Datenschutzbestimmungen

Operator:
Firmenname: GOMMER s.r.o.
Anschrift: Mierová 1449/67, 924 01 Galanta, Slowakei
UMSATZSTEUER: 52186351
Rechtsform: spol. sro
Registriert in. Trad. 43753 / T
Kontaktinformationen: E-Mail: info@gommer.at
Tel.: 00421948114666

am 10.01.2021 Genehmigt durch: PhDr. Csaba Losonszkí

Inhalt

Präambel

Abkürzungen, Begriffe und ihre Auslegung

1. Betreiber

1.1 Liste der Informationssysteme
1.2 Liste der personenbezogenen Daten
1.3 Sicherheitsniveau der personenbezogenen Daten gemäß den Sicherheitsstandards

2. Verarbeitung der Vorgänge

2.1 Liste der vorgesehenen Verarbeitungen und deren systematische Beschreibung

3 Zweck der Verarbeitung von personenbezogenen Daten

3.1 Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf den Zweck

4. Bewertung der Einhaltung der Grundprinzipien

5. Bewertung des Risikos für die Rechte der betroffenen Person

5.1 Rechte der betroffenen Person
5.2 Ausübung der Rechte der betroffenen Person
5.3 Risiken für die Rechte der betroffenen Person

6. Maßnahmen des für die Verarbeitung Verantwortlichen

6.1 Grundlegende Sicherheitsziele und mindestens erforderliche Sicherheitsmaßnahmen
6.2 Maßnahmen zur Beseitigung von Risiken, einschließlich Garantien, Vorkehrungen und Mechanismen zur Gewährleistung des Schutzes der personenbezogenen Daten der betroffenen Person
6.3 Maßnahmen zum Nachweis der Einhaltung des Gesetzes Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und der Änderungen bestimmter Gesetze, unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Person und anderer betroffener natürlicher Personen

7. Schlussbestimmungen

Präambel

Auf der Grundlage dieses Dokuments nimmt der für die Verarbeitung Verantwortliche eine Bewertung der Verarbeitung personenbezogener Daten und ihrer Vereinbarkeit mit dem Gesetz Nr. 18/2018 Slg. zum Schutz personenbezogener Daten und zur Änderung bestimmter Gesetze und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – insbesondere gemäß den Artikeln 25, 35 und 46 der DSGVO – vor.

Diese Bewertung führt zu Schutzmaßnahmen, Sicherheitsmaßnahmen (technisch, organisatorisch und personell) und Mechanismen, die den Schutz der personenbezogenen Daten der betroffenen Personen gewährleisten.

Auf der Grundlage dieses Dokuments nehmen wir auch eine Bewertung der Auswirkungen der von dem für die Verarbeitung Verantwortlichen geplanten Verarbeitungen auf den Schutz personenbezogener Daten vor. Dementsprechend führt der für die Verarbeitung Verantwortliche vor Beginn der Verarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung durch, um die spezifische Wahrscheinlichkeit und Schwere eines hohen Risikos zu bewerten, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Ursachen des Risikos berücksichtigt.

Gemäß der Begründung zum Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und die Änderung einiger Gesetze (im Folgenden auch „Gesetz über den Schutz personenbezogener Daten“ genannt) muss der für die Verarbeitung Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung für ausgewählte, im Gesetz genannte Verarbeitungsvorgänge, die wahrscheinlich ein hohes Risiko bergen

(a) die Auswirkungen auf den Schutz personenbezogener Daten vor der konkreten Verarbeitung selbst zu bewerten; und
zum Beispiel

i. den Zyklus des Flusses personenbezogener Daten, das Umfeld, in dem die Verarbeitung stattfindet, die Zeit
Schnittstelle, Verarbeitungsbedingungen, Bewertung des Umfangs, der Menge der personenbezogenen Daten, des Zwecks der Verarbeitung,
einschließlich der verfolgten berechtigten Interessen,
ii. die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf den Zweck zu bewerten,
iii. die Quelle, Art, Besonderheit und Schwere des hohen Risikos für die Rechte der betroffenen Personen zu bewerten
der betroffenen Person,
iv. zu bewerten, welche personellen/organisatorischen und technischen Sicherheitsmittel oder -maßnahmen vorhanden sind,
Garantien und Mechanismen, die den Schutz personenbezogener Daten gewährleisten und die Einhaltung der Rechtsvorschriften nachweisen,
insbesondere unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen
den Verarbeitungsvorgang,
(b) sicherzustellen, dass die Datenschutz-Folgenabschätzung auch bei der Verarbeitung dieser personenbezogenen Daten durchgeführt wird
zum Beispiel durch ein Datenschutzaudit oder eine Inspektion durch die verantwortliche Person; oder
Penetrationstests während der Verarbeitungsprozesse,

Führt diese Folgenabschätzung zu der Einschätzung, dass es nicht möglich ist, solche wirksamen und angemessenen Maßnahmen zu ergreifen, die das hohe Risiko eindämmen würden (unter Berücksichtigung des Stands der Technik und der Kosten für die Durchführung dieser Maßnahmen), so ist der für die Verarbeitung Verantwortliche verpflichtet, zuvor die Behörde zu konsultieren.

Die Folgenabschätzung kann im Zusammenhang mit Sicherheitsmaßnahmen mit der Bewertung der Verarbeitung verglichen werden
Tätigkeiten, die nach der bisherigen Gesetzgebung der Dokumentationspflicht unterlagen
Sicherheitsmaßnahmen in einem Sicherheitsprojekt. Wenn also der für die Verarbeitung Verantwortliche nach den früheren Rechtsvorschriften
Rechtsvorschriften Sicherheitsmaßnahmen oder ein Sicherheitsprojekt angenommen und dokumentiert hat, kann sie

im Rahmen der durchgeführten Verarbeitungen im Lichte der neuen Verpflichtungen gemäß diesem Gesetz und insbesondere im Rahmen der Art und Weise, wie sich die von ihr ermittelten Risiken auf die personenbezogenen Daten der betroffenen Person, die verarbeitet werden, auswirken können, und des potenziellen Schadens, den die betroffene Person durch eine Verletzung der Integrität ihrer personenbezogenen Daten erleiden würde, zu überprüfen. Entspricht ein solches Sicherheitsprojekt im Rahmen früherer Rechtsvorschriften in einigen Teilen diesem Gesetz, so können diese gegebenenfalls zum Nachweis der im Rahmen dieses Gesetzes durchgeführten Folgenabschätzung herangezogen werden.

Gemäß § 42 Absatz 4 des Gesetzes über den Schutz personenbezogener Daten muss die Datenschutz-Folgenabschätzung insbesondere Folgendes umfassen

(a) eine systematische Beschreibung der geplanten Verarbeitungen und des Zwecks der Verarbeitung personenbezogener Daten, einschließlich der Angabe des berechtigten Interesses, das der für die Verarbeitung Verantwortliche verfolgt, falls vorhanden,
(b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf den Zweck,
(c) eine Bewertung des Risikos für die Rechte der betroffenen Person; und
(d) Maßnahmen zur Beseitigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung dieses Gesetzes, wobei die Rechte und berechtigten Interessen der betroffenen Person und anderer betroffener natürlicher Personen zu berücksichtigen sind.

Abkürzungen, Begriffe und ihre Auslegung

PC: Arbeitsstation

LAN: Lokales Netzwerk

Betreiber: GOMMER sro, Geschäftssitz: Mierová 1449/67, 924 01 Galanta, ID-Nr.: 52186351

IS: Informationssystem jede organisierte Menge personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob das System zentralisiert, dezentralisiert oder funktional oder geografisch verteilt ist.

GDPR: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG Gesetz Nr. 18/2018Z.z. Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und zur Änderung einiger Gesetze

Personenbezogene Daten: Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer allgemein gültigen Kennung, zu einer anderen Kennung wie einem Vornamen, einem Nachnamen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren Merkmalen oder Attributen, die Ausdruck ihrer physischen Identität, physiologischen Identität, genetischen Identität, psychischen Identität, geistigen Identität, wirtschaftlichen Identität, kulturellen Identität oder sozialen Identität sind.

Verarbeitung personenbezogener Daten: Die Verarbeitung personenbezogener Daten ist eine Verarbeitung oder eine Gesamtheit von Verarbeitungen personenbezogener Daten oder einer Gesamtheit personenbezogener Daten, insbesondere das Erheben, das Erfassen, die Organisation, die Strukturierung, die Aufbewahrung, die Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder auf sonstige Weise, die Kombination oder die Verknüpfung, die Einschränkung oder die Löschung, unabhängig davon, ob diese Vorgänge automatisiert oder nicht automatisiert erfolgen.

Verantwortliche Person: Die verantwortliche Person ist die Person, die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter mit der Durchführung der Aufgaben gemäß dem Gesetz Nr. 18/2018 Slg.
Einwilligung der betroffenen Person: Die Einwilligung der betroffenen Person ist jede ernst gemeinte, freie, spezifische, auf Kenntnis der Sachlage gegründete und unmissverständliche Willensbekundung in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung, mit der die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten einwilligt.

Profiling: Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Eigenschaften oder Merkmale einer natürlichen Person zu bewerten, insbesondere um Eigenschaften oder Merkmale der betroffenen Person hinsichtlich ihrer beruflichen Leistungsfähigkeit, finanziellen Situation, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, ihres Verhaltens, ihres Aufenthaltsorts oder ihrer Bewegungen zu analysieren oder vorherzusagen.

Pseudonymisierung: Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können.

Verschlüsselung: Bei der Verschlüsselung werden personenbezogene Daten so umgewandelt, dass eine erneute Verarbeitung nur nach Eingabe eines bestimmten Parameters, z. B. eines Schlüssels oder Passworts, möglich ist.

Verletzung des Schutzes personenbezogener Daten: Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur versehentlichen oder unbefugten Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Weitergabe von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

Gegenstand der Daten: Eine betroffene Person ist jede natürliche Person, deren personenbezogene Daten verarbeitet werden.

Für die Verarbeitung Verantwortlicher: Ein für die Verarbeitung Verantwortlicher ist jeder, der allein oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung personenbezogener Daten festlegt und personenbezogene Daten in seinem eigenen Namen verarbeitet; der für die Verarbeitung Verantwortliche oder die spezifischen Anforderungen für seine Festlegung können in einer spezifischen Verordnung oder einem internationalen Vertrag festgelegt sein, an die bzw. den die Slowakische Republik gebunden ist, sofern diese Verordnung oder dieser Vertrag den Zweck und die Mittel der Verarbeitung personenbezogener Daten vorsieht.

Auftragsverarbeiter: Ein Auftragsverarbeiter ist jeder, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Empfänger: Empfänger ist jeder, dem die personenbezogenen Daten mitgeteilt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht; eine Behörde, die personenbezogene Daten auf der Grundlage einer speziellen Verordnung oder eines internationalen Vertrags, an den die Slowakische Republik gebunden ist, in Übereinstimmung mit den für den Zweck der Verarbeitung personenbezogener Daten geltenden Vorschriften über den Schutz personenbezogener Daten verarbeitet, gilt nicht als Empfänger.

Dritter: Ein Dritter ist jede Person, die nicht betroffene Person, für die Verarbeitung Verantwortlicher, Auftragsverarbeiter oder eine andere natürliche Person ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters verarbeitet.

1. Controller
Der Betreiber betreibt den Ankauf von Waren für den Verkauf an den Endverbraucher (Einzelhandel) ohne Spezialisierung (Großhandel), nämlich den Verkauf von dreirädrigen Fahrrädern.

Die persönlichen Daten der Kunden des Betreibers werden in Papierform in einem siebenstöckigen Gebäude im dritten Stock in einer Dreizimmerwohnung aufbewahrt, die durch eine Sicherheitstür gesichert ist.

1.1 Liste der Informationssysteme
Der für die Verarbeitung Verantwortliche hat die verarbeiteten personenbezogenen Daten in den folgenden Informationssystemen klassifiziert:

(a) Bezeichnung der Abkürzung des Informationssystems, die für die Zwecke dieser Bewertung verwendet wird

Informationssystem Buchhaltungsunterlagen IS ITD

(b) Bezeichnung der Abkürzung des Informationssystems, die für die Zwecke dieser Bewertung verwendet wird

Informationssystem Kunden IS Kunden

1.2 Liste der personenbezogenen Daten
Der für die Verarbeitung Verantwortliche verarbeitet die folgenden personenbezogenen Daten:

(a) in der IS ÚD:
– Name
– Nachname
– Adresse
– Kontonummer
– sonstige personenbezogene Daten, die aufgrund spezifischer Gesetze für die Erfüllung arbeitsrechtlicher Verpflichtungen erforderlich sind; und
aus Vertragsbeziehungen mit Kunden
b) bei IS-Kunden:
– Vorname, Nachname
– Adresse
– Rufnummer
– E-Mail Adresse
– sonstige personenbezogene Daten, die aufgrund spezifischer Rechtsvorschriften für die Erfüllung vertraglicher Verpflichtungen erforderlich sind
Kundenbeziehungen.

1.3 Sicherheitsniveau der personenbezogenen Daten gemäß den Sicherheitsstandards
Die Informationssysteme des für die Verarbeitung Verantwortlichen gehören zu den Systemen mit geringem Risiko, was den Umfang, die Möglichkeiten einer Verletzung und die Anzahl der Personen betrifft, die mit ihnen in Kontakt kommen. Bei der Folgenabschätzung wurden die folgenden Gesetze, Richtlinien, Verordnungen und Normen berücksichtigt und akzeptiert:

➢ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz von
natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und den freien Verkehr dieser Daten und
zur Aufhebung der Richtlinie 95/46/EG

Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und zur Änderung einiger Gesetze

➢ Stellungnahmen und Leitlinien der Arbeitsgruppe WP29 der GDPR

2. Verarbeitung der Vorgänge
Verarbeitung der Vorgänge

Gemäß Artikel 5 Buchstabe e des Datenschutzgesetzes bedeutet eine Verarbeitung personenbezogener Daten insbesondere das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise, die Umgestaltung oder die Kombination, die Einschränkung oder das Löschen, unabhängig davon, ob sie mit automatisierten oder nicht automatisierten Mitteln erfolgt.

2.1 Liste der geplanten Verarbeitungsvorgänge und ihre systematische Beschreibung
Systematische Beschreibung der Verarbeitung der personenbezogenen Daten der Kunden

Die personenbezogenen Daten der Kunden werden von dem für die Verarbeitung Verantwortlichen hauptsächlich über das Formular auf der Website https://www.gommer.sk/ oder telefonisch erhoben, wenn die Kunden ihre personenbezogenen Daten angeben.

Nachdem der Kunde die Ware bestellt hat, wird zunächst die Verfügbarkeit der Ware geprüft und die Bestellung bestätigt und der Kunde noch am selben Tag kontaktiert. Die Ware wird spätestens innerhalb von 3 Tagen nach Eingang der Bestellung versandt.

Der für die Verarbeitung Verantwortliche verarbeitet personenbezogene Daten sowohl in Papierform als auch elektronisch.

Der für die Verarbeitung Verantwortliche führt die folgenden Verarbeitungsvorgänge mit der folgenden Beschreibung durch:

(a) Erhebung personenbezogener Daten

IS Kunden und IS ÚD

Der für die Verarbeitung Verantwortliche erhält personenbezogene Daten von Kunden über ein elektronisches Formular oder telefonisch zum Zwecke des Vertragsabschlusses und der Erfüllung gesetzlicher Verpflichtungen.

Der für die Verarbeitung Verantwortliche erhebt personenbezogene Daten zum Zweck der Identifizierung im Sinne des Gesetzes Nr. 297/2008 Slg. über den Schutz gegen das Waschen von Erträgen aus Straftaten und den Schutz gegen die Finanzierung des Terrorismus und die Änderung dieser Gesetze.

(b) Speicherung von personenbezogenen Daten

Die personenbezogenen Daten der Kunden werden nach der Registrierung in den Räumlichkeiten des für die Verarbeitung Verantwortlichen gespeichert.

Der für die Verarbeitung Verantwortliche übermittelt personenbezogene Daten nach Maßgabe besonderer Vorschriften an staatliche Einrichtungen. Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten an Dritte (§ 5(r)/ des Gesetzes Nr. 18/2018 Slg.) oder Empfänger (§ 5(Q)/ des Gesetzes Nr. 18/2018 Slg.) weitergibt, muss er jederzeit Maßnahmen ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu überprüfen, insbesondere muss er Maßnahmen ergreifen, um sicherzustellen dass der Dritte und der Empfänger nachweisen, dass ihre Verarbeitung personenbezogener Daten im Einklang mit diesem Gesetz erfolgt; erst nach einem solchen Nachweis darf er den Zugang zu den personenbezogenen Daten ermöglichen.

(d) Löschung von personenbezogenen Daten

Die persönlichen Daten der Kunden werden vernichtet, sobald ihr Zweck erfüllt ist; eine weitere Speicherung ist nur auf der Grundlage bestimmter Gesetze möglich.

3. der Zweck der Verarbeitung personenbezogener Daten
Zweck der Verarbeitung von personenbezogenen Daten
Gemäß der Begründung des Gesetzes zum Schutz personenbezogener Daten ist der Zweck ein grundlegender einschränkender Faktor, insbesondere in Bezug auf die Liste oder den Umfang der verarbeiteten personenbezogenen Daten und in Bezug auf die Dauer der Verarbeitung sowie die Aufbewahrung der verarbeiteten personenbezogenen Daten. Der Zweck sollte mit ausreichender Klarheit und Sicherheit definiert werden, um deutlich zu machen, welche Verarbeitungen auf der Grundlage dieses Zwecks stattfinden und welche nicht, oder welche Verarbeitungen die betroffene Person auf der Grundlage dieser Definition mit ihren personenbezogenen Daten erwarten kann.

Die Verarbeitung personenbezogener Daten für einen anderen Zweck als den, für den sie erhoben wurden, ist verboten, es sei denn, dieser andere Zweck steht in engem Zusammenhang mit dem ursprünglichen Zweck der Verarbeitung und ist mit diesem vereinbar. Die Verarbeitung personenbezogener Daten, die für einen bestimmten Zweck erhoben wurden, schließt nicht aus, dass die so erhobenen personenbezogenen Daten für so genannte privilegierte Zwecke, nämlich für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke in Übereinstimmung mit diesem Gesetz und in Verbindung mit angemessenen Garantien für die Rechte der betroffenen Person verarbeitet werden. Zu diesen Garantien gehört die Einführung geeigneter und wirksamer technischer und organisatorischer Maßnahmen, insbesondere zur Gewährleistung der Einhaltung des Grundsatzes der Datenminimierung und der Pseudonymisierung, soweit diese Maßnahme die oben genannten Zwecke erfüllen kann. Weiterverarbeitung zu Archivierungszwecken,

Der Zweck der Verarbeitung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen in den einzelnen Informationssystemen ist:

IS ÚD
– die Verarbeitung von Buchhaltungsunterlagen, einschließlich der Erfüllung der sich daraus ergebenden gesetzlichen Verpflichtungen nach bestimmten Vorschriften

IS-Kunden

– Abschluss eines Kaufvertrags oder eines anderen Handelsvertrags, vorvertragliche Beziehungen und Identifizierung im Sinne des Gesetzes Nr. 297/2008 Slg. über Maßnahmen gegen die Legalisierung von Erträgen aus Straftaten und den Schutz vor Terrorismusfinanzierung sowie zur Änderung bestimmter Gesetze.

3.1 Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf den Zweck

Der für die Verarbeitung Verantwortliche hat eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf den Zweck vorgenommen:

(a) die Erhebung personenbezogener Daten

Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten der betroffenen Person nur in dem Umfang, der für den Abschluss und die Erfüllung der Rechte und Pflichten aus den mit den Kunden geschlossenen Verträgen erforderlich ist. Alle personenbezogenen Daten sind für die Erfüllung des Vertrags erforderlich.

Der Zweck der Erhebung personenbezogener Daten ist der Abschluss eines Vertrags.

Der Verarbeitungsvorgang „Erhebung personenbezogener Daten“ ist daher notwendig und im Hinblick auf den Zweck verhältnismäßig.

(b) Aufbewahrung von personenbezogenen Daten

Der für die Verarbeitung Verantwortliche speichert die personenbezogenen Daten der betroffenen Person nur für den erforderlichen Zeitraum in den sicheren Räumlichkeiten des für die Verarbeitung Verantwortlichen, in EDV-Einrichtungen und in Papierform in einem gesonderten verschließbaren Schrank, zu dem der für die Verarbeitung Verantwortliche Zugang hat.

Der Zweck der Speicherung personenbezogener Daten ist die Erfüllung des Vertrags, der Zugang zu den Räumlichkeiten des für die Verarbeitung Verantwortlichen und die Aufdeckung von Straftaten.

Der Verarbeitungsvorgang „Speicherung personenbezogener Daten“ ist daher notwendig und im Hinblick auf den Zweck verhältnismäßig.

Der für die Verarbeitung Verantwortliche stellt den Empfängern oder Dritten personenbezogene Daten nur auf der Grundlage eines Vertrags oder eines besonderen Gesetzes zur Verfügung.

Der Zweck der Bereitstellung personenbezogener Daten ist die Erfüllung eines Vertrags und die Erfüllung von Verpflichtungen aus einem bestimmten Gesetz.

Der Verarbeitungsvorgang „Bereitstellung personenbezogener Daten“ ist daher notwendig und im Hinblick auf den Zweck verhältnismäßig.

(d) Löschung von personenbezogenen Daten

Die personenbezogenen Daten der Kunden werden gelöscht, sobald ihr Zweck entfallen ist; eine weitere Aufbewahrung ist nur auf der Grundlage von Sondergesetzen möglich.

Der Zweck der Löschung personenbezogener Daten ist die Erfüllung einer gesetzlichen Verpflichtung gemäß dem Gesetz Nr. 18/2018 Slg.

Die Verarbeitung „Löschung personenbezogener Daten“ ist daher notwendig und im Hinblick auf den Zweck verhältnismäßig.

4. Bewertung der Einhaltung der Grundprinzipien
Zu den Grundprinzipien gehören gemäß § 6 bis § 12 des Datenschutzgesetzes:

I. Der Grundsatz der Rechtmäßigkeit

Personenbezogene Daten dürfen nur auf rechtmäßige Weise und in einer Weise verarbeitet werden, die die Grundrechte der betroffenen Person nicht verletzt.

II. Der Grundsatz der Zweckbindung

Personenbezogene Daten dürfen nur für einen bestimmten, genau festgelegten und rechtmäßigen Zweck erhoben und nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden; die Weiterverarbeitung personenbezogener Daten zu Archivierungszwecken, zu wissenschaftlichen Zwecken, zu historischen Forschungszwecken oder zu statistischen Zwecken gilt nicht als mit dem ursprünglichen Zweck unvereinbar, sofern sie im Einklang mit einer spezifischen Verordnung erfolgt und angemessene Garantien zum Schutz der Rechte der betroffenen Person gemäß Artikel 78 Absatz 8 eingehalten werden.

III. Grundsatz der Minimierung der personenbezogenen Daten

Die verarbeiteten personenbezogenen Daten müssen dem Zweck entsprechen, für den sie verarbeitet werden, dafür erheblich sein und auf das dafür erforderliche Maß beschränkt werden.

IV. Grundsatz der Genauigkeit

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden; es sind angemessene und wirksame Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
V. Grundsatz der Minimierung des Selbstbehalts

Personenbezogene Daten werden so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert, die die Identifizierung der betroffenen Person ermöglicht; personenbezogene Daten dürfen länger gespeichert werden, wenn sie ausschließlich für Archivzwecke, für wissenschaftliche Zwecke, für historische Forschungszwecke oder für statistische Zwecke gemäß einer Sondervorschrift verarbeitet werden sollen und sofern angemessene Garantien zum Schutz der Rechte der betroffenen Person gemäß Artikel 78 Absatz 8 vorgesehen sind.

VI. Grundsatz der Integrität und Vertraulichkeit

Personenbezogene Daten sind in einer Weise zu verarbeiten, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter Verarbeitung personenbezogener Daten, unrechtmäßiger Verarbeitung personenbezogener Daten, versehentlichem Verlust personenbezogener Daten, Löschung personenbezogener Daten oder Beschädigung personenbezogener Daten.

VII. Grundsatz der Rechenschaftspflicht

Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und für die Übereinstimmung der Verarbeitung personenbezogener Daten mit den Grundsätzen der Verarbeitung personenbezogener Daten verantwortlich und ist verpflichtet, diese Übereinstimmung mit den Grundsätzen der Verarbeitung personenbezogener Daten auf Verlangen der Behörde nachzuweisen.
Die personenbezogenen Daten, die in den unten aufgeführten Informationssystemen zusammengefasst sind, sind Gegenstand der Prüfung und Bewertung der Grundsätze. Wir beurteilen den Umfang der personenbezogenen Daten unter Berücksichtigung aller Grundsätze der Abschnitte 6 bis 12 des Datenschutzgesetzes.

Der für die Verarbeitung Verantwortliche verarbeitet die folgenden personenbezogenen Daten:

(a) im IS des ÚD:
– Name
– Nachname
– Adresse
– Kontonummer
– andere personenbezogene Daten, die aufgrund spezifischer Gesetze für die Erfüllung der arbeitsrechtlichen Verpflichtungen und der vertraglichen Beziehungen mit den Kunden erforderlich sind.

b) bei IS-Kunden:
– Name, Nachname
– Adresse
– Rufnummer
– E-Mail Adresse
– sonstige personenbezogene Daten, die aufgrund spezifischer Rechtsvorschriften für die Erfüllung vertraglicher Verpflichtungen erforderlich sind
Kundenbeziehungen.

Der für die Verarbeitung Verantwortliche hat die Grundprinzipien in Bezug auf personenbezogene Daten und Zwecke wie folgt bewertet:

I. Der Grundsatz der Rechtmäßigkeit

Der für die Verarbeitung Verantwortliche respektiert und beachtet den Grundsatz der Rechtmäßigkeit.

Jede Verarbeitung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen ist rechtmäßig und beruht auf einer rechtmäßigen Rechtsgrundlage gemäß Abschnitt 13 des Gesetzes zum Schutz personenbezogener Daten. Die Verarbeitung durch den für die Verarbeitung Verantwortlichen ist weder rechtswidrig noch erfolgt sie auf einer rechtswidrigen Rechtsgrundlage, und der Zweck der Verarbeitung ist nicht an sich rechtswidrig.

Die Rechtsgrundlage für die Verarbeitung der in den unten aufgeführten Informationssystemen zusammengefassten personenbezogenen Daten ist:

IS ÚD:

– 13 Absatz 1 Buchstabe c des Datenschutzgesetzes: Die Verarbeitung personenbezogener Daten ist aufgrund einer besonderen Regelung erforderlich; besondere Regelungen sind insbesondere
Gesetz Nr. 431/2002 Z.z. über die Buchhaltung, in der geänderten Fassung
Gesetz Nr. 222/2004 Slg. über die Mehrwertsteuer, in geänderter Fassung
Gesetz Nr. 595/2003 Slg. über die Einkommenssteuer, in geänderter Fassung
Gesetz Nr. 145/1995 Slg. über Verwaltungsgebühren, in geänderter Fassung
Gesetz Nr. 40/1964 ZGB (Zivilgesetzbuch) in geänderter Fassung
Gesetz Nr. 513/1991 Slg. Handelsgesetzbuch, in der geänderten Fassung

IS-Kunden:

– Abschnitt 13(1)(b) des Datenschutzgesetzes: Die Verarbeitung personenbezogener Daten ist erforderlich für
die Erfüllung eines Vertrags, an dem die betreffende Person beteiligt ist, oder die Durchführung vorvertraglicher Maßnahmen
auf Antrag der betroffenen Person schließt der für die Verarbeitung Verantwortliche einen Vertrag mit den betroffenen Personen ab.

– Abschnitt 13 Absatz 1 Buchstabe c des Datenschutzgesetzes: Die Verarbeitung personenbezogener Daten ist erforderlich aufgrund von
Sonderregelungen.

II. Grundsatz der Zweckbindung

Der für die Verarbeitung Verantwortliche respektiert und beachtet den Grundsatz der Zweckbindung. Der für die Verarbeitung Verantwortliche erhebt personenbezogene Daten nur für einen bestimmten, genau bezeichneten, festgelegten und rechtmäßigen Zweck. Der Zweck der Verarbeitung personenbezogener Daten ist:

IS ÚD
– Verarbeitung von Buchhaltungsunterlagen, einschließlich der Erfüllung gesetzlicher Verpflichtungen im Rahmen spezifischer Vorschriften, von denen
resultierend aus,

IS-Kunden
– den Abschluss von Verträgen oder anderen Handelsvereinbarungen, vorvertragliche Beziehungen und die Erfüllung rechtlicher Verpflichtungen.

II. Grundsatz der Zweckbindung

Der für die Verarbeitung Verantwortliche respektiert und beachtet den Grundsatz der Zweckbindung. Der für die Verarbeitung Verantwortliche darf personenbezogene Daten nur für einen bestimmten, genau bezeichneten, festgelegten und rechtmäßigen Zweck erheben. Der Zweck der Verarbeitung personenbezogener Daten ist:

IS ÚD
– Verarbeitung von Buchhaltungsunterlagen, einschließlich der Erfüllung gesetzlicher Verpflichtungen im Rahmen spezifischer Vorschriften, von denen
resultierend aus,

IS-Kunden
– Abschluss eines Vertrags oder anderer geschäftlicher Vereinbarungen, vorvertragliche Beziehungen und Erfüllung rechtlicher Verpflichtungen.

III. Grundsatz der Minimierung der personenbezogenen Daten

Der für die Verarbeitung Verantwortliche respektiert und beachtet den Grundsatz der Minimierung der personenbezogenen Daten. Der für die Verarbeitung Verantwortliche verarbeitet angemessene und relevante personenbezogene Daten nur in dem Umfang, der für den Zweck, für den sie verarbeitet werden, erforderlich ist.

IS ÚD

– Der für die Verarbeitung Verantwortliche darf nur die personenbezogenen Daten verarbeiten, die für die Erfüllung der Verpflichtungen aus den folgenden Bestimmungen erforderlich sind
der spezifischen Rechtsvorschriften, insbesondere
– Name
– Nachname
– Adresse
– sonstige personenbezogene Daten, die aufgrund von Sondergesetzen für die Erfüllung der arbeitsrechtlichen Verpflichtungen und der vertraglichen Beziehungen zu den Kunden erforderlich sind

IS-Kunden
– Vorname, Nachname
– Adresse
– Rufnummer
– E-Mail Adresse
– sonstige personenbezogene Daten, die aufgrund besonderer Rechtsvorschriften für die Erfüllung vertraglicher Verpflichtungen erforderlich sind
Kundenbeziehungen.
– der für die Verarbeitung Verantwortliche nur die personenbezogenen Daten verarbeitet, die für den Abschluss des Vertrags, für die Verhandlung
vorvertragliche Beziehungen und Identifizierung im Sinne des Gesetzes Nr. 297/2008 Slg. über den Schutz vor Legalisierung
erträge aus kriminalität und schutz gegen die finanzierung des terrorismus sowie zur änderung bestimmter rechtsakte

Vor- und Nachname – zur Identifizierung des Käufers/Geschäftspartners bei Vertragsbeziehungen

Adresse – zur Identifizierung des Vertragspartners für die Lieferung der Waren, die Gegenstand des Vertrags sind

Telefonnummer – zum Zweck der Kommunikation in vorvertraglichen und vertraglichen Beziehungen mit dem Vertragspartner,

E-Mail-Adresse – zum Zweck der Kommunikation in vorvertraglichen und vertraglichen Beziehungen mit dem Vertragspartner,

IV. Grundsatz der Genauigkeit

Der Betreiber respektiert und beachtet den Grundsatz der Genauigkeit. Die verarbeiteten personenbezogenen Daten sind korrekt und werden auf Antrag der betroffenen Person aktualisiert. Der für die Verarbeitung Verantwortliche verpflichtet sich, die unrichtigen personenbezogenen Daten nach Möglichkeit zu berichtigen, wenn sie der betroffenen Person bekannt werden; andernfalls ist er verpflichtet, sie zu vernichten. Setzt sich die betroffene Person mit dem für die Verarbeitung Verantwortlichen in Verbindung und beantragt die Berichtigung unrichtiger personenbezogener Daten oder deren Löschung gemäß den gesetzlichen Bestimmungen, so kommt der für die Verarbeitung Verantwortliche, sofern die Unrichtigkeit der Daten bestätigt wird, dem Antrag der betroffenen Person auf Berichtigung unverzüglich nach. Der für die Verarbeitung Verantwortliche überprüft und aktualisiert die verarbeiteten personenbezogenen Daten regelmäßig (einmal alle 12 Kalendermonate gemäß der Sicherheitsmaßnahme Nr. 9 mit dem Titel „Art, Form und Häufigkeit der Durchführung von Kontrolltätigkeiten zur Einhaltung der Sicherheitsmaßnahmen“), auch inhaltlich, nicht nur grammatikalisch.

V. Grundsatz der Minimierung des Selbstbehalts

Der für die Verarbeitung Verantwortliche hat den Grundsatz der Minimierung der Aufbewahrung zu beachten und einzuhalten. Er bewahrt die personenbezogenen Daten in einer Form auf, die die Identifizierung der betroffenen Person ermöglicht, und zwar längstens so lange, wie es für die Erreichung des Zwecks, für den die personenbezogenen Daten verarbeitet werden, erforderlich ist, längstens jedoch für den Zeitraum, der in einem besonderen Gesetz ausschließlich für Archivierungszwecke vorgesehen ist. Der für die Verarbeitung Verantwortliche speichert die personenbezogenen Daten in Papierform und auf Computern, die sich in den Räumlichkeiten des für die Verarbeitung Verantwortlichen in einem separaten Raum befinden. Der für die Verarbeitung Verantwortliche darf personenbezogene Daten nicht außerhalb des Betriebsgeländes verarbeiten.

Der für die Verarbeitung Verantwortliche speichert personenbezogene Daten wie folgt:

IS ÚD
– der für die Verarbeitung Verantwortliche speichert personenbezogene Daten in diesem Informationssystem für die Dauer der Geschäftsbeziehung und für den Zweck der Verarbeitung. Der für die Verarbeitung Verantwortliche löscht die personenbezogenen Daten aus diesem Informationssystem, nachdem der vorgenannte Zweck, zu dem die personenbezogenen Daten verarbeitet werden, weggefallen ist, d. h. bis zum Zeitpunkt der Ausübung der Rechte aus dem Kundenbeschwerdemanagement; personenbezogene Daten werden länger aufbewahrt, wenn sie ausschließlich zu Archivierungszwecken, zu wissenschaftlichen Zwecken, zu historischen Forschungszwecken oder zu statistischen Zwecken auf der Grundlage einer Sonderregelung (z. B. im Sinne des Rechts des Mitgliedstaats, in dem die personenbezogenen Daten verarbeitet werden) verarbeitet werden sollen. 563/1991 Slg.) über die Buchhaltung: Buchungsbelege, Kontenpläne, Geschäftsbücher (ohne Gehaltsabrechnungen), Abschreibungsverzeichnisse, Listen der Geschäftsbücher, Inventare sind fünf Jahre nach dem Jahr, auf das sie sich beziehen, aufzubewahren).

IS-Kunden
– der Betreiber speichert die persönlichen Daten der Kunden in diesem Informationssystem für einen Zeitraum von 24 Monaten ab der Lieferung der Ware (oder der Zeit, die der Hersteller der Ware dem Käufer garantiert, um sie zu reklamieren), die Gegenstand des abgeschlossenen Vertrags oder eines anderen Handelsvertrags ist, denn gemäß Artikel 599 Absatz 1 des Bürgerlichen Gesetzbuchs kann der Käufer die Rechte der Mängelhaftung innerhalb von 24 Monaten ab dem Erhalt der Ware oder für den Zeitraum, in dem es möglich ist, die Rechte in der Verjährungsfrist auszuüben, vor Gericht geltend machen. Wurde der Reklamation nach dem Verbraucherrecht stattgegeben, so verlängert sich diese Frist um weitere 24 Monate (oder um den Zeitraum, den der Hersteller der Ware dem Käufer garantiert), in dem der Käufer eine weitere Garantiereparatur beanspruchen kann. Verfügt der für die Verarbeitung Verantwortliche als Verkäufer über die personenbezogenen Daten früher als innerhalb der im vorstehenden Satz genannten Frist, kann er den Anspruch des Käufers im Sinne des Bürgerlichen Gesetzbuchs, z. B. durch Rückerstattung des Kaufpreises bei Rücktritt vom Kaufvertrag, nicht bearbeiten, wenn der Anspruch nicht innerhalb der Anspruchsfrist bearbeitet wurde. Der für die Verarbeitung Verantwortliche kann die personenbezogenen Daten länger aufbewahren, wenn sie ausschließlich zu Archivierungszwecken, zu wissenschaftlichen Zwecken, zu Zwecken der historischen Forschung oder zu statistischen Zwecken auf der Grundlage einer Sonderregelung verarbeitet werden sollen.
Die personenbezogenen Daten der Kunden werden von dem für die Verarbeitung Verantwortlichen persönlich entsorgt.

VI. Grundsatz der Integrität und Vertraulichkeit

Der für die Verarbeitung Verantwortliche respektiert und beachtet den Grundsatz der Integrität und Vertraulichkeit. Sie verarbeitet personenbezogene Daten in einer Weise, die durch geeignete technische und organisatorische Maßnahmen eine ausreichende Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter Verarbeitung personenbezogener Daten, unrechtmäßiger Verarbeitung personenbezogener Daten, versehentlichem Verlust personenbezogener Daten, Löschung personenbezogener Daten oder Beschädigung personenbezogener Daten.

Die Daten werden auf dem Computer und in gedruckter Form gespeichert.

Der für die Verarbeitung Verantwortliche hat die folgenden technischen und organisatorischen Maßnahmen gemäß den vorstehenden Absätzen getroffen:

Vorsichtsmaßnahme Nr. 1 – Pflichten des Betreibers im Rahmen der Rechte der betroffenen Person
Sicherheitsmaßnahme Nr. 2 – Verarbeitung, Speicherung und Beseitigung von personenbezogenen Daten aus Informationssystemen
Sicherheitsmaßnahme Nr. 3 – Beschreibung der zulässigen Verarbeitungstätigkeiten und Verarbeitungsbedingungen
von personenbezogenen Daten
Schutzklausel Nr. 4 – Vervielfältigung von Dokumenten mit personenbezogenen Daten
Sicherheitsmaßnahme Nr. 5 – Verantwortlichkeiten der befugten und verantwortlichen Personen
Sicherheitsvorkehrung Nr. 6 – Schlüsselregelung des Kontrolleurs und Pflichten der Schlüsselinhaber
Sicherheitsmaßnahme Nr. 7 – Pflichten des für die Verarbeitung Verantwortlichen bei der Arbeit mit automatisierten IS
Sicherheitsmaßnahme Nr. 8 – Sicherung der Daten im Computersystem
Sicherheitsmaßnahme Nr. 9 – Methode, Form und Häufigkeit der Kontrolltätigkeiten mit dem Ziel
Einhaltung der Sicherheitsmaßnahmen
Sicherheitsmaßnahme Nr. 10 – Verfahren bei Unfällen, Betriebsstörungen und anderen Notfällen, einschließlich Präventivmaßnahmen.

VII. Grundsatz der Rechenschaftspflicht

Der Betreiber respektiert und beachtet den Grundsatz der Rechenschaftspflicht. Der für die Verarbeitung Verantwortliche ist sich bewusst, dass er für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und für die Übereinstimmung der Verarbeitung personenbezogener Daten mit den Grundsätzen der Verarbeitung personenbezogener Daten verantwortlich ist, und er ist verpflichtet, diese Übereinstimmung mit den Grundsätzen der Verarbeitung personenbezogener Daten auf Anfrage der Behörde nachzuweisen. Zu diesem Zweck erstellt er eine schriftliche Datenschutz-Folgenabschätzung und eine schriftliche Bewertung der Grundprinzipien, aus der hervorgeht, dass die Verarbeitung personenbezogener Daten mit den Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang steht. Der für die Verarbeitung Verantwortliche verpflichtet sich, laufend (mindestens einmal pro Kalendermonat) zu überprüfen, ob die Verarbeitung personenbezogener Daten mit den Grundsätzen für die Verarbeitung personenbezogener Daten übereinstimmt.

Auf der Grundlage der vorstehenden Bewertung der Grundprinzipien in Bezug auf personenbezogene Daten ist der für die Verarbeitung Verantwortliche zu dem Schluss gekommen, dass die Verarbeitung personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG und dem Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und zur Änderung bestimmter Gesetze steht.
5. Risikobewertung für die Rechte der betroffenen Person
5.1 Rechte der betroffenen Person
Gemäß den Paragraphen 21 bis 28 des Datenschutzgesetzes gehören zu den Grundrechten der betroffenen Person:

I. Recht auf Zugang zu personenbezogenen Daten

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden. Verarbeitet der für die Verarbeitung Verantwortliche solche personenbezogenen Daten, so hat die betroffene Person das Recht, Zugang zu diesen Daten zu erhalten und Auskunft über sie zu bekommen:
(a) den Zweck der Verarbeitung der personenbezogenen Daten,
(b) die Kategorie der verarbeiteten personenbezogenen Daten,
(c) die Identifizierung des Empfängers oder der Kategorie von Empfängern, an die die personenbezogenen Daten übermittelt worden sind oder übermittelt werden sollen
dem Empfänger, insbesondere dem Empfänger in einem Drittland oder einer internationalen Organisation, soweit dies möglich ist,
(d) die Dauer der Aufbewahrung der personenbezogenen Daten; falls dies nicht möglich ist, Angaben zu den Kriterien für die Festlegung dieser Dauer,
(e) das Recht, von dem für die Verarbeitung Verantwortlichen die Berichtigung der die betroffene Person betreffenden personenbezogenen Daten zu verlangen, deren
das Recht auf Löschung oder Einschränkung ihrer Verarbeitung oder das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten,
(f) das Recht, eine Klage nach Artikel 100 zu erheben,
(g) die Quelle der personenbezogenen Daten, es sei denn, die personenbezogenen Daten wurden von der betroffenen Person erhoben,
(h) das Vorliegen einer automatisierten Einzelentscheidung, einschließlich Profiling gemäß Artikel 28 Absätze 1 und 4;
In solchen Fällen stellt der für die Verarbeitung Verantwortliche einschlägige Informationen zur Verfügung, insbesondere über das angewandte Verfahren sowie über die Bedeutung und die vorhersehbaren Folgen einer solchen Verarbeitung personenbezogener Daten für die betroffene Person.

II. Recht auf Berichtigung der personenbezogenen Daten

Die betroffene Person hat das Recht, unrichtige personenbezogene Daten, die sie betreffen, unverzüglich von dem für die Verarbeitung Verantwortlichen berichtigen zu lassen. Im Hinblick auf den Zweck der Verarbeitung personenbezogener Daten hat die betroffene Person das Recht, unvollständige personenbezogene Daten vervollständigen zu lassen.

III. Recht auf Löschung der personenbezogenen Daten

Die betroffene Person hat das Recht, dass sie betreffende personenbezogene Daten von dem für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung gelöscht werden.

IV. Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, soweit

(a) die betroffene Person Widerspruch gegen die Richtigkeit der personenbezogenen Daten einlegt, und zwar für einen Zeitraum, der es dem für die Verarbeitung Verantwortlichen ermöglicht
um die Richtigkeit der personenbezogenen Daten zu überprüfen,
(b) die Verarbeitung der personenbezogenen Daten unrechtmäßig ist und die betroffene Person Widerspruch gegen die Löschung der personenbezogenen Daten einlegt und
Einschränkung ihrer Verwendung,
(c) der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung der personenbezogenen Daten benötigt, sondern
die betroffene Person zur Geltendmachung eines Rechtsanspruchs, oder
(d) die betroffene Person Widerspruch gegen die Verarbeitung personenbezogener Daten gemäß Artikel 27 Absatz 1 einlegt, solange nicht überprüft wurde, dass
die berechtigten Gründe des für die Verarbeitung Verantwortlichen überwiegen gegenüber den berechtigten Gründen der betroffenen Person.

V. Recht auf Übertragbarkeit von personenbezogenen Daten

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese personenbezogenen Daten einem anderen für die Verarbeitung Verantwortlichen zu übermitteln, soweit dies technisch machbar ist und soweit

(a) die personenbezogenen Daten gemäß Artikel 13 Absatz 1 Buchstabe a, Artikel 16 Absatz 2 Buchstabe a oder Artikel 13 Absatz 1 Buchstabe b verarbeitet werden; und
(b) die Verarbeitung personenbezogener Daten erfolgt mit Hilfe automatisierter Verfahren.

VI. Recht auf Widerspruch gegen die Verarbeitung von personenbezogenen Daten

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 13 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten nicht weiter, es sei denn, er kann zwingende schutzwürdige Interessen für die Verarbeitung der personenbezogenen Daten nachweisen, die die Rechte und Interessen der betroffenen Person überwiegen, oder Gründe für die Geltendmachung eines Rechtsanspruchs geltend machen.

VII. Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling

Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten – einschließlich Profiling – beruht und die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

5.2 Ausübung der Rechte der betroffenen Person

Der für die Verarbeitung Verantwortliche verpflichtet sich, dem Empfänger die Berichtigung personenbezogener Daten, die Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung personenbezogener Daten gemäß § 22, § 23 Absatz 1 oder § 24 des Datenschutzgesetzes mitzuteilen, es sei denn, dies erweist sich als unmöglich oder erfordert einen unverhältnismäßigen Aufwand. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person über die im vorstehenden Satz genannten Empfänger, wenn die betroffene Person dies beantragt.

Der für die Verarbeitung Verantwortliche ergreift geeignete Maßnahmen und verpflichtet sich, der betroffenen Person die Informationen gemäß den §§ 19 und 20 und die Meldung gemäß den §§ 21 bis 28 und 41 des Datenschutzgesetzes über die Verarbeitung ihrer personenbezogenen Daten in knapper, transparenter, verständlicher und leicht zugänglicher Form und in klarer Formulierung zu erteilen, insbesondere bei Informationen, die sich speziell an ein Kind richten.
Der für die Verarbeitung Verantwortliche verpflichtet sich, die Informationen in Papierform oder in elektronischer Form zu übermitteln, im Allgemeinen in der gleichen Form wie die Anfrage. Auf Antrag der betroffenen Person kann der für die Verarbeitung Verantwortliche die Informationen auch mündlich erteilen, wenn die betroffene Person ihre Identität auf andere Weise nachweist.

Der für die Verarbeitung Verantwortliche verpflichtet sich, mit der betroffenen Person bei der Ausübung ihrer Rechte gemäß den §§ 21 bis 28 des Gesetzes über den Schutz personenbezogener Daten zusammenzuarbeiten. In den in Artikel 18 Absatz 2 genannten Fällen darf sich der für die Verarbeitung Verantwortliche nicht weigern, dem Antrag einer betroffenen Person auf Ausübung ihrer Rechte nach den Artikeln 21 bis 28 stattzugeben, es sei denn, der für die Verarbeitung Verantwortliche weist nach, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Der für die Verarbeitung Verantwortliche verpflichtet sich, der betroffenen Person innerhalb eines Monats nach Eingang des Antrags gemäß den §§ 21 bis 28 des Datenschutzgesetzes Auskunft über die auf ihren Antrag hin getroffenen Maßnahmen zu erteilen. Diese Frist kann von dem für die Verarbeitung Verantwortlichen in begründeten Fällen unter Berücksichtigung der Komplexität und der Anzahl der Anfragen, auch wiederholt, um weitere zwei Monate verlängert werden. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung und gibt die Gründe dafür an. Hat die betroffene Person den Antrag in elektronischer Form gestellt, so stellt der für die Verarbeitung Verantwortliche die Informationen in elektronischer Form zur Verfügung, es sei denn, die betroffene Person hat die Informationen in anderer Form beantragt. Sofern der für die Verarbeitung Verantwortliche nicht auf der Grundlage des Antrags der betroffenen Person tätig wird, muss er innerhalb eines Monats nach Eingang des Antrags tätig werden,

Der für die Verarbeitung Verantwortliche hat die Informationen nach den §§ 19 und 20 sowie die Mitteilungen und Maßnahmen nach den §§ 21 bis 28 und 41 unentgeltlich zu erteilen. Ist der Antrag der betroffenen Person offensichtlich unbegründet oder unverhältnismäßig, insbesondere weil er wiederholt gestellt wird, kann der für die Verarbeitung Verantwortliche den Antrag ablehnen:

(a) eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Zustellung oder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Durchführung der beantragten Maßnahme erheben oder
(b) die Erledigung des Ersuchens ablehnen.

Die offensichtliche Unbegründetheit oder Unzulänglichkeit des Antrags ist vom Betreiber nachzuweisen. Der für die Verarbeitung Verantwortliche kann zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn der für die Verarbeitung Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den §§ 21 bis 27 stellt; die Bestimmung des § 18 bleibt davon unberührt. Die Informationen, die der für die Verarbeitung Verantwortliche der betroffenen Person gemäß den Artikeln 19 und 20 zur Verfügung stellen muss, können in Kombination mit standardisierten Symbolen bereitgestellt werden, um einen deutlich sichtbaren, klaren und verständlichen Überblick über die geplante Verarbeitung personenbezogener Daten zu geben. Die standardisierten Symbole müssen maschinenlesbar sein, wenn sie in elektronischer Form verwendet werden.

Zur Erfüllung der oben genannten Pflichten, zu denen der für die Verarbeitung Verantwortliche verpflichtet ist, hat der für die Verarbeitung Verantwortliche die Sicherheitsmaßnahme Nr. 1 – Pflichten des Betreibers im Rahmen der Rechte der betroffenen Person – erlassen.

Der für die Verarbeitung Verantwortliche hat außerdem ein Dokument mit dem Titel „Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde“ erstellt, auf dessen Grundlage er die Datenschutzbehörde über eine festgestellte Verletzung des Schutzes personenbezogener Daten unterrichten wird.

5.3 Risiken für die Rechte der betroffenen Person
Der für die Verarbeitung Verantwortliche hat die nachstehend aufgeführten Risiken für die Rechte der betroffenen Person bewertet und festgelegt. Die Risiken beschränken sich auf unvorhersehbare Ereignisse oder Aktivitäten, die sich der Kontrolle der betroffenen Person entziehen. Restrisiken können zu einer teilweisen Unterbrechung des IS oder einer vollständigen Unterbrechung der Anlagen mit Beeinträchtigung des IS des UD, IS-Kunden führen.

Auswirkungen auf die Verschlechterung der IS Risiken Bedrohung

Partieller Brute-Force-Angriff Deaktivierung des Sicherheitssystems

Überwindung technischer Hindernisse
Eingänge – Sicherheitstüren

Verlust oder Diebstahl von Daten
Übermittlung oder Transport von Daten

Diebstahl von Dokumenten

Diebstahl von technischen Mitteln
Informationssysteme

Funktionsstörung der technischen Mittel
Teilweise Unterbrechung des Betriebs aufgrund eines Wasserrohrbruchs,
Störungen in der Abwasser- und Heizungstechnik
Pipeline-Ausrüstung

Vollständige Naturkatastrophe Überschwemmung

Blitzschlag

Feuer

Erdbeben

Vollständiger Terroranschlag Explosion

Verseuchung

Feuer

Vollständiges technisches Versagen Gasexplosion
Ausrüstung Verseuchung von Räumlichkeiten

a) Liste der Risiken bei der Objektsicherheit

Verlust oder Diebstahl von Schlüsseln zu den Räumlichkeiten des Betreibers
Nichtverschließen der Eingangstür zu den sicheren Räumlichkeiten des Unternehmens nach Verlassen dieser sicheren Räumlichkeiten
Überwindung mechanischer Barrieren
(b) Auflistung der Risiken des Eindringens personenbezogener Daten in die Hände Unbefugter

den Zugang von unbefugten und unbefugten Personen zu Computersystemen, auch wenn
die unbefugte und unbefugte Person hat kurzen Blickkontakt mit dem Computerbildschirm
Diebstahl eines Computersystems
Verlust oder Diebstahl von Datenträgern auf dem Weg nach Hause oder zu einem anderen Arbeitsplatz
unbefugter externer Zugriff auf die Festplatte oder Datenstrukturen
von Personen aus dem lokalen Computernetz
den externen Zugriff auf die Festplatte oder Datenstrukturen durch Personen, die
mit dem Internet verbunden
(c) Liste der Risiken des Verlusts personenbezogener Daten und der Verletzung der Integrität

Verletzung der Objektsicherheit durch Eindringen in die Räumlichkeiten durch Unbefugte und Unbefugte
eines Betreibers mit Informationssystemen
Zerstörung eines PCs oder seiner wichtigsten Komponenten durch eine Naturkatastrophe, einen Brand oder eine Überschwemmung
Ermächtigung oder Diebstahl eines Computersystems
Beschädigung der Festplatte eines PCs aufgrund eines mechanischen Fehlers
Beschädigung der Festplatte oder der Datenstrukturen des Computers durch Computerviren
Beschädigung der PC-Festplatte oder der Datenstrukturen aus der äußeren Umgebung durch Unbefugte
Zugriff durch andere Benutzer des lokalen Computernetzes
Beschädigung der Festplatte des Computers oder von Datenstrukturen aus der äußeren Umgebung durch Unbefugte
Zugriff durch andere Internetnutzer
(d) Liste der Risiken des Verlusts der Verfügbarkeit personenbezogener Daten

Verletzung der Integrität, Verfügbarkeit und Vertraulichkeit durch Software, die Fehler enthalten kann,
die Schäden an den verarbeiteten personenbezogenen Daten verursachen können
ein Softwarefehler kann den Zugang zu automatisierten Mitteln zur
Informationssystemen für Unbefugte und in der Folge Zerstörung, Diebstahl, unerwünschte
Verbreitung von oder unbefugter Zugang zu personenbezogenen Daten

(d) Liste der Risiken des Verlusts der Verfügbarkeit personenbezogener Daten

Verlust oder Diebstahl von Beweismitteln durch die Person, die sie vertritt
Verlust von in Informationssystemen gespeicherten Dokumenten bei der Übermittlung durch eine befugte Person
Weitergabe von Informationen durch das Personal des für die Verarbeitung Verantwortlichen
Verbreitung von Informationen durch ungeschwärzte und unnötige Dokumente
gezielte Beschaffung von Informationen über personenbezogene Daten durch einen Außenstehenden
Verlust oder Diebstahl von Dokumenten mit personenbezogenen Daten durch befugte Personen
Diebstahl von Dokumenten mit personenbezogenen Daten durch Unbefugte und Unbefugte
Um die festgestellten Risiken für die Rechte der betroffenen Person zu beseitigen, hat der für die Verarbeitung Verantwortliche Schutzmaßnahmen getroffen
Sicherheitsmaßnahmen und -mechanismen, wie im folgenden Abschnitt dieses Dokuments dargelegt.

6. Maßnahmen des Controllers
6.1 Grundlegende Sicherheitsziele und mindestens erforderliche Sicherheitsmaßnahmen
Bei der Festlegung der grundlegenden Sicherheitsziele, der erforderlichen Mindestgarantien und der Schutzstandards vor dem Hintergrund der oben erwähnten Datenschutz-Folgenabschätzung des für die Verarbeitung Verantwortlichen sind wir in erster Linie auf der Grundlage unserer Kenntnis des Umfelds des für die Verarbeitung Verantwortlichen vorgegangen und haben dabei bewährte Lösungen und Standards für den Schutz von Verschlusssachen und den Schutz von Informationssystemen in der öffentlichen Verwaltung berücksichtigt. Wir haben Gesetze, Verordnungen und internationale Normen herangezogen, um die grundlegenden Sicherheitsziele und die erforderlichen Mindestsicherheitsmaßnahmen festzulegen.

Die Sicherheitsziele des Betreibers sind:
(a) Unbefugte und unbefugte Personen daran zu hindern, die Räumlichkeiten des Betreibers zu betreten
(b) die Risiken eines Brandes und der Ausbreitung eines Brandes oder der Zerstörung von Daten durch eine Naturkatastrophe zu minimieren
(c) personenbezogene Daten vor der Verarbeitung und Manipulation durch Unbefugte zu schützen
(d) ein System für die Verarbeitung personenbezogener Daten einzurichten, das eine undurchsichtige und
unkontrollierte Verwendung, Verlust, Diebstahl oder Zerstörung personenbezogener Daten bei der Arbeit mit
IS ÚD, IS Kunden.
e) den Schutz personenbezogener Daten vor unbefugter Weitergabe, Diebstahl und Verlust zu gewährleisten,
Beschädigung, unbefugter Zugriff, Veränderung und Verbreitung oder Missbrauch für andere Zwecke
zu einem anderen Zweck als dem, für den sie verarbeitet wurden;
(f) Analyse der Möglichkeiten des Hackings
(g) Festlegung von Sicherheitsstufen
Spezifizierung der technischen, organisatorischen und personellen Maßnahmen der einzelnen IS

Die grundlegenden Sicherheitsmaßnahmen des Betreibers sind eine Zusammenfassung von:

(a) technisch
(b) organisatorisch
(c) Personal

Maßnahmen, die den Schutz personenbezogener Daten in den Informationssystemen des Betreibers gewährleisten: IS ÚD, IS Kunden.

Ad a) Spezifikation der technischen Maßnahmen und ihrer Verwendung:

Die technischen Maßnahmen umfassen alle vorgesehenen technischen Mittel für die Verarbeitung, Handhabung, Archivierung und Vernichtung personenbezogener Daten des IS ÚD, der IS-Kunden sowie alle Mittel und Methoden zum Schutz der vorgesehenen technischen Mittel. Der Einsatz technischer Mittel für die Verarbeitung personenbezogener Daten ist nur Personen gestattet, die zur Handhabung und Verarbeitung personenbezogener Informationen befugt sind. Die technischen Mittel werden hauptsächlich von den befugten Personen verwendet, denen diese Mittel zugewiesen wurden. Der für die Computertechnik zuständige Mitarbeiter (falls vorhanden) wird vom für die Verarbeitung Verantwortlichen benannt.

Im Sinne des Datenschutzgesetzes gelten als technische Mittel:

➢ Datenverarbeitungsanlagen, die das Erstellen, Verarbeiten, Drucken und Speichern von Daten und Informationen gewährleisten. Die Datenverarbeitungsanlage besteht aus einem Komplex von Geräten (Hardware, Software, Peripheriegeräte usw.) und deren Verbindung durch Telekommunikationssysteme und
Computernetzwerke und Datenträger (USB-Sticks, DVDs, CDs usw.)

➢ Geräte für die Produktion von geschriebenem Text – Drucker für Personalcomputer und Vervielfältigungsgeräte für Server. Die Sicherheit der oben erwähnten technischen Mittel – wird durch Software, mechanische, modale und technische Schutzmittel gewährleistet.

Programmatische Methode

1) Antivirenschutz
– auf jedem Benutzerrechner, auf dem sich die IS ÚD, IS Kunden befinden, muss ein Virenschutz installiert sein – eine laufende Überprüfung auf Aktualisierungen der Virenschutzbibliotheken muss gewährleistet sein

2) PC-Schutz vor unbefugtem Zugriff und Zutritt und Login-Passwörter
– Einsatz von Schutzprogrammen oder -vorrichtungen gegen das Eindringen von Unbefugten aus anderen Netzen, z. B. FireWall, die z. B. das Computersystem während der Verbindung mit dem Internet vor gezielten und zufälligen Zugriffen aus der Internetumgebung schützt
– jedem Computerbenutzer muss ein Passwort zugewiesen werden, um sich zu authentifizieren und es geheim zu halten
– eine angemessen gewählte Lebensdauer, Länge und Zusammensetzung (Komplexität) des Passworts verhindert in ausreichendem Maße erfolgreiche Angriffe zum Erraten des Passworts
– die Passwörter für den Programmzugang werden regelmäßig geändert
– die gleichen Maßnahmen gelten für den Zugang zu Anwendungen
– wenn Daten in Dateien (z.B. Txt, doc) gesammelt werden, müssen diese verschlüsselt werden

3) Nutzung von Programmen
– nur zugelassene Programme dürfen verwendet werden
– Überprüfung der Integrität des erhaltenen Softwarepakets vor der Installation
– die Installation aus dem Internet ist verboten

4) Datensicherung und -speicherung
– regelmäßige Sicherung der Datenbanken
– vor der Aktualisierung der Anwendungssoftware eine Sicherungskopie erstellen
– geschützte Daten dürfen nicht ohne zusätzliche Sicherheitsvorkehrungen auf über das Netz zugänglichen Speichermedien gespeichert werden; Festplatten dürfen nicht ohne zusätzliche Sicherheitsvorkehrungen über ein Netz für die Internet-Verbindung freigegeben werden

Verboten (außerhalb autorisierter Personen):
– zum Ändern und Anpassen der Konfiguration des PCs, auf dem sich das IS ÚD, IS Customers befindet
– Sicherheitsfunktionen deaktivieren
– Programme installieren
– Unbefugten den Zugang zu IS ÚD, IS Kunden auf einem PC zu ermöglichen
– Daten mit personenbezogenen Daten außerhalb der dafür vorgesehenen Bereiche zu speichern

Wovor wir uns schützen Wie Wer

PC mit unberechtigtem Raumzugang wird von autorisierter Person gesperrt

PC-Software-Angriff durch Installation und Wartung einer Firewall durch eine autorisierte Person

Benutzerkonten durch den Austausch von Passwörtern zwischen den Benutzern, indem die autorisierte Person unter den autorisierten Benutzern informiert wird, aber auch über die Gefahr, gehackt zu werden
die Möglichkeit des Missbrauchs von Passwörtern durch Unbefugte

Mechanische Methode
– Ausstattung ausgewiesener Arbeitsplätze mit Volltüren und mechanischen Barrieren zum Schutz
Fenster
– Schränke oder Datenträgerräume verschlossen sind
– Räume, die Schränke enthalten, sind mit einem Sicherheitsschloss zu verschließen, und die Personen, denen die Schlüssel ausgehändigt wurden, müssen
registriert
– die physische Vernichtung von personenbezogenen Datenträgern durch Zerreißen, Verbrennen oder sichere Aufbewahrung
Löschung von Speichermedien

Die Regime-Methode
– im Organisationsreglement die Regelung für den Zugang zum Arbeitsplatz und das Verbot der Anwesenheit am Arbeitsplatz nach der Arbeitszeit festlegen
Stunden ohne Wissen des Vorgesetzten, Benennung von Mitarbeitern, die für die Sicherheit verantwortlich sind, Einrichtung von
die Bedingungen für den Zutritt zum Arbeitsplatz und die Art und Weise des Verlassens des Arbeitsplatzes
– Passwörter und administrativer Zugang müssen dokumentiert und in einem versiegelten Umschlag in
in einem abschließbaren Schrank und darf nur vom Bediener geöffnet werden durch
eine autorisierte Person – die Öffnung muss dokumentiert werden

Technische Methode
– Sicherung des Internetnetzes durch technische Vorrichtungen gegen unbefugten Zugriff aus dem Internet
– Anwendungen und insbesondere Datenbanken werden entweder auf einem Backup-PC oder auf CDs gesichert
– regelmäßige Durchführung von Elektro- und Feuerbeschau, Schornsteininspektion

Ad b) Festlegung von organisatorischen Maßnahmen und deren Anwendung:

Spezifikation von Arbeits- und Sicherheitsverfahren

– Nur die zu diesem Zweck benannten autorisierten Personen dürfen personenbezogene Daten von IS UD, IS Kunden verarbeiten, erheben und darüber verfügen. Die Verarbeitung der Daten muss im Einklang mit dem Datenschutzgesetz stehen. Die befugten Personen müssen alle vom für die Verarbeitung Verantwortlichen getroffenen Maßnahmen und erlassenen Vorschriften einhalten.

Anforderungen an organisatorische Maßnahmen

Gewährleistung von Sicherheitsmaßnahmen zum Schutz personenbezogener Daten der IS ÚD, IS-Kunden durch organisatorische Maßnahmen, d.h. organisierte Arbeitstätigkeiten und Verfahren zur Gewährleistung der allgemeinen Informations- und Computersicherheit.

Organisatorische Maßnahmen
– es ist verboten, sich nach der Arbeitszeit am Arbeitsplatz aufzuhalten
– Arbeitnehmer dürfen sich nur mit Erlaubnis des Betreibers vor Ort aufhalten

Zuweisung von Zuständigkeiten
– Im Falle einer Notfallsituation, in der die Sicherheit gefährdet ist, wird die Aktivität von dem benannten Mitarbeiter koordiniert und geleitet.
– im Falle eines Verstoßes gegen die PC-, IS- und Netzsicherheit wird die Maßnahme von dem benannten Mitarbeiter koordiniert
– im Falle einer Verletzung der Informationssicherheit von Dokumenten, Telefonleitungen und Mobilfunknetzen koordiniert ein benannter Bediensteter die Maßnahmen

Handhabung von Datenträgern
– alle materiellen Datenträger müssen gegen den Zugriff Unbefugter gesichert werden

Speicherort der Live-Datenträger
– Daten aus dem IS ÚD, IS Kunden, befinden sich in Papierform in den verschlossenen Räumen des Betreibers
– Geschützte Daten in elektronischer Form sind auf tragbaren Datenträgern zu speichern, die in verschließbaren Räumen aufzubewahren sind. Die auf den PCs gespeicherten Daten sind wie folgt zu schützen:
PCs müssen durch ein Antivirenprogramm mit regelmäßigen Updates der Virendatenbank geschützt sein.
Wenn bestimmte Programme passwortgeschützt sein müssen, verwendet jeder Benutzer sein eigenes Passwort für den Zugang zu den Programmen.
Die PCs müssen sich in abgeschlossenen Bereichen befinden.
Die befugten Personen müssen die Daten an einem Ort und auf eine Weise verarbeiten, die Datendiebstahl verhindert.
Die befugten Personen stellen sicher, dass die Datenträger bei der Übermittlung zwischen Speicher- und Verarbeitungsort nicht von Unbefugten eingesehen werden können.
(c) Festlegung der personellen Ausstattung und der Art und Weise ihres Einsatzes:

Der Einsatz von technischen Mitteln zur Informationsverarbeitung ist nur Personen gestattet, die befugt sind, Kenntnis von personenbezogenen Daten von IS UD, IS-Kunden zu erlangen. Die technischen Mittel werden in erster Linie von den ihnen zugewiesenen Bediensteten eingesetzt. Jede befugte Person ist verpflichtet, die Vertraulichkeit der personenbezogenen Daten, mit denen sie in Berührung kommt, zu wahren; sie darf sie nicht für persönliche Zwecke verwenden und sie ohne die Zustimmung des für die Verarbeitung Verantwortlichen niemandem mitteilen oder zugänglich machen, außer in den gesetzlich festgelegten Fällen. Die Verpflichtung zur Vertraulichkeit gilt auch für andere natürliche Personen, die im Rahmen ihrer Tätigkeit (z. B. Wartung und Instandhaltung von technischen Anlagen) mit personenbezogenen Daten in Berührung kommen. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Amtes der verantwortlichen Person oder nach Beendigung ihres Arbeitsverhältnisses fort. Mitarbeiter, die mit technischen Mitteln ausgestattet sind,

Anforderungen an die Personalausstattung – Qualifikationen
– Nur befugte Personen dürfen personenbezogene Daten in der IS ÚD, IS Kunden verarbeiten:
– PC-Kenntnisse
– geschult im Umgang mit dem Anwendungsprogramm
– andere befugte Personen dürfen personenbezogene Daten nur auf dokumentarischer Basis verarbeiten

Personalausstattung der Prozesse
– die Dateneingabe von befugten Personen durchgeführt wird
– der Archivierungsvorgang wird von der befugten Person durchgeführt

Sicherheit des Personals
– das Personal muss unterrichtet werden
– jeder Mitarbeiter ist zur Vertraulichkeit verpflichtet, um die Austauschbarkeit zu gewährleisten
– die wichtigsten Verfahren zum Schutz personenbezogener Daten in IS ÚD, IS Kunden müssen gesichert werden
Ersetzbarkeit

Gewährleistung der Einhaltung von Sicherheitsmaßnahmen:
– das Personal muss nachweislich mit den Sicherheitsvorkehrungen vertraut sein
– bei der Einstellung eines Mitarbeiters muss dieser ordnungsgemäß unterrichtet werden

Schriftliche Anweisungen an die befugten Personen, bevor die erste Verarbeitung personenbezogener Daten erfolgt
Jede befugte Person muss vor der ersten Verarbeitung personenbezogener Daten unterwiesen werden. Der für die Verarbeitung Verantwortliche belehrt die Person über ihre Rechte und Pflichten bei der Verarbeitung personenbezogener Daten; die Belehrung umfasst insbesondere eine Definition des Umfangs ihrer Befugnis, der zulässigen Tätigkeiten und der Bedingungen für die Verarbeitung personenbezogener Daten.

Informationen über die Rechte und Pflichten nach dem Gesetz und die Haftung für deren Verletzung
– Die bevollmächtigten und verantwortlichen Personen werden über die Rechte und Pflichten, die sich aus dem Gesetz ergeben, sowie über die Haftung bei Verstößen gegen dieses Gesetz unterrichtet. Über die Belehrung der bevollmächtigten Person ist ein Protokoll anzufertigen. Die verarbeiteten personenbezogenen Daten sind vor Beschädigung, Zerstörung, Verlust, Veränderung, unbefugtem Zugriff und unbefugter Weitergabe, Offenlegung oder Übermittlung sowie vor sonstiger unzulässiger Verarbeitung zu schützen.

Definition verbotener Praktiken oder Vorgänge mit personenbezogenen Daten

– Verbotene Praktiken oder Operationen mit persönlichen Daten von IS ÚD, IS Kunden sind:
➢ die Erhebung und Verarbeitung personenbezogener Daten von anderen als den von dem für die Verarbeitung Verantwortlichen bestimmten Personen ist verboten
➢ die Erhebung und Verarbeitung personenbezogener Daten über das für die Erreichung des Zwecks erforderliche Maß hinaus ist untersagt
➢ die Verwendung und Zusammenführung personenbezogener Daten, die für andere oder andere als die von dem für die Verarbeitung Verantwortlichen angegebenen Zwecke erhoben wurden, ist untersagt
➢ die Verwendung von kopierten oder gedruckten Verträgen, Rechnungen oder anderen Dokumenten für andere als die von dem für die Verarbeitung Verantwortlichen angegebenen Zwecke ist untersagt
➢ die Speicherung personenbezogener Daten in der in diesen Maßnahmen vorgesehenen Weise ist untersagt
Die Erhebung personenbezogener Daten in einer Form, die die Identifizierung der betroffenen Personen nicht zulässt, ist verboten.
➢ die Verwendung personenbezogener Daten zu untersagen, deren Verarbeitungszweck weggefallen ist
➢ die Verwendung personenbezogener Daten für den persönlichen Gebrauch, ihre Weitergabe oder ihre Weitergabe und den Zugang zu anderen Personen zu untersagen
➢ die Verwendung der verarbeiteten personenbezogenen Daten entgegen den berechtigten Interessen der betroffenen Person untersagt
➢ ein Verhalten zu verbieten, das die Rechte und berechtigten Interessen bedroht und untergräbt und ungerechtfertigt in das Recht auf Schutz der Persönlichkeit und der Privatsphäre der betroffenen Personen eingreift
Es ist verboten, anderen als den befugten Personen Zugang zu den erhaltenen personenbezogenen Daten zu gewähren.
➢ die Verarbeitung personenbezogener Daten in einer Weise, die mit den guten Sitten und mit
in einer Weise, die gegen das Gesetz oder andere allgemein verbindliche Rechtsvorschriften verstößt, oder gegen ihre umgehen.
Definition der Haftung für Verstöße
– der Betreiber informiert die Personen über ihre Haftung für Gesetzesverstöße und hält dies schriftlich fest

Unterrichtung der befugten Personen über die Verfahren im Zusammenhang mit der automatisierten Verarbeitung und die damit verbundenen Rechte und Pflichten innerhalb und außerhalb der Räumlichkeiten des für die Verarbeitung Verantwortlichen

– der für die Verarbeitung Verantwortliche unterrichtet die befugten Personen über die Verfahren im Zusammenhang mit der automatisierten Verarbeitung und die damit verbundenen Rechte und Pflichten innerhalb und außerhalb der Räumlichkeiten des für die Verarbeitung Verantwortlichen. Über die Belehrung der bevollmächtigten Person ist ein Protokoll anzufertigen

Einweisung der befugten Personen in die Sicherheitsmaßnahmen

– der für die Verarbeitung Verantwortliche macht die befugten Personen mit den Sicherheitsmaßnahmen für Informationssysteme vertraut

Verfahren zur Beendigung des Arbeitsverhältnisses oder eines ähnlichen Verhältnisses der bevollmächtigten Person

– bei Beendigung des Beschäftigungsverhältnisses oder eines ähnlichen Verhältnisses der bevollmächtigten Person übergibt die bevollmächtigte Person die abgetretenen Vermögenswerte und der für die Verarbeitung Verantwortliche nimmt sie in Besitz. Der für die Verarbeitung Verantwortliche stellt sicher, dass die Zugriffsrechte widerrufen werden, und belehrt die befugte Person über die Folgen eines Verstoßes gegen die gesetzliche oder vertragliche Verpflichtung zur Vertraulichkeit

Administrative Sicherheit

Regeln für die Weitergabe von Dokumenten, die personenbezogene Daten enthalten, aufzustellen und in die Praxis umzusetzen, um die Möglichkeiten des Verlusts, des Diebstahls und der Verbreitung von Informationen zu minimieren
➢ die Räumlichkeiten des Betreibers mit Bürogeräten auszustatten, deren Einsatz die Sicherheit bei der Bearbeitung von Dokumenten erhöht
➢ Aufzeichnungen über geschützte Dokumente definieren und verwenden
➢ eine Organisation für die Vervielfältigung von Dokumenten mit personenbezogenen Daten zu schaffen
Vorschriften für das Ausleihen, die Weitergabe und den Transport von Dokumenten mit personenbezogenen Daten festzulegen
➢ die Bearbeitung der Dokumente so zu organisieren, dass Außenstehende unter normalen Umständen keinen Zugang zu den Unterlagen erhalten können
➢ Schaffung der Voraussetzungen für die Vernichtung unnötiger Dokumente mit personenbezogenen Daten in den Räumlichkeiten des Betreibers.
Definition des Umfelds der Informationssysteme IS ÚD und IS Kunden:

Definition der Umgebung von Informationssystemen und ihrer Beziehung zu potenziellen Sicherheitsverletzungen

Das Umfeld von IS ÚD, IS Kunden besteht aus:

Mitarbeiter des Betreibers, die fahrlässig oder vorsätzlich gegen die IS-Sicherheit verstoßen. Diese Personen müssen unterwiesen und auf die disziplinarischen und rechtlichen Sanktionen im Falle eines Verstoßes hingewiesen werden.
Kunden, die durch die Nachlässigkeit von Mitarbeitern Zugang zum Informationsdienst haben und ihn beschädigen oder Teile davon stehlen können.
Servicepersonal, das für die Wartung und Reparatur von IS-Geräten und Einrichtungen zur Aufbewahrung von Dokumenten zuständig ist Personen, die andere Einrichtungen des Betreibers warten (Servicetechniker, Vertreter und
Unternehmenshändler, Haustechniker). Diese Personen dürfen sich nicht in der Nähe des invasiven Systems aufhalten, wenn keine autorisierten Personen anwesend sind.
unbefugte Personen, die sich durch Einbruch in die Räumlichkeiten Zugang zum IS verschaffen könnten
Betreiber oder über das Internet
Vermittler, die bestimmte Agenden für die Wirtschaftsbeteiligten bearbeiten (z. B. Bearbeitung
Abrechnung)
6.2 Maßnahmen zur Beseitigung von Risiken, einschließlich Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes von personenbezogenen Daten
Automatisierte Informationssysteme IS UD, IS Kunden

Der für die Verarbeitung Verantwortliche erkennt an, dass zwischen EU-Ländern, Drittländern, die von der EU als sicher eingestuft werden, und Drittländern, die kein ausreichendes Maß an Sicherheit gewährleisten, unterschieden werden muss.

Liste der verwendeten automatisierten Informationssysteme

1. das Informationssystem für Buchhaltungsunterlagen

2. das Kundeninformationssystem

Die Zugangspasswörter der autorisierten Personen zu den oben genannten Computern oder Informationssystemen sind ausreichend, der Computer, auf dem die persönlichen Daten der Kunden gespeichert sind, ist mit einem Passwort gesichert. Die befugte Person kann nicht auf die Informationssysteme zugreifen, ohne das richtige Zugangspasswort einzugeben.
1. Informationssystem Buchhaltungsbeleg

2. Informationssystem Kunden

Der Betreiber nimmt zur Kenntnis, dass das Zugangspasswort aus mindestens 5 Zeichen bestehen muss, einschließlich Sonderzeichen und Groß- und Kleinbuchstaben.

Die Anzahl der Computer, ihre Namen, Betriebssysteme usw. sind im Anhang zu den Sicherheitsmaßnahmen mit dem Titel „Liste der Vermögenswerte und aller Netzverbindungspunkte“ aufgeführt.

Die Anzahl und die Namen der Arbeitsplätze, der Virenschutzprogramme, der Server, der Multifunktionsgeräte und Drucker, der Betriebssysteme, der Verbindungen usw. sind im Anhang zu den Sicherheitsmaßnahmen mit dem Titel „Liste der Vermögenswerte und aller Netzverbindungspunkte“ aufgeführt, der Bestandteil dieser Maßnahmen ist.

Der Betreiber erkennt an, dass die Installation eines Antivirenprogramms und dessen regelmäßige (tägliche) Aktualisierung zum Schutz des Computers vor Viren beiträgt. Antivirenprogramme suchen nach bösartigem Code, der versucht, das Betriebssystem oder installierte Programme anzugreifen.

Der Betreiber erkennt an, dass die FireWall eine Schutzsoftware ist, die ausgehende und eingehende Computerkommunikation überwacht. Sie erlaubt, verweigert oder beschränkt die Kommunikation auf der Grundlage von Regeln.

Der für die Verarbeitung Verantwortliche verarbeitet personenbezogene Daten in Informationssystemen in Papierform. Liste der verwendeten nichtautomatisierten Informationssysteme – Dokumentarisch verarbeitete Informationssysteme:

Informationssystem Buchhaltungsunterlagen
Informationssystem Kunden
Die oben genannten Informationssysteme liegen in Papierform vor und befinden sich in einem verschlossenen Raum.

Der Betreiber führt eine Dokumentation in gedruckter oder schriftlicher Form für seine Unterlagen.

Der Betreiber nimmt zur Kenntnis, dass die Informationssysteme fortlaufend nummeriert werden können. Eine solche Nummerierung soll die Übersichtlichkeit und Effizienz bei der Suche nach gedruckten Unterlagen erhöhen.

Der Betreiber sorgt für die Beseitigung nicht mehr benötigter Dokumente, die personenbezogene Daten enthalten.

Der Betreiber erkennt an, dass nicht entsorgte gedruckte Dokumente eine ernsthafte Sicherheitslücke darstellen, da lesbare Dokumente, die in den Müll geworfen werden, eine Quelle sensibler und verwertbarer Informationen sein können.

Maßnahmen zur Beseitigung von Risiken, einschließlich Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten:
a) Liste der Risiken bei der Objektsicherheit

Verlust oder Diebstahl von Schlüsseln zu den Räumlichkeiten des Betreibers
Maßnahmen
Verschließen der Eingangstüren mit Schlüsseln, die sich nur im Besitz von befugten Personen und des Eigentümers befinden
der Räumlichkeiten
➢ Erbringung einer Dienstleistung für den operativen Austausch von Schlössern

Entriegelung der Eingangstüren zu den geschützten Räumlichkeiten des Betreibers nach Verlassen derselben
geschützte Räumlichkeiten

Maßnahmen
➢ immer nach Verlassen der geschützten Räumlichkeiten des Betreibers, wenn keine befugte Person anwesend ist
diese Räumlichkeiten abzuschließen

Überwindung mechanischer Fesseln
Maßnahmen:

Datensicherung IS ÚD, IS Kunden

Risiken und Schutzmaßnahmen, Sicherheitsmaßnahmen, Mechanismen zur Beseitigung von Risiken:
Risiken werden eliminiert

(b) Automatisierte Informationssysteme – IS ÚD, IS Kunden

Liste der Risiken des Zugriffs auf personenbezogene Daten durch Unbefugte

Eindringen in Computersysteme durch unbefugte und unbefugte Personen, auch wenn
eine unbefugte und unbefugte Person hat einen kurzen Blickkontakt mit dem ComputerbildschirmReflexionen:
➢ Gewährleistung der Objektsicherheit
➢ Verhinderung des Zugangs durch Unbefugte
➢ Verhindern Sie den Zutritt von Unbefugten
➢ den Computerbildschirm außer Sichtweite von Kunden und Unbefugten aufzustellen und
unbefugte Personen
Diebstahl des ComputersystemsBemerkungen:
➢ Gewährleistung der Objektsicherheit
➢ Überwachungssystem
➢ Verschließen des Sicherungsgeräts in einem abschließbaren Schrank oder einem dafür vorgesehenen Bereich
– Verlust oder Diebstahl von Datenträgern bei der Übertragung nach Hause oder an einen anderen Standort

Vorsichtsmaßnahmen:
➢ sichere Aufbewahrung von Speichermedien
➢ Einschreiben verwenden

Unbefugte, die vom lokalen Computernetz aus auf die Festplatte oder Datenstrukturen aus der externen Umgebung zugreifen
Maßnahmen:
➢ Zugriffsrechte und Passwörter für Anwendungen festlegen
➢ Zugriffsrechte und Passwörter für Netzwerkverzeichnisse festlegen

das Zugänglichmachen von Festplatten oder Datenstrukturen von außen durch Personen, die mit dem Internet verbunden sind
Maßnahmen:
➢ den Browser auf eine höhere Sicherheitsstufe einstellen
➢ Anti-Viren-Programme verwenden
➢ Verwendung von Schutzprogrammen oder -geräten (FireWall)

Risiken und Schutzmaßnahmen, Sicherheitsmaßnahmen, Mechanismen zur Beseitigung von Risiken:
Risiken werden eliminiert
Liste der Risiken des Verlusts personenbezogener Daten und der Verletzung der Integrität

Verletzung der Objektsicherheit durch unbefugtes und unbefugtes Betreten der Räumlichkeiten
eines Controllers mit Informationssystemen
Maßnahmen:
➢ Erhöhung der Objektsicherheit
➢ Sicherung auf tragbaren Datenträgern, die außerhalb der Räumlichkeiten des IS aufbewahrt werden

Zerstörung eines PCs oder seiner wichtigsten Komponenten durch eine Naturkatastrophe, einen Brand oder eine Überschwemmung
Maßnahmen:
➢ Sicherung auf tragbaren Medien, die außerhalb des IS-Bereichs aufbewahrt werden

Ermächtigung oder Diebstahl des Computersystems
Maßnahmen:
➢ Erhöhung der Objektsicherheit
➢ Sicherung auf tragbaren Medien, die außerhalb des IS-Bereichs aufbewahrt werden

Beschädigung der PC-Festplatte aufgrund eines mechanischen Fehlers
Maßnahmen:
➢ regelmäßige Überprüfung der Festplatte

Beschädigung der PC-Festplatte oder der Datenstrukturen durch Computerviren
Maßnahmen:
➢ Anti-Viren-Programme verwenden
➢ sorgfältiger Umgang mit verdächtigen Medien

unbefugte Beschädigung der Festplatte oder der Datenstrukturen des Computers durch die äußere Umgebung
Zugriff durch andere Benutzer des lokalen Netzes
Vorsichtsmaßnahmen:
➢ Zugriffsrechte und Passwörter für Anwendungen festlegen
➢ Zugriffsrechte und Passwörter für Netzwerkverzeichnisse festlegen

Beschädigung der Festplatte des Computers oder der Datenstrukturen durch die äußere Umgebung durch Unbefugte
Zugriff durch andere Internetnutzer
Maßnahmen:
➢ den Browser auf eine höhere Sicherheitsstufe einstellen
➢ Schutzprogramme oder -geräte verwenden (FireWall)
➢ Anti-Viren-Programme verwenden

Risiken und Schutzmaßnahmen, Sicherheitsmaßnahmen, Mechanismen zur Beseitigung von Risiken:
Risiken werden eliminiert
c) Liste der Risiken bei Verlust der Verfügbarkeit von personenbezogenen Daten IS ÚD, IS Kunden

Verletzung der Integrität, Verfügbarkeit und Vertraulichkeit durch Software, die Fehler enthalten kann,
die Schäden an den verarbeiteten personenbezogenen Daten verursachen können Maßnahmen:
nur legal erworbene Software verwenden
ein Softwarefehler kann den Zugang zu Mitteln der automatischen
Informationssystemen für Unbefugte und in der Folge Zerstörung, Diebstahl, unerwünschte
Verbreitung von oder unbefugter Zugang zu personenbezogenen Daten
Maßnahmen:
➢ nur rechtmäßig erworbene Software verwenden

Risiken und Schutzmaßnahmen, Sicherheitsmaßnahmen, Mechanismen zur Beseitigung von Risiken:
Risiken werden eliminiert

(d) Liste der Risiken in dokumentarischen Informationssystemen – IS ÚD, IS Kunden

Verlust oder Diebstahl von Beweismitteln durch die Person, die die Einrichtung vertritt
Maßnahmen:
➢ die verantwortliche Person führt eine Überprüfung (Inventur) der Vollständigkeit und
Erhalt von Dokumenten mit persönlichen Daten, die bei der Vertretung verwendet werden

Verlust von in Informationssystemen gespeicherten Dokumenten während der Übermittlung durch die befugte Person
Maßnahmen:
➢ nur die ermächtigte Person ist die kundige Person
Übermittlung von Dokumenten in einem versiegelten Umschlag
➢ Überprüfung der Dokumente bei der Rückkehr

Weitergabe von Informationen durch das Personal des für die Verarbeitung Verantwortlichen
Maßnahmen:
➢ Verpflichtung zur Vertraulichkeit
➢ Verbot der Verwendung von Dokumenten durch Unbefugte
➢ Einschränkung der Möglichkeiten, Daten und Dokumente selbständig zu bearbeiten
➢ Kontrolle der Dokumente bei der Rückkehr

Verbreitung von nicht weggeworfenen Informationen und unnötigen Dokumenten
Maßnahmen:
➢ Vernichtung oder Vernichtung von Dokumenten unter Aufsicht einer befugten Person
➢ Ausstattung des Betreibers mit Zerkleinerungsgeräten

gezielte Beschaffung von Informationen über personenbezogene Daten durch einen Außenstehenden
Maßnahmen:
➢ Auswahl der verantwortlichen Personen nach ihrer Zuverlässigkeit

Verlust oder Diebstahl von Dokumenten mit personenbezogenen Daten durch befugte Personen
Maßnahmen:
➢ fortlaufende Nummerierung der Dokumente mit personenbezogenen Daten
➢ Dokumente sind in Informationssystemen fest mit dem Umschlag verbunden

Diebstahl von Dokumenten, die personenbezogene Daten enthalten, durch Unbefugte und UnbefugteMaßnahmen:
➢ Dokumente in einem verschlossenen Raum einschließen
Reinigung der Räumlichkeiten, in denen sich personenbezogene Daten befinden, unter der Aufsicht einer befugten Person
Risiken und Schutzmaßnahmen, Sicherheitsmaßnahmen, Mechanismen zur Beseitigung von Risiken:
Risiken werden eliminiert

Anwendung von Sicherheitsstandards und Anforderungen für den Schutz personenbezogener Daten in IS ÚD, IS Kunden

STANDARDANFORDERUNGEN AN DIE OBJEKTSICHERHEIT

Der Ausgangspunkt für die Festlegung von Normen und Anforderungen ist:
Verordnung der Nationalen Sicherheitsbehörde Nr. 336/2004 Zz über die physische Sicherheit und den Objektschutz
➢ Stellungnahmen und Leitlinien der WP29 der GDPR
➢ Gesetze, Verordnungen und internationale Normen gemäß Punkt 1.3 dieses Dokuments

Die Räumlichkeiten des Betreibers sind durch eine Kombination von physischen und objektiven Sicherheitsmaßnahmen gesichert. Die Sicherheitsstandards des Betreibers leiten sich zum Teil von den Standards ab, die in der Verordnung für Einrichtungen der Kategorie „Eingeschränkt“ festgelegt sind, sowie von den Grundsätzen, die von der öffentlichen Verwaltung für die Bewertung von Räumlichkeiten verwendet werden:
(1) der Zugang zu den Räumlichkeiten des Betreibers und die Bewegung von Personen darin während der Arbeits- und Nichtarbeitszeiten vom Betreiber oder Gebäudeeigentümer bestimmt wird
2. es ist Sache des Betreibers, die Art und Weise und die Formen des physischen Schutzes der Räumlichkeiten des Betreibers zu bestimmen
(3) Die Anbringung von Gittern oder Abdeckungen liegt im Ermessen des Betreibers, um das Risiko des Eindringens in Bezug auf die Umgebung der Räumlichkeiten des Betreibers und Faktoren, die das Risiko verringern können, zu bewerten.
4) Einhaltung des Grundsatzes, dass ein potenzieller Eindringling mindestens zwei Barrieren überwinden muss, wenn er versucht, sich gewaltsam Zutritt zu Räumlichkeiten mit IS UD, IS Kunden zu verschaffen.
Zum Beispiel:
Überwinden Sie die verschlossene Tür des Gebäudes, in dem sich die Räumlichkeiten des Betreibers befinden, und überwinden Sie dann die verschlossene Tür des Bereichs, in dem sich die Informationssysteme von IS ÚD, IS Kunden befinden.
5) abschließbare Räume für die Aufbewahrung von Dokumenten, die personenbezogene Daten enthalten. Die Aufbewahrungsgegenstände müssen nicht abschließbar sein, wenn die Räume ständig durch einen Wachmann physisch geschützt sind oder wenn die Eingangstür zum Raum mit einem Sicherheitsschloss verschlossen ist, das
Sicherheitsbeschläge
6) Die Zuweisung, Verwendung, Verwahrung und Aufbewahrung von Schlüsseln zu Schlössern und verschließbaren Bereichen wird vom Gebäudebetreiber bzw. -eigentümer festgelegt.
STANDARDSICHERHEITSVORSCHRIFTEN IS UD, IS Kunden

Die folgenden Ausführungen sind ein Ausgangspunkt für die Festlegung von Standards und Anforderungen für die Dokumentenverarbeitung:
Verordnung der nationalen Sicherheitsbehörde Nr. 453/2007 Zz über die administrative Sicherheit

Die Sicherheitsstandards für den Betreiber leiten sich zum Teil von den Standards ab, die im Erlass für Dokumente der „eingeschränkten“ Stufe festgelegt sind, und zum Teil von den in der staatlichen Verwaltung üblichen Praktiken:

(a) Sicherheitsstandards für das Personal

(1) die befugten Personen über die Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten belehrt worden sind und ein Protokoll über die Belehrung der befugten Person erstellt worden ist
2) die Auswahl des Personals umfasst eine Bewertung seiner Integrität und Zuverlässigkeit bei der Einhaltung der Sicherheitsvorschriften
3) werden Personen, die mit personenbezogenen Daten in Berührung kommen, über die Verpflichtung zur Vertraulichkeit belehrt

Hervorragende Personalsicherheit
➢ eine benannte verantwortliche Person führt regelmäßige Überwachungsmaßnahmen durch, um die Einhaltung der Vorschriften sicherzustellen
Maßnahmen für die Verarbeitung von personenbezogenen Daten

(b) Administrative Sicherheitsstandards

Neue Dokumente, Aktualisierungen und ihre Verwendung

1) Die Erfassung personenbezogener Daten erfolgt ausschließlich durch befugte Personen mit schriftlicher Bestätigung der Weisung und des Umfangs der Befugnis, denen diese Zuständigkeit durch die Arbeitsaufgaben auferlegt wird. In den Arbeitsaufgaben ist genau festzulegen, welche personenbezogenen Daten die befugte Person erheben darf und
Eintrag
(2) zur Änderung von Dokumenten, die personenbezogene Daten enthalten, nur befugte Personen mit schriftlicher Bestätigung der Weisung und des Umfangs der Befugnis berechtigt sind
(3) Einzelne Dokumente in Informationssystemen müssen so an ihrer Verpackung befestigt werden, dass sie bei normaler Handhabung nicht herausfallen können.

Aufbewahrung von Dokumenten

(1) Dokumente, die personenbezogene Daten enthalten, sind in einem verschlossenen Raum des für die Verarbeitung Verantwortlichen aufzubewahren.

Das Erfordernis, den Dokumentenspeicher zu verschließen, gilt nicht, wenn es sich um ständige

physischer Schutz der Räumlichkeiten durch einen Sicherheitsdienst oder Verschließen der Eingangstür mit einem Schloss mit

mit einem Sicherheitspad und Sicherheitsbeschlägen.

Übermittlung von Dokumenten mit personenbezogenen Daten

(1) Dokumente, die personenbezogene Daten enthalten, dürfen nur in einem verschlossenen Umschlag oder einer verschlossenen Verpackung mit einer Öffnung zum Verschließen mitgeführt werden.
(2) Dokumente, die personenbezogene Daten enthalten, dürfen nur von Personen mitgeführt werden, die zu diesem Zweck benannt wurden.
3. Erhält der Kontrolleur eine Sendung in beschädigter Verpackung, so prüft er den Grund für die Beschädigung mit der Person, die die Sendung zustellt, und stimmt den Inhalt der Sendung mit dem Absender ab.
(4) die Übergabe des Dokuments zur Übermittlung ist in den entsprechenden Aufzeichnungen zu vermerken

Transport von Dokumenten

(1) Dokumente, die personenbezogene Daten enthalten, werden persönlich, per Einschreiben oder durch einen Kurier befördert.
2. Die zur Beförderung übergebenen Dokumente werden in ein Register eingetragen.

Transport von Dokumenten

1) Dokumente, die personenbezogene Daten enthalten, werden persönlich, per Einschreiben oder durch einen Kurier befördert
2) Die zur Beförderung übergebenen Dokumente werden in einem Register geführt.

Vervielfältigung und Kopieren von Dokumenten

1) Vervielfältigung: das wiederholte Drucken von Dokumenten aus einem automatisierten System, die Anfertigung von Fotokopien, Abschriften und Auszügen von Dokumenten
2. nur eine befugte Person darf Dokumente vervielfältigen

Zerkleinerung von Dokumenten

1. Dokumente, die personenbezogene Daten enthalten, werden unter Aufsicht der für die Verarbeitung der auf den Datenträgern gespeicherten Daten verantwortlichen Personen durch Schreddern, Löschen aus dem Computer oder Datenträger oder Verbrennung beseitigt.

Erkennung von Manipulationen an einem Dokument

1) Der Verantwortliche für den Schutz personenbezogener Daten überprüft mindestens alle 12 Monate, ob die getroffenen technischen, organisatorischen und personellen Maßnahmen eingehalten werden.

Hervorragende administrative Sicherheit

➢ es gibt spezielle Bereiche für die Bearbeitung von Dokumenten mit personenbezogenen Daten, die nicht zugänglich sind
weg von unbefugten und unbefugten Personen
Dokumente, die personenbezogene Daten enthalten, werden in einem verschließbaren Schrank oder in einem dafür vorgesehenen Bereich aufbewahrt.
ausschließlich zu diesem Zweck
Der Umgang mit personenbezogenen Daten wird in der Geschäftsordnung geregelt, in der die Regeln für die Verwendung festgelegt sind,
Lagerung, Aufbewahrung, Archivierung und Vernichtung von Dokumenten

STANDARDSICHERHEITSVORSCHRIFTEN für IS UD, IS Kunden

Für die Festlegung von Standards und Anforderungen an Hardware (HW) und Software (SW) IS ÚD ist IS Customers der Ausgangspunkt:
Verordnung der Nationalen Sicherheitsbehörde Nr. 339/2004 Slg. über die Sicherheit von technischen Geräten
der Sicherheit der Mittel
➢ Stellungnahmen und Leitlinien der Arbeitsgruppe WP29 der GDPR
➢ Gesetze, Verordnungen und internationale Normen gemäß Punkt 1.3 dieses Dokuments

Auf der Grundlage der oben genannten Gesetze, Verordnungen und internationalen Normen haben wir die folgenden Sicherheitsstandards festgelegt:
1) Verwendung von WINDOWS-basierten Betriebssystemen
2) Einsatz von Anti-Virus-, Anti-Spyware- und Anti-Spam-Software sowie Aktivierung und ordnungsgemäße Einrichtung einer FireWall
3) Schutz des Computersystems durch Zugriff auf das Computerprogramm durch Eingabe eines Zugangspassworts. Das Passwort sollte mindestens sechs Zeichen enthalten und aus Zahlen und Buchstaben (Groß- und Kleinbuchstaben) oder Sonderzeichen (*, „&“ usw.) bestehen. Im Falle einer Kompromittierung des Passworts sollte dieses in regelmäßigen Abständen geändert werden.

4) Im Falle eines Computernetzes sollte das System unter Verwendung von Benutzernamen, Passwörtern und Zugriffsrechten so konfiguriert werden, dass nur befugte Personen Zugang zu personenbezogenen Daten haben.
5. Um den Verlust oder die Unversehrtheit von Datenbankdaten in Computersystemen zu verhindern, ist es notwendig, regelmäßig Sicherungskopien der Daten auf tragbaren Medien zu erstellen. Diese Medien müssen in den verschlossenen Räumen des Kontrolleurs aufbewahrt werden.
(6) in Verbindung mit der Langzeitspeicherung von Datenbankdaten, mindestens lx alle 12
Monaten sind alle Datenbanken des Computerinformationssystems zu sichern, und die Sicherungen sind auf
einem beschreibbaren Medium (z. B. CD R, CD-RW, DVD R, DVD RW, externe Festplatte usw.) .

Hervorragende HW- und SW-Sicherheit

➢ Ein höheres Maß an Schutz durch Festlegung eines Passworts für den Computer

SICHERUNG von IS UD, IS Kunden vor Bedrohung:

Bedrohungen Sicherheitsstufe Maßnahmen

A) Naturereignisse

-Storm, Blitz Global Technical gesichert

-Hochwasser Restrisiko Standort technisch

B) Technologische Unfälle – Feuer Globale technische

C) Soziales

-Repräsentation am Arbeitsplatz Globale Organisation, Personal

D) Organisatorisch

-Kompetenz Global Personal, Organisation

E) Ausfälle

-Technologisch Global technisch, organisatorisch

-Infrastruktur Global, informationstechnisch

-Kommunikationsleitungen Information, Computertechnik

-Server Global, Information Organisatorisch, Personal
Computer

F) Infiltration Global

-Menschlich-intern Personal, organisatorisch

-Human-Extern

-Computer, Information, Technik, Organisation

G) Irrtümer

-HW Rechnerisch, informationell Technisch

-SW Computerised Technical
Global
-Anwenderpersonal, Organisatorisches

6.3 Maßnahmen zum Nachweis der Einhaltung des Gesetzes Nr. 18/2018 Slg. zum Schutz personenbezogener Daten und zur Änderung einiger Gesetze, unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Person und anderer betroffener natürlicher Personen
Um sicherzustellen, dass die Verarbeitung personenbezogener Daten mit den Grundsätzen der Verarbeitung personenbezogener Daten und mit dem Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und zur Änderung bestimmter Rechtsakte und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG übereinstimmt, hat der für die Verarbeitung Verantwortliche die in diesem Dokument dargelegten Garantien, Sicherheitsmaßnahmen und Mechanismen zur Risikobeseitigung sowie die folgenden technischen und organisatorischen Maßnahmen getroffen:

Schutzklausel Nr. 1 – Pflichten des Betreibers im Rahmen der Rechte der betroffenen Person
Schutzklausel Nr. 2 – Verarbeitung, Speicherung und Vernichtung personenbezogener Daten aus Informationssystemen
Sicherheitsmaßnahme Nr. 3 – Beschreibung der zulässigen Verarbeitungstätigkeiten und Bedingungen für die Verarbeitung personenbezogener Daten
Schutzklausel Nr. 4 – Vervielfältigung von Dokumenten mit personenbezogenen Daten
Sicherheitsmaßnahme Nr. 5 – Verantwortlichkeiten der befugten und verantwortlichen Personen
Sicherheitsvorkehrung Nr. 6 – Schlüsselregelung des Kontrolleurs und Pflichten der Schlüsselinhaber
Sicherheitsmaßnahme Nr. 7 – Pflichten des für die Verarbeitung Verantwortlichen bei der Arbeit mit automatisierten IS
Sicherheitsmaßnahme Nr. 8 – Sicherung der Daten im Computersystem
Sicherheitsmaßnahme Nr. 9 – Methode, Form und Häufigkeit der Kontrolltätigkeiten zur Gewährleistung der Einhaltung der Sicherheitsmaßnahmen
Sicherheitsmaßnahme Nr. 10 – Verfahren bei Unfällen, Betriebsstörungen und anderen Notfällen, einschließlich Präventivmaßnahmen

Zusätzlich zu den oben genannten Maßnahmen verpflichtet sich der Betreiber, dass

➢ bevor sie von der betroffenen Person personenbezogene Daten über sie erhält, der betroffenen Person Folgendes mitzuteilen
bei deren Erhalt alle Informationen gemäß den Artikeln 19 und 20 des Gesetzes Nr. 18/2018 Slg.

➢ wenn die Rechtsgrundlage die Einwilligung der betroffenen Person gemäß Artikel 13 Absatz 1 Buchstabe a ist
Gesetz Nr. 18/2018 Slg. mit nachweislich rechtmäßigen Mitteln eine solche Einwilligung der betroffenen Person
erhält man durch

➢ wenn die Rechtsgrundlage ein berechtigtes Interesse des für die Verarbeitung Verantwortlichen gemäß Artikel 13 Absatz 1 ist
(f) des Gesetzes Nr. 18/2018 Slg. muss der für die Verarbeitung Verantwortliche ordnungsgemäß
wird nachgewiesen durch

Werden die personenbezogenen Daten von einem Auftragsverarbeiter verarbeitet, so schließt der für die Verarbeitung Verantwortliche vor
Beginn der Verarbeitung personenbezogener Daten schließt der für die Verarbeitung Verantwortliche mit dem Auftragsverarbeiter einen Betrauungsvertrag ab
die Verarbeitung von personenbezogenen Daten gemäß Artikel 34 des Gesetzes Nr. 18/2018 Slg.

➢ schriftliche Aufzeichnungen über die Verarbeitungstätigkeiten gemäß Abschnitt 37 des Gesetzes Nr. 18/2018 Slg. zu führen.

➢ die Mitarbeiter schriftlich über die Anweisungen zur Verarbeitung personenbezogener Daten gemäß dem Gesetz Nr.
18/2018 Slg.

In Punkt 5.2 dieses Dokuments hat sich der für die Verarbeitung Verantwortliche verpflichtet und beschrieben, wie er die Rechte der betroffenen Person wahrnehmen wird.

7. Schlussbestimmungen
Auf der Grundlage dieser Bewertung der Verarbeitung personenbezogener Daten hat der für die Verarbeitung Verantwortliche Garantien, (technische, organisatorische und personelle) Sicherheitsmaßnahmen und -mechanismen eingeführt, um den Schutz der personenbezogenen Daten der betroffenen Personen zu gewährleisten.

Die in diesem Dokument dargelegten Garantien, (technischen, organisatorischen und personellen) Sicherheitsmaßnahmen und -mechanismen zur Gewährleistung des Schutzes der personenbezogenen Daten der betroffenen Personen treten am Tag der Unterzeichnung durch das statutarische Organ des für die Verarbeitung Verantwortlichen in Kraft und werden wirksam.

Datenschutzbestimmungen