Dieses Dokument wurde maschinell übersetzt. Die rechtsverbindliche Originalfassung liegt in polnischer Sprache vor.
Datenschutzrichtlinie der Firma Print Union Sp. z o.o. ("Print Union GmbH")
Ziel der Datenschutzrichtlinie, im Folgenden als Richtlinie bezeichnet, ist die Gewährleistung des erforderlichen Schutzes personenbezogener Daten gemäß der Verordnung
(EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 sowie dem Datenschutzgesetz (GBl. 2018, Pos. 1000) im Zusammenhang mit der Verarbeitung
personenbezogener Daten durch die Firma Print Union Sp. z o.o. ("Print Union GmbH") mit Sitz in Białynin, Produktionsstätte 96-100 Skierniewice, ul. Łowicka 127, E-Mail:
contact@printunion.eu
Diese Richtlinie betrifft sowohl personenbezogene Daten, die auf traditionelle Weise in Büchern, Akten, Verzeichnissen und anderen Aufzeichnungssystemen verarbeitet
werden, als auch in Informationssystemen. Sie gilt für bestehende und künftig zu verarbeitende Sammlungen personenbezogener Daten. Die in diesem Dokument festgelegten
Verfahren und Grundsätze gelten für alle Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, sowohl für Angestellte als auch für andere, wie
Freiwillige, Praktikanten, Auszubildende. Der Bereich der Verarbeitung personenbezogener Daten in der Print Union Sp. z o.o. ("Print Union GmbH") umfasst Gebäude und/oder
Räumlichkeiten in 96-100
Skierniewice, ul. Łowicka 127.
In dieser Datenschutzrichtlinie verwendete Begriffe:
-
Verantwortlicher für die Verarbeitung personenbezogener Daten (VVD) Print Union Sp. z o.o. ("Print Union GmbH")
-
Administrator der Informationssysteme (AIS) - die Person, die für die Verwaltung der Informationssysteme verantwortlich ist, die zur Verarbeitung personenbezogener
Daten verwendet werden,
-
personenbezogene Daten - alle Informationen über eine identifizierte oder identifizierbare natürliche Person,
-
Verarbeitung personenbezogener Daten - Sammeln, Aufzeichnen, Speichern, Organisieren, Anpassen, Wiederherstellen, Abfragen, Nutzen, Übertragen, Verbreiten oder
anderweitige Verwenden von personenbezogenen Daten, insbesondere in Informationssystemen,
-
Benutzer - die Person, die zur Verarbeitung personenbezogener Daten berechtigt ist,
-
Informationssystem - ein System (Geräte, Werkzeuge, Programme), in dem personenbezogene Daten verarbeitet werden,
-
Sicherung des Informationssystems - darunter fällt die Umsetzung von administrativen, technischen und Schutzmaßnahmen gegen unerlaubte Änderung, Zerstörung, unbefugten
Zugriff und Offenlegung oder Erlangung personenbezogener Daten sowie gegen deren Verlust,
-
DSGVO - Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG,
-
Datenschutzgesetz - das Gesetz vom 10. Mai 2018 zum Schutz personenbezogener Daten (GBl. 2018, Pos. 1000).
1. Grundsätze der Verarbeitung personenbezogener Daten
1.1. Der Datenverantwortliche verarbeitet personenbezogene Daten:
- rechtmäßig, fair und transparent gegenüber der betroffenen Person ("Rechtmäßigkeit, Fairness und Transparenz"),
- erhebt sie für festgelegte, eindeutige und legitime Zwecke und verarbeitet sie nicht auf eine Weise, die mit diesen Zwecken unvereinbar ist ("Zweckbindung"),
- angemessen, zweckmäßig und auf das für die Zwecke, für die sie verarbeitet werden, notwendige Maß beschränkt ("Datenminimierung"),
- richtig und erforderlichenfalls auf dem neuesten Stand ("Richtigkeit"),
- bewahrt sie in einer Form auf, die die Identifizierung der betroffenen Person ermöglicht, nicht länger, als es für die Zwecke, für die die Daten verarbeitet werden,
erforderlich ist ("Speicherbegrenzung"),
- auf eine Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung sowie
vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung, durch geeignete technische oder organisatorische Maßnahmen ("Integrität und Vertraulichkeit").
1.2.
Um diese Grundsätze umzusetzen, verarbeitet der Datenverantwortliche die Daten rechtmäßig auf der Grundlage der in Art. 6 DSGVO beschriebenen Bedingungen. Er erhebt
personenbezogene Daten entsprechend den Verarbeitungszwecken und verarbeitet sie für einen bestimmten Zeitraum. Gegenüber den Personen, deren Daten verarbeitet werden,
erfüllt er die Informationspflichten gemäß Art. 13 DSGVO oder Art. 14 DSGVO (wenn die Informationen nicht von der betroffenen Person selbst stammen) und weist sie auf
ihre Rechte hin, wie das Recht auf:
- Zugang zu den Daten,
- Berichtigung der Daten,
- Löschung der Daten (Recht auf Vergessenwerden),
- Datenübertragung,
- Widerspruch gegen die Verarbeitung,
- Einschränkung der Verarbeitung,
- Beschwerde bei der Aufsichtsbehörde,
- Widerspruch gegen Profiling.
Der Datenverantwortliche stellt den Datenschutz sicher, wenn externe Dienstleister in Anspruch genommen werden, indem entsprechende Auftragsverarbeitungsverträge
abgeschlossen werden und Dienstleister eingesetzt werden, um die aus der DSGVO resultierenden Verpflichtungen zu erfüllen. Im Falle eines technischen oder physischen
Vorfalls stellt der Datenverantwortliche sicher, dass die Möglichkeit zur raschen Wiederherstellung der Zugänglichkeit zu den personenbezogenen Daten und deren Zugriff
gewährleistet ist.
1.3.
Die Bestätigung der Erfüllung der Informationspflichten durch den Datenverantwortlichen erfolgt durch die Informationsklauseln, die den betroffenen Personen übermittelt
werden, deren Daten verarbeitet werden. Im Falle der Mitarbeiter werden ihnen die Klauseln zur Unterschrift vorgelegt und in den Personalakten der Mitarbeiter aufbewahrt.
Im Falle von Kunden und Vertragspartnern werden ihnen die Klauseln zum Zeitpunkt des Vertragsabschlusses übermittelt und auch an einem gut sichtbaren Ort am Arbeitsplatz
ausgehängt.
2. Berechtigungen zur Datenverarbeitung
Der Datenverantwortliche stellt sicher, dass nur Personen mit einer vom VVD erteilten Berechtigung Zugang zu personenbezogenen Daten bei der Print Union Sp. z o.o.
("Print Union GmbH") haben. Die
Berechtigungen legen fest, welche Operationen Benutzer ausführen dürfen, wie z.B. Erstellung, Löschung, Einsicht, Übertragung von Daten, in welchen Systemen und für
welche Dauer. Der Datenverantwortliche führt eine Aufzeichnung der autorisierten Personen. Berechtigungen zur Verarbeitung personenbezogener Daten können auf Antrag des
direkten Vorgesetzten des Benutzers des Systems erteilt werden.
3. Risikoanalyse
Der Datenverantwortliche führt eine Risikoanalyse durch, um personenbezogene Daten angemessen vor identifizierten Bedrohungen zu schützen. Die Analyse wird im Falle
einer Bedrohung sowie alle 4 Monate zyklisch durchgeführt. Die Datenanalyse wird separat für jeden Datensatz oder für mehrere Datensätze mit ähnlichem Datenumfang
durchgeführt. Bei Bedarf wird eine Folgenabschätzung für das Risiko im Sinne von Art. 35 DSGVO durchgeführt.
4. Liste der Sicherheitsmaßnahmen
Unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos
einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere des Risikos setzen der Datenverantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen um, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko entspricht.
5. Verzeichnis der Verarbeitungstätigkeiten
Der Datenverantwortliche führt ein Verzeichnis der Verarbeitungstätigkeiten. In diesem Verzeichnis werden folgende Informationen aufgeführt:
- Name und Kontaktdaten des Datenverantwortlichen,
- Zwecke der Verarbeitung,
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- Kategorien von Empfängern, denen personenbezogene Daten offengelegt wurden oder offengelegt werden sollen, einschließlich Empfängern in Drittländern oder
internationalen Organisationen,
- sofern zutreffend, Informationen über die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich des Namens
dieses Drittlands oder dieser Organisation,
- bei Übermittlungen gemäß Art. 49 Abs. 1 Satz 2 DSGVO die Dokumentation geeigneter Garantien,
- sofern möglich, geplante Fristen für die Löschung der einzelnen Kategorien von Daten,
- sofern möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 Abs. 1 DSGVO.
6. Bestellung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte kann/muss bestellt werden. Im Falle der Bestellung eines Datenschutzbeauftragten gehören zu seinen Aufgaben:
- Information des Verantwortlichen, des Auftragsverarbeiters und der Mitarbeiter, die personenbezogene Daten verarbeiten, über ihre gemäß den Bestimmungen der DSGVO und
des Datenschutzgesetzes obliegenden Pflichten,
- Überwachung der Einhaltung der Vorschriften der DSGVO und des Datenschutzgesetzes sowie der geltenden Datenschutzrichtlinie in der Einrichtung, einschließlich der
Aufteilung der Pflichten, Bewusstseinsförderung, Schulung des an der Datenverarbeitung beteiligten Personals und damit verbundene Audits,
- Auf Anforderung Empfehlungen zur Bewertung der Auswirkungen auf den Datenschutz geben und die Überwachung ihrer Umsetzung gemäß Art. 35 DSGVO,
- Zusammenarbeit mit der Aufsichtsbehörde, d.h. dem Präsidenten des Amtes für den Schutz personenbezogener Daten,
- Ausübung der Funktion als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung, einschließlich vorheriger Konsultationen, sowie in
geeigneten Fällen,
- Durchführung von Konsultationen zu allen anderen Angelegenheiten.
Im Falle der Bestellung eines Datenschutzbeauftragten ist die Ernennung innerhalb von 14 Tagen nach der Ernennung dem Präsidenten des Amtes für den Schutz
personenbezogener Daten mit Angabe von Vorname, Nachname, E-Mail-Adresse oder Telefonnummer des Datenschutzbeauftragten zu melden.
7. Verfahren für den Umgang mit Datenschutzvorfällen
Der Datenverantwortliche führt ein Verfahren zur Behandlung von Vorfällen zur Verletzung des Schutzes personenbezogener Daten ein. Ziel dieses Verfahrens ist die
Erfüllung der Verpflichtung gemäß Art. 33 DSGVO. Das Verfahren legt fest, wie Vorfälle definiert werden, die die Sicherheit personenbezogener Daten gefährden, wie darauf
reagiert wird und wie Korrekturmaßnahmen eingeleitet werden. Jede Person, die berechtigt ist, personenbezogene Daten zu verarbeiten, ist verpflichtet, über die
Möglichkeit oder das Auftreten eines Vorfalls zu informieren. Diese Information sollte dem direkten Vorgesetzten oder dem Datenschutzbeauftragten mitgeteilt werden.
Benachrichtigungen sind erforderlich bei:
- unsachgemäßer Sicherung von elektronischer Hardware und Software vor Datenlecks, Diebstahl und Verlust von personenbezogenen Daten, Weitergabe von Passwörtern an
unbefugte Personen,
- unsachgemäßer physischer Sicherung von Räumen, Geräten und Dokumenten,
- Nichtbefolgung der Grundsätze zum Schutz personenbezogener Daten durch Mitarbeiter (z.B. Nichtbeachtung des Grundsatzes des aufgeräumten Schreibtisches/Bildschirms,
Passwortschutz, Nichtverschließen von Räumen, Schränken, Schubladen, Anbringen von Zetteln mit Passwörtern in Schubladen),
- Spuren an Türen, Fenstern und Schränken, die auf einen Einbruchsversuch hindeuten,
- Dokumentation mit personenbezogenen Daten, die ohne Verwendung eines Aktenvernichters vernichtet wird,
- offene Türen zu Räumen, Schränken, in denen personenbezogene Daten aufbewahrt werden,
- Anwesenheit von unbefugten Personen in der Einrichtung,
- fehlerhafte Anordnung der Monitore, die es unbefugten Personen ermöglicht, personenbezogene Daten einzusehen,
- Ausführung personenbezogener Daten in Papier- und elektronischer Form außerhalb der Einrichtung ohne Ermächtigung des Datenverantwortlichen,
- Serverausfälle, Computer, Festplatten, Software,
- Weitergabe von personenbezogenen Daten an unbefugte Personen,
- telefonische Versuche zur Erlangung von personenbezogenen Daten,
- Diebstahl, Verlust von Computern oder CDs, Festplatten, USB-Sticks mit personenbezogenen Daten,
- E-Mails, die zur Offenlegung von Benutzerkennungen oder Passwörtern auffordern,
- Infektion von Computern mit Viren oder andere fehlerhafte Verhaltensweisen von Computern,
- Zufällige Ereignisse (Gebäudebrand, Überschwemmung, Stromausfall, Kommunikationsverlust),
- Einbruch in das Informationssystem oder Räume,
- Datendiebstahl/-verlust,
- Vorsätzliches Zerstören von Dokumenten.
Es ist auch erforderlich, den Administrator der Informationssysteme zu benachrichtigen. Darüber hinaus muss der Vorfall dokumentiert werden, einschließlich seiner
Auswirkungen und der ergriffenen Maßnahmen zur Behebung und Behebung. Wenn der Vorfall zu einer Verletzung der Rechte oder Freiheiten natürlicher Personen führt, meldet
der Datenschutzbeauftragte dies innerhalb von 72 Stunden dem Präsidenten des Amtes für den Schutz personenbezogener Daten. Wenn erforderlich, informiert er auch die
betroffenen Personen über den Vorfall.
8. Datenschutzrichtlinie und interne Schulungen
Der Datenverantwortliche führt bei Print Union Sp. z o.o. eine Datenschutzrichtlinie ein, um den Personen, die personenbezogene Daten verarbeiten, vollständiges Wissen
über die Grundsätze der Datenverarbeitung in der Einrichtung und die damit verbundenen Pflichten zu gewährleisten. Personen, die mit der Richtlinie vertraut gemacht
wurden, sind verpflichtet, die Kenntnisnahme dieses Dokuments zu bestätigen und sich zur Einhaltung seiner Grundsätze zu verpflichten. Jede Person sollte vor der
Einstellung mit der Richtlinie vertraut gemacht werden. Der Datenverantwortliche stellt auch sicher, dass die Mitarbeiter in den Bestimmungen zum Schutz personenbezogener
Daten geschult werden, und die Anwesenheit der Mitarbeiter muss schriftlich bestätigt werden.
9. Aufgaben des IT-Administrators
Der IT-Administrator führt Aufgaben zur Verwaltung und laufenden Überwachung des Informationssystems des Datenverantwortlichen durch. Daher:
- er verwaltet das Informationssystem, in dem personenbezogene Daten verarbeitet werden, unter Verwendung des Zugangspassworts zu allen Arbeitsplätzen und dem Server
als Administrator,
- er verhindert den Zugriff unbefugter Personen auf das Informationssystem, in dem personenbezogene Daten verarbeitet werden,
- er weist jedem Benutzer eine Identifikationsnummer und ein Passwort für das Informationssystem zu und nimmt bei Bedarf Änderungen an den Berechtigungen vor und löscht
Benutzerkonten gemäß den in der Anweisung zur Verwaltung des Informationssystems festgelegten Grundsätzen, das zur Verarbeitung personenbezogener Daten dient,
- er führt eine Schulung für den Benutzerarbeitsplatz im Umgang mit Computerausrüstung und Netzwerkressourcen durch, stellt die relevanten Dokumente in diesem Bereich
vor,
- er überwacht die Authentifizierungsmechanismen der Benutzer sowie die Zugangskontrolle zu personenbezogenen Daten,
- im Falle einer Feststellung einer Verletzung der Sicherheitsmaßnahmen des Informationssystems informiert er den Datenverantwortlichen/den Datenschutzbeauftragten über
die Verletzung und arbeitet mit ihm zusammen, um die Auswirkungen der Verletzung zu beseitigen,
- er führt eine detaillierte Dokumentation von Verstößen gegen die Sicherheit personenbezogener Daten im Informationssystem,
- er überwacht die Durchführung von Reparaturen, die Wartung und die Außerbetriebnahme von Computerausrüstung, auf der personenbezogene Daten gespeichert sind, sowie
die Durchführung von Backups, die Speicherung und die regelmäßige Überprüfung auf ihre weitere Eignung zur Wiederherstellung von Daten im Falle eines Ausfalls des
Informationssystems,
- er ergreift Maßnahmen zur Gewährleistung der Zuverlässigkeit der Stromversorgung von Computern und anderen Geräten, die die Sicherheit der Datenverarbeitung
beeinflussen, sowie zur Sicherstellung eines sicheren Datenaustauschs im internen Netzwerk und einer sicheren Fernübertragung von Daten.
10. Auftragsverarbeitungsverträge für die Verarbeitung personenbezogener Daten
10.1. Bei der Beauftragung externer Stellen mit der Verarbeitung personenbezogener Daten ist der Datenverantwortliche verpflichtet, einen
Auftragsverarbeitungsvertrag abzuschließen. In der Einrichtung wird ein Register der Auftragsverarbeitungsverträge für die Verarbeitung personenbezogener Daten geführt.
10.2. Der Vertrag legt die Kategorien von Personen fest, deren Daten betroffen sind, sowie die Pflichten und Rechte des Datenverantwortlichen. Darüber
hinaus verpflichtet er den Auftragsverarbeiter dazu:
- personenbezogene Daten nur auf dokumentierten Anweisung des Datenverantwortlichen zu verarbeiten – dies gilt auch für die Übermittlung personenbezogener Daten an
Drittländer oder internationale Organisationen,
- sicherzustellen, dass die Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Geheimhaltung verpflichtet sind oder einer entsprechenden
gesetzlichen Geheimhaltungspflicht unterliegen,
- alle nach Artikel 32 der DSGVO erforderlichen Maßnahmen zu ergreifen,
- die Bedingungen für die Nutzung der Dienstleistungen eines anderen Auftragsverarbeiters einzuhalten,
- dem Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen der
betroffenen Person im Hinblick auf die Ausübung ihrer in Kapitel III der DSGVO festgelegten Rechte zu unterstützen,
- dem Datenverantwortlichen bei der Erfüllung der in Artikel 32–36 der DSGVO festgelegten Verpflichtungen zu helfen,
- personenbezogene Daten zu löschen oder dem Datenverantwortlichen zurückzugeben und alle vorhandenen Kopien zu löschen, es sei denn, das Unionsrecht oder das Recht
eines Mitgliedstaats schreibt die Aufbewahrung personenbezogener Daten vor,
- dem Datenverantwortlichen alle für den Nachweis der Erfüllung der in den Bestimmungen der DSGVO festgelegten Verpflichtungen erforderlichen Informationen zur
Verfügung zu stellen und dem Datenverantwortlichen oder von ihm ermächtigten Auditoren die Durchführung von Audits, einschließlich Inspektionen, zu ermöglichen und dazu
beizutragen.
11. Kontrollmaßnahmen
Die Überwachung und Kontrolle des Schutzes personenbezogener Daten obliegt Print Union Sp. z o.o. Kontrollmaßnahmen werden einmal pro Quartal durchgeführt. Aus den
Kontrollmaßnahmen wird ein Protokoll erstellt, das den genauen Umfang der Kontrolle, die durchgeführten Maßnahmen, Empfehlungen und Korrekturmaßnahmen beschreibt. Das
Protokoll wird von den Personen, die die Kontrollmaßnahmen durchführen, unterzeichnet.
12. Verantwortung der zur Verarbeitung befugten Personen
Nichtbefolgung der vom Datenverantwortlichen durchgeführten Datenschutzrichtlinie, deren Grundsätze in diesem Dokument festgelegt sind, und Verstoß gegen die
Datenschutzverfahren durch die zur Verarbeitung personenbezogener Daten befugten Mitarbeiter kann als schwerwiegender Verstoß gegen die Mitarbeiterpflichten behandelt
werden.