Bestimmungen zum Schutz personenbezogener Daten

Bestimmungen zum Schutz personenbezogener Daten

Auf der Grundlage der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden als DSGVO bezeichnet) sowie des Gesetzes zum Schutz personenbezogener Daten (Amtsblatt der Republik Slowenien, im Folgenden als ZVOP-2 bezeichnet) erlässt der Geschäftsführer von Rdeča Oranža, izkustveni marketing d.o.o. (im Folgenden als Rdeča Oranža bezeichnet) die Bestimmungen zum Schutz personenbezogener Daten.

  • I. Allgemeine Bestimmungen

Artikel 1

Diese Bestimmungen definieren organisatorische, technische und logisch-technische Verfahren und Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei Rdeča Oranža mit dem Ziel:

  • Sicherzustellen, dass personenbezogene Daten rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  • Personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke zu erheben und sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterzuverarbeiten.
  • Standardmäßig nur personenbezogene Daten zu verarbeiten, die für den jeweiligen spezifischen Zweck erforderlich sind; diese Verpflichtung gilt für die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
  • Die Rechte und Freiheiten der Personen, auf die sich die personenbezogenen Daten beziehen, zu achten und zu schützen.
  • Die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
  • Die Einhaltung der Datenschutzgesetzgebung nachweisen zu können.

Die Bestimmungen dieser Regelung gelten auch für die Mitarbeiter von Rdeča Oranža, die diese einhalten müssen. Diese Bestimmungen erstrecken sich auch auf andere Personen, die für das Unternehmen auf der Grundlage von Verträgen tätig sind, die keine Arbeitsverträge sind. Bei Zweifeln bezüglich der Bedeutung einer Bestimmung in diesem Dokument wenden Sie sich bitte an den Geschäftsführer Martin Korošec.

Artikel 2

Die in dieser Richtlinie verwendeten Begriffe haben die folgende Bedeutung:

  • Personenbezogene Daten – dieselbe Bedeutung wie in der DSGVO definiert.
  • Natürliche Person – eine identifizierte oder identifizierbare natürliche Person; eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren Faktoren, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind, sofern die Identifizierung keinen unverhältnismäßigen Aufwand an Zeit oder Mitteln erfordert.
  • Dateisystem (Sammlung personenbezogener Daten) – dieselbe Bedeutung wie in der DSGVO definiert.
  • Verarbeitung personenbezogener Daten – dieselbe Bedeutung wie in der DSGVO definiert.
  • Verantwortlicher – dieselbe Bedeutung wie in der DSGVO definiert.
  • Besondere Kategorien personenbezogener Daten – dieselbe Bedeutung wie in der DSGVO definiert.
  • Betroffene Person – dieselbe Bedeutung wie in der DSGVO definiert.
  • Datenträger – alle Arten von Mitteln, auf denen Daten aufgezeichnet oder gespeichert werden (Dokumente, Aufzeichnungen, Materialien, Dateien, Computerhardware einschließlich magnetischer, optischer oder anderer Computermedien, Fotokopien, Audio- und Videomaterialien, Mikrofilme, Datenübertragungsgeräte usw.).
  • Mitarbeiter – Personen, die einen Arbeitsvertrag mit dem Unternehmen haben, Personen, die als Auszubildende oder Studenten im Unternehmen tätig sind, Personen, die für das Unternehmen auf der Grundlage von Verträgen zwischen dem Unternehmen und Arbeitgebern arbeiten, Personen, die Dienstleistungen für andere Arbeitgeber erbringen, und Personen, die Aufgaben für das Unternehmen auf der Grundlage zivilrechtlicher Verträge wahrnehmen.
  • Sicherheitsvorfall – eine Verletzung des Schutzes personenbezogener Daten, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Artikel 3

Das Unternehmen führt und pflegt ein Verzeichnis von Verarbeitungstätigkeiten mit den vorgeschriebenen Bestandteilen gemäß den Bestimmungen von Artikel 30 der DSGVO, separat für jedes Dateisystem. Das Verzeichnis der Verarbeitungstätigkeiten wird in elektronischer Form geführt, und Einsichtnahme ist auf vorherige Anfrage möglich. Jeder Abteilungsleiter, der für ein bestimmtes Dateisystem verantwortlich ist, ist für die Führung des Verzeichnisses der Verarbeitungstätigkeiten innerhalb seiner Abteilung zuständig; die Aufsicht obliegt dem Geschäftsführer.

Artikel 4

Innerhalb des Unternehmens oder für die Bedürfnisse des Unternehmens dürfen nur personenbezogene Daten verarbeitet werden, für die eine entsprechende Rechtsgrundlage gemäß den Bestimmungen der DSGVO oder anderer Rechtsvorschriften besteht. Besteht keine Rechtsgrundlage für die Verarbeitung, muss die aktive Verarbeitung personenbezogener Daten unverzüglich eingestellt, der Zugriff darauf verweigert und das Fehlen einer Grundlage dem Geschäftsführer des Unternehmens gemeldet werden, der über das weitere Vorgehen bezüglich dieser Daten entscheidet. Personenbezogene Daten dürfen nur für festgelegte und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden, sofern gesetzlich nichts anderes bestimmt ist. Wenn das Unternehmen beabsichtigt, personenbezogene Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben wurden, muss vorab geprüft werden, ob der neue Zweck mit dem ursprünglichen Zweck vereinbar ist, und ein schriftlicher Bericht darüber erstellt werden. Maßnahmen zur Gewährleistung der Sicherheit spezifischer Sammlungen personenbezogener Daten, wie Pseudonymisierung und Verschlüsselung, Zeit- und Zugriffsbeschränkungen, Verarbeitungsbeschränkungen, Zweckbindungen usw., sowie die Art der Umsetzung werden vom Geschäftsführer auf Vorschlag des Managers festgelegt.

Gemäß der DSGVO ist die Führung dieses Verzeichnisses für Unternehmen mit weniger als 250 Mitarbeitern nicht erforderlich, ES SEI DENN: – die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (d. h. sie ist invasiv); – die Verarbeitung erfolgt nicht nur gelegentlich; – die Verarbeitung umfasst besondere Kategorien von Daten. In Anbetracht dessen, insbesondere der Bedingung der Häufigkeit der Verarbeitung, wird empfohlen, dass auch Unternehmen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten führen. Besondere Kategorien personenbezogener Daten dürfen nur in Übereinstimmung mit den Bestimmungen der DSGVO und anderer Gesetze verarbeitet werden. Während der Verarbeitung müssen diese Daten speziell gekennzeichnet und so gesichert werden, dass unbefugter Zugriff verhindert wird. Einzelpersonen müssen über die Verarbeitung ihrer personenbezogenen Daten gemäß den Bestimmungen der Artikel 12, 13 und 14 der DSGVO informiert werden. Jeder Abteilungsleiter, der für ein bestimmtes Dateisystem verantwortlich ist, ist für die Erstellung der Information innerhalb seiner Abteilung zuständig. Jeder für ein bestimmtes Dateisystem verantwortliche Service-Manager ist verpflichtet, für jedes Dateisystem eine schriftliche Liste der Personen zu erstellen und zu führen, die aufgrund der Art ihrer Arbeit und/oder Funktion im Unternehmen bestimmte personenbezogene Daten verarbeiten oder Zugriff auf die Sammlungen haben dürfen (im Folgenden als „autorisierte Datenverarbeiter“ bezeichnet). Die Abteilungsleiter sind verpflichtet, dem Geschäftsführer des Unternehmens eine schriftliche Liste der autorisierten Datenverarbeiter vorzulegen. Vor der Verarbeitung personenbezogener Daten müssen sich die autorisierten Datenverarbeiter mit den Bestimmungen der DSGVO und dem Inhalt dieser Regelung vertraut machen und sind verpflichtet, einen speziellen „Anhang zum Datenverarbeitungsvertrag“ zu unterzeichnen.

Artikel 5

Eine Person hat das Recht, von dem Unternehmen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Artikel 15 Absatz 1 der DSGVO genannten Informationen. Eine Person hat das Recht, von dem Unternehmen unverzüglich die Berichtigung sie betreffender unrichtiger oder unvollständiger personenbezogener Daten zu verlangen. Eine Person hat das Recht, von dem Unternehmen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: – die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig; – die Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung; – die Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor; – die personenbezogenen Daten wurden unrechtmäßig verarbeitet; – die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich; – die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft bei einem Kind erhoben. Eine Person hat das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: – die Richtigkeit der Daten wird von der Person bestritten, und zwar für eine Dauer, die es dem Unternehmen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen; – die Verarbeitung ist unrechtmäßig und die Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung; – das Unternehmen benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; – die Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Unternehmens gegenüber denen der Person überwiegen. Eine Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch das Unternehmen zu übermitteln, sofern: – die Verarbeitung auf einer Einwilligung beruht und – die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Der Geschäftsführer des Unternehmens ist dafür verantwortlich, dass die Personen ordnungsgemäß über die in den vorstehenden Absätzen dieses Artikels beschriebenen Rechte gemäß den Anforderungen der DSGVO informiert werden. Der Geschäftsführer stellt außerdem die Einrichtung einer zentralen Kontaktstelle sicher, an die sich Personen zur Ausübung ihrer Rechte wenden können. Der Abteilungsleiter ist dafür verantwortlich, die Ausübung der Rechte der Personen zu erleichtern und mit ihnen zu kommunizieren. Falls personenbezogene Daten einer Person in mehreren Sammlungen gefunden werden, bestimmt der Geschäftsführer des Unternehmens den zuständigen Abteilungsleiter.

Artikel 6

Der Abteilungsleiter oder jede andere Person, die davon Kenntnis erlangt, dass eine geplante Verarbeitung personenbezogener Daten, insbesondere (aber nicht ausschließlich) bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss den Geschäftsführer benachrichtigen. In solchen Fällen entscheidet der Geschäftsführer, ob es notwendig ist, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung) durchzuführen. Der Abteilungsleiter oder eine andere vom Abteilungsleiter benannte autorisierte Person ist für die Durchführung der Folgenabschätzung verantwortlich. Alle Mitarbeiter, die notwendige Informationen und Einschätzungen liefern können, müssen daran mitwirken. Die Folgenabschätzung wird schriftlich durchgeführt und umfasst: – eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Unternehmen verfolgten berechtigten Interessen; – eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; – eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; – die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis der Einhaltung der DSGVO erbracht wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Wenn der Abteilungsleiter oder die autorisierte Person, die die Folgenabschätzung durchgeführt hat, feststellt, dass die beabsichtigte Verarbeitung zu einem hohen Risiko führen würde und das Unternehmen keine Maßnahmen zur Eindämmung des Risikos ergreift, müssen sie den Geschäftsführer des Unternehmens informieren und prüfen, ob eine Konsultation der Aufsichtsbehörden erforderlich ist.

  • II. Sicherheit von Räumlichkeiten und Computerausrüstung

Artikel 7

Räumlichkeiten, in denen sich Speicher für personenbezogene Daten sowie Hardware- und Softwareausrüstung befinden (gesicherte Räumlichkeiten), müssen durch organisatorische, physische und/oder technische Maßnahmen geschützt werden, die unbefugten Zugriff auf die Daten verhindern. Der Zugang ist nur während der regulären Arbeitszeit gestattet; außerhalb dieser Zeiten ist er nur mit Genehmigung des Geschäftsführers oder Vorgesetzten erlaubt. Schlüssel sollten nicht von außen im Schloss stecken gelassen werden. Gesicherte Räumlichkeiten dürfen nicht unbeaufsichtigt gelassen werden und sollten bei Abwesenheit der aufsichtsführenden Mitarbeiter verschlossen werden. Schränke und Schreibtische mit gespeicherten personenbezogenen Daten müssen außerhalb der Arbeitszeit verschlossen sein, Computer und andere Hardware müssen ausgeschaltet und physisch oder programmgesteuert gesperrt sein. Mitarbeiter dürfen gespeicherte personenbezogene Daten in Anwesenheit unbefugter Personen nicht auf ihren Schreibtischen liegen lassen. Gespeicherte personenbezogene Daten, die sich außerhalb gesicherter Räumlichkeiten befinden (Flure, Gemeinschaftsbereiche), müssen dauerhaft verschlossen sein. Besondere Kategorien personenbezogener Daten sollten nicht außerhalb gesicherter Bereiche aufbewahrt werden. Ein Mitarbeiter, der bei seiner Arbeit personenbezogene Daten nutzt oder verarbeitet, darf gespeicherte personenbezogene Daten während der Arbeitszeit nicht unbeaufsichtigt auf seinem Schreibtisch liegen lassen oder sie dem Risiko eines unbefugten Zugriffs durch andere Personen aussetzen. Schlüssel, Karten, Passwörter und andere Mittel, die den Zugang zu gesicherten Räumlichkeiten ermöglichen, müssen geschützt, verwaltet und sicher aufbewahrt werden. Jeder Verlust, Missbrauch oder Verdacht auf Missbrauch muss vom Mitarbeiter unverzüglich gemeldet werden.

Artikel 8

In Räumlichkeiten, die für die Arbeit mit Kunden vorgesehen sind, müssen gespeicherte Daten und Computerbildschirme so positioniert sein, dass Kunden sie nicht einsehen können.

Artikel 9

Wartung und Reparatur von Hardware, Computern und anderer Ausrüstung sind nur mit Kenntnis des autorisierten Personals gestattet und dürfen nur von autorisierten Technikern und Technikern durchgeführt werden, die eine entsprechende Vereinbarung mit Rdeča Oranža oder einen erteilten Arbeitsauftrag haben.

Artikel 10

Raumtechniker, Hardware- und Softwaretechniker, Besucher und Geschäftspartner dürfen sich in gesicherten Räumlichkeiten nur mit Kenntnis des autorisierten Personals bewegen. Mitarbeiter wie Reinigungskräfte, Sicherheitspersonal usw. dürfen sich außerhalb der Arbeitszeit nur in jenen gesicherten Räumlichkeiten bewegen, in denen der Zugriff auf personenbezogene Daten verhindert wird (gespeicherte Daten befinden sich in verschlossenen Schränken und Schreibtischen, Computer und andere Hardware sind ausgeschaltet oder anderweitig physisch oder per Software gesperrt).

  • III. Sicherheit von Systemen und Anwendungssoftware der Computerausrüstung und der verarbeiteten Daten

Artikel 11

Der Zugriff auf Software muss so geschützt sein, dass er nur vorab festgelegten Mitarbeitern oder juristischen oder natürlichen Personen gestattet ist, die vertraglich vereinbarte Dienstleistungen gemäß Auftrag erbringen.

Artikel 12

Reparatur, Änderung und Ergänzung von System- und Anwendungssoftware sind nur mit Genehmigung der autorisierten Person gestattet und dürfen nur von autorisierten Diensten und Organisationen sowie Personen durchgeführt werden, die einen gültigen Vertrag haben oder denen von Rdeča Oranža ein Auftrag erteilt wurde.

Artikel 13

Für die Speicherung und den Schutz von Anwendungssoftware gelten dieselben Bestimmungen wie für andere Daten in dieser Richtlinie.

Artikel 14

Der Inhalt von Netzwerkserver-Festplatten und lokalen Workstations, die personenbezogene Daten enthalten, wird ständig auf das Vorhandensein von Computerviren überprüft. Wenn ein Computervirus entdeckt wird, wird er umgehend beseitigt und die Ursache seines Auftretens im Informationssystem des Computers ermittelt. Alle personenbezogenen Daten und Programme, die zur Verwendung im Computer-Informationssystem bestimmt sind und bei Rdeča Oranža auf Datenträgern oder über Telekommunikationskanäle eingehen, müssen vor der Verwendung auf das Vorhandensein von Computerviren überprüft werden.

Artikel 15

Mitarbeitern ist es nicht gestattet, Programme ohne Kenntnis der für den Betrieb des Computer-Informationssystems verantwortlichen Person zu installieren. Es ist ihnen auch nicht gestattet, Programme ohne Erlaubnis des Geschäftsführers aus den Geschäftsräumen zu entfernen.

Artikel 16

Der Zugriff auf Daten über Anwendungssoftware ist durch ein Passwortsystem zur Benutzerautorisierung und Identifizierung von Programm- und Datennutzern geschützt. Das Passwortsystem muss die nachträgliche Feststellung ermöglichen, wann bestimmte personenbezogene Daten in die Datenbank eingegeben, verwendet oder anderweitig verarbeitet wurden und wer sie verarbeitet hat.

Artikel 17

Alle Passwörter und Verfahren, die für den Zugriff auf und die Verwaltung des persönlichen Computernetzwerks (Aufsichts- oder Kontrollpasswörter), die Verwaltung von E-Mails und die Verwaltung von Anwendungsprogrammen verwendet werden, werden in versiegelten Umschlägen aufbewahrt und vor unbefugtem Zugriff geschützt. Sie sollten nur in Ausnahmefällen oder Notsituationen verwendet werden.

Artikel 18

Personenbezogene Daten dürfen nur in Ausnahmefällen lokal (auf lokalen Computern und ähnlichen Geräten) gespeichert und verarbeitet werden, wenn dies aufgrund der Art der Tätigkeit erforderlich ist. Sobald die Notwendigkeit für eine solche Speicherung und Verarbeitung personenbezogener Daten entfällt, müssen die personenbezogenen Daten in zentrale Datenbanken übertragen oder dauerhaft gelöscht werden. Alle Kopien des Inhalts von Sammlungen personenbezogener Daten auf lokalen Medien (externe Festplatten, USB-Sticks usw.) werden in verschlossenen Schränken aufbewahrt. Zum Zwecke der Wiederherstellung des Computersystems bei Fehlfunktionen und anderen Ausnahmesituationen werden regelmäßige Kopien des Inhalts des Netzwerkservers und der lokalen Stationen garantiert, sofern die Daten dort gespeichert sind. Diese Kopien werden an dafür vorgesehenen Orten aufbewahrt, die feuerfest, vor Überschwemmungen und elektromagnetischen Störungen geschützt sein müssen, unter festgelegten klimatischen Bedingungen gehalten und verschlossen werden.

  • IV. Dienstleistungen durch externe juristische oder natürliche Personen

Artikel 19

Mit jeder externen juristischen oder natürlichen Person, die spezifische Aufgaben im Zusammenhang mit der Erhebung, Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten wahrnimmt und für die Ausübung solcher Tätigkeiten registriert ist (Auftragnehmer oder Unterauftragnehmer), wird ein schriftlicher Vertrag gemäß Artikel 28 Absatz 2 geschlossen. Es gelten die allgemeinen Datenschutzbestimmungen. Ein solcher Vertrag muss die Bedingungen und Maßnahmen zur Gewährleistung des Schutzes und der Sicherheit personenbezogener Daten festlegen. Vor Abschluss eines Vertrages mit einem Auftragsverarbeiter holt die verantwortliche Person (in der Regel der Abteilungsleiter) Informationen von diesem ein, um zu prüfen, ob der Auftragsverarbeiter die Anforderungen der Datenschutzvorschriften erfüllt, einschließlich der Offenlegung aller an der Verarbeitung beteiligten Unterauftragsverarbeiter mit deren Namen und Sitz. Dies gilt auch für Dritte, die Hardware und Software warten sowie neue Hardware oder Software herstellen und installieren. Externe juristische oder natürliche Personen dürfen Dienstleistungen zur Verarbeitung personenbezogener Daten nur im autorisierten Umfang des Verantwortlichen erbringen und dürfen die Daten nicht verarbeiten oder in irgendeiner anderen Weise für einen anderen Zweck verwenden. Eine autorisierte juristische oder natürliche Person, die vertraglich vereinbarte Dienstleistungen für Rdeča Oranža außerhalb der Räumlichkeiten des Betreibers erbringt, muss ein mindestens ebenso strenges Schutzniveau für personenbezogene Daten gewährleisten, wie es in dieser Regelung vorgeschrieben ist. Unter anderem muss das Unternehmen in Verträgen mit Auftragsverarbeitern das Recht sicherstellen, mindestens einmal jährlich Inspektionen oder Audits im Bereich des Schutzes personenbezogener Daten durchzuführen. Inspektionen oder Audits werden durchgeführt, wenn der Verdacht oder Anhaltspunkte dafür bestehen, dass der Auftragsverarbeiter gegen den Vertrag verstößt oder kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Das Audit wird auf Kosten des Unternehmens durchgeführt, und der Auftragsverarbeiter darf dem Unternehmen den Einsatz seines Personals und/oder von Unterauftragsverarbeitern nicht in Rechnung stellen.

  • V. Annahme und Übermittlung personenbezogener Daten

Artikel 20

Der für den Posteingang und die Postregistrierung zuständige Mitarbeiter ist verpflichtet, Post, die personenbezogene Daten enthält, direkt an die Person oder das Büro zuzustellen, an die die Post adressiert ist. Der für den Posteingang und die Postregistrierung zuständige Mitarbeiter öffnet und prüft alle Postsendungen und Sendungen, die bei der Verwaltungsstelle auf anderem Wege als durch Postdienste eingehen, von Kunden oder Zustellern gebracht werden, mit Ausnahme der in den Absätzen 3 und 4 dieses Artikels genannten Sendungen. Der für den Posteingang und die Postregistrierung zuständige Beamte darf keine Post öffnen, die an eine andere Stelle oder Organisation adressiert ist und irrtümlich zugestellt wurde, sowie keine Post, die als personenbezogene Daten gekennzeichnet ist oder auf dem Umschlag als solche im Zusammenhang mit einem Wettbewerb ausgewiesen ist. Der für den Posteingang und die Postregistrierung zuständige Beamte darf keine an einen Mitarbeiter adressierte Post öffnen, bei der auf dem Umschlag die persönliche Zustellung an den Empfänger angegeben ist, sowie keine Post, die einen Personennamen angibt. Der Mitarbeiter wird zuerst ohne Angabe der offiziellen Position genannt, gefolgt von der Adresse der Verwaltungsstelle.

Artikel 21

Personenbezogene Daten dürfen nur dann über Informations-, Telekommunikations- und andere Mittel übermittelt werden, wenn Verfahren und Maßnahmen implementiert sind, die verhindern, dass unbefugte Personen Daten unbefugt entwenden oder zerstören oder unbefugten Zugriff auf deren Inhalt erhalten. Besondere Kategorien personenbezogener Daten werden an Empfänger in versiegelten Umschlägen mit Unterschrift im Zustellbuch oder per Lieferschein versandt. Personenbezogene Daten werden per Einschreiben versandt. Der für die Übermittlung personenbezogener Daten verwendete Umschlag muss so gestaltet sein, dass der Inhalt des Umschlags bei normalem Licht oder bei Durchleuchtung der Umschläge mit gewöhnlichem Licht nicht sichtbar ist. Darüber hinaus muss der Umschlag gewährleisten, dass das Öffnen des Umschlags und die Kenntnisnahme seines Inhalts nicht ohne sichtbare Spuren einer Manipulation möglich sind.

Artikel 22

Die Verarbeitung besonderer Kategorien personenbezogener Daten muss speziell gekennzeichnet und gesichert werden. Daten aus dem vorstehenden Absatz dürfen über Telekommunikationsnetze nur übertragen werden, wenn sie durch kryptografische Methoden und elektronische Signaturen speziell in einer Weise gesichert sind, die die Vertraulichkeit der Daten während ihrer Übertragung garantiert.

Artikel 23

Personenbezogene Daten werden nur jenen Nutzern zur Verfügung gestellt, die nachweisen, dass sie über eine entsprechende Rechtsgrundlage verfügen, oder auf schriftliche Anfrage oder Einwilligung der Person, auf die sich die Daten beziehen. Für jede Übermittlung personenbezogener Daten ist der Nutzer verpflichtet, einen schriftlichen Antrag einzureichen, aus dem die gesetzliche Bestimmung, die den Nutzer zum Erhalt personenbezogener Daten berechtigt, klar hervorgeht, oder dem Antrag muss eine schriftliche Anfrage oder Einwilligung der betroffenen Person beigefügt sein. Im Falle der Erhebung und Übermittlung personenbezogener Daten zwischen staatlichen Verwaltungsstellen sind auch die Bestimmungen der Verordnung über den Verwaltungsbetrieb zu berücksichtigen. Originaldokumente werden niemals ausgehändigt, außer im Falle einer schriftlichen gerichtlichen Anordnung. Das Originaldokument muss während der Abwesenheit durch eine Kopie ersetzt werden.

  • VI. Löschen von Daten

Artikel 24

Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten gelöscht, zerstört oder anonymisiert, sofern gesetzlich oder durch andere Vorschriften nichts anderes bestimmt ist. Der Abteilungsleiter entscheidet über die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten. Über die Zerstörung, Löschung oder Anonymisierung personenbezogener Daten wird ein Protokoll erstellt, das keine personenbezogenen Daten der Personen enthalten darf, deren Daten gelöscht, zerstört oder anonymisiert wurden.

Artikel 25

Für die Löschung von Daten von Computermedien wird eine Löschmethode verwendet, die eine Wiederherstellung aller oder eines Teils der gelöschten Daten unmöglich macht. Daten auf physischen Medien (Dokumente, Aufzeichnungen, Register, Listen usw.) werden so zerstört, dass es unmöglich ist, alle oder einen Teil der zerstörten Daten zu lesen. Die genaue Methode der Zerstörung für bestimmte Arten von personenbezogenen Daten oder Trägern wird vom Geschäftsführer des Unternehmens festgelegt. Hilfsmaterialien (z. B. Matrizen, Berechnungen und Diagramme, Skizzen, Test- oder Fehldrucke usw.) werden auf die gleiche Weise zerstört. Die Entsorgung von Speichermedien, die personenbezogene Daten enthalten, im normalen Hausmüll ist untersagt. Beim Transport gespeicherter personenbezogener Daten zum Ort der Zerstörung müssen angemessene Sicherheitsmaßnahmen gewährleistet sein.

  • VII. Verfahren im Falle eines Sicherheitsvorfalls im Zusammenhang mit personenbezogenen Daten

Artikel 26

Die Mitarbeiter sind verpflichtet, Maßnahmen zur Verhinderung des Missbrauchs personenbezogener Daten umzusetzen und müssen mit den personenbezogenen Daten, mit denen sie während ihrer Arbeit in Kontakt kommen, gewissenhaft und sorgfältig gemäß den in dieser Regelung dargelegten Verfahren umgehen. Im Falle von Aktivitäten im Zusammenhang mit der Entdeckung oder unbefugten Zerstörung vertraulicher Daten, böswilliger oder unbefugter Nutzung, Entwendung, Änderung oder Beschädigung sind die Mitarbeiter verpflichtet, unverzüglich die autorisierte Person oder den Vorgesetzten zu benachrichtigen und Schritte zur Verhinderung solcher Handlungen zu unternehmen. Jeder Verdacht auf eine Verletzung des Schutzes personenbezogener Daten muss vom Geschäftsführer des Unternehmens innerhalb von 72 Stunden dem Informationsbeauftragten gemeldet werden. Wenn die Wahrscheinlichkeit besteht, dass eine Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, muss der Geschäftsführer des Unternehmens sicherstellen, dass die betroffenen Personen unverzüglich über die Verletzung informiert werden.

Artikel 27

Der Geschäftsführer des Unternehmens ist dafür verantwortlich, dass nach einem Sicherheitsvorfall eine Ursachenanalyse durchgeführt und Maßnahmen zur Verringerung oder Beseitigung der Risiken solcher und künftiger Sicherheitsvorfälle vorgeschlagen werden. Angemessene und machbare Maßnahmen sollten entsprechend umgesetzt werden. Wird festgestellt, dass ein Mitarbeiter den Sicherheitsvorfall verursacht oder daran mitgewirkt hat oder dass der Vorfall aufgrund von Fahrlässigkeit des Mitarbeiters eingetreten ist, ergreift der Geschäftsführer des Unternehmens ungeachtet anderer Bestimmungen in dieser Regelung angemessene arbeitsrechtliche Maßnahmen gegen den Mitarbeiter.

  • VIII. Verantwortung für die Umsetzung von Sicherheitsmaßnahmen und -verfahren

Artikel 28

Der Geschäftsführer des Unternehmens und autorisierte Personen, die keine Mitarbeiter des Unternehmens sind, sind für die Umsetzung der Verfahren und Maßnahmen zum Schutz personenbezogener Daten verantwortlich. Die in Absatz 1 dieses Artikels genannte Kontrolle umfasst die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen für die Datenverarbeitung. Alle Mitarbeiter und sonstigen Personen im Unternehmen sind verpflichtet, an diesen Aktivitäten mitzuwirken.

Artikel 29

Jeder, der personenbezogene Daten verarbeitet, ist verpflichtet, die vorgeschriebenen Verfahren und Maßnahmen zur Datensicherheit und zum Datenschutz umzusetzen, von denen er im Rahmen seiner Arbeit Kenntnis erlangt oder mit denen er vertraut ist. Die Verpflichtung zum Datenschutz endet nicht mit der Beendigung des Arbeitsverhältnisses. Vor Aufnahme der Arbeit in einer Position, in der personenbezogene Daten verarbeitet werden, muss ein Mitarbeiter eine spezielle Erklärung unterzeichnen, mit der er sich zum Schutz personenbezogener Daten verpflichtet. Aus der unterzeichneten Erklärung muss klar hervorgehen, dass der Unterzeichner mit den Bestimmungen dieser Regelung und den Bestimmungen der Datenschutz-Grundverordnung vertraut ist; die Erklärung muss zudem Hinweise auf die Folgen eines Verstoßes enthalten.

Artikel 30

Mitarbeiter, die gegen die Bestimmungen des vorstehenden Artikels verstoßen, unterliegen Disziplinarmaßnahmen, während andere vertraglichen Verpflichtungen unterliegen.

  • IX. Schlussbestimmungen

Artikel 31

Diese Richtlinie tritt am 25. Mai 2018 in Kraft.

Artikel 32

Diese Richtlinie ist auf der Website www.oranza.si veröffentlicht. Mitarbeiter haben zudem Zugang über den Geschäftsführer.

Datum der Veröffentlichung der neuesten Version: 17. März 2023.