RICHTLINIE 001 ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN

  1. ZWECKBESTIMMUNG

 

1.1 Zweck dieser Richtlinie ist es, die Grundregeln für die Verarbeitung personenbezogener Daten in der Gesellschaft festzulegen. Diese Richtlinie ist eine der organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Sinne von Artikel 32 der Datenschutz-Grundverordnung.

1.2 Diese Richtlinie regelt auch die Verfahren zur Ausübung des Rechts der betroffenen Person auf Zugang zu personenbezogenen Daten im Sinne von Artikel 15 der DSGVO und zur Meldung von Verstößen gegen personenbezogene Daten im Sinne von Artikel 33 und 34 der DSGVO.

 

  1. PERSÖNLICHKEIT

 

2.1 Diese Richtlinie gilt für jeden Mitarbeiter des Unternehmens, der personenbezogene Daten verarbeitet oder eine andere Tätigkeit ausübt, die unter die DSGVO fällt.

2.2 Jeder Mitarbeiter, der von dieser Richtlinie betroffen ist, wird gemäß dieser Richtlinie im Datenschutz geschult und bestätigt die Schulung durch seine Unterschrift.

 

  1. BEGRIFFE, DEFINITIONEN UND ABKÜRZUNGEN

 

3.1 In dieser Richtlinie haben die folgenden Begriffe die folgende Bedeutung:

 

3.1.1 Aufsichtsbehörde – Datenschutzbehörde;

 

3.1.2 GDPR – Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

3.1.3 Personenbezogene Daten – alle Informationen über eine bestimmte oder bestimmbare natürliche Person; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Netzkennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person;

3.1.4. Arbeitnehmer – ist jede Person, einschließlich juristischer Personen, die eine Tätigkeit für das Unternehmen ausübt, insbesondere ein Angestellter, externer Mitarbeiter, Auftragnehmer usw;


3.1.5 Die Gesellschaft – ist eine Gesellschaft im Sinne des § 132 ff. des Gesetzes Nr. 90/2021 Slg. über Handelsgesellschaften, d.h. DEXPORT s.r.o., ID-Nr. 088 14 244, Sitz Alšova 1570/7, 360 01 Karlovy Vary.

3.1.6 Betroffene Person – jede natürliche Person, einschließlich Selbständiger;

3.1.7. Verarbeitung personenbezogener Daten – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie die Einschränkung, das Löschen oder die Vernichtung.

 

  1. POLITIK DER VERARBEITUNG PERSONENBEZOGENER DATEN

 

4.1 Der Sekretär der Gesellschaft oder eine von ihm ausdrücklich bevollmächtigte Person bestimmt den Zweck bzw. die Zwecke und die Mittel der Verarbeitung personenbezogener Daten für jeden Datensatz der Gesellschaft. Diese Personen legen auch den Zeitraum fest, für den die einzelnen personenbezogenen Daten verarbeitet werden, oder die Kriterien, nach denen dieser Zeitraum bestimmt wird. Personenbezogene Daten werden für den gesetzlich vorgeschriebenen Zeitraum oder für die Dauer der Genehmigung des für die Verarbeitung Verantwortlichen zur Verarbeitung personenbezogener Daten verarbeitet. Der Zweck sowie die Aufbewahrungsfrist der Verarbeitung personenbezogener Daten werden in den Aufzeichnungen über die Verarbeitungstätigkeiten festgehalten, die gemäß Artikel 30 der DSGVO geführt werden.

4.2 Die Mitarbeiter sind verpflichtet, personenbezogene Daten in einer fairen und rechtmäßigen Weise gegenüber der betroffenen Person zu verarbeiten.

4.3 Jeder Mitarbeiter darf personenbezogene Daten nur zu dem vom Unternehmen angegebenen Zweck und nur mit den vom Unternehmen angegebenen Mitteln verarbeiten.

4.4 Die Mitarbeiter dürfen personenbezogene Daten nur gemäß den Anweisungen des Unternehmens verarbeiten. Die Mitarbeiter dürfen nur personenbezogene Daten verarbeiten, die für die Erfüllung ihrer Aufgaben im Unternehmen erforderlich sind. Zu diesem Zweck gewährt das Unternehmen den Mitarbeitern nur Zugang zu den erforderlichen Datensätzen mit personenbezogenen Daten.

4.5 Hat ein Arbeitnehmer den Verdacht, dass die personenbezogenen Daten einer betroffenen Person unrichtig, unvollständig oder veraltet sind, oder erhält er davon Kenntnis, so meldet er dies unverzüglich dem Gesellschafter des Unternehmens.

4.6 Wenn der Mitarbeiter den Verdacht hat oder erfährt, dass personenbezogene Daten länger verarbeitet werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, muss er dies dem Partner des Unternehmens melden.

 

  1. FOLGENABSCHÄTZUNGSBERICHT

 

5.1 Wenn eine bestimmte Art der Verarbeitung, insbesondere beim Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, führt das Unternehmen vor der Verarbeitung eine Folgenabschätzung der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten gemäß Artikel 35 ff. der DSGVO durch. Für eine Reihe ähnlicher Verarbeitungsvorgänge, die ein ähnliches Risiko darstellen, kann eine einzige Bewertung ausreichend sein.

5.2 Eine Folgenabschätzung muss immer vorbereitet werden:

 

5.2.1. die systematische und umfassende Auswertung personenbezogener Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf der Entscheidungen beruhen, die Rechtswirkungen in Bezug auf natürliche Personen entfalten oder eine ähnlich erhebliche Auswirkung auf natürliche Personen haben;

5.2.2. die umfangreiche Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 der Datenschutz-Grundverordnung; oder

5.2.3. groß angelegte systematische Überwachung von öffentlich zugänglichen Bereichen.

 

5.3 Die Bewertung muss mindestens Folgendes umfassen:

 

5.3.1. eine systematische Beschreibung der beabsichtigten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der berechtigten Interessen des Unternehmens;

5.3.2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf die Zwecke;

 

5.3.3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; und

 

5.3.4. die geplanten Maßnahmen zur Behebung dieser Risiken, einschließlich Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung der Vorschriften.

5.4 Geht aus dem Bericht über die Folgenabschätzung hervor, dass die betreffende Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Minderung dieses Risikos ergreift, konsultiert das Unternehmen die Aufsichtsbehörde zu dem Bericht über die Folgenabschätzung. Die Einzelheiten werden von den Gesellschaftern der Gesellschaft festgelegt.

 

  1. KOMMUNIKATION MIT DEN BETROFFENEN PERSONEN

 

6.1 Ein Mitarbeiter, der in irgendeiner Form (schriftlich, telefonisch, persönlich) eine Anfrage oder Beschwerde einer natürlichen Person erhält, die den Schutz personenbezogener Daten betrifft oder betreffen könnte, insbesondere Anfragen im Sinne der Artikel 15 bis 22 der DSGVO, muss dies dem zuständigen Verantwortlichen mitteilen.

 

6.2 Werden personenbezogene Daten der betroffenen Person bei der betroffenen Person erhoben, so hat der Beauftragte der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten Informationen gemäß Artikel 13 der DSGVO zu erteilen; wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, so hat der Beauftragte diese Informationen gemäß Artikel 14 Absatz 3 der DSGVO zu erteilen. Die Verpflichtung zur Bereitstellung dieser Informationen kann durch Verweis auf die Datenschutzrichtlinie des Unternehmens erfüllt werden, die unter www.smilefie.cz abrufbar ist.

6.3 Die zuständige bevollmächtigte Person bearbeitet die Anträge der betroffenen Personen gemäß den allgemeinen Anweisungen des Unternehmens, jedoch stets so, dass dem Antrag der betroffenen Person ohne unangemessene Verzögerung entsprochen wird und dass der betroffenen Person alle für die Bearbeitung ihres Antrags erforderlichen Informationen zur Verfügung gestellt werden und dass, falls dem Antrag nicht entsprochen wird, die Gründe für diese Entscheidung mitgeteilt werden.

6.4 Die Überprüfung der Identität der betroffenen Person erfolgt stets in einer angemessenen Weise, die eine hinreichende Identifizierung der betroffenen Person in Bezug auf die Form der Übermittlung, das verwendete Kommunikationsmittel und den Inhalt des Antrags der betroffenen Person gewährleistet.

6.5 Alle Ersuchen von betroffenen Personen müssen ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach ihrem Eingang, bearbeitet werden.

6.6 Beantragt eine betroffene Person Auskunft über personenbezogene Daten, so hat der jeweilige Verantwortliche der betroffenen Person zumindest mitzuteilen, ob die sie betreffenden personenbezogenen Daten verarbeitet werden oder nicht, und, wenn dies der Fall ist, der betroffenen Person die personenbezogenen Daten und Informationen darüber zu übermitteln:

6.6.1. den Zweck der Verarbeitung;

 

6.6.2. die Kategorien der betroffenen personenbezogenen Daten;

 

6.6.3. die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, insbesondere Empfänger in Drittländern oder internationale Organisationen;

6.6.4. die vorgesehene Dauer der Speicherung der personenbezogenen Daten oder, falls diese nicht ermittelt werden kann, die Kriterien für die Festlegung dieser Dauer;

6.6.5. das Bestehen des Rechts, vom Unternehmen die Berichtigung oder Löschung der die betroffene Person betreffenden personenbezogenen Daten oder die Einschränkung ihrer Verarbeitung zu verlangen oder einer solchen Verarbeitung zu widersprechen;

6.6.6. das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;

 

6.6.7. alle verfügbaren Informationen über die Quelle der personenbezogenen Daten, es sei denn, sie wurden von der betroffenen Person eingeholt;


6.6.8. die Tatsache, dass eine automatisierte Entscheidungsfindung, einschließlich Profiling, stattfindet, und zumindest in diesen Fällen aussagekräftige Informationen über das angewandte Verfahren sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.

6.7 Die in diesem Artikel genannten Informationen werden der betroffenen Person von dem Unternehmen in derselben Form zur Verfügung gestellt, in der die betroffene Person die Informationen angefordert hat.

6.8 Im Falle wiederholter Anfragen der betroffenen Person werden der betroffenen Person für jede wiederholte Anfrage 50 CZK in Rechnung gestellt.

6.9 Das Unternehmen speichert Anfragen und Antworten in elektronischer Form.

 

  1. MELDUNG VON VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

 

7.1 Das Unternehmen meldet jede Verletzung des Schutzes personenbezogener Daten gemäß Artikel 4 Absatz 12 DSGVO unverzüglich und vorzugsweise innerhalb von 72 Stunden, nachdem es davon Kenntnis erlangt hat, an die Aufsichtsbehörde, es sei denn, die Verletzung wird wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, müssen gleichzeitig die Gründe für die Verzögerung angegeben werden.

7.2 Die Meldung an die Aufsichtsbehörde erfolgt über einen Antrag auf einen Datenbriefkasten, per E-Mail, telefonisch oder ggf. schriftlich.

7.3 Die Meldung an die Aufsichtsbehörde gemäß diesem Artikel muss mindestens Folgendes enthalten:

 

7.3.1. eine Beschreibung der Art der fraglichen Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

7.3.2. den Namen und die Kontaktdaten einer Kontaktstelle, die weitere Auskünfte erteilen kann;

7.3.3. eine Beschreibung der wahrscheinlichen Folgen einer Verletzung des Schutzes personenbezogener Daten;

 

7.3.4. eine Beschreibung der Maßnahmen, die das Unternehmen ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

7.4 Wenn eine bestimmte Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt das Unternehmen die betroffene Person unverzüglich von der Verletzung.

7.5 Die Mitarbeiter müssen Sicherheitsverstöße dem Companion des Unternehmens melden.

 

7.6 Die Erfassung von Vorfällen wird vom Sekretär des Unternehmens an den Geschäftsführer oder eine andere befugte Person in Form einer Liste von Vorfällen mit einer Beschreibung des Vorfalls weitergeleitet.

 

  1. BILDUNG

 

8.1 Das Unternehmen schult seine Mitarbeiter im Hinblick auf die Einhaltung der GDPR-Datenschutzrichtlinie.

 

  1. DURCHFÜHRUNG DER NOTIFIZIERUNGEN IM RAHMEN DIESER RICHTLINIE

 

9.1 Ist eine Person aufgrund dieser Richtlinie verpflichtet, einer anderen Person Informationen mitzuteilen, so hat die erste Person die Mitteilung schriftlich zu machen. Diese Schriftform gilt als Brief oder E-Mail auf Papier.

 

  1. ÜBERWACHUNG DER EINHALTUNG DER RICHTLINIE

 

10.1 Die Einhaltung dieser Richtlinie und der verbindlichen Rechtsvorschriften wird vom Aktionär der Gesellschaft überwacht.

10.2 Der Gesellschafter des Unternehmens ist Ansprechpartner für die Mitarbeiter des Unternehmens in Fragen der Sicherheit und des Datenschutzes. Bei Zweifeln über die Auslegung dieser Richtlinie oder über den Umfang und den Inhalt der rechtlichen Verpflichtungen legt die Unternehmensleitung eine verbindliche Auslegung vor, der sie zu folgen hat.

10.3 Der Mitarbeiter ist dafür verantwortlich, diese Richtlinie auf dem neuesten Stand zu halten.

 

In Carlsbad auf ……… Für DEXPORT s.r.o.

 

………………………………..

Martin Plch

Partner, Geschäftsführer