SICHERHEITSRICHTLINIE ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
SICHERHEITSRICHTLINIE
VERARBEITUNG PERSONENBEZOGENER DATEN
In
BizeA Gesellschaft mit beschränkter Haftung
mit Sitz in Tomice, ul. Europäisch 4.
Eintrag
Umsetzung des verfassungsmäßigen Rechts jeder Person auf Schutz des Privatlebens und der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 / 46 / EG (Allgemeine Datenschutzverordnung), um technische und organisatorische Maßnahmen anzuwenden, um den Schutz der verarbeiteten personenbezogenen Daten entsprechend den Bedrohungen und Kategorien der geschützten Daten zu gewährleisten, insbesondere den Schutz der Daten vor unbefugter Offenlegung, Entfernung durch Unbefugte und Verarbeitung unter Verstoß gegen die oben genannten Bestimmungen Vorschriften und Änderungen, Verlust, Beschädigung oder Zerstörung gelten die folgenden Verfahren.
Kapitel 1
Allgemeine Bestimmungen
§ 1. Immer wenn im Dokument Folgendes erwähnt wird:
1) Verordnung - bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 /EG (Datenschutz-Grundverordnung);
2) persönliche Daten – es handelt sich um Informationen über eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere anhand einer Kennung wie Vor- und Nachname, Kennnummer, Standortdaten, Online-Kennung oder einem oder mehreren spezifischen Faktoren identifiziert werden kann, die die physischen, physiologischen, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität der natürlichen Person;
3) Datensatz – es handelt sich um einen geordneten Satz personenbezogener Daten, der nach bestimmten Kriterien verfügbar ist, unabhängig davon, ob dieser Satz zentral, dezentral oder funktionell oder geografisch verteilt ist;
4) Datenverarbeitung – bezeichnet einen Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten auf automatisierte oder nicht automatisierte Weise durchgeführt werden, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Ordnen, Speichern, Anpassen oder Modifizieren, Herunterladen, Anzeigen, Verwenden, Offenlegung durch Versenden, Verbreiten oder sonstiges Bereitstellen, Abgleichen oder Zusammenführen, Einschränken, Löschen oder Vernichten;
5) IT System – es handelt sich um eine Reihe zusammenwirkender Geräte, Programme, Informationsverarbeitungsverfahren und Softwaretools, die für die Datenverarbeitung verwendet werden;
6) Sicherung der Daten im IT-System – es bedeutet die Umsetzung und Durchführung geeigneter technischer und organisatorischer Maßnahmen, um den Schutz der Daten vor unbefugter Verarbeitung zu gewährleisten;
7) Daten löschen – es handelt sich um die Vernichtung personenbezogener Daten oder deren Veränderung in einer Weise, dass es nicht möglich ist, die Identität der betroffenen Person zu ermitteln;
8) Datencontroller – eine natürliche oder juristische Person, Behörde, Einheit oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; Wenn die Zwecke und Mittel dieser Verarbeitung durch das Recht der Union oder der Mitgliedstaaten festgelegt sind, können der Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Recht der Union oder der Mitgliedstaaten vorgesehen werden;
9) Einwilligung der betroffenen Person – es handelt sich um eine freiwillige, spezifische, informierte und unmissverständliche Willenserklärung, mit der die betroffene Person in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung der Verarbeitung der sie betreffenden personenbezogenen Daten zustimmt;
10) Datenempfänger – es handelt sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; Die Verarbeitung dieser Daten durch diese Behörden muss den Datenschutzbestimmungen entsprechen, die je nach den Zwecken der Verarbeitung gelten.
11) drittes Land – es handelt sich um ein Land, das nicht zum Europäischen Wirtschaftsraum gehört;
12) technische und organisatorische Maßnahmen – darunter sind technische und organisatorische Maßnahmen zu verstehen, die zur Gewährleistung der Vertraulichkeit, Integrität und Verantwortlichkeit der verarbeiteten personenbezogenen Daten erforderlich sind;
13) Einschränkung der Verarbeitung – darunter versteht man die Markierung der gespeicherten personenbezogenen Daten, um deren künftige Verarbeitung einzuschränken;
14) Profilierung – Darunter versteht man jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Faktoren einer natürlichen Person zu bewerten, insbesondere um Aspekte bezüglich der Auswirkungen auf die Arbeit, die wirtschaftliche Lage oder die Gesundheit dieser natürlichen Person zu analysieren oder vorherzusagen , persönliche Vorlieben, Interessen, Glaubwürdigkeit, Verhalten, Standort oder Bewegung;
15) Pseudonymisierung – Hierbei handelt es sich um die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die eine Zuordnung verhindern an eine identifizierte oder identifizierbare natürliche Person;
16) Verarbeitungseinheit – Hierbei handelt es sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
17) Verletzung des Schutzes personenbezogener Daten – Dies bedeutet eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
Kapitel 2
Datenadministrator
§ 2. Insbesondere der Datenverwalter:
- Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere der Bedrohung trifft sie geeignete technische und organisatorische Maßnahmen, um die Durchführung der Verarbeitung sicherzustellen ordnungsgemäß vorgehen und dies nachweisen können. Diese Maßnahmen werden überprüft und bei Bedarf aktualisiert.
- Führt ein Verzeichnis der Verarbeitungstätigkeiten. Das Register muss folgende Angaben enthalten:
- Vor- und Nachname oder Firmenname und Kontaktdaten des Datenverantwortlichen und etwaiger Mitverantwortlicher sowie gegebenenfalls des Vertreters des Datenverantwortlichen und des Datenschutzbeauftragten;
- Verarbeitungszwecke,
- eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten,
- Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen,
- gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich des Namens dieses Drittlandes oder dieser internationalen Organisation, und im Falle von Übermittlungen im Sinne der Verordnung Art. 49 Sek. 1, zweiter Unterabsatz, Dokumentation geeigneter Schutzmaßnahmen,
- soweit möglich die geplanten Löschtermine einzelner Datenkategorien,
- wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 Sek. 1. Regelung,
Kapitel 3
Technische und organisatorische Maßnahmen
§ 3. Zum Schutz der Daten erfüllt der Datenverantwortliche die in der Verordnung genannten Anforderungen:
a) eine Datenschutz-Folgenabschätzung durchführen,
b) führt eine Risikoanalyse in Bezug auf die beteiligten Ressourcen einzelner Prozesse durch,
c) nur vom Verantwortlichen autorisierte Personen durften die Daten verarbeiten (Anlage 1),
d) Auftragsverarbeitungsverträge gemäß Anlage 2 abgeschlossen wurden,
e) diese Sicherheitsrichtlinie wurde entwickelt und umgesetzt.
§ 4. Zum Schutz personenbezogener Daten gilt Folgendes: physische Schutzmaßnahmen für personenbezogene Daten:
- Persönliche Daten werden in einem Raum aufbewahrt, der durch eine normale Tür (nicht verstärkt, nicht feuerbeständig) gesichert ist.
- Persönliche Datendateien werden in einem mit einer Tür gesicherten Raum aufbewahrt, persönliche Datendateien werden in einem Raum im ersten und zweiten Stock aufbewahrt.
- Das Gebäude, in dem der Datenverantwortliche seinen Sitz hat, ist mit einer Einbruchmeldeanlage ausgestattet
- Der Zugang zu Räumen, in denen personenbezogene Daten verarbeitet werden, ist durch ein Zugangskontrollsystem geschützt – Schlüssel werden an der Rezeption nur an autorisierte Personen ausgegeben.
- Der Zugang zum Gebäude, in dem der Datenverantwortliche seinen Sitz hat, wird durch ein Überwachungssystem mit Industriekameras kontrolliert
- Das Gebäude, in dem der Datenverantwortliche seinen Sitz hat, wird rund um die Uhr vom Sicherheitsdienst überwacht.
- Persönliche Datendateien in Papierform werden in einem geschlossenen Metallschrank und in geschlossenen, nichtmetallischen Schränken aufbewahrt.
- Sicherungs-/Archivkopien persönlicher Datendateien werden in einem geschlossenen, nichtmetallischen Schrank aufbewahrt
- Räume, in denen personenbezogene Daten verarbeitet werden, sind durch eine Brandschutzanlage und/oder einen freistehenden Feuerlöscher vor Brandeinwirkungen geschützt,
- Dokumente mit personenbezogenen Daten werden nach Ablauf ihres Ablaufdatums maschinell durch Aktenvernichter vernichtet.
§ 5. Zum Schutz personenbezogener Daten werden folgende Hardwaremaßnahmen der IT- und Telekommunikationsinfrastruktur eingesetzt:
- Computer, die zur Verarbeitung personenbezogener Daten verwendet werden, sind an ein lokales Computernetzwerk angeschlossen,
- Geräte wie USV, Stromgenerator und/oder ein separates Stromnetz eingesetzt wurden, um das IT-System zur Verarbeitung personenbezogener Daten vor den Auswirkungen eines Stromausfalls zu schützen,
- Der Zugriff auf die personenbezogene Datendatei, die auf einem separaten Computerplatz/tragbaren Computer verarbeitet wird, ist durch ein Passwort vor unbefugter Aktivierung geschützt
- der Zugriff auf das Betriebssystem des Computers, auf dem personenbezogene Daten verarbeitet werden, durch ein Authentifizierungsverfahren mittels Benutzerkennung und Passwort gesichert ist,
- Es wurden Maßnahmen ergriffen, um die unbefugte Anfertigung personenbezogener Daten, die mithilfe von IT-Systemen verarbeitet werden, zu verhindern.
- ein System zur Registrierung des Zugriffs auf die System-/Personendatendatei verwendet wurde,
- für personenbezogene Daten, die per Fernübertragung übermittelt werden, kryptografische Datenschutzmaßnahmen angewendet wurden,
- Ein Festplattenarray wurde verwendet, um persönliche Daten vor den Auswirkungen eines Festplattenspeicherausfalls zu schützen.
- Schutzmaßnahmen gegen schädliche Software, wie Würmer, Viren, Trojanische Pferde, Rootkits, angewendet wurden,
- Zum Schutz des Zugriffs auf das Computernetzwerk wurde ein Firewall-System eingesetzt.
- das IDS/IPS-System wurde verwendet, um den Zugriff auf das Computernetzwerk zu schützen,
§ 6. Zum Schutz personenbezogener Daten werden im Rahmen von Softwaretools und Datenbanken folgende Schutzmaßnahmen angewendet:
- Es wurden Maßnahmen ergriffen, um die Zugriffsrechte auf den angegebenen Datenumfang innerhalb der verarbeiteten personenbezogenen Daten festzulegen.
- Der Zugriff auf Datensätze, die teilweise in IT-Systemen verarbeitet werden, erfordert eine Authentifizierung mittels Benutzerkennung und Passwort.
- Systemmaßnahmen wurden verwendet, um die geeigneten Zugriffsrechte auf IT-Ressourcen, einschließlich personenbezogener Datensätze für einzelne Benutzer des IT-Systems, festzulegen.
- Es wurde ein Mechanismus verwendet, der eine regelmäßige Änderung der Zugangspasswörter zur Datei mit personenbezogenen Daten erzwingt.
- An Arbeitsplätzen, an denen personenbezogene Daten verarbeitet werden, sind Bildschirmschoner installiert,
- Es wurde ein Mechanismus zur automatischen Sperrung des Zugriffs auf das IT-System zur Verarbeitung personenbezogener Daten im Falle einer längeren Inaktivität der Arbeit des Benutzers angewendet (Bildschirmschoner).
- § 7. Zum Schutz personenbezogener Daten kommen folgende organisatorische Maßnahmen zum Einsatz:
- Die mit der Datenverarbeitung beschäftigten Personen wurden mit den Bestimmungen zum Schutz personenbezogener Daten vertraut gemacht,
- Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, wurden im Bereich IT-Systemsicherheit geschult,
- Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, sind zur Verschwiegenheit verpflichtet,
- Monitore von Computern, auf denen personenbezogene Daten verarbeitet werden, sind so eingestellt, dass ein unbefugter Zugriff auf die verarbeiteten Daten verhindert wird,
- Sicherungskopien des personenbezogenen Datensatzes werden in einem anderen Raum gespeichert als dem, in dem sich der Server befindet, auf dem personenbezogene Daten fortlaufend verarbeitet werden,
- Der Datenverantwortliche hat die grundlegenden Sicherheitsregeln festgelegt, die für alle Mitarbeiter des Unternehmens gelten, d. h.:
- das Need-to-know-Prinzip – den Zugriff auf Daten nur auf diejenigen zu beschränken, die für die Erfüllung der Aufgaben in einer bestimmten Position erforderlich sind,
- das Prinzip der Ressourcenverantwortung – der Auftragsverarbeiter ist für die von ihm verarbeiteten Daten verantwortlich und verpflichtet, die in diesem Zusammenhang festgelegten Sicherheitsverfahren einzuhalten,
- das Prinzip eines geschlossenen Raumes – Außenstehende nicht allein im Raum lassen (in Abwesenheit einer berechtigten Person), die Räume beim Verlassen unbedingt mit einem Schlüssel abschließen und keine Schlüssel in den Schlössern stecken lassen,
- das Prinzip eines sauberen Schreibtisches – Papierdokumente und Datenträger nicht unbeaufsichtigt auf dem Schreibtisch liegen lassen (CDs, DVDs, USB-Sticks etc.),
- das Prinzip der Vertraulichkeit von Konten in Systemen – jeder Mitarbeiter ist verpflichtet, in IKT-Systemen auf ihm zugewiesenen Konten zu arbeiten, es ist absolut verboten, Konten mit Personen zu teilen, die ihnen nicht zugewiesen wurden,
- der Grundsatz der Vertraulichkeit von Passwörtern und Zugangscodes – Wahrung der Vertraulichkeit und Nichtweitergabe von Passwörtern und Zugangscodes an Unbefugte; dieser Grundsatz gilt insbesondere für persönliche Zugangspasswörter zu IKT-Systemen und geschützten Zonen,
- der Grundsatz der Nutzung geschäftlicher E-Mails – jede Person, die zur Datenverarbeitung im Rahmen der Erfüllung ihrer Amtspflichten berechtigt ist, nutzt nur das geschäftliche E-Mail-Postfach, die Nutzung privater E-Mails ist in diesem Zusammenhang verboten,
- Clean-Screen-Prinzip – Sperren des Computers vor Verlassen des Raumes, bei längerer Abwesenheit im Raum ist eine Abmeldung vom System erforderlich,
- Clean-Desktop-Prinzip – auf dem Computer-Desktop sollten sich nur Icons von Standardsoftware und Geschäftsanwendungen sowie Verknüpfungen zu Ordnern befinden, sofern der Name keine Daten, insbesondere personenbezogene Daten, enthält, die unkontrolliert offengelegt werden können (z. B. während). eine Präsentation),
- die Regel für saubere Drucker/Fotokopierer – Entnahme von Dokumenten aus Druckern unmittelbar nach dem Drucken; diese Regel gilt insbesondere für Dokumente, die in Druckern in einem anderen Raum zurückgelassen werden,
- Clean-Bin-Prinzip – Papierdokumente, mit Ausnahme von Werbematerialien, sollten im Aktenvernichter oder durch ein externes Unternehmen vernichtet werden,
- das Prinzip der Softwarelegalität – ein Verbot der Selbstinstallation von Software, einschließlich insbesondere der Speicherung von urheberrechtsverletzenden Inhalten und anderen illegalen Daten auf dem Computer,
- Grundsatz der Meldung von Sicherheitsvorfällen – jeder Datenverarbeiter ist verpflichtet, Vorfälle im Zusammenhang mit der Informationssicherheit, d. h. unbefugte Offenlegung, Zerstörung oder Änderung von Informationen, gemäß dem in Kapitel 8 festgelegten Verfahren zu melden,
- das Prinzip der Nutzung der Ressourcen des Unternehmens – die Daten, die sich im Besitz des Datenverantwortlichen befinden, dürfen nur mit Verarbeitungsmitteln verarbeitet werden, die für die Verwendung im Unternehmen zugelassen sind, insbesondere ist es verboten, zu diesem Zweck private Datenverarbeitungsgeräte zu verwenden,
- Der Grundsatz, bei der Angabe von Dateien, Ordnern usw. keine Namen zu verwenden, die personenbezogene Daten enthalten.
- Der Grundsatz des angemessenen Schutzes der Hardware-Ressourcen des Unternehmens, die als Geschäftsausstattung verwendet werden – tragbare Computer, Telefone, Smartphones, Tablets und andere Geräte, die von Personen verwendet werden, die Daten im Unternehmen für geschäftliche Zwecke verarbeiten – sollten ordnungsgemäß vor dem Zugriff unbefugter Personen, zumindest dieser, geschützt werden Zur Aktivierung des Geräts sollte eine Sicherheit in Form von Zugangspasswörtern vorhanden sein.
Kapitel 4
DPIA-Verfahren
(Datenschutz-Folgenabschätzung)
§ 8. Für jeden Vorgang wird eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt.
§ 9. Eine DSFA wird immer dann durchgeführt, wenn sich die Verarbeitung personenbezogener Daten wesentlich ändert, z. B. Wechsel des Dienstleisters, Änderung der Datenverarbeitungsmethode, Austausch der am Prozess beteiligten Ressourcen.
§ 10. Eine DSFA wird zusammen mit einer Risikoanalyse mindestens einmal jährlich in Bezug auf Prozesse durchgeführt, die aufgrund einer zuvor durchgeführten DSFA ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen erkennen ließen.
Kapitel 5
Risikoanalyseverfahren und Risikomanagementplan
§ 11. Der Datenverwalter führt eine Risikoanalyse für die an den Prozessen beteiligten Ressourcen durch.
§ 12. Die Risikoanalyse wird mindestens einmal jährlich durchgeführt und ist die Grundlage für die Aktualisierung der Risikomanagementmethode.
§ 13. Basierend auf den Ergebnissen der Risikoanalyse implementiert der Datenverantwortliche selbstständig Methoden zum Umgang mit dem Risiko.
§ 14. Der Datenverantwortliche entscheidet jedes Mal, wie mit dem Risiko umzugehen ist, und legt fest, welche Risiken und in welcher Reihenfolge zuerst berücksichtigt werden.
Kapitel 6
Vorgehensweise bei der Zusammenarbeit mit externen Stellen
§ 15.1. Jeder Inanspruchnahme der Dienste des Auftragsverarbeiters geht der Abschluss eines Vertrages über die Beauftragung der Verarbeitung personenbezogener Daten voraus
2. Der Datenverwalter führt ein Register der externen Stellen, denen personenbezogene Daten zur Verarbeitung anvertraut werden
§ 16. Vor jedem Abschluss eines Vertrags über die Beauftragung der Verarbeitung personenbezogener Daten überprüft der Datenverantwortliche die Einhaltung der Vorschriften aller Verarbeitungsunternehmen, deren Dienste er in Anspruch nehmen möchte, indem er das Verfahren der Zusammenarbeit mit externen Unternehmen nutzt.
Kapitel 7
Standardverfahren zum Datenschutz
(Datenschutz durch Technikgestaltung)
§ 17. Wenn ein neues Produkt oder eine neue Dienstleistung erstellt wird, berücksichtigt der Datenverantwortliche die Rechte der betroffenen Personen in jeder wichtigen Phase des Entwurfs und der Implementierung. Sie setzt geeignete technische und organisatorische Maßnahmen um, um sicherzustellen, dass standardmäßig nur diejenigen personenbezogenen Daten verarbeitet werden, die zur Erreichung des jeweiligen Verarbeitungszwecks (Menge der erhobenen Daten, Umfang und Zeitraum der verarbeiteten Daten sowie deren Verfügbarkeit) erforderlich sind.
§ 18. Im Falle der Absicht, mit der Verarbeitung personenbezogener Daten in einem neuen Prozess zu beginnen, führt der Datenverantwortliche eine DSFA in Bezug auf diesen Prozess durch.
Kapitel 8
Vorfallmanagementverfahren
§ 20. Bei jedem Verstoß gegen den Schutz personenbezogener Daten prüft der Verantwortliche, ob der Verstoß zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat.
§ 21. Stellt der Verantwortliche fest, dass durch den Verstoß die Gefahr einer Verletzung der Rechte und Freiheiten natürlicher Personen besteht, benachrichtigt er die Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden. von der Identifizierung eines Verstoßes mithilfe des Security Incident Management-Verfahrens.
§ 22. Der für die Verarbeitung Verantwortliche benachrichtigt die betroffenen Personen im Falle eines Verstoßes, der sie betrifft und der die Gefahr einer Verletzung ihrer Rechte oder Freiheiten mit sich bringt, auf der Grundlage einer Vorlage für die Benachrichtigung der betroffenen Person über den Verstoß, es sei denn, er hat Maßnahmen ergriffen, um die Wahrscheinlichkeit eines Verstoßes auszuschließen Es besteht ein hohes Risiko für den oben genannten Verstoß. Verstöße.
§ 23. Der Verantwortliche dokumentiert Verstöße und führt ein Verzeichnis der Verstöße, die zu einer Verletzung der Rechte und Freiheiten natürlicher Personen führen.
Kapitel 9
Das Verfahren zur Verwirklichung der Rechte von Personen
§ 24. Jeder Fall der Mitteilung der betroffenen Person über den Willen, die in der Verordnung vorgesehenen Rechte auszuüben, wird vom Datenverantwortlichen einzeln geprüft.
§ 25. Der Datenverantwortliche setzt unverzüglich die folgenden Rechte der betroffenen Personen um:
- das Recht auf Datenzugriff,
- das Recht auf Berichtigung von Daten,
- das Recht auf Datenlöschung,
- das Recht auf Datenübertragbarkeit,
- das Recht, der Datenverarbeitung zu widersprechen,
- das Recht, nicht ausschließlich auf Profiling beruhenden Entscheidungen unterworfen zu werden.
§ 26. Im Falle der Ausübung des Rechts auf Berichtigung, Löschung und Einschränkung der Datenverarbeitung hat der Verantwortliche die Datenempfänger, denen er die Daten zur Verfügung gestellt hat, unverzüglich zu informieren, es sei denn, dies ist unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden.
§ 27. Der Verantwortliche weigert sich, die Rechte der betroffenen Personen auszuüben, wenn sich eine solche Möglichkeit aus den Bestimmungen der Verordnung ergibt. Allerdings bedarf jede Verweigerung der Ausübung der Rechte der betroffenen Personen einer Begründung mit der sich aus der Verordnung ergebenden Rechtsgrundlage.
Kapitel 10
Das Verfahren zur Einholung von Einwilligungen und zur Information von Personen
§ 28. 1. In jedem Fall der Datenerhebung direkt bei der betroffenen Person kommt der Verantwortliche der Informationspflicht gegenüber der betroffenen Person nach.
2. Im Falle der Erhebung von Daten eines Mitarbeiters wird die Vorlage zur Informationspflicht verwendet.
§ 29. In jedem Fall der Erhebung von Daten aus anderen Quellen als der betroffenen Person erfüllt der Verantwortliche die Informationspflicht gegenüber der betroffenen Person unverzüglich, spätestens jedoch beim ersten Kontakt mit der betroffenen Person.
§ dreißig. In jedem Fall der Einholung einer Einwilligung der betroffenen Person werden Klauseln verwendet.
Kapitel 11
Schlussbestimmungen
§ 31. Alle in diesem Dokument beschriebenen Regeln werden von den zur Verarbeitung personenbezogener Daten befugten Personen eingehalten, wobei das Wohl der betroffenen Personen besonders im Vordergrund steht.
§ 32. Dieses Dokument ist ab dem Datum seiner Genehmigung durch den Datenverantwortlichen gültig.