Zum Inhalt springen Zum Fußbereich springen
Schließen

Einführung

DSGVO ist die Datenschutz-Grundverordnung , die seit dem 25. Mai 2018 in Kraft ist und die bedeutendste Änderung im Bereich des Schutzes personenbezogener Daten in den letzten zwei Jahrzehnten darstellt. Es ist so konzipiert und ausgeführt, dass es den Anforderungen des digitalen Zeitalters voll und ganz gerecht wird.
Das 21. Jahrhundert bringt eine breitere Anwendung der Technologie im Alltag sowie neue Definitionen personenbezogener Daten mit sich. Das Ziel der DSGVO besteht darin, die Datenschutzgesetze in der gesamten Europäischen Union zu vereinheitlichen und Einzelpersonen dadurch umfassendere und einheitlichere Rechte hinsichtlich des Zugriffs auf ihre personenbezogenen Daten und der Kontrolle darüber zu gewähren.

Unser Engagement für den Datenschutz

Fine’sa Conceptus doo (im Text als „wir“, „unser“ bezeichnet) verfolgt voll und ganz das Ziel, die Sicherheit und den Schutz der verarbeiteten personenbezogenen Daten der Benutzer zu gewährleisten und seinen Benutzern einen einheitlichen Ansatz zum Datenschutz zu bieten. Wir haben stets danach gestrebt, ein robustes und wirksames Datenschutzprogramm zu haben, das den geltenden Gesetzen sowie den grundlegenden Datenschutzprinzipien entspricht. Trotzdem erkennen wir die Notwendigkeit einer Verbesserung, um die DSGVO-Richtlinien und die Gesetze der Republik Kroatien vollständig zu erfüllen.

So bereiten wir uns auf die DSGVO vor

Fine'sa Conceptus doo verfügt auf allen Organisationsebenen über einheitliche Datenschutzrichtlinien und -prozesse. Um jedoch bis zum 25. Mai 2018 die DSGVO-Richtlinien vollständig einzuhalten, haben wir die folgenden Schritte umgesetzt:

  • Informationsaudit – es wurde ein Audit der erhobenen personenbezogenen Daten auf allen Organisationsebenen durchgeführt, d. h. es wurde ihr Inhalt, die Art und Weise ihrer Erhebung, der Grund ihrer Verarbeitung und die Personen, denen sie offengelegt werden, überprüft.
  • Richtlinien und Verfahren – Es wurden Überarbeitungen durchgeführt und neue Datenschutzrichtlinien und -verfahren eingeführt, die alle Anforderungen der DSGVO und aller damit verbundenen Gesetze erfüllen und Folgendes umfassen:
    • Datenschutz – das Hauptdokument mit den Datenschutzrichtlinien und -verfahren wurde überarbeitet, um den Standards und Anforderungen der DSGVO zu entsprechen. Es gibt Verantwortlichkeiten und Governance-Maßnahmen, um sicherzustellen, dass wir unsere Verpflichtungen und Verantwortlichkeiten verstehen, angemessen verbreiten und demonstrieren, mit besonderem Schwerpunkt auf Design-Datenschutz und den Rechten des Einzelnen
    • Datenaufbewahrung und -löschung – Wir haben unsere Aufbewahrungsrichtlinien und -pläne aktualisiert, um sicherzustellen, dass wir die Grundsätze der „Datenminimierung“ und „Speicherbegrenzung“ einhalten und dass personenbezogene Daten ethisch und in Übereinstimmung mit diesen Grundsätzen gespeichert, archiviert und vernichtet werden. Wir verfügen über spezielle Löschverfahren, um der neuen Verpflichtung zum „Recht auf Löschung“ nachzukommen, und sind uns bewusst, wann andere Rechte der betroffenen Personen gelten – zusammen mit etwaigen Ausnahmen, Reaktionszeiträumen und Benachrichtigungspflichten.
    • Verletzungsmanagement – Unsere Verfahren zum Verletzungsmanagement sind Sicherheitsvorkehrungen und Verfahren, um Verletzungen des Schutzes personenbezogener Daten schnellstmöglich zu erkennen, zu bewerten, zu untersuchen und zu melden. Unsere Verfahren sind robust und für alle Mitarbeiter zugänglich. Sie stellen eine Reihe konkreter Schritte dar, die umgesetzt werden müssen.
    • Internationale Datenübertragungen und Offenlegung gegenüber Drittparteien – wenn Fine’sa Conceptus dd personenbezogene Daten außerhalb der EU speichert oder überträgt, sind robuste Verfahren und Sicherheitsvorkehrungen vorhanden, um sicherzustellen, dass die Daten gesichert und verschlüsselt sind und ihre Integrität gewahrt bleibt. Zu unseren Verfahren gehört eine laufende Überprüfung der Länder mit ausreichenden Angemessenheitsbeschlüssen sowie verbindlichen Unternehmensregelbestimmungen und Standarddatenschutzklauseln oder genehmigten Verhaltenskodizes für die Länder ohne derartige Beschlüsse. Wir führen bei allen Empfängern personenbezogener Daten strenge Due-Diligence-Prüfungen durch, um zu beurteilen und zu bestätigen, dass sie über angemessene Sicherheitsvorkehrungen zum Schutz der Informationen verfügen, durchsetzbare Rechte an den betreffenden Daten gewährleisten und den betroffenen Personen gegebenenfalls wirksame Rechtsmittel zur Verfügung stellen.
    • Antrag auf Auskunft über personenbezogene Daten (SAR) – Wir haben unsere SAR-Verfahren geändert, um der überarbeiteten 30-tägigen Frist für die Bereitstellung der angeforderten Informationen gerecht zu werden und diese Bereitstellung kostenlos zu ermöglichen. Unsere neuen Verfahren beschreiben detailliert die Datenvalidierung, welche Schritte zur Bearbeitung von Zugriffsanfragen unternommen werden, welche Ausnahmen gelten und bieten eine Reihe von Antwortvorlagen, um sicherzustellen, dass die Kommunikation über Daten konform, konsistent und angemessen ist.
  • Rechtsgrundlage für die Verarbeitung – wir überprüfen alle Verarbeitungsaktivitäten, um die Rechtsgrundlage für die Verarbeitung zu ermitteln und sicherzustellen, dass jede Grundlage für die Aktivität, auf die sie sich bezieht, geeignet ist. Gegebenenfalls führen wir zudem ein Verzeichnis der Verarbeitungstätigkeiten, um sicherzustellen, dass die Pflichten nach Art. 30 DSGVO und Anhang 1 des Datenschutzgesetzes eingehalten werden.
  • Datenschutzhinweis und -richtlinie – Wir haben unsere Datenschutzhinweise geändert, um der DSGVO zu entsprechen und sicherzustellen, dass alle Personen, deren personenbezogene Daten verarbeitet werden, darüber informiert sind, warum wir die Daten benötigen, wie sie verwendet werden, welche Rechte sie haben und welche Sicherheitsvorkehrungen zum Schutz der Daten getroffen werden.
  • Einholung der Einwilligung – Wir haben unsere Einwilligungsmechanismen für die Erhebung personenbezogener Daten überarbeitet. Wir stellen sicher, dass die Personen verstehen, was sie angeben, warum und wie wir es verwenden. Außerdem bieten wir klare und definierte Möglichkeiten zur Einwilligung in die Verarbeitung personenbezogener Daten. Wir haben strenge Verfahren zur Aufzeichnung der Einwilligung entwickelt, die sicherstellen, dass wir eine bestätigende Einwilligung zusammen mit Uhrzeit und Datum der Aufzeichnung nachweisen können. Auf diese Weise ist jederzeit leicht ersichtlich und zugänglich, wie die Einwilligung widerrufen werden kann.
  • Direktmarketing – Wir haben unsere Direktmarketingtexte und -verfahren überarbeitet und klare Opt-in-Mechanismen für das Direktabonnementmarketing (Newsletter) sowie einen klaren Hinweis und eine Methode zur Entfernung und Bereitstellung von Abmeldefunktionen in alle nachfolgenden Marketingmaterialien aufgenommen.
  • Datenschutz-Folgenabschätzungen (DSFA) – wenn wir personenbezogene Daten verarbeiten, die als mit hohem Risiko behaftet gelten, darunter die Verarbeitung im großen Maßstab oder Daten zu besonderen Kategorien/Strafverurteilungen, haben wir strenge Verfahren und Bewertungsvorlagen für die Durchführung von Folgenabschätzungen entwickelt, die den Anforderungen von Artikel 35 der DSGVO vollständig entsprechen. Wir haben Dokumentationsprozesse implementiert, die jede Bewertung aufzeichnen, es uns ermöglichen, das durch die Verarbeitung entstehende Risiko einzuschätzen und Minderungsmaßnahmen zu ergreifen, um das Risiko für die betroffene Person zu verringern.
  • Externe Datenverarbeitungsvereinbarungen – wenn wir Dritte mit der Verarbeitung personenbezogener Daten in unserem Namen beauftragen (z. B. Gehaltsabrechnung, Personalbeschaffung, Hosting usw.), haben wir entsprechende Prozessvereinbarungen und Due-Diligence-Verfahren eingerichtet, um sicherzustellen, dass alles unseren und ihren DSGVO-Verpflichtungen entspricht. Zu diesen Maßnahmen gehören erstmalige und laufende Prüfungen der erbrachten Dienstleistung, der Notwendigkeit der Verarbeitungstätigkeit, technischer und organisatorischer Maßnahmen sowie der Einhaltung der DSGVO.
  • Daten besonderer Kategorien – in Situationen, in denen wir Daten besonderer Kategorien erheben und verarbeiten, entsprechen alle Verfahren den Anforderungen von Artikel 9 und es erfolgt eine hochgradige Verschlüsselung und ein hoher Schutz aller Daten dieser Art. Daten besonderer Kategorien werden nur verarbeitet, wenn dies erforderlich ist, und nur, wenn wir zunächst eine geeignete Grundlage gemäß Artikel 9(2) oder eine Anforderung gemäß Anhang 1 des Datenschutzgesetzes festgestellt haben. Wenn wir uns bei der Verarbeitung auf die Zustimmung verlassen, wird diese ausdrücklich durch Unterschrift bestätigt, wobei das Recht zur Änderung oder zum Widerruf der Zustimmung klar angegeben ist.

Rechte der Person, deren Daten erhoben wurden

Zusätzlich zu den zuvor genannten Richtlinien und Verfahren, die sicherstellen können, dass Einzelpersonen ihre Datenschutzrechte wahrnehmen, gewähren wir Einzelpersonen über unsere Website das Recht auf Zugriff auf alle personenbezogenen Daten, die Fine’sa Conceptus doo über sie verarbeitet. Personen, deren Daten erhoben wurden, haben das Recht, Auskunft über folgende Informationen zu verlangen:

  • Alle personenbezogenen Daten, die wir über sie gespeichert haben
  • Zwecke der Datenverarbeitung
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • An alle Parteien, die Zugriff auf personenbezogene Daten haben
  • Wie lange werden personenbezogene Daten gespeichert?
  • Die Datenquelle, sofern wir die Daten nicht direkt von ihnen erhoben haben
  • Das Recht auf Berichtigung unvollständiger oder unrichtiger Daten über sie sowie das Verfahren zur Einleitung der Berichtigung und Ergänzung von Daten
  • Das Recht, die Löschung personenbezogener Daten oder die Einschränkung der Datenverarbeitung gemäß allen relevanten Datenschutzgesetzen zu verlangen, sowie das Recht, Einspruch gegen jegliche Form von Direktmarketing gegen sie einzulegen und Einblick in alle automatisierten Direktmarketingprozesse zu erhalten, mit denen diese durchgeführt wurden.
  • Das Recht, eine Beschwerde einzureichen oder Rechtsmittel einzulegen, und an wen Sie sich in diesen Situationen wenden können

Informationssicherheit und technisch-organisatorische Maßnahmen

Fine’sa Conceptus nimmt die Privatsphäre und Sicherheit natürlicher Personen sowie ihrer personenbezogenen Daten ernst und ergreift alle angemessenen Maßnahmen und Vorkehrungen, um den Schutz der verarbeiteten Daten zu gewährleisten. Zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Vernichtung bestehen robuste Sicherheitsrichtlinien und -verfahren mit mehreren Sicherheitsebenen, darunter:

  • SSL
  • Zugriffskontrolle
  • Passwortregeln
  • Kodierung
  • Pseudonymisierung
  • Praktiken
  • Einschränkungen
  • ES
  • Authentifizierung

DSGVO-Rollen und -Mitarbeiter

Im Namen von Fine's Conceptus doo wurde ___________________ als Verantwortlicher für die Datensicherheit benannt und eine Gruppe wurde gebildet, die für die Umsetzung von Regeln und Verfahren gemäß der DSGVO zuständig ist. Die betreffende Gruppe ist dafür verantwortlich, das Bewusstsein für die DSGVO innerhalb der Organisation, das Verständnis der Mitarbeiter und die fortlaufende Einhaltung der DSGVO zu fördern. Es wurde ein Mitarbeiterschulungsprogramm implementiert, das allen Mitarbeitern vor dem 25. Mai 2018 zur Verfügung steht und Teil des jährlichen Schulungsprogramms auf Ebene der gesamten Organisation ist.