Schutz der persönlichen Daten

Auf der Grundlage der Artikel 24 und 25 des Gesetzes zum Schutz personenbezogener Daten (ZVOP-1) und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung oder GDPR) akzeptiert der Direktor des Unternehmens Ham, d.o.o., Gerbičeva ulica 102, 1000 Ljubljana, eingetragene Nummer 5376491000, Steuernummer SI 70000891 (im Folgenden als das Unternehmen bezeichnet), Tomaž Ham, hiermit Folgendes:

REGELN

ÜBER VERFAHREN UND MASSNAHMEN ZUR

SCHUTZ DER PERSÖNLICHEN DATEN

I. ALLGEMEINE BESTIMMUNGEN

Artikel 1

Inhalt und Zweck der Verordnungen

1. Diese Richtlinie legt die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Unternehmen fest, um die Rechte und Freiheiten der betroffenen Person zu wahren. Ziel des Unternehmens ist es, die versehentliche oder absichtliche unbefugte Zerstörung, Veränderung oder den Verlust von Daten sowie den unbefugten Zugriff, die Verarbeitung, Nutzung oder Weitergabe von personenbezogenen Daten an Dritte zu verhindern.
2. Mitarbeiter und externe Auftragnehmer, die im Rahmen ihrer Arbeit personenbezogene Daten verarbeiten und nutzen, müssen mit dem Gesetz zum Schutz personenbezogener Daten (PDPA-1) und der Allgemeinen Datenschutzverordnung sowie mit dem Inhalt dieser Richtlinie vertraut sein.
3. In Angelegenheiten, die nicht durch diese Regeln abgedeckt sind, gelten die Bestimmungen des Gesetzes zum Schutz personenbezogener Daten (ZVOP-1) und der Allgemeinen Datenschutzverordnung unmittelbar.

Artikel 2

Bedeutung der Begriffe

(1) Im Sinne dieser Verordnung haben die folgenden Begriffe folgende Bedeutung:

• „Nationale Gesetzgebung“ bedeutet die derzeit geltende nationale Gesetzgebung (ZVOP-1 - Gesetz zum Schutz personenbezogener Daten (Amtsblatt der Republik Slowenien, Nr. 86/04, 113/05, 51/2007. 67/2007 und 94/2007);

• EUR General Data Protection Regulation (2016/679) oder GDPR;
• Personenbezogene Daten“ sind alle Informationen über eine bestimmte oder bestimmbare natürliche oder juristische Person (nachstehend „betroffene Person“ genannt); als bestimmbar wird eine natürliche oder juristische Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen oder juristischen Person sind;
• „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten;
• Sammlung“: jede strukturierte Menge personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind und die auf funktionaler oder geografischer Basis zentral, dezentral oder verstreut sein können;
• Verantwortlicher“ - die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt, können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten festgelegt werden;
• Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
• Nutzer“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der die personenbezogenen Daten offengelegt wurden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. Öffentliche Stellen, die im Rahmen einer Einzelanfrage gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten personenbezogene Daten erhalten können, gelten jedoch nicht als Nutzer; die Verarbeitung dieser Daten durch diese öffentlichen Stellen erfolgt in Übereinstimmung mit den geltenden Datenschutzvorschriften in Bezug auf die Zwecke der Verarbeitung;
• Die „Einwilligung der betroffenen Person“ ist jede freiwillige, ausdrückliche, in Kenntnis der Sachlage getätigte und unmissverständliche Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt;
• „Datenträger“ bezeichnet jede Art von Medium, auf dem Daten aufgezeichnet oder reproduziert werden (Dokumente, Urkunden, Papiere, Akten, Computerausrüstung einschließlich magnetischer, optischer oder anderer Computermedien, Fotokopien, Ton- und Bildmaterial, Mikrofilme, Datenübertragungsgeräte usw.).

II. PRINZIPIEN

Artikel 3

Grundsätze in Bezug auf die Verarbeitung von personenbezogenen Daten

1. personenbezogene Daten sind:

• rechtmäßig, nach Treu und Glauben und auf transparente Weise gegenüber der betroffenen Person verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);
• angemessen, relevant und auf das beschränkt sind, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Mindestdatenumfang“). Das bedeutet, dass Formulare mit Feldern vordefiniert sind und wir keine unnötigen personenbezogenen Daten sammeln oder speichern;
• in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar so lange, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist;
• sie in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes gegen unbefugte oder unrechtmäßige Verarbeitung und gegen zufälligen Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
• in bestimmten Geschäftsprozessen pseudonymisiert, um das Risiko einer Offenlegung zu vermeiden. An den Stellen in Geschäftsprozessen, an denen die Entschlüsselung der Pseudonymisierung für die Erfüllung einer vertraglichen Pflicht erforderlich ist, haben autorisierte Personen Zugang zu erweiterten Daten über die Person - natürlich auf der Grundlage eines eindeutigen Benutzernamens und Passworts, das den Grad der Autorisierung bestimmt - und gewährleisten so den „Datenschutz durch Voreinstellung“. Wir gewährleisten den Schutz personenbezogener Daten standardmäßig auf der Grundlage organisatorischer und technischer Maßnahmen. Jede Verarbeitungsmethode hat standardmäßig einen anderen Inhalt der personenbezogenen Daten der Person, so dass nur die Daten verarbeitet werden, die für die spezifische Verarbeitungsmethode und den Zweck unbedingt erforderlich sind.

4. Mitglied
5.  

Artikel 4

Rechtmäßigkeit der Verarbeitung

In der Personendatei werden nur personenbezogene Daten verarbeitet, für die eine einschlägige Rechtsgrundlage gemäß den Bestimmungen der DSGVO und der ZVOP-1 besteht und die von dem für die Verarbeitung Verantwortlichen nachweisbar sind:

• die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
• die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung von Maßnahmen erforderlich, die auf Antrag der betroffenen Person vor Abschluss des Vertrags erfolgen;
• berechtigtes Interesse;
• die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt.

III. RECHTE DES EINZELNEN

Artikel 5

Transparenz der bereitgestellten Informationen und der Mittel zur Ausübung der individuellen Rechte

Der für die Verarbeitung Verantwortliche stellt der betroffenen Person die folgenden Informationen in knapper, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zur Verfügung:

• die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen,
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung,
• die Dauer der Aufbewahrung der personenbezogenen Daten oder die Kriterien, die zur Festlegung dieser Dauer verwendet werden,
• das Bestehen eines Rechts, von dem für die Verarbeitung Verantwortlichen Zugang zu den personenbezogenen Daten zu erhalten und die Berichtigung oder Löschung der die betroffene Person betreffenden personenbezogenen Daten oder die Einschränkung der Verarbeitung zu verlangen, oder das Bestehen eines Rechts auf Widerspruch gegen die Verarbeitung,
• das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der auf der Grundlage der Einwilligung erfolgten Verarbeitung bis zu deren Widerruf berührt wird,
• das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen.

Artikel 6

Recht auf Zugang für den Einzelnen

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Zugang zu den personenbezogenen Daten und die folgenden Informationen zu erhalten:

• die Zwecke der Verarbeitung,
• die Art der betreffenden personenbezogenen Daten,
• wenn möglich, die vorgesehene Aufbewahrungsfrist der Daten,
• das Bestehen eines Rechts, von dem für die Verarbeitung Verantwortlichen Zugang zu den personenbezogenen Daten und deren Berichtigung oder Löschung zu verlangen oder die Verarbeitung in Bezug auf die betroffene Person einzuschränken, oder das Bestehen eines Rechts auf Widerspruch gegen die Verarbeitung,
• das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen,
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über ihre Herkunft.

Der für die Verarbeitung Verantwortliche wird die angeforderten Informationen unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage zur Verfügung stellen.

Der für die Verarbeitung Verantwortliche stellt unentgeltlich eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann der für die Verarbeitung Verantwortliche eine angemessene Gebühr unter Berücksichtigung der Rechtskosten erheben.

Artikel 7

Verfahren zur Ausübung Ihrer Rechte

Personenbezogene Daten werden nur an diejenigen Nutzer weitergegeben, die die entsprechende Rechtsgrundlage oder die schriftliche Anfrage oder Zustimmung der betroffenen Person vorlegen.

Für jede Übermittlung personenbezogener Daten muss der Betroffene einen schriftlichen Antrag stellen, und jede Übermittlung wird in einem Übermittlungsregister festgehalten (welche Daten, an wen, wann und auf welcher Grundlage). Originaldokumente werden niemals weitergegeben, es sei denn, es liegt eine schriftliche Anordnung eines Gerichts vor. Das Originaldokument wird in Abwesenheit des Unternehmens durch eine Kopie ersetzt.

Der für die Verarbeitung Verantwortliche teilt jedem Nutzer, dem personenbezogene Daten mitgeteilt wurden, jede Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Der für die Verarbeitung Verantwortliche informiert die betroffene Person über diese Nutzer, wenn die betroffene Person dies wünscht.

Artikel 7a

Verfahren zur Bereitstellung von Informationen über die Verarbeitung

Auf mündlichen oder schriftlichen Antrag und unter Angabe der Identität der betroffenen Person werden der betroffenen Person folgende Informationen in gedruckter oder pdf-Form zur Verfügung gestellt: der Zweck der Verarbeitung ihrer personenbezogenen Daten, die Arten der betroffenen personenbezogenen Daten, die vorgesehene Aufbewahrungsfrist (falls möglich), das Bestehen des Rechts, die Berichtigung oder Löschung oder die Einschränkung der Verarbeitung zu verlangen oder gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen, das Bestehen des Rechts, bei einer zuständigen Behörde Beschwerde einzulegen. Der für die Verarbeitung Verantwortliche stellt unentgeltlich eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann der für die Verarbeitung Verantwortliche eine angemessene Gebühr unter Berücksichtigung der Rechtskosten erheben.

Artikel 7b

Verfahren zur Ausübung des Rechts auf Berichtigung

Auf mündlichen oder schriftlichen Antrag und nach Identifizierung der betroffenen Person werden unrichtige Daten, die von dem für die Verarbeitung Verantwortlichen erhoben wurden, unverzüglich berichtigt. Die betroffene Person hat das Recht, unter Berücksichtigung der Zwecke der Verarbeitung, unvollständige personenbezogene Daten vervollständigen zu lassen.

Artikel 7c

Verfahren zur Ausübung des Rechts auf Löschung („Vergessenwerden“)

Auf mündlichen oder schriftlichen Antrag und unter Angabe der betroffenen Person werden die von dem für die Verarbeitung Verantwortlichen erhobenen Daten unverzüglich gelöscht, wenn:

• die erhobenen personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind,
• die Person die Einwilligung widerruft, auf deren Grundlage ihre Daten verarbeitet werden, und wenn es keine andere Rechtsgrundlage für die Verarbeitung gibt,
• die betroffene Person Widerspruch gegen die Verarbeitung einlegt (gemäß GDPR Abschnitt 4, Artikel 21 (1) oder (2)), gibt es keine andere Rechtsgrundlage für die Verarbeitung,
• sie gelöscht werden müssen, um einer rechtlichen Verpflichtung nach Unionsrecht oder nationalem Recht, der der für die Verarbeitung Verantwortliche unterliegt, nachzukommen.

Die Daten werden dann dauerhaft aus der Datenbank entfernt. In den Sammlungen X und Y gibt es eine „Löschfunktion“, mit der personenbezogene Daten auf Wunsch der Person anonymisiert werden, so dass die Daten übrig bleiben, die wir für die jährliche Finanz- oder Geschäftsanalyse benötigen . Der Vorgang wird von einer autorisierten Person des für die Verarbeitung Verantwortlichen durchgeführt. Die Z-Datenbank ist eine Personaldatenbank, die dauerhaft ist und deren Daten nicht gelöscht werden. Die Sammlungen A, B und C ermöglichen die Löschung von Daten. Dies erfolgt durch eine bevollmächtigte Person des für die Verarbeitung Verantwortlichen, die erforderlichenfalls den Vertragsverwalter des Unterauftragsverarbeiters um Mitarbeit ersucht. Die Videodatei löscht die Aufzeichnungen nach 12 Monaten, aber wenn eine Aufzeichnung früher gelöscht werden muss, nimmt die bevollmächtigte Person des für die Verarbeitung Verantwortlichen dies vor.

Artikel 7c

Verfahren zur Ausübung des Rechts auf Einschränkung der Verarbeitung

Auf mündlichen oder schriftlichen Antrag und unter Angabe der betroffenen Person wird die Verarbeitung der von dem für die Verarbeitung Verantwortlichen erhobenen Daten unverzüglich eingeschränkt, wenn:

• die betroffene Person bestreitet die Richtigkeit der Daten während eines Zeitraums, der es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
• die betroffene Person Widerspruch gegen die Löschung der personenbezogenen Daten einlegt und stattdessen die Einschränkung der Verarbeitung verlangt,
• der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie aber für die Ausübung von. Ausübung oder Verteidigung von Rechtsansprüchen,
• die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, bis geprüft wurde, ob die berechtigten Gründe des für die Verarbeitung Verantwortlichen die Gründe der betroffenen Person überwiegen.

Artikel 7d

Verfahren zur Ausübung des Rechts auf Datenübertragbarkeit

Auf mündliche oder schriftliche Anfrage und Identifizierung der Person werden die dem für die Verarbeitung Verantwortlichen zur Verfügung gestellten Informationen an das vom Kunden benannte konkurrierende Unternehmen weitergegeben. Das konkurrierende Unternehmen erhält sie in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format (*.pdf). Es hat das Recht, diese Informationen ungehindert an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, wenn die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht und wenn die Verarbeitung mit automatisierten Mitteln erfolgt.

Artikel 7e

Verfahren zur Ausübung des Rechts auf Widerspruch

Auf mündlichen oder schriftlichen Antrag und unter Angabe der Identität der betroffenen Person beendet der für die Verarbeitung Verantwortliche die Verarbeitung personenbezogener Daten, einschließlich eines etwaigen Profilings und der Direktwerbung. Eine Ausnahme gilt, wenn der für die Verarbeitung Verantwortliche zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Wenn die betroffene Person dem Zweck des Direktmarketings widerspricht, werden ihre Daten weder für diesen Zweck noch für einen anderen Zweck, dem die betroffene Person widerspricht, weiter verarbeitet. Die betroffene Person wird spätestens bei der ersten Mitteilung ausdrücklich auf dieses Recht hingewiesen - deutlich und getrennt von anderen Informationen.

IV. PFLICHTEN DES FÜR DIE KONTROLLE ZUSTÄNDIGEN UNTERNEHMENS UND DES PROZESSORS

Artikel 8

Verantwortung des für die Verarbeitung Verantwortlichen und Aufbewahrungsfrist

Der für die Verarbeitung Verantwortliche trifft technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der geltenden Verordnung erfolgt.

Zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung selbst ergreift der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zur wirksamen Umsetzung der Datenschutzgrundsätze, wie z. B. des Grundsatzes der Datenminimierung, und sieht bei der Verarbeitung die erforderlichen Garantien vor, um die Anforderungen der geltenden Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen. Insbesondere stellt er sicher, dass personenbezogene Daten nicht automatisch einer unbestimmten Anzahl von Personen zugänglich sind, ohne dass die betroffene Person eingreifen muss.

Personenbezogene Daten werden für einen gesetzlich festgelegten Mindestzeitraum gespeichert und verarbeitet, der sich nach dem Zweck richtet, für den die Daten erhoben wurden. Andernfalls erfolgt die Speicherung auf unbestimmte Zeit oder bis die Einwilligung der betroffenen Person zurückgezogen wird. Nach dem Widerruf der Zustimmung werden die Daten effektiv und dauerhaft gelöscht oder anonymisiert.

Ändern sich die Zwecke, für die personenbezogene Daten von dem für die Verarbeitung Verantwortlichen gespeichert und verarbeitet werden, werden die Datenbanken mit den geänderten Zwecken effektiv und dauerhaft gelöscht oder anonymisiert.

Artikel 9

Verantwortlichkeiten des Verarbeiters

Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt, arbeitet der für die Verarbeitung Verantwortliche nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung den Anforderungen der geltenden Verordnung genügt und der Schutz der Rechte der betroffenen Person gewährleistet ist.

Der Auftragsverarbeiter darf ohne die vorherige ausdrückliche oder allgemeine schriftliche Zustimmung des für die Verarbeitung Verantwortlichen keinen anderen Auftragsverarbeiter beauftragen.

Die Verarbeitung durch den Auftragsverarbeiter wird durch einen Vertrag im Einklang mit dem Unionsrecht geregelt, in dem der Inhalt und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind.

V. WELCHE PERSÖNLICHEN DATEN WIR SAMMELN UND ZU WELCHEM ZWECK

Artikel 10

Für Geschäftsprozesse sammeln wir zu bestimmten Zeitpunkten die folgenden Informationen über Benutzer und Mitarbeiter (manchmal alle, aber für einzelne Prozesse nur einige der erfassten Informationen):

• Vor- und Nachname,
• Unternehmen
• Titel,
• eine Telefonnummer, und
• E-Mail Adresse,
• Anmerkungen,
• … .

Diese Informationen werden verwendet, um die folgenden Aktivitäten für jeden Geschäftsprozess durchzuführen:

• Kommunikation über den Kauf,
• Versand von Newslettern und Werbeinhalten des Unternehmens,
• Direktmarketing,
• Versand von bestellten E-Prints, physischen Ausdrucken oder Quiz-Ergebnissen,
• Sie über Ereignisse auf dem Laufenden zu halten,
• Statistische Analyse: Verfolgung von Klicks (auf der Website und in E-Mails) und Öffnen von E-Mails, um den Inhalt der E-Mails zu verbessern,
• das Versenden von E-Mails mit Angeboten, Informationen über Neuigkeiten, Werbeaktionen und Vorteile des Unternehmens und seiner Partner,
• Telefonanrufe, SMS-Nachrichten und normale Post.

In Anhang 1 werden die einzelnen Datensammlungen des Unternehmens beschrieben, wobei die Kategorien von Personen, die Arten und die Herkunft der Daten, der Zweck der Verarbeitung, die Rechtsgrundlage für die Verarbeitung, die Weitergabe an wen, die vorgesehene Aufbewahrungsfrist, die Art und Weise, wie der Überblick über den Fluss der personenbezogenen Daten erreicht wird, und der Aufbewahrungsort der Sammlung angegeben werden.

In Anhang 2 sind alle Seiten der Websites aufgeführt, auf denen Daten gesammelt werden, wie z.B.:

• Melden Sie sich für den Newsletter an;
• Kataloge bestellen;
• Einreichen einer Angebotsanfrage;
• Produkte bestellen;
• usw. … … .

VI. BESTANDSAUFNAHME DER GESCHÄFTSPROZESSE, DIE MIT PERSONENBEZOGENEN DATEN IN BERÜHRUNG KOMMEN

Artikel 11

Die Art unserer Arbeit bringt uns in Kontakt mit den persönlichen Daten von Personen. Der Kontakt ist in Anhang 3 nach Geschäftsbereichen und Geschäftsprozessen aufgeschlüsselt .

VII. BESCHREIBUNG DES SYSTEMS

Artikel 12

System-Infrastruktur

Die Infrastruktur eines IT-Systems besteht aus den folgenden Elementen: Hardware, Netzwerkgeräte und die Verbindungen zwischen ihnen.

Die Hardware besteht aus einem lokalen Server, einem Kommunikations-Hub und einzelnen Computern in den Büros.

Die Netzwerkausrüstung besteht aus einem lokalen Server, einem Provider-Router und einem drahtlosen Router für das Internet. Die Daten werden zentral auf dem lokalen Server in verschlüsselter Form gespeichert - und Backups werden ebenfalls auf dem lokalen Server und in verschlüsselter Form erstellt.

Wartung, Upgrades und andere notwendige Eingriffe in das Informationssystem sind regelmäßig und nachvollziehbar (aus den Aufzeichnungen). Nur autorisierte Reparaturbetriebe, Organisationen oder Einzelpersonen, die einen Vertrag mit dem Unternehmen haben, sind zugelassen. Auftragnehmer müssen Änderungen und Ergänzungen an der System- oder Anwendungssoftware dokumentieren. Außerdem muss ein autorisierter Mitarbeiter des Unternehmens während der Wartung jederzeit anwesend sein, um sicherzustellen, dass kein unbefugter Umgang mit personenbezogenen Daten stattfindet.

Artikel 13

Politik der Informationssicherheit

Wir haben eine Richtlinie zur Informationssicherheit. Zu diesem Zweck wurden zwei Richtlinien ausgearbeitet, die jeder bestehende und neue Mitarbeiter liest und mit seiner Unterschrift akzeptiert:

• Verhaltenskodex,
• Datenschutzbestimmungen.

VIII. ZUGANG ZUM SYSTEM

Artikel 14

Benutzer-Authentifizierung

Das Unternehmen verwendet die Benutzerauthentifizierung mit einem Benutzernamen in Kombination mit einem Passwort.

Die Identifizierung für die verschiedenen Datenbanken ist unterschiedlich, und die Benutzer müssen sich bei jeder Datenbank mit ihrem eigenen Benutzernamen und Passwort anmelden. Der Benutzername wird den einzelnen Personen zugewiesen und das Passwort wird von der jeweiligen Person festgelegt.

Es gibt Regeln für die Wahl eines Passworts, damit es stark genug und nicht leicht zu erraten ist. Passwörter müssen mindestens 6 Zeichen lang sein, und es muss eine Struktur geben, so dass das Passwort mindestens eine Zahl und ein Zeichen enthält. Außerdem werden die Mitarbeiter dazu angehalten, Groß- und Kleinbuchstaben zu verwenden. Passwörter dürfen nicht wiederholt werden.

Das Passwort bleibt gleich, bis die verantwortliche Person beschließt, das Passwort zu ändern. Die Passwörter selbst laufen nicht ab, und wir verwenden keine automatischen Systempasswortänderungen.

Artikel 15

Autorisierung von Benutzern

Die Aufgaben und Zuständigkeiten des Personals werden zu Beginn der Tätigkeit und bei der Einarbeitung zugewiesen und festgelegt.

Für jede Sammlung personenbezogener Daten gibt es eine verantwortliche Person und Benutzer, die das Recht auf Zugang zu jeder Sammlung personenbezogener Daten haben.

Beim Zugriff auf das System gibt es eine Rollenteilung zwischen Benutzern und Administratoren, wobei letztere andere Berechtigungen haben als die Benutzer.

Die Erteilung, Änderung und der Entzug von Benutzerberechtigungen liegt in der Verantwortung der Administratoren. Wenn ein neuer Mitarbeiter eintritt und der Onboarding-Prozess abgeschlossen ist, erhält die Person ihre eigene Benutzerberechtigung, die im Laufe der Arbeit aktiv geändert wird, wenn sich der Zugriffsbedarf des Benutzers ändert. Dazu gehört auch das Entfernen von Benutzerberechtigungen und das Sperren der Berechtigungen, wenn der Mitarbeiter das Unternehmen verlässt.

In vielen Fällen ist die Überprüfung der Benutzerberechtigungen bereits standardmäßig für jede Add-on-Sammlung eingestellt, so dass die Überprüfung nicht schwierig ist und schnell durchgeführt werden kann.

Artikel 16

Rückverfolgbarkeit des Datenzugriffs

Jeder Zugriff auf die Daten wird protokolliert, sowohl von Benutzern als auch von Administratoren, selbst wenn es sich nur um die Anmeldung und die Anzeige der Daten handelt. Es ist auch möglich, Änderungen an den Daten nachzuvollziehen, d.h. was geändert wurde und von welchem Benutzer.

Prüfpfade von Datenzugriffen werden in der individuellen Datenbank gespeichert und sind nicht für alle Benutzer, sondern nur für Administratoren zugänglich. Das Ändern, Löschen und Deaktivieren von Prüfpfaden in einzelnen Sammlungen ist nicht möglich - auch nicht für Administratoren.

Zugriffe auf Audit Trails werden wie alle anderen Zugriffe auch aufgezeichnet. Regelmäßige Audits stehen nicht auf unserem Plan, aber wir haben die Möglichkeit, die Daten intern zu überprüfen und zu untersuchen, wenn ein Problem oder ein Verdacht auftaucht. Da es sich um kleine und nicht häufig genutzte personenbezogene Datensammlungen handelt, verwenden wir keine speziellen Tools zur Verwaltung von Prüfpfaden.

Die Zugriffskontrolle auf die Daten und vor allem auf das System ist so eingerichtet, dass der Zugriff auf die Datenbanken nur auf Firmencomputern protokolliert werden kann. Der Fernzugriff von Mitarbeitern auf Firmencomputern erfolgt über die VPN-Technologie, die ausschließlich für den technischen Bereich des Unternehmens gilt.

IX. PHYSISCHE UND TECHNISCHE SICHERHEIT DER RÄUMLICHKEITEN UND SCHUTZ VOR UMWELTEINFLÜSSEN

Artikel 17

Physischer Zugang

Die Räumlichkeiten, in denen sich die Datenträger, die Hardware und die Software befinden, sind durch technische und organisatorische Maßnahmen geschützt, um einen unbefugten Zugriff auf die Daten zu verhindern. Der Zugriff ist nur während der regulären Arbeitszeiten und außerhalb dieser Zeiten nur mit Genehmigung des gesetzlichen Vertreters möglich. Gesicherte Bereiche dürfen nicht unbeaufsichtigt gelassen werden und müssen in Abwesenheit der Mitarbeiter, die sie ansonsten beaufsichtigen, verschlossen werden.

Die wichtigsten Teile, der Server und das Kommunikationszentrum, sind unter Verschluss. Nur ein autorisierter Hardware-Wartungsbeauftragter und ein vertraglich gebundener Servicetechniker können auf sie zugreifen, wenn es um Updates und Fehlerbehebung geht.

Die Schlüssel zu den Sicherheitsräumen werden gemäß der Hausordnung verwendet und aufbewahrt und nicht im Schloss gelassen.

Wir verwenden ein Alarmsystem, Sicherheitsschlösser, mechanische Sperren an den Fenstern und Videoüberwachung, um den Zugang zu kontrollieren (siehe die Richtlinie zur Videoüberwachung). Die Zugangskontrolle für Mitarbeiter wird über das Alarmsystem verwaltet, da jeder Mitarbeiter sein eigenes persönliches Passwort hat.

Die oben genannten Einbruchs- und Sicherheitsüberwachungssysteme werden von externem Wartungspersonal gewartet, das sich seiner Pflichten und Verantwortlichkeiten in Bezug auf den Schutz unserer Daten bewusst ist und einen entsprechenden Vertrag mit dem Unternehmen hat. Jegliche Eingriffe in diese Systeme sind nur in Anwesenheit eines gesetzlichen Vertreters gestattet.

Außerhalb der Arbeitszeiten müssen Schränke und Schreibtische mit personenbezogenen Datenträgern verschlossen und Computer und andere Hardware ausgeschaltet und physisch oder programmatisch gesperrt werden. Außerhalb der Arbeitszeiten darf niemand Zugang zu den Räumlichkeiten haben, geschweige denn zu den personenbezogenen Datenträgern.

In kundenorientierten Bereichen müssen Datenträger und Computerbildschirme so installiert sein, dass sie für Kunden und andere Unbefugte nicht zugänglich sind.

Artikel 18

Schutz vor Umwelteinflüssen

Wir schützen die Sammlung persönlicher Daten auch mit Mechanismen, die den Auswirkungen der Umwelt entgegenwirken. Wir verwenden ein Feueralarmsystem und Rauchmelder.

X. DATENSCHUTZ

Artikel 19

Kontrollen gegen bösartigen Code

Wir verwenden ESET ENDPOINT ANTIVIRUS + FILE SECURITY Antivirus- und Firewall-Software auf allen Computern im Unternehmen, die regelmäßig aktualisiert wird. Neue Versionen werden jährlich installiert und die Lizenzen werden jährlich erneuert.

Es wird ein passwortbasiertes System zur Erkennung von Eindringlingen verwendet, bei dem alle Anmeldeversuche protokolliert und Einbruchsversuche blockiert werden.

Die Inhalte von Netzlaufwerken und lokalen Arbeitsstationen, die persönliche Daten enthalten, werden täglich auf das Vorhandensein von Computerviren überprüft. Wenn ein Computervirus entdeckt wird, sollte er so schnell wie möglich mit Hilfe des entsprechenden professionellen Dienstes beseitigt werden, während gleichzeitig die Ursache des Virus im Computerinformationssystem ermittelt wird.

Alle persönlichen Daten und Software, die für die Verwendung in einem Computer-Informationssystem bestimmt sind und über Computerdatenübertragungsmedien oder über Telekommunikationskanäle in das Unternehmen gelangen, müssen vor der Verwendung auf das Vorhandensein von Computerviren überprüft und getestet werden.

Mitarbeiter dürfen keine Software ohne Wissen der für den Betrieb des Computerinformationssystems verantwortlichen Person installieren. Sie dürfen auch keine Software ohne die Zustimmung des Leiters der Organisationseinheit und der verantwortlichen Person aus den Räumlichkeiten des Unternehmens entfernen.

Artikel 20

Backups

Alle Datenbanken und die Inhalte des Netzwerkservers und der lokalen Stationen werden gesichert, wenn sich die Daten dort befinden, um die Kontinuität und den ununterbrochenen Betrieb des Unternehmens zu gewährleisten und das Computersystem wiederherzustellen. Die Sicherungskopien werden täglich während der Nachtstunden erstellt, wenn das System des Unternehmens inaktiv ist und nicht aktualisiert wird. Die Kopien werden in dreifacher Ausfertigung erstellt und an drei verschiedenen, geografisch getrennten Orten aufbewahrt, die feuerfest, überflutungssicher, EMI-sicher, temperaturbeständig und sicher verschlossen sind.

Das Kopieren erfolgt automatisch und wird lokal auf dem Server und über Cloud-Verbindungen durchgeführt, so dass keine persönliche Übertragung erforderlich ist. Die Backups werden auf Festplatten gespeichert und von einer autorisierten Person verwaltet, die immer nur eine ist. Die Originalkopie wird täglich aktualisiert und veraltet nicht, so dass es keinen Vernichtungsprozess für alte Kopien gibt, da es nur eine Kopie gibt und diese immer aktuell ist.

Artikel 21

Handhabung von Datenträgern

Nach jeder Verwendung formatieren die Mitarbeiter die Datenträger sicher, um sicherzustellen, dass keine persönlichen Daten darauf verbleiben. Außerdem sollten sie so lange sicher aufbewahrt werden, wie sich die Daten darauf befinden, so dass ein unbefugter Zugriff nicht möglich ist. Sichere Aufbewahrung bedeutet, dass sie in einem Schrank und unter Verschluss aufbewahrt werden.

Artikel 22

Datenvernichtung

Bevor ein Datenträger zerstört wird, müssen alle darauf befindlichen Daten dauerhaft vernichtet werden. Bei digitalen Datenträgern stellen wir sicher, dass sie dauerhaft gelöscht werden, so dass eine Wiederherstellung aller oder eines Teils der darauf befindlichen Daten unmöglich ist. Daten auf herkömmlichen gedruckten Medien (Dokumente, Akten, Listen, Register usw.) werden mit einem Aktenvernichter vernichtet, der die Daten ganz oder teilweise unlesbar macht. Zusätzliches Material wird auf die gleiche Weise vernichtet.

Es ist verboten, Abfalldatenträger mit personenbezogenen Daten in den Behältern zu entsorgen. Die Verbringung von Datenträgern mit personenbezogenen Daten zum Vernichtungsort und ihre Vernichtung werden von einem speziellen internen Ausschuss überwacht, der ein entsprechendes Protokoll über die Vernichtung erstellt.

Artikel 23

Umgang mit sensiblen persönlichen Daten

Wir erheben keine Daten, die unter die Kategorie der sensiblen personenbezogenen Daten fallen. Daher erheben wir keine Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen. Wir verarbeiten auch keine genetischen oder biometrischen Daten zur eindeutigen Identifizierung einer Person, keine Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer Person.

XI. VERWALTUNG VON SICHERHEITSVORFÄLLEN

Artikel 24

Es betrifft das Management von Sicherheitsvorfällen, die Auswirkungen auf das Schutzniveau personenbezogener Daten haben. Das Meldeprotokoll für Mitarbeiter lautet:

• die Berichtsmethode ist hauptsächlich mündlich,
• dass die Informationen so schnell wie möglich die zuständige Person im Unternehmen erreichen,
• von der Person gemeldet, die den Sicherheitsvorfall entdeckt hat,
• eine Meldung muss erfolgen, sobald ein Mitarbeiter von der Möglichkeit eines unbefugten Zugriffs auf eine Sammlung personenbezogener Daten erfährt oder wenn er die unbefugte Zerstörung, Aneignung, Veränderung oder Verfälschung einer Sammlung personenbezogener Daten oder einzelner darin enthaltener Daten feststellt,
• alles in ihrer Macht Stehende tun, um solche Aktivitäten zu verhindern,
• Bei der Meldung sollten Sie der verantwortlichen Person mitteilen, auf welchen personenbezogenen Datensatz sich der Vorfall bezieht, wie er sich ereignet hat, wann er aufgetreten ist und alle anderen relevanten Informationen, die dazu beitragen könnten, den Vorfall schneller zu lösen,
• die verantwortliche Person meldet den Vorfall unverzüglich dem Informationsbeauftragten, nachdem sie davon Kenntnis erlangt hat.

XII. HUMANRESSOURCEN

Artikel 25

Personal

Die Mitarbeiter sind verpflichtet, diese Richtlinie über Verfahren und Maßnahmen zum Schutz personenbezogener Daten zu befolgen und einzuhalten, die an die Gegebenheiten des Unternehmens angepasst ist.

Jeder Mitarbeiter wird auf die Bestimmungen aufmerksam gemacht und unterzeichnet eine entsprechende Erklärung, die Teil dieser Politik ist(Anhang 4). Die Politik wird veröffentlicht und ist jederzeit auf dem gemeinsamen Laufwerk und in Papierform beim direkten Vorgesetzten erhältlich.

Wir beziehen die Aufklärung über den Schutz personenbezogener Daten in regelmäßige Unternehmensbesprechungen (Briefings) ein und diskutieren darüber, damit die Informationen und Regeln nicht in Vergessenheit geraten und regelmäßig umgesetzt werden.

Jeder, der personenbezogene Daten verarbeitet, ist verpflichtet, die für den Datenschutz vorgeschriebenen Verfahren und Maßnahmen anzuwenden und die Daten zu schützen, von denen er im Rahmen seiner Arbeit Kenntnis erlangt hat oder die ihm bekannt sind. Die Verpflichtung zum Datenschutz endet nicht mit der Beendigung des Arbeitsverhältnisses.

Mitarbeiter können bei Verstößen gegen die Bestimmungen disziplinarisch belangt werden, ehemalige Mitarbeiter können strafrechtlich belangt werden und externe Auftragnehmer können aufgrund ihrer vertraglichen Verpflichtungen haftbar gemacht werden.

Artikel 26

Politik des sauberen Schreibtisches

Eine Politik des sauberen Schreibtisches ist in der Gesellschaft sehr wichtig und bedeutet, dass Dokumente mit persönlichen Daten (gedruckt, Datenträger usw.) niemals auf dem Schreibtisch „ausgestellt“ werden, sondern immer in verschlossenen Schubladen/Schränken liegen, wenn wir nicht anwesend sind.

Artikel 27

Richtlinie für saubere Bildschirme

Die Clean Screen Policy ist eine weitere Regel, die wir in unserem Unternehmen konsequent befolgen. Wir schließen regelmäßig offene Datenbanken, wenn wir sie nicht mehr benötigen. Die Computer werden gesperrt, wenn die Mitarbeiter nicht anwesend sind. Als zusätzlichen Schutz wird nach einer bestimmten Zeit der Inaktivität ein Bildschirmschoner aktiviert, der nicht nur durch eine Mausbewegung entfernt wird, sondern auch ein echtes Passwort erfordert, das nur der Benutzer kennt.

Artikel 28

Verwendung offizieller elektronischer Mittel

Die Speicherung von Unternehmensdaten, Geschäftsgeheimnissen und insbesondere von personenbezogenen Daten auf elektronischen Geräten des Unternehmens ist verboten. Die elektronischen Mittel des Unternehmens dürfen nur in den Räumlichkeiten des Unternehmens und in einem gemeinsam genutzten geschützten lokalen Netzwerk für die Verarbeitung solcher Daten verwendet werden.

Wenn ein elektronisches Gerät des Unternehmens verloren geht, gestohlen oder beschädigt wird, kann es nicht zu einem Vorfall mit persönlichen Daten kommen, da das Gerät keine Daten enthält und auch keinen direkten Zugriff auf Datenbanken ohne ein entsprechendes internes Netzwerk, Programme, eindeutige Benutzernamen und Passwörter hat.

Artikel 29

Externe Auftragnehmer - Auftragsverarbeiter von personenbezogenen Daten

Outsourcer ändern sich im Laufe der Jahre und sind nicht dauerhaft. Das Unternehmen stellt jederzeit eine Liste aller Auftragsverarbeiter von personenbezogenen Daten zusammen, die immer auf dem neuesten Stand ist. Eine Liste der aktuellen Auftragsverarbeiter ist der Richtlinie in Anhang 5 beigefügt .

Wir haben mit jedem unserer externen Auftragnehmer eine Vereinbarung über die Zusammenarbeit und die Verarbeitung personenbezogener Daten abgeschlossen, in der die Verfahren und Maßnahmen zum Schutz personenbezogener Daten festgelegt sind, um das höchstmögliche Maß an Informationssicherheit zu gewährleisten. Außerdem wird darin festgelegt, welche Dienstleistungen oder Arten der Verarbeitung personenbezogener Daten von den einzelnen Auftragnehmern erbracht werden. Sie dürfen immer nur in Übereinstimmung mit unserem Mandat handeln und dürfen die Daten nicht für andere Zwecke verarbeiten oder anderweitig nutzen. Sie müssen mindestens das gleiche Schutzniveau für personenbezogene Daten haben, wie es in dieser Richtlinie und dem unterzeichneten Vertrag vorgesehen ist.

Das Gleiche gilt für externe Parteien, die Hardware und Software warten und neue Hardware oder Software entwickeln oder installieren.

Bei der Auswahl eines Auftragsverarbeiters befolgen wir die folgenden Richtlinien:

• Sorgfältige Auswahl des Auftragsverarbeiters, insbesondere im Hinblick auf den Datenschutz,
• eine vorherige Überprüfung und Dokumentation der vom Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen,
• schriftliche Anweisungen an den Verarbeiter (Vertrag),
• die Geheimhaltungsverpflichtung der Mitarbeiter des Auftragsverarbeiters,
• der Auftragsverarbeiter hat einen Datenschutzbeauftragten ernannt,
• Gewährleistung der Rückgabe/Vernichtung von Daten nach Beendigung des Vertrags,
• ein spezifisches Recht des für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter zu kontrollieren (Kontrolle des Auftragsverarbeiters und seiner Aktivitäten),
• Vertragsstrafen für Verstöße.

XIII. VERANTWORTUNG FÜR DIE DURCHFÜHRUNG VON SICHERHEITSMASSNAHMEN UND -VERFAHREN

Artikel 30

Die Umsetzung der Verfahren und Maßnahmen zum Schutz personenbezogener Daten und dieser Richtlinie liegt in der Verantwortung der vom gesetzlichen Vertreter benannten autorisierten Personen.

XIV. SCHLUSSBESTIMMUNGEN

Artikel 31

Die Regeln sind ein Geschäftsgeheimnis.

Das Reglement ist für alle Mitarbeiter in physischer Form beim Direktor erhältlich.

Die Verordnungen treten am 1. Oktober 2020 in Kraft. Die Informationen werden in der beim Arbeitgeber üblichen Weise veröffentlicht.

Ljubljana, 20. September 2020 Direktor Tomaž Ham