• Auf der Grundlage der Artikel 24 und 25 des Gesetzes zum Schutz personenbezogener Daten (ZVOP-1) und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum Schutz personenbezogener Daten Fluss solcher Daten (Allgemeine Verordnung zum Schutz personenbezogener Daten oder DSGVO), Direktor des Unternehmens Ham, d.o.o., Gerbičeva ulica 102, 1000 Ljubljana, Registrierungsnummer 5376491000, Steuernummer SI 70000891 (im Folgenden das Unternehmen), Tomaž Ham, I akzeptiere Folgendes:

ÜBER VERFAHREN UND MASSNAHMEN FÜR DIE

SCHUTZ PERSONENBEZOGENER DATEN

I. ALLGEMEINE BESTIMMUNGEN

 

Artikel 1

 

Inhalt und Zweck der Verordnung

 

Diese Verordnung legt technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten in der Gesellschaft fest, um die Rechte und Freiheiten der betroffenen Person zu schützen. Der Zweck der Gesellschaft besteht darin, unbeabsichtigte oder absichtliche unbefugte Zerstörung von Daten, deren Änderung oder Verlust sowie unbefugten Zugriff, Verarbeitung, Nutzung oder Weitergabe personenbezogener Daten an Dritte zu verhindern.

Mitarbeiter und externe Vertragspartner, die bei ihrer Arbeit personenbezogene Daten verarbeiten und nutzen, müssen mit dem Datenschutzgesetz (ZVOP-1) und der Datenschutz-Grundverordnung sowie dem Inhalt dieser Verordnung vertraut sein.

In Angelegenheiten, die nicht durch diese Verordnung geregelt sind, gelten unmittelbar die Bestimmungen des Datenschutzgesetzes (ZVOP-1) und der Datenschutz-Grundverordnung.

Artikel 2

 

Bedeutung von Begriffen

 

1. In dieser Verordnung haben die verwendeten Begriffe folgende Bedeutung:

 

„nationale Gesetzgebung“ bezeichnet die aktuell geltende staatliche Gesetzgebung (ZVOP-1 – Datenschutzgesetz (Amtsblatt der Republik Slowenien, Nr. 86/04, 113/05, 51/2007, 67/2007 und 94/2007); Datenschutz-Grundverordnung  EUR zum Schutz personenbezogener Daten (2016/679) oder DSGVO;

„personenbezogene Daten“ bedeutet jede Information über eine bestimmte oder bestimmbare Person (im Folgenden: betroffene Person); Eine bestimmte Person ist eine, die direkt oder indirekt identifiziert werden kann, insbesondere durch Angabe eines Identifikators wie Name, Identifikationsnummer, Standortdaten, Online-Identifikator oder durch Angabe eines oder mehrerer Merkmale, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser Person charakteristisch sind;

„Verarbeitung“ – bedeutet jede Handlung oder Reihe von Handlungen, die in Bezug auf personenbezogene Daten oder Datenreihen mit oder ohne automatisierte Mittel durchgeführt werden, wie das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Einsehen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Anpassung oder Kombination, Einschränkung, Löschung oder Vernichtung;

„Sammlung“ bedeutet jede strukturierte Datenreihe personenbezogener Daten, die gemäß speziellen Kriterien zugänglich sind, wobei die Reihe zentralisiert, dezentralisiert oder funktions- oder geografisch verteilt sein kann;

„Verantwortlicher“ – bedeutet eine natürliche oder juristische Person, eine Behörde oder eine andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung festlegt; Wenn die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats festgelegt sind, können der Verantwortliche oder spezielle Kriterien für seine Ernennung durch das Unionsrecht oder das Recht eines Mitgliedstaats festgelegt werden;

„Auftragsverarbeiter“ bedeutet eine natürliche oder juristische Person, Behörde, Agentur oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

„Nutzer“ bedeutet eine natürliche oder juristische Person, eine Behörde oder eine andere Stelle, der personenbezogene Daten offengelegt wurden, unabhängig davon, ob es sich um eine Drittperson handelt oder nicht. Öffentliche Stellen, die personenbezogene Daten im Rahmen einer einzelnen Anfrage gemäß dem Unionsrecht oder dem Recht eines Mitgliedstaats erhalten können, gelten jedoch nicht als Nutzer; Die Verarbeitung dieser Daten durch diese öffentlichen Stellen erfolgt gemäß den geltenden Datenschutzbestimmungen für die Zwecke der Verarbeitung;

„Einwilligung der betroffenen Person“ bedeutet jede freiwillige, ausdrückliche, informierte und unmissverständliche Erklärung des Willens der betroffenen Person, auf die sich die personenbezogenen Daten beziehen, mit der die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gibt.

„Datenträger“ sind alle Arten von Medien, auf denen Daten aufgezeichnet oder gespeichert sind (Dokumente, Akte, Unterlagen, Schriften, Computergeräte einschließlich magnetischer, optischer oder anderer Computermedien, Fotokopien, Ton- und Bildmaterial, Mikrofilme, Datenübertragungsgeräte usw.).

II. GRUNDSÄTZE

 

Artikel 3

 

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

 

1. Personenbezogene Daten werden:

 

rechtmäßig, fair und transparent im Hinblick auf die betroffene Person, auf die sich die personenbezogenen Daten beziehen („Rechtmäßigkeit, Fairness und Transparenz“);

angemessen, relevant und auf das beschränkt, was für die Zwecke, für die sie verarbeitet werden, notwendig ist („Datenminimierung“), was bedeutet, dass Formulare mit vordefinierten Feldern verwendet werden und keine unnötigen personenbezogenen Daten gesammelt oder gespeichert werden;

in einer Form gespeichert, die die Identifizierung der Personen, auf die sich die personenbezogenen Daten beziehen, ermöglicht, solange dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist;

auf eine Weise verarbeitet, die angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schäden durch geeignete technische oder organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

in bestimmten Geschäftsprozessen pseudonymisiert, um das Risiko ihrer Offenlegung zu vermeiden. An Stellen in den Geschäftsprozessen, an denen die Entschlüsselung der Pseudonymisierung für die Erfüllung vertraglicher Verpflichtungen erforderlich ist, hat autorisiertes Personal Zugang zu erweiterten Informationen über die betroffene Person – natürlich auf der Grundlage eines eindeutigen Benutzernamens und Passworts, das den Grad der Autorisierung festlegt – wodurch wir „Datenschutz durch Design“ gewährleisten. Datenschutz durch Design wird auf der Grundlage von organisatorischen und technischen Maßnahmen gewährleistet. Jede Art der Verarbeitung personenbezogener Daten hat unterschiedliche Inhalte der standardmäßigen personenbezogenen Daten der betroffenen Person, um nur die für den jeweiligen Verarbeitungszweck und -zweck unbedingt erforderlichen Daten zu verarbeiten.

Artikel 4

 

Rechtmäßigkeit der Verarbeitung

 

In der Sammlung personenbezogener Daten werden nur solche personenbezogenen Daten verarbeitet, die eine angemessene rechtliche Grundlage gemäß den Bestimmungen der DSGVO und des ZVOP-1 haben und vom Verantwortlichen nachweisbar sind:

 

die Verarbeitung ist erforderlich, um einer gesetzlichen Verpflichtung nachzukommen, die für den Verantwortlichen gilt;

die Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen, dessen Vertragspartei die Person ist, auf die sich die personenbezogenen Daten beziehen, oder um Maßnahmen auf Anfrage dieser Person vor Abschluss eines Vertrags durchzuführen;

berechtigtes Interesse;

die Person, auf die sich die personenbezogenen Daten beziehen, hat in einen oder mehrere bestimmte Zwecke in die Verarbeitung ihrer personenbezogenen Daten eingewilligt.

III. RECHTE DER BETROFFENEN PERSON

 

Artikel 5

 

Transparenz der bereitgestellten Informationen und Möglichkeiten zur Ausübung der Rechte der betroffenen Person

 

Der Verantwortliche stellt der betroffenen Person die folgenden Informationen in knapper, klarer, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zur Verfügung:

 

Identität und Kontaktdaten des Verantwortlichen,

Zwecke, für die personenbezogene Daten verarbeitet werden, sowie die rechtliche Grundlage für ihre Verarbeitung,

Dauer der Speicherung personenbezogener Daten oder Kriterien, die für die Festlegung des Zeitraums verwendet werden,

das Bestehen des Rechts, vom Verantwortlichen Zugang zu personenbezogenen Daten zu verlangen, sowie die Berichtigung oder Löschung oder Einschränkung der Verarbeitung in Bezug auf die Person, auf die sich die Daten beziehen, oder das Bestehen des Rechts, der Verarbeitung zu widersprechen,

das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass dies die Rechtmäßigkeit der aufgrund der Einwilligung bis zu ihrem Widerruf erfolgten Verarbeitung beeinträchtigt,

das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen.

 

Artikel 6

 

Das Auskunftsrecht des Einzelnen

 

Die Person, auf die sich die personenbezogenen Daten beziehen, hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten in Bezug auf sie verarbeitet werden und, wenn dies der Fall ist, auf Auskunft über die personenbezogenen Daten und auf folgende Informationen:

 

 

 

Verarbeitungszwecke,

welche Arten personenbezogener Daten betroffen sind,

sofern möglich, die vorgesehene Speicherdauer der Daten,

das Bestehen eines Rechts auf Zugang zu personenbezogenen Daten durch den Verantwortlichen sowie auf Berichtigung oder Löschung oder Einschränkung der Verarbeitung in Bezug auf die Person, auf die sich die Daten beziehen, oder das Bestehen eines Rechts auf Widerspruch gegen die Verarbeitung,

das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen,

wenn personenbezogene Daten nicht bei der Person erhoben werden, auf die sie sich beziehen, alle verfügbaren Informationen über ihre Quelle.

Der Verantwortliche stellt die angeforderten Informationen unverzüglich, in jedem Fall jedoch innerhalb eines Monats nach Eingang der Anfrage, zur Verfügung.

 

Der Manager stellt kostenlos eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für zusätzliche Kopien, die von einer Einzelperson angefordert werden, kann der Verantwortliche vorbehaltlich der Anwaltskosten eine angemessene Gebühr erheben.

 

Artikel 7

 

Das Verfahren zur Ausübung individueller Rechte

 

Personenbezogene Daten werden nur denjenigen Nutzern zur Verfügung gestellt, die eine entsprechende Rechtsgrundlage oder eine schriftliche Anfrage nachweisen bzw mit Einwilligung der Person, auf die sich die Daten beziehen.

 

Für jede Übermittlung personenbezogener Daten muss der Einzelne einen schriftlichen Antrag stellen und jede Übermittlung wird im Übermittlungsprotokoll erfasst (welche Daten, an wen, wann und auf welcher Grundlage). Originaldokumente werden niemals zur Verfügung gestellt, außer im Falle eines schriftlichen Gerichtsbeschlusses. Das Originaldokument im Unternehmen wird während der Abwesenheit durch eine Kopie ersetzt.

 

Der Betreiber wird jeden Nutzer, dem personenbezogene Daten mitgeteilt wurden, über Berichtigungen oder Löschungen personenbezogener Daten oder Verarbeitungseinschränkungen informieren, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

 

Der Verantwortliche informiert die Person, auf die sich die personenbezogenen Daten beziehen, über diese Benutzer, wenn diese Person dies verlangt.

 

7a. Artikel

 

Verfahren zur Bereitstellung von Verarbeitungsinformationen

 

Auf mündliche oder schriftliche Anfrage und Identifizierung der Person werden der Person folgende Informationen in gedruckter Form oder im PDF-Format zur Verfügung gestellt: der Zweck der Verarbeitung ihrer personenbezogenen Daten, die Art der betreffenden personenbezogenen Daten, die voraussichtliche Aufbewahrungsfrist (falls möglich), das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung personenbezogener Daten, das Bestehen eines Beschwerderechts bei der zuständigen Behörde. Der Manager stellt kostenlos eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für zusätzliche Kopien, die von einer Einzelperson angefordert werden, kann der Verantwortliche vorbehaltlich der Anwaltskosten eine angemessene Gebühr erheben.

 

7b. Artikel

 

Verfahren zur Ausübung des Rechts auf Berichtigung

 

Auf mündliche oder schriftliche Anfrage und Identifizierung der Person werden die erhobenen unrichtigen Daten des Betreibers unverzüglich berichtigt. Die Person, auf die sich die personenbezogenen Daten beziehen, hat das Recht, unvollständige personenbezogene Daten unter Berücksichtigung der Zwecke der Verarbeitung zu ergänzen.

 

7c. Artikel

 

Verfahren zur Geltendmachung des Rechts auf Löschung („Vergesslichkeit“)

 

Auf mündlichen oder schriftlichen Antrag und Identifizierung der Person werden die erhobenen Daten des Verantwortlichen unverzüglich gelöscht, wenn:

 

die erhobenen personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,

Die Person widerruft die Einwilligung, auf deren Grundlage ihre Daten verarbeitet werden, und wenn keine andere Rechtsgrundlage für die Verarbeitung besteht,

der Einzelne legt Widerspruch gegen die Verarbeitung ein (gem. Art. 21 Abs. 1 oder 2 DSGVO), es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,

Ihre Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder den für den Verantwortlichen geltenden nationalen Rechtsvorschriften erforderlich.

Die Daten werden dauerhaft aus der Sammlung entfernt. In den Sammlungen Wirtschaftsanalyse. Der Vorgang wird von einer autorisierten Person des Verantwortlichen durchgeführt. Bei der Sammlung Z handelt es sich um eine Personensammlung, die dauerhaft ist und keine Daten löscht. Die Sammlungen A, B und C ermöglichen das Löschen von Daten. Dafür sorgt eine bevollmächtigte Person des Verantwortlichen, die sich bei Bedarf mit dem Vertragsverwalter beim Unterauftragsverarbeiter zur Zusammenarbeit in Verbindung setzt. Die Videosammlung löscht Aufzeichnungen automatisch nach 12 Monaten. Sollte eine Aufzeichnung früher gelöscht werden müssen, erfolgt dies durch eine autorisierte Person des Betreibers.

7 č. Artikel

Verfahren zur Geltendmachung des Rechts auf Einschränkung der Verarbeitung

Auf mündliche oder schriftliche Anfrage und Identifikation des Einzelnen wird die Verarbeitung der gesammelten Daten des Verantwortlichen ohne unnötige Verzögerung eingeschränkt, wenn:

• der Einzelne die Richtigkeit der Daten bestreitet, und zwar für einen Zeitraum, der es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
• der Einzelne dem Löschen seiner personenbezogenen Daten widerspricht und stattdessen eine Einschränkung ihrer Verarbeitung verlangt,
• der Verantwortliche die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung benötigt, der Einzelne sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt,
• der Einzelne Widerspruch gegen die Verarbeitung eingelegt hat, solange nicht überprüft wurde, ob die legitimen Gründe des Verantwortlichen die Gründe des Einzelnen überwiegen.

7d. Artikel

 

Das Verfahren zur Ausübung des Rechts auf Datenübertragbarkeit

 

Auf mündliche oder schriftliche Anfrage und Identifizierung der Person werden die dem Manager zur Verfügung gestellten Informationen an ein vom Kunden benanntes Konkurrenzunternehmen weitergeleitet. Das konkurrierende Unternehmen erhält sie in einem strukturierten, gängigen und maschinenlesbaren Format (*.pdf). Es ist sein Recht, diese Daten ungehindert an einen anderen Verantwortlichen weiterzuleiten, wenn die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht und die Verarbeitung automatisiert erfolgt.

 

7e. Artikel

 

Verfahren zur Ausübung des Widerspruchsrechts

 

Nach einer mündlichen oder schriftlichen Anfrage und Identifizierung der Person schließt der Verantwortliche die Verarbeitung personenbezogener Daten ab, einschließlich der Erstellung von Profilen (sofern erstellt) und des Direktmarketings. Eine Ausnahme besteht, wenn der Verantwortliche nachweist, dass für die Verarbeitung erforderliche berechtigte Gründe erforderlich sind, die die Interessen, Rechte und Freiheiten des Einzelnen überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

 

Widerspricht eine Person dem Zweck des Direktmarketings, werden ihre Daten nicht mehr für diesen Zweck verarbeitet bzw für jeden anderen Zweck, dem die einzelnen Gegenstände dienen. Auf dieses Recht wird der Einzelne spätestens bei der ersten Kommunikation ausdrücklich – deutlich und getrennt von anderen Informationen – hingewiesen.

 

IV. PFLICHTEN DES VERANTWORTLICHEN UND DES VERARBEITERS

Artikel 8

Verantwortung des Betreibers und Lagerzeit

Der Verantwortliche setzt technische und organisatorische Maßnahmen ein, um sicherzustellen, dass die Verarbeitung im Einklang mit den geltenden Vorschriften erfolgt, und kann nachweisen.

Bei der Festlegung der Mittel und bei der Verarbeitung selbst ergreift der Verantwortliche geeignete technische und organisatorische Maßnahmen zur wirksamen Umsetzung datenschutzrechtlicher Grundsätze, wie z.B. der Grundsatz der Mindestdatenmenge und umfasst die erforderlichen Schutzmaßnahmen bei der Verarbeitung, um die Anforderungen der geltenden Verordnung zu erfüllen und die Rechte natürlicher Personen zu schützen, auf die sich personenbezogene Daten beziehen. Dadurch wird in erster Linie sichergestellt, dass personenbezogene Daten nicht ohne Zutun des Betroffenen automatisch einer unbegrenzten Anzahl von Personen zugänglich werden.

Personenbezogene Daten werden je nach Zweck der Datenerhebung mindestens für den gesetzlich festgelegten Zeitraum gespeichert und verarbeitet. Andernfalls ist die Fütterung unbegrenzt oder bis die Einwilligung des Einzelnen widerrufen wird. Bei Widerruf der Einwilligung werden die Daten wirksam und dauerhaft gelöscht bzw. anonymisiert.

Wenn sich die Zwecke des Verantwortlichen für die Speicherung und Verarbeitung personenbezogener Daten ändern, wird die Datenbank mit dem geänderten Zweck wirksam und dauerhaft gelöscht bzw anonymisiert.

Artikel 9

Verantwortlichkeiten des Auftragsverarbeiters

Wenn die Verarbeitung im Auftrag des Verantwortlichen erfolgt, arbeitet dieser nur mit Auftragsverarbeitern zusammen, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, sodass die Verarbeitung den Anforderungen der geltenden Verordnung entspricht und den Schutz gewährleistet die Rechte der Person, auf die sich personenbezogene Daten beziehen.

Der Auftragsverarbeiter darf ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen anderen Auftragsverarbeiter beschäftigen.

Die Verarbeitung durch den Auftragsverarbeiter wird durch einen Vertrag im Einklang mit dem Unionsrecht geregelt, der den Inhalt und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Pflichten und Rechte des Verantwortlichen festlegt.

In German, the provided text would be translated as follows:

V. WELCHE PERSONENBEZOGENEN DATEN ERHEBEN WIR UND ZU WELCHEM ZWECK

Artikel 10

Bei Geschäftsprozessen an bestimmten Stellen erfassen wir folgende Daten von Benutzern und Mitarbeitern (manchmal alle aufgeführten, bei bestimmten Prozessen jedoch nur einige davon):

– Vor- und Nachname,
– Unternehmen,
– Adresse,
– Telefonnummer und
– E-Mail-Adresse,
– Anmerkungen,
– … .

Diese Informationen verwenden wir für die Durchführung der folgenden Aktivitäten in bestimmten Geschäftsprozessen:

– Kommunikation in Bezug auf den Kauf,
– Versand von E-Mail-Newslettern und Werbeinhalten des Unternehmens,
– Durchführung von Direktmarketing,
– Versand bestellter E-Materialien, physischer Drucksachen oder Quizergebnisse,
– Benachrichtigung über Veranstaltungen,
– Statistische Analysen: Verfolgung von Klicks (auf der Website und in E-Mails) und Öffnen von E-Mails zur Verbesserung des E-Mail-Inhalts,
– Versenden von E-Mails mit Angeboten, Informationen zu Neuigkeiten, Aktionen und Vorteilen des Unternehmens und seiner Partner,
– Telefonanrufe, SMS-Nachrichten und Versand von Briefpost.

Im Anhang 1 sind alle Datenbanken des Unternehmens beschrieben. Dort werden Kategorien von Einzelpersonen, Arten und Herkunft von Daten, Verarbeitungszweck, rechtliche Grundlage für die Verarbeitung, Empfänger, vorgesehene Aufbewahrungsfristen, wie die Kontrolle über den Fluss personenbezogener Daten gewährleistet ist, und wo die Datenbank aufbewahrt wird, dargestellt.

In Anhang 2 ist eine Liste aller Websites auf den Webseiten aufgeführt, auf denen Daten gesammelt werden, wie z. B.:

– Anmeldung für Newsletter;
– Katalogbestellung;
– Einreichung von Anfragen;
– Produktbestellung;
– usw. … .

VI. AUFLISTUNG DER GESCHÄFTSPROZESSE, DIE MIT PERSONENBEZOGENEN DATEN IN KONTAKT KOMMEN

Artikel 11

Im Unternehmen kommen Mitarbeiter aufgrund der Art ihrer Arbeit mit bestimmten personenbezogenen Daten von Einzelpersonen in Kontakt. Der Kontakt ist in Anhang 3 nach Bereichen und Geschäftsprozessen aufgeschlüsselt.

VII. BESCHREIBUNG DES SYSTEMS

Artikel 12

Systeminfrastruktur

Die Infrastruktur des Informationssystems besteht aus folgenden Elementen: Hardware, Netzwerkgeräte und Verbindungen zwischen ihnen.

Die Hardware umfasst lokale Server, Kommunikationsknoten und einzelne Computer in Büros.

Die Netzwerkgeräte umfassen lokale Server, Router des Anbieters und drahtlose Router für das Internet. Daten werden zentral auf dem lokalen Server in verschlüsselter Form gespeichert – sowohl darauf als auch bei der Erstellung von Sicherungskopien wird ebenfalls verschlüsselt vorgegangen.

Wartung, Upgrades und andere notwendige Eingriffe in das Informationssystem erfolgen regelmäßig und nachvollziehbar (aus Protokollen). Sie sind nur autorisierten Servicetechnikern, Organisationen oder Einzelpersonen gestattet, die einen entsprechenden Vertrag mit dem Unternehmen abgeschlossen haben. Dienstleister müssen Änderungen und Ergänzungen der System- oder Anwendungssoftware angemessen dokumentieren. Ebenso muss während des Servicezeitraums ständig ein autorisierter Mitarbeiter des Unternehmens anwesend sein, um sicherzustellen, dass keine unzulässige Handhabung personenbezogener Daten erfolgt.

 

Artikel 13

Informationssicherheitsrichtlinie

Im Unternehmen haben wir eine Datenschutzrichtlinie eingeführt. Zu diesem Zweck wurden zwei Regelungen vorbereitet, die jeder bestehende und neue Mitarbeiter lesen und unterzeichnen muss, um ihnen zuzustimmen:

• Verhaltensregeln im Unternehmen,
• Regelungen zum Schutz personenbezogener Daten.

VIII. ZUGRIFF AUF DAS SYSTEM

Artikel 14

Benutzerauthentifizierung

Im Unternehmen nutzen wir die Benutzerauthentifizierung mit einem Benutzernamen in Kombination mit einem Passwort.

Die Identifizierung bei verschiedenen Datenbanken ist unterschiedlich. Der Benutzer muss sich bei jeder Datenbank separat mit seinem eindeutigen Benutzernamen und Passwort anmelden. Der Benutzername wird Einzelpersonen zugewiesen und das Passwort wird von der Person festgelegt.

Es gibt Regeln für die Wahl eines Passworts, die sicherstellen, dass das Passwort stark genug und nicht leicht zu erraten ist. Passwörter müssen mindestens 6 Zeichen lang sein und aus mindestens einer Zahl und einem Zeichen bestehen. Darüber hinaus werden die Mitarbeiter dazu angehalten, Groß- und Kleinschreibung zu verwenden. Passwörter können nicht wiederholt werden.

Das Passwort bleibt so lange bestehen, bis die verantwortliche Person beschließt, die Passwörter zu ändern. Passwörter laufen nicht automatisch ab und wir verwenden keine automatische Systempasswortänderung.

Artikel 15

Benutzerautorisierung

Die Pflichten und Verantwortlichkeiten der Mitarbeiter werden zu Beginn der Arbeit und bei der Einarbeitung zugewiesen und festgelegt.

Bei einzelnen personenbezogenen Datenerhebungen werden die verantwortliche Person und die Nutzer, die das Recht auf Zugriff auf die einzelnen personenbezogenen Datenerhebungen haben, angegeben.

Beim Zugriff auf das System gibt es eine Rollenverteilung zwischen Benutzern und Administratoren, wobei letztere andere Berechtigungen haben als Benutzer.

Das Vergeben, Ändern und Entziehen von Benutzerberechtigungen ist die Domäne von Administratoren. Mit dem Eintreffen eines neuen Mitarbeiters und Abschluss der Einarbeitung erhält der Einzelne seine Benutzerberechtigung, die während der Arbeit aktiv geändert wird, wenn sich die Zugriffsanforderungen des Benutzers ändern. Dazu gehört auch der Entzug von Nutzungsrechten und deren Sperrung mit dem Ausscheiden des Arbeitnehmers.

In vielen Fällen ist die Überprüfung der Benutzerberechtigungen bereits standardmäßig für jede Add-On-Sammlung definiert, sodass die Überprüfung nicht anspruchsvoll ist und schnell durchgeführt werden kann.

Artikel 16

Nachvollziehbarkeit des Zugriffs auf Daten

Jeder Zugriff auf Daten wird protokolliert, sowohl durch Benutzer als auch durch Administratoren, auch wenn es sich nur um die Anmeldung und das Anzeigen von Daten handelt. Außerdem wird die Nachvollziehbarkeit von Datenänderungen ermöglicht, d. h. was geändert wurde und welcher Benutzer es vorgenommen hat.

Audit-Trails der Datenzugriffe werden in einer separaten Sammlung aufbewahrt und sind nicht für alle Benutzer, sondern nur für Administratoren zugänglich. Es ist nicht möglich, einzelne Sammlungen zu ändern, zu löschen oder die Aufzeichnung von Audit Trails zu deaktivieren – auch nicht durch Administratoren.

Zugriffe auf Audit Trails werden wie alle anderen Zugriffe protokolliert. Regelmäßige Inspektionen stehen nicht auf unserem Plan, aber im Falle eines Problems oder Verdachts haben wir die Möglichkeit einer Inspektion und internen Untersuchung. Da es sich um kleinere und nicht häufig genutzte Sammlungen personenbezogener Daten handelt, verwenden wir keine speziellen Audit-Trail-Management-Tools.

Die Kontrolle des Zugriffs auf die Daten und noch früher auf das System ist so geregelt, dass die Anmeldung in den Sammlungen nur auf Arbeitscomputern möglich ist. Der Fernzugriff der Mitarbeiterbenutzer auf die Arbeitscomputer erfolgt mithilfe der VPN-Technologie, die ausschließlich für den technischen Bereich des Unternehmens gilt.

IX. PHYSIKALISCHER UND TECHNISCHER SCHUTZ DER RÄUME UND SCHUTZ VOR UMWELTEINFLÜSSEN

Artikel 17

Physischer Zugang

Die Räumlichkeiten, in denen sich personenbezogene Datenträger, Hard- und Software befinden, sind durch technische und organisatorische Maßnahmen geschützt, die den Zugriff auf die Daten durch Unbefugte verhindern. Der Zutritt ist nur während der regulären Geschäftszeiten, außerhalb dieser Zeiten nur mit Genehmigung des gesetzlichen Vertreters möglich. Geschützte Bereiche dürfen nicht unbeaufsichtigt bleiben und müssen in Abwesenheit von Arbeitnehmern, die sie sonst beaufsichtigen, verschlossen werden.

Die wichtigsten Teile, der Server und der Kommunikationsknotenpunkt, sind unter Verschluss. Sie sind nur für eine autorisierte Person zur Hardwarewartung und für gemietete Dienstleistungen im Falle von Updates und Fehlerbehebung zugänglich.

Die Schlüssel zu den gesicherten Räumlichkeiten werden entsprechend der Hausordnung genutzt und aufbewahrt, wir lassen sie nicht im Schloss.

Zur Zugangskontrolle nutzen wir eine Alarmanlage, Sicherheitsschlösser, mechanische Absperrungen an den Fenstern und Videoüberwachung (siehe Regeln zur Durchführung der Videoüberwachung). Die Zugangskontrolle der Mitarbeiter erfolgt über ein Alarmsystem, da jeder Mitarbeiter über ein eigenes, persönliches Passwort verfügt.

Die genannten Einbruchschutz- und Sicherheitskontrollsysteme werden von externen Betreuern gewartet, die sich ihrer Pflichten und Verantwortlichkeiten zum Schutz unserer Daten bewusst sind und über einen entsprechenden Vertrag mit dem Unternehmen verfügen. Jeglicher Eingriff in sie ist nur im Beisein eines gesetzlichen Vertreters gestattet.

Außerhalb der Arbeitszeit müssen Schränke und Schreibtische mit persönlichen Datenträgern verschlossen, Computer und andere Hardware ausgeschaltet und physisch oder softwaretechnisch gesperrt werden. Außerhalb der Arbeitszeit hat niemand Zutritt zu den Geschäftsräumen und schon gar nicht zu den Erhebungen personenbezogener Daten.

In den Räumlichkeiten, die für den Geschäftsverkehr mit Kunden bestimmt sind, darf es keine geben

Artikel 18

Schutz vor Umwelteinflüssen

Sammlungen personenbezogener Daten werden zudem durch Mechanismen gegen Umwelteinflüsse geschützt. Wir verwenden ein Brandschutzsystem und Rauchmelder.

X. DATENSCHUTZ

Artikel 19

Anti-Malware-Code-Kontrollen

Wir verwenden auf allen Computern im Unternehmen ein Antivirenprogramm und eine Firewall ESET ENDPOINT ANTIVIRUS + FILE SECURITY, die wir regelmäßig aktualisieren. Jährlich werden neue Versionen installiert und Lizenzen jährlich erneuert.

Es kommt ein Passwort-Intrusion-Detection-System zum Einsatz, bei dem alle Anmeldeversuche aufgezeichnet und Einbruchsversuche blockiert werden.

Der Inhalt der Festplatten des Netzwerksystems und der lokalen Arbeitsplätze, auf denen sich personenbezogene Daten befinden, wird täglich auf das Vorhandensein von Computerviren überprüft. Wenn ein Computervirus auftritt, sollte dieser so schnell wie möglich mit Hilfe eines entsprechenden professionellen Dienstes beseitigt werden und gleichzeitig sollte die Ursache für das Auftreten des Virus im Computerinformationssystem ermittelt werden.

Alle personenbezogenen Daten und Software, die zur Verwendung in einem Computerinformationssystem bestimmt sind und über Computerdatenträger oder über Telekommunikationskanäle in das Unternehmen gelangen, müssen vor der Verwendung auf das Vorhandensein von Computerviren überprüft und getestet werden.

Mitarbeiter dürfen ohne Wissen der für den Betrieb des Computerinformationssystems verantwortlichen Person keine Software installieren. Sie dürfen die Software auch nicht ohne Zustimmung des Leiters der Organisationseinheit und der verantwortlichen Person aus dem Firmengelände mitnehmen.

Artikel 20

Backups

Es werden Sicherungskopien für alle Datensammlungen und den Inhalt des Netzwerkservers und der lokalen Stationen erstellt, um den kontinuierlichen und unterbrechungsfreien Geschäftsbetrieb des Unternehmens zu gewährleisten und um das Computersystem wiederherzustellen, sofern sich die Daten dort befinden. Backups werden täglich nachts erstellt, wenn das System des Unternehmens frei ist und nicht aktualisiert wird. Die Kopien werden in dreifacher Ausfertigung angefertigt und befinden sich an drei verschiedenen, geografisch getrennten Orten, die feuerfest, vor Überschwemmungen, elektromagnetischen Störungen und Temperaturschwankungen geschützt und sicher verschlossen sind.

Das Kopieren erfolgt automatisch und erfolgt lokal auf dem Server und über Cloud-Verbindungen, sodass eine persönliche Übertragung nicht erforderlich ist. Backups werden auf Datenträgern gespeichert und ihr Administrator ist eine autorisierte Person, die immer nur eine Person ist. Die Originalkopie wird jeden Tag aktualisiert und läuft nicht ab, daher haben wir keinen Vernichtungsprozess für die alten Kopien, da es sich um eine Kopie handelt, die immer aktualisiert wird.

Artikel 21

Umgang mit Datenträgern

Die Datenträger werden von den Mitarbeitern nach jeder Nutzung sicher formatiert, sodass keine personenbezogenen Daten darauf verbleiben. Darüber hinaus ist es erforderlich, sie, solange sie Daten enthalten, sicher aufzubewahren, damit keine Möglichkeit eines unbefugten Zugriffs auf sie besteht. Sichere Aufbewahrung bedeutet im Schrank und unter Verschluss.

Artikel 22

Zerstörung von Daten

Bevor der Datenträger vernichtet wird, ist es notwendig, alle darauf befindlichen Daten endgültig zu vernichten. Bei digitalen Daten sorgen wir für eine dauerhafte Löschung, so dass eine Wiederherstellung aller oder eines Teils der darauf befindlichen Daten nicht möglich ist. Daten auf herkömmlichen gedruckten Medien (Dokumente, Akten, Listen, Register etc.) werden mit Hilfe eines Aktenvernichters vernichtet, der das Auslesen aller oder eines Teils der Daten verhindert. Hilfsstoffe werden auf die gleiche Weise zerstört.

Es ist verboten, Altdatenträger mit personenbezogenen Daten in den Mülltonnen zu entsorgen. Bei der Übergabe personenbezogener Datenträger an den Ort der Vernichtung erfolgt die Überwachung der Vernichtung durch eine spezielle interne Kommission, die einen entsprechenden Bericht über die Vernichtung erstellt.

Artikel 23

Umgang mit sensiblen personenbezogenen Daten

Wir erheben keine Daten, die in die Kategorie sensibler personenbezogener Daten fallen. Daher erfassen wir keine Daten, aus denen die Rasse oder ethnische Herkunft, die politische Meinung, die religiöse oder philosophische Überzeugung oder die Gewerkschaftszugehörigkeit hervorgeht, noch verarbeiten wir genetische und biometrische Daten zum Zweck der eindeutigen Identifizierung einer Person oder gesundheitsbezogene oder damit verbundene Daten auf das Sexualleben oder die sexuelle Orientierung einer Person.

XI. MANAGEMENT VON SICHERHEITSVORFÄLLEN

Artikel 24

In German, the provided text would be translated as follows:

Es bezieht sich auf das Management von Sicherheitsvorfällen, die sich auf das Schutzniveau personenbezogener Daten auswirken. Das Meldeprotokoll für Mitarbeiter lautet wie folgt:

• Die Hauptmeldemethode ist mündlich,
• Damit die Information so schnell wie möglich die verantwortliche Person im Unternehmen erreicht,
•  Die meldende Person ist diejenige, die den Sicherheitsvorfall feststellt,
•  Der Bericht muss sofort erfolgen, sobald der Mitarbeiter erkennt, dass es eine Möglichkeit des unbefugten Zugriffs auf die Sammlung personenbezogener Daten gibt oder dass dies bereits geschehen ist, wenn unbefugte Zerstörung, Aneignung, Änderung oder Beschädigung der Datensammlung oder einzelner Daten in ihr entdeckt wird,
•  Die meldende Person sollte alles in ihrer Macht stehende tun, um eine solche Aktivität zu verhindern,
•  Beim Melden muss der verantwortlichen Person mitgeteilt werden, auf welche Sammlung personenbezogener Daten sich der Vorfall bezieht, wie es dazu gekommen ist, wann es dazu gekommen ist und alle anderen relevanten Informationen, die bei der schnelleren Lösung des Vorfalls helfen könnten,
•  Die verantwortliche Person meldet den Vorfall sofort der Datenschutzbehörde.

•  

XII. MENSCHLICHE QUELLEN

Artikel 25

Mitarbeiter

Die Mitarbeiter haben bei ihrer Arbeit diese Richtlinie zu Verfahren und Maßnahmen zum Schutz personenbezogener Daten zu befolgen und einzuhalten, die an die tatsächliche Situation im Unternehmen angepasst ist.

Jeder Mitarbeiter ist mit den Bestimmungen vertraut und unterzeichnet zu diesem Zweck eine Vertrautheitserklärung, die Bestandteil dieser Ordnung ist (Anlage 4). Die Regeln werden veröffentlicht und sind jederzeit auf einer gemeinsam genutzten Festplatte sowie in einer gedruckten Version beim Vorgesetzten verfügbar.

Bei regelmäßigen Betriebsversammlungen (Meetings) integrieren wir Schulungen zum Schutz personenbezogener Daten und besprechen diese, damit die Informationen und Regeln nicht in Vergessenheit geraten und regelmäßig umgesetzt werden.

Jeder, der personenbezogene Daten verarbeitet, ist verpflichtet, die vorgeschriebenen Verfahren und Maßnahmen zur Datensicherheit und zum Schutz der von ihm verarbeiteten Daten umzusetzen bzw. umzusetzen war mit ihnen bei der Ausübung seiner Arbeit vertraut. Die Pflicht zum Datenschutz endet nicht mit der Beendigung des Beschäftigungsverhältnisses.

Mitarbeiter unterliegen bei Verstößen gegen Vorschriften der disziplinarischen Haftung, ehemalige Mitarbeiter strafrechtlich und externe Auftragnehmer aufgrund vertraglicher Pflichten.

Artikel 26

Richtlinie für saubere Tische

Die Clean-Desk-Policy ist in der Gesellschaft sehr wichtig, bedeutet aber, dass Dokumente mit personenbezogenen Daten (Ausdrucke, Datenträger…) nie „ausgelegt“ auf dem Schreibtisch liegen, sondern immer in verschlossenen Schubladen/Schränken liegen, wenn wir nicht da sind .

Artikel 27

Clean Screen-Richtlinie

Die Clean Screen Policy ist eine weitere Regel, die wir in unserem Unternehmen strikt befolgen. Offene Datenbanken werden regelmäßig geschlossen, wenn sie nicht mehr benötigt werden. Computer sind immer gesperrt, wenn keine Mitarbeiter anwesend sind. Der Computer lässt sich ganz einfach mit der WIN+L-Taste sperren. Für zusätzlichen Schutz wird nach einer gewissen Zeit der Inaktivität ein Bildschirmschoner aktiviert, der nicht nur durch Bewegen der Maus entfernt werden kann, sondern auch ein echtes Passwort erfordert, das nur der Benutzer hat.

Artikel 28

Nutzung offizieller elektronischer Ressourcen

Das Speichern von Firmendaten, Geschäftsgeheimnissen und insbesondere personenbezogenen Daten auf dienstlichen elektronischen Geräten ist untersagt. Offizielle elektronische Mittel zur Verarbeitung dieser Daten dürfen nur in den Räumlichkeiten des Unternehmens und in einem gemeinsamen geschützten lokalen Netzwerk genutzt werden.

Wenn ein elektronisches Arbeitsgerät verloren geht, gestohlen oder beschädigt wird, kann es nicht zu einem Vorfall mit personenbezogenen Daten kommen, da das Gerät keine Daten enthält und ohne ein entsprechendes internes Netzwerk, Programme, eindeutige Benutzernamen und Passwörter keinen direkten Zugriff auf Datenbanken hat.

Artikel 29

Externe Auftragnehmer – Auftragsverarbeiter personenbezogener Daten

Externe Dienstleister werden im Laufe der Zeit gewechselt und sind nicht dauerhaft. In der Firma erstellen wir jederzeit eine Liste aller Vertragsverarbeiter personenbezogener Daten, die stets aktualisiert wird. Die aktuelle Liste der Vertragsverarbeiter ist dem Regelwerk in Anhang 5 beigefügt.

Mit jedem externen Dienstleister haben wir einen Vertrag über Zusammenarbeit und Verarbeitung personenbezogener Daten abgeschlossen, in dem Verfahren und Maßnahmen zur Sicherung personenbezogener Daten festgelegt sind, um das höchstmögliche Niveau der Informationssicherheit zu gewährleisten. Es sind auch die Dienstleistungen oder Arten der Verarbeitung personenbezogener Daten definiert, die der jeweilige Dienstleister bereitstellt. Sie dürfen immer nur im Einklang mit unseren Befugnissen handeln und dürfen Daten nicht für einen anderen Zweck verarbeiten oder anderweitig verwenden. Sie müssen mindestens die gleiche strenge Datenschutzmaßnahme haben, wie sie in diesem Regelwerk und im unterzeichneten Vertrag vorgesehen ist.

Gleiches gilt für externe Personen, die Hardware- und Softwarepflege durchführen oder neue Hardware- oder Softwarekomponenten erstellen oder installieren.

In der Firma folgen wir bei der Auswahl von Vertragsverarbeitern folgenden Richtlinien:

– Sorgfältige Auswahl des Verarbeiters, insbesondere in Bezug auf den Datenschutz,
– Vorherige Überprüfung und Dokumentation der Sicherheitsmaßnahmen, die der Verarbeiter ergriffen hat,
– Schriftliche Anweisungen an den Verarbeiter (Vertrag),
– Pflicht der Mitarbeiter des Verarbeiters zur Geheimhaltung von Daten,
– Der Verarbeiter hat eine Funktion des Datenschutzbeauftragten eingerichtet,
– Sicherstellung der Rückgabe/ Vernichtung von Daten nach Beendigung des Vertrags,
– Bestimmtes Recht des Verantwortlichen zur Überwachung des Verarbeiters (Überprüfung des Verarbeiters und seiner Aktivitäten),
– Vertragsstrafen für Verstöße.

 

XIII. VERANTWORTUNG FÜR DIE UMSETZUNG VON SICHERHEITSMASSNAHMEN UND -VERFAHREN

Artikel 30

Für die Umsetzung der Verfahren und Maßnahmen zur Sicherung personenbezogener Daten sowie dieser Vorschriften sind vom gesetzlichen Vertreter benannte, befugte Personen verantwortlich.

XIV. SCHLUSSBESTIMMUNGEN

Artikel 31

Die Richtlinie ist ein Geschäftsgeheimnis.

Die Regeln liegen für alle Mitarbeiter in physischer Form im Büro des Direktors zur Einsichtnahme aus.

Die Regelungen treten am 1. Oktober 2020 in Kraft. Die Veröffentlichung der Informationen erfolgt in der für den Arbeitgeber üblichen Weise.

In Ljubljana, am 20. September 2020, Direktor Tomaž Ham