Warschau, 25. Mai 2018
- Dieses Dokument mit dem Titel „Personal Data Protection Policy“ (im Folgenden: Policy) soll eine Übersicht über Anforderungen, Regeln und Vorschriften zum Schutz personenbezogener Daten geben Katarzyna Joanna Czapska PARTNERS INTERNATIONAL mit Sitz in Warschau (00-564), ul. Koszykowa 10/19, NIP 521-309-13-77, REGON: 01725120 (im Folgenden: Partner) Diese Richtlinie ist eine Richtlinie zum Schutz personenbezogener Daten im Sinne der DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Amtsblatt EU L 119, S. 1).
- Die Richtlinie umfasst:
- Beschreibung der bei Partnern geltenden Datenschutzbestimmungen
- Verweise auf detaillierte Anhänge (Musterverfahren oder Anleitungen für einzelne Bereiche im Bereich des Schutzes personenbezogener Daten)
- der Eigentümer von Partners International
ist für die Umsetzung und Pflege dieser Richtlinie verantwortlich
Die folgenden Personen sind für die Überwachung und Überwachung der Einhaltung der Richtlinie verantwortlich:
- (iii) den Datenschutzbeauftragten, falls er von Partner ernannt wird,
- (iv) die interne Revisionseinheit, falls sie in Partners tätig ist;
- Die Anwendung dieser Richtlinie liegt in der Verantwortung von:
- (v) Partner ‚
- (vi) alle Mitarbeiter und Mitarbeiter von Partnern.
- DSB oder Inspektor bezeichnet den Datenschutzbeauftragten.
- RCPD oder Register bezeichnet das Register der Aktivitäten zur Verarbeitung personenbezogener Daten.
5. SCHUTZ PERSÖNLICHER DATEN BEI PARTNERN – ALLGEMEINE GRUNDSÄTZE
5.1. Säulen des Schutzes personenbezogener Daten bei Partnern:
- Rechtmäßigkeit – Partner achtet auf Datenschutz und verarbeitet Daten in Übereinstimmung mit dem Gesetz.
- Sicherheit – Partner sorgen für ein angemessenes Maß an Datensicherheit und ergreifen diesbezüglich ständig Maßnahmen.
- Rechte einer Einzelperson – Partner ermöglicht es Personen, deren Daten es verarbeitet, ihre Rechte auszuüben und setzt diese Rechte um.
- Verantwortlichkeit – Partner dokumentieren, wie sie ihren Verpflichtungen nachkommen, damit sie die Einhaltung jederzeit nachweisen können.
5.2. Datenschutzrichtlinie
Partner verarbeitet personenbezogene Daten unter Beachtung der folgenden Grundsätze:
- auf einer Rechtsgrundlage und in Übereinstimmung mit dem Gesetz (Legalismus);
- zuverlässig und ehrlich (Zuverlässigkeit);
- auf transparente Weise für die betroffene Person (Transparenz);
- für bestimmte Zwecke und nicht „auf Lager“ (Minimierung);
- nicht mehr als nötig (Angemessenheit);
- mit Sorgfalt auf die Richtigkeit der Daten (Richtigkeit);
- nicht länger als nötig (Zeitlichkeit);
- Gewährleistung angemessener Datensicherheit (Sicherheit).
5.3. Datenschutzsystem
Das System zum Schutz personenbezogener Daten bei Partnern besteht aus den folgenden Elementen:
-
Datenbestand
Partner identifiziert personenbezogene Datenressourcen in Partner, Datenklassen, Abhängigkeiten zwischen Datenressourcen, identifiziert Möglichkeiten zur Verwendung von Daten (Inventar), einschließlich:- a) Fälle der Verarbeitung besonderer Datenkategorien und krimineller Daten;
- b) Fälle der Datenverarbeitung von Personen, die Partner nicht identifiziert (nicht identifizierte Daten/UFO);
- c) Fälle der Verarbeitung von Daten von Kindern;
- d) Profilerstellung;
- e) Mitverwaltung von Daten.
-
Registrierung
Partners entwickelt, unterhält und verwaltet das Register der Aktivitäten personenbezogener Daten bei Partnern (das Register). Das Register ist das Buchhaltungstool für die Datenschutzkonformität von Partnern. -
Rechtsgrundlagen
Partner liefert, identifiziert, überprüft die Rechtsgrundlagen für die Datenverarbeitung und registriert sie im Register, einschließlich:- a) unterhält ein Einwilligungsmanagementsystem für die Datenverarbeitung und die Fernkommunikation,
- b) Inventare und Einzelheiten zur Begründung von Fällen, in denen Partner Daten auf der Grundlage des berechtigten Interesses der Partner verarbeiten.
-
Umgang mit individuellen Rechten
Partner erfüllt die Informationspflichten gegenüber den Personen, deren Daten es verarbeitet, und stellt die Handhabung ihrer Rechte sicher, indem es die diesbezüglich erhaltenen Anfragen erfüllt, einschließlich:- a) Informationspflichten.
Partner stellt Personen bei der Erhebung von Daten und in anderen Situationen die gesetzlich vorgeschriebenen Informationen zur Verfügung und organisiert und stellt die Dokumentation der Erfüllung dieser Pflichten sicher; - b) die Fähigkeit, Anfragen auszuführen.
Partner überprüft und gewährleistet die Möglichkeit der effektiven Ausführung jeder Art von Anfrage durch sich selbst und seine Auftragsverarbeiter; - c) Bearbeitung von Anfragen.
Partner stellt angemessene Ausgaben und Verfahren bereit, damit die Anfragen von Personen innerhalb der Fristen und in der von der DSGVO geforderten Weise erfüllt und dokumentiert werden; - d) Meldung von Verstößen.
Partners verwendet Verfahren, um festzustellen, ob Personen, die von einer festgestellten Datenschutzverletzung betroffen sind, benachrichtigt werden müssen.
- a) Informationspflichten.
-
Minimierung
Partner verwenden Prinzipien und Methoden zur Verwaltung der Minimierung (Datenschutz standardmäßig), einschließlich:- a) Grundsätze der Angemessenheit des Datenmanagements;
- b) die Grundsätze der Rationierung und Verwaltung des Zugriffs auf Daten;
- c) Regeln für die Verwaltung der Dauer der Speicherung von Daten und die Überprüfung der weiteren Verwendbarkeit.
-
Sicherheit
Partner gewährleistet ein angemessenes Maß an Datensicherheit, einschließlich:- a) führt Risikoanalysen für Datenverarbeitungsaktivitäten oder Kategorien davon durch;
- b) Datenschutz-Folgenabschätzungen durchführen, wenn das Risiko für die Rechte und Freiheiten natürlicher Personen hoch ist;
- c) passt Datenschutzmaßnahmen an die identifizierten Risiken an;
- d) wendet Verfahren an, um eine festgestellte Datenschutzverletzung zu identifizieren, zu bewerten und an das Datenschutzbüro zu melden – verwaltet Vorfälle.
-
Prozessoren
Partners hat Regeln für die Auswahl von Datenverarbeitern für Partner, Anforderungen an die Verarbeitungsbedingungen (Betrauungsvereinbarung), Regeln für die Überprüfung der Erfüllung von Betrauungsvereinbarungen. -
Datenexport
Partner übermittelt keine Daten an Drittländer (d. h. außerhalb der EU, Norwegen, Liechtenstein, Island) oder an internationale Organisationen und stellt die rechtlichen Voraussetzungen für eine solche Übermittlung sicher, falls sie stattfindet. -
Privacy by design
Partner verwaltet Änderungen, die sich auf den Datenschutz auswirken. Zu diesem Zweck berücksichtigen die Verfahren zum Starten neuer Projekte und Investitionen in Partner die Notwendigkeit, die Auswirkungen der Änderung auf den Datenschutz, die Risikoanalyse, die Gewährleistung der Privatsphäre (einschließlich der Einhaltung von Verarbeitungszwecken, Datensicherheit und -minimierung) bereits bei der Bewertung zu bewerten Phase der Gestaltung einer Veränderung, Investition oder zu Beginn eines neuen Projekts. -
Grenzüberschreitende Verarbeitung
Partner wendet die Prüfregeln bei grenzüberschreitenden Verarbeitungen und die Regeln zur Bestimmung der federführenden Aufsichtsbehörde und der Hauptorganisationseinheit im Sinne der DSGVO an.
6. INVENTAR
6.1. Daten besonderer Kategorien und kriminelle Daten
Partner identifiziert Fälle, in denen sie Daten besonderer Kategorien oder krimineller Daten verarbeitet oder verarbeiten kann, und unterhält spezielle Mechanismen, um die Rechtmäßigkeit der Verarbeitung dieser Daten sicherzustellen. Im Falle der Identifizierung von Fällen der Verarbeitung besonderer Datenkategorien oder krimineller Daten handeln die Partner diesbezüglich gemäß den gesetzlichen Bestimmungen.
6.2. Nicht identifizierte Daten
Die Partner identifizieren Fälle, in denen sie nicht identifizierte Daten verarbeiten oder verarbeiten könnten, und unterhalten Mechanismen, die die Umsetzung der Rechte von Personen erleichtern, auf die sich nicht identifizierte Daten beziehen.
6.3. Profilerstellung
Partners verwendet kein Profiling. Die Partner identifizieren Fälle, in denen ein Profiling der verarbeiteten Daten erfolgen könnte, und wenden Mechanismen an, um die Rechtmäßigkeit dieses Prozesses sicherzustellen. Im Falle von identifizierten Fällen von Profiling und automatisierter Entscheidungsfindung handeln die Partner diesbezüglich gemäß den gesetzlichen Bestimmungen.
6.4. Gemeinsam Verantwortlicher
Partner identifiziert Fälle von gemeinsamer Kontrolle über Daten und verfährt diesbezüglich gemäß den geltenden Vorschriften.
7. VERZEICHNIS DER DATENVERARBEITUNGSTÄTIGKEITEN
- 7.1. RCPD ist eine Form der Dokumentation von Datenverarbeitungsaktivitäten, fungiert als Datenverarbeitungslandkarte und ist eines der Schlüsselelemente, das die Umsetzung des Grundprinzips ermöglicht, auf dem das gesamte System zum Schutz personenbezogener Daten basiert beruht, also dem Prinzip der Rechenschaftspflicht.
- 7.2. Partners führt ein Register der Datenverarbeitungsaktivitäten, in dem es personenbezogene Daten erfasst und überwacht, wie es personenbezogene Daten verwendet.
- 7.3. Das Register ist eines der wesentlichen Instrumente, mit denen Partner den meisten Datenschutzverpflichtungen nachkommen können.
- 7.4. Im Register erfassen die Partner für jede Datenverarbeitungsaktivität, die die Partner für die Zwecke des Registers als getrennt betrachten, mindestens: (i) Name der Aktivität, (ii) Zweck Verarbeitung, (iii) Beschreibung der Personenkategorie, (iv) Beschreibung der Datenkategorie, (v) Rechtsgrundlage für die Verarbeitung, Angabe der Kategorie des berechtigten Interesses der Partner, wenn die Grundlage ein berechtigtes Interesse ist, (vi) die Methode der Datenerhebung, (vii) Beschreibung der Kategorie von Datenempfängern (einschließlich Auftragsverarbeitern) ‚ (viii) Informationen über die Übermittlung außerhalb der EU/des EWR; (ix) eine allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.
- 7.5. Die Registervorlage ist Anhang Nr. 1 zur Richtlinie – „Vorlage des Registers der Datenverarbeitungstätigkeiten“. Die Registervorlage enthält auch optionale Spalten. In den optionalen Spalten registriert der Partner Informationen nach Bedarf und Möglichkeit, wobei berücksichtigt wird, dass der vollständigere Inhalt des Registers die Verwaltung und Abwicklung der Datenschutzkonformität erleichtert
8. GRUNDLEGENDE VERARBEITUNG
- 8.1. Partner dokumentiert die rechtlichen Grundlagen der Datenverarbeitung für einzelne Verarbeitungstätigkeiten im Register.
- 8.2. Durch die Angabe der allgemeinen Rechtsgrundlage in den Dokumenten (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe / Behörde, berechtigter Zweck des Partners) spezifiziert der Partner die Grundlage in a genau und lesbar, wenn es erforderlich ist. Zum Beispiel für die Einwilligung – Angabe ihres Geltungsbereichs, wenn die Grundlage das Gesetz ist – Angabe einer bestimmten Bestimmung und anderer Dokumente, z Ziel, z.B. eigene Vermarktung, Verfolgung von Ansprüchen.
- 8.3. Partner implementiert Consent-Management-Methoden, die die Registrierung und Überprüfung der Zustimmung einer Person zur Verarbeitung ihrer spezifischen Daten für einen bestimmten Zweck, die Zustimmung zur Fernkommunikation (E-Mail, Telefon, SMS , etc.) und Registrierung von Einwilligungsverweigerung, Widerruf von Einwilligungen und ähnlichen Aktivitäten (Widerspruch, Einschränkung, etc.).
- 8.4. Partner sind verpflichtet, die Rechtsgrundlage zu kennen, auf der Partner bestimmte Aktivitäten zur Verarbeitung personenbezogener Daten durchführen. Wenn die Grundlage das berechtigte Interesse von Partnern ist, ist der Eigentümer verpflichtet, das spezifische Interesse von Partnern an der Verarbeitung zu kennen.
9. UMGANG MIT INDIVIDUELLEN RECHTEN UND INFORMATIONSPFLICHTEN
- 9.1. Partners kümmert sich um die Lesbarkeit und den Stil der bereitgestellten Informationen und die Kommunikation mit Personen, deren Daten es verarbeitet.
- 9.2. Partner erleichtert es den Menschen, ihre Rechte durch verschiedene Aktivitäten auszuüben, einschließlich: Posten von Informationen oder Verweisen (Links) auf Informationen über die Rechte von Menschen auf der Partner-Website, wie sie ausgeübt werden können Partner, einschließlich Identifizierungsanforderungen, Methoden zur Kontaktaufnahme mit Partnern zu diesem Zweck.
- 9.3. Partners stellt die Einhaltung gesetzlicher Fristen für die Erfüllung von Verpflichtungen gegenüber Personen sicher.
- 9.4. Partner führt angemessene Methoden zur Identifizierung und Authentifizierung von Personen ein, um individuelle Rechte und Informationspflichten auszuüben.
- 9.6. Partner dokumentiert den Umgang mit Informationspflichten, Meldungen und Anfragen von Personen.
10. INFORMATIONSPFLICHTEN
- 10.1. Partner bestimmt rechtmäßige und wirksame Wege zur Erfüllung von Informationspflichten.
- 10.2. Partners informiert die Person über die Verlängerung der Frist zur Prüfung des Antrags der Person um mehr als einen Monat.
- 10.3. Partner informiert die Person über die Verarbeitung ihrer Daten, wenn sie Daten von dieser Person erhält.
- 10.4. Partner informiert die Person über die Verarbeitung ihrer Daten, wenn sie indirekt Daten über diese Person erhalten.
- 10.5. Partner definiert die Methode, um Menschen über die Verarbeitung nicht identifizierter Daten zu informieren, wo dies möglich ist (z. B. ein Schild über den von der Videoüberwachung abgedeckten Bereich).
- 10.6. Partner informiert die Person über die geplante Änderung des Zwecks der Datenverarbeitung.
- 10.7. Partner informiert die Person, bevor die Verarbeitungseinschränkung aufgehoben wird.
- 10.8. Partner informiert Datenempfänger über Berichtigung, Löschung oder Einschränkung der Datenverarbeitung (es sei denn, dies erfordert einen unverhältnismäßigen Aufwand oder ist unmöglich).
- 10.9. Partners informiert die Person spätestens beim ersten Kontakt mit dieser Person über das Recht, der Datenverarbeitung zu widersprechen.
- 10.10. Partner benachrichtigen die Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten, wenn dadurch ein hohes Risiko für die Verletzung der Rechte oder Freiheiten dieser Person entstehen kann.
11. ANFRAGEN VON MENSCHEN
11.1. Rechte Dritter.
Bei der Umsetzung der Rechte betroffener Personen führt Partners Verfahrensgarantien ein, um die Rechte und Freiheiten Dritter zu schützen. Insbesondere bei der Einholung glaubhafter Informationen darüber, dass die Erfüllung eines Antrags einer Person auf eine Kopie von Daten oder das Recht auf Datenübertragung die Rechte und Freiheiten anderer Personen beeinträchtigen kann (z. B. Rechte in Bezug auf den Schutz personenbezogener Daten, geistige Eigentumsrechte, Geschäftsgeheimnisse, Persönlichkeitsrechte), Partner können sich an die Person wenden, um Zweifel zu klären oder andere gesetzlich zulässige Schritte zu unternehmen, einschließlich der Weigerung, der Anfrage nachzukommen.
11.2. Nichtverarbeitung.
Partners informiert die Person, dass es keine sie betreffenden Daten verarbeitet, wenn eine solche Person einen Antrag bezüglich ihrer Rechte gestellt hat.
11.3. Ablehnung.
Partners informiert die Person innerhalb eines Monats nach Erhalt der Anfrage über die Weigerung, die Anfrage zu prüfen, und über die Rechte der damit verbundenen Person.
11.4. Datenzugriff.
Auf Anfrage einer Person bezüglich des Zugangs zu ihren Daten teilt Partners der Person mit, ob sie ihre Daten verarbeitet, und informiert die Person über die Einzelheiten der Verarbeitung gemäß Art. 15 DSGVO (der Umfang entspricht der Informationspflicht bei der Datenerhebung) und gewährt der betroffenen Person auch Auskunft über sie betreffende Daten. Der Zugang zu den Daten kann durch Ausstellung einer Kopie der Daten gewährt werden, mit der Maßgabe, dass die in Ausübung des Rechts auf Zugang zu den Daten ausgestellte Kopie der Daten von den Partnern nicht als erste kostenlose Kopie der Daten für Zahlungszwecke betrachtet wird für Datenkopien.
11.5. Datenkopien.
Partners stellt der Person auf Anfrage eine Kopie der sie betreffenden Daten zur Verfügung und protokolliert die Tatsache, dass die erste Kopie der Daten ausgestellt wurde. Partners führt eine Preisliste für Datenkopien ein und pflegt diese, nach der Gebühren für nachträgliche Datenkopien erhoben werden. Der Preis einer Datenkopie wird auf der Grundlage der geschätzten Einheitskosten für die Bearbeitung einer Anfrage für eine Datenkopie berechnet.
11.6. Datenberichtigung.
Partners berichtigt falsche Daten auf Anfrage der Person. Partner hat das Recht, die Berichtigung der Daten zu verweigern, es sei denn, die Person weist die Unrichtigkeit der Daten, deren Berichtigung sie verlangt, angemessen nach. Im Falle einer Berichtigung von Daten teilt Partners der Person auf Anfrage dieser Person die Empfänger der Daten mit.
11.7. Datenergänzung.
Partner vervollständigt und aktualisiert Daten auf Anfrage einer Person. Partner hat das Recht, die Ergänzung von Daten abzulehnen, wenn die Ergänzung mit den Zwecken der Datenverarbeitung unvereinbar wäre (z. B. muss Partner keine Daten verarbeiten, die für Partner unnötig sind). Die Partner können sich auf die Erklärung der Person zu den ergänzten Daten verlassen, es sei denn, sie ist im Lichte der von den Partnern angewandten Verfahren (z. B. in Bezug auf die Erfassung solcher Daten), des Gesetzes oder es gibt Gründe, die Erklärung als unzuverlässig zu betrachten, unzureichend.
11.8. Löschung von Daten.
Auf Wunsch einer Person löscht Partners Daten, wenn:
- die Daten sind für die Zwecke, für die sie erhoben wurden, nicht erforderlich oder werden für andere rechtmäßige Zwecke verarbeitet,
- die Einwilligung zur Verarbeitung wurde widerrufen, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
- die betroffene Person einen wirksamen Widerspruch gegen die Verarbeitung dieser Daten eingelegt hat,
- die Daten unrechtmäßig verarbeitet wurden
- die Notwendigkeit der Entfernung ergibt sich aus einer rechtlichen Verpflichtung,
- Die Anfrage betrifft die Daten des Kindes, die auf der Grundlage einer Einwilligung erhoben werden, um dem Kind direkt angebotene Dienste der Informationsgesellschaft bereitzustellen (z. B. das Profil des Kindes auf einer Website eines sozialen Netzwerks, die Teilnahme an einem Wettbewerb auf der Website).
Partners definiert die Methode zum Umgang mit dem Recht auf Löschung von Daten so, dass eine effektive Umsetzung dieses Rechts unter Einhaltung aller Datenschutzgrundsätze, einschließlich der Sicherheit, sowie die Überprüfung, ob Ausnahmen gemäß Art. 17. Sek. 3 DSGVO.
Wenn die zu löschenden Daten von Partner öffentlich gemacht wurden, unternimmt Partner angemessene Schritte, einschließlich technischer Maßnahmen, um andere Administratoren, die diese personenbezogenen Daten verarbeiten, über die Notwendigkeit zu informieren, Daten zu löschen und auf sie zuzugreifen.
Im Falle der Löschung von Daten teilt Partners der Person auf deren Wunsch hin die Empfänger der Daten mit.
11.9. Einschränkung der Verarbeitung.
Partners schränkt die Datenverarbeitung auf Anfrage einer Person ein, wenn:
- a) die Person die Richtigkeit der Daten in Frage stellt – für einen Zeitraum, der es ermöglicht, ihre Richtigkeit zu überprüfen,
- b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt,
- c) Partner benötigt keine personenbezogenen Daten mehr, aber sie werden von der betroffenen Person benötigt, um Ansprüche geltend zu machen, zu verfolgen oder zu verteidigen,
- d) die Person hat der Verarbeitung aus Gründen widersprochen, die sich aus ihrer besonderen Situation ergeben – bis feststeht, ob rechtlich gerechtfertigte Gründe seitens der Partner die Gründe für den Widerspruch außer Kraft setzen.
Während der Einschränkung der Verarbeitung speichert Partners Daten, verarbeitet sie jedoch nicht ohne Zustimmung der betroffenen Person (nicht verwendet, nicht übermittelt), es sei denn, um Ansprüche geltend zu machen, zu verfolgen oder zu verteidigen oder um die Rechte eines anderen zu schützen natürliche oder juristische Person oder aus wichtigen Gründen des öffentlichen Interesses.
Partners unterrichtet die betroffene Person, bevor die Einschränkung aufgehoben wird.
Im Falle der Einschränkung der Datenverarbeitung teilt Partners der betroffenen Person auf deren Wunsch hin die Empfänger der Daten mit.
11.10. Datenübertragbarkeit.
Auf Anfrage einer Person stellt Partners Daten in einem strukturierten, allgemein verwendeten maschinenlesbaren Format aus oder übermittelt an eine andere Stelle, falls es ist, Daten über diese Person, die es Partners zur Verfügung gestellt hat, verarbeitet auf der Grundlage der Zustimmung dieser Person oder zum Abschluss oder zur Erfüllung eines mit ihr geschlossenen Vertrags in den IT-Systemen des Partners.
11.11. Opposition in einer besonderen Situation.
Wenn eine Person der Verarbeitung ihrer Daten widerspricht, begründet durch ihre besondere Situation, und die Daten von Partnern aufgrund des berechtigten Interesses von Partnern oder einer Aufgabe, die Partnern im öffentlichen Interesse übertragen wurde, verarbeitet werden, akzeptieren die Partner den Widerspruch, es sei denn, es liegen auf der Partner-Website wichtige rechtlich gerechtfertigte Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der widersprechenden Person überwiegen, oder Gründe zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen.
11.12. Widerspruch zu statistischen Zwecken.
Wenn Partner Daten zu statistischen Zwecken verarbeiten, kann eine Person aus Gründen ihrer besonderen Situation Widerspruch gegen diese Verarbeitung einlegen. Partner prüfen einen solchen Widerspruch, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
11.13. Widerspruch gegen Direktmarketing.
Wenn eine Person der Verarbeitung ihrer Daten durch Partner für Direktmarketingzwecke (einschließlich möglicherweise Profiling) widerspricht, wird Partner den Widerspruch berücksichtigen und diese Verarbeitung einstellen.
11.14. Recht auf menschliches Eingreifen für die automatisierte Verarbeitung.
Wenn Partner Daten automatisch verarbeitet, einschließlich insbesondere Profiling von Personen, und in der Folge Entscheidungen in Bezug auf eine Person trifft, die rechtliche Auswirkungen haben oder auf andere Weise eine Person erheblich beeinträchtigen, bietet Partner die Möglichkeit, Einspruch einzulegen menschliche Eingriffe und Entscheidungen seitens der Partner, es sei denn, eine solche automatische Entscheidung: (i) ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der anfragenden Person und den Partnern erforderlich, oder (ii) ist ausdrücklich gesetzlich zulässig, oder (iii) ist es auf der Grundlage der ausdrücklichen Zustimmung des Beschwerdeführers.
12. MINIMIEREN
Partner achtet darauf, die Datenverarbeitung in Bezug auf Folgendes zu minimieren: (i) Angemessenheit der Daten für die Zwecke (Menge der Daten und Umfang der Verarbeitung), (ii) Zugriff auf Daten, (iii) Datenspeicherzeit .
12.1. Reichweitenminimierung
- Partner haben den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung und die Menge der verarbeiteten Daten im Hinblick auf die Angemessenheit für die Zwecke der Verarbeitung im Rahmen der Umsetzung der DSGVO überprüft.
- Partner überprüfen die Menge der verarbeiteten Daten und den Umfang ihrer Verarbeitung regelmäßig, mindestens einmal jährlich.
- Partner prüfen Änderungen hinsichtlich Menge und Umfang der Datenverarbeitung im Rahmen von Change-Management-Verfahren (Privacy by Design).
12.2. Zugriffsminimierung
- Partners International wendet Beschränkungen für den Zugriff auf personenbezogene Daten an: rechtliche (Vertraulichkeitsverpflichtungen, Berechtigungsbereiche), physische (Zugangszonen, Schließräume) und logische (Beschränkungen des Zugriffs auf Systeme, die personenbezogene Daten verarbeiten, und Netzwerkressourcen, in denen sich personenbezogene Daten befinden). .
- Partners International verwendet physische Zugangskontrollen.
- Partners International aktualisiert die Zugriffsrechte mit Änderungen in der Zusammensetzung des Personals und Änderungen in den Rollen von Personen und Änderungen in Verarbeitungseinheiten.
- Partners International überprüft regelmäßig etablierte Systembenutzer und aktualisiert sie mindestens einmal im Jahr.
Detaillierte Regeln zur Kontrolle des physischen und logischen Zugriffs sind in den physischen und Informationssicherheitsverfahren von Partners International enthalten.
12.3. Zeitminimierung
Partners International implementiert Mechanismen zur Kontrolle des Lebenszyklus personenbezogener Daten bei Partnern, einschließlich der Überprüfung der weiteren Eignung von Daten anhand der im Register angegebenen Daten und Kontrollpunkte.
Daten, deren Nutzwert zeitlich begrenzt ist, werden aus den Systemen von Partners International sowie aus Referenz- und Hauptdateien entfernt. Solche Daten können archiviert und auf Sicherungskopien von Systemen und Informationen gespeichert werden, die von Partners International verarbeitet werden. Die Verfahren zur Archivierung und Nutzung von Archiven, Erstellung und Nutzung von Sicherungskopien berücksichtigen die Anforderungen an die Kontrolle des Datenlebenszyklus, einschließlich der Anforderungen an die Datenlöschung.
13. SICHERHEIT
Partners International bietet ein Sicherheitsniveau, das dem Risiko einer Verletzung der Rechte und Freiheiten natürlicher Personen infolge der Verarbeitung personenbezogener Daten durch Partners International entspricht.
13.1. Risikoanalyse und Angemessenheit von Sicherheitsmaßnahmen
Partners führt Analysen zur Angemessenheit von Maßnahmen zum Schutz personenbezogener Daten durch und dokumentiert diese. Für diesen Zweck:
- (1) Partners International stellt den angemessenen Wissensstand über Informationssicherheit, Cybersicherheit und Geschäftskontinuität sicher – intern oder mit Unterstützung spezialisierter Stellen.
- (2) Partners International kategorisiert Daten und Verarbeitungsaktivitäten nach dem Risiko, das sie darstellen.
- (3) Partners International führt Analysen des Risikos der Verletzung der Rechte oder Freiheiten natürlicher Personen für Datenverarbeitungsaktivitäten oder deren Kategorien durch. Partners analysiert mögliche Situationen und Szenarien der Verletzung personenbezogener Daten unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung, des Risikos der Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere der Bedrohung.
- (4) Partners International ermittelt mögliche organisatorische und technische Sicherheitsmaßnahmen und bewertet die Kosten ihrer Umsetzung. Dabei bestimmt der Partner die Eignung und wendet Maßnahmen und Vorgehensweisen an, wie zum Beispiel:
- (i) Pseudonymisierung,
- (ii) Verschlüsselung personenbezogener Daten,
- (iii) andere Cybersicherheitsmaßnahmen, die dazu beitragen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten kontinuierlich sicherzustellen
- (iv) Maßnahmen zur Geschäftskontinuität und Katastrophenprävention, d. h. die Möglichkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.
13.2. Datenschutz-Folgenabschätzungen
Partners International bewertet die Auswirkungen geplanter Verarbeitungsvorgänge zum Schutz personenbezogener Daten, wenn gemäß der Risikoanalyse das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist.
13.3. Sicherheitsmaßnahmen
Partners International wendet Sicherheitsmaßnahmen an, die im Rahmen von Risiko- und Angemessenheitsanalysen von Sicherheitsmaßnahmen und Datenschutz-Folgenabschätzungen festgelegt wurden.
Die Sicherheitsmaßnahmen für personenbezogene Daten sind Teil der Informationssicherheits- und Cybersicherheitsmaßnahmen bei Partners International und werden in den von Partners International für diese Bereiche verabschiedeten Verfahren – dem Verfahren zum Betrieb des IT-Systems – ausführlich beschrieben.
13.4. Verstöße melden
Partners International verfügt über Verfahren zur Identifizierung, Bewertung und Meldung einer festgestellten Datenschutzverletzung an die Datenschutzbehörde innerhalb von 72 Stunden nach Feststellung der Verletzung.
14. VERARBEITER
- Partners International hat Regeln für die Auswahl und Überprüfung von Datenverarbeitern für Partner entwickelt, um sicherzustellen, dass Verarbeiter ausreichende Garantien für die Umsetzung geeigneter organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit, der Umsetzung individueller Rechte und anderer obliegender Datenschutzverpflichtungen bieten auf Partner.
- Partners International hat die Mindestanforderungen für die Vereinbarung zur Betrauung der Datenverarbeitung angenommen, die Anhang 2 der Richtlinie – „Vorlage der Vereinbarung zur Betrauung der Datenverarbeitung“ darstellt.
- Partners International regelt Auftragsverarbeiter für den Einsatz von Unterauftragsverarbeitern sowie für andere Anforderungen, die sich aus den Grundsätzen für das Anvertrauen personenbezogener Daten ergeben.
15. DATENEXPORT
Partners International exportiert keine Daten. Wenn ein solcher Umstand eintritt, registriert Partner Fälle von Datenexport im Register, d. h. Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR im Jahr 2017 = Europäische Union, Island, Liechtenstein und Norwegen).
Um die Situation des unbefugten Datenexports insbesondere im Zusammenhang mit der Nutzung öffentlich zugänglicher Cloud-Dienste (Schatten-IT) zu vermeiden, überprüft Partners International regelmäßig das Verhalten der Nutzer und stellt nach Möglichkeit gleichwertige datenschutzrechtliche Lösungen zur Verfügung .
16. DATENSCHUTZGESTALTUNG
Partners International handhabt die Änderung, die den Datenschutz betrifft, so, dass eine angemessene Sicherheit personenbezogener Daten gewährleistet und deren Verarbeitung minimiert wird.
Zu diesem Zweck beziehen sich die Grundsätze des Projekt- und Investitionsmanagements von Partners International auf die Grundsätze der Sicherheit und Minimierung personenbezogener Daten, die eine Bewertung der Auswirkungen auf die Privatsphäre und den Datenschutz erfordern, die Sicherheit berücksichtigen und gestalten und die Datenverarbeitung von Anfang an minimieren des Projekts oder der Investition.