DSGVO-Politik
ALLGEMEINE POLITIK ZUM SCHUTZ DER PERSONENBEZOGENEN DATEN
BEI DER UNION IVKONI EOOD (GmbH)
1. Einführung
1.1. Allgemeine Bestimmungen
Die vorliegende allgemeine Politikzum Schutz derpersonenbezogenen Daten (unten die „Politik” genannt) regelt die Tätigkeiten für die Verarbeitung personenbezogener Datenvon der Union Ivkoni EOOD (GmbH) mit einheitlichem Identifikationscode: 121444454, mit Sitz und Geschäftsanschrift: Stadt Sofia 1000, Tsar-Ivan-Shishman-Str. Nr. 17, (unten die „Gesellschaft” und/oderden „Verantwortlichen”), hinsichtlich der Kategorien Subjekte personenbezogener Daten, die darin angegeben sind, zwecks der Garantierung der Übereinstimmung dieser Verarbeitung mit den Anforderungen der VERORDNUNG (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, unten die „Verordnung“ genannt), sowie auch aller anwendbaren Durchführungsverordnungen der Europäischen Union (EU) und des nationalen Rechts im Bereich des Schutzes der personenbezogenen Daten. Die vorliegende Politik wird in allen Angelegenheiten im Zusammenhang mit dem Schutz der personenbezogenen Daten, für die sonstige ausdrücklich oder spezielle Regulierung gemäß anderen Akten der Gesellschaft fehlt.
1.2. Die Politik bezweckt die Regelung und die Erfassung insbesondere folgender Angelegenheiten:
- die Tätigkeiten für die Verarbeitung personenbezogener Daten, die Kategorien Subjekte von Daten, in Hinsicht auf welche die Politik, die Prinzipien der Verarbeitungund die Verantwortlichkeiten im Zusammenhang mit der Verarbeitung angewendet werden;
- die Verpflichtungen der Personen, die unter der Leitung der Gesellschaft im Sinne des Art. 29 der Verordnung bei der Verarbeitung personenbezogener Daten handeln, und ihre Verantwortung bei Nichterfüllung dieser Verpflichtungen;
- Rechte der Subjekte von Daten und Prozedur für ihre Ausübung;
- Prozedur im Zusammenhang mit der Verarbeitung personenbezogener Datenaufgrund von Zustimmung der Subjekte von Daten;
- Regeln für Reaktion im Falle eines Verstoßes gegen die Sicherheit personenbezogener Daten;
- Die technischen und organisatorischen Maßnahmen zum Schutz derpersonenbezogenen Daten, die bei der Gesellschaft angewendet werden.
1.3. Information über den Verantwortlichen
Firma |
„ Union Ivkoni” EOOD (GmbH) |
|
|
Angaben zur Eintragung |
eingetragen ins Handelsregister und Register der juristischen Personen mit nichtwirtschaftlichem Zweck an der Eintragungsanstalt unter dem einheitlichen Identifikationscode: 121444454 |
|
|
Sitz und Geschäftsanschrift |
Stadt Sofia 1000, Tsar-Ivan-Shishman-Str. Nr. 17 |
|
|
Unternehmensgegenstand |
Binnen- und Außenhandel, Reiseveranstalter- und Touragenturtätigkeit, Vertretung, Vermittlung und Agentur in- und ausländischer natürlicher und juristischer Personen, Vornahme von Vermittlungstätigkeit für Beschäftigung von Arbeitskraft im In- und Ausland, Transport. Und Seditionsgeschäfte im In- und Ausland, Hotelgewerbe, Restaurantgewerbe, Herstellung von und Handel mit Wirtschaftsgütern, Lebensgütern, Lebensmittel- und Landwirtschaftsware, Herstellung, Übertragung und Handel mit elektrischer Energie, alle andere Handelsgeschäfte, die mit dem Gesetz nicht verboten sind. |
|
|
Datenschutzbeauftragter |
t.bolen@union-ivkoni.com |
2. Verwendete Begriffe und Abkürzungen
Alle Begriffe und Abkürzungen, die nicht ausdrücklich in der Politik definiert sind, haben die Bedeutung, die in der Verordnung festgelegt ist.
3. Tätigkeiten für Verarbeitung personenbezogener Daten
3.1. Prinzipien der Verarbeitung der personenbezogenen Daten
Die Bearbeitung der personenbezogenen Daten vom Verantwortlichen unterliegt folgenden Prinzipien:
- die personenbezogenen Datenwerden nur und ausschließlich beim Vorliegen einer der Grundlagen für Verarbeitung gemäß der Verordnungund/oder dem sonstigen anwendbaren Recht im Bereich der personenbezogenen Daten gewissenhaft und auf transparente Weise hinsichtlich des Subjekts der Daten verarbeitet (Prinzip der Gesetzmäßigkeit, Gewissenhaftigkeit und Transparenz);
- die personenbezogenen Datenwerden zu konkreten, ausdrücklich aufgeführten und legitimen Zwecken erhoben und werden weiter auf eine mit diesen Zwecken nicht vereinbare Weise nicht verarbeitet;
- die personenbezogenen Daten sind geeignet, verbunden mit und bis auf das Notwendige im Zusammenhang mit den Zwecken, für die sie verarbeitet werden (Prinzip der Zurückführung der Daten bis auf das Minimum);
- die personenbezogenen Daten sind genau und werden bei Bedarf in aktueller Form unterhalten. Der Verantwortliche unternimmt alle vernünftigen Maßnahmen, damit die rechtzeitige Löschung oder Korrektur ungenauer personenbezogener Daten garantiert wird, wobei die Ziele berücksichtigt werden, zu denen sie verarbeitet werden (Prinzip der Genauigkeit bei der Verarbeitung);
- die personenbezogenen Datenwerden in einer Form gespeichert, die die Identifizierung des Subjekts der Daten für einen Zeitraum ermöglicht, der nicht länger vom Notwendigen zu den Zwecken ist, zu denen die personenbezogenen Daten verarbeitet werden;
- die personenbezogenen Datenwerden auf eine Weise verarbeitet, die geeignetes Niveau der Sicherheit der personenbezogenen Daten garantiert, darunter Schutz gegen unerlaubte oder gesetzwidrige Verarbeitung und gegen zufälligen Verlust, Offenbarung, Vernichtung oder Beschädigung, wobei geeignete technische oder organisatorische Maßnahmen angewendet werden;
- die anzuwendenden organisatorischen und technischen Maßnahmen sichern ständige Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Beständigkeit der Systeme und Dienstleistungen zur Verarbeitung der personenbezogenen Daten.
3.2. Kategorien von Subjekten von Daten. Kategorien personenbezogener Daten und Ziele der Verarbeitung. Videoüberwachung
3.2.1. Der Verantwortliche ist berechtigt, personenbezogene Daten bezüglich seinen Kunden und anderen Subjekten von Daten zu verarbeiten, wie folgt:
- Kunden (natürliche Personen) der Gesellschaftals Beförderer, in Hinsicht auf die personenbezogene Datenverarbeitet werden dürfen wie drei Namen, Personenkennzahl, IP-Adresse, E-Mail, Telefonnummer, MAC-Adresse u.a.Die Verarbeitung personenbezogener Daten beruht auf dem Prinzip der Zurückführung der Daten auf das Minimum in Abhängigkeit von und zu den Zwecken der Erbringung der Dienstleistungen, die der entsprechende Kunde nutzt, wie Rabatt für Kinder und/oder Personen über einem bestimmten Alter (Personenkennzahl), Nutzung des Online-Systems der Gesellschaft zum Ankauf von Fahrkarten (IP-Adresse; E-Mail; Telefon; Daten, die mit den Gewohnheiten und den Bevorzugungen verbunden sind), Verwendung von Wi-Fi in den Bussen der Gesellschaft (MAC-Adresse) u.a. Die Ziele der Verarbeitung umfassen: (i). Erbringung der Dienstleitung zur Beförderung und/oder der zusätzlichen Dienstleistungen, einschließlich des Online-Ankaufs von Fahrkarten und der Nutzung der Website der Gesellschaft; (ii). Speicherung von Steuer- und Buchführungsregister; (iii). Erfüllung von gesetzgebenden Anforderungen; (iv). Gewährung von Rabatten an regelmäßige Kunden; (v). Zwecke, die mit den legitimen Interessen der Gesellschaft im Sinne der Verordnung verbunden sind;
- Kunden (natürliche Personen) der Gesellschaft als Reiseveranstalter, in Hinsicht auf die personenbezogene Daten verarbeitet werden dürfen wie drei Namen, Personenkennzahl, Daten von persönlichen Dokumenten (Personalauswies oder Reisepass entsprechend der gewählten Destination), Daten und Dokumente, die zu den Zwecken von Polizei-, Grenz-, Zollkontrollen oder Überprüfungen von einer entsprechenden öffentlichen Behörden notwendig sind, Visen- und/der andere Arten von Genehmigungsdokumenten, Auskunft über Familienbeziehungen und -verhältnisse (z.B.: in Hinsicht auf Touristen, die das 18. Lebensjahr nicht vollendet haben, mit Rücksicht auf die Einhaltung der Anforderung einer Elternzustimmung bei der Ausreise aus dem Lande; u.a.) Auskunft über Bankkonten (IBANbei Zahlung per Banküberweisung), Auskunft von Bedeutung für den Abschluss der medizinischen Versicherung bei der Reise in Form und Umfang, welche von der/den entsprechenden Versicherungsgesellschaft/-en und/oder durch das Gesetz verlangt sind, Information über Kontakte (z.B. E-Mail-Adresse, Kontaktadresse, Telefonnummer) sowie auch andere Daten wie IP-Adresse, МАC der Anlage u.a. Die Verarbeitung personenbezogener Daten beruht ganz auf dem Prinzip der Zurückführung der Daten auf das Minimum in Abhängigkeit von und zu den Zwecken der Erbringung der Dienstleistungen, die der entsprechende Kunde nutzt, wie Verwendung von Wi-Fi in den Bussen der Gesellschaft (MAC), Nutzung der Webseite der Gesellschaft (IP-Adresse; Daten, die mit den Gewohnheiten und den Bevorzugungen verbunden sind, u.a. Die Ziele der Verarbeitung umfassen: (i). Erbringung der beantragten Reiseveranstalterdienstleitung und/oder der zusätzlichen Dienstleistungen, einschließlich Nutzung der Webseite der Gesellschaft; (ii). Speicherung von Steuer- und Buchführungsregister; (iii). Erfüllung von gesetzgebenden Anforderungen; (iv). Gewährung von Rabatten an regelmäßige Kunden; (v). Direktes Marketing; (vi.) Zwecke, die mit den legitimen Interessen der Gesellschaft im Sinne der Verordnung verbunden sind;
- potenzielle, gegenwärtige und/oder ehemalige Angestellte der Gesellschaft. In Hinsicht auf die personenbezogenen Daten der genannten Subjekten von Daten kommt eine Politik zum Schutz der personenbezogenen Datender Angestellten der Gesellschaft zur Anwendung;
- sonstige natürliche Personen und natürliche Personen-Vertreter oder Kontaktpersonen juristischer Personen, die einen Kontakt mit der Gesellschat haben (darunter, aber (nicht nur Lieferanten, Geschäftskontakte, Subunternehmer, andere Kontrahenten und Geschäftspartner und sonstige ähnliche) zu den Zwecken der Erfüllung und/oder der Leitung der Tätigkeit derGesellschaft;
- andere natürliche Personen, Vertreter nach Gesetz oder Vollmacht, von natürlichen Personen – Kunden der Gesellschaft (z.B. Eltern unvolljähriger Personen bei Zustimmungen der Ausreise aus dem Land u.a.)
3.2.2. Die Gesellschaft hat ein Register der Tätigkeiten für die Verarbeitung personenbezogener Daten als Verantwortlicher geschaffen und unterhält es gemäß dem Art. 30 der Verordnung (unten das„Register“ genannt). Das Register ist ausführlich im P. 7. Der Politik beschrieben und enthält die Information, die in der Verordnung aufgeführt ist, einschließlich auch der konkreten Kategorien von Subjekten von Daten, der Kategorien personenbezogener Daten, der Zwecke und der Frist der Verarbeitung, die nach Tätigkeiten kategorisiert sind.
3.2.3. Die Gesellschaft speichert die personenbezogenen Daten für die längere zwischen den Perioden, die entweder für die Einhaltung der anwendbaren Gesetze und Durchführungsverordnungen notwendig sind, oder für eine andere Periode gemäß den Anforderungen, die gegenüber der Geschäftstätigkeit der Gesellschaft anwendbar sind. Die Verarbeitung der personenbezogenen Daten beruht auf dem Prinzip der Zurückführung der Daten auf das Minimum in Abhängigkeit von und zu den Zwecken der Erbringung der Dienstleistungen, die der entsprechende Kunde nutzt (wie z.B. Rabatt für Kinder und/oder Personen über einem bestimmten Alter (Personenkennzahl) u.a.). Ein Teil der Daten dürfen auch nach Beendigung der vom Kunden beantragten Dienstleistung zu den Zwecken der Gewährung von Rabatten an regelmäßige Kunden gespeichert werden.
3.2.4. Die Gesellschaft nimmt Videoüberwachung von öffentlich zugänglichen Zonen in den Ticketverkaufspunkten, den Büros und dem Servicebestand vor. Die Videoüberwachung wird entsprechend den Regeln des Verantwortlichen für Vornahme von Videoüberwachungen.
4. Kategorien von Empfängern von Daten
Der Verantwortliche darf personenbezogene Datenan folgende Personen offenbaren:
- Leistungserbringer – Konsultanten, Rechtsanwälte, Buchführer, Abschlussprüfer, IT-Fachleute u.a. im Zusammenhang mit Abschluss der Verträge im Rahmen der Haupttätigkeit der Gesellschaft, Erfüllung von gesetzlichen Anforderungen, technischer Wartung u.a. Ähnliche Offenbarung erfolgt auf der Grundlage einer schriftlichen Vereinbarung mit dem entsprechenden Leistungserbringer zwecks der Garantie, dass derselbe ein adäquates Niveau des Schutzes und die Einhaltung des Rechts im Bereich der personenbezogenen Daten sichert;
- Subunternehmer – bei der Erbringung von Dienstleistungen im Namen des Verantwortlichen (Handelsvertreter, Reiseveranstalter, Touragenten u.a.) auf dem und außerhalb des Territoriums der Republik Bulgarien im Zusammenhang mit dem Abschluss und der Durchführung der Verträge über Passagierbeförderung und über touristische Dienstleistungen. Ähnliche Offenbarung erfolgt auf der Grundlage einer schriftlichen Vereinbarung mit dem entsprechenden Subunternehmer zwecks der Garantie, dass derselbe ein adäquates Niveau des Schutzes und die Einhaltung des Rechts im Bereich der personenbezogenen Daten sichert;
- Personen, die Dienstleistungen für Gewährung und Wartung von Ausstattung, Software und Hardware erbringen, welche zur Verarbeitung (darunter auch Speicherung) personenbezogener Daten, zur Abrechnungen von Zahlungen u.a. eingesetzt werden;
- Banken – zur Bedienung der Zahlungen seitens der Subjekte von Daten von den Dienstleistungen für Beförderung von Passagieren und/oder touristischen Dienstleistungen;
- Wachgesellschaften, die Dienstleistungen für private Bewachungstätigkeit erbringen, im Zusammenhang mit der Vornahme von Videoüberwachung von öffentlich zugänglichen Zonen in den Ticketverkaufspunkten des Verantwortlichen;
- Öffentliche und gerichtliche Behörden in und bis zum Umfang, der gemäß dem Gesetz erlaubt und/oder erforderlich ist;
- Versicherungsgesellschaften – im Zusammenhang mit dem Abschluss von Versicherungen bei Fahrten bei der Erbringung von touristischen Dienstleistungen;
- Andere Verantwortliche personenbezogener Daten in den Fällen, wenn die Gesellschaft als Verarbeiter in ihrem Namen handelt.
5. Pflichten des Verantwortlichen
Der Verantwortliche hat folgende Pflichten:
- legt die Politiken und die Prozeduren für den Schutz der verarbeiteten personenbezogenen Daten fest, hält die Anforderungen derVerordnung, des EU-Rechts und des nationalen Rechts im Bereich des Schutzes der personenbezogenen Daten ein;
- benennt den Datenschutzbeauftragten;
- sichert die Organisation der Führung des Registers entsprechend den vorgesehenen Maßnahmen zur Garantierung von adäquatem Schutz;
- führt sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen ein, die mit Rücksicht auf die effektive Anwendung der Prinzipien zum Datenschutz entwickelt sind;
- gewährt die Ausübung der Rechte der natürlichen Personen zu Schutz der personenbezogenen Daten;
- führt geeignete technische und organisatorische Maßnahmen ein, um zu garantieren und imstande zum Beweis zu sein, dass die Verarbeitung personenbezogener Datenentsprechend den Anforderungen der Verordnungerfolgt;
- führt geeignete technische und organisatorische Maßnahmen ein, um zu garantieren, dass implizit nur personenbezogene Daten verarbeitet werden, die zu jedem konkreten Zweck der Verarbeitung notwendig sind. Diese Pflicht bezieht sich auf den Umfang der erhobenen personenbezogenen Daten, den Grad der Verarbeitung, den Zeitraum ihrer Speicherung und ihre Zugänglichkeit;
- verwirklicht Kontrolle der Einhaltung der Anforderungen zum Schutz des Registers, legt die Umstände fest, die mit der Verletzung ihres Schutzes verbunden sind, und unternimmt Maßnahmen zu ihrer Behebung;
- aktualisiert die unterhaltenen Register;
- unterhält die personenbezogenen Daten in einer Form, die Identifizierung der entsprechenden natürlichen Personen für eine Periode ermöglicht, die nicht länger als die notwendige zu den Zwecken ist, zu denen diese Daten verarbeitet werden;
- informiert periodisch und führt nach Zweckmäßigkeit Schulungen des Personals in den Angelegenheiten des Schutzes der personenbezogenen Daten durch;
- leistet Mitwirkung bei der Verwirklichung der Kontrollfunktionen des Ausschusses für den Schutz der personenbezogenen Daten in seiner Eigenschaft als Aufsichtsbehörde gemäß dem Art. 51 der Verordnung (unten „ASPD” genannt), unterstützt die Festlegung von Umständen, die mit dem Schutz der personenbezogenen Daten verbunden sind;
- legt die Rechte der Angestellten auf Zugang zu personenbezogenen Daten in den Informationssystemen entsprechend den Zwecken der Verarbeitung fest, sodass Gesetzmäßigkeit garantiert wird und die Prinzipien der Verarbeitung eingehalten werden;
- verwendet Auftragsverarbeiter von personenbezogenen Daten, die genügend Garantien mittels der Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz gewähren;
- hält bestimmte Regeln im Falle der Verletzung der Sicherheit der personenbezogenen Daten ein;
- dokumentiert jeden Verstoß gegen die Sicherheit der personenbezogenen Daten, einschließlich der Tatsachen, die mit dem Verstoß gegen die Sicherheit der personenbezogenen Daten, den Folgen davon und die unternommenen Handlungen zu dessen Bewältigung verbunden sind;
- nimmt Bewertung des Risikos gemäß den Erfordernissen der Verordnung, respektive Bewertung des Einflusses vor, wenn kraft der Verordnung die Bedingungen dafür vorliegen.
6. Pflichten der Angestellten des Verantwortlichen. Haftung Vertraulichkeitserklärungen
6.1. Die Angestellten des Verantwortlichen beginnen mit der Verarbeitung personenbezogener Daten nach Bekanntmachen mit:
- dem normativen Regelwerk im Bereich des Schutzes der personenbezogenen Daten, einschließlich der Verordnung und des Gesetzes über den Schutz der personenbezogenen Daten (unten„GSPD” genannt);
- der Politik und den anderen internen Akten des Verantwortlichen, die mit dem Schutz der personenbezogenen Daten verbunden sind;
- den Gefahren für die personenbezogenen Daten, die vom Verantwortlichen verarbeitet werden.
Die Angestellten des Verantwortlichen sind verpflichtet:
- die Anforderungen der Verordnung, des übrigen anwendbaren Rechts im Bereich des Schutzes der personenbezogenen Daten, der Politik und der anderen internen Akten des Verantwortlichen einzuhalten, die mit dem Schutz der personenbezogenen Daten verbunden sind;
- die personenbezogenen Daten nur bei Vorliegen von Bedingung für gesetzmäßige Verarbeitung (Rechtsgrundlage) zu verarbeiten, und zwar: Grundlage für Verarbeitung personenbezogener Daten, die sich aus dem Gesetz ergibt; oder Grundlage für Verarbeitung personenbezogener Daten, die sich aus den Vertragsbeziehungen mit der Person ergibt; oder Grundlage für Verarbeitung personenbezogener Daten, die sich aus der ausdrücklichen Zustimmung der Person ergibt; oder Grundlage für Verarbeitungpersonenbezogener Daten, die sich aus dem legitimen Interesse des Verantwortlichen oder einer Drittperson ergibt und welches legitime Interesse Vorrang vor den Interessen, Grundrechten und Freiheiten des Subjekts der Daten hat, die Schutz derpersonenbezogenen Datenerfordern;
- die personenbezogenen Daten, zu denen sie Zugang haben, entsprechend den Zielen zu verwenden, zu welchen sie erhoben werden, und diese nicht zusätzlich auf eine Weise zu verarbeiten, die mit diesen Zielen unvereinbar ist;
- die personenbezogenen Daten, zu denen sie Zugang in ihrer Eigenschaft als Angestellte des Verantwortlichen haben, zu egal welchen persönlichen Zielen nicht zu verwenden;
- die Regeln für Vermeidung der Möglichkeit des unberechtigten Zugangs zu personenbezogenen Daten und der Lassung zugänglicher personenbezogener Daten ohne Aufsicht am entsprechenden Arbeitsplatz einzuhalten. In Räumen, zu denen externe Personen Zugang haben, sind die entsprechenden Angestellten verpflichtet, Maßnahmen zu unternehmen, sodass die externen Personen egal welchen unberechtigten Zugang zu Dokumenten nicht haben, die personenbezogene Daten enthalten, sowie auch in diese Einsicht nicht nehmen, diese nicht kopieren oder mit einem technischen Mittel nicht fotografieren dürfen;
- wenn die Erfüllung der entsprechenden Tätigkeit erlaubt, die verwendeten personenbezogenen Daten bis zum maximalen Grad einzuschränken;
- die Einhaltung der Rechte der natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sichern und zu garantieren;
- Bedingungen für Verstöße gegen die Sicherheit bei der Verarbeitungpersonenbezogener Daten nicht zu zulassen, nicht zu unterstützen oder nicht zu schaffen;
- zwischen einander oder an Drittpersonen keine Information von wesentlicher Bedeutung für die Sicherheit der Daten (ihre Benutzernamen, Passwörter u.a.) zu teilen oder zur Verfügung zu stellen;
- keine Dateien mit korporativer Information, die personenbezogene Daten enthält, auf übertragbarem Träger in nicht kryptierter (oder in mit Passwort nicht geschützter) Form zu kopieren;
- per Elektronenpost zu E-Mail-Adressen außerhalb der Gesellschaft keine Information, die wesentliche Umfänge von personenbezogenen Datenoder egal welche speziellen Kategorien personenbezogener Datenoder andere personenbezogene Daten enthält, zu denen der unberechtigte Zugang ein hohes Risiko für die Rechte und Interessen der Subjekten von Daten darstellen kann, auf die sie sich beziehen, in mit Passwort nicht geschützten Dateien nicht zu senden;
- personenbezogene Daten über Kunden oder Angestellte der Gesellschaft in öffentlichen Seiten u.a. ohne Vorliegen von adäquater Rechtsgrundlage dafür nicht zu veröffentlichen;
- dem Datenschutzbeauftragten Mitwirkung bei der Erfüllung seiner Befugnisse zu leisten.
6.2. Haftung der Angestellten
6.2.1.Alle Handlungen, die zu nicht regulierter Löschung, Vernichtung oder Veränderung eingegangener personenbezogener Daten beim Verantwortlichen in elektronischer Form oder auf Papierträger, sowie auch zu nicht regulierter Teilung/Offenbarung personenbezogener Daten seitens der Angestellten der Gesellschaft führen oder dazu führen können, ist verboten und kann zur Realisierung der Haftung des entsprechenden Angestellten führen.
6.2.2. Für die Nichteinhaltung der Bestimmungen der Verordnung und/oder des GSPD, und/oder Politik, und/oder der sonstigen anwendbaren internen Akten des Verantwortlichen tragen die Angestellten der Verantwortlichen Disziplinarverantwortung.
6.2.3. Neben der Disziplinarverantwortung kann auch die administrative Straf- und/oderdie Strafverantwortung gegenüber dem entsprechenden Angestellten realisiert werden, wenn das Gemachte eine Handlung darstellt, für die Straf- oder administrative Strafverantwortung vorgesehen wird.
6.2.4. Neben der Disziplinar-, der administrativen Straf- und der Strafverantwortung trägt der entsprechende Angestellte auch Zivilverantwortung, und gegenüber kann diese realisiert werden, wenn die Voraussetzungen dafür vorliegen.
6.3. Der Verantwortliche:
- gewährt die Unterzeichnung einer Vertraulichkeitserklärung und Nichtverbreitung personenbezogener Daten von allen Angestellten, die personenbezogene Datenfür ihn verarbeiten;
- unterhält Information über die Erfüllung seiner Verpflichtungen zur Schulung der Angestellten, die personenbezogene Daten verarbeiten, und zur Schulung des Personals in Hinsicht auf Ereignisse, die die Sicherheitpersonenbezogenen Daten gefährden.
7. Unterhaltung eines Registers der Tätigkeiten für Verarbeitungvonpersonenbezogenen Datenals Verantwortlicher
Entsprechend den Erfordernissen des Art. 30, Par. 1 derVerordnung führt die Gesellschaft einRegisterfür die Tätigkeiten derVerarbeitung in der Eigenschaft als Verantwortlicher, welches den Namen und die Koordinaten zur Verbindung mit dem Verantwortlichenund dem Datenschutzbeauftragten enthält. Das Register umfasst eine detaillierte Beschreibung aller Tätigkeiten für Verarbeitung vonpersonenbezogenen Daten gemäß dem Art. 30, Par. 1 derVerordnung, einschließlich mit folgenden Charakteristiken:
- Bezeichnung der Tätigkeit (des Geschäftsablaufs, der Funktion) für Verarbeitungvonpersonenbezogenen Daten;
- die Zwecke und die Grundlagen für dieVerarbeitung vonpersonenbezogenen Daten;
- die Kategorien von natürlichen Personen, für die personenbezogene Datenverarbeitet werden(Kunden, Angestellte, Kontaktpersonen der juristischen Personen u.a.);
- die Kategorien vonpersonenbezogenen Daten, die im Rahmen der entsprechenden Tätigkeit verarbeitet werden;
- Verarbeitungspezieller Kategorien von Daten (z.B. Auskunft über Gesundheitszustand, wenn zutreffend);
- die Quellen von personenbezogenen Daten;
- Drittpersonen, die personenbezogene Daten bekommen oder auf eine andere Weise an der Verarbeitungpersonenbezogener Datenim Rahmen der entsprechenden Tätigkeiten teilnehmen;
- Standort (Aufbewahrung) derpersonenbezogenen Daten;
- die vorgesehenen Fristen für Aufbewahrung und Löschung der verschiedenen Kategorien vonpersonenbezogenen Daten, wenn möglich;
- allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, wenn möglich.
8. Unterhaltung von Registern der Tätigkeiten für Verarbeitungpersonenbezogener Datenals Auftragsverarbeiter
Für bestimmte Tätigkeiten für Verarbeitungpersonenbezogener Datenhandelt die Gesellschaft im Auftrag, d.h. im Namen anderer Personen – Verantwortlicher fürpersonenbezogene Daten, z.B. Versicherungsgesellschaften (bei ihrer Reiseveranstaltertätigkeit). In solchen Fällen derVerarbeitunghandelt die Gesellschaftals Auftragsverarbeiter vonpersonenbezogenen Daten. In Erfüllung der Anforderungen des Art. 30, Par. 2 derVerordnung führt die Gesellschaftein Register für die Tätigkeiten der Verarbeitung personenbezogener Daten als Auftragsverarbeiter, das den Namen und die Kontaktkoordinaten der Gesellschaftund desVerantwortlichen enthält, in dessen Namen sie die Daten verarbeitet. Das Register umfasst eine detaillierte Beschreibung aller Tätigkeiten (Geschäftsabläufe, Funktionen) für Verarbeitung von personenbezogenen Daten gemäß den Anforderungen des Art. 30, Par. 1 der Verordnung mindestens mit folgenden Charakteristiken:
- die Kategorien vonVerarbeitung, die im Namen jedes Verantwortlichen durchgeführt wird;
- Drittparteien, die personenbezogene Daten bekommen auf auf eine andere Weise an der Verarbeitungpersonenbezogener Daten im Rahmen der entsprechenden Tätigkeit teilnehmen;
- Wenn zutreffend, die Weiterleitung personenbezogener Datenan einen Drittstaat oder an eine internationale Organisation, einschließlich der Identifikation dieses Drittstaates oder dieser internationalen Organisation, respektive für die geeigneten Garantien (wenn dies erforderlich ist);
- allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, wenn möglich.
9. Datenschutzbeauftragter
Der Verantwortliche hat einen Datenschutzbeauftragten (nachfolgend„DSB” genannt) benannt, der auf eine geeignete Weise und rechtzeitig an allen Angelegenheiten teilnimmt, die mit dem Schutz der personenbezogenen Daten verbunden sind. Der DSBhat folgende Pflichten und Befugnisse:
- informiert und berät die Geschäftsführung und die Angestellten, die Tätigkeiten für Verarbeitungpersonenbezogener Daten ausführen, hinsichtlich ihrer Verpflichtungen entsprechend derVerordnungund allen anderen anwendbarennormativen Akten der EU und des nationalen Rechts im Bereich des Schutzes derpersonenbezogenen Daten;
- verfolgt und haftet für die Erhöhung der Informiertheit und der Bildung des Personals, das an Operationen der Verarbeitungderpersonenbezogenen Daten teilnimmt;
- erstellt und schlägt zur Genehmigung interne Regeln und Politiken zum Schutz der personenbezogenen Datenoder Veränderungen in den bestehenden Regeln und Politiken vor;
- überwacht die Notwendigkeit der Veränderungen in den Tätigkeiten derVerarbeitung personenbezogener Daten und der damit verbundenen und/oderdiese regulierenden Dokumente;
- nimmt an Tätigkeiten der Vornahme einer Bewertung des Risikos teil und bei Bedarf – des Einflusses der Verarbeitung derpersonenbezogenen Daten;
- handelt als einheitlicher Kontaktpunkt für die Subjekte von Daten im Zusammenhang mit der Ausübung ihrer Rechte gemäß derVerordnung;
- bewahrt die Anträge der Subjekte von Daten im Zusammenhang mit der Ausübung ihrer Rechte auf;
- bewahrt Information über die Verletzungen der Sicherheitbeim Schutz der personenbezogenen Daten auf;
- führt Register gemäß dem 30 derVerordnung für die Tätigkeiten der Verarbeitungpersonenbezogener Daten;
- verwirklicht vollständige Überwachung, nimmt reguläre Bewertung vor, berät und erteilt Empfehlungen und Vorschläge mit Rücksicht auf die Garantierung eines geeigneten Niveaus von Sicherheit der personenbezogenen Daten.
Die Verantwortlichkeiten desDSB sind ausführlich in seiner Arbeitsplatzbeschreibung (wenn er Angestellter der Gesellschaft ist) oder im entsprechenden Dienstleistungsvertrag (wenn er kein Angestellter derGesellschaft ist) festgelegt.
10. Rechte der Subjekte von Daten
Der Verantwortliche unternimmt die notwendigen Maßnahmen zur Gewährung von Information an die Subjekte von Daten hinsichtlich der Verarbeitungpersonenbezogener Daten in kurzer, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache. Der Verantwortliche wirkt zur Ausübung der Rechte des Subjekts der Daten gemäß den Artikeln 15-22 derVerordnung mit.
In den Fällen, in denen die Forderungen eines Subjekts von Daten offensichtlich unbegründet oder übermäßig sind (insbesondere aufgrund ihrer Wiederholung), darf der Verantwortliche die Vornahmevon Handlungen verweigern.
Der Verantwortliche gewährt insbesondere die Ausübung folgender Rechte der Subjekte von Daten:
- Recht auf Information bei der Erhebung der personenbezogenen Datenvom Subjekt von Daten oder von Drittparteien;
- Recht auf Zugang zu den Daten des Subjekts von Daten und konkreter: (i). Bestätigung, ob personenbezogene Daten dieses Subjekts von Daten von der Gesellschaft verarbeitet werden; (ii). Gewährung von Zugang zu den Daten durch Kopie der Daten, die im Prozess der Verarbeitung sind, sowie auch Information über die Zwecke der Verarbeitung; die Kategorien vonpersonenbezogenen Daten; die Empfänger oder die Kategorien von Empfängern, denen die personenbezogenen Daten offenbart sind oder werden; die Aufbewahrungsfristen für die personenbezogenen Daten; das Bestehen eines Rechts auf Korrektur oder Löschung personenbezogener Datenoder Einschränkung der Verarbeitungpersonenbezogener Daten oder auf Einwendung gegen dieVerarbeitung; das Recht auf Beschwerde an eine Aufsichtsbehörde (die in der Republik Bulgarien die KSPD ist); die Quellen personenbezogener Daten; das Bestehen von automatisiertem Treffen von Entscheidungen, darunter Profilierung;
- das Recht auf Korrektur – die Korrektur oder die Ausfüllung seiner personenbezogenen Daten zu verlangen, wenn dieselben ungenau oder unvollständig sind;
- Recht auf Löschung derpersonenbezogenen Daten, wenn die in der Verordnungvorgesehenen Grundlagen vorliegen;
- Recht auf Beschränkung der Verarbeitung;
- Recht auf Übertragbarkeit der Daten;
- Recht auf Einwendung;
- Recht des Subjekts von Daten darauf, dass er kein Objekt einer Entscheidung ist, die ausschließlich auf automatisierterVerarbeitung beruht, welche Profilierung umfasst, die Rechtsfolgen hervorruft oder es auf eine andere Weise in einem wesentlichen Grad betrifft;
- Erteilung, Änderung oder Zurückziehung von Zustimmung der Verarbeitungpersonenbezogener Daten, wobei Grundlage für die Verarbeitung die Zustimmung des Subjekts von Daten ist.
Die Subjekte von Daten dürfen ihre Rechte durch das Stellen eines schriftlichen Antrags an den Verantwortlichen auf eine der folgenden Weisen ausüben:
- persönlich, von einem gesetzlichen Vertreter oder durch einen mit notariell beglaubigter Vollmacht bevollmächtigten Vertreter des Subjekts von Daten im Büro der Gesellschaft, gelegen an folgender Anschrift: Sofia, Kn.-Maria-Luiza-Blvd. 102, Busbahnhof „Serdika“ – Et. 2, nach der Identifizierung des Subjekts von Daten oder des entsprechenden Vertreters von einem Angestellten desVerantwortlichen;
- per Elektronenpost an den DSBdurch qualifizierte elektronische Signatur entsprechend dem Gesetz über das elektronische Dokument und die elektronischen Bescheinigungsdienste (nachfolgend„QES“ genannt);
- per Post mit der Sendung eines notariell beglaubigten Antrags zwecks der Gewährung von Identifikation des Antragstellers.
Alle Anträge, die im oben genannten Büro der Gesellschaftoder per Post gestellt sind, werden an denDSB geschickt, der diese ohne unbegründete Verzögerung behandelt. Im Rahmen eines Monats nach der Antragstellung benachrichtigt der DSBdas Subjekt von Daten über die Handlungen, die gemäß dem Antrag unternommen worden sind, respektive über die Ursachen für die Nichtvornahme von Handlungen und über die Möglichkeit der Erhebung einer Beschwerde an eine Aufsichtsbehörde und der Suche nach Schutz im gerichtlichen Weg. Wenn Handlungen im Zusammenhang mit dem Antrag unternommen werden, darf die Frist für die Benachrichtigung des Subjekts von Daten über diese Handlungen um bis insgesamt drei Monaten verlängert werden, indem die Kompliziertheit und die Anzahl der Anträge berücksichtigt werden. In diesem Fall benachrichtigt derDSBdas Subjekt von Daten über die Verlängerung der Frist im Rahmen der ursprünglichen einmonatigen Frist.
Die Information (die in Abhängigkeit davon variieren kann, welches Recht des Subjekts von Daten mit dem Antrag ausgeübt ist) wird auf Papierträger persönlich an das Subjekt von Daten oder an seinen gesetzlichen oder mit ausdrücklicher notariell beglaubigter Vollmacht bevollmächtigten Vertreter zur Verfügung gestellt. Wenn der Antrag per Elektronenpost gestellt ist, wird die Information auch mittels Elektronenpost an die E-Mail-Adresse überlassen, von der der gestellte Antrag ausgeht. In diesem Fall wird die Information in mit Passwort geschützten Dateien gesandt.
11. Zustimmung desSubjekts von Datenals Grundlage für Verarbeitungpersonenbezogener Daten.
11.1. Grundlage
Aufgrund des Art. 6, Par. 1, Buchstabe „а“ derVerordnungstellt die Zustimmung der Person eine der Rechtsgrundlagen für Gesetzmäßigkeit der Verarbeitungpersonenbezogener Daten dar. Eine Zustimmung ist persönlich durch schriftliche Erklärung, in Elektronenform oder auf eine andere, vom Verantwortlichenfestgelegte Weise zu erteilen, mit der zu garantieren ist, dass die Zustimmung:
- frei erteilt ist; und
- konkret ist; und
- informierte Zustimmung ist; und
- unzweideutig ist.
11.2. Subjekte von Daten
Die Gesellschaftdarf Zustimmungen für alle Kategorien von Subjekten von Daten erheben, für die Verarbeitungpersonenbezogener Daten durchgeführt wird, darunter Kunden und Angestellten.
Die Zustimmungen von den Subjekten von Daten sollen nur in schriftlicher Form durch Zustimmungserklärungen erhoben werden, nachdem Identifikation der Person vorgenommen worden ist, um bei Bedarf das Vorliegen von Zustimmung in Hinsicht auf die entsprechende Tätigkeit der Verarbeitung nachzuweisen. Die Zustimmung stellt separate Grundlage für Verarbeitungpersonenbezogener Datendar, und die konkreten Zwecke der Verarbeitungsind darin aufgeführt.
11.3. Zurückziehung
Die Gesellschaftgewährt den Subjekten von Daten die Möglichkeit, auf leichte Weise ihre Zustimmung zu ändern oder zurückzuziehen, ohne dass dies ungünstige Rechtsfolgen für sie hervorruft, wenn objektiv Möglichkeit dafür gegeben ist. Änderungen oder Zurückziehung von Zustimmung erfolgen von den Subjekten von Daten nach der Ordnung der Erhebung von Zustimmungen, Für den Fall partieller oder vollständiger Zurückziehung von Zustimmung, wenn die Verarbeitungpersonenbezogener Datenauf dieser Grundlage erfolgt, kann sich dieGesellschaft in Unmöglichkeit erweisen, die vom Kunden beantragte Dienstleistung zu erbringen.
11.4. Erhebung von Zustimmungen von Kunden
Die Zustimmungen von ehemaligen, gegenwärtigen Kunden und ihren Vertretern werden auf eine der folgenden Weisen erhoben:
- persönlich in jedem Büro oder jeder Vertretung der Gesellschaft;
- durch lizenzierten Postoperator mit notarieller Beglaubigung der Zustimmungserklärung; oder
- eine mit QES signierte Zustimmungserklärung, gesandt per Elektronenpost an den DSB.
11.5. Erhebung von Zustimmungen von Angestellten
Die Zustimmungen von ehemaligen, gegenwärtigen Angestellten und Arbeitsbewerber werden auf eine der folgenden Weisen erhoben:
- persönlich in einer Führungseinheit der menschlichen Ressourcen;
- per elektronischer Dienstpost – für gegenwärtige Angestellte;
- eine mit QES signierte Zustimmungserklärung, gesandt per Elektronenpost an den DSB – für ehemalige Angestellte und Arbeitsbewerber; und
- durch lizenzierten Postoperator mit notarieller Beglaubigung der Zustimmungserklärung.
11.6. Erteilung und Zurückziehung von Zustimmungen online
Beim Vorliegen von Fällen, in denen der Erhalt von Zustimmung derVerarbeitungpersonenbezogener Datenvon derGesellschaftmit Rücksicht auf von der Gesellschaftzu erbringende Dienstleistungen verlangt wird, welche online beantragt oder genutzt werden, wird diese Zustimmung auch online erteilt (beziehungsweise zurückgezogen), unter Einhaltung separater Regeln dafür.
11.7. Aufbewahrung
Alle Zustimmungen derVerarbeitungpersonenbezogener Datenwerden vom Verantwortlichenregistriert und aufbewahrt.
12. VerarbeitungpersonenbezogenerDatenvomVerantwortlichendurch einen Auftragsverarbeiter von personenbezogenen Daten
Zur Vornahme ihrer Tätigkeit darf die GesellschaftDrittparteien (Subunternehmer, Handelsvertreter, Leistungserbringer u.a.) einsetzen, die in seinem Namen bei der Verarbeitungpersonenbezogener Datenhandeln und die als Auftragsverarbeiter vonpersonenbezogenen Datenim Sinne des Art. 4, P. 8 derVerordnung erscheinen. Solche Auftragsverarbeiter können sein:
- Handelsgesellschaften;
- natürliche Personen, die aufgrund vonHonorarverträgen bestellt sind.
Bei der Beauftragung eines Auftragsverarbeiters von personenbezogenen Daten mit der Verarbeitungpersonenbezogener Datenhält der Verantwortliche folgende Anforderungen ein:
- es werden Auftragsverarbeiter gewählt, die genügend Garantien für die Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten gewähren;
- die Bedingungen für den Schutz derpersonenbezogenen Datenwerden in separater schriftlicher Vereinbarung oder im schriftlichen Hauptvertrag zwischen dem Verantwortlichenund dem Auftragsverarbeiter geregelt;
Die Verträge (respektive die Vereinbarungen), die der Verantwortliche mit den Auftragsverarbeitern von personenbezogenen Daten abschließt, bestimmen und regeln mindestens:
- den Gegenstand und Geltungsdauer der Verarbeitung;
- die Zwecke und die Natur derVerarbeitung;
- die Kategorien von Subjekten von Daten, in Hinsicht auf deren Daten die Verarbeitung durchgeführt wird;
- die Art der personenbezogenen Daten, die der Auftragsverarbeiter im Namen desVerantwortlichen verarbeiten wird;
- die Rechte und Pflichten des Verantwortlichenund des Auftragsverarbeiters;
- die Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten, die der Auftragsverarbeiter entsprechend den Spezifiken und dem Umfang der konkreten Beauftragung anzuwenden hat. Unabhängig von den konkreten Absprachen in solchen Verträgen wird keine Abweichung von und entsprechende Anwendung auf niedrigerem Niveau des Schutzes derpersonenbezogenen Datenvon diesem zugelassen, das in dieser Politik vorgesehen ist;
- Verpflichtung des Auftragsverarbeiters zur Mitwirkung an den Verantwortlichenzwecks der Erfüllung seiner Pflichten gemäß dem Art. 31-36 derVerordnung;
- Verpflichtung des Auftragsverarbeiters zur Benachrichtigung des Verantwortlichenohne unnötige Verzögerung nach der Kenntnisnahme über das Vorliegen einer Verletzung der Sicherheit von personenbezogenen Daten;
- Anforderungen gegenüber dem Auftragsverarbeiter und andere verbindliche Bedingungen gemäß dem Art. 28, P. 3 derVerordnung.
13. Regeln für Reaktion im Falle einer Verletzung der Sicherheit derpersonenbezogenen Daten
13.1. Grundlage
Die Regeln für Reaktion im Falle der Verletzung der Sicherheit derpersonenbezogenen Datenberuhen auf den Anforderungen im Art. 33 und Art. 34 derVerordnung.
13.2. Entdeckung einer Verletzung der Sicherheit von einem Angestellten
Beim Vorliegen eines Falls der Verletzung der Sicherheit, die von einem Angestellten des Verantwortlichen entdeckt ist, teilt der entsprechende Angestellte diese unverzüglich an den DSBin schriftlicher Form mit (und bei Möglichkeit – auch in mündlicher – persönlich oder per Telefon), wobei er auch alle Einzelheiten (soweit er Auskunft darüber hat) über die Natur der Verletzung, über die vermutliche Zeit des Eintretens/Begehung der Verletzung u.a. zur Verfügung stellt.
13.3. Anzeigen über Verletzung der Sicherheit von Drittpersonen
Anzeigen über das Vorliegen eines Falls der Verletzung der Sicherheit von Drittpersonen werden vomVerantwortlichenauf eine der folgenden Weisen angenommen:
- persönlich im Büro derGesellschaft, der Gesellschaft, gelegen in Sofia, Kn.-Maria-Luiza-Blvd. 102, Busbahnhof „Serdika“ – Et. 2, nach der Identifizierung der Person von einem Angestellten des Verantwortlichen;
- per Elektronenpost an den DSB durch qualifizierte elektronische Signatur entsprechend dem Gesetz über das elektronische Dokument und die elektronischen Bescheinigungsdienste;
- per Post mit der Sendung einer notariell beglaubigten Anzeige.
13.4. Untersuchung der Verletzung der Sicherheit und Maßnahmen
Ohne unbegründeteVerzögerung formiert der DSBeine Kommission für Untersuchung des Falls, die auf Angestellten des Verantwortlichenmit geeigneter Qualifikation in Abhängigkeit vom konkreten Fall besteht. Die Kommission hat den Tatbestand zu untersuchen, eine Analyse und Bewertung der Schwere der Verletzung mit Rücksicht auf das Risiko für die Rechte und Freiheiten der natürlichen Personen, die Anzahl betroffenerSubjekte von Daten u.a. vorzunehmen und nach Zweckmäßigkeit geeignete Maßnahmen zur Behebung vorzuschlagen, und wo dies unmöglich ist – zur Minimierung der identifizierten Risiken und der eventuellen ungünstigen Folgen.
13.5. Benachrichtigung der KSPD
Beim Vorliegen eines Falls der Verletzung der Sicherheit informiert der Verantwortliche durch den DSB die KSPD darüber in einer Frist von 72 Stunden nach der Feststellung, es sei denn, dass im konkreten Fall egal welche Wahrscheinlichkeit gegeben ist, dass die Verletzung der Sicherheit ein Risiko für die Rechte und Freiheiten der natürlichen Personen hervorruft.
13.6. Benachrichtigung der Subjekte von Daten
Wenn die Verletzung der Sicherheit zu hohem Risiko für die Rechte und Freiheiten der natürlichen Personen führen kann, teilt der Verantwortliche den betroffenen Subjekten von Daten die Verletzung der Sicherheit der personenbezogenen Datenohne unbegründete Verzögerung mit. In der Mitteilung an das Subjekt der Daten wird in klarer und einfacher Sprache die Natur der Verletzung der Sicherheit der personenbezogenen Daten beschrieben, und es werden mindestens angegeben: den Namen und die Kontaktkoordinaten des DSB; Beschreibung der etwaigen Folgen von der Verletzung der Sicherheit der personenbezogenen Daten; Beschreibung der vom Verantwortlichen unternommenen oder vorgeschlagenen Maßnahme zur Bewältigung der Verletzung der Sicherheit der personenbezogenen Daten, einschließlich nach Zweckmäßigkeit Maßnahmen zur Reduzierung der eventuellen ungünstigen Folgen.
Der Verantwortliche ist berechtigt, den betroffenen Subjekten von Daten die Verletzung nicht mitzuteilen, wenn:
(i). er vorläufig geeignete technische und organisatorische Maßnahmen zum Schutz ergriffen hat und diese Maßnahmen hinsichtlich der personenbezogenen Daten angewendet worden waren, die von der Verletzung der Sicherheit der personenbezogenen Datenbetroffen sind (zum Beispiel Kryptierung); und/oder
(ii). Er im Nachhinein Maßnahmen getroffen hat, die garantieren, dass es schon keine Wahrscheinlichkeit gibt, dass sich das hohe Risiko für die Rechte und Freiheiten der Subjekte von Daten materialisiert; und/oder
(iii). solche Benachrichtigung zu nicht proportionalen Bemühungen führen würde. In diesem Fall nimmt der Verantwortliche eine öffentliche Verteilung auf seiner Webseiteund/oderdurch Offenbarung auf geeignete Weise durch die Massenmedien über das Vorliegen einer Verletzung der Sicherheit vor, die zu einem hohen Risiko für die Rechte und Freiheiten der natürlichen Personen führen kann.
13.7. Aufbewahrung
Alle Anzeigen über Verletzung der Sicherheit der personenbezogenen Datenwerden vomVerantwortlichen registriert und aufbewahrt.
13.8. Schulungen
Die Angestellten, die mit der Verarbeitungvon personenbezogenen Daten beschäftigt sind, werden periodischen Schulungen zur Reaktion bei Verletzungen der Sicherheit der personenbezogenen Daten unterzogen.
14. Technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten
14.1. Technische und organisatorische Maßnahmen der Gesellschaftals Verantwortlicher
In der Tätigkeit derGesellschaft sind die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Datenvor zufälliger oder ungesetzlicher Vernichtung oder vor zufälligem Verlust, vor unberechtigtem Zugang, Veränderung oder Verbreitung sowie auch vor anderen ungesetzlichen Formen der Verarbeitung vorgesehen.
Die Arten von Schutz sind physische, personell, dokumentarisch, Schutz automatisierter Informationssysteme und/oderNetze, kryptographischer Schutz.
Die Maßnahmen sind mit den gegenwärtigen technologischen Leistungen abgestimmt und sichern ein Schutzniveau, das den Risiken entspricht, welche mit denTätigkeiten der Verarbeitung und der Kategorie der geschützten Daten verbunden sind.
Die konkreten technischen und organisatorischen Maßnahmen, die die Gesellschaft anwendet, sind ausführlich im Anhang 1 zur Politik aufgezählt, wobei derselbe Gegenstand periodischer Aktualisierungen sein kann.
14.2. Technische und organisatorische Maßnahmen der Gesellschaftals Auftragsverarbeiter
Für den Fall, dass dieGesellschaftpersonenbezogene Daten als Auftragsverarbeiter für andere Verantwortliche verarbeitet, werden die konkreten technischen und organisatorischen Maßnahmen, die von der Gesellschaftin ihrer Eigenschaft als Auftragsverarbeiter angewendetwerden, in individuellen Vereinbarungen mit dem entsprechenden Verantwortlichen festgelegt, und wenn eine solche Vereinbarung fehlt, wird sich die Gesellschaftan den technischen und organisatorischen Maßnahmen halten, die sie als Verantwortlicher anwendet.
15. Überlassung personenbezogener Datenaußerhalb des Europäischen Wirtschaftsraums (EWR)
Der Verantwortliche darf internationale Weiterleitung von Daten vornehmen, die aus dem Europäischen Wirtschaftsraum (EWR) stammen, wenn die Europäische Kommission einen bestimmten Staat außerhalb des EWR als solchen anerkannt hat, die adäquates Niveau des Schutzes der Daten gewährt.
Zu Weiterleitungen an Länder außerhalb des EWR, dessen Niveau des Schutzes von der Europäischen Kommission nicht anerkannt ist, wird sich der Verantwortliche entweder auf eine bestimmte Derogation, die zur konkreten Situation anwendbar ist, gemäß der Verordnungberufen (z.B. wenn die Weiterleitung für die Erfüllung des Vertrags der Gesellschaft mit dem Subjekt von Daten notwendig ist), oder eine der Garantien anwenden, die vom anwendbaren Recht vorgesehen sind.
In den übrigen Fällen der Weiterleitung personenbezogener Datenaußerhalb des EWR wird dies aufgrund von ausdrücklicher Zustimmung des Subjekts von Datenzur vorgeschlagenen Datenübergabe verwirklicht. In diesen Fällen werden der Bedarf an solcher Weiterleitung, der Staat, zu dem die Weiterleitung erfolgen wird, sowie auch das Nichtvorliegen einer Entscheidung der Europäischen Kommission über adäquates Niveau des Schutzes für diesen Staat und von geeigneten Garantien bei der vorgeschlagenen Weiterleitung zur Kenntnis des Subjekts von Datengebracht, und es wird seine Zustimmung verlangt.