Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten

EFC SAĞLIK HİZMETLERİ TİC. A. Ş.

RICHTLINIE ZUM SCHUTZ UND ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

Der Schutz personenbezogener Daten gehört zu den wichtigsten Prioritäten der EFC SAĞLIK HİZMETLERİ TİC. A. Ş. („Gesellschaft“). Den wesentlichsten Bestandteil dieses Themas bildet der Schutz und die Verarbeitung der personenbezogenen Daten unserer Bewerber, Gesellschafter der Gesellschaft, Unternehmensvertreter, Besucher, der Mitarbeiter, Gesellschafter und Vertreter der Institutionen, mit denen wir zusammenarbeiten, sowie Dritter, die durch diese Richtlinie geregelt werden.

Gemäß der Verfassung der Republik Türkei hat jede Person das Recht, den Schutz der sie betreffenden personenbezogenen Daten zu verlangen. Im Hinblick auf den Schutz personenbezogener Daten, der als ein durch die Verfassung gewährleistetes Recht gilt, zeigt die Gesellschaft die erforderliche Sorgfalt hinsichtlich des Schutzes personenbezogener Daten von Bewerbern, Gesellschaftern der Gesellschaft, Unternehmensvertretern, Besuchern, Mitarbeitern, Gesellschaftern und Vertretern der Institutionen, mit denen sie zusammenarbeitet, sowie Dritter, die durch diese Richtlinie geregelt werden, und macht dies zu einer Unternehmenspolitik.

In diesem Rahmen werden von der Gesellschaft die erforderlichen administrativen und technischen Maßnahmen zum Schutz der im gesetzlichen Rahmen verarbeiteten personenbezogenen Daten getroffen.

Die von der Gesellschaft bei der Verarbeitung personenbezogener Daten zugrunde gelegten Grundsätze sind folgende:

  • Verarbeitung personenbezogener Daten im Einklang mit Recht und Treu und Glauben,
  • Sicherstellung der Richtigkeit und erforderlichenfalls Aktualität personenbezogener Daten,
  • Verarbeitung personenbezogener Daten zu bestimmten, eindeutigen und legitimen Zwecken,
  • Verarbeitung personenbezogener Daten zweckgebunden, beschränkt und verhältnismäßig,
  • Speicherung personenbezogener Daten für die in den einschlägigen Rechtsvorschriften vorgesehene oder für den Zweck der Verarbeitung erforderliche Dauer,
  • Aufklärung und Information der betroffenen Personen,
  • Einrichtung des erforderlichen Systems zur Ausübung der Rechte der betroffenen Personen,
  • Ergreifung der erforderlichen Maßnahmen zur Aufbewahrung personenbezogener Daten,
  • Einhaltung der einschlägigen Rechtsvorschriften und der Regelungen des Datenschutzrates bei der Übermittlung personenbezogener Daten an Dritte entsprechend den Erfordernissen des Verarbeitungszwecks,
  • Besondere Sensibilität bei der Verarbeitung und dem Schutz besonderer Kategorien personenbezogener Daten.

ARTIKEL 1: ZWECK DER RICHTLINIE

Der Hauptzweck dieser Richtlinie besteht darin, Transparenz und Vertrauen zu gewährleisten, indem über die von der Gesellschaft rechtmäßig durchgeführten Tätigkeiten zur Verarbeitung personenbezogener Daten sowie in diesem Zusammenhang insbesondere unsere Kunden, Mitarbeiter, Bewerber, Gesellschafter der Gesellschaft, Unternehmensvertreter, Besucher, Mitarbeiter, Gesellschafter und Vertreter der Institutionen, mit denen wir zusammenarbeiten, sowie Dritte, deren personenbezogene Daten von unserer Gesellschaft verarbeitet werden, informiert werden.

ARTIKEL 2: INHALT UND BEGRIFFSBESTIMMUNGEN

Diese Richtlinie bezieht sich auf sämtliche personenbezogenen Daten unserer Mitarbeiter, Bewerber, Gesellschafter der Gesellschaft, Unternehmensvertreter, Besucher, Mitarbeiter, Gesellschafter und Vertreter der Institutionen, mit denen wir zusammenarbeiten, sowie Dritter, die vollständig oder teilweise automatisiert oder nicht automatisiert verarbeitet werden, sofern sie Teil eines Datenregistrierungssystems sind.

Der Anwendungsbereich dieser Richtlinie kann für die oben genannten Gruppen betroffener Personen die gesamte Richtlinie oder nur einen Teil davon umfassen.

Die in diesem Richtlinientext verwendeten Begriffe werden wie folgt definiert:

Empfängergruppe : Kategorie natürlicher oder juristischer Personen, an die personenbezogene Daten vom Verantwortlichen übermittelt werden.

Ausdrückliche Einwilligung : Eine Einwilligung, die sich auf einen bestimmten Sachverhalt bezieht, auf Information beruht und freiwillig erklärt wird.

Anonymisierung : Die Unmöglichmachung der Zuordnung personenbezogener Daten zu einer bestimmten oder bestimmbaren natürlichen Person, auch durch Verknüpfung mit anderen Daten.

Mitarbeiter : Personal der Gesellschaft.

Elektronische Umgebung : Umgebungen, in denen personenbezogene Daten mittels elektronischer Geräte erstellt, gelesen, geändert und gespeichert werden können.

Nicht-elektronische Umgebung : Alle schriftlichen, gedruckten, visuellen und sonstigen Umgebungen außerhalb elektronischer Umgebungen.

Dienstleister : Natürliche oder juristische Person, die im Rahmen eines bestimmten Vertrags Dienstleistungen für die Institution erbringt.

Betroffene Person : Natürliche Person, deren personenbezogene Daten verarbeitet werden.

Relevanter Benutzer : Personen, die personenbezogene Daten innerhalb der Organisation des Verantwortlichen oder auf Grundlage der vom Verantwortlichen erteilten Befugnis und Weisung verarbeiten, ausgenommen Personen oder Einheiten, die technisch für die Speicherung, den Schutz und die Sicherung der Daten verantwortlich sind.

Vernichtung : Löschung, Zerstörung oder Anonymisierung personenbezogener Daten.

Gesetz : Gesetz Nr. 6698 über den Schutz personenbezogener Daten.

Speichermedium : Jede Umgebung, in der personenbezogene Daten vorhanden sind, die vollständig oder teilweise automatisiert oder nicht automatisiert verarbeitet werden, sofern sie Teil eines Datenregistrierungssystems sind.

Personenbezogene Daten : Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Verzeichnis der Verarbeitung personenbezogener Daten : Verzeichnis, in dem Verantwortliche die von ihnen im Zusammenhang mit ihren Geschäftsprozessen durchgeführten Verarbeitungstätigkeiten personenbezogener Daten detailliert darstellen, indem sie diese mit dem Zweck und der Rechtsgrundlage der Verarbeitung, der Datenkategorie, der Empfängergruppe und der betroffenen Personengruppe verknüpfen und die maximale Aufbewahrungsdauer, die für den Verarbeitungszweck erforderlich ist, die vorgesehenen Übermittlungen ins Ausland sowie die getroffenen Maßnahmen zur Datensicherheit erläutern.

Verarbeitung personenbezogener Daten : Jede Art von Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erhebung, Erfassung, Speicherung, Aufbewahrung, Änderung, Neuordnung, Offenlegung, Übermittlung, Übernahme, Bereitstellung, Klassifizierung oder Verhinderung der Nutzung, die vollständig oder teilweise automatisiert oder nicht automatisiert erfolgt, sofern sie Teil eines Datenregistrierungssystems ist.

Rat : Datenschutzrat für personenbezogene Daten.

Besondere Kategorien personenbezogener Daten : Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung und äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Periodische Vernichtung : Von Amts wegen in wiederkehrenden Abständen gemäß der Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten durchzuführende Löschung, Zerstörung oder Anonymisierung personenbezogener Daten, wenn sämtliche im Gesetz vorgesehenen Voraussetzungen für die Verarbeitung entfallen sind.

Richtlinie : Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten.

Gesellschaft : EFC SAĞLIK HİZMETLERİ TİC. A. Ş.

Auftragsverarbeiter : Natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage der ihm erteilten Befugnis verarbeitet.

Datenregistrierungssystem : Registrierungssystem, in dem personenbezogene Daten strukturiert nach bestimmten Kriterien verarbeitet werden.

Verantwortlicher : Natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenregistrierungssystems verantwortlich ist.

Informationssystem des Registers der Verantwortlichen : Vom Präsidium eingerichtetes und verwaltetes Informationssystem, das über das Internet zugänglich ist und von Verantwortlichen bei der Anmeldung zum Register sowie bei sonstigen registerbezogenen Vorgängen genutzt wird.

VERBİS : Informationssystem des Registers der Verantwortlichen.

Verordnung : Verordnung über die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017.

ARTIKEL 3: ANWENDUNG DER RICHTLINIE UND DER EINSCHLÄGIGEN RECHTSVORSCHRIFTEN

Im Hinblick auf die Verarbeitung und den Schutz personenbezogener Daten finden die jeweils geltenden gesetzlichen Bestimmungen vorrangig Anwendung. Im Falle eines Widerspruchs zwischen der geltenden Gesetzgebung und dieser Richtlinie erkennt unsere Gesellschaft an, dass die geltende Gesetzgebung Anwendung findet.

Diese Richtlinie wurde erstellt, indem die durch die einschlägige Gesetzgebung festgelegten Regeln im Rahmen der Praxis der Gesellschaft konkretisiert wurden.

ARTIKEL 4: INKRAFTTRETEN DER RICHTLINIE

Diese von unserer Gesellschaft erlassene Richtlinie tritt am Tag ihrer Veröffentlichung auf unserer Internetseite in Kraft. Bei Änderungen oder Aktualisierungen der Richtlinie wird das Inkrafttretensdatum entsprechend angepasst.

Die Richtlinie wird auf der Internetseite unserer Gesellschaft veröffentlicht und auf Anfrage den betroffenen Personen zugänglich gemacht.

ARTIKEL 5: BESTIMMUNGEN ZUM SCHUTZ PERSONENBEZOGENER DATEN

Unsere Gesellschaft ergreift gemäß Artikel 12 des Gesetzes über den Schutz personenbezogener Daten alle erforderlichen administrativen, technischen und rechtlichen Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten, die unrechtmäßige Verarbeitung der verarbeiteten personenbezogenen Daten zu verhindern, den unrechtmäßigen Zugriff auf die Daten zu verhindern und deren Aufbewahrung sicherzustellen, und führt in diesem Rahmen die erforderlichen Kontrollen durch.

ARTIKEL 6: GEWÄHRLEISTUNG DER SICHERHEIT PERSONENBEZOGENER DATEN

6.1 Technische und Administrative Maßnahmen zur Sicherstellung der Rechtmäßigen Verarbeitung Personenbezogener Daten

Unsere Gesellschaft ergreift unter Berücksichtigung der technologischen Möglichkeiten und der Implementierungskosten technische und administrative Maßnahmen, um die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

  • Technische Maßnahmen zur Sicherstellung der Rechtmäßigen Verarbeitung Personenbezogener Daten

Die wichtigsten technischen Maßnahmen, die unsere Gesellschaft zur Sicherstellung der rechtmäßigen Verarbeitung personenbezogener Daten ergreift, sind nachstehend aufgeführt:

  1. Die innerhalb unserer Gesellschaft durchgeführten Verarbeitungstätigkeiten personenbezogener Daten werden durch eingerichtete technische Systeme überwacht.
  2. Die ergriffenen technischen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig den zuständigen Personen berichtet.
  3. Es wird fachkundiges technisches Personal beschäftigt.
  • Administrative Maßnahmen zur Sicherstellung der Rechtmäßigen Verarbeitung Personenbezogener Daten

Die wichtigsten administrativen Maßnahmen, die unsere Gesellschaft zur Sicherstellung der rechtmäßigen Verarbeitung personenbezogener Daten ergreift, sind nachstehend aufgeführt:

  1. Mitarbeiter werden im Bereich Datenschutzrecht und rechtmäßige Verarbeitung personenbezogener Daten informiert und geschult.
  2. Alle von unserer Gesellschaft durchgeführten Tätigkeiten werden im Rahmen der jeweiligen Geschäftseinheiten detailliert analysiert, und infolge dieser Analyse werden die im Rahmen der Geschäftstätigkeiten der jeweiligen Einheit durchgeführten Verarbeitungstätigkeiten personenbezogener Daten bestimmt.
  3. Zur Sicherstellung der Einhaltung der in Gesetz Nr. 6698 vorgesehenen Verarbeitungsvoraussetzungen werden die für jede Geschäftseinheit und jede detaillierte Tätigkeit geltenden Anforderungen festgelegt.
  4. Zur Gewährleistung der Einhaltung der festgelegten rechtlichen Anforderungen werden in den betreffenden Geschäftseinheiten Sensibilisierungsmaßnahmen durchgeführt und Anwendungsregeln festgelegt; durch interne Richtlinien und Schulungen werden die erforderlichen administrativen Maßnahmen umgesetzt, um die Kontrolle und Kontinuität dieser Prozesse sicherzustellen.
  5. In die Verträge und Dokumente, die das Rechtsverhältnis zwischen unserer Gesellschaft und den Mitarbeitern regeln, werden Bestimmungen aufgenommen, wonach personenbezogene Daten nicht entgegen den Anweisungen der Gesellschaft und den gesetzlichen Ausnahmen verarbeitet, offengelegt oder verwendet werden dürfen; die Mitarbeiter werden diesbezüglich sensibilisiert und entsprechende Kontrollen durchgeführt.

6.2 Technische und Administrative Maßnahmen zur Verhinderung des Unrechtmäßigen Zugriffs auf Personenbezogene Daten

Unsere Gesellschaft ergreift unter Berücksichtigung der Art der zu schützenden Daten, der technologischen Möglichkeiten und der Implementierungskosten technische und administrative Maßnahmen, um die Offenlegung, den Zugriff, die Übermittlung oder sonstige unrechtmäßige Zugriffe auf personenbezogene Daten infolge von Fahrlässigkeit oder unbefugtem Handeln zu verhindern.

  • Technische Maßnahmen zur Verhinderung des Unrechtmäßigen Zugriffs auf Personenbezogene Daten

Die wichtigsten technischen Maßnahmen, die unsere Gesellschaft zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten ergreift, sind nachstehend aufgeführt:

  1. Es werden den technologischen Entwicklungen entsprechende technische Maßnahmen ergriffen und diese regelmäßig aktualisiert und erneuert.
  2. Technische Zugriffs- und Berechtigungslösungen werden entsprechend den für die jeweiligen Geschäftseinheiten festgelegten rechtlichen Anforderungen umgesetzt.
  3. Die ergriffenen technischen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig den zuständigen Personen berichtet; identifizierte Risiken werden neu bewertet und erforderliche technologische Lösungen implementiert.
  4. Software- und Hardwaresysteme einschließlich Virenschutzsystemen und Firewalls werden installiert.
  5. Es wird fachkundiges technisches Personal beschäftigt.
  • Administrative Maßnahmen zur Verhinderung des Unrechtmäßigen Zugriffs auf Personenbezogene Daten

Die wichtigsten administrativen Maßnahmen, die unsere Gesellschaft zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten ergreift, sind nachstehend aufgeführt:

  1. Mitarbeiter werden hinsichtlich der technischen Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten geschult.
  2. Zugriffs- und Berechtigungsprozesse in Bezug auf personenbezogene Daten werden innerhalb der Gesellschaft entsprechend den rechtlichen Anforderungen auf Basis der jeweiligen Geschäftseinheiten gestaltet und umgesetzt.
  3. Mitarbeiter werden darüber informiert, dass sie personenbezogene Daten, die sie unter Verstoß gegen das Gesetz erlangt haben, nicht an Dritte weitergeben oder für andere als die Verarbeitungszwecke verwenden dürfen, und dass diese Verpflichtung auch nach Beendigung ihres Arbeitsverhältnisses fortbesteht; entsprechende Verpflichtungserklärungen werden eingeholt.
  4. In Verträge mit Personen, an die personenbezogene Daten rechtmäßig übermittelt werden, werden Bestimmungen aufgenommen, wonach diese die erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen und deren Einhaltung innerhalb ihrer eigenen Organisation gewährleisten.

6.3 Aufbewahrung Personenbezogener Daten in Sicheren Umgebungen

Unsere Gesellschaft ergreift unter Berücksichtigung der technologischen Möglichkeiten und der Implementierungskosten die erforderlichen technischen und administrativen Maßnahmen, um personenbezogene Daten in sicheren Umgebungen aufzubewahren und deren unrechtmäßige Zerstörung, Verlust oder Veränderung zu verhindern.

  • Technische Maßnahmen zur Aufbewahrung Personenbezogener Daten in Sicheren Umgebungen

Die wichtigsten technischen Maßnahmen, die unsere Gesellschaft zur sicheren Aufbewahrung personenbezogener Daten ergreift, sind nachstehend aufgeführt:

  1. Zur Aufbewahrung personenbezogener Daten in sicheren Umgebungen werden Systeme eingesetzt, die den technologischen Entwicklungen entsprechen.
  2. Es wird spezialisiertes technisches Personal beschäftigt.
  3. Für Speicherbereiche werden technische Sicherheitssysteme eingerichtet; die ergriffenen Maßnahmen werden im Rahmen des internen Kontrollmechanismus regelmäßig berichtet, identifizierte Risiken neu bewertet und erforderliche technologische Lösungen implementiert.
  4. Zur sicheren Aufbewahrung personenbezogener Daten werden gesetzeskonforme Backup-Programme eingesetzt.
  • Administrative Maßnahmen zur Aufbewahrung Personenbezogener Daten in Sicheren Umgebungen

Die wichtigsten administrativen Maßnahmen, die unsere Gesellschaft zur sicheren Aufbewahrung personenbezogener Daten ergreift, sind nachstehend aufgeführt:

  1. Mitarbeiter werden hinsichtlich der sicheren Aufbewahrung personenbezogener Daten geschult.
  2. Wenn unsere Gesellschaft aufgrund technischer Anforderungen externe Dienstleistungen für die Aufbewahrung personenbezogener Daten in Anspruch nimmt, werden in die mit den betreffenden Unternehmen geschlossenen Verträge Bestimmungen aufgenommen, wonach diese die erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen und deren Einhaltung innerhalb ihrer Organisation gewährleisten.

6.4 Kontrolle der Zum Schutz Personenbezogener Daten Ergriffenen Maßnahmen

Gemäß Artikel 12 des Gesetzes führt unsere Gesellschaft innerhalb ihrer eigenen Organisation die erforderlichen Kontrollen durch oder lässt diese durchführen. Die Ergebnisse dieser Kontrollen werden im Rahmen der internen Funktionsweise der Gesellschaft der zuständigen Einheit berichtet und es werden die notwendigen Maßnahmen zur Verbesserung der ergriffenen Maßnahmen eingeleitet.

6.5 Maßnahmen im Falle der Unrechtmäßigen Offenlegung Personenbezogener Daten

Sollten personenbezogene Daten, die gemäß Artikel 12 des Gesetzes verarbeitet werden, durch Dritte auf unrechtmäßige Weise erlangt werden, stellt unsere Gesellschaft sicher, dass dieser Umstand unverzüglich der betroffenen Person und dem Datenschutzrat gemeldet wird.

Falls der Datenschutzrat dies für erforderlich hält, kann dieser Umstand auf der Internetseite des Rates oder auf andere geeignete Weise bekannt gemacht werden.

ARTIKEL 7: SCHUTZ DER RECHTE DER BETROFFENEN PERSON; SCHAFFUNG VON KOMMUNIKATIONSKANÄLEN UND BEWERTUNG DER ANTRÄGE

Unsere Gesellschaft richtet gemäß Artikel 13 des Gesetzes die erforderlichen Kanäle, internen Abläufe sowie administrativen und technischen Vorkehrungen ein, um die Rechte der betroffenen Personen zu bewerten und ihnen die erforderlichen Informationen bereitzustellen.

Wenn betroffene Personen ihre Anträge bezüglich der nachstehend aufgeführten Rechte schriftlich an unsere Gesellschaft richten, werden diese je nach Art des Antrags schnellstmöglich und spätestens innerhalb von dreißig Tagen kostenlos bearbeitet. Sofern der Vorgang jedoch zusätzliche Kosten verursacht, wird die gemäß dem vom Datenschutzrat festgelegten Tarif vorgesehene Gebühr erhoben. Betroffene Personen haben das Recht:

  1. Zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden,
  2. Auskunft über verarbeitete personenbezogene Daten zu verlangen,
  3. Den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob diese zweckentsprechend verwendet werden,
  4. Die Dritten zu erfahren, an die personenbezogene Daten im Inland oder Ausland übermittelt werden,
  5. Die Berichtigung unvollständig oder unrichtig verarbeiteter personenbezogener Daten zu verlangen und zu verlangen, dass diese Berichtigung den Dritten mitgeteilt wird, an die die Daten übermittelt wurden,
  6. Die Löschung oder Vernichtung personenbezogener Daten zu verlangen, wenn die Gründe für ihre Verarbeitung entfallen sind, obwohl sie gemäß Gesetz und anderen einschlägigen Bestimmungen verarbeitet wurden, und zu verlangen, dass diese Maßnahme den Dritten mitgeteilt wird, an die die Daten übermittelt wurden,
  7. Widerspruch gegen ein für sie nachteiliges Ergebnis einzulegen, das durch die Analyse der ausschließlich automatisiert verarbeiteten Daten entsteht,
  8. Im Falle eines Schadens aufgrund unrechtmäßiger Verarbeitung personenbezogener Daten Schadensersatz zu verlangen.

ARTIKEL 8: SCHUTZ BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN

Mit dem Gesetz wurde bestimmten personenbezogenen Daten aufgrund des Risikos von Benachteiligung oder Diskriminierung bei unrechtmäßiger Verarbeitung besondere Bedeutung beigemessen.

Diese Daten betreffen Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung und äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Unsere Gesellschaft handelt bei der Verarbeitung und dem Schutz besonderer Kategorien personenbezogener Daten mit besonderer Sensibilität und wendet die im Rahmen des Datenschutzes ergriffenen technischen und administrativen Maßnahmen mit erhöhter Sorgfalt an.

ARTIKEL 9: SENSIBILISIERUNG UND KONTROLLE DER GESCHÄFTSEINHEITEN

Unsere Gesellschaft organisiert die erforderlichen Schulungen für Geschäftseinheiten, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, die Verhinderung des unrechtmäßigen Zugriffs sowie die sichere Aufbewahrung der Daten zu stärken.

Es werden die erforderlichen Systeme eingerichtet, damit sowohl bestehende als auch neue Mitarbeiter ein Bewusstsein für den Schutz personenbezogener Daten entwickeln; bei Bedarf werden Fachleute hinzugezogen.

ARTIKEL 10: SENSIBILISIERUNG VON GESCHÄFTSPARTNERN UND LIEFERANTEN

Unsere Gesellschaft organisiert Schulungen und Seminare für Geschäftspartner, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, die Verhinderung des unrechtmäßigen Zugriffs sowie die sichere Aufbewahrung der Daten zu stärken.

Die Schulungen werden regelmäßig wiederholt; es werden Systeme eingerichtet, damit sowohl bestehende als auch neue Mitarbeiter der Geschäftspartner ein Bewusstsein für den Schutz personenbezogener Daten entwickeln.

Die Ergebnisse dieser Schulungen werden dem Holding gemeldet; Teilnahme und Wirksamkeit werden bewertet und erforderliche Kontrollen durchgeführt. Schulungen werden entsprechend gesetzlicher Aktualisierungen angepasst.
ARTIKEL 11: BESTIMMUNGEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

Gemäß Artikel 20 der Verfassung und Artikel 4 des Gesetzes verarbeitet unsere Gesellschaft personenbezogene Daten im Einklang mit Recht und Treu und Glauben; richtig und erforderlichenfalls aktuell; zu bestimmten, eindeutigen und legitimen Zwecken; zweckgebunden, beschränkt und verhältnismäßig. Unsere Gesellschaft bewahrt personenbezogene Daten für die im Gesetz vorgesehene oder für den Zweck der Verarbeitung erforderliche Dauer auf.

Gemäß Artikel 20 der Verfassung und Artikel 5 des Gesetzes verarbeitet unsere Gesellschaft personenbezogene Daten auf Grundlage einer oder mehrerer der in Artikel 5 des Gesetzes vorgesehenen Verarbeitungsvoraussetzungen.

Gemäß Artikel 20 der Verfassung und Artikel 10 des Gesetzes informiert unsere Gesellschaft die betroffenen Personen und erteilt auf Anfrage die erforderlichen Auskünfte.

Unsere Gesellschaft handelt im Einklang mit Artikel 6 des Gesetzes hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten.

Gemäß Artikel 8 und 9 des Gesetzes handelt unsere Gesellschaft bei der Übermittlung personenbezogener Daten im Einklang mit den gesetzlichen Bestimmungen und den Entscheidungen des Datenschutzrates.

ARTIKEL 12: VERARBEITUNG PERSONENBEZOGENER DATEN IM EINKLANG MIT DEN GRUNDSÄTZEN DER GESETZGEBUNG

12.1 Verarbeitung im Einklang mit Recht und Treu und Glauben

Unsere Gesellschaft handelt bei der Verarbeitung personenbezogener Daten im Einklang mit den durch die gesetzlichen Vorschriften eingeführten Grundsätzen sowie der allgemeinen Regel von Vertrauen und Treu und Glauben. Dabei wird insbesondere der Grundsatz der Verhältnismäßigkeit berücksichtigt und personenbezogene Daten werden nicht über das zur Erreichung des Zwecks erforderliche Maß hinaus verarbeitet.

12.2 Gewährleistung der Richtigkeit und Aktualität Personenbezogener Daten

Unsere Gesellschaft stellt unter Berücksichtigung der Grundrechte der betroffenen Personen und ihrer berechtigten Interessen sicher, dass die verarbeiteten personenbezogenen Daten richtig und aktuell sind. Zu diesem Zweck werden die erforderlichen Maßnahmen ergriffen.

12.3 Verarbeitung zu Bestimmten, Eindeutigen und Legitimen Zwecken

Unsere Gesellschaft bestimmt die legitimen und rechtmäßigen Zwecke der Verarbeitung personenbezogener Daten klar und eindeutig. Personenbezogene Daten werden nur in dem Umfang verarbeitet, der im Zusammenhang mit den von unserer Gesellschaft erbrachten Dienstleistungen erforderlich ist.

12.4 Zweckgebundene, Beschränkte und Verhältnismäßige Verarbeitung

Unsere Gesellschaft verarbeitet personenbezogene Daten in einer Weise, die zur Erreichung der festgelegten Zwecke geeignet ist, und vermeidet die Verarbeitung personenbezogener Daten, die für die Erreichung dieser Zwecke nicht relevant oder nicht erforderlich sind. Beispielsweise werden keine Verarbeitungstätigkeiten durchgeführt, um möglicherweise in Zukunft entstehende Bedürfnisse zu erfüllen.

12.5 Aufbewahrung Personenbezogener Daten für die in der Gesetzgebung Vorgesehene oder für den Zweck Erforderliche Dauer

Unsere Gesellschaft bewahrt personenbezogene Daten nur für die in der einschlägigen Gesetzgebung vorgesehene oder für den Zweck der Verarbeitung erforderliche Dauer auf. In diesem Zusammenhang wird zunächst geprüft, ob in der einschlägigen Gesetzgebung eine bestimmte Aufbewahrungsfrist vorgesehen ist; ist eine solche Frist vorgesehen, wird entsprechend gehandelt; ist keine Frist vorgesehen, werden personenbezogene Daten für die zur Erreichung des Verarbeitungszwecks erforderliche Dauer gespeichert. Nach Ablauf dieser Dauer oder wenn die Gründe für die Verarbeitung entfallen, werden die personenbezogenen Daten von unserer Gesellschaft gelöscht, vernichtet oder anonymisiert. Personenbezogene Daten werden nicht für eine mögliche zukünftige Verwendung aufbewahrt. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

ARTIKEL 13: VERARBEITUNG PERSONENBEZOGENER DATEN AUF GRUNDLAGE EINER ODER MEHRERER DER IN ARTIKEL 5 DES GESETZES VORGESEHENEN VORAUSSETZUNGEN

Der Schutz personenbezogener Daten ist ein verfassungsmäßiges Recht. Grundrechte und -freiheiten dürfen nur durch Gesetz und nur aus den in den einschlägigen Artikeln der Verfassung vorgesehenen Gründen eingeschränkt werden, ohne ihren Wesensgehalt anzutasten. Gemäß Artikel 20 Absatz 3 der Verfassung dürfen personenbezogene Daten nur in den gesetzlich vorgesehenen Fällen oder mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden. In diesem Rahmen verarbeitet unsere Gesellschaft personenbezogene Daten nur in den gesetzlich vorgesehenen Fällen oder mit ausdrücklicher Einwilligung der betroffenen Person. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

ARTIKEL 14: INFORMATION UND AUFKLÄRUNG DER BETROFFENEN PERSON

Gemäß Artikel 10 des Gesetzes informiert unsere Gesellschaft die betroffenen Personen bei der Erhebung personenbezogener Daten. In diesem Zusammenhang werden Informationen über die Identität des Holding und gegebenenfalls seines Vertreters, den Zweck der Verarbeitung personenbezogener Daten, die Empfänger, an die die verarbeiteten personenbezogenen Daten übermittelt werden können, sowie den Zweck der Übermittlung, die Methode und Rechtsgrundlage der Datenerhebung und die Rechte der betroffenen Person bereitgestellt. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

Artikel 20 der Verfassung sieht vor, dass jede Person das Recht hat, über die sie betreffenden personenbezogenen Daten informiert zu werden. In diesem Zusammenhang ist das „Recht auf Auskunft“ auch unter den in Artikel 11 des Gesetzes geregelten Rechten der betroffenen Person enthalten. Unsere Gesellschaft erteilt gemäß Artikel 20 der Verfassung und Artikel 11 des Gesetzes auf Antrag der betroffenen Person die erforderlichen Informationen. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

ARTIKEL 15: VERARBEITUNG BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN

Bei der Verarbeitung der im Gesetz als „besondere Kategorien personenbezogener Daten“ definierten Daten handelt unsere Gesellschaft mit größter Sorgfalt im Einklang mit den gesetzlichen Bestimmungen.

Artikel 6 des Gesetzes definiert bestimmte personenbezogene Daten aufgrund des Risikos von Benachteiligung oder Diskriminierung bei unrechtmäßiger Verarbeitung als besondere Kategorien personenbezogener Daten. Dazu gehören Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung und äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Gemäß dem Gesetz werden besondere Kategorien personenbezogener Daten von unserer Gesellschaft unter der Voraussetzung verarbeitet, dass die vom Datenschutzrat festgelegten angemessenen Maßnahmen ergriffen werden, in folgenden Fällen:

  1. Wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, oder
  2. Wenn die betroffene Person keine ausdrückliche Einwilligung erteilt hat;
  1. Besondere Kategorien personenbezogener Daten mit Ausnahme von Gesundheits- und Sexualdaten der betroffenen Person können in den gesetzlich vorgesehenen Fällen verarbeitet werden,
  2. Gesundheits- und Sexualdaten der betroffenen Person dürfen nur von Personen, die einer Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen zum Zwecke des Schutzes der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnose, Behandlung und Pflege sowie der Planung und Verwaltung von Gesundheitsdiensten und deren Finanzierung verarbeitet werden.

ARTIKEL 16: ÜBERMITTLUNG PERSONENBEZOGENER DATEN

Unsere Gesellschaft kann im Einklang mit den rechtmäßigen und gesetzeskonformen Zwecken der Verarbeitung personenbezogener Daten unter Ergreifung der erforderlichen Sicherheitsmaßnahmen die personenbezogenen Daten sowie besondere Kategorien personenbezogener Daten der betroffenen Person an Dritte (Drittunternehmen, Geschäftspartner, natürliche Drittpersonen) übermitteln. In diesem Zusammenhang handelt unsere Gesellschaft im Einklang mit Artikel 8 des Gesetzes. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

16.1 Übermittlung personenbezogener Daten

Unsere Gesellschaft kann personenbezogene Daten im Einklang mit den rechtmäßigen und gesetzeskonformen Zwecken der Verarbeitung auf Grundlage einer oder mehrerer der in Artikel 5 des Gesetzes genannten Voraussetzungen und beschränkt auf diese an Dritte übermitteln:

  1. Wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat;
  2. Wenn im Gesetz eine ausdrückliche Bestimmung über die Übermittlung personenbezogener Daten vorgesehen ist,
  3. Wenn die Übermittlung zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person erforderlich ist und die betroffene Person aufgrund tatsächlicher Unmöglichkeit ihre Einwilligung nicht erklären kann oder ihrer Einwilligung keine rechtliche Gültigkeit beigemessen wird;
  4. Wenn die Übermittlung personenbezogener Daten der Vertragsparteien für den Abschluss oder die Erfüllung eines Vertrags unmittelbar erforderlich ist,
  5. Wenn die Übermittlung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung unserer Gesellschaft erforderlich ist,
  6. Wenn die personenbezogenen Daten von der betroffenen Person selbst öffentlich gemacht wurden,
  7. Wenn die Übermittlung personenbezogener Daten zur Begründung, Ausübung oder Verteidigung eines Rechts erforderlich ist,
  8. Wenn die Übermittlung personenbezogener Daten für die berechtigten Interessen unserer Gesellschaft erforderlich ist, sofern die Grundrechte und -freiheiten der betroffenen Person nicht beeinträchtigt werden.

16.2 Übermittlung besonderer Kategorien personenbezogener Daten

Unsere Gesellschaft kann unter Ergreifung der erforderlichen Sicherheitsmaßnahmen und unter Beachtung der vom Datenschutzrat festgelegten angemessenen Maßnahmen besondere Kategorien personenbezogener Daten der betroffenen Person im Einklang mit den rechtmäßigen und gesetzeskonformen Verarbeitungszwecken in folgenden Fällen an Dritte übermitteln:

  1. Wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, oder
  2. Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt;
  • Besondere Kategorien personenbezogener Daten mit Ausnahme von Gesundheits- und Sexualdaten der betroffenen Person (Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung und äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten) können in den gesetzlich vorgesehenen Fällen übermittelt werden,
  1. Gesundheits- und Sexualdaten der betroffenen Person dürfen nur von Personen, die einer Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen zum Zwecke des Schutzes der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnose, Behandlung und Pflege sowie der Planung und Verwaltung von Gesundheitsdiensten und deren Finanzierung übermittelt werden.

ARTIKEL 17: ÜBERMITTLUNG PERSONENBEZOGENER DATEN INS AUSLAND

Unsere Gesellschaft kann im Einklang mit den rechtmäßigen und gesetzeskonformen Zwecken der Verarbeitung unter Ergreifung der erforderlichen Sicherheitsmaßnahmen personenbezogene Daten sowie besondere Kategorien personenbezogener Daten der betroffenen Person ins Ausland übermitteln. Personenbezogene Daten werden in Länder übermittelt, die vom Datenschutzrat als Länder mit angemessenem Schutz erklärt wurden („Land mit angemessenem Schutz“), oder – falls kein angemessener Schutz besteht – in Länder, in denen sich ein Datenverantwortlicher befindet, der einen angemessenen Schutz schriftlich zugesichert hat und für die die Genehmigung des Datenschutzrates vorliegt („Land mit einem Datenverantwortlichen, der angemessenen Schutz zusichert“). Unsere Gesellschaft handelt hierbei im Einklang mit Artikel 9 des Gesetzes. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

17.1 Übermittlung personenbezogener Daten ins Ausland

Unsere Gesellschaft kann personenbezogene Daten in Länder mit angemessenem Schutz oder in Länder mit einem Datenverantwortlichen, der angemessenen Schutz zusichert, übermitteln, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder – falls keine ausdrückliche Einwilligung vorliegt – einer der folgenden Fälle gegeben ist:

Wenn im Gesetz eine ausdrückliche Bestimmung über die Übermittlung personenbezogener Daten vorgesehen ist,

  1. Wenn die Übermittlung zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person erforderlich ist und die betroffene Person aufgrund tatsächlicher Unmöglichkeit ihre Einwilligung nicht erklären kann oder ihrer Einwilligung keine rechtliche Gültigkeit beigemessen wird;
  2. Wenn die Übermittlung personenbezogener Daten der Vertragsparteien für den Abschluss oder die Erfüllung eines Vertrags unmittelbar erforderlich ist,
  3. Wenn die Übermittlung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung unserer Gesellschaft erforderlich ist,
  4. Wenn die personenbezogenen Daten von der betroffenen Person selbst öffentlich gemacht wurden,
  5. Wenn die Übermittlung personenbezogener Daten zur Begründung, Ausübung oder Verteidigung eines Rechts erforderlich ist,
  6. Wenn die Übermittlung personenbezogener Daten für die berechtigten Interessen unserer Gesellschaft erforderlich ist, sofern die Grundrechte und -freiheiten der betroffenen Person nicht beeinträchtigt werden.

17.2 Übermittlung besonderer Kategorien personenbezogener Daten ins Ausland

Unsere Gesellschaft kann unter Ergreifung der erforderlichen Sicherheitsmaßnahmen und unter Beachtung der vom Datenschutzrat festgelegten angemessenen Maßnahmen besondere Kategorien personenbezogener Daten der betroffenen Person in Länder mit angemessenem Schutz oder in Länder mit einem Datenverantwortlichen, der angemessenen Schutz zusichert, übermitteln:

  1. Wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, oder
  2. Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt;
  • Besondere Kategorien personenbezogener Daten mit Ausnahme von Gesundheits- und Sexualdaten der betroffenen Person (Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung und äußeres Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten) können in den gesetzlich vorgesehenen Fällen übermittelt werden,
  1. Gesundheits- und Sexualdaten der betroffenen Person dürfen nur von Personen, die einer Geheimhaltungspflicht unterliegen, oder von zuständigen Institutionen und Organisationen zum Zwecke des Schutzes der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnose, Behandlung und Pflege sowie der Planung und Verwaltung von Gesundheitsdiensten und deren Finanzierung verarbeitet werden.

ARTIKEL 18: KATEGORISIERUNG DER VON UNSERER GESELLSCHAFT VERARBEITETEN PERSONENBEZOGENEN DATEN, VERARBEITUNGSZWECKE UND AUFBEWAHRUNGSFRISTEN

Unsere Gesellschaft informiert im Rahmen der Informationspflicht gemäß Artikel 10 des Gesetzes die betroffene Person darüber, welche Kategorien personenbezogener Daten verarbeitet werden, zu welchen Zwecken diese verarbeitet werden und wie lange sie gespeichert werden.

ARTIKEL 19: KATEGORISIERUNG PERSONENBEZOGENER DATEN

Unter Information der betroffenen Personen gemäß Artikel 10 des Gesetzes verarbeitet unsere Gesellschaft im Einklang mit ihren rechtmäßigen und gesetzeskonformen Verarbeitungszwecken und auf Grundlage einer oder mehrerer der in Artikel 5 genannten Voraussetzungen sowie unter Beachtung der in Artikel 4 festgelegten Grundsätze und aller gesetzlichen Verpflichtungen personenbezogene Daten der nachstehenden Kategorien, beschränkt auf die in dieser Richtlinie geregelten Personengruppen.

ARTIKEL 20: ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN

Die übergeordneten Zwecke der Verarbeitung personenbezogener Daten gemäß der von unserer Gesellschaft vorgenommenen Kategorisierung sind nachstehend aufgeführt:

  1. Durchführung der von unserer Gesellschaft ausgeübten kommerziellen Tätigkeiten durch die zuständigen Geschäftsbereiche und Abwicklung der damit verbundenen Geschäftsprozesse,
  2. Planung und Umsetzung der kommerziellen und/oder geschäftlichen Strategien unserer Gesellschaft,
  3. Durchführung der erforderlichen Arbeiten durch unsere Geschäftsbereiche, um den betroffenen Personen die von unserer Gesellschaft angebotenen Produkte und Dienstleistungen bereitzustellen, und Abwicklung der entsprechenden Prozesse,
  4. Planung und Umsetzung der Personalpolitik und -prozesse unserer Gesellschaft,
  5. Gewährleistung der rechtlichen, technischen und kommerziellen Sicherheit der betroffenen Personen, die in einer Geschäftsbeziehung mit unserer Gesellschaft stehen.

ARTIKEL 21: AUFBEWAHRUNGSFRISTEN PERSONENBEZOGENER DATEN

Unsere Gesellschaft speichert personenbezogene Daten für die in den einschlägigen Gesetzen und sonstigen Rechtsvorschriften vorgesehenen Zeiträume.

Sofern in der Gesetzgebung keine bestimmte Dauer für die Speicherung personenbezogener Daten vorgesehen ist, werden personenbezogene Daten für die Dauer verarbeitet, die gemäß den Praktiken unserer Gesellschaft und den Gepflogenheiten des Geschäftslebens für den Zweck der Verarbeitung erforderlich ist, und anschließend gelöscht, vernichtet oder anonymisiert. Ausführliche Informationen hierzu sind in dieser Richtlinie enthalten.

Ist der Zweck der Verarbeitung personenbezogener Daten entfallen und sind auch die in den einschlägigen Rechtsvorschriften sowie die von unserer Gesellschaft festgelegten Aufbewahrungsfristen abgelaufen, können personenbezogene Daten ausschließlich zur Beweisführung in möglichen Rechtsstreitigkeiten oder zur Geltendmachung bzw. Verteidigung eines mit den personenbezogenen Daten verbundenen Rechts gespeichert werden. Bei der Festlegung der hier maßgeblichen Fristen werden die Verjährungsfristen für die Geltendmachung der genannten Rechte sowie Beispiele früherer Anträge an unsere Gesellschaft zu denselben Themen berücksichtigt, auch wenn die Verjährungsfristen bereits abgelaufen sind. In diesem Fall wird auf die gespeicherten personenbezogenen Daten zu keinem anderen Zweck zugegriffen und ein Zugriff erfolgt nur, wenn dies im Rahmen des jeweiligen Rechtsstreits erforderlich ist. Nach Ablauf der genannten Frist werden die personenbezogenen Daten gelöscht, vernichtet oder anonymisiert.

ARTIKEL 22: KATEGORISIERUNG DER BETROFFENEN PERSONEN, DEREN PERSONENBEZOGENE DATEN VON UNSERER GESELLSCHAFT VERARBEITET WERDEN

Unsere Gesellschaft verarbeitet personenbezogene Daten der nachstehend aufgeführten Kategorien betroffener Personen; der Anwendungsbereich dieser Richtlinie ist jedoch auf unsere Kunden, potenziellen Kunden, Bewerber, Aktionäre, Unternehmensvertreter, Besucher, Mitarbeiter, Aktionäre und Vertreter der Institutionen, mit denen wir zusammenarbeiten, sowie auf Dritte beschränkt.

Die Tätigkeiten im Zusammenhang mit dem Schutz und der Verarbeitung personenbezogener Daten unserer Mitarbeiter werden im Rahmen der Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten bewertet.

Obwohl die Kategorien der Personen, deren personenbezogene Daten von unserer Gesellschaft verarbeitet werden, im oben genannten Rahmen liegen, können auch Personen außerhalb dieser Kategorien im Rahmen des Gesetzes Anträge an unsere Gesellschaft richten; diese Anträge werden ebenfalls im Rahmen dieser Richtlinie geprüft.

Nachfolgend werden die Begriffe Kunde, potenzieller Kunde, Besucher, Bewerber, Aktionär und Vorstandsmitglied sowie natürliche Personen in Institutionen, mit denen wir zusammenarbeiten, und mit diesen Personen verbundene Dritte erläutert.

ARTIKEL 23: KATEGORIEN UND DEREN ERLÄUTERUNGEN

Besucher; natürliche Personen, die unsere physischen Standorte zu verschiedenen Zwecken betreten oder unsere Internetseiten besuchen.

Dritte; natürliche Drittpersonen, die mit den genannten Personen in Verbindung stehen, um die Sicherheit der kommerziellen Transaktionen zwischen unserer Gesellschaft und den Parteien zu gewährleisten oder die Rechte und Interessen der genannten Personen zu schützen, sowie natürliche Personen, die nicht in den Anwendungsbereich dieser Richtlinie oder der Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten der Mitarbeiter fallen.

Bewerber; natürliche Personen, die sich auf irgendeinem Wege bei unserer Gesellschaft beworben oder ihre Lebenslauf- und sonstigen Bewerbungsinformationen unserer Gesellschaft zur Verfügung gestellt haben.

Aktionär der Gesellschaft; natürliche Personen, die Aktionäre unserer Gesellschaft sind.

Unternehmensvertreter; Mitglieder des Vorstands sowie andere bevollmächtigte natürliche Personen der Gesellschaft.

Mitarbeiter, Aktionäre und Vertreter der Institutionen, mit denen wir zusammenarbeiten; natürliche Personen in Institutionen, mit denen unsere Gesellschaft in einer Geschäftsbeziehung steht (wie Geschäftspartner, Büros, Lieferanten, jedoch nicht hierauf beschränkt, einschließlich der Aktionäre und Vertreter dieser Institutionen).

ARTIKEL 24: DRITTE, AN DIE PERSONENBEZOGENE DATEN VON UNSERER GESELLSCHAFT ÜBERMITTELT WERDEN, UND DIE ZWECKE DER ÜBERMITTLUNG

Unsere Gesellschaft informiert die betroffene Person gemäß Artikel 10 des Gesetzes über die Gruppen von Personen, an die personenbezogene Daten übermittelt werden.

Unsere Gesellschaft kann personenbezogene Daten von Leistungsempfängern im Einklang mit Artikel 8 und 9 des Gesetzes an die nachstehenden Personenkategorien übermitteln:

  1. Geschäftspartner der Gesellschaft,
  2. Lieferanten der Gesellschaft,
  3. Tochtergesellschaften der Gesellschaft,
  4. Aktionäre der Gesellschaft,
  5. Gesetzlich befugte öffentliche Institutionen und Organisationen,
  6. Gesetzlich befugte juristische Personen des Privatrechts.

Der Umfang der oben genannten Personen, an die Daten übermittelt werden, sowie die Zwecke der Datenübermittlung sind wie folgt:

  1. Beschränkt auf die Sicherstellung der Erfüllung der Zwecke der Begründung der Geschäftspartnerschaft,
  2. Beschränkt auf die Sicherstellung der Erbringung von Dienstleistungen, die unsere Gesellschaft von Lieferanten als externe Dienstleistung bezieht und die für die Durchführung unserer kommerziellen Tätigkeiten erforderlich sind,
  3. Beschränkt auf die Sicherstellung der Durchführung kommerzieller Tätigkeiten unserer Gesellschaft, die die Beteiligung von Tochtergesellschaften erfordern,
  4. Beschränkt auf die Gestaltung der Strategien unserer Gesellschaft im Hinblick auf ihre kommerziellen Tätigkeiten sowie auf Prüfungszwecke gemäß den gesetzlichen Bestimmungen,
  5. Beschränkt auf den Zweck, der von gesetzlich befugten öffentlichen Institutionen und Organisationen im Rahmen der einschlägigen Rechtsvorschriften angefordert wird, sofern diese von unserer Gesellschaft Informationen und Unterlagen verlangen,
  6. Beschränkt auf den Zweck, der von gesetzlich befugten juristischen Personen des Privatrechts im Rahmen der einschlägigen Rechtsvorschriften angefordert wird, sofern diese von unserer Gesellschaft Informationen und Unterlagen verlangen.

Bei den von unserer Gesellschaft vorgenommenen Übermittlungen wird im Einklang mit den in dieser Richtlinie geregelten Bestimmungen gehandelt.
ARTIKEL 25: TECHNIKEN ZUR LÖSCHUNG, VERNICHTUNG UND ANONYMISIERUNG PERSONENBEZOGENER DATEN

25.1 Techniken zur Löschung und Vernichtung personenbezogener Daten

Unsere Gesellschaft kann personenbezogene Daten, obwohl sie im Einklang mit den einschlägigen gesetzlichen Bestimmungen verarbeitet wurden, im Falle des Wegfalls der Verarbeitungsgründe aufgrund eigener Entscheidung oder auf Antrag der betroffenen Person löschen oder vernichten. Die von unserer Gesellschaft am häufigsten angewandten Lösch- oder Vernichtungstechniken sind nachstehend aufgeführt:

  • Physische Vernichtung

Personenbezogene Daten können, sofern sie Teil eines Datenverarbeitungssystems sind, auch auf nicht automatisierte Weise verarbeitet werden. Bei der Löschung/Vernichtung solcher Daten wird das System angewendet, bei dem die personenbezogenen Daten physisch in einer Weise vernichtet werden, dass sie nicht mehr verwendet werden können.

25.1.2 Sichere Löschung durch Software

Bei der Löschung/Vernichtung von Daten, die vollständig oder teilweise automatisiert verarbeitet und in digitalen Umgebungen gespeichert werden, werden Methoden angewendet, mit denen die Daten aus der entsprechenden Software unwiederbringlich gelöscht werden.

  • Sichere Löschung durch einen Experten

In bestimmten Fällen kann unsere Gesellschaft einen Experten beauftragen, personenbezogene Daten in ihrem Namen zu löschen. In diesem Fall werden die personenbezogenen Daten von der fachkundigen Person unwiederbringlich und sicher gelöscht/vernichtet.

25.2 Techniken zur Anonymisierung personenbezogener Daten

Die Anonymisierung personenbezogener Daten bedeutet, dass personenbezogene Daten auch durch Verknüpfung mit anderen Daten in keiner Weise einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Unsere Gesellschaft kann personenbezogene Daten anonymisieren, wenn die Gründe für deren rechtmäßige Verarbeitung entfallen sind.

Gemäß Artikel 28 des Gesetzes können anonymisierte personenbezogene Daten zu Forschungs-, Planungs- und statistischen Zwecken verarbeitet werden. Solche Verarbeitungen fallen nicht in den Anwendungsbereich des Gesetzes, und die ausdrückliche Einwilligung der betroffenen Person ist nicht erforderlich. Da anonymisierte personenbezogene Daten nicht in den Anwendungsbereich des Gesetzes fallen, gelten die in dieser Richtlinie geregelten Rechte für diese Daten nicht.

Die von unserer Gesellschaft am häufigsten verwendeten Anonymisierungstechniken sind wie folgt:

  1. Maskierung

Bei der Datenmaskierung wird die grundlegende identifizierende Information der personenbezogenen Daten aus dem Datensatz entfernt, sodass die personenbezogenen Daten anonymisiert werden.

  1. Aggregation

Durch die Aggregationsmethode werden mehrere Daten zusammengefasst, sodass die personenbezogenen Daten nicht mehr mit einer bestimmten Person in Verbindung gebracht werden können.

  1. Datenderivierung

Bei der Datenderivierung wird aus dem Inhalt der personenbezogenen Daten ein allgemeinerer Inhalt erstellt, wodurch sichergestellt wird, dass die personenbezogenen Daten nicht mehr einer bestimmten Person zugeordnet werden können.

  1. Datenvermischung

Bei der Datenvermischung werden die Werte innerhalb des Datensatzes gemischt, sodass die Verbindung zwischen den Werten und den Personen getrennt wird.

Unsere Gesellschaft informiert die betroffene Person gemäß Artikel 10 des Gesetzes über ihre Rechte, weist sie darauf hin, wie diese Rechte auszuüben sind, und richtet im Einklang mit Artikel 13 des Gesetzes die erforderlichen Kanäle, internen Abläufe sowie administrativen und technischen Regelungen ein, um die Anträge der betroffenen Personen zu bewerten und die erforderlichen Informationen bereitzustellen.

ARTIKEL 26: RECHTE DER BETROFFENEN PERSON UND DEREN AUSÜBUNG

26.1 Rechte der betroffenen Person

Betroffene Personen haben die folgenden Rechte:

  1. Zu erfahren, ob personenbezogene Daten verarbeitet werden,
  2. Auskunft über verarbeitete personenbezogene Daten zu verlangen,
  3. Den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob diese zweckentsprechend verwendet werden,
  4. Zu erfahren, an welche Dritten personenbezogene Daten im In- oder Ausland übermittelt werden,
  5. Im Falle einer unvollständigen oder unrichtigen Verarbeitung die Berichtigung zu verlangen und zu verlangen, dass die in diesem Rahmen vorgenommenen Maßnahmen den Dritten, an die die personenbezogenen Daten übermittelt wurden, mitgeteilt werden,
  6. Die Löschung oder Vernichtung personenbezogener Daten zu verlangen, wenn die Gründe für die Verarbeitung entfallen sind, obwohl sie im Einklang mit dem Gesetz verarbeitet wurden, und zu verlangen, dass die in diesem Rahmen vorgenommenen Maßnahmen den Dritten, an die die personenbezogenen Daten übermittelt wurden, mitgeteilt werden,
  7. Widerspruch gegen ein Ergebnis einzulegen, das sich ausschließlich aus der Analyse der verarbeiteten Daten durch automatisierte Systeme ergibt und zum Nachteil der Person führt,
  8. Im Falle eines Schadens aufgrund einer gesetzeswidrigen Verarbeitung personenbezogener Daten Ersatz des Schadens zu verlangen.

26.2 Fälle, in denen die betroffene Person ihre Rechte nicht geltend machen kann

Gemäß Artikel 28 des Gesetzes sind die folgenden Fälle vom Anwendungsbereich des Gesetzes ausgenommen; daher können betroffene Personen in diesen Fällen die nachstehend aufgeführten Rechte nicht geltend machen:

  1. Verarbeitung personenbezogener Daten zu Forschungs-, Planungs- und statistischen Zwecken durch Anonymisierung im Rahmen offizieller Statistiken,
  2. Verarbeitung personenbezogener Daten zu künstlerischen, historischen, literarischen oder wissenschaftlichen Zwecken oder im Rahmen der Meinungsfreiheit, sofern nicht die nationale Verteidigung, die nationale Sicherheit, die öffentliche Sicherheit, die öffentliche Ordnung, die wirtschaftliche Sicherheit, die Privatsphäre oder Persönlichkeitsrechte verletzt oder Straftaten begangen werden,
  3. Verarbeitung personenbezogener Daten im Rahmen vorbeugender, schützender und nachrichtendienstlicher Tätigkeiten durch gesetzlich befugte öffentliche Institutionen und Organisationen zur Gewährleistung der nationalen Verteidigung, der nationalen Sicherheit, der öffentlichen Sicherheit, der öffentlichen Ordnung oder der wirtschaftlichen Sicherheit,
  4. Verarbeitung personenbezogener Daten durch Justizbehörden oder Vollstreckungsorgane im Zusammenhang mit Ermittlungen, Strafverfolgung, Gerichtsverfahren oder Vollstreckungsverfahren.

Gemäß Artikel 28 Absatz 2 des Gesetzes können betroffene Personen in den nachstehenden Fällen – mit Ausnahme des Rechts auf Schadensersatz – die übrigen Rechte nicht geltend machen:

  1. Wenn die Verarbeitung personenbezogener Daten zur Verhinderung einer Straftat oder zur Durchführung einer Strafuntersuchung erforderlich ist,
  2. Wenn personenbezogene Daten von der betroffenen Person selbst öffentlich gemacht wurden,
  3. Wenn die Verarbeitung personenbezogener Daten auf Grundlage einer gesetzlichen Befugnis durch befugte öffentliche Institutionen und Organisationen oder berufsständische Körperschaften zur Durchführung von Aufsichts- oder Regulierungsaufgaben sowie von Disziplinaruntersuchungen oder -verfahren erforderlich ist,
  4. Wenn die Verarbeitung personenbezogener Daten im Zusammenhang mit Ermittlungen, Strafverfolgung, Gerichtsverfahren oder Vollstreckungsverfahren durch Justizbehörden oder Vollstreckungsorgane erfolgt.

ARTIKEL 27: BEANTWORTUNG VON ANTRÄGEN DURCH DIE GESELLSCHAFT

27.1 Verfahren und Frist für die Beantwortung von Anträgen

Wenn die betroffene Person ihren Antrag gemäß dem oben genannten Verfahren an unsere Gesellschaft richtet, wird der Antrag je nach Art des Antrags so schnell wie möglich und spätestens innerhalb von dreißig Tagen kostenlos bearbeitet.

Erfordert die Bearbeitung jedoch zusätzliche Kosten, wird der vom Datenschutzrat festgelegte Tarif vom Antragsteller erhoben.

27.2 Informationen, die unsere Gesellschaft von der antragstellenden betroffenen Person verlangen kann

Unsere Gesellschaft kann von der antragstellenden Person Informationen anfordern, um festzustellen, ob es sich bei ihr um die betroffene Person handelt.

Unsere Gesellschaft kann der betroffenen Person Fragen zu ihrem Antrag stellen, um die im Antrag genannten Punkte zu klären.

27.3 Recht unserer Gesellschaft, den Antrag der betroffenen Person abzulehnen

Unsere Gesellschaft kann den Antrag der antragstellenden Person unter Angabe von Gründen in den folgenden Fällen ablehnen:

  1. Verarbeitung personenbezogener Daten zu Forschungs-, Planungs- und statistischen Zwecken durch Anonymisierung im Rahmen offizieller Statistiken,
  2. Verarbeitung personenbezogener Daten zur Gewährleistung der nationalen Verteidigung, der nationalen Sicherheit, der öffentlichen Sicherheit oder der öffentlichen Ordnung,
  3. Verarbeitung personenbezogener Daten zu künstlerischen, historischen, literarischen oder wissenschaftlichen Zwecken oder im Rahmen der Meinungsfreiheit, sofern nicht die wirtschaftliche Sicherheit, die Privatsphäre oder Persönlichkeitsrechte verletzt oder Straftaten begangen werden,
  4. Verarbeitung personenbezogener Daten im Rahmen vorbeugender, schützender und nachrichtendienstlicher Tätigkeiten durch gesetzlich befugte öffentliche Institutionen und Organisationen,
  5. Verarbeitung personenbezogener Daten durch Justizbehörden oder Vollstreckungsorgane im Zusammenhang mit Ermittlungen, Strafverfolgung, Gerichtsverfahren oder Vollstreckungsverfahren,
  6. Wenn die Verarbeitung personenbezogener Daten zur Verhinderung einer Straftat oder zur Durchführung einer Strafuntersuchung erforderlich ist,
  7. Wenn personenbezogene Daten von der betroffenen Person selbst öffentlich gemacht wurden,
  8. Wenn die Verarbeitung personenbezogener Daten auf Grundlage einer gesetzlichen Befugnis durch befugte öffentliche Institutionen und Organisationen oder berufsständische Körperschaften zur Durchführung von Aufsichts- oder Regulierungsaufgaben sowie von Disziplinaruntersuchungen oder -verfahren erforderlich ist,
  9. Wenn die Verarbeitung personenbezogener Daten zum Schutz der wirtschaftlichen und finanziellen Interessen des Staates in Bezug auf Haushalts-, Steuer- und Finanzangelegenheiten erforderlich ist,
  10. Wenn der Antrag der betroffenen Person die Rechte und Freiheiten anderer Personen beeinträchtigen könnte,
  11. Wenn der Antrag einen unverhältnismäßigen Aufwand erfordert,
  12. Wenn die angeforderten Informationen öffentlich zugänglich sind.

ARTIKEL 28: BEZIEHUNG DER RICHTLINIE ZUM SCHUTZ UND ZUR VERARBEITUNG PERSONENBEZOGENER DATEN ZU ANDEREN RICHTLINIEN

In dieser Richtlinie werden die Grundsätze dargelegt, die im Zusammenhang mit dem Schutz und der Verarbeitung personenbezogener Daten stehen und in grundlegenden Richtlinien zu diesem Thema festgelegt sind. Durch die Verknüpfung dieser Richtlinien mit anderen grundlegenden Richtlinien der Gesellschaft wird eine Harmonisierung zwischen den Prozessen sichergestellt, die zu ähnlichen Zwecken auf Grundlage unterschiedlicher Richtlinien betrieben werden.

Zur Verwaltung dieser Richtlinie sowie der damit verbundenen und verknüpften Richtlinien wurde durch Beschluss der Unternehmensleitung ein „Ausschuss für den Schutz personenbezogener Daten“ eingerichtet. Die Aufgaben dieses Ausschusses sind nachstehend aufgeführt:

  1. Ausarbeitung grundlegender Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten und Vorlage zur Genehmigung durch die Unternehmensleitung,
  2. Festlegung der Art und Weise der Umsetzung und Überwachung der Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten, Vorlage zur Genehmigung durch die Unternehmensleitung sowie interne Beauftragung und Koordination,
  3. Feststellung der Maßnahmen, die zur Einhaltung des Gesetzes und der einschlägigen Rechtsvorschriften erforderlich sind, Vorlage dieser Maßnahmen zur Genehmigung durch die Unternehmensleitung sowie Überwachung ihrer Umsetzung und Koordination,
  4. Erhöhung des Bewusstseins innerhalb der Gesellschaft und bei den Institutionen, mit denen die Gesellschaft zusammenarbeitet, in Bezug auf den Schutz und die Verarbeitung personenbezogener Daten,
  5. Feststellung möglicher Risiken im Zusammenhang mit den Datenverarbeitungstätigkeiten der Gesellschaft, Sicherstellung der Ergreifung erforderlicher Maßnahmen und Vorlage von Verbesserungsvorschlägen zur Genehmigung durch die Unternehmensleitung,
  6. Entwurf und Durchführung von Schulungen zum Schutz personenbezogener Daten und zur Umsetzung der Richtlinien,
  7. Entscheidung über Anträge betroffener Personen auf höchster Ebene,
  8. Koordination von Informations- und Schulungsmaßnahmen, um sicherzustellen, dass betroffene Personen über Datenverarbeitungstätigkeiten und ihre gesetzlichen Rechte informiert werden,
  9. Ausarbeitung von Änderungen grundlegender Richtlinien zum Schutz und zur Verarbeitung personenbezogener Daten und Vorlage zur Genehmigung durch die Unternehmensleitung,
  10. Verfolgung von Entwicklungen und Regelungen im Bereich des Schutzes personenbezogener Daten und Abgabe von Empfehlungen an die Unternehmensleitung hinsichtlich der innerhalb der Gesellschaft zu ergreifenden Maßnahmen,
  11. Koordination der Beziehungen zum Datenschutzrat und zur Datenschutzbehörde,
  12. Erfüllung weiterer Aufgaben, die von der Unternehmensleitung im Zusammenhang mit dem Schutz personenbezogener Daten übertragen werden.

Ein Teil der genannten Richtlinien ist für den internen Gebrauch bestimmt. Die Grundsätze interner Richtlinien werden, soweit relevant, in öffentliche Richtlinien aufgenommen, um Transparenz und Rechenschaftspflicht in Bezug auf die von unserer Gesellschaft durchgeführten Datenverarbeitungstätigkeiten sicherzustellen.