POLITIK DES PERSÖNLICHEN DATENSCHUTZES

Artikel 1

(Datenmanager und Kontaktdaten)

Die Bestimmungen dieses Dokuments gelten für die Erhebung und Verarbeitung aller von Knapič d.o.o. gesammelten und verarbeiteten personenbezogenen Daten (nachstehend “Datenmanager” genannt).

Informationen zum Datenverwalter:
Unternehmen: Knapič d.o.o.
Adresse: Grušovlje 24, 3332 Rečica ob Savinji
Registrierungsnummer: 5583934000
Telefon: 03-838 11 36
E-Mail: info@knapic.si

Daten über die berechtigte Datenschutzperson:
Name und Vorname / Firma: Jana Pirečnik Knapič, Knapič d.o.o.
Kontakttelefon: 041-673 389
Kontakt E-Mail-Adresse: jana@knapic.si

Artikel 2

(Arten verarbeiteter personenbezogener Daten)

Arten personenbezogener Daten, die wir verarbeiten:

  • Grundlegende Kontaktdaten
  • E-Mail-Adresse,
  • Aliasname,
  • Kommentar,
  • IP-Adresse
  • Datum und Uhrzeit des Kommentars.
  • Informationen über die Nutzung der Website
  • Demographie,
  • Bericht über die Interessen von Remarketing und Werbung.

Artikel 3

(Grundlage für die Verarbeitung personenbezogener Daten)

Personenbezogene Daten werden verarbeitet, wenn dies zur Erfüllung unserer gesetzlichen Pflichten erforderlich ist, oder, falls erforderlich, zur Erfüllung unserer Verpflichtungen aufgrund eines mit Ihnen geschlossenen Vertrags.  Wir verarbeiten personenbezogene Daten auch, wenn Sie der Verarbeitung Ihrer personenbezogenen Daten zugestimmt haben. Sie können Ihre Einwilligung jederzeit widerrufen.

Artikel 4

(Zwecke der Verarbeitung personenbezogener Daten)

Wir erheben und verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Kontaktaufnahme mit potenziellen Kunden,
  • Vorbereitung von optimalen Angeboten.

Artikel 5

(Aufbewahrung von persönlichen Daten)

Wir behalten grundlegende persönliche Kontaktinformationen bei, solange Sie den Benutzerstatus auf unserer Website registriert haben. Wir speichern personenbezogene Daten, die wir aufgrund Ihrer Einwilligung erhalten haben, bis zum Widerruf.

Wir speichern Daten über erstellte Rechnungen noch 10 Jahre ab ihrer Erstellung.

Die Daten, die wir zur Erfüllung der Verpflichtungen aus dem abgeschlossenen Vertrag erhalten haben, werden nach Erfüllung des Vertrages noch 5 Jahre aufbewahrt.

Am Ende der Aufbewahrungsfrist löschen wir personenbezogene Daten dauerhaft und wirksam oder anonymisieren sie, so dass sie den Charakter personenbezogener Daten verlieren.

Artikel 6

(Übermittlung personenbezogener Daten)

Sie entscheiden, ob Sie uns Ihre personenbezogenen Daten freiwillig zur Verfügung stellen.

Wenn bestimmte Kategorien personenbezogener Daten nicht übermittelt werden, kann dies daran liegen, dass eine Dienstleistung nicht erbracht werden kann oder der Abschluss eines Vertrags verweigert wird.

Artikel 7

(Zugang zu persönlichen Daten)

Der Zugang zu Ihren persönlichen Daten ist beschränkt auf Personen der Firma Knapič d.o.o., die befugt sind, personenbezogene Daten zu verarbeiten.

Artikel 8

(Rechte in Bezug auf personenbezogene Daten)

Sie können jederzeit von Kapič d.o.o. verlangen, Ihnen mitzuteilen, ob sie Ihre persönlichen Daten verarbeitet, welche personenbezogene Daten verarbeitet werden, den Zweck der Verarbeitung personenbezogener Daten, die Nutzer dieser personenbezogenen Daten , die Aufbewahrungsfrist für persönliche Daten und die Kriterien für die Bestimmung der Aufbewahrungsdauer personenbezogener Daten. Sie können auch verlangen, dass das Unternehmen Sie über die Existenz automatisierter Entscheidungen informiert, die Gründe für seine Verwendung, die Bedeutung seiner Verwendung und die beabsichtigten Konsequenzen.

Sie können auch eine Korrektur ungenauer Daten und eine Verarbeitungsbeschränkung anfordern, wenn

  • Sie der Genauigkeit der Daten für eine bestimmte Zeit, die zur Überprüfung der Genauigkeit der Daten erforderlich ist, anfechten.
  • Die Verarbeitung illegal ist, Sie fordern jedoch nicht die Löschung von Daten an, sondern die Einschränkung ihrer Verarbeitung.
  • Wenn wir keine persönlichen Daten mehr benötigen, aber Sie sie brauchen, um rechtliche Ansprüche durchzusetzen und zu verteidigen.

Wenn die in Artikel 17 der Allgemeinen Verordnung zum Schutz personenbezogener Daten festgelegten Bedingungen erfüllt sind, können Sie die Löschung aller Ihrer persönlichen Daten (Recht auf Vergessenwerden) beantragen. In jedem Fall, wenn die Daten auf der Grundlage Ihrer Zustimmung gesammelt wurden, die Sie später widerrufen.

Sie können auch den Ausdruck Ihrer persönlichen Daten in einer strukturierten und lesbaren Form anfordern. Sie können diese Informationen ohne Hindernisse an einen anderen Personendatenverwalter weitergeben

Sie können eine Beschwerde gegen Knapič d.o.o. einreichen, wenn Sie der Meinung sind, dass Knapič d.o.o. oder eine andere Person gegen geltendes Recht verstoßen hat, indem sie Ihre persönlichen Daten verarbeitet.

Artikel 9

(Durchsetzung der Rechte)

Beantworten Sie Ihre Anfragen aus dem vorherigen Artikel an jeden beliebigen Kontakt des in Artikel 1 aufgeführten Artikel dieses Dokuments.

Wir können von Ihnen verlangen, dass Sie Ihre Identität für die Bereitstellung personenbezogener Daten nachweisen. Wenn Sie nicht sicher sein können, Ihre eigene Identität zu beweisen, können wir Ihren Anspruch aus dem vorherigen Artikel ablehnen.

Auf Ihren Wunsch aus dem vorhergehenden Artikel sind wir verpflichtet, Ihnen zu antworten, sobald wir es kennen und die relevanten Informationen erhalten haben. Spätestens 15 Tage nach Erhalt Ihrer Anfrage.

 

VERORDNUNG ÜBER DEN PERSÖNLICHEN DATENSCHUTZ

Auf der Grundlage der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, im Folgenden DSGVO) und des Gesetzes über den Schutz personenbezogener Daten (Amtsblatt der Republik Slowenien, im Folgenden: ZVOP-2) wird vom Direktor der Firma, Borut Knapič, ausgestellt.

 

I. Allgemeine Bestimmungen

Artikel 1

Diese Verordnung definiert die organisatorischen, technischen und logisch-technischen Verfahren und Maßnahmen zum Schutz personenbezogener Daten in der Firma Knapič d.o.o.

Mit der Absicht, um sicherzustellen, dass:

  • personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden;
  • personenbezogene Daten für bestimmte, eindeutige und rechtmäßige Zwecke erhoben wurden und nicht in einer Weise verarbeitet, die mit diesen Zwecken nicht vereinbar ist, werden;
  • standardmäßig nur die persönlichen Daten verarbeitet werden, die für jeden spezifischen Zweck der Verarbeitung erforderlich sind; diese Verpflichtung gilt für die Menge der gesammelten persönlichen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit;
  • die Rechte und Freiheiten der betroffenen Personen respektiert und geschützt werden;
  • die Sicherheit personenbezogener Daten, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und unbeabsichtigtem Verlust, Zerstörung oder Verletzung gewährleistet wird;
  • das Unternehmen die Einhaltung der Datenschutzgesetze nachweisen kann.

Die Bestimmungen dieser Verordnung legen auch die Pflichten der Mitarbeiter von Knapič d.o.o. fest, die sie respektieren müssen.

Die Bestimmungen dieser Verordnung gelten auch für andere Personen, die auf der Grundlage anderer Verträge als Arbeitsverträge im Unternehmen arbeiten.

Wenn Zweifel an der Bedeutung einer der Bestimmungen dieses Dokuments bestehen, wenden Sie sich bitte an Jana Pirečnik Knapič.

 

Artikel 2

Für die Zwecke dieser Verordnung haben die verwendeten Begriffe folgende Bedeutung:

  1. Persönliche Daten – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  2. Der Einzelne – ist eine bestimmte oder bestimmbare natürliche Person, auf die sich die persönlichen Daten beziehen; eine natürliche Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere unter Bezugnahme auf eine Identifikationsnummer oder zu einem oder mehreren Faktoren auf seine physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität identifiziert werden kann, wodurch die Identifikation keine großen Kosten und nicht viel Zeit erfordert.
  3. Sammlung von persönlichen Daten – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  4. Verarbeitung von personenbezogenen Daten – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  5. Datenmanager – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  6. Sensible persönliche Daten – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  7. Sammlung von persönlichen Daten – die Bedeutung ist die gleiche wie von DSGVO festgelegt.
  8. Datenträger – alle Arten von Mitteln, auf denen Daten aufgezeichnet oder gespeichert werden (Dokumente, Akten, Materialien, Dateien, Computerausrüstung einschließlich magnetischer, optischer oder anderer Computermedien, Fotokopien, Ton- und Bildmaterial, Mikrofilm, Datenübertragungsgeräte usw.).
  9. Arbeitnehmer – Personen, die einen Arbeitsvertrag mit einem Unternehmen abgeschlossen haben, Personen, die als Studenten oder Studenten im Unternehmen arbeiten, Personen, die im Unternehmen arbeiten, auf der Grundlage eines Vertrags zwischen dem Unternehmen und seinem Arbeitgeber, der andere Arbeitgeber beschäftigt, und Personen, die auf der Grundlage von zivilrechtlichen Verträgen für das Unternehmen arbeiten.
  10. Sicherheitsvorfall – bedeutet eine Verletzung der Sicherheit, die Ergebnisse in unbeabsichtigte oder illegale Zerstörung, Verlust, Veränderung, unbefugt weitergegeben oder Zugang zu personenbezogenen Daten, die übertragen, gespeichert oder anderweitig verarbeitet, hat.

 

Artikel 3

Das Unternehmen führt und pflegt Aufzeichnungen über die Tätigkeit der Verarbeitung personenbezogener Daten mit den vorgeschriebenen Komponenten gemäß der Bestimmung von Artikel 30 der DSGVO für jede Sammlung getrennt.

Aufzeichnungen über die Verarbeitungstätigkeiten werden in elektronischer Form geführt, der Zugriff ist nur für autorisierte Personen möglich.

Jeder Abteilungsleiter ist dafür verantwortlich, Aufzeichnungen über die Verarbeitungstätigkeit zu führen, in der die individuelle Sammlung aufbewahrt wird, und der Direktor kontrolliert das.

 

Artikel 4

Nur personenbezogene Daten, für die eine angemessene Rechtsgrundlage gemäß den Bestimmungen der DSGVO oder anderer Rechtsvorschriften besteht, können im Unternehmen oder für die Bedürfnisse des Unternehmens verarbeitet werden. Wenn die Rechtsgrundlage für die Verarbeitung nicht vorhanden ist, sollten personenbezogene Daten unverzüglich nicht mehr aktiv verarbeitet werden und den Zugang zu ihnen gesperrt werden. Darüber wird der Direktor des Unternehmens benachrichtigt, der den weiteren Umgang mit diesen Daten festlegt.

Personenbezogene Daten dürfen nur für bestimmte und rechtmäßige Zwecke erhoben werden und dürfen nicht so verarbeitet werden, dass ihre Verarbeitung im Widerspruch zu diesen Zwecken steht, sofern das Gesetz nichts anderes vorsieht. Wenn ein Unternehmen beabsichtigt, personenbezogene Daten zu einem anderen als dem Zweck, zu dem personenbezogene Daten erhoben wurden, weiter zu verarbeiten, ist es erforderlich, zu prüfen, ob der neue Zweck mit dem ursprünglichen Zweck vereinbar ist, und einen schriftlichen Bericht darüber zu erstellen.

Maßnahmen zur Gewährleistung der Sicherheit der korrekten (Sammlungen) von persönlichen Daten, wie unter anderem Pseudonymisierung und Verschlüsselung, die Dauer der Speicherung und Zugriffsbeschränkungen, Beschränkungen für die Zwecke der Verarbeitung usw., Begrenzung der Zwecke usw., und die Art und Weise der Ausführung bestimmt Knapič d.o.o..

Bestimmte Arten personenbezogener Daten dürfen nur im Einklang mit den Bestimmungen der DSGVO und anderen Rechtsvorschriften verarbeitet werden. Diese Informationen müssen bei der Verarbeitung so gekennzeichnet und gesichert werden, dass sie für Unbefugte nicht zugänglich sind.

Einzelpersonen müssen über die Verarbeitung personenbezogener Daten gemäß den Bestimmungen der Artikel 12, 13 und 14 der DSGVO informiert werden. Jeder Leiter der Abteilung ist verantwortlich für die Durchführung von Benachrichtigungen, in denen die individuelle Sammlung aufbewahrt wird.

Jeder Abteilungsleiter, in dem die individuelle Sammlung geführt wird, ist verpflichtet (für jede einzelne Sammlung), eine schriftliche Liste von Personen zu erstellen und zu führen, die aufgrund ihrer Art und / oder Funktion bestimmte personenbezogene Daten verarbeiten oder Zugang zu Sammlungen haben (nachstehend “autorisierte Verarbeiter” genannt). Die Leiter der Abteilungen sind verpflichtet, die schriftlichen Listen der autorisierten Verarbeiter dem Direktor der Gesellschaft zu übermitteln.

 

Artikel 5

Eine Person hat das Recht, vom Unternehmen die Bestätigung zu erhalten, dass seine personenbezogenen Daten verarbeitet werden, und, wenn dies der Fall ist, Zugang zu personenbezogenen Daten (Einblick) und Informationen aus Artikel 15 Absatz 1 DSGVO zu erhalten.

Eine Person hat das Recht zu erreichen, dass das Unternehmen unrichtige oder unvollständige persönliche Daten in Verbindung mit ihm korrigiert.

Eine Person hat das Recht zu erreichen, dass das Unternehmen, ihre persönlichen Daten unverzüglich löscht, wenn einer der folgenden Gründe zutrifft:

  • personenbezogene Daten werden nicht mehr für die Zwecke benötigt, für die sie erhoben oder anderweitig verarbeitet wurden;
  • eine Person widerruft die Zustimmung, aufgrund derer die Verarbeitung erfolgt und es keine andere Rechtsgrundlage für die Verarbeitung gibt;
  • eine Person lehnt die Verarbeitung ab und es gibt keine zwingenden legitimen Gründe für ihre Verarbeitung;
  • personenbezogene Daten wurden illegal verarbeitet;
  • personenbezogene Daten müssen gelöscht werden, um eine gesetzliche Verpflichtung zur Einhaltung gesetzlicher Verpflichtungen zu erfüllen;
  • personenbezogene Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft von einer minderjährigen Person erhoben.

Eine Person hat das Recht zu erreichen, dass das Unternehmen die Verarbeitung, und zwar bei den folgenden Fällen:

  • eine Person bestreitet die Richtigkeit der Daten für einen Zeitraum, der es dem Unternehmen ermöglicht, die Richtigkeit der persönlichen Daten zu überprüfen;
  • die Verarbeitung illegal ist und die Person lehnt die Löschung personenbezogener Daten ab und erfordert stattdessen eine Beschränkung ihrer Verwendung;
  • das Unternehmen benötigt keine persönlichen Daten für Verarbeitungszwecke, sondern sie werden von der Person benötigt, um rechtliche Ansprüche durchzusetzen, durchzuführen oder zu verteidigen;
  • wenn eine natürliche Person einen Einspruch gegen die Verarbeitung erhoben hat, bis festgestellt wurde, ob die rechtlichen Gründe für den für die Verarbeitung Verantwortlichen über die Gründe der betroffenen Person überwiegen.

Eine Person hat das Recht, persönliche Daten, die sie an das Unternehmen weitergeleitet hat, in einer strukturierten, weit verbreiteten und maschinenlesbaren Form zu erhalten und diese Informationen an einen anderen Verarbeiter weiterzuleiten, ohne ihn dabei zu behindern, wenn:

  • die Verarbeitung auf seiner Zustimmung basiert und
  • die Verarbeitung mit automatisierten Mitteln erfolgt.

Der Direktor des Unternehmens ist verpflichtet, dafür zu sorgen, dass die Personen entsprechend den Anforderungen der DSGVO in angemessener Weise über die in den vorstehenden Absätzen dieses Artikels genannten Rechte informiert werden. Der Direktor sorgt auch für einen einzigen Ansprechpartner, an den sich Einzelpersonen bei der Ausübung ihrer Rechte wenden können.

Um die Rechte des Einzelnen auszuüben und mit ihnen zu kommunizieren, ist der Abteilungsleiter für die Sammlung von persönlichen Daten einer Person verantwortlich. Wenn sich die persönlichen Daten der Person in mehreren Sammlungen befinden, muss der Direktor der Firma den zuständigen Abteilungsleiter bestimmen.

 

Artikel 6

Der Abteilungsleiter oder eine andere Person, die es sieht, ist verpflichtet, darauf hinzuweisen, dass die geplante Verarbeitung personenbezogener Daten, insbesondere (aber nicht ausschließlich) unter Verwendung neuer Technologien, unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung personenbezogener Daten, ein großes Risiko für die Rechte und Freiheiten von Einzelpersonen als Folge hat.

In diesem Fall entscheidet der Direktor, ob eine Bewertung der Auswirkungen der vorgesehenen Verarbeitungsmaßnahmen zum Schutz personenbezogener Daten erforderlich ist. Für die Durchführung der Folgenabschätzung ist der Leiter der Abteilung verantwortlich, oder die andere, vom Direktor befugte Person, Jana Pirečnik Knapič. Alle Mitarbeiter, die die notwendigen Daten und Beurteilungen zur Verfügung stellen können, sind zur Teilnahme verpflichtet.

Die Folgenabschätzung muss schriftlich erfolgen und Folgendes umfassen:

  • eine systematische Beschreibung der voraussichtlichen Behandlungs- und Verarbeitungszwecke und gegebenenfalls der berechtigten Interessen des Unternehmens;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck;
  • Einschätzung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
  • Maßnahmen zur Abwehr von Risiken, einschließlich Maßnahmen zur Gefahrenabwehr, Sicherheitsmaßnahmen und Mechanismen, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen nachzuweisen.

Wenn der Abteilungsleiter oder eine andere Person, die eine Folgenabschätzung vorgenommen hat, feststellt, dass die vorgesehene Behandlung ein hohes Risiko verursachen würde, wenn das Unternehmen keine Maßnahmen zur Risikominderung ergreifen würde, ist er verpflichtet, den Geschäftsführer des Unternehmens darüber zu informieren, ob eine Konsultation mit der Aufsichtsbehörde erfolgt muss.

 

II. Sicherheit von Räumlichkeiten und Computerausrüstung

Artikel 7

Die Räumlichkeiten, in denen sich die personenbezogenen Datenträger befinden, sowie die Hard- und Software (geschützte Bereiche) müssen durch organisatorische und physische und/oder technische Maßnahmen geschützt werden, die den Zugriff von Unbefugten auf Daten verhindern.

Der Zugang ist nur in den normalen Arbeitszeiten möglich, und außerhalb dieser Zeit nur auf der Grundlage der Erlaubnis von Knapič d.o.o..

Die Schlüssel dürfen nicht von außen im Türschloss bleiben.

Geschützte Räume dürfen nicht unkontrolliert bleiben bzw. müssen in Abwesenheit von Arbeitern, die sie kontrollieren, gesperrt werden.

Außerhalb der Arbeitszeiten müssen Schränke und Tische mit persönlichen Datenträgern gesperrt, Computer und andere Hardware ausgeschaltet und physisch oder programmatisch gesperrt werden.

Mitarbeiter dürfen keine persönlichen Datenträger auf den Tischen in Anwesenheit von Personen lassen, die kein Recht auf Einsichtnahme haben.

Träger von personenbezogenen Daten, die sich außerhalb von geschützten Bereichen befinden (Korridore, Gemeinschaftsräume), müssen dauerhaft abgeschlossen sein.

Sensible persönliche Daten dürfen nicht außerhalb der geschützten Bereiche aufbewahrt werden.

Der Mitarbeiter, der personenbezogene Daten verwendet oder diese bei seiner Arbeit verarbeitet, darf während der Arbeitszeit die persönlichen Datenträger nicht unkontrolliert auf den Schreibtischen belassen oder anderweitig der Gefahr aussetzen, dass unbefugte Personen Zugang zu personenbezogenen Daten erhalten.

Schlüssel, Karten, Passwörter und andere Vermögenswerte, die den Zugang zu geschützten Bereichen ermöglichen, müssen geschützt, verwaltet und gewissenhaft und sorgfältig aufbewahrt werden. Jeder Verlust oder Ablenkung oder Verdacht auf Missbrauch muss sofort mitgeteilt werden.

 

Artikel 8

In Räumlichkeiten, die für den Umgang mit Kunden bestimmt sind, müssen Datenträger und Computerdisplays so installiert werden, dass Kunden keinen Zugang dazu haben.

 

Artikel 9

Wartung und Reparatur von Computerhardware und sonstiges Zubehör darf nur mit dem Wissen von einer autorisierten Person erfolgen und durch autorisierte Service- und Wartungsmitarbeitern, die mit dem Unternehmen Knapič d.o.o. einen entsprechenden Vertrag oder Bestellformular haben, durchgeführt werden.

Artikel 10

Der Zugriff von Raum-, Hard- und Softwareanbietern, Besuchern und Geschäftspartnern in geschützten Bereichen ist nur mit dem Wissen einer autorisierten Person möglich. Mitarbeiter wie Hausmädchen, Wachleute etc., dürfen sich möglicherweise außerhalb der Arbeitszeit nur in den Bereichen bewegen, wo Einblicke in persönliche Daten (Datenträger befinden sich in verschlossenen Schränken und Schreibtischen, Computer und andere Hardware sind ausgeschaltet oder auf andere Weise physisch oder programmmäßig gesperrt).

 

III. Schutz von System- und Anwendungssoftware und Daten, die mit Computerausrüstung verarbeitet werden

Artikel 11

Der Zugriff auf die Software muss so geschützt sein, dass nur berechtigte Mitarbeiter oder juristische oder natürliche Personen, die vertragsgemäß Leistungen erbringen, Zugang zu diesem Zweck erhalten.

 

Artikel 12

Die Reparatur, Änderung und Aktualisierung von System-und Anwendungssoftware dürfen nur nach Genehmigung durch autorisierte Personen durchgeführt werden, und nur durch autorisierte Serviceunternehmen, und Organisationen und Einzelpersonen, die mit Knapič d.o.o. einen entsprechenden Auftrag abgeschlossen haben oder eine Bestellung aufgegeben wurde, durchgeführt werden.

 

Artikel 13

Für die Speicherung und den Schutz der Anwendungssoftware gelten die gleichen Bedingungen wie für die anderen Daten in dieser Richtlinie.

 

Artikel 14

Der Inhalt der Netzwerk-Server-Festplatten und lokalen Workstations, auf denen sich persönliche Daten befinden, wird sofort durch das Vorhandensein von Computerviren überprüft. Der Computervirus wird es so schnell wie möglich eliminiert, und gleichzeitig erscheint die Ursache des Virus in der Computerinformation.

Alle persönlichen Daten und Software, die dazu bestimmt sind, im Computer-Informations-System verwendet zu werden, und gelangen in Knapič d.o.o. auf Datenträgern für die Übertragung von Computerdaten oder per Telekommunikationskanälen müssen vor der Verwendung auf Vorhandensein von Computer-Viren überprüft werden.

 

Artikel 15

Mitarbeiter dürfen Software nicht ohne das Wissen der für den Betrieb des Computerinformationssystems verantwortlichen Person installieren. Sie dürfen die Software auch nicht ohne Erlaubnis von Knapič d.o.o. aus dem Computerinformationssystem entfernen.

 

Artikel 16

Der Zugriff auf Daten durch Anwendungssoftware wird durch das System von Kennwörtern zum Autorisieren und Identifizieren von Benutzern von Programmen und Daten geschützt, und das Kennwortsystem muss auch die Möglichkeit einer späteren Identifizierung ermöglichen, wann einzelne persönliche Daten in eine Datenbank eingegeben, verwendet oder anderweitig verarbeitet wurden und wer das getan hat.

 

Artikel 17

Alle Passwörter und Verfahren für die Eingabe und Verwaltung eines Netzwerks von Personal Computern (Supervisor oder Kontroll- Passwort) per E-Mail und per angewandten Programme befinden sich in versiegelten Umschlägen und sind vor dem Zugriff durch unbefugte Personen geschützt. Sie werden nur in Ausnahmefällen oder im Notfall verwendet.

 

Artikel 18

Personenbezogene Daten können nur in Ausnahmefällen lokal gespeichert und verarbeitet werden (auf lokalen Computern und ähnlichen Geräten), wenn dies aufgrund der Art der Arbeit unbedingt erforderlich ist. Nach dem Ende der Notwendigkeit einer solchen Speicherung und Verarbeitung personenbezogener Daten müssen personenbezogene Daten in zentralisierte Datenbanken übertragen oder dauerhaft gelöscht werden.

Kopien des Inhalts von persönlichen Datensammlungen auf lokalen Medien (externe Datenträger, USB-Schlüssel usw.) werden in gesperrten Schränken gespeichert.

Zum Zweck der Wiederherstellung des Computersystems im Falle von Fehlern und im Falle anderer Ausnahmesituationen wird ein regelmäßiges Kopieren des Inhalts des Netzwerkservers und der lokalen Stationen bereitgestellt, falls die Daten vorhanden sind.

Diese Kopien werden an den jeweiligen Standorten gelagert, die feuerfest, vor Überschwemmungen und elektromagnetischen Störungen geschützt, innerhalb der vorgeschriebenen klimatischen Bedingungen und verschlossen sein müssen.

 

IV. Dienstleistungen von externen juristischen oder natürlichen Personen

Artikel 19

Mit jeder externen juristischen oder natürlichen Person, die einzelne Aufgaben im Zusammenhang mit der Erhebung, Verarbeitung, Speicherung oder Übertragung personenbezogener Daten ausführt und für die Durchführung einer solchen Aktivität registriert ist (vertraglich oder vertraglich gebundener Bearbeiter), ist der schriftliche Vertrag gemäß Absatz 2 28 abgeschlossen. Artikel der Allgemeinen Datenschutzverordnung. In einem solchen Vertrag müssen auch die Bedingungen und Maßnahmen zur Gewährleistung des Schutzes personenbezogener Daten und ihrer Versicherung vorgeschrieben sein. Bevor ein Vertrag mit einem Auftragsverarbeiter geschlossen wird, ist der Verantwortliche (in der Regel der Abteilungsleiter) verpflichtet, Daten von ihm zu erhalten, damit er überprüfen kann, ob der Verarbeiter die Anforderungen der Datenschutzgesetzgebung erfüllt; dies beinhaltet die Offenlegung aller unter Vertrag stehenden Bearbeiter, einschließlich ihrer Namen und Standorte.

Dies gilt auch für Außenstehende, die Hardware und Software warten und neue Hardware oder Software herstellen und installieren.

Externe juristische oder natürliche Personen dürfen im Rahmen der Befugnisse des Kunden nur personenbezogene Datenverarbeitungsdienste erbringen und dürfen die Daten nicht für andere Zwecke verarbeiten oder anderweitig verwenden.

Eine bevollmächtigte juristische oder natürliche Person, die für Knapič d.o.o. vereinbarte Dienste außerhalb der Räumlichkeiten des zuständigen für die Verarbeitung Verantwortlichen erbringt, muss zumindest die gleiche strenge Methode zum Schutz personenbezogener Daten haben, die in dieser Verordnung vorgesehen sind.

Zusätzlich zu anderen Anforderungen muss das Unternehmen in Verträgen mit Verarbeitern das Recht gewährleisten, mindestens einmal jährlich eine Überprüfung oder Revision im Bereich des Schutzes personenbezogener Daten beim Auftragsverarbeiter durchzuführen. Die Überprüfung oder Revision muss bei jedem Verdacht oder Hinweis durchgeführt werden, dass der Auftragsverarbeiter gegen den geschlossenen Vertrag verstößt oder keinen ausreichenden Schutz personenbezogener Daten bietet. Die Revision wird auf Kosten des Unternehmens durchgeführt, wobei der Bearbeiter das Unternehmen nicht für das Engagement seiner Mitarbeiter und / oder vertraglich verpflichteter Verarbeiter belasten darf.

 

V. Empfang und Übermittlung personenbezogener Daten

Artikel 20

Der Arbeitnehmer, der für den Empfang und die Aufzeichnung der Post verantwortlich ist, muss Postsendungen mit persönlichen Daten direkt an die einzelnen oder an die adressierte Abteilung übergeben.

Der Arbeitnehmer, der für den Empfang und die Aufzeichnung der Post  zuständig ist, öffnet und kontrolliert alle Postsendungen und Sendungen, die ansonsten von den Kunden oder Kurieren bei der Verwaltungsstelle ankommen, mit Ausnahme der in den Absätzen 3 und 4 dieses Artikels genannten Sendungen.

Der Arbeitnehmer, der für den Empfang und die Aufzeichnung der Post zuständig ist, öffnet keine Sendungen, die an eine andere Stelle oder Organisation gesandt worden sind und versehentlich geliefert worden sind und die als personenbezogene Daten gekennzeichnet sind oder auf dem Etikett des Umschlags gekennzeichnet ist, dass sie sich einen Wettbewerb oder Ausschreibung beziehen.

Der Arbeitnehmer, der für den Empfang und die Aufzeichnung der Post  zuständig ist, darf Sendungen, die an einen Arbeitnehmer adressiert sind, auf deren Umschlag angegeben ist, dass sie persönlich dem Arbeitgeber ausgehändigt werden müssen und Sendungen, auf denen der Name des Arbeitnehmers auf erster Stelle ohne Angabe seiner amtlichen Stellung und erst dann die Adresse der Verwaltungsstelle angegeben sind, nicht öffnen.

 

Artikel 21

Die personenbezogenen Daten dürfen mit Informationstelekommunikations- und anderen Mittel nur dann übertragen werden, wenn die Verfahren und Maßnahmen die unbefugte Übernahme oder Zerstörung von Daten und Kommunikation mit ihren Inhalten verhindern.

Sensible persönliche Daten werden den Adressaten in geschlossenen Umschlägen gegen Unterschrift im Lieferbuch oder per Einschreiben zugesandt.

Persönliche Daten werden per Einschreiben gesendet.

Der Umschlag, in dem die persönlichen Daten übermittelt werden, muss so gestaltet sein, dass der Umschlag den Inhalt des Briefumschlags nicht bei normalem Licht oder bei Beleuchtung durch das gewöhnliche Licht sichtbar macht. Der Umschlag muss auch gewährleisten, dass das Öffnen des Umschlags und die Bekanntmachung mit deren Inhalt nicht ohne sichtbare Spuren bzgl. des Öffnen des Umschlags ausgeführt werden kann.

 

Artikel 22

Die Verarbeitung sensibler personenbezogener Daten muss ausdrücklich gekennzeichnet und geschützt werden.

Die im vorstehenden Absatz genannten Daten dürfen nur dann über Telekommunikationsnetze übertragen werden, wenn sie durch kryptographische Verfahren und elektronische Signatur besonders geschützt sind, um die Nichtlesbarkeit der Daten während ihrer Übermittlung zu gewährleisten.

 

Artikel 23

Personenbezogene Daten werden nur denjenigen Nutzern zur Verfügung gestellt, die mit der entsprechenden Rechtsgrundlage oder mit der schriftlichen Anfrage oder Zustimmung der betroffenen Person nachweisen.

Für jede Übermittlung personenbezogener Daten muss der Empfänger einen schriftlichen Antrag stellen, in dem die Bestimmung des Gesetzes, das den Nutzer zur Beschaffung personenbezogener Daten ermächtigt, deutlich angegeben werden muss oder der Antrag oder die Einwilligung der betroffenen Person dem Antrag beigefügt werden muss.

Bei der Erlangung und Übermittlung personenbezogener Daten zwischen Behörden müssen die Bestimmungen der Verordnung über Verwaltungsvorgänge ebenfalls berücksichtigt werden.

Die Originale von Dokumenten dürfen niemals übermittelt werden, außer im Fall einer gerichtlichen Verfügung. Das Originaldokument muss während der Abwesenheit durch eine Kopie ersetzt werden.

 

VI. Löschen der Daten

Artikel 24

Nach dem Ablaufdatum werden personenbezogene Daten effektiv gelöscht, vernichtet oder anonymisiert, sofern das Gesetz oder andere Gesetze nichts anderes vorsehen.

Über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten entscheidet der Abteilungsleiter.  Über die Vernichtung, Löschung oder Anonymisierung personenbezogener Daten muss ein Protokoll erstellt werden, das keine personenbezogenen Daten von Personen enthalten darf, deren Daten gelöscht, vernichtet oder anonymisiert wurden.

 

Artikel 25

Um Daten von Computermedien zu löschen, wird eine solche Löschmethode verwendet, dass es unmöglich ist, alle oder einen Teil der gelöschten Daten wiederherzustellen.

Daten auf klassischen Medien (Dokumente, Dateien, Register, Listen …) werden so vernichtet, dass das Lesen aller oder eines Teils der zerstörten Daten verhindert wird. Die genaue Art der Vernichtung für einzelne Arten personenbezogener Daten oder Träger wird vom Geschäftsführer des Unternehmens festgelegt.

Ebenso wird Hilfsmaterial zerstört (z. B. Matrizen, Berechnungen und Diagramme, Skizzen, experimentelle oder nicht erfolgreiche Ausdrucke usw.).

Es ist verboten, Abfalldatenträger mit persönlichen Daten in der Mülltonne zu entsorgen.

Bei der Übermittlung von personenbezogenen Datenträgern an den Ort der Vernichtung muss auch zum Zeitpunkt der Übertragung eine angemessene Versicherung erfolgen.

 

VII. Maßnahmen bei Sicherheitsvorfällen in Bezug auf personenbezogene Daten

Artikel 26

Die Mitarbeiter sind verpflichtet, Maßnahmen zur Verhinderung vom Missbrauch von persönlichen Daten, mit denen sie bei ihrer Arbeit in Kontakt kommen durchzuführen und gewissenhaft und sorgfältig und nach dem gemäß den in dieser Richtlinie festgelegten Verfahren mit ihnen umzugehen.

Die Mitarbeiter haben die Pflicht, über die Tätigkeiten, die mit der Erkennung oder unerlaubten Vernichtung vertraulicher Daten, bösartigen oder nicht autorisierten Verwendung, Beanspruchungen, Änderungen oder Schaden unverzüglich die bevollmächtigte Person oder den Vorsitzenden zu informieren und selbst derartige Aktivitäten zu verhindern.

Der Direktor des Unternehmens muss den Datenschutzbeauftragten innerhalb von 72 Stunden über jede Verletzung des Schutzes personenbezogener Daten informieren. Wenn es wahrscheinlich ist, dass eine Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt, muss der Direktor des Unternehmens sicherstellen, dass die betroffenen Personen ohne unnötige Verzögerung darüber informiert werden, dass der Schutz personenbezogener Daten verletzt wurde.

 

Artikel 27

Der Direktor des Unternehmens ist verpflichtet sicherzustellen, dass nach einem Sicherheitsvorfall eine Analyse der Ursachen und ein Vorschlag für Maßnahmen ergriffen wird, um das Risiko solcher und zukünftiger Sicherheitsvorfälle zu reduzieren oder zu eliminieren, und dass die vorgeschlagenen Maßnahmen gegebenenfalls umgesetzt werden.

Wenn sich herausstellt, dass der Sicherheitsvorfall vom Arbeitnehmer verursacht wurde oder er aufgrund von Fahrlässigkeit des Arbeitnehmers eingetreten ist, ergreift der Direktor des Unternehmens ungeachtet der anderen Bestimmungen dieses Regelwerks angemessene arbeitsbezogene Maßnahmen gegen den Arbeitnehmer.

 

VIII. Verantwortung für die Umsetzung von Sicherheitsmaßnahmen und -verfahren

Artikel 28

Der Direktor des Unternehmens und die bevollmächtigten Personen, die keine Mitarbeiter des Unternehmens sind, sind verantwortlich für die Durchführung von Verfahren und Maßnahmen zum Schutz personenbezogener Daten.

Die in Absatz 1 genannte Aufsicht umfasst auch Verfahren für die regelmäßige Überprüfung, Schätzung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Alle Mitarbeiter und andere Personen im Unternehmen sind verpflichtet, sich daran zu beteiligen.

 

Artikel 29

Wer personenbezogene Daten verarbeitet, ist verpflichtet, die vorgeschriebenen Verfahren und Maßnahmen zum Datenschutz durchzuführen und die Daten zu schützen, für die er sie bei der Ausübung seiner Tätigkeit erlernt oder kennengelernt hat. Die Pflicht zum Schutz der Daten endet nicht mit der Beendigung des Arbeitsverhältnisses.

Vor Beginn von Arbeiten an einem Arbeitsplatz, an dem personenbezogene Daten verarbeitet werden, muss der Arbeitnehmer eine gesonderte Erklärung unterzeichnen, in der er verpflichtet ist, personenbezogene Daten zu schützen.

Die unterzeichnete Erklärung muss zeigen, dass der Unterzeichner die Bestimmungen dieser Verordnung und der Bestimmungen kennt. Die Allgemeine Datenschutzverordnung und die Erklärung muss auch Anweisungen zu den Folgen des Verstoßes enthalten.

 

Artikel 30

Bei Verstoß gegen die Bestimmungen des vorstehenden Artikels haften die Mitarbeiter disziplinarisch und der Rest beruht auf vertraglichen Verpflichtungen.

 

IX Schlussbestimmungen

Artikel 31

Diese Richtlinie tritt am 25.5.2018 in Kraft.

 

Artikel 32

Diese Richtlinie wird am 25.5.2018 veröffentlicht. Mitarbeiter erhalten Zugang auf dieser Website sowie bei der bevollmächtigten Person.

 

Vorbereitet von: Jana Pirečnik Knapič