DATENSCHUTZRICHTLINIE
bei der Handelsfirma XXL s.c. Iwona Dudziak Wiesław Dudziak, im Folgenden als ADMINISTRATOR bezeichnet
1. Dieses Dokument mit dem Titel „Datenschutzrichtlinie“ (im Folgenden Richtlinie) soll eine Landkarte der Anforderungen, Grundsätze und Datenschutzregelungen beim Administrator darstellen.
2. Diese Richtlinie ist eine Datenschutzrichtlinie im Sinne der DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Amtsblatt der EU L 119, S. 1).
3. Die Richtlinie enthält:
a) Beschreibung der Datenschutzgrundsätze, die beim Administrator gelten;
b) Verweise auf Anlagen, welche die ausführlichen (Musterverfahren oder -anweisungen für einzelne Bereiche des Datenschutzes, die in separaten Dokumenten spezifiziert werden müssen) enthalten;
4. Verantwortlich für die Einführung und Aufrechterhaltung dieser Richtlinie sind der Datenschutzbeauftragte sowie alle Mitarbeiter des Administrators.
5. Der Administrator soll sicherstellen, dass das Verhalten seiner Vertragspartner im angemessenen Umfang mit dieser Richtlinie übereinstimmt, wenn personenbezogene Daten an diese übermittelt werden.
6. Abkürzungen und Definitionen:
- Richtlinie bezeichnet diese Datenschutzrichtlinie, sofern sich aus dem Kontext nichts anderes ergibt.
- DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Amtsblatt der EU L 119, S. 1).
- Daten bezeichnet personenbezogene Daten, sofern sich aus dem Kontext nichts anderes ergibt.
- Besondere Daten sind spezielle und strafrechtliche Daten.
- Spezielle Daten sind die in Art. 9 Abs. 1 DSGVO genannten Daten, das heißt personenbezogene Daten, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten über Gesundheit, Sexualität oder sexuelle Orientierung offenlegen.
- Strafrechtliche Daten sind die in Art. 10 DSGVO genannten Daten, also Daten über strafrechtliche Verurteilungen und Straftaten.
- Kinderdaten sind die Daten von Personen unter 16 Jahren.
- Person bezeichnet die betroffene Person, sofern sich aus dem Kontext nichts anderes ergibt.
- Auftragsverarbeiter bezeichnet eine Organisation oder Person, der der Administrator die Verarbeitung personenbezogener Daten übertragen hat (z. B. IT-Dienstleister, externe Buchhaltung).
- Profiling bezeichnet jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, personenbezogene Daten zu verwenden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere zur Analyse oder Prognose von Arbeitsleistung, wirtschaftlicher Situation, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder Bewegungen.
- Datenexport bezeichnet die Übermittlung von Daten an ein Drittland oder eine internationale Organisation.
- DSB oder Datenschutzbeauftragter bezeichnet den Datenschutzbeauftragten.
- AVV oder Verzeichnis bezeichnet das Verzeichnis der Verarbeitungstätigkeiten für personenbezogene Daten.
5.1. Grundlagen des Datenschutzes beim Administrator:
(1) Rechtmäßigkeit – Der Administrator achtet auf den Schutz der Privatsphäre und verarbeitet Daten rechtmäßig.
(2) Sicherheit – Der Administrator gewährleistet ein angemessenes Datenschutzniveau und ergreift fortlaufend Maßnahmen hierzu.
(3) Rechte der betroffenen Personen – Der Administrator ermöglicht es den betroffenen Personen, ihre Rechte auszuüben, und setzt diese durch.
(4) Rechenschaftspflicht – Der Administrator dokumentiert, wie er seine Pflichten erfüllt, um jederzeit die Einhaltung nachweisen zu können.
5.2. Datenschutzgrundsätze. Der Administrator verarbeitet personenbezogene Daten unter Beachtung folgender Grundsätze:
(1) auf Grundlage einer Rechtsgrundlage und rechtmäßig (Legalität);
(2) fair und ehrlich (Fairness);
(3) transparent für die betroffene Person (Transparenz);
(4) zu bestimmten Zwecken und nicht „auf Vorrat“ (Datenminimierung);
(5) nicht mehr als notwendig (Datenangemessenheit);
(6) sorgfältig und korrekt (Datenrichtigkeit);
(7) nicht länger als notwendig (Speicherbegrenzung);
(8) mit angemessenem Datenschutz (Sicherheit).
5.3. Datenschutzsystem
Das Datenschutzsystem beim Administrator besteht aus folgenden Elementen:
1) Dateninventarisierung. Der Administrator erfasst persönliche Daten, Datentypen, Beziehungen zwischen Datenbeständen und Nutzungsmöglichkeiten (Inventar), darunter:
a) Fälle der Verarbeitung spezieller und strafrechtlicher Daten (sensible Daten);
b) Fälle der Verarbeitung nicht identifizierter Daten (UFO);
c) Fälle der Verarbeitung von Kinderdaten;
d) Profiling;
e) gemeinsame Verantwortlichkeit bei Daten.
2) Verzeichnis. Der Administrator erstellt, unterhält und führt das Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten. Das Verzeichnis dient der Einhaltungspflichtkontrolle.
3) Rechtliche Grundlagen. Der Administrator identifiziert, überprüft und dokumentiert die Rechtsgrundlagen der Datenverarbeitung im Verzeichnis, darunter:
a) Verwaltung der Einwilligungen zur Datenverarbeitung und Fernkommunikation;
b) Begründungen für Fälle, in denen die Datenverarbeitung auf berechtigtem Interesse des Administrators beruht.
4) Wahrung der Rechte der betroffenen Personen. Der Administrator erfüllt Informationspflichten und unterstützt die Rechte der Betroffenen, darunter:
a) Informationspflichten bei Datenerhebung und anderweitigen Situationen sowie Dokumentation der Erfüllung;
b) Sicherstellung der Möglichkeit zur Ausübung der Betroffenenrechte;
c) Ressourcen und Verfahren zur fristgerechten und ordnungsgemäßen Erfüllung von Anträgen;
d) Verfahren zum Meldung von Datenschutzverletzungen und Benachrichtigung der betroffenen Personen.
5) Minimierung. Der Administrator verfügt über Grundsätze und Methoden der Datenminimierung (Privacy by Default), darunter:
a) Verwaltung der Datenangemessenheit;
b) Zugriffsregeln und Zugriffskontrolle;
c) Verwaltung der Speicherfristen und Überprüfung der Datenweiterverwendung;
6) Sicherheit. Der Administrator gewährleistet das angemessene Schutzniveau durch:
a) Durchführung von Risikoanalysen für Datenverarbeitungstätigkeiten;
b) Durchführung von Datenschutz-Folgenabschätzungen bei hohem Risiko;
c) Anpassung der Schutzmaßnahmen an die ermittelten Risiken;
d) Informationssicherheitsmanagementsystem;
e) Verfahren zur Identifikation und Meldung von Datenschutzverletzungen an die Datenschutzbehörde sowie zum Vorfallmanagement.
7) Auftragsverarbeiter. Es bestehen Grundsätze zur Auswahl und Überprüfung der Datenverarbeiter zugunsten des Administrators, einschließlich Anforderungen an Vertragsbedingungen und Überprüfungen.
8) Datenexport. Es gibt Regelungen zur Überprüfung, dass keine Daten an Drittländer außerhalb der EU, Norwegen, Liechtenstein oder Island oder an internationale Organisationen übermittelt werden, oder dass entsprechende rechtskonforme Bedingungen eingehalten werden.
9) Privacy by Design. Der Administrator verwaltet Änderungen mit Einfluss auf die Privatsphäre, indem Projekte und Investitionen mit einer Bewertung der Datenschutz- und Privatsphäre-Auswirkungen von Anfang an geplant und umgesetzt werden.
8. Inventarisierung
6.1. Sensitive Daten
Der Administrator identifiziert Fälle, in denen sensitive Daten verarbeitet werden oder verarbeitet werden können, und sorgt für rechtskonforme Maßnahmen bezüglich ihrer Verarbeitung.
6.2. Nicht identifizierte Daten
Der Administrator identifiziert Fälle der Verarbeitung nicht identifizierter Daten und stellt sicher, dass die Rechte der Betroffenen gewahrt werden.
6.3. Profiling
Der Administrator identifiziert Profilingvorgänge und sichert deren Rechtskonformität. Bei Profiling und automatisierten Entscheidungen gelten entsprechende Grundsätze.
6.4. Gemeinsame Verantwortlichkeit
Der Administrator identifiziert Fälle gemeinsamer Verantwortlichkeit und handelt gemäß den vereinbarten Grundsätzen.
9. Verzeichnis der Verarbeitungstätigkeiten in der SPA
7.1. Das Verzeichnis in der SPA dokumentiert die Datenverarbeitung, dient als Landkarte und ist entscheidend für die Rechenschaftspflicht im Datenschutzsystem.
7.2. Der Administrator führt das Verzeichnis, in dem er Erfassung und Nutzung personenbezogener Daten übersichtlich dokumentiert.
7.3. Das Verzeichnis ist eines der wichtigsten Instrumente zur Einhaltung der meisten Datenschutzpflichten.
7.4. Für jede Verarbeitung, die als gesondert anzusehen ist, werden mindestens folgende Angaben erfasst: (i) Name der Verarbeitung, (ii) Zweck, (iii) Beschreibung der betroffenen Personengruppen, (iv) Beschreibung der Datenarten, (v) Rechtsgrundlage mit Details zum berechtigten Interesse des Administrators falls zutreffend, (vi) Art der Datenerhebung, (vii) Beschreibung der Empfänger (einschließlich Auftragsverarbeiter), (viii) Hinweis auf Übermittlung außerhalb von EU/EWR, (ix) allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen.
7.5. Das Verzeichnismuster ist Anhang 1 der Richtlinie – „Muster Verzeichnis der Verarbeitungstätigkeiten in der SPA“. Es enthält auch optionale Spalten, welche je nach Bedarf verwendet werden können zur besseren Compliance-Verwaltung.
10. Rechtsgrundlagen der Verarbeitung
8.1. Der Administrator dokumentiert die Rechtsgrundlagen der Datenverarbeitung.
8.2. Wird eine allgemeine Rechtsgrundlage angegeben (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigtes Interesse), präzisiert der Administrator diese lesbar, z. B. für Einwilligungen mit Umfang, für rechtliche Pflichten mit Verweis auf konkrete Rechtsnormen oder Verträge.
8.3. Es werden Methoden zur Verwaltung der Einwilligungen implementiert, einschließlich Registrierung, Überprüfung und Dokumentation von Einwilligungen, Widerrufen und ähnlichen Vorgängen (Widerspruch, Einschränkung, etc.).
8.4. Leiter der organisatorischen Einheit müssen die Rechtsgrundlagen der von ihnen geführten Datenverarbeitungen kennen, inklusive konkret beabsichtigter Zwecke bei berechtigtem Interesse.
9. Verwaltung der Rechte der Betroffenen und Informationspflichten
9.1. Der Administrator sorgt für Verständlichkeit und Stil der Informationen und Kommunikation mit betroffenen Personen.
9.2. Der Administrator erleichtert die Ausübung der Rechte durch Platzierung von Informationen und Links auf der Webseite und am Ort der Einrichtung, inkl. Identifikationsanforderungen und Kontaktmöglichkeiten sowie ggf. Kostenübersicht für Zusatzanfragen.
9.3. Die Einhaltung gesetzlicher Fristen zur Erfüllung der Pflichten gegenüber Betroffenen wird gewährleistet.
9.4. Es werden angemessene Methoden zur Identifikation und Authentifizierung für die Rechtewahrnehmung eingeführt.
9.5. Der Administrator ermöglicht Verfahren und Mechanismen zur Identifikation, Integration, Bearbeitung und Löschung personenbezogener Daten auf integrierte Weise.
9.6. Die Dokumentation der Informationspflichten, Mitteilungen und Anträge erfolgt systematisch.
10. Informationspflichten
10.1. Der Administrator definiert rechtskonforme und effiziente Methoden zur Erfüllung der Informationspflichten.
10.2. Betroffene werden bei längerer Bearbeitungsdauer (über einen Monat) informiert.
10.3. Betroffene werden bei direkten Datenerhebungen über die Verarbeitung informiert.
10.4. Ebenso bei indirekter Datenerhebung.
10.5. Informationen zur Verarbeitung nicht identifizierter Daten werden, wo möglich, bereitgestellt (z. B. durch Hinweisschilder bei Videoüberwachung).
10.6. Zieländerungen bei der Datenverarbeitung werden angezeigt.
10.7. Bei Wegfall von Einschränkungen der Verarbeitung erfolgt eine Benachrichtigung.
10.8. Empfänger werden über Berichtigungen, Löschungen oder Einschränkungen informiert, es sei denn, dies ist unverhältnismäßig aufwendig oder unmöglich.
10.9. Das Widerspruchsrecht wird spätestens beim ersten Kontakt mit der betroffenen Person erläutert.
10.10. Bei Datenschutzverletzungen mit hohem Risiko wird unverzüglich informiert.
11. Anträge der Betroffenen
11.1. Rechte Dritter werden durch Verfahren geschützt, insbesondere bei möglichen Beeinträchtigungen durch Datenkopien oder Datenübertragungen.
11.2. Nichtverarbeitung wird bei entsprechenden Anträgen mitgeteilt.
11.3. Ablehnung von Anträgen wird innerhalb eines Monats mit Angaben zu Rechten begründet.
11.4. Zugriff auf Daten wird gewährt, Details gemäß Art. 15 DSGVO erteilt, Kopien werden bereitgestellt, erste Ausgabe kostenfrei.
11.5. Kopien werden dokumentiert, Preisliste für weitere Kopien geführt.
11.6. Datenberichtigung bei Unrichtigkeiten erfolgt auf Antrag, mit der Möglichkeit der Ablehnung bei fehlendem Nachweis.
11.7. Datenergänzung wird geregelt, Ablehnung bei Unvereinbarkeit mit Verarbeitungszwecken möglich.
11.8. Datenlöschung erfolgt auf Antrag bei Bedingungen wie nicht mehr notwendiger Verarbeitung, Widerruf, unrechtmäßiger Verarbeitung, rechtlicher Verpflichtung u.a.
Datenlöschung erfolgt unter Wahrung des Datenschutzes und bei Veröffentlichung werden andere Verantwortliche informiert.
Empfänger werden über Datenlöschung informiert.
11.9. Einschränkung der Verarbeitung kann auf Antrag erfolgen bei Richtigkeitsanforderungen, Unrechtmäßigkeit mit Widerspruch, nicht mehr erforderlichen Daten aber noch benötigten für Rechtsansprüche, oder Widerspruch aus besonderen Gründen.
Während Einschränkung werden Daten gespeichert, aber nicht genutzt oder weitergegeben, außer zur Rechtsverteidigung oder aus wichtigem öffentlichem Interesse.
Vor Aufhebung wird informiert, bei Einschränkung auch über Empfänger.
11.10. Datenübertragbarkeit in maschinenlesbaren Formaten erfolgt auf Anfrage, Daten, die auf Einwilligung oder Vertrag beruhen, werden bereitgestellt.
11.11. Widerspruch in besonderen Situationen wird berücksichtigt, soweit nicht überwiegende berechtigte Gründe vorliegen oder Rechtsansprüche verfolgt werden.
11.12. Widerspruch bei wissenschaftlicher, historischer oder statistischer Verarbeitung wird berücksichtigt, außer wenn die Verarbeitung nötig für öffentliche Aufgaben ist.
11.13. Widerspruch beim Direktmarketing führt zum Stopp der Datenverarbeitung.
11.14. Recht auf menschliche Intervention bei automatisierter Verarbeitung und Profiling, außer bei vertraglich oder gesetzlich zulässigen automatischen Entscheidungen oder aufgrund ausdrücklicher Einwilligung.
12. DATENMINIMIERUNG
Der Administrator sorgt für Minimierung bezüglich (i) Angemessenheit der Daten zur Verarbeitung, (ii) Zugriffsbeschränkungen und (iii) Speicherdauer.
12.1. Datenumfang und Verarbeitung werden hinsichtlich Angemessenheit geprüft und mindestens jährlich überprüft. Veränderungen werden im Rahmen des Änderungsmanagements (Privacy by Design) geprüft.
12.2. Zugriffsbeschränkungen erfolgen auf rechtlicher, physischer und logischer Ebene. Zugangskontrollen werden regelmäßig aktualisiert und überprüft.
12.3. Lebenszyklussteuerung der Daten beinhaltet die Überprüfung der Notwendigkeit und Löschung nach Ablauf der Nutzungsdauer.
Nicht mehr benötigte Daten werden aus produktiven Systemen und Akten entfernt, können archiviert und auf Backups verbleiben. Archivierungs- und Backup-Prozesse berücksichtigen Kontrollanforderungen und Löschpflichten.
13. SICHERHEIT
Der Administrator gewährleistet ein Sicherheitsniveau entsprechend dem Risiko von Beeinträchtigungen der Rechte und Freiheiten natürlicher Personen durch die Verarbeitung personenbezogener Daten.
13.1. Risikoanalysen und Angemessenheitsprüfungen der Sicherheitsmaßnahmen werden durchgeführt und dokumentiert. Dazu gehören:
(1) Sicherstellung von internem Wissen zu Informationssicherheit, Cybersecurity und Business Continuity ggf. mit Unterstützung externer Experten;
(2) Kategorisierung der Daten und Verarbeitungstätigkeiten nach dem Risiko;
(3) Durchführung von Risikoanalysen nach Art, Umfang, Kontext und Zweck der Verarbeitung mit Bewertung des Eintrittswahrscheinlichkeit und Schwere des Risikos;
(4) Festlegung und Anwendung organisatorischer und technischer Maßnahmen, z. B.:
(i) Pseudonymisierung;
(ii) Verschlüsselung personenbezogener Daten;
(iii) Maßnahmen zur Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit der Systeme;
(iv) Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten und Systeme auch bei Katastrophen.
13.2. Datenschutz-Folgenabschätzungen werden bei hohem Risiko durchgeführt.
13.3. Sicherheitsmaßnahmen werden entsprechend der Risiko- und Folgemaßnahmen umgesetzt und sind Teil der Informationssicherheits- und Cybersecurity-Politiken des Administrators.
13.4. Meldung von Datenschutzverletzungen an die Datenschutzbehörde erfolgt innerhalb von 72 Stunden ab Bekanntwerden durch entsprechende Verfahren.
14. AUFTRAGSVERARBEITER
Der Administrator hat Auswahl- und Kontrollprozesse für Auftragsverarbeiter implementiert, die ausreichende Garantien für geeignete organisatorische und technische Maßnahmen zur Sicherheit, Rechtewahrung und weitere Verpflichtungen bieten.
Die Mindestanforderungen an den Auftragsverarbeitungsvertrag sind im Anhang 2 der Richtlinie – „Muster Vertrag zur Auftragsverarbeitung“.
Der Administrator kontrolliert seine Auftragsverarbeiter sowie Subauftragnehmer in Bezug auf die Einhaltung der Verpflichtungen.
15. PRIVACY BY DESIGN
Der Administrator steuert Änderungen mit Einfluss auf die Privatsphäre so, dass Daten sicher und minimiert verarbeitet werden.
Dabei beziehen sich die Regeln für Projekte und Investitionen des Administrators auf Datenschutz- und Minimierungsprinzipien mit Bewertung der Auswirkungen auf Privatsphäre von Beginn an.
FERRY RESORT REGELWERK
Klicken Sie hier, um den vollständigen Text des Regelwerks einzusehen.