Vorschriften zum Schutz personenbezogener Daten
Basierend auf der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, im Folgenden DSGVO genannt) sowie dem Gesetz über den Schutz personenbezogener Daten (Amtsblatt der Republik Slowenien, im Folgenden ZVOP-2 genannt), erlässt der Direktor von Rdeča Oranža, izkustveni marketing d.o.o. (im Folgenden Rdeča Oranža genannt) die Vorschriften zum Schutz personenbezogener Daten.
I. Allgemeine Bestimmungen
Artikel #1
Diese Vorschrift definiert organisatorische, technische und logistisch-technische Verfahren und Maßnahmen zur Sicherstellung der Sicherheit personenbezogener Daten bei Rdeča Oranža mit dem Ziel:
Die Bestimmungen dieser Vorschrift gelten auch für die Mitarbeiter von Rdeča Oranža, die sich an diese halten müssen. Diese Bestimmungen gelten auch für andere Personen, die auf Grundlage von Verträgen arbeiten, die keine Arbeitsverträge sind. Bei Zweifeln über die Bedeutung einer Bestimmung in diesem Dokument wenden Sie sich bitte an den Direktor Martin Korošec.
Artikel #2
Die in dieser Richtlinie verwendeten Begriffe haben folgende Bedeutung:
Artikel #3
Das Unternehmen führt und pflegt ein Verzeichnis der Verarbeitungstätigkeiten mit den vorgeschriebenen Bestandteilen gemäß Artikel 30 der DSGVO, getrennt für jede Datensammlung. Das Verzeichnis der Verarbeitungstätigkeiten wird in elektronischer Form geführt und ist auf Anfrage zugänglich. Jede Abteilungsleitung, die für eine bestimmte Sammlung verantwortlich ist, ist für die Pflege des Verzeichnisses der Verarbeitungstätigkeiten in ihrer Abteilung verantwortlich, die Überwachung erfolgt durch den Direktor.
Artikel #4
Personenbezogene Daten dürfen innerhalb des Unternehmens oder für die Bedürfnisse des Unternehmens nur verarbeitet werden, wenn eine entsprechende Rechtsgrundlage gemäß den Bestimmungen der DSGVO oder anderer Gesetze vorliegt.
Wenn keine Rechtsgrundlage für die Verarbeitung besteht, muss die aktive Verarbeitung personenbezogener Daten sofort eingestellt, der Zugriff auf die Daten verweigert und das Fehlen einer Grundlage dem Direktor des Unternehmens gemeldet werden, der über weitere Maßnahmen in Bezug auf diese Daten entscheidet. Personenbezogene Daten dürfen nur für bestimmte und rechtmäßige Zwecke erhoben und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist, es sei denn, das Gesetz sieht etwas anderes vor. Wenn das Unternehmen beabsichtigt, personenbezogene Daten zu einem Zweck weiterzuverarbeiten, der nicht der Zweck ist, für den die personenbezogenen Daten erhoben wurden, muss im Voraus geprüft werden, ob der neue Zweck mit dem ursprünglichen Zweck vereinbar ist, und es muss ein schriftlicher Bericht darüber erstellt werden. Maßnahmen zur Sicherstellung der Sicherheit spezifischer personenbezogener Datensammlungen, wie Pseudonymisierung und Verschlüsselung, Zeit- und Zugriffsbeschränkungen, Verarbeitungsbeschränkungen, Zweckbeschränkungen usw., sowie die Implementierungsmethode werden vom Direktor auf Vorschlag des zuständigen Leiters festgelegt.
Gemäß der DSGVO ist die Führung dieses Verzeichnisses nicht für Unternehmen mit weniger als 250 Mitarbeitern erforderlich, ES SEI DENN: – die Verarbeitung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt (z.B. invasiv ist); – die Verarbeitung nicht gelegentlich erfolgt; – die Verarbeitung besondere Kategorien von Daten betrifft. Angesichts des oben Genannten, insbesondere der Bedingung der Häufigkeit der Verarbeitung, wird empfohlen, dass auch Unternehmen mit weniger als 250 Mitarbeitern ein Verzeichnis der Verarbeitungstätigkeiten führen. Besondere Kategorien personenbezogener Daten dürfen nur in Übereinstimmung mit den Bestimmungen der DSGVO und anderer Gesetze verarbeitet werden. Während der Verarbeitung müssen diese Daten speziell gekennzeichnet und gesichert werden, um unbefugten Zugriff zu verhindern. Betroffene Personen müssen über die Verarbeitung ihrer personenbezogenen Daten in Übereinstimmung mit den Bestimmungen der Artikel 12, 13 und 14 der DSGVO informiert werden. Jede Abteilungsleitung, die für eine bestimmte Sammlung verantwortlich ist, ist für die Vorbereitung der Information innerhalb ihrer Abteilung verantwortlich. Jeder Dienststellenleiter, der für eine bestimmte Datensammlung verantwortlich ist, ist verpflichtet, für jede Datensammlung eine schriftliche Liste der Personen zu führen, die aufgrund ihrer Arbeit und/oder Funktion im Unternehmen bestimmte personenbezogene Daten verarbeiten oder Zugang zu den Sammlungen haben dürfen (im Folgenden „befugte Datenverarbeiter“ genannt). Abteilungsleiter sind verpflichtet, eine schriftliche Liste der befugten Datenverarbeiter dem Direktor des Unternehmens vorzulegen. Vor der Verarbeitung personenbezogener Daten müssen sich die befugten Datenverarbeiter mit den Bestimmungen der DSGVO und dem Inhalt dieser Vorschrift vertraut machen und sind verpflichtet, eine spezielle „Vereinbarung über die Datenverarbeitung“ zu unterzeichnen.
Artikel #5
Jede betroffene Person hat das Recht, von dem Unternehmen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und wenn ja, das Recht auf Zugang zu diesen personenbezogenen Daten (Einsichtnahme) sowie auf die in Artikel 15(1) der DSGVO genannten Informationen. Eine betroffene Person hat das Recht, von dem Unternehmen die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten, die sie betreffen, unverzüglich zu verlangen. Eine betroffene Person hat das Recht, die Löschung der sie betreffenden personenbezogenen Daten unverzüglich zu verlangen, wenn einer der folgenden Gründe zutrifft: – Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. – Die betroffene Person widerruft die Einwilligung, auf die sich die Verarbeitung stützt, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. – Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor. – Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. – Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. – Die personenbezogenen Daten wurden im Zusammenhang mit der Erbringung von Diensten der Informationsgesellschaft gegenüber einem Kind erhoben.
Eine betroffene Person hat das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: – Die betroffene Person bestreitet die Richtigkeit der Daten, für einen Zeitraum, der es dem Unternehmen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen. – Die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung ihrer Nutzung. – Das Unternehmen benötigt die personenbezogenen Daten nicht mehr für die Verarbeitung, aber die betroffene Person benötigt sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. – Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Unternehmens gegenüber denen der betroffenen Person überwiegen.
Eine betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln, ohne dabei vom Unternehmen behindert zu werden, sofern: – die Verarbeitung auf einer Einwilligung beruht, und – die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Direktor des Unternehmens ist dafür verantwortlich, sicherzustellen, dass die betroffenen Personen ordnungsgemäß über die in den vorstehenden Absätzen dieses Artikels beschriebenen Rechte informiert werden, gemäß den Anforderungen der DSGVO. Der Direktor sorgt auch für die Einrichtung einer zentralen Anlaufstelle, an die sich die betroffenen Personen wenden können, um ihre Rechte auszuüben. Der Abteilungsleiter ist für die Ermöglichung der Ausübung der Rechte der betroffenen Personen und die Kommunikation mit ihnen verantwortlich. Falls sich personenbezogene Daten einer Person in mehreren Sammlungen befinden, bestimmt der Direktor des Unternehmens den zuständigen Abteilungsleiter.
Artikel #6
Der Abteilungsleiter oder eine andere Person, die Kenntnis davon erhält, dass die geplante Verarbeitung personenbezogener Daten, insbesondere (aber nicht ausschließlich) unter Verwendung neuer Technologien, angesichts der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, muss den Direktor informieren. In solchen Fällen entscheidet der Direktor, ob eine Bewertung der Auswirkungen der geplanten Verarbeitungstätigkeiten auf den Schutz personenbezogener Daten durchgeführt werden muss. Der Abteilungsleiter oder eine andere befugte Person, die vom Abteilungsleiter bestimmt wird, ist für die Durchführung der Folgenabschätzung verantwortlich. Alle Mitarbeiter, die notwendige Informationen und Bewertungen bereitstellen können, müssen daran teilnehmen. Die Folgenabschätzung wird schriftlich durchgeführt und enthält: – Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung sowie gegebenenfalls die berechtigten Interessen, die von dem Unternehmen verfolgt werden. – Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten in Bezug auf ihren Zweck. – Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. – Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Mechanismen zur Sicherstellung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung der DSGVO, unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer relevanter Personen. Stellt der Abteilungsleiter oder die befugte Person, die die Folgenabschätzung durchgeführt hat, fest, dass die geplante Verarbeitung ein hohes Risiko zur Folge hätte und das Unternehmen keine Maßnahmen zur Risikominderung ergreift, muss er den Direktor des Unternehmens informieren und prüfen, ob eine Konsultation mit Aufsichtsbehörden erforderlich ist.
II. Sicherheit der Räumlichkeiten und der Computerausrüstung
Artikel #7
Die Räumlichkeiten, in denen personenbezogene Daten gespeichert sowie Hardware und Software (sichere Räumlichkeiten) untergebracht sind, müssen durch organisatorische, physische und/oder technische Maßnahmen geschützt werden, um unbefugten Zugriff auf die Daten zu verhindern. Der Zugang ist nur während der regulären Arbeitszeiten gestattet, und außerhalb dieser Zeiten nur mit Genehmigung des Direktors oder eines Vorgesetzten. Schlüssel dürfen nicht im Schloss von außen stecken bleiben. Sichere Räumlichkeiten dürfen nicht unbeaufsichtigt gelassen werden und müssen bei Abwesenheit der Aufsichtspersonen abgeschlossen werden. Schränke und Schreibtische, in denen personenbezogene Daten aufbewahrt werden, müssen außerhalb der Arbeitszeiten verschlossen, Computer und andere Hardware ausgeschaltet oder physisch bzw. programmtechnisch gesperrt sein. Mitarbeiter dürfen keine personenbezogenen Daten auf ihren Schreibtischen lassen, wenn unbefugte Personen anwesend sind. Gespeicherte personenbezogene Daten, die sich außerhalb sicherer Räumlichkeiten befinden (Flure, Gemeinschaftsräume), müssen ständig abgeschlossen sein. Sensible personenbezogene Daten dürfen nicht außerhalb sicherer Bereiche gespeichert werden. Ein Mitarbeiter, der in seiner Arbeit personenbezogene Daten verwendet oder verarbeitet, darf gespeicherte personenbezogene Daten während der Arbeitszeit nicht unbeaufsichtigt auf seinem Schreibtisch lassen oder dem Risiko eines unbefugten Zugriffs durch andere Personen aussetzen. Schlüssel, Karten, Passwörter und andere Mittel, die den Zugang zu sicheren Räumlichkeiten ermöglichen, müssen geschützt, verwaltet und sicher aufbewahrt werden. Jeder Verlust, Missbrauch oder Verdacht auf Missbrauch muss vom Mitarbeiter unverzüglich gemeldet werden.
Artikel #8
In Räumen, die für die Arbeit mit Kunden vorgesehen sind, müssen gespeicherte Daten und Computerbildschirme so positioniert werden, dass Kunden sie nicht einsehen können.
Artikel #9
Wartungs- und Reparaturarbeiten an Hardware, Computern und anderen Geräten dürfen nur mit dem Wissen des autorisierten Personals durchgeführt werden und können nur von autorisierten Technikern und Technikern durchgeführt werden, die eine entsprechende Vereinbarung mit Rdeča Oranža haben oder einen erteilten Arbeitsauftrag besitzen.
Artikel #10
Raumtechniker, Hardware- und Softwaretechniker, Besucher und Geschäftspartner dürfen sich nur mit dem Wissen des autorisierten Personals in sicheren Räumlichkeiten aufhalten. Mitarbeiter wie Reinigungskräfte, Sicherheitspersonal usw. dürfen sich nur außerhalb der Arbeitszeiten in jenen sicheren Räumlichkeiten aufhalten, in denen der Zugang zu personenbezogenen Daten verhindert wird (gespeicherte Daten befinden sich in verschlossenen Schränken und Schreibtischen, Computer und andere Hardware sind ausgeschaltet oder anderweitig physisch oder softwaretechnisch gesperrt).
III. Sicherheit der Systeme und der Anwendungssoftware der Computerausrüstung und der verarbeiteten Daten
Artikel #11
Der Zugang zu Software muss durch Maßnahmen geschützt werden, die sicherstellen, dass nur bestimmte Mitarbeiter oder rechtliche bzw. natürliche Personen, die vertraglich vereinbarte Dienstleistungen erbringen, Zugriff haben.
Artikel #12
Reparaturen, Änderungen und Ergänzungen von System- und Anwendungssoftware dürfen nur mit Genehmigung der befugten Person erfolgen und können nur von autorisierten Diensten und Organisationen sowie von Personen durchgeführt werden, die über einen gültigen Vertrag oder einen Arbeitsauftrag von Rdeča Oranža verfügen.
Artikel #13
Für die Speicherung und den Schutz von Anwendungssoftware gelten dieselben Bestimmungen wie für andere Daten in dieser Richtlinie.
Artikel #14
Der Inhalt der Festplatten von Netzwerkservern und lokalen Arbeitsstationen, auf denen personenbezogene Daten gespeichert sind, wird ständig auf das Vorhandensein von Computerviren überprüft. Wird ein Computervirus festgestellt, wird er umgehend beseitigt und die Ursache seines Auftretens im Informationssystem des Unternehmens ermittelt. Alle personenbezogenen Daten und Programme, die zur Verwendung im Informationssystem des Unternehmens bestimmt sind und auf Datenträgern oder über Telekommunikationskanäle bei Rdeča Oranža eingehen, müssen vor ihrer Verwendung auf das Vorhandensein von Computerviren überprüft werden.
Artikel #15
Mitarbeiter dürfen ohne das Wissen der für den Betrieb des Informationssystems verantwortlichen Person keine Programme installieren. Ebenso ist es ihnen nicht gestattet, Programme ohne Erlaubnis des Direktors aus den Geschäftsräumen zu entfernen.
Artikel #16
Der Zugang zu Daten über Anwendungssoftware wird durch ein Passwortsystem zum Zweck der Autorisierung und Identifizierung von Programm- und Datennutzern geschützt. Das Passwortsystem muss eine rückwirkende Bestimmung ermöglichen, wann bestimmte personenbezogene Daten in die Datenbank eingegeben, verwendet oder anderweitig verarbeitet wurden und wer sie verarbeitet hat.
Artikel #17
Alle Passwörter und Verfahren, die zum Zugriff auf und zur Verwaltung des Computernetzwerks (Überwachungs- oder Steuerpasswörter), zur Verwaltung von E-Mail-Postfächern und zur Verwaltung von Anwendungsprogrammen verwendet werden, werden in versiegelten Umschlägen aufbewahrt und vor unbefugtem Zugriff geschützt. Sie dürfen nur in Ausnahmefällen oder in Notfällen verwendet werden.
Artikel #18
Personenbezogene Daten dürfen nur in Ausnahmefällen lokal (auf lokalen Computern und ähnlichen Geräten) gespeichert und verarbeitet werden, wenn dies aufgrund der Art der Arbeit erforderlich ist. Sobald der Bedarf an einer solchen Speicherung und Verarbeitung personenbezogener Daten entfällt, müssen die personenbezogenen Daten in zentrale Datenbanken übertragen oder dauerhaft gelöscht werden. Alle Kopien von Inhalten personenbezogener Datensammlungen auf lokalen Speichermedien (externe Festplatten, USB-Sticks usw.) werden in verschlossenen Schränken aufbewahrt. Zum Zweck der Wiederherstellung des Computersystems im Falle von Fehlfunktionen und anderen außergewöhnlichen Situationen werden regelmäßige Kopien des Inhalts des Netzwerkservers und der lokalen Arbeitsstationen erstellt, sofern dort Daten gespeichert sind. Diese Kopien werden an dafür vorgesehenen Orten aufbewahrt, die feuerfest, vor Überschwemmungen und elektromagnetischen Störungen geschützt, unter klimatisch festgelegten Bedingungen gepflegt und abgeschlossen sind.
IV. Dienstleistungen durch externe juristische oder natürliche Personen
Artikel #19
Mit jeder externen juristischen oder natürlichen Person, die bestimmte Aufgaben im Zusammenhang mit der Sammlung, Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten ausführt und zur Ausführung solcher Tätigkeiten registriert ist (vergebene oder untervergebene Dienstleistungen), wird ein schriftlicher Vertrag gemäß Artikel 28(2) der DSGVO abgeschlossen. Die allgemeinen Datenschutzbestimmungen finden Anwendung. Ein solcher Vertrag muss die Bedingungen und Maßnahmen zur Gewährleistung des Schutzes und der Sicherheit personenbezogener Daten festlegen. Vor dem Abschluss eines Vertrags mit einem Datenverarbeiter muss der zuständige Verantwortliche (in der Regel der Abteilungsleiter) Informationen von diesem einholen, um zu überprüfen, ob der Datenverarbeiter die Anforderungen der Datenschutzvorschriften erfüllt, einschließlich der Offenlegung aller beteiligten Subunternehmer und deren Namen und Firmensitze. Dies gilt auch für Dritte, die die Hardware und Software warten und neue Hardware oder Software produzieren und installieren. Externe juristische oder natürliche Personen dürfen personenbezogene Daten nur innerhalb des genehmigten Umfangs des Datenverantwortlichen verarbeiten und die Daten nicht für andere Zwecke verarbeiten oder verwenden. Eine befugte juristische oder natürliche Person, die Dienstleistungen für Rdeča Oranža außerhalb der Räumlichkeiten des Betreibers erbringt, muss ein mindestens ebenso strenges Schutzniveau für personenbezogene Daten gewährleisten, wie es in dieser Verordnung vorgeschrieben ist. Unter anderem muss das Unternehmen in Verträgen mit Datenverarbeitern das Recht sicherstellen, mindestens einmal im Jahr Inspektionen oder Audits im Bereich des Datenschutzes durchzuführen. Inspektionen oder Audits werden durchgeführt, wenn der Verdacht oder Anhaltspunkte bestehen, dass der Datenverarbeiter gegen den Vertrag verstößt oder kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Die Inspektion wird auf Kosten des Unternehmens durchgeführt, und der Datenverarbeiter darf dem Unternehmen keine Gebühren für die Einbindung seines Personals und/oder der untervergebenen Datenverarbeiter berechnen.
V. Empfang und Übermittlung personenbezogener Daten
Artikel #20
Der Mitarbeiter, der für den Empfang und die Registrierung der Post zuständig ist, ist verpflichtet, die Post, die personenbezogene Daten enthält, direkt an die Person oder das Büro zu übergeben, an die oder das die Post adressiert ist. Der Mitarbeiter, der für den Empfang und die Registrierung der Post zuständig ist, öffnet und prüft alle Postsendungen sowie Sendungen, die durch andere als den Postdienst eingegangen sind und von Kunden oder Zustellern überbracht wurden, mit Ausnahme der Sendungen, die in den Absätzen 3 und 4 dieses Artikels erwähnt sind. Der Mitarbeiter, der für den Empfang und die Registrierung der Post zuständig ist, darf Post, die irrtümlich an eine andere Stelle oder Organisation geliefert wurde, sowie als “persönlich” gekennzeichnete oder als solche deklarierte Post nicht öffnen. Ebenso darf er Postsendungen nicht öffnen, die als „persönlich an den Empfänger zuzustellen“ gekennzeichnet sind oder den Namen der Person ohne Angabe der dienstlichen Position enthalten.
Artikel #21
Personenbezogene Daten dürfen nur durch Informations-, Telekommunikations- und andere Mittel übermittelt werden, wenn Verfahren und Maßnahmen implementiert sind, die sicherstellen, dass keine unbefugten Personen die Daten aneignen oder zerstören oder auf den Inhalt unbefugt zugreifen können. Sensible personenbezogene Daten werden in versiegelten Umschlägen an die Empfänger übermittelt, wobei eine Unterschrift im Lieferbuch oder auf einem Lieferschein erfolgt. Personenbezogene Daten werden per Einschreiben versendet. Der Umschlag, der zur Übermittlung personenbezogener Daten verwendet wird, muss so gestaltet sein, dass der Inhalt unter normalem Licht oder bei Beleuchtung durch normales Licht nicht sichtbar ist. Darüber hinaus muss der Umschlag sicherstellen, dass das Öffnen und das Kennenlernen des Inhalts ohne sichtbare Spuren nicht möglich ist.
Artikel #22
Die Verarbeitung sensibler personenbezogener Daten muss speziell gekennzeichnet und gesichert werden. Daten aus dem vorigen Absatz dürfen nur über Telekommunikationsnetze übertragen werden, wenn sie speziell durch kryptografische Methoden und elektronische Signaturen gesichert sind, um die Vertraulichkeit der Daten während der Übertragung zu gewährleisten.
Artikel #23
Personenbezogene Daten werden nur denjenigen Nutzern zur Verfügung gestellt, die nachweisen, dass sie eine entsprechende Rechtsgrundlage haben oder aufgrund einer schriftlichen Anfrage oder Einwilligung der betroffenen Person, auf die sich die Daten beziehen. Für jede Übermittlung personenbezogener Daten ist der Nutzer verpflichtet, eine schriftliche Anfrage zu stellen, in der die gesetzliche Bestimmung angegeben ist, die den Nutzer zur Erhebung der personenbezogenen Daten ermächtigt, oder die Anfrage muss von einer schriftlichen Anfrage oder Einwilligung der betroffenen Person begleitet sein. Bei der Sammlung und Übermittlung personenbezogener Daten zwischen staatlichen Verwaltungsstellen sind auch die Bestimmungen der Verordnung über die Verwaltungsabläufe zu beachten. Originaldokumente werden niemals ausgehändigt, es sei denn, es liegt ein schriftlicher Gerichtsbeschluss vor. Das Originaldokument muss während seiner Abwesenheit durch eine Kopie ersetzt werden.
VI. Löschung von Daten
Artikel #24
Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten gelöscht, vernichtet oder anonymisiert, sofern gesetzlich oder durch andere Vorschriften nichts anderes bestimmt ist. Der Abteilungsleiter entscheidet über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten. Über die Vernichtung, Löschung oder Anonymisierung personenbezogener Daten wird ein Protokoll erstellt, das keine personenbezogenen Daten der betroffenen Personen enthält, deren Daten gelöscht, vernichtet oder anonymisiert wurden.
Artikel #25
Zur Löschung von Daten auf elektronischen Datenträgern wird ein Löschverfahren angewendet, das die Wiederherstellung aller oder eines Teils der gelöschten Daten unmöglich macht. Daten auf physischen Datenträgern (Dokumente, Akten, Register, Listen usw.) werden in einer Weise vernichtet, die das Lesen aller oder eines Teils der vernichteten Daten unmöglich macht. Die genaue Methode der Vernichtung bestimmter Arten personenbezogener Daten oder Träger wird vom Direktor des Unternehmens bestimmt. Hilfsmaterialien (z. B. Matrizen, Berechnungen und Diagramme, Skizzen, Test- oder Fehlversuche usw.) werden auf die gleiche Weise vernichtet. Die Entsorgung von Speichermedien, die personenbezogene Daten enthalten, im regulären Müll ist verboten. Beim Transport von gespeicherten personenbezogenen Daten zum Vernichtungsort müssen geeignete Sicherheitsmaßnahmen gewährleistet sein.
VII. Verfahren im Falle eines Sicherheitsvorfalls in Bezug auf personenbezogene Daten
Artikel #26
Mitarbeiter sind verpflichtet, Maßnahmen zu ergreifen, um den Missbrauch personenbezogener Daten zu verhindern, und müssen die personenbezogenen Daten, mit denen sie während ihrer Arbeit in Kontakt kommen, gewissenhaft und sorgfältig gemäß den in dieser Vorschrift festgelegten Verfahren behandeln. Wenn Aktivitäten in Bezug auf die Entdeckung oder unbefugte Zerstörung vertraulicher Daten, böswillige oder unbefugte Nutzung, Aneignung, Veränderung oder Beschädigung festgestellt werden, sind die Mitarbeiter verpflichtet, den befugten Mitarbeiter oder den Vorgesetzten unverzüglich zu informieren und Maßnahmen zu ergreifen, um solche Handlungen zu verhindern. Jeder Verdacht auf einen Verstoß gegen den Schutz personenbezogener Daten muss vom Direktor des Unternehmens innerhalb von 72 Stunden an den Datenschutzbeauftragten gemeldet werden. Wenn die Wahrscheinlichkeit besteht, dass ein Verstoß gegen den Schutz personenbezogener Daten ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Direktor des Unternehmens sicherstellen, dass die betroffenen Personen unverzüglich über den Vorfall informiert werden, ohne unangemessene Verzögerung.
Artikel #27
Der Direktor des Unternehmens ist dafür verantwortlich, dass nach einem Sicherheitsvorfall eine Ursachenanalyse durchgeführt und Maßnahmen vorgeschlagen werden, um die Risiken solcher und zukünftiger Sicherheitsvorfälle zu verringern oder zu beseitigen. Es sollten vernünftige und machbare Maßnahmen umgesetzt werden. Wird festgestellt, dass ein Mitarbeiter den Sicherheitsvorfall verursacht oder daran teilgenommen hat oder dass der Vorfall aufgrund von Fahrlässigkeit des Mitarbeiters aufgetreten ist, ergreift der Direktor des Unternehmens, unabhängig von anderen Bestimmungen in dieser Verordnung, angemessene arbeitsrechtliche Maßnahmen gegen den Mitarbeiter.
VIII. Verantwortung für die Umsetzung von Sicherheitsmaßnahmen und -verfahren
Artikel #28
Der Direktor des Unternehmens und befugte Personen, die nicht Mitarbeiter des Unternehmens sind, sind für die Umsetzung von Verfahren und Maßnahmen zum Schutz personenbezogener Daten verantwortlich. Die in Absatz 1 dieses Artikels genannte Kontrolle umfasst die regelmäßige Überprüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Sicherheitsmaßnahmen für die Datenverarbeitung. Alle Mitarbeiter und andere Personen im Unternehmen sind verpflichtet, an diesen Aktivitäten teilzunehmen.
Artikel #29
Jeder, der personenbezogene Daten verarbeitet, ist verpflichtet, die vorgeschriebenen Verfahren und Maßnahmen zur Datensicherheit und zum Datenschutz anzuwenden, von denen er im Rahmen seiner Arbeit Kenntnis erhält oder mit denen er vertraut ist. Die Verpflichtung zum Datenschutz erlischt nicht mit der Beendigung des Arbeitsverhältnisses. Vor Aufnahme einer Tätigkeit, bei der personenbezogene Daten verarbeitet werden, muss ein Mitarbeiter eine spezielle Erklärung zur Verpflichtung zum Schutz personenbezogener Daten unterzeichnen. Die unterzeichnete Erklärung muss eindeutig besagen, dass der Unterzeichner mit den Bestimmungen dieser Vorschrift und den Bestimmungen der Datenschutz-Grundverordnung vertraut ist, und die Erklärung muss auch Anweisungen zu den Folgen eines Verstoßes enthalten.
Artikel #30
Mitarbeiter, die gegen die Bestimmungen des vorhergehenden Artikels verstoßen, unterliegen disziplinarischen Maßnahmen, während andere Personen vertraglichen Verpflichtungen unterliegen.
IX. Schlussbestimmungen
Artikel #31
Diese Vorschrift tritt am 24.10. 2024.
Artikel #32
Diese Vorschrift ist auf der Website www.oranza.si veröffentlicht. Mitarbeiter haben auch Zugang beim Direktor.