Datenschutz-Bestimmung personenbezogener Daten
1. Allgemeine Bestimmungen
Den Datenschutz personenbezogener Daten befinden wir als äußerst wichtig und er ist der Grundbestanteil aller Prozesse und kooperativer Verwaltungen bei Factory X d.o.o. (im weiteren Text FACTORY X). „Die Datenschutz-Bestimmung personenbezogener Daten bei FACTORY X d.o.o.“ stellt die Rahmenbedingungen dar, anhand welcher mit allen bei der Geschäftsführung gesammelten personenbezogenen Daten umgegangen wird. Diese Bestimmungen werden seit dem 25. Mai 2018 angewendet und beziehen sich auf FACTORY X und sie wurden als eine der organisatorischen Maßnahmen der Harmonisierung mit den Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), (im weiteren Text Verordnung) erlassen.
Wir behandeln alle Daten die wir aufgreifen oder mit denen wir umgehen vertraulich und zweckhaft mittels höchster Sicherheitsstandards.
Verantwortlich für die Datenverarbeitung:
FACTORY X d.o.o.
Nikole Tesle 28, Pribislavec
HR-40000 Čakovec
Tel: 00385 (40) 313 420
Datenschutzbeauftragter:
Velimir Sanjković
Nikole Tesle 28, Pribislavec
HR-40000 Čakovec
Tel: 00385 (40) 313 420
Datenschutzbeauftragter erreichbar unter:
Kontaktformular: Formular
E-Mail Adresse: info@factory-x.hr
2. Zweck der Datenschutz-Bestimmung
Diese Datenschutz-Bestimmungen wurden kreiert und angenommen, weil wir sicherstellen möchten, dass FACTORY X mit den folgenden Anforderungen harmonisiert ist:
- Gültige gesetzliche Regelungen zum personenbezogenen Datenschutz;
- Datenschutz personenbezogener Daten mit denen wir in Kontakt treten;
- Die Zugänglichkeit und die Transparenz seitens aller Benutzer und Befragten darüber, wie die Daten verwaltet werden;
- Die Risikominderung der Verletzung des Schutzes personenbezogener Daten;
- Edukation und Informieren aller unserer Benutzer und Befragten;
- Bessere Transparenz bei dem Datenschutz-Umgang.
3. Risiken der Datenschutz-Bestimmungen personenbezogener Daten
Personenbezogene Daten schützen wir vor Risiken denen sie ausgestellt sind. Es folgen die Hauptrisiken des personenbezogenen Datenschutzes die wir erkannt haben:
Das Risiko einer fairen, gesetzmäßigen und transparenten Verarbeitung
– Anhand der Bestimmungen und Prozeduren des Datenschutzes personenbezogener Daten wollen wir den Befragten das Recht auf faire, gesetzmäßige und transparente Verarbeitung sicherstellen.
Das Risiko der Vertraulichkeit personenbezogen Daten
– mit der Einführung der Funktion des Leiters und der Verantwortlichen Person für den Datenschutz personenbezogener Daten, wollen wir ein Geschäftsumfeld schaffen, welches die Zugriffmöglichkeit und das Zugriffrecht den personenbezogenen Daten beschränkt, so dass die selben nicht in Besitz zur Verarbeitung unbefugter Personen geraten.
Das Risiko der Vollständigkeit der personenbezogenen Daten
– mittels der Bestimmungen und dem Einführen der Mechanismen zur Überprüfung der Genauigkeit und Vollständigkeit der personenbezogenen Daten, ist das Ziel Sicherheit, Schutz vor unbefugter Verarbeitung und unabsichtlichem Verlieren, Löschen oder Beschädigung durch Anwendung entsprechender technischer oder organisatorischer Maßnahmen zu realisieren.
Das Risiko der Verfügbarkeit der personenbezogenen Daten
– in Fällen in denen das Datenspeichersystem in Gefahr gerät (Angriffe, Unzugänglichkeit, Stromausfall, Unlesbarkeit der Daten u. ä.), ist es notwendig den Zugriff auf Sicherungskopien bereitzustellen, so wie auch deren häufige Überprüfung.
Ansehensrisiko
– Das Verlieren oder der Diebstahl personenbezogener Daten kann sich äußert negativ auf das Ansehen des Unternehmens auswirken. Die enteigneten Daten können missbraucht werden, womit den Befragten wesentlicher materieller Schaden zugefügt werden kann.
Das Risiko der Gefährdung der Befragtenrechte im Falle von Datenübertragung in ein Drittland
– die personenbezogenen Daten können auf Datenträgern gespeichert sein, die sich in einem Drittland befinden. In diesem Fall ist es nötig eine klare Einsicht darüber zu haben, wo sich die Daten befinden, damit die selben nicht bei einer zum Zugriff unbefugten Person gelangen.
4. Arten von personenbezogenen Daten
Im Rahmen der üblichen Geschäftsführung erkennen wir die folgenden Kategorien der personenbezogenen Daten:
Allgemeine Personendaten: Identifikationsdaten (Vorname, Nachname, Bürgerkennnummer, persönliche Identifikationsnummer, Staatsangehörigkeit, Adresse, Foto); Online Identifikatoren (Cookies, IP Adressen).
Ebenfalls werden den Bedürfnissen der Geschäftsführung und den Verordnungen nach die folgenden Kategorien der Befragten erkannt: Angestellte, Anstellungskandidaten, freie Mitarbeiter, Käufer und Lieferanten.
5. Personenbezogene Daten die wir einsammeln
In der üblichen Geschäftsführung entwickelt und pflegt FACTORY X eigene Software Lösungen und Dienstleistungen. Gleichweise werden eigene Softwareapplikationen, wie auch Partnerapplikationen implementiert. Wir bieten Wartungsdienstleistungen, Softwareanpassungen, Software als Dienstleistung (eng. SaaS) und IT Konsultationen (im weiteren Text: IT Dienstleistungen) an. Im Rahmen der üblichen Geschäftsführung oder Vertragsbeziehung mit dem Benutzer sammeln oder verarbeiten wir die folgenden personenbezogenen Daten anhand von Kategorien und dem Zweck der Verarbeitung:
Einstellung
– Einstellungskandidaten bei Factory X. Wenn sich jemand bei Factory X für eine Arbeitsstelle anmeldet, haben wir wegen unserem legitimen Interesses die Pflicht personenbezogene Daten zu sammeln und zu verarbeiten (Vorname und Nachname, persönliche Identifikationsnummer, Adresse, E-Mail-Adresse, Berufserfahrung).
Angestellte bei FACTORY X
– wegen dem Verwirklichen der Rechte die aus dem Arbeitsverhältnis hervorgehen, wegen dem Überwachen und der Entwicklung der Angestellten entsteht ein legitimes Interesse zum Sammeln der personenbezogenen Daten (Vorname, Nachname, persönliche Identifikationsnummer, Adresse, Daten zur Aufzeichnung der Angestellten, Urlaubstage, Gehalt, Aufzeichnung der Arbeitszeit, Reiseauftrag, Aufzeichnung für den Arbeitsschutz).
Freie Mitarbeiter
– allgemeine personenbezogene Daten von unseren freien Mitarbeitern (Arbeit mittels Studentenwerk, Praktikum, freie Mitarbeiter unter Vertrag) behandeln wird aufgrund des legitimen Interesses der Notwendigkeit zur Vollziehung des Vertrages.
IT Dienstleistungen FACTORY X
– wenn wir die Vollzieher der Verarbeitung sind, werden personenbezogene Daten gesammelt und verarbeitet, so wie auch besondere Kategorien von personenbezogenen Daten, falls solche vorhanden sind.
Verwirklichung von Kommunikation
– personenbezogene Daten verarbeiten wir ausschließlich anhand der freiwilligen Einwilligung, welches die Befragten zum Zweck von Anfragenstellung und dem Bekommen von Neuigkeiten gegeben haben.
Webseiten Besucher
– zum Zweck der Verbesserung der Benutzererfahrung während des Webseitenbesuches sammeln wir personenbezogene Daten indirekt in Form von „Cookies“.
Für jedes Datenverarbeitungssystem, entsprechend der internen Methodologie, wird eine Datenklassifikation durchgeführt. Anhand dieser Klassifikation wird bei risikohaften Systemen die Datenschutz-Abschätzung durchgeführt (DPIA Engl. Data Protection Impact Assessment) mit dem Ziel des Bestimmens, ob diese Verarbeitungsverfahren ein hohes Risiko für die Rechte und Freiheiten der Befragten darstellen.
Da der Privatsphärenschutz bei Kindern umso wichtiger ist, verarbeiten, sammeln und benutzen wir keine Informationen von Personen, über welche uns bekannt ist, dass sie jünger als 16 Jahre sind, ohne dass eine glaubwürdige Bewilligung des rechtlichen Vertreters beigelegt wurde. Der rechtliche Vertreter hat das Recht Einsicht in die gesammelten Daten des minderjährigen zu bekommen und die Erfüllung der Rechte des Befragten zu ersuchen.
6. Sicherheit
Factory X bewahrt die eingesammelten Daten in Physischer und/oder digitalen Form auf und sie sind anhand geltender Standard und technischen Möglichkeiten geschützt. Alle personenbezogenen Daten werden in digitaler Form auf Servern mit Passwörtern und begrenzten Zugriff der Angestellten aufbewahrt. Alle Physischen Daten werden in verschlossenen und mit Alarmanlagen gesicherten Räumen aufbewahrt.
7. Arten der Einsammlung von personenbezogenen Daten
Jede Einsammlung von personenbezogenen Daten basieren wir auf legitimen Interesse und geschäftlich begründetem Zweck. Jede Verarbeitung personenbezogener Daten basiert auf gesetzlicher und transparenter Verarbeitung, wobei die Legitimität der Rechte der Befragten einbehalten wird.
Die Daten sammeln wir aufgrund:
- Des Einverständnisses mittels Einwilligung.
- Der Realisation der Rechte, die aus dem Arbeitsverhältnis folgen (notwendig für die Vollstreckung des Vertrages).
- Der Zusammenarbeit mit freien Mitarbeitern (notwendig für die Vollstreckung des Vertrages).
- Der Geschäftsbeziehungen mit Lieferanten, Benutzern und Bestellern (notwendig für die Vollstreckung des Vertrages).
- Das Ermöglichen und die Absicherung der üblichen Geschäftstätigkeit (Backup, Informationsystem, Rechner-Netzwerk und Eigentum und Arbeitstagebücher) (legitimes FACTORY X Interesse).
Die Kategorien der Befragten werden wie folgt sortiert:
EINSTELLUNGSKANDIDATEN BEI FACTORY X:
es gibt zwei Hauptverfahren des Einsammelns der personenbezogenen Daten:
- direkt vom Befragten
- von einer dritten Partei (vorherige Arbeitsgeber, Amt für Rentenversicherung))
Die Befragten-Informationen sammeln wir mittels Einwilligung während der Anmeldung zur Arbeitsbewerbung. Solche personenbezogenen Daten müssen wir im Verarbeitungsprozess des Arbeitsbewerbers verarbeiten, um den Kandidaten zu bewerten und um eine Entscheidung zu fällen
ANGESTELLTE BEI FACTORY X:
bei ihnen gibt es zwei Datensammelverfahren:
- direkt vom Befragten
- von einer dritten Partei (Amt für Krankenversicherung, Amt für Rentenversicherung)
Der Umfang und der Zweck des Verarbeitens der personenbezogenen Daten der Angestellten beruht auf gesetzlichen Vorschriften und sie sind unerlässlich für das Beachten der rechtlichen Verpflichtungen von FACTORY X als den Verarbeitungsvollzieher, so wie das Beanspruchen der Arbeitsverhältnisrechte. Die Daten werden aufgrund des Arbeitsvertrages eingesammelt. Weitere Zwecke der Einsammlung personenbezogener Daten sind die Ermöglichung einer professionellen Entwicklung der Angestellten durch verschieden Formen von Edukationen und Trainings, Fortschrittsbeobachtung neuer Angestellter. Dies alles wird mit dem Ziel gemacht, dass FACTORY X zufriedene, motivierte und produktivere Mitarbeiter hat.
FREIE MITARBEITER:
Befragte deren Daten aufgrund des legitimen Interesses zur Vertragsdurchführung (Studenten, Praktikanten und andere freie Mitarbeiter) eingesammelt werden, werden wie folgt verarbeitet:
- direkt: Daten die aus dem Vertrag der Zusammenarbeit entnommen wurden
- direkt von Personen aufgrund der Einwilligung die Factory X gegeben wurde, die keinen direkten Vertrag abschließen, sondern die über einen Vermittler (z.B. Studentenvertrag) die Zusammenarbeit antreten.
KÄUFER UND LIEFERANTEN:
Käufer-und Lieferantendaten sammeln und verarbeiten wir wegen der notwendigen Vertragsdurchführung mit FACTORY X:
- Direkt von Ihnen: Daten die durch das Beidseitige Arbeitsverhältnis bekommen wurden und die unerlässlich für die Durchführung der Vertragsverpflichtungen sind.
- Indirekt: Daten die durch die Prozesse der Vertragsbeziehung gewonnen wurden, die notwendig für die Durchführung der Vertragsverpflichtungen zwischen FACTORY X und der Käufer oder Lieferanten sind.
VERFOLGER DIGITALER KOMMUNIKATIONSKANALE:
Daten über sie werden wie folgt eingesammelt:
- direkt von ihnen: Daten die aufgrund der freiwilligen Einwilligung mittels der Webseiten factory-x.hr und factory-x.hr Domäne gegeben und eingesammelt wurden (https://www.factory-x.hr/, https://www.domis.factory-x.hr/, https://worktracker.factory-x.hr/ ).
BESUCHER DER INTERNETSEITEN:
Daten über sie werden indirekt während des Besuchs der FACTORY X Internetseiten eingesammelt.
Falls Sie mehr über die Daten herausfinden möchtet, die wir von Ihnen beim Besuch der FACTORY X Internetseiten einsammeln, dann schauen Sie sich die Nutzungsbedingungen auf der Webseite factory-x.hr und aller dazugehörender Subdomains an.
8. Prinzipien und Zwecke der Verarbeitung personenbezogener Daten
Wir führen eine ausschließlich gesetzliche, faire und transparente Verarbeitung personenbezogener Daten durch, die wir zu besonderen, expliziten und gesetzlichen Zwecken einsammeln. In der eigentlichen Verarbeitung werden hauptsächlich automatisierte Prozesse anwenderischer Verarbeitung benutzt. Dort wo dies nicht möglich ist, wird die Verarbeitung manuell durchgeführt.
FACTORY X ist für die Verarbeitung der eingesammelten Daten verantwortlich. Die Verarbeitung und die Verarbeitung der Daten ist notwendig für die Bietung der Vertragsdienstleistung und wird ausschließlich zur Durchführung der oben genannten Zwecke eingesetzt.
FACTORY X führt weder umfassende Verarbeitung personenbezogener Daten durch, noch führt FACTORY X systematische und umfassende Einschätzungen personenbezogener Aspekte aufgrund automatisierter Verarbeitung oder Anfertigung von Profilen durch.
Den Kategorien der Befragten nach, führt FACTORY X die Verarbeitung ausschließlich zu folgenden Zwecken durch:
ANSTELLUNGSKANDIDATEN BEI FACTORY X:
der Zweck der Verarbeitung ist die Einsammlung allgemeiner Informationen der Kandidaten und die Einschätzung der Kandidaten. Wir sammeln einen minimalen Umfang an Daten, der notwendig für die Selektion ist. Das Ausmaß der Daten die wir eisammeln müssen, hängt von der angestrebten Arbeitsstelle und der Art des Selektionsverfahren ab (z.B. Psychotest, Test des fachlichen Wissens, Interview u.ä.). In dieser Kategorie verarbeiten wir keine besonderen Kategorien personenbezogener Daten, außer im Falle, dass ein Psychotest für die ausgeschriebene Arbeitsstelle notwendig ist. In diesem Fall wird FACTORY X von jedem Kandidaten eine besondere Einwilligung beantragen, die in die Verarbeitung besonderer Kategorien unterfällt. Dies wird ausschließlich zum Zweck des Einstellens angemeldeter Kandidaten an bestimmte Arbeitsstellen durchgeführt. Das Ziel dieser Verarbeitungen ist die Wahl eines Kandidaten auf einer je objektiveren Basis wie möglich und das vermeiden jeglicher Form von Diskrimination. Hiermit wird die Wahl des Kandidaten, der aufgrund seiner Erfahrung, Ausbildung, Kenntnisse und Fähigkeiten am besten für die entsprechende Arbeitsstelle ist, gesichert.
ANGESTELLTE BEI FACTORY X:
Der Zweck der Verarbeitung ist die Realisation der Arbeitsverhältnisrechte und die Harmonisierung mit den rechtlichen Anforderungen, der Verarbeitung während der Arbeitsmittelnutzung, die Entwicklungsverfolgung und die Kompetenzverbesserung der Angestellten, das Ermöglichen der sachlichen Entwicklung der Angestellten durch verschiedene Arten von Edukationen, Trainings und Konferenzen, das Verfolgen der Entwicklung neuer Angestellter, so wie das Verfolgen der Zufriedenheit der Mitarbeiter (der die angestellt sind und der die das Unternehmen verlassen) mit jeweiligen Arbeitsaspekten bei FACTORY X. Dies alles wird gemacht, damit FACTORY X fachliche, zufriedene, motivierte und somit produktivere Mitarbeiter einstellt. Der Zweck des Dateneinsammelns ist auch das Verfassen verschiedener Mitarbeiterberichte (das Verfolgen der Edukationsarten der Angestellten, Zahl der Teilnehmer an einer Veranstaltung, die Ausgabenüberwachung der Edukationen u.ä.), das Erfüllen der Verpflichtungen des Arbeitsgebers im Falle des Vereinbarens und der Realisation zusätzlicher Mitarbeiterprivilegien (zusätzliche Krankenversicherung, Benutzung der Geschäftsbankkarte u.ä.) Im notwendigen Umständen verarbeiten wir besondere Datenkategorien, die sich auf die Realisation der Mitarbeiterrechte beziehen (Krankenurlaub, Medizin-und Schwangerschaftsdaten), so wie die notwendige Verarbeitung der Absicherung des legitimen Interesses von FACTORY X als den Verarbeitungsleiter.
FREIE MITARBEITER:
Die Befragten deren Daten wir wegen der Vertragsdurchführung einsammeln (Studenten, Praktikanten, andere Arten freier Mitarbeiter oder mit bestimmten Einverständnis besondere Kategorien freier Mitarbeiter.) Alle internen Regeln die wir auf die Angestellten anwenden, werden auch bei der Verarbeitung personenbezogener Daten freier Mitarbeiter angewendet.
KÄUFER UND LIEFERANTEN:
Die eingesammelten Daten werden nur für den Bedarf der Ausführung der Vertragsverpflichtungen verarbeitet. Wir führen nur die für die Geschäftsabwicklung notwendigen Verarbeitungen aus.
VERFOLGER DIGITALER KOMMUNIKATIONSKANALE:
Die eingesammelten Daten werden nur zum Zweck der Kommunikationsrealisation mit Euch verarbeitet.
BESUCHER DER WEBSEITEN:
der Zweck der Verarbeitung ist die Verbesserung der Nutzererfahrung während des Besuchs der FACTORY X Webseiten. Personenbezogene Daten sammeln wir indirekt in Form von „Cookies“ während des Webseitenbesuchs. Daten die wir erfassen: Die Art und Weise wir Ihr unsere Webseiten nutzt, Häufigkeit der Besuche und die Zeit zu welcher unsere Webseiten am meisten besucht werden.
9. Zeitraum der Datenaufbewahrung
Die personenbezogenen Daten verarbeiten wir sorgfältig und mit hohem Maße an Sicherheit. Wir beachten die Sicherstellung der Rechte aller Befragten im Einklang mit den gesetzlichen Vorschriften und Anforderungen der Befragten. Für jeden Verarbeitungszweck bestimmen wir den Datenaufbewahrungszeitraum, wobei wir alle personenbezogenen Daten nach Ablauf des Vertragsverhältnisses oder anderen anwendbaren Vorschriften löschen (z.B. Arbeitsgesetz, Bilanzbuchhaltungsgesetz, Steuergesetz, Gesetz zur Aufbewahrung und Speicherung).
Zu jedem Zeitpunkt ist es möglich die Information über Eure personenbezogenen Daten über die wir verfügen aufzurufen und eine Änderung oder Aktualisierung jener zu fordern. Bevor wir Zugang auf die Daten nehmen, werden wir jedem Antragsteller die Identität und die Rechtfertigkeit des Antrags feststellen. Falls wir gesetzlich zur Antragsablehnung verpflichtet sind, werden wir dies auch machen und über die Gründe werden wir Auskunft geben.
Die Daten können wir nicht löschen:
Falls sie für die Durchführung der Vertragsverpflichtungen notwendig sind, oder wegen anderen gesetzlichen Anforderungen (z.B. Bilanzbuchhaltungsgesetz).
Den Kategorien der Befragten nach, bewahrt FACTORY X die personenbezogenen Daten wie folgt auf:
EINSTELLUNGSKANDIDATEN BEI FACTORY X:
ein Jahr lang nach Ablauf der Ausschreibung, auf die sich der Kandidat gemeldet hat, wegen der Kostenreduzierung die anhand der erneuerten Datensammlung auftritt im Falle einer wiederholten Ausschreibungsanmeldung für eine Arbeitsstelle, bzw. 60 Monate vom Anmeldungstermin mittels Initiativbewerbungen.
ANGESTELLTE BEI FACTORY X:
Die Daten werden nach der Kündigung des Arbeitsverhältnisses gemäß den gesetzlichen Rahmenbedingungen aufbewahrt. Nach Ablauf der Verpflichtungen die aus den geltenden Gesetzen hervorgehen (z.B. Arbeitsgesetz, Bilanzbuchhaltungsgesetz, Steuergesetz, Gesetz zur Aufbewahrung und Speicherung), werden die Daten gelöscht.
FREIE MITARBEITER:
Die Daten bezüglich der freien Mitarbeiter werden so lange aufbewahrt, wie es per gesetzlichen Verarbeitung notwendig ist. Nach Ablauf des Bedarfs zur Verarbeitung und der gesetzlichen Anforderungen (z.B. Arbeitsgesetz, Bilanzbuchhaltungsgesetz, Steuergesetz, Gesetz zur Aufbewahrung und Speicherung), werden die Daten gelöscht.
KÄUFER UND LIEFERANTEN:
Daten von Käufern und Lieferanten werden innerhalb des geschäftlichen Vertragsverhältnisses verarbeitet und aufbewahrt. Nach Ablauf der Vertragsverpflichtungen und der gesetzlichen Verpflichtungen (z.B. Arbeitsgesetz, Bilanzbuchhaltungsgesetz, Steuergesetz, Gesetz zur Aufbewahrung und Speicherung) zur Datenaufbewahrung, werden personenbezogene Daten anonymisiert oder gelöscht.
VERFOLGER DIGITALER KOMMUNIKATIONSKANALE:
Der Zeitraum innerhalb welchem die Daten aufbewahrt werden, bezieht sich auf die Dauer der Einwilligung. Ihre Daten werden von FACTORY X so lange aufbewahrt, bis sie die Datenlöschung beantragen oder bis die Einwilligung ihrerseits aufgelöst wird.
WEBSEITEN BESUCHER:
die durch „Cookies“ eingesammelten Daten werden gemäß den Einstellungen der Internet-Suchmaschine des Nutzers aufbewahrt.
10. FACTORY X Daten und Systeme
FACTORY X benutzt Systeme, Technologien und eine gute Praktik, welche das übliche Geschäftsausüben und die gesetzliche Datenverarbeitung (Sicherheitskopien, Adressbücher und Netzverzeichnisse, Rechner-Netzwerk, Hardware-Infrastruktur, Applikationen und Datenbasis) sichern und ermöglichen.
Den definierten Methoden und Zwecken nach (gemäß Verordnung Artikel 35. Absatz 7.), wird für jedes System eine Anfangsbewertung und eine Klassifikation gemacht, was eine einheitliche Bewertung auf die Sicherheitsauswirkung (DPIA) hat. Aufgrund der einheitlichen Bewertung der Sicherheitsauswirkung und des Verarbeitungsrisikos konstatieren wird Sicherheitsmaßnahmen. Alle FACTORY X IT Dienstleistungen werden gemäß der internen Methodologie und den Verordnungsanforderungen klassifiziert, so dass die Art der Daten, unsere Teilnahme und Rolle bei der Verarbeitung und Verantwortungsstufe in Absicht genommen werden.
Für jedes Anwendung System haben wir verantwortliche Personen und Administratoren bestimmt. Es wurden entsprechende organisatorische und technische Sicherheitsmaßnahmen unternommen, so dass die Übereinstimmung mit der Verordnung gewährleistet ist. Aufgrund der Verarbeitungs-und Dateneinschätzung wurde das Datenschutzrisiko bestimmt und es wurden bestimmte Maßnahmen und Schutzmechanismen zur Senkung des eingeschätzten Risikos eingeführt. Die Einschätzung wurde anhand der Verarbeitungszwecke durchgeführt.
Unser bestehendes Informationssicherheitsystem haben wir mit Anforderungen der Verordnung synchronisiert, womit wir die angemessene Sicherheitsstufe für die Verarbeitung der personenbezogenen Daten sicherstellen. Unser Ziel ist es zu gewährleisten, dass die Daten sicher, wahr und zugänglich sind. Während der Synchronisation mit der Verordnung haben wir alle nötigen Maßnahmen getroffen, um die Anforderungen der Verordnung auszuführen. Mittels dieser Politik übermitteln wir in FACTORY X auf klare und transparente Art und Weise alle notwendigen Informationen über die Verarbeitungshandlungen bezüglich personenbezogener Daten.
Der Handlungsprozess bei Sicherheitsinzidenten ist in alle unsere Verarbeitungsverfahren implementiert und stellt einen der Grundsätze der Informationssicherheit dar. Dies ermöglicht uns eine effektive und stetige Systemüberwachung, so wie das rechtzeitige detektieren von Unregelmäßigkeiten und eventueller Verletzung personenbezogener Daten.
11. Spezifische Einzelheiten der IT-Dienstleistung
FACTORY X wendet für jedes seiner Produkte oder Dienstleistungen angemessene Sicherheitsmaßnahmen an, die regelmäßig in der Geschäftsführung präsent sind und welche die Übereinstimmung mit der Verordnung ermöglichen.
11.1. FACTORY X als Transaktions-Manager
Für die Verarbeitung personenbezogener Daten, wo wir in der Rolle des Transaktions-Managers sind, haben wir Verzeichnisse und Aktivitäten identifiziert. Für Verzeichnisse, die als Risiko eingeschätzt werden, wird die „Effektivitätsbewertung der Sicherheit personenbezogener Daten“ durchgeführt. Die Anwendungssysteme, in denen die Verarbeitung durchgeführt wird, wird als hohes Risiko für die Rechte und die Freiheiten von Personen in Form personenbezogener Daten eingeschätzt.
11.2. FACTORY X als Realisator der Verarbeitung
„Realisator der Verarbeitung“ ist eine natürliche oder juristische Person, eine Behörde, Agentur oder eine andere Entität welche die personenbezogenen Daten für den Verarbeitungsleiter verarbeitet. FACTORY X hat die Funktion des Realisators der Verarbeitung für bestimmte IT Dienstleistungen, die an den Besteller geliefert werden oder das Warten eines bestehenden Systems, wo FACTORY X der Realisator der Verarbeitung im Sinne der Verordnung ist.
FFACTORY X hat für jedes Produkt und für jede Dienstleistung, wo er als Realisator der Verarbeitung erscheint, eine Vertragsbindung zum Verarbeitungsleiter. Mit dem Vertrag sind Gegenstand, Dauer, Art und Verarbeitungszweck, so wie auch die Art personenbezogener Daten und die Kategorie der Befragten, so wie die Verpflichtungen und Rechte des Verarbeitungsleiters definiert.
Die Arten jeder Verarbeitung, die wir als Realisator der Verarbeitung durchführen, beziehen sich auf alle Aktivitäten technischer, logischer und organisatorischer Maßnahmen und der Sicherheitsführung implementiert bei FACTORY X. Jedem Realisator der Verarbeitung bieten wir eine vernünftige Sicherstellung und Verarbeitung personenbezogener Daten aufgrund der übermittelten Vertraglichen Anforderungen und unserer Aktivitäten bezüglich der Verordnungsanforderungen innerhalb unserer Dienstleistungen.
Dem Antrag des Verarbeitungsleiters nach, löschen oder geben wir dem Leiter alle personenbezogenen Daten zurück.
Dem Verarbeitungsleiter werden alle notwendigen und beweisführenden Informationen, die für den Realisator der Verarbeitung bestimmt sind, zur Verfügung gestellt. Falls notwendig oder falls der Verarbeitungsleiter es verlangt wird eine Revision oder Inspektion ermöglicht.
Dem Verarbeitungsleiter werden wir alle Informationen zur Verfügung stellen, die unabdingbar für das Beweisen der gesetzmäßigen Einhaltung bei der Verarbeitung personenbezogener Daten ist.
FACTORY X hat sichergestellt, dass sich die für die Verarbeitung personenbezogener Daten befugten Personen auf Vertraulichkeit verpflichtet haben. Weiterhin werden sie die Legitimität und den Verarbeitungszweck durchführen. Es werden auch angemessene technische und organisatorische Maßnahmen unternommen. Dies alles wird mit dem Ziel gemacht, damit der Verarbeitungsleiter alle Anforderungen der personenbezogenen Rechte der Befragten erfüllt.
12. Technisch notwendige „Cookies“
Bei allen Besuchen unserer Webseiten, damit diese auch richtig funktionieren können, wird automatisch die minimale Menge an Informationen in Form von Cookies auf dem Rechner oder mobilem Gerät gespeichert.
Die Cookies sind die Informationen die auf dem Rechner oder dem mobilen Gerät während des Besuchs der Webseite gespeichert werden. Die Cookies ermöglichen die einfachere Benutzung, da sie Ihre Einstellungen für die Webseite (Sprache oder Adresse) speichern.
Außer den einfacheren Informationen, können die Cookies auch personenbezogene Daten (einschließlich der IP Adresse) speichern. FACTORY X wird mittels der Cookies keine personenbezogenen Daten einsammeln. Im Fall, dass die Einsammlung der personenbezogenen Daten notwendig sein wird, wird eine entsprechende Bewilligung bzw. Einverständnis zur Einsammlung personenbezogener Daten gemäß der Verordnung ersucht.
Die Aktivitäten des Speicherns und des Schickens der Cookies sind dem Endnutzer nicht sichtbar doch sie können per Suchmaschine eingestellt werden. Durch Zustimmen oder Ablehnen der Anfrage zum Speichern der Cookies, löschen von ausgewählten Cookies und andere Aktivitäten bezüglich der Nutzung von Cookies kann dies eingestellt werden. Mehr Informationen erhalten Sie über den Link (Cookie-Bedingungen für Webbrowser).
13. Weiterleitung personenbezogener Daten
Die eingesammelten Daten können an unsere Realisatoren der Verarbeitung gesendet werden:
- Zum Zweck der Buchhaltung – Mitarbeiterdaten, Kontodaten
- Zum Zweck des Arbeitsschutzes – Mitarbeiterdaten
Google Analytics
Google Analytics ist ein Werkzeug zur Einsammlung anonymer Nutzerdaten unserer Webseiten, das Daten über die Häufigkeit der Besuche unserer Webseiten einsammelt, darüber welche Seiten besucht werden, zu welcher Zeit sie besucht werden, wie lange man sich dort aufhält, aus welchem Land man kommt usw. Dies ist mittels Cookies und IP Adressen zu folgenden Zwecken möglich:
- wegen besserer Benutzererfahrung,
- wegen der Verfolgung von Marketingkampagnen
- wegen der Analyse von Verhaltensmusstern.
Falls Sie Google Analytics ausschalten möchten, können Sie Googles Erweiterung für ihre Suchmaschine installieren. Die Erweiterung können Sie hier übernehmen: https://tools.google.com/dlpage/gaoptout.
Weitere Informationen darüber wie Google die eingesammelten Daten verwendet können Sie hier finden: https://policies.google.com/technologies/partner-sites?hl=de&gl=uk.
Benchmark
Ihre personenbezogenen Daten werden wir anlässlich des Verschickens unseres Newsletters und unserer E-Mail-Werbenachrichten nur im Falle ihres Ausdrücklichen Einverständnisses einsammeln und verarbeiten, welches Sie auf unserer Webseite zu jeder Zeit aufheben oder ändern können info@factory-x.hr.
Für das Verschicken des Newsletters benutzen wir den Service Benchmark, wessen Politik zu personenbezogenen Daten Sie hier finden können: https://www.benchmarkemail.com/email-marketing/privacy-policy.
14. Datenübertragung außerhalb der EU
FACTORY X kann als Verarbeitungsleiter bestimmte Segmente der Verarbeitung an andere Partner übertragen, welche rechtliche Entitäten außerhalb der EU (gemäß Abschnitt V. der Verordnung) sind. Im Falle der Datenübertragung wird FACTORY X gemäß Artikel 13 dieser Datenschutz-Bestimmung handeln. Falls Übertragungen außerhalb der EU geschehen, werden wir für alle personenbezogenen Daten sicherstellen, dass die Sicherheitsstufe, die durch die Verordnung gesichert ist, nicht gefährdet wird.
Datenübertragung außerhalb der EU basieren wir auf der Verordnung-Bestimmung:
Übertragung die entsprechenden Sicherheitsmaßnahmen entspricht: für die Übertragung an ungenehmigte Drittländer, angemessene Gebiete, muss der Verarbeitungsleiter entsprechende Sicherheitsmaßnahmen unternehmen und den Befragten das Vollstrecken ihrer Rechte und einen effektiven gerichtlichen Schutz ermöglichen.
Für jede Datenübertragung an Drittländer außerhalb der EU, wird FACTORY X die entsprechende Sicherheitsstufe (Verschlüsselung) sicherstellen und wird im jeweiligen Land den Befragten die durchführbaren Rechte und den gerichtlichen Schutz versichern. FACTORY X hat die vertragliche Beziehung mit allen Partnern, an welche die Daten außerhalb der EU gemäß des Artikels 47. der Verordnung übertragen werden.
15. Verwaltung der Einverständnisse
Falls wir ein Einverständnis zur personenbezogenen Datenverarbeitung bekommen haben, kann dieses jeder Zeit zurückgezogen werden. In jedem Moment kann man der personenbezogenen Datenverarbeitung der Befragten beanstanden. Das Geben, Zurückziehen oder die Änderung des Einverständnisses wird gemäß der Benutzerrechte, die im Artikel 16. dieses Regelwerks definiert werden, durchgeführt. Während der Beanstandung der personenbezogenen Datenverarbeitung, können diese Daten nicht in der Verarbeitung benutzt werden.
Falls Sie das Einverständnis zurückziehen oder unsere Verarbeitung Beanstanden, werden Ihre Daten nicht in der üblichen Verarbeitung benutzt, was als Resultat eine unvollständige Dienstleistung haben kann.
Falls man erneut das Einverständnis zur Verarbeitung einreichen möchte, kann man das so machen, wie es im ersten Abschnitt dieses Artikels beschrieben ist.
16. Befragtenrechte
Jeder Befragte hat das Recht auf Korrektheit der Informationen, Legalität der Verarbeitung und Zugang zu den Informationen den Verordnungsdefinitionen nach. Allen Befragten werden korrekte Daten zur Identität und zum Kontakt des Verarbeitungsleiters gegeben.
Jeder Befragte, dessen personenbezogenen Daten wir verarbeiten, hat das Recht auf:
Zugangsrecht
Der Befragte kann eine Bestätigung (Artikel 15. der Verordnung) für die jeweiligen Zwecke der Verarbeitung bekommen, darüber ob seine personenbezogenen Daten verarbeitet werden. Falls solche Daten gemäß der Artikel 13. und 14. der Verordnung verarbeitet werden, wird der Zugang zu den personenbezogenen Daten und den folgenden Informationen des jeweiligen Verarbeitungszwecks wie folgt eingeteilt: (i) nach Verarbeitungszweck; (ii) nach der personenbezogenen Datenkategorie die in Frage steht; (iii) nach dem Empfänger oder den Empfängerkategorien, wessen personenbezogene Daten bekannt sind oder erst enthüllt werden, insbesondere den Empfängern in Drittländern oder in internationalen Organisationen.
Recht zur Korrektur: Falls wir personenbezogene Daten verarbeiten die unvollständig oder unkorrekt sind, können Sie zu jeder Zeit deren Korrektur oder deren Ergänzung beantragen.
Recht auf Löschung („Recht auf Vergessenwerden“)
Sie können das Löschen Ihrer Daten beantragen, für die FACTORY X der Verarbeitungsleiter ist. Diese Daten werden wir anhand eines berechtigten Antrags löschen, falls eine der folgenden Bedingungen erfüllt wird: (i) die personenbezogenen Daten sind nicht mehr, für die Zwecke oder andere Gründe für welche sie sie eingesammelt wurden, notwendig; (ii) das Einverständnis, aufgrund wessen die Verarbeitung basierte, wurde zurückgezogen. Es besteht keine weitere rechtliche Grundlage zur Verarbeitung; (iii) der Befragte beanstandet die Verarbeitung oder es besteht keine stärkeren legitimen Gründe für die Verarbeitung; (iv) die personenbezogenen Daten wurden illegal verarbeitet; (v) die personenbezogenen Daten müssen wegen rechtlichen Verpflichtungen, die dem Unionsrecht oder dem rechtlichem Rahmen des Mitgliedstaates des Verarbeitungsleiters entspringen, gelöscht werden;
Recht auf begrenzte Verarbeitung
der Befragte hat das Recht auf begrenzte Datenverarbeitung, falls eine der folgenden Bedingungen erfüllt wird: (i) Anfechtung der Richtigkeit der personenbezogenen Daten, innerhalb eines Zeitraumes, zu welchem es dem Verarbeitungsleiter möglich ist, die Richtigkeit der personenbezogenen Daten zu überprüfen; (ii) die Verarbeitung ist illegal und der Befragte weigert sich zum Löschen der Daten, anstatt dessen ersucht er ihre begrenzte Benutzung; (iii) der Verarbeitungsleiter braucht die personenbezogenen Daten nicht mehr für die Verarbeitung, aber der Befragte ersucht sie wegen der Festlegung, Verwirklichung oder Verteidigung von rechtlichen Anforderungen; (iv) der Befragte beanstandet die Verarbeitung und erwartet die Bestätigung, ob die legitimen Gründe des Verarbeitungsleiters die Gründe des Befragten überschreiten;
Recht auf Datenübertragung
Der Befragte hat das recht Daten zu empfangen, die sich auf ihn beziehen, die er dem Verarbeitungsleiter in einem strukturierten, gängig benutzten und geräteablesbaren Format gegeben hat. Weiterhin hat der Befragte das recht diese Daten einem anderen Verarbeitungsleiter zu übermitteln, ohne dass der Verarbeitungsleiter, dem die personenbezogenen Daten gegeben wurden, dieses Übermitteln behindert. Dies gilt Falls: (i) die Verarbeitung auf dem Einverständnis oder dem Vertrag basiert; (ii) die Verarbeitung automatisiert erfolgt; (iii) aufgrund rechtlicher Verpflichtungen.
Während der Verwirklichung Ihrer Rechte auf Datenübertragung aufgrund dieses Punktes haben Sie das Recht auf direkte Datenübertragung von einem Verarbeitungsleiter auf den nächsten, falls dies rechtlich begründet und technisch durchführbar ist.
Beanstandungsrecht
Als Befragter haben zu jedem Zeitpunkt das Recht auf Beanstandung der Verarbeitung personenbezogener Daten, die sich auf Sie beziehen. Vom Zeitpunkt des Empfangs ihrer Beanstandung, werden wir Ihre personenbezogenen Daten nicht mehr Verarbeiten, es sei denn, wir beweisen das Bestehen überzeugender und legitimer Gründe für die Verarbeitung, die die Interessen, Rechte, und Freiheiten der Befragten überschreiten oder wegen der Festlegung, Verwirklichung oder Verteidigung von rechtlichen Anforderungen.
Im Falle, dass Sie mit unserer Reaktion auf Ihre Beanstandung nicht zufrieden sind, können Sie immer dem nationalen Datenverarbeitungsamt (AZOP) einen Einwand einlegen. Nach der Beanstandung darf FACTORY X in der Rolle der Daten Verarbeiters nicht mehr personenbezogene Daten verarbeiten, es sei denn, wir beweisen das Bestehen überzeugender und legitimer Gründe für die Verarbeitung, die die Interessen, Rechte, und Freiheiten der Befragten überschreiten oder wegen der Festlegung, Verwirklichung oder Verteidigung von rechtlichen Anforderungen, worüber wir Ihnen Bescheid geben werden.
17. Kontakt – Zurückziehen des Einverständnisses, Korrektur und Zugang zu Ihren personenbezogenen Daten
FACTORY X hat als Verarbeitungsleiter das Recht auf den Interesseschutz des Verarbeitungsleiters und des Befragten, daher:
- Führt FACTORY X Aktivitäten zur Identitätsfeststellung des Antragsstellers durch.
- Gültige Anfragen werden nur durch definierte Kommunikationskanäle und -muster akzeptiert.
- Wertet FACTOTY X die Begründung der Anfragen aus und antwortet auf die Anfrage.
- Durchführen der Feststellung vom Übermaß an Anfragen und falls einige der Rechte im Übermaß benutzt werden und mit offensichtlichem Vorhaben zum Missbrauch, können wir eine administrative Gebühr berechnen oder es ablehnen die Anfrage zu verarbeiten.
Kommunikationsarten anhand welcher Sie als Befragter Ihre Rechte ausüben können (Formular).
18. Gesetzliche Rahmenbedingungen
Gesetzliche Rahmenbedingungen auf welchen der Schutz personenbezogener Daten bei FACTORY X beruht
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),
Gesetz zur Durchführung der allgemeinen Verordnung für Datenschutz (NN 42/2018)
Gesetz für Verbraucherschutz (NN 41/2014, 110/2015)
Version 01, 25.5.2018.