Direktivet om personuppgifter


1. I detta dokument, med titeln "Direktivet om personuppgifter" ("riktlinjerna") definieras kraven, principerna och reglerna för skydd av personuppgifter i Kokotowie, Kokotów 703, 32-002 Węgrzce Wielkie (nedan kallad " Företag ")) GmbH med begränsat ansvar).

Detta direktiv är en politik för skydd av personuppgifter i den mening som avses i RODO-förordning (EU) 2016/679 av den 27/04/2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och fri rörlighet för och upphävande av personliga Datadirektiv 95/46 / EG (Allmänna dataskyddsbestämmelserna) (EUT EU L 119, sid.

2. Policyn omfattar:
a) En beskrivning av integritetsreglerna i bolaget,
b) Hänvisningar till kompletterande bilagor (referensförfaranden eller instruktioner avseende specifika områden för skydd av personuppgifter som kräver mer detaljerad information).

3. Ansvarig för genomförandet och upprätthållandet av denna policy är i enlighet med reglerna
Företrädare för företaget:
a) En ledamot i styrelsen som har till uppgift att övervaka skyddsområdet för personuppgifter.

b) en person utsedd av styrelsen för att säkerställa att skyddet av personuppgifter följs För
Övervakning och övervakning av överensstämmelse är:

c) Dataskyddsansvarig, om han utses i bolaget,

d) Internrevisionsenhet om den är verksam i företaget.

4. Följande personer ansvarar för tillämpningen av detta direktiv:

a) Företaget

b) Organisationsenhet med ansvar för informationssäkerhet,

c) Organisationsenheter som behandlar personuppgifter i stor skala,

d) Övriga organisationsenheter,

e) alla anställda i företaget.

Enheten bör också se till att parternas beteende är förenligt med detta direktiv i den mån de tillhandahålls av företaget med personuppgifter.

5. Förkortningar och definitioner
• Direktiv innebär detta direktiv för skydd av personuppgifter, om inte annat anges i sammanhanget.
• RODO står för Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om fri rörlighet för personer och upphävande av direktiv 95/46 / EG (Allmänna skyddsförordningsuppgifter) (EUT EU L 119, sid.
• Data är personuppgifter, om inte annat anges i sammanhanget.
• Särskild kategoriuppgifter är de uppgifter som anges i artikel 9.1 i GDPR, dvs. personuppgifter som anger ras eller etniskt ursprung, politiska åsikter, religiösa eller ideologiska övertygelser, fackföreningsmedlemskap, genetiska och biometriska data för att tydligt identifiera en fysisk person identifiera eller tillhandahålla data om hälsa, sexualitet eller sexuell läggning.
• Straffdata är uppgifter som anges i artikel 10 i GDPR, d. H. Uppgifter om övertygelser och brott.
• Data för barn är uppgifter om personer under 16 år.
• Personen hänvisar till den person som uppgifterna avser om inte kontextet dikterar något annat.
• Behandlingsenheten är en organisation eller person som är ansvarig för företagets behandling av personuppgifter (t.ex. en IT-tjänsteleverantör, ett företag som deltar i tillhandahållandet av tjänster som företaget tillhandahåller).
• profilering innebär någon form av automatiserad behandling av personuppgifter där personuppgifter används för att bedöma personliga personliga faktorer, särskilt för att analysera eller förutsäga aspekter av effekterna av den persons arbete, deras ekonomiska situation, deras hälsa, deras personliga preferenser, deras intressen och deras tillförlitlighet beteende, plats eller rörelse.
• Dataexport innebär överföring av data till ett tredjeland eller en internationell organisation.
• IOD eller inspektör är inspektör för personuppgifter.
• RCPD eller Register betyder registret för behandling av personuppgifter.
Företaget betyder CENTER ZOO med plats i Kokotów.

6. Skydd av personuppgifter i bolaget, allmänna regler:
a) Pillor för personuppgifter i företaget:
• Laglighet - Företaget är engagerat i integritet och behandlar data i enlighet med lagen.
• Säkerhet - Företaget säkerställer en rimlig nivå av datasäkerhet och arbetar ständigt på detta område.
• Individuella rättigheter - Företaget tillåter individer som behandlar data för att utöva sina rättigheter och att genomdriva dessa rättigheter.
• Ansvar - Företaget dokumenterar hur det uppfyller sina skyldigheter för att visa att de alltid är uppfyllda.

b) Företaget behandlar personuppgifter enligt följande principer:
• baserat på rättslig grund och i enlighet med lagen (legalism)
• ärlig och ärlig (rättvist)
• transparent för den registrerade (öppenhet)
• för specifika ändamål och inte "i lager" (minimering);
• inte mer än nödvändigt (lämplighet)
• med hänsyn till data-noggrannheten (korrekthet)

;
• inte mer än nödvändigt (tidsberoende)
• Säkerställa tillräcklig datasäkerhet (säkerhet).

7. Sekretesssystem:
Personuppgiftssystemet i företaget består av följande delar:
a) Data Företaget identifierar personuppgifter i företaget, dataklasser, relationer mellan datafiler, identifiering av dataanvändningsmetoder (inventering), inklusive:
• fall där speciella kategoriuppgifter och kriminella uppgifter behandlas
• Fall av databehandling av personer som inte identifieras av företaget (data
oidentifierad / UFO);
• fall av databehandling av barn
• profilering;
• Delad datahantering.

b) Registrera. Bolaget utvecklar, upprätthåller och upprätthåller ett register över aktiviteter för personuppgifter i företaget (register). Registeret är ett instrument för redovisning av dataskydd i företaget.

c) Rättslig grund. Företaget identifierar de juridiska databehandlingarna, identifierar dem, granskar dem och registrerar dem i registret, inklusive:
• upprätthåller ett system för hantering av databehandling och fjärrkommunikationsgodkännanden,
• Inventarier och specificerar orsakerna till fall där företaget behandlar data baserat på
företagets berättigade intresse.

d) hantera enskilda rättigheter Bolaget uppfyller sina skyldigheter att ge information till de personer vars uppgifter den behandlar och säkerställer upprätthållandet av sina rättigheter genom att svara på sådana förfrågningar, inklusive:
• Informationskrav. Bolaget kommer att ge de berättigade personerna den nödvändiga juridiska informationen vid insamling av uppgifterna och i andra situationer, och det kommer uppenbart att organisera och tillhandahålla sådana uppgifter.
• förmåga att göra förfrågningar Företaget kontrollerar och säkerställer möjligheten att effektivt utföra någon typ av krav av sig själv och dess processorer.
• Redigera förfrågningar. Företaget ska säkerställa tillräckliga utgifter och förfaranden för att se till att människors förfrågningar görs i tid och på det sätt som krävs och dokumenteras av BNP.
• Meddelande om överträdelser. Företaget använder förfaranden för att identifiera behovet av att anmäla de som berörs av det identifierade databrottet.

e) minimering. Företaget har principer och metoder för hantering av minimering (standard som standard), inklusive:
• Principer för hantering av dataöverensstämmelse.
• Principer för reglering och hantering av tillgång till data.
• Regler för hantering av datalagring och verifiering av ytterligare lämplighet.

f) Säkerhet Företaget säkerställer en tillräcklig säkerhetsnivå
Data, inklusive:
• utför riskanalyser för databehandling eller kategorier;
• utför konsekvensbedömningar av personuppgifter när risken för kränkning av rättigheter och friheter är hög,
• anpassar skyddsåtgärderna till den angivna risken,
• har ett informationssäkerhetshanteringssystem;
• använder procedurer för att identifiera, utvärdera och rapportera identifierade dataöverträdelser till dataskyddsmyndigheten - hantera incidenter.

g) processor. Företaget har regler för urval av databehandling till förmån för bolaget, krav på bearbetningsförhållanden (upphandlingsavtal) och regler för verifikation av uppfyllande av överlåtelsesavtal.

h) Dataexport Företaget har regler för att verifiera att företaget inte lämnar in uppgifter till länder
Tredje länder (dvs. utanför EU, Norge, Liechtenstein, Island) eller internationella organisationer
och för att säkerställa de lagliga förutsättningarna för en sådan överföring, om någon.

i) Sekretess genom design. Företaget hanterar förändringar som påverkar integriteten. För detta ändamål beaktar förfarandet för att lansera nya projekt i företaget hänsyn till behovet av effekterna av förändringar i dataskydd, riskanalys, dataskydd (och överensstämmelse med bearbetningsmål, datasäkerhet och minimering) redan vid designfasen av en förändring eller att utvärdera i början av ett nytt projekt.

j) Gränsöverskridande uppgörelse Bolaget har regler för granskning av gränsöverskridande bearbetning samt principerna för fastställande av ledande tillsynsorgan och huvudorganisationsenhet i enlighet med RODO.

8. Inventory
a) Information om vissa kategorier och kriminella uppgifter:
Företaget behandlar inte specifika kategoridata eller brottsdata.

b) Oidentifierade data:
Företaget identifierar fall där det kan behandla eller bearbeta oidentifierade data och upprätthålla mekanismer som möjliggör genomförandet av individers rättigheter som påverkas av oidentifierade data.

c) profilering
Företaget identifierar fall där profilering av bearbetade data utförs och upprätthåller mekanismer för att säkerställa att denna process överensstämmer med lagen. För att identifiera instanser av profilering och automatiserat beslutsfattande följer bolaget reglerna i detta avseende.

d) samtidig administrering
Företaget hanterar inte uppgifterna tillsammans.

9. REGISTRERING AV DATA PROCESSING AKTIVITETER
a) RCPD är en form av dokumentation av databehandling, fungerar som ett databehandlingskort och är en av de viktigaste elementen som gör det möjligt för fonden att genomföra den allmänna principen som hela systemet för skydd av personuppgifter bygger på är principerna av ansvarighet.

b) Företaget förvarar en databehandlingsrekord där den kontrollerar hur det använder personuppgifter.

c) Advokatbyrån är ett av de grundläggande verktygen som bolaget kan uppfylla de flesta integritetsförpliktelserna.

d) I registret registrerar företaget för varje databehandlingsaktivitet som företaget anser vara separat för registreringskraven åtminstone följande:
• Namn på aktiviteten
• Syftet med behandlingen,
• Beskrivning av kategorin personer,
• Beskrivning av datakategorierna
• Den rättsliga grunden för behandlingen, inklusive kategorin av bolagets berättigade intresse, om det är baserat på ett berättigat intresse,
• Metod för insamling av data
• Beskrivning av kategorier av data mottagare (inklusive processorer),
• Information om överföringar utanför EU / EES.
• En allmän beskrivning av de tekniska och organisatoriska skyddsåtgärderna.

e) Registret är bilaga 1 till direktivet - "Modellregister över databehandlingsverksamhet". Fliken Mall innehåller även frivilliga kolumner. I icke-obligatoriska kolumner registrerar företaget de uppgifter och möjligheter som krävs, med hänsyn till att registerets övergripande innehåll underlättar förvaltningen och efterlevnaden av reglerna för dataskydd.

10. SKÄL FÖR FÖRARBETE
a) Bolaget dokumenterar i registret de rättsliga grunderna för databehandling för vissa bearbetningsaktiviteter.

b) Genom att tillhandahålla den allmänna rättsliga grunden (samtycke, kontrakt, laglig skyldighet, väsentliga intressen, bolagets lagliga syfte) i handlingarna ska Bolaget fastställa grunden noggrant och läsligt om det behövs. Till exempel, för samtycke - angivelse av räckvidd, om lagen är grunden - ange en specifik bestämmelse och andra handlingar, t.ex. B. Överenskommelse, administrativt avtal, väsentliga intressen - Ange kategorier av händelser där de förekommer, legitimt syfte - Ange ett specifikt mål, t.ex. marknadsföring av egna påståenden att utöva.

c) Företaget använder samtyckehanteringsmetoderna, som är registrering och verifiering av personens samtycke att bearbeta sina specifika uppgifter för ett visst ändamål, samtycka till fjärrkommunikation (e-post, telefon, SMS, etc.) och registrering av vägran av samtycke Återkallande av samtycke och liknande aktiviteter (invändning, begränsning etc.).

d) Chefen för organisationsenheten i företaget är skyldig att känna till den rättsliga grunden för vilken cellen han / hon leder utför viss verksamhet för behandling av personuppgifter. Om företagets berättigade intresse är baserat på det, är företagets chef skyldig att känna till det specifika intresset hos företaget som behandlas.

11. VERKSAMHETEN AV UNITENS RÄTTIGHETER OCH INFORMATIONSPLIKTEN
a) Företaget uppmärksammar läsbarheten och utformningen av informationen och kommunikationen med de personer vars uppgifter den behandlar.

b) Samhälle gör det möjligt för människor att hävda sina rättigheter genom olika aktiviteter. Dessa inkluderar: Hämta information eller invändningar på bolagets hemsida för information om enskildas rättigheter, deras användning i samhället, inklusive identifieringskrav, kontakt med företaget för detta ändamål, en valfri lista med "ytterligare" förfrågningar etc.

c) Bolaget säkerställer att tidsfristerna för fullgörandet av skyldigheter gentemot personer följs.

d) Bolaget ska införa lämpliga metoder för identifiering och autentisering av personer för att uppnå individuella rättigheter och informationsförpliktelser.

e) För att genomföra bolagets rättigheter tillhandahåller företaget förfaranden och mekanismer som tillåter detta
Identifiera, manipulera, modifiera och ta bort information om specifika individer som behandlas av bolaget.

f) Företaget dokumenterar hantering av informationsuppgifter, kommunikation och förfrågningar om personer.

12. INFORMATIONSKRAV
a) Bolaget definierar legitima och effektiva sätt att uppfylla sina skyldigheter
Information.

b) Företaget informerar personen om förlängning av tidsfristen för granskning av denna persons ansökan med mer än en månad.

c) Företaget informerar personen om behandlingen av hans data när uppgifter samlas in från denna person.

d) Företaget informerar personen om behandlingen av deras uppgifter om uppgifter om denna person samlas in indirekt.

e) Företaget definierar metoden för att informera personer om behandling av oidentifierade data, om möjligt (t.ex. en post i området som omfattas av CCTV).

f) Företaget informerar personen om den planerade ändringen av syftet med databehandling.

g) Företaget informerar personen innan återkallelsen av bearbetningsgränsen.

h) Företaget informerar mottagarna om korrigering, radering eller begränsning av databehandling (om inte detta kräver en oproportionerlig ansträngning eller är omöjligt).

i) Företaget informerar personen mot databehandling senast dagen för invändningsrätten

första kontakten med den här personen.

j) Företaget måste omedelbart informera personen om överträdelsen av skyddet av personuppgifter om:
Det finns en risk för att denna persons rättigheter eller friheter kommer att brytas.

13. ANVÄNDNING FÖR MÄNNISKA

a) tredje parts rättigheter Genomförandet av de registrerades rättigheter, SDas Regal ger processuella skyddsåtgärder för att skydda andras rättigheter och friheter. I synnerhet när en tillförlitlig information mottas kan utförandet av en persons begäran om en kopia av uppgifterna eller rätten att överföra uppgifterna ha negativ inverkan på andras rättigheter och friheter (t.ex. en lag som skyddar andras integritet, intellektuella egendomsrättigheter, affärshemligheter,
Företaget får uppmana personen att klargöra eventuella tvivel eller vidta andra legitima åtgärder, inklusive att vägra att följa begäran.

j) Dataöverföring På begäran av personen kan bolaget i ett strukturerat, allmänt använt maskinläsbart format, eller, om möjligt, överföra till en annan företagsuppgifter avseende den person som den har gjort tillgänglig för företaget på Grunden för godkännande av den person som behandlas eller att ingå ett kontrakt eller slutföra det ingick i företagets IT-system.

k) invändning i en speciell situation Om en person motsätter sig sin speciella situation och motsätter sig bearbetningen av sina uppgifter och uppgifterna behandlas av bolaget på grundval av bolagets berättigade intressen eller allmänintresse delegationen kommer bolaget att överväga oppositionen, såvida inte företaget har rättsligt motiverade skäl för att göra det. Bearbetning, ogiltigförklaring av intressen, rättigheter och friheter hos den överträdande personen eller skälen till upptäckten, utredningen eller försvaret av fordringar.

l) Motsägelse i vetenskaplig forskning, historiska eller statistiska ändamål. om
Företaget bedriver vetenskaplig forskning, historisk forskning eller databehandling för statistiska ändamål. Personen kan ge en motiverad motivation mot sådan behandling, vilket beror på deras speciella situation. Företaget kommer att överväga denna invändning såvida inte behandlingen är nödvändig för att uppfylla allmänintresset.

m) Invändning mot direkt marknadsföring. Om personen motsätter sig bearbetningen av sina uppgifter av företaget för direktmarknadsändamål (inklusive profilering) kommer bolaget att överväga invändningen och upphörandet av denna behandling.

n) Rätten att ingripa av personer med automatisk behandling. Om företaget
behandlar automatiskt data, i synnerhet profiler av människor, och gör därmed beslut som medför rättsverkningar eller påverkar en person väsentligt. Bolaget erbjuder möjlighet att överklaga och fatta beslut av bolaget, om inte ett sådant automatiskt beslut:
• krävs för ingående eller utförande av kontrakt mellan klaganden
Person och företag eller
• Det är uttryckligen tillåtet enligt lag eller
• baserat på uttryckligt samtycke som avbryter personer.

14. MINIMERING
Företaget lägger vikt vid att minimera databehandling i förhållande till:
• Tillfredsställelse av data för ändamål (datamängd och mängd bearbetning)
• tillgång till data,
• Tid för datalagring.

a) Minimering av omfattningen
Bolaget har granskat omfattningen av de insamlade uppgifterna, omfattningen av behandlingen och mängden data som behandlas för att databehandling är rimlig för bearbetning i samband med genomförandet av GDPR. Företaget granskar regelbundet antalet behandlade data och mängden bearbetning minst en gång per år. Företaget granskar förändringar i omfattningen och omfattningen av databehandling (Privacy by Design) som en del av förändringshanteringsprocedurerna.

b) Minimering av åtkomst
Företaget tillämpar restriktioner för tillgång till personlig information: juridiska (sekretessförpliktelser, tillståndsrestriktioner), fysiska (åtkomstzoner, stängning av affärslokaler) och logiska (begränsningar av systemhantering av personuppgifter och nätverksresurser som innehåller personuppgifter). Företaget tillämpar fysisk åtkomstkontroll. Bolaget uppdaterar åtkomsträttigheterna till förändringar i personalets sammansättning och förändringar i personers roller och förändringar av enheter
Bearbetning. Företaget granskar regelbundet befintliga systemanvändare och uppdaterar dem minst en gång per år. Detaljerade regler för fysisk och logisk åtkomstkontroll ingår i företagets fysiska säkerhets- och informationssäkerhetspraxis.

c) Minimering av tid Företaget implementerar mekanismer för att styra livscykeln för personuppgifter i bolaget, inklusive kontroll av dataens ytterligare lämplighet i förhållande till de data och kontrollpunkter som anges i registret. Data vars användning är begränsad över tid kommer att tas bort från företagets produktionssystem samt från handdator och huvudfiler. Sådan data kan arkiveras och placeras på system- och informationsbackup
bearbetas av företaget. Förfarandena för arkivering och användning av arkiv, skapande och användning av säkerhetskopior, ta hänsyn till kraven på data livscykelkontroll, inklusive krav på borttagning av data.

15. SÄKERHET
Bolaget ger en säkerhetsnivå som motsvarar risken för intrång i enskilda personers rättigheter och friheter som beror på företagets behandling av personuppgifter.
a) Riskanalys och tillräcklighet för säkerhetsåtgärder
Företaget upprätthåller och dokumenterar adekvat analys av personuppgifter säkerhetsåtgärder. För detta ändamål:

• Säkerställer informationssäkerhet, cybersäkerhet och affärs kontinuitet - antingen internt eller med stöd av specialiserade enheter.
• Företaget kategoriserar data och bearbetningsaktiviteter enligt de risker de utgör.
• Organisationen bestämmer de organisatoriska och tekniska säkerhetsåtgärder som kan tillämpas och bedömer kostnaderna för genomförandet. Därigenom bestämmer företaget lämpligheten och tillämpar sådana åtgärder och förfaranden som:

• pseudonymisering,
• kryptering av personuppgifter,
• Andra säkerhetsåtgärder som kan garantera fortlöpande konfidentialitet,
Integritet, tillgänglighet och robusthet i bearbetningssystem och -tjänster,
• Åtgärder för att säkerställa kontinuitet i verksamheten och förhindra följderna av katastrofer. d. H. Möjligheten att snabbt återställa tillgången till och tillgång till personuppgifter i händelse av en fysisk eller teknisk incident.

b) Konsekvensbedömning av datakonsekvensbedömning Företaget bedömer effekterna av planerad personlig databehandling när det enligt riskanalysen finns en risk för att enskilda personers rättigheter och friheter kommer att brytas. Företaget tillämpar den metod för konsekvensbedömning som används i företaget.

c) Säkerhetsåtgärder Bolaget tillämpar säkerhetsåtgärder som fastställts i riskanalysen samt tillräckliga säkerhetsåtgärder och konsekvensbedömningar. Personliga säkerhetsåtgärder är en del av informationssäkerhetsåtgärder och tillhandahåller cybersäkerhet i företaget. De beskrivs närmare i de förfaranden som bolaget fastställt för dessa områden.

d) Anmälan om överträdelser Företaget kommer att använda förfaranden för att identifiera, bedöma och rapportera identifierade överträdelser av uppgiftsskydd inom 72 timmar efter upptäckten av överträdelsen.

16. FÖRFARANDE
Företaget har principer för val av databehandling och granskning för bolaget för att säkerställa att processorer tillhandahåller tillräckliga garantier för att vidta lämpliga organisatoriska och tekniska åtgärder för att säkerställa säkerheten, genomförandet av individuella rättigheter och andra skyldigheter för dataskydd i bolaget, bolaget har fastställt minimikrav för överföringsavtalet i bilaga 2 till direktivet
- "Modellkontrakt för överföring av databehandling". Företaget avgör processorer med delprocessorer samt andra krav som följer av principerna om tillhandahållande av personuppgifter.

17. DATA EXPORT
Företaget exporterar inte data utanför Europeiska ekonomiska samarbetsområdet (EES 2017 = Europeiska unionen, Island, Liechtenstein och Norge).

18. PRIVACY DESIGN
Företaget hanterar en förändring som påverkar privatlivet så att det kan tillhandahållas
tillräcklig säkerhet för personuppgifter och minimering av behandlingen. För detta ändamål
Principerna för projektets genomförande avser principerna om datasäkerhet
personuppgifter och minimering, vilket kräver en konsekvensbedömning av integritet och dataskydd
Integrerad och utformad säkerhet och minimering av databehandling från början
Projekt eller investering.

19. SLUTBESTÄMMELSER
Sekretesspolicyen gäller den 25 maj 2019.

Webbplatsen använder cookies för att leverera tjänster i enlighet med Policy om cookies. Du kan ange villkoren för lagring eller tillgång till cookies i din webbläsare.
Jag förstår
pixel