§1 ALLGEMEINE BESTIMMUNGEN
Diese Datenschutzrichtlinie wurde von Wojciech Szafarz eingeführt, der ein Unternehmen unter dem Namen WOJMAL Wojciech Szafarz mit Sitz in Wadowice, ul. Łazówka 4, betreibt und die Steuernummer NIP 5512504025 besitzt. Sie stellt ein Instrument zum Schutz personenbezogener Daten dar, das in Art. 24 Abs. 2 der Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) – im Folgenden auch als: DSGVO – genannt wird.
§2 DEFINITIONEN
1. **Datenverwalter** (auch: Verwalter) – Wojciech Szafarz, der ein Unternehmen unter dem Namen WOJMAL Wojciech Szafarz mit Sitz in Wadowice, ul. Łazówka 4, betreibt und die Steuernummer NIP 5512504025 besitzt;
2. **personenbezogene Daten** – alle Informationen über eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere anhand eines Identifikators wie Name, Identifikationsnummer, Standortdaten, Online-Kennung oder eines oder mehrerer spezifischer Faktoren, die die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität der natürlichen Person bestimmen;
3. **Datenverarbeitungsmedien** – Materialien oder Geräte zur Aufzeichnung, Speicherung und zum Abrufen personenbezogener Daten in digitaler oder analoger Form;
4. **Datenintegrität** – die Eigenschaft, die gewährleistet, dass personenbezogene Daten nicht unbefugt geändert oder zerstört wurden;
5. **Datenschutz** – die Eigenschaft, die sicherstellt, dass Daten nicht an unbefugte Stellen weitergegeben werden;
6. **Verarbeitung personenbezogener Daten** – jede Operation oder ein Satz von Operationen, die an personenbezogenen Daten oder Datensätzen in automatisierter oder nicht automatisierter Weise vorgenommen werden, wie z. B. das Sammeln, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Ändern, Abrufen, Durchsuchen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder auf andere Weise Bereitstellen, Anpassen oder Verknüpfen, Einschränken, Löschen oder Vernichten;
7. **DSGVO** – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
8. **Datenverantwortlichkeit** – die Eigenschaft, die sicherstellt, dass die Handlungen eines Unternehmens eindeutig diesem Unternehmen zugeordnet werden können;
9. **Systemintegrität** – die Unverletzlichkeit des Systems, die Möglichkeit jeglicher Manipulation, sowohl beabsichtigt als auch unbeabsichtigt, ist ausgeschlossen;
10. **Datenlöschung** – die Zerstörung personenbezogener Daten oder deren solche Änderung, die die Identität der betroffenen Person nicht mehr feststellbar macht („Anonymisierung“).
§3 ZWECK DER POLITIK
1. Diese Richtlinie wurde entwickelt, um:
a) die personenbezogenen Daten durch den Verwalter in einer fairen und rechtskonformen Weise zu verarbeiten;
b) den Aufbau und die konsequente Aufrechterhaltung eines Sicherheitssystems bei der Nutzung von IT-Systemen und traditionellen Methoden der Verarbeitung personenbezogener Daten zu erleichtern;
c) den Schutz personenbezogener Daten zu gewährleisten, insbesondere den Schutz vor: unbefugtem Zugriff auf die Daten, unbefugtem Zugriff und Entwendung durch Dritte, Veränderung, Beschädigung oder Zerstörung sowie vor Verstößen gegen gesetzliche Vorschriften zur Verarbeitung personenbezogener Daten.
2. Die getroffenen Maßnahmen und Mittel sind entsprechend dem Umfang, den Bedürfnissen und der Art der Datenverarbeitung im Rahmen der Geschäftstätigkeit von Sławomir Mrugacz, der unter dem Namen MRU-CAR Sławomir Mrugacz tätig ist, ausgerichtet.
3. Der Inhalt dieser Richtlinie berücksichtigt insbesondere, dass der Verwalter keinen Datenschutzbeauftragten bestellt hat, da:
a) es keine gesetzlichen Grundlagen für eine obligatorische Bestellung gemäß Art. 37 Abs. 1 DSGVO gibt;
b) nach Analyse der Art und des Umfangs der Datenverarbeitung der Verwalter entschieden hat, dass eine Bestellung nicht erforderlich ist.
4. Diese Richtlinie dient als Leitfaden für alle Personen, die im Rahmen der Zusammenarbeit mit Sławomir Mrugacz im Rahmen seiner Geschäftstätigkeit Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß dieser Richtlinie ausführen. Nach Erhalt einer Erlaubnis zur Verarbeitung personenbezogener Daten verpflichten sich diese Personen, diese Richtlinie zur Kenntnis zu nehmen und ihre Bestimmungen einzuhalten.
5. Ergänzend zum Datenschutzsystem des Verwalters sind:
a) die Datenschutzerklärung;
b) Verfahren bei Datenschutzverletzungen;
c) Vereinbarungen zur Datenverarbeitung, die Datenverarbeiter im Namen des Verwalters verpflichten, ein angemessenes Sicherheitsniveau zu gewährleisten;
d) eine Aufzeichnung der Personen, die zur Datenverarbeitung im Namen des Verwalters befugt sind;
e) die Schulung der zur Verarbeitung befugten Personen im Hinblick auf die Grundsätze und Methoden der Datenverarbeitung und des Datenschutzes sowie deren Verpflichtung zur Wahrung der Vertraulichkeit;
f) die Anwendung geeigneter Informationsklauseln beim Abschluss von Verträgen mit Kunden und Geschäftspartnern. Zusätzlich verpflichten sich alle Personen, die mit dem Verwalter im Rahmen seiner Geschäftstätigkeit zusammenarbeiten, unabhängig von der Grundlage dieser Zusammenarbeit, die Datenschutzgrundsätze einzuhalten, wenn sie Verträge zur Zusammenarbeit abschließen.
§4 ZWECK DER SICHERHEITSPOLITIK
1. Die angewandten Sicherheitsmaßnahmen sollen die in §3 genannten Ziele erreichen und Folgendes sicherstellen:
a) **Datenintegrität und -vertraulichkeit**: Dies bedeutet die Verarbeitung der Daten in einer Weise, die angemessene Datensicherheit gewährleistet, einschließlich Schutz vor unzulässiger oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen;
b) **Datenverantwortlichkeit**: Die Verantwortung des Verwalters zur Einhaltung der Datenschutzgrundsätze und die Verpflichtung, deren Einhaltung nachzuweisen;
c) **Systemintegrität**.
2. Der Verwalter gewährleistet auch Transparenz der Verarbeitung durch eine ehrliche Information der betroffenen Personen über die Verarbeitungsgrundsätze und die Pflege des Dialogs mit diesen Personen. Der Verwalter stellt sicher, dass die Informationen prägnant, transparent, verständlich und in leicht zugänglicher Form sowie in klarer und einfacher Sprache vermittelt werden.
§5 ANWENDUNGSBEREICH DER SICHERHEITSPOLITIK
1. Die Richtlinie gilt für alle beim Verwalter verarbeiteten personenbezogenen Daten, unabhängig von deren Verarbeitungsform und davon, ob sie in Datensammlungen verarbeitet werden können, insbesondere für:
a) personenbezogene Daten, die im IT-System des Verwalters verarbeitet werden, personenbezogene Daten, die auf Datenträgern gespeichert sind, sowie Daten, die in herkömmlicher Papierform verarbeitet werden;
b) personenbezogene Daten, die sowohl in Datensätzen als auch als Einzelinformationen verarbeitet werden.
2. Die Richtlinie wird mindestens einmal jährlich überprüft und angepasst, um ein angemessenes Sicherheitsniveau sicherzustellen.
§6 KATEGORIEN DER PERSONEN, DEREN DATEN VERARBEITET WERDEN, UND ART DER VERARBEITUNG
1. Der Verwalter verarbeitet folgende Kategorien personenbezogener Daten:
a) personenbezogene Daten von Auftragnehmern, die Dienstleistungen für den Verwalter erbringen,
b) personenbezogene Daten der Kunden des Verwalters,
c) personenbezogene Daten der Geschäftspartner und Lieferanten des Verwalters,
d) personenbezogene Daten anderer Personen, jedoch nur im Rahmen einer einmaligen Notwendigkeit und gelegentlichen Verarbeitung.
2. Die personenbezogenen Daten werden wie folgt verarbeitet:
a) in traditioneller Form – Papierdatensammlungen;
b) im IT-System – auf einem stationären Computer mit Internetzugang sowie E-Mail-Korrespondenz auf einem tragbaren Computer mit Internetzugang.
3. Der Verwalter speichert ständig die Dokumentation, die personenbezogene Daten der Geschäftspartner, Lieferanten und Auftragnehmer enthält (z. B. Register der zur Datenverarbeitung befugten Personen). Verträge mit Auftragnehmern werden ausschließlich vom Auftragsverarbeiter (Buchhaltungsbüro) aufbewahrt.
4. Die übrige Dokumentation mit personenbezogenen Daten wird vom Verwalter für den Zeitraum eines Kalendermonats aufbewahrt. Am Monatsende wird diese Dokumentation an den Auftragsverarbeiter (Buchhaltungsbüro) übergeben und danach nur noch von diesem aufbewahrt.
§7 BEREICH DER DATENVERARBEITUNG
1. Der Bereich der Datenverarbeitung im Rahmen der Tätigkeit des Verantwortlichen umfasst die vom Verantwortlichen genutzten Räume im Gebäude, in dem sich sein Hauptsitz befindet, d.h. an der Adresse: ul. Janiny Brzostowskiej 9 in Wadowice.
2. Die Liste der Gebäude, Räume oder Raumteile, die den Bereich bilden, in dem personenbezogene Daten verarbeitet werden, und den Bereich der Datenverarbeitung darstellen, ist Anhang Nr. 1 dieser Richtlinie.
3. Innerhalb des Bereichs der Datenverarbeitung dürfen sich Personen, die nicht vom Verantwortlichen autorisiert wurden, nur unter Aufsicht einer zur Datenverarbeitung befugten Person und mit Zustimmung des Verantwortlichen aufhalten.
4. Die Räume, in denen personenbezogene Daten verarbeitet werden, werden bei Abwesenheit der zur Datenverarbeitung befugten Personen abgeschlossen, um den Zugang für unbefugte Personen zu verhindern.
5. Die Schlüssel zu den Räumen, in denen personenbezogene Daten aufbewahrt werden, werden nach dem Öffnen der Räume in einem abschließbaren Schrank aufbewahrt. Nach Verlassen und Verschließen der Räume verwahrt der Verantwortliche oder eine von ihm bevollmächtigte Person die Schlüssel.
§8 DATENSICHERUNG
Zum Schutz der Vertraulichkeit, Integrität und Nachvollziehbarkeit der Datenverarbeitung wendet der Verantwortliche folgende Maßnahmen an:
1. **Technische Maßnahmen**:
a) Schutz der in einem IT-System verarbeiteten personenbezogenen Daten durch Zugriffskontrolle – Authentifizierung der Nutzer. Beim Starten des Computers ist die Eingabe einer Benutzer-ID und eines mindestens 8 Zeichen langen Passworts erforderlich, das Groß- und Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthält. Passwort und Login gewährleisten den Zugang zum IT-System nur für autorisierte Nutzer, die Zugriff erhalten haben. Die Nutzer sind verpflichtet, das Passwort nicht an Dritte weiterzugeben;
b) sichere Stromversorgung der Geräte zur Vermeidung von Datenverlust oder -beschädigung;
c) Datensicherung;
d) Bildschirmschoner an Arbeitsplätzen, an denen personenbezogene Daten verarbeitet werden;
e) Mechanismus zur Systemzugriffssperre bei längerer Inaktivität – nach Verlassen des Arbeitsplatzes für mehr als 10 Minuten ist eine erneute Anmeldung erforderlich;
f) Virenschutz sowohl für Desktop- als auch für Laptop-Computer;
g) regelmäßige Aktualisierung der Antivirensoftware zur Sicherstellung einer aktuellen Datenbank bösartiger Software;
h) bei Zugriff auf das IT-System aus externen Netzwerken – Firewalls und andere technische Maßnahmen zur Kontrolle des Datenflusses zwischen Netzwerken und im Netzwerk selbst;
i) Inanspruchnahme der Dienstleistungen eines professionellen Anbieters zur Sicherung der Arbeitsstationen;
j) Zerstörung überflüssiger Dokumente und Datenträger. Der Verantwortliche führt regelmäßige Überprüfungen des Zustands gespeicherter Datenträger durch. Datenträger, die außer Betrieb genommen werden sollen (z. B. aufgrund irreversibler Speicherung personenbezogener Daten, die gelöscht werden müssen, Widerspruch gegen die Verarbeitung, administrative Entscheidung, Ende der Nutzungsdauer oder Beschädigung), werden innerhalb des Bereichs der Datenverarbeitung mechanisch zerstört, sodass ein Lesen der gesamten oder teilweisen Daten nicht mehr möglich ist.
2. **Organisatorische Maßnahmen**:
a) Schulung der zur Datenverarbeitung autorisierten Personen zur Dokumentation des Datenschutzes, einschließlich dieser Richtlinie;
b) Veröffentlichung von Informationen über Bedrohungen und Zwischenfälle;
c) Durchführung von Ermittlungen bei Feststellung einer Verletzung des Datenschutzes;
d) Verbesserung der Sicherungen des IT-Systems;
e) Einrichtung von separaten Archiven für Papierdokumente und IT-Datenträger;
f) Aufbewahrung von Dokumenten und IT-Datenträgern in gesicherten Schränken;
g) Übertragung der Datenverarbeitung im Bereich der Buchhaltung an einen Auftragsverarbeiter, der einen angemessenen Schutz der Daten gewährleistet, einschließlich der Speicherung dieser Daten durch den Auftragsverarbeiter;
h) Anwendung von Verfahren im Falle von Datenschutzverletzungen;
i) Erstellung und Aktualisierung der Datenschutzrichtlinie und anderer datenschutzbezogener Dokumente des Verantwortlichen.
6. **Physische Sicherheit**:
a) Verarbeitung personenbezogener Daten in ausgewiesenen Räumen;
b) Einhaltung des Grundsatzes des beschränkten Zugangs zu Daten nur zur Durchführung der vom Verantwortlichen angewiesenen Aufgaben.
7. **Personalsicherheit**:
a) Verpflichtung aller mit dem Verantwortlichen zusammenarbeitenden Personen, die datenschutzrechtlichen Vorschriften des Verantwortlichen einzuhalten;
b) Minimierung des Zugriffs auf personenbezogene Daten für Auftragnehmer des Verantwortlichen (der Umfang der Autorisierung ist individuell an die Aufgaben des jeweiligen Auftragnehmers angepasst);
c) Verpflichtung der Auftragnehmer zur Geheimhaltung personenbezogener Daten sowie der Verarbeitungs- und Schutzmethoden;
d) Verarbeitung personenbezogener Daten ausschließlich durch autorisierte Personen;
e) Führung eines Verzeichnisses der zur Datenverarbeitung autorisierten Personen;
f) Überwachung der übergebenen Datenverarbeitung und der Verarbeitung im Rahmen der erteilten Autorisierung;
g) laufende Kontrolle der IT-Systemleistung gemäß dem aktuellsten Wissensstand;
h) Meldung beobachteter Unregelmäßigkeiten an den Verantwortlichen und Unterstützung durch professionelle Anbieter zur Sicherung und Wartung der Arbeitsstationen;
i) Pflicht zur Meldung aller Verstöße, Schwachstellen und anderer Sicherheitsmängel sowie Fälle von Fehlfunktionen der Hard- und Software an den Verantwortlichen.
§8 AUTORISIERUNG ZUR DATENVERARBEITUNG
1. Der Verantwortliche erteilt den mit ihm kooperierenden Auftragnehmern die Berechtigung zur Datenverarbeitung und legt gleichzeitig den Umfang der Berechtigung fest.
2. Die Berechtigungen werden in dem zur Erfüllung der Aufgaben erforderlichen Umfang erteilt. Bei der Erteilung der Berechtigungen achtet der Verantwortliche auf das Prinzip der Datenminimierung und stellt den Auftragnehmern die Daten nur in minimalem Umfang zur Verfügung.
3. Vor der Aufnahme der Tätigkeit informiert der Verantwortliche oder eine von ihm beauftragte Person die genannten Personen über die geltenden Datenschutzvorschriften und die beim Verantwortlichen geltende Richtlinie.
4. Alle zur Datenverarbeitung autorisierten Personen sind verpflichtet, eine Erklärung über die Wahrung der Vertraulichkeit der beim Verantwortlichen geschützten Informationen sowie die Kenntnis und Einhaltung einer sicheren und gesetzeskonformen Datenverarbeitung und -sicherung abzugeben.
5. Das in Absatz 1 genannte Berechtigungsformular sowie die in Absatz 4 genannte Erklärung bilden Anhang Nr. 2 der Richtlinie.
6. Benutzerrechte, die den Zugang zu im IT-System verarbeiteten personenbezogenen Daten ermöglichen, können nur autorisierten Personen erteilt werden.
7. Der Verantwortliche führt Kopien der Berechtigungen und ein Verzeichnis der zur Datenverarbeitung autorisierten Personen, das Folgendes umfasst:
a) Vor- und Nachname der autorisierten Person,
b) Bestätigung der Berechtigung zur Datenverarbeitung,
c) Datum der Erteilung und Beendigung der Berechtigung,
d) Umfang der Berechtigung.
8. Das Verzeichnis der zur Datenverarbeitung und zum Zugang zum Bereich der Datenverarbeitung autorisierten Personen wird regelmäßig aktualisiert und einmal jährlich vollständig überprüft.
9. Das Verzeichnis der zur Datenverarbeitung autorisierten Personen bildet Anhang Nr. 3 der Richtlinie.
§9 PFLICHTEN DES DATENVERANTWORTLICHEN
1. Zu den Aufgaben des Datenverantwortlichen gehört insbesondere:
a) die Erstellung und Pflege der Dokumentation zum Datenschutz, die Überwachung der Einhaltung und die Umsetzung notwendiger Änderungen;
b) die Festlegung der Grundsätze und Ziele der Verarbeitung personenbezogener Daten;
c) die Umsetzung der Empfehlungen der Datenschutzaufsichtsbehörde;
d) die Ergreifung entsprechender Maßnahmen gegenüber Personen, die gegen die Datenschutzbestimmungen des Verantwortlichen verstoßen;
e) die Kontrolle der Art und Weise der Verarbeitung personenbezogener Daten;
f) die laufende Kontrolle des Sicherheitsniveaus und des Status der personenbezogenen Daten;
g) die Durchführung präventiver und notfallmäßiger Maßnahmen, um Verstöße gegen die Sicherheit personenbezogener Daten zu verhindern;
h) die Ergreifung entsprechender Maßnahmen zur Sicherung personenbezogener Daten und zur Behebung von Verstößen und deren Folgen im Falle einer Datenschutzverletzung;
i) die Erteilung von Berechtigungen zur Verarbeitung personenbezogener Daten;
j) die Kommunikation mit den betroffenen Personen und die Bereitstellung von Informationen in einer präzisen, klaren, verständlichen und leicht zugänglichen Weise;
k) die Erleichterung der Ausübung der Rechte der betroffenen Personen;
l) die Bereitstellung der gesetzlich erforderlichen Informationen für betroffene Personen;
m) die Schaffung organisatorischer und technischer Bedingungen, die die Erfüllung der Anforderungen aus der Datenschutzdokumentation des Verantwortlichen und den allgemein geltenden Vorschriften ermöglichen.
§10 PFLICHTEN DER BEVOLLMÄCHTIGTEN PERSONEN
1. Die Pflichten einer vom Verantwortlichen zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen bevollmächtigten Person umfassen unter anderem:
a) die Kenntnis und Einhaltung der Datenschutzrichtlinie und anderer geltender Verfahren im Zusammenhang mit der Verarbeitung personenbezogener Daten beim Verantwortlichen sowie der Empfehlungen und Anweisungen des Verantwortlichen oder einer von ihm bevollmächtigten Person, unabhängig von der dienstlichen Zugehörigkeit in der Organisationsstruktur des Verantwortlichen oder der Art des rechtlichen Verhältnisses zwischen der bevollmächtigten Person und dem Verantwortlichen;
b) die Teilnahme an allen Schulungen, die vom Verantwortlichen organisiert oder auf dessen Anweisung durchgeführt werden;
c) die Kenntnis und Einhaltung der rechtlichen Bestimmungen zum Datenschutz;
d) die Verarbeitung personenbezogener Daten ausschließlich zu dem Zweck und im Umfang, der vom Verantwortlichen festgelegt wurde;
e) die Gewährleistung der Vertraulichkeit und Integrität der von ihr verarbeiteten personenbezogenen Daten;
f) die Durchführung präventiver und notfallmäßiger Maßnahmen zur Verhinderung von Sicherheitsverletzungen personenbezogener Daten;
g) im Falle eines Verstoßes gegen die Sicherheit personenbezogener Daten – sofortige Benachrichtigung des Verantwortlichen und Ergreifung entsprechender Maßnahmen zur Sicherung der personenbezogenen Daten sowie zur Beseitigung des Verstoßes und seiner Folgen;
h) im Falle eines Verstoßes oder begründeten Verdachts eines Verstoßes gegen diese Richtlinie, der zu einer tatsächlichen oder potenziellen Gefährdung der Datensicherheit führt – Unterlassung jeglicher Aktivitäten, die die Spuren oder Beweise des Vorfalls verwischen könnten, sowie die Ergreifung notwendiger Maßnahmen zur Verhinderung einer Eskalation des Verstoßes und unverzügliche Benachrichtigung des Verantwortlichen über den Vorfall.
2. Die Pflichten des Systemnutzers umfassen unter anderem:
a) die Nutzung des Informationssystems unter Beachtung der Sicherheitsrichtlinien und streng nach den Anweisungen und Empfehlungen des Verantwortlichen oder einer von ihm bevollmächtigten Person;
b) die Gewährleistung der vollständigen Vertraulichkeit des eigenen Identifikators und Passworts, die den Zugang zum Informationssystem ermöglichen, insbesondere die Beachtung des Verbots, Passwörter auf Papier, in Handys oder auf unverschlüsselten Datenträgern zu speichern, es sei denn, die sichere Aufbewahrung des Passworts ist gewährleistet;
c) die Änderung des Passworts mindestens alle 3 Monate, wobei das Passwort nicht wiederholt oder in zyklischer Weise verwendet werden darf;
d) die Verarbeitung von Daten im Informationssystem unter Verwendung eines Zugangssperrmechanismus bei längerer Inaktivität des Nutzers (Sperrung);
e) das Ausschalten des Computers nach Beendigung der Arbeit mit dem Computer an diesem Tag;
f) die Nichtweitergabe von Geräten (z. B. Festplatten, Laufwerke), die dem Verantwortlichen gehören, an unbefugte Personen;
g) bei der Arbeit mit mobilen Computern im Bereich der Verarbeitung personenbezogener Daten die Beachtung der Sicherheitsrichtlinien, die auch für stationäre Geräte gelten;
h) bei der Arbeit mit Computern und mobilen Geräten außerhalb des Bereichs der Verarbeitung personenbezogener Daten zusätzliche Sicherheitsmaßnahmen zu beachten, wie:
- das Vermeiden des Verlassens des Computers und mobilen Geräts ohne direkte Aufsicht des Nutzers, insbesondere außerhalb des physischen Zugriffsbereichs, es sei denn, das Gerät befindet sich gerade im Haushalt des Nutzers;
- das Vermeiden des Transports von Computern und mobilen Geräten in Autos, in der Passagierkabine, auf Motorrädern oder mit dem Fahrrad;
- das Vermeiden, mehrere tragbare Geräte an einem Ort zu speichern (z. B. in einer Tasche, Tasche);
- das Vermeiden der Nutzung von Computern und mobilen Geräten an öffentlichen Orten auf unachtsame Weise;
- das Vermeiden, Computern und mobilen Geräten anderen zur Nutzung zur Verfügung zu stellen;
i) im Falle von Anomalien oder verdächtigem Verhalten von Computern – sofortige Benachrichtigung des Verantwortlichen oder einer von ihm bevollmächtigten Person und Ergreifung der erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten.
§11 VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
1. Die Verfahrensweise im Falle einer Verletzung des Schutzes personenbezogener Daten regelt die Verfahrensanweisung, die im Falle von Verletzungen des Schutzes personenbezogener Daten anzuwenden ist, als Anhang Nr. 4 dieser Richtlinie.
2. Der Administrator führt eine Dokumentation aller Verletzungen des Schutzes personenbezogener Daten (auch derjenigen, die nicht gemeldet werden müssen). Die gespeicherte Dokumentation umfasst auch die Korrespondenz zwischen der betroffenen Person und dem Administrator sowie zwischen dem Administrator und der Aufsichtsbehörde.
3. Die Dokumentation gemäß Absatz 2 umfasst unter anderem das Register der Verletzungen des Schutzes personenbezogener Daten und den Bericht über die Verletzung, die als Anhänge zur Verfahrensanweisung, die im Falle von Verletzungen des Schutzes personenbezogener Daten anzuwenden ist, dienen.
4. Im Hinblick auf Personen, die mit dem Administrator zusammenarbeiten, einschließlich Auftragnehmern, stellt eine Verletzung der geltenden Datenschutzbestimmungen beim Administrator eine unzureichende Erfüllung der vertraglichen Verpflichtungen dar und kann Schadensersatzansprüche zur Folge haben.
§12 RECHTE DER BETROFFENEN PERSONEN
1. Im Falle der Erhebung personenbezogener Daten und/oder der Änderung der Zwecke der Verarbeitung bereits erhobener personenbezogener Daten erfüllt der Administrator die Informationspflichten gegenüber den betroffenen Personen, deren Daten verarbeitet werden, durch die Bereitstellung der gesetzlich vorgeschriebenen Informationen.
2. Die Rechte der betroffenen Personen, deren Daten der Administrator verarbeitet, sind in der Datenschutzrichtlinie festgelegt. Die Datenschutzrichtlinie ist ein öffentliches Dokument, dessen Inhalt den betroffenen Personen die ihnen zustehenden Rechte vermittelt. Die Datenschutzrichtlinie ist auf der Website des Administrators und an seinem Sitz verfügbar.
3. Die Art und Weise der Ausübung der Rechte, die den betroffenen Personen zustehen, wird durch die folgenden Bestimmungen geregelt.
4. Die Ausübung des Antrags erfolgt in der Sprache, in der der Administrator die personenbezogenen Daten verarbeitet.
5. Der Administrator dokumentiert und speichert die Korrespondenz mit der betroffenen Person, die ihre Rechte geltend macht.
6. Wenn die betroffene Person den Umfang der personenbezogenen Daten oder die durchgeführten Maßnahmen nicht spezifiziert hat, fordert der Administrator diese Person auf, den Antrag genauer zu formulieren.
7. Die Ausübung der in Absatz 2 genannten Rechte ist kostenfrei, es sei denn, die Anträge sind offensichtlich unbegründet oder übermäßig.
8. Der Administrator hat das Recht, die Erfüllung eines Antrags einer betroffenen Person zu verweigern, insbesondere wenn: die Ausübung des Rechts die Offenlegung von Geschäftsgeheimnissen zur Folge hätte und/oder der Antrag in einem Format oder einer Form gestellt wird, die vom Administrator nicht verwendet wird.
9. Der Administrator kann den Antrag auf Löschung personenbezogener Daten verweigern, wenn die Verarbeitung auf einer Einwilligung beruht und diese nicht die einzige Grundlage für die Verarbeitung der spezifischen personenbezogenen Daten des Administrators darstellt.
10. Der Administrator erfüllt Anträge der betroffenen Person ohne unangemessene Verzögerung – innerhalb eines Monats nach Erhalt des Antrags. Wenn der Antrag sehr umfangreich, komplex oder kompliziert ist, kann diese Frist um einen weiteren Monat verlängert werden, wobei der Administrator die betroffene Person über diese Verlängerung informiert.
§13 AUFTRAGGEBUNG DER DATENVERARBEITUNG
1. Der Administrator kann die Verarbeitung personenbezogener Daten im Rahmen eines Vertrages nur an Stellen übergeben, mit denen er im Rahmen seiner Geschäftstätigkeit zusammenarbeitet, einschließlich Buchhaltungsbüros und IT-Dienstleistern.
2. Die Voraussetzungen für die Übertragung der Verarbeitung personenbezogener Daten durch den Administrator an eine andere Stelle sind jeweils:
a) ein funktioneller Zusammenhang mit dem rechtlichen Verhältnis, das den Administrator mit dem Verarbeiter verbindet, und
b) die Notwendigkeit, personenbezogene Daten zu übermitteln, um eine Dienstleistung oder einen Vertrag zu erfüllen.
3. Der Administrator kann personenbezogene Daten auch an Verarbeiter übermitteln, wenn dies aufgrund der geltenden gesetzlichen Bestimmungen erforderlich ist.
4. Im Rahmen der Auftragsvergabe zur Datenverarbeitung verwendet der Administrator nur Dienste von Verarbeitern, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten.
5. Der Administrator schließt mit den in den Absätzen 1 und 3 genannten Stellen einen Vertrag zur Auftragsvergabe der Datenverarbeitung ab, der die Bedingungen für die Übertragung der Verarbeitung von Daten regelt und die Verarbeiter verpflichtet, geeignete Sicherheitsvorkehrungen für die übermittelten Daten zu treffen.
§14 DATENFLUSS ZWISCHEN SYSTEMEN
Der Datenfluss zwischen verschiedenen Informationssystemen wird in Anhang Nr. 5 der Richtlinie – Verzeichnis der Datensätze und Systeme, die zu ihrer Verarbeitung verwendet werden, festgelegt.
§15 ÄNDERUNG DER DATENSCHUTZBESTIMMUNGEN
Änderungen dieser Richtlinie sowie anderer Dokumente, die die Datenschutzbestimmungen regeln, liegen im ausschließlichen Ermessen des Administrators.
§16 VERBREITUNG UND VERWALTUNG DER RICHTLINIE
1. Dieses Dokument enthält Informationen zu den Sicherheitsvorkehrungen, die im Rahmen der Tätigkeit des Administrators verwendet werden.
2. Der Inhalt dieser Richtlinie stellt ein Geschäftsgeheimnis im Sinne von Artikel 11 Absatz 4 des Gesetzes vom 16. April 1993 über die Bekämpfung von unlauterem Wettbewerb (i.d.F. Dz. U. aus 2003 Nr. 153, Pos. 1503 mit Änderungen) dar. Daher sind alle Personen, die personenbezogene Daten im Namen des Administrators verarbeiten, verpflichtet, sich mit dem Inhalt dieses Dokuments vertraut zu machen und es vertraulich zu behandeln, auch nach Beendigung der Zusammenarbeit mit dem Administrator für einen Zeitraum von 15 Jahren.
3. Ausgewählte Teile dieser Richtlinie können Dritten mit Zustimmung des Administrators zur Verfügung gestellt werden, die schriftlich und unter Androhung der Unwirksamkeit nach Abschluss einer entsprechenden Geheimhaltungsvereinbarung erteilt werden muss.
4. In Angelegenheiten, die nicht durch diese Richtlinie geregelt sind, gelten die Bestimmungen der DSGVO sowie die polnischen Vorschriften zum Schutz personenbezogener Daten.
5. Der Administrator ist für das Management dieser Richtlinie verantwortlich, einschließlich ihrer Aktualisierung, der Aufrechterhaltung der Konsistenz mit anderen Dokumenten und ihrer Verbreitung.
6. Anhangsbestandteile dieser Richtlinie sind:
a) Anhang Nr. 1 – Verzeichnis der Gebäude, Räume oder Raumteile, die den Bereich bilden, in dem personenbezogene Daten verarbeitet werden,
b) Anhang Nr. 2 – Muster der Erlaubnis zur Verarbeitung personenbezogener Daten mit der Erklärung zur Vertraulichkeit,
c) Anhang Nr. 3 – Register der Personen, die zur Verarbeitung personenbezogener Daten befugt sind,
d) Anhang Nr. 4 – Verfahrensanweisung für den Fall von Datenschutzverletzungen,
e) Anhang Nr. 5 – Verzeichnis der Datensätze und Systeme zur Datenverarbeitung.
7. Zu den mit dieser Richtlinie verbundenen Dokumenten gehören die Datenschutzrichtlinie, Muster von Vereinbarungen zur Auftragsvergabe der Verarbeitung personenbezogener Daten und Muster von Informationsklauseln, die vom Administrator verwendet werden.