen oder anderen Zeichen, die nur dem Benutzer bekannt sind, der berechtigt ist, in einem Informationssystem zu arbeiten;
16. Benutzer-ID – versteht sich als eine Folge von alphabetischen, digitalen oder anderen Zeichen, die eine Person eindeutig identifizieren, die berechtigt ist, Daten in bestimmten Bereichen des IT-Systems des Unternehmens zu verarbeiten;
17. Vertraulichkeit der Daten – ist als eine Eigenschaft zu verstehen, die sicherstellt, dass die Daten nicht an unbefugte Personen oder Stellen weitergegeben werden;
18. Datenintegrität – ist als eine Eigenschaft zu verstehen, die sicherstellt, dass personenbezogene Daten nicht unbefugt verändert oder vernichtet wurden;
19. Rechenschaftspflicht – ist als eine Eigenschaft zu verstehen, die sicherstellt, dass die Handlungen einer Person oder Stelle nur dieser Person oder Stelle eindeutig zugeordnet werden können;
20. IT-Systembenutzer – ist eine Person, die berechtigt ist, personenbezogene Daten in IT-Systemen zu verarbeiten, denen eine eindeutige Kennung und ein eindeutiges Passwort zugewiesen wurde;
21. Authentifizierung – versteht sich als der Prozess der korrekten Identifizierung eines IT-Systembenutzers, soweit er die Gewährung geeigneter Rechte oder Privilegien im IT-System des Unternehmens ermöglicht;
22. Vorfall – wird als Verletzung der Sicherheit personenbezogener Daten in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität verstanden;
23. Bedrohung – wird verstanden als eine potenzielle Möglichkeit des Eintretens eines Vorfalls;
24. Korrekturmaßnahmen – sind Maßnahmen zur Beseitigung der Ursache eines Vorfalls oder einer anderen unerwünschten Situation;
25. Vorbeugende Maßnahmen – sind Maßnahmen, die ergriffen werden sollten, um die Ursachen von Gefahren oder anderen potenziell unerwünschten Situationen zu beseitigen.
Die Datenschutzerklärung definiert die Regeln der Verarbeitung personenbezogener Daten und die Möglichkeiten zu deren Schutz als eine Reihe von Gesetzen, Regeln und Empfehlungen, die die Art und Weise ihrer Verwaltung, ihres Schutzes und ihrer Verbreitung in der Gesellschaft „Metal-Fach“ sp. z o.o. regeln.
Die Richtlinie enthält Informationen über die Anerkennung von Prozessen der Verarbeitung personenbezogener Daten und die technischen und organisatorischen Sicherheitsmaßnahmen, die zum Schutz der verarbeiteten personenbezogenen Daten getroffen wurden.
Dieses Dokument steht im Einklang mit den geltenden Gesetzen, insbesondere mit dem Gesetz vom 10. Mai 2018 über den Schutz personenbezogener Daten und der DSGVO.
Auf der Grundlage der Risikoanalyse des Verlusts personenbezogener Daten wurde das Risikoniveau als grundlegend definiert.
Ziel der Datenschutzerklärung ist es, insbesondere die Grundsätze der Sicherheit und des Schutzes der im Unternehmen „Metal-Fach“ verarbeiteten personenbezogenen Daten zu definieren und umzusetzen:
1. Sicherstellung der Einhaltung der gesetzlichen Anforderungen;
2. Sicherstellung der Vertraulichkeit, Integrität und Rechenschaftspflicht für die im Unternehmen verarbeiteten personenbezogenen Daten;
3. Sicherheitsbewusstsein der Personen, die personenbezogene Daten verarbeiten;
4. Beteiligung von Personen, die personenbezogene Daten des Unternehmens verarbeiten, an deren Schutz.
1. Der für die personenbezogenen Daten Verantwortliche ernennt einen Datenschutzbeauftragten. Die Ernennung erfolgt auf der Grundlage einer schriftlichen Berufung (das Ernennungsformular ist als Anlage Z1-PODO zu diesem PODO beigefügt).
2. Der für die personenbezogenen Daten Verantwortliche kann einen Stellvertreter des Datenschutzbeauftragten ernennen.
3. Der für die personenbezogenen Daten Verantwortliche erteilt dem Datenschutzbeauftragten eine Vollmacht zur Erteilung von Berechtigungen für die Verarbeitung personenbezogener Daten.
4. Die Aufgabe des Datenschutzbeauftragten besteht in der Überwachung der Einhaltung der Regeln und technischen und organisatorischen Maßnahmen, die zum Schutz der in Metal-Fach verarbeiteten personenbezogenen Daten erforderlich sind.
5. Zu den Aufgaben des Datenschutzbeauftragten gehört unter anderem:
a) Unterrichtung des Verantwortlichen, des Auftragsverarbeiters und der Mitarbeiter, die personenbezogene Daten verarbeiten, über ihre Verpflichtungen und über andere Rechtsvorschriften der Union oder der Mitgliedstaaten zum Datenschutz;
b) Überwachung der Einhaltung der DSGVO (Verordnung 2016/679 des Europäischen Parlaments und des Rates), anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten und der Politik des Verantwortlichen oder des Auftragsverarbeiters im Bereich des Schutzes personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten, Maßnahmen zur Steigerung des Sicherheitsbewusstseins, Ausbildung des an der Verarbeitung beteiligten Personals und damit zusammenhängender Audits;
c) auf Anfrage Abgabe von Empfehlungen für Folgenabschätzungen zum Datenschutz und Überwachung VON deren Durchführung gemäß Artikel 35 der DSGVO;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Funktion als Kontaktstelle für die Aufsichtsbehörde in Verarbeitungsfragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 der DSGVO und gegebenenfalls der Konsultation zu allen anderen Fragen.
Darüber hinaus ist es Aufgabe des IOD, ein Verzeichnis der Aktivitäten zur Verarbeitung personenbezogener Daten sowie ein Verzeichnis der Datenübermittlungsvereinbarungen zu führen.
6. Der ADO kann den IOD mit anderen Aufgaben betrauen, die die ordnungsgemäße Erfüllung der in den Nummern 4 bis 5 genannten Aufgaben nicht beeinträchtigen.
1. Zu den Aufgaben der zur Verarbeitung personenbezogener Daten berechtigten Personen gehört unter anderem:
– sich mit den Bestimmungen des Gesetzes über den Schutz personenbezogener Daten und den Bestimmungen der Datenschutzerklärung und der IT-System-Management-Anweisung vertraut zu machen;
– den Empfehlungen des IOD zu entsprechen;
– Verarbeitung personenbezogener Daten nur in dem vom Verwalter für personenbezogene Daten in einer schriftlichen Vollmacht festgelegten Umfang und nur zur Erfüllung der ihm auferlegten behördlichen Aufgaben;
– den IOD unverzüglich über Unregelmäßigkeiten in Bezug auf die Sicherheit der im Unternehmen verarbeiteten personenbezogenen Daten zu informieren;
– Schutz personenbezogener Daten und der Mittel zur Verarbeitung personenbezogener Daten vor unbefugtem Zugriff, Offenlegung, Änderung, Zerstörung oder Verfälschung;
– Nutzung der IT-Systeme des Unternehmens in Übereinstimmung mit den Anweisungen in den Handbüchern der in den IT-Systemen enthaltenen Geräte;
– die Geheimhaltung personenbezogener Daten auf unbestimmte Zeit sowie der Art und Weise deren Sicherung;
– besondere Sorgfalt bei der Durchführung der Verarbeitung personenbezogener Daten, um die Interessen der betroffenen Personen zu schützen.
1. Alle personenbezogenen Daten im Unternehmen müssen in Übereinstimmung mit den geltenden Gesetzen verarbeitet werden.
2. Gegenüber Personen, deren personenbezogene Daten verarbeitet werden, ist die Informationspflicht aufgrund der Bestimmungen des DSG zu erfüllen.
3. Die erhobenen personenbezogenen Daten sollten für bestimmte und rechtmäßige Zwecke verarbeitet und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
4. Es ist sicherzustellen, dass die Verarbeitung personenbezogener Daten nach den Grundsätzen der inhaltlichen Korrektheit und den Zwecken, für die sie erhoben wurden, erfolgt.
5. Personenbezogene Daten dürfen innerhalb des Unternehmens nicht länger verarbeitet werden, als es zur Erreichung des Zwecks ihrer Verarbeitung erforderlich ist.
6. Die Vertraulichkeit, Integrität und Rechenschaftspflicht für die innerhalb des Unternehmens verarbeiteten personenbezogenen Daten muss gewährleistet sein.
7. Die verarbeiteten personenbezogenen Daten dürfen ohne Zustimmung der betroffenen Personen nicht zugänglich gemacht werden, es sei denn, die Daten werden den betroffenen Personen, den zur Verarbeitung personenbezogener Daten berechtigten Personen, den Stellen, an die die Daten auf der Grundlage einer Betrauungsvereinbarung übermittelt wurden, und den staatlichen oder lokalen Behörden im Zusammenhang mit dem Verfahren zur Verfügung gestellt.
8. Die Verarbeitung personenbezogener Daten im Unternehmen kann sowohl in Informationssystemen als auch in der traditionellen Form erfolgen: Dateien, Verzeichnisse, Bücher, Listen und andere Aufzeichnungen.
9. Für personenbezogene Daten, die in anderen Systemen als IT-Systemen verarbeitet werden, gelten weiterhin die bestehenden Bestimmungen über das Berufsgeheimnis, die Verbreitung und die Sicherheit von Geschäftsdokumenten.
10. Alle Personen, deren Daten verarbeitet werden, haben das Recht auf Schutz der sie betreffenden personenbezogenen Daten, auf Kontrolle der Verarbeitung dieser Daten sowie auf Aktualisierung, Löschung und Information über ihre Rechte.
1. Zur Verarbeitung personenbezogener Daten und der Datenbestände mit solchen Daten sind nur Personen berechtigt, die über eine vom für die personenbezogenen Daten Verantwortlichen oder vom Datenschutzbeauftragten herausgegebene Befugnis (ein Muster der Vollmacht ist als Anhang Z2-PODO beigefügt) verfügen und eine entsprechende Erklärung über die ordnungsgemäße Umsetzung der Bestimmungen des DSG abgelegt haben. (eine Mustererklärung ist als Anhang Z3-PODO beigefügt).
2. Der IOD führt im Auftrag des ADO ein Verzeichnis der zur Verarbeitung personenbezogener Daten berechtigten Personen (ein Muster des Verzeichnisses ist als Anlage Z4-PODO beigefügt).
1) Der für die personenbezogenen Daten Verantwortliche kann eine andere Stelle damit beauftragen, personenbezogene Daten zur Erfüllung einer bestimmten Aufgabe zu verarbeiten.
2) Im Falle der Beauftragung mit der Verarbeitung personenbezogener Daten an eine externe Stelle wird im Vertrag über die Betrauungsvereinbarung über die Verarbeitung personenbezogener Daten vor allem Zweck und Umfang der Verarbeitung personenbezogener Daten festgelegt. Die Liste der abgeschlossenen Beauftragungsverträge wird vom IOD geführt.
Die Bereitstellung personenbezogener Daten im Unternehmen ist auf der Grundlage einer der in DSG genannten Rechtsgrundlagen oder auf der Grundlage von Bestimmungen anderer Gesetze zulässig.
Der IOD führt ein Protokoll über die Bereitstellung personenbezogener Daten für Institutionen und Personen von außerhalb des Unternehmens (ein Muster des Protokolls stellt den Anhang Z5-PODO dar).
1. Der für die personenbezogenen Daten Verantwortliche kann personenbezogene Daten an:
– Länder des Europäischen Wirtschaftsraums;
– andere Länder (Drittländer) übermitteln.
2. Die Übermittlung personenbezogener Daten innerhalb des EWR wird so behandelt, als ob es sich um ihre Verarbeitung auf dem Gebiet Polens handeln würde.
3. Im Falle der Übermittlung personenbezogener Daten in ein Drittland muss eine der folgenden Bedingungen erfüllt sein:
– das Zielland bietet in seinem Hoheitsgebiet Garantien für den Schutz personenbezogener Daten, die mindestens denjenigen entsprechen, die im Hoheitsgebiet der Republik Polen gelten;
– wenn die Übermittlung personenbezogener Daten aus einer Verpflichtung resultiert, die durch Gesetz oder ein ratifiziertes internationales Übereinkommen vorgeschrieben ist;
– Die Übermittlung personenbezogener Daten bedarf der Zustimmung der UODO.
Der IOD ist für die Führung und Aufbewahrung der Dokumentation über Gebäude, Räume oder Raumteile verantwortlich, die einen Bereich bilden, in dem personenbezogene Daten sowohl in Papier- als auch in elektronischer Form verarbeitet werden.
Die aktuelle Liste der Bereiche der Verarbeitung personenbezogener Daten ist in Anhang Z6-PODO enthalten.
Der IOD ist für die Führung und Aufbewahrung der Dokumentation über alle Datenbestände personenbezogener Daten und über Programme für die Verarbeitung dieser Daten verantwortlich. Die aktuelle Liste der personenbezogenen Datensätze ist in Anhang Z7-PODO enthalten.
Der IOD ist für die Führung und Aufbewahrung der Dokumentation, die die Struktur der im Unternehmen verarbeiteten personenbezogenen Datensätze beschreiben, verantwortlich.
Eine aktuelle Beschreibung der Struktur der Datensätze personenbezogener Daten ist in Anhang Z8-PODO enthalten.
Der IOD ist für die Führung und Aufbewahrung der Dokumentation, die eine Beschreibung des Datenflusses zwischen den einzelnen Systemen beinhaltet, verantwortlich.
Die aktuelle Beschreibung des Datenflusses ist in Anhang Z9-PODO enthalten.
Der IOD ist für die Führung und Aufbewahrung der Dokumentation über die spezifischen technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Vertraulichkeit, Integrität und Rechenschaftspflicht für die verarbeiteten Daten zu gewährleisten, verantwortlich.
Eine aktuelle Beschreibung der eingesetzten technischen und organisatorischen Maßnahmen ist im Anhang Z10-PODO enthalten.
Straf- und Ordnungsvorschriften sind geregelt durch:
• Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 (Gbl Jg. 2018, Pos. 1000) – Art. 102-108;
• Gesetz vom 6. Juni 1997 Strafgesetzbuch (Gbl. Jg. 1997, Nr. 88, Pos. 553 mit späteren Änderungen) – Art. 266;
• Gesetz vom 26. Juni 1974 Arbeitsgesetzbuch (Gbl. Jg. 1998, Nr. 21, Pos. 94 mit späteren Änderungen) – Art. 52 und Art. 108.
In Angelegenheiten, die nicht durch diese Datenschutzerklärung geregelt sind, gelten die Bestimmungen des Gesetzes vom 10. Mai 2018 über den Schutz personenbezogener Daten (d.h. Gbl. Jg. 2018, Pos. 1000) und die Ausführungsbestimmungen zu diesem Gesetz.
Das Vorgehen, das im Falle einer Verletzung personenbezogener Daten anzuwenden ist, wurde im Verfahren, das Anhang 12 zum PODO darstellt, festgelegt. Eine solche Tatsache ist im Verzeichnis der Vorfälle und Ereignisse, das Anhang 11 zum PODO darstellt, zu erfassen.
1. Z1-PODO – Ernennung zum Datenschutzbeauftragten;
2. Z2-PODO- Berechtigung zur Verarbeitung personenbezogener Daten;
3. Z3-PODO – Erklärung über die ordnungsgemäße Umsetzung der Bestimmungen des DSG;
4. Z4-PODO – Verzeichnis von Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind;
5. Z5-PODO – Verzeichnis der Bereitstellung personenbezogener Daten;
6. Z6-PODO – Liste der Gebäude, Räume oder Teile von Räumen, die einen Bereich bilden, in dem personenbezogene Daten verarbeitet werden;
7. Z7-PODO – Liste der Datenbestände personenbezogener Daten mit Angabe der Programme für die Verarbeitung dieser Daten;
8. Z8-PODO – Beschreibung der Struktur der Datensätze mit personenbezogenen Daten;
9. Z9-PODO – Beschreibung des Datenflusses zwischen den einzelnen Systemen;
10. Z10-PODO – Beschreibung der eingesetzten technischen und organisatorischen Maßnahmen;
11. Z11-PODO – Verzeichnis der Vorfälle und Ereignisse.
12. Z12-PODO – Verfahren bei Verletzungen der Sicherheit von personenbezogenen Daten