StartPolityka Prywatności

Polityka Prywatności

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Gemäß Art. 13 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG informieren wir Sie, dass:

Administratorem Pani/Pana danych osobowych jest BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy.

Na podstawie przeprowadzonych analiz Administrator danych nie ma obowiązku wyznaczenia inspektora. Administrator przetwarza dane osobowe zwykłe w następujących kategoriach i celu, na podstawie:

    • Jeśli jest Pan/Pani PRACOWNIKIEM BIZON INT Sp. z o.o. to dane osobowe zwykłe są gromadzone w celu

    • obsługi procesu zatrudnienia pracowników BIZON INT Sp. z o.o., spraw pracowniczych oraz archiwizacji dokumentów dotyczących zatrudnienia.

    • Jeśli jest Pan/Pani PRACOWNIKIEM KONTRAHENTA BIZON INT Sp. z o.o. dane osobowe zwykłe; dane te są gromadzone w celu realizacji procesu ofertowania, zawierania umów i zamówień oraz realizacji kontraktów serwisowych tzw. usług.

    • Jeśli jest Pan/Pani KONSUMENTEM dane osobowe zwykłe dotyczące danych konsumentów , osób fizycznych; dane te są zbierane w celu realizacji zamówień dla osób fizycznych.

    1. Dane osobowe będą przechowywane przez okres zależny od obowiązujących przepisów dotyczących rodzaju realizowanej usługi.

    2. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.

    3. Pani/Pana dane osobowe nie są i nie będą udostępniane innym odbiorcom poza przypadkami, gdy taki obowiązek wynika z powszechnie obowiązujących przepisów prawa lub została na to wyrażona Pani/Pana zgoda.

    4. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania. Prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem, listownie na adres: BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy, lub e-mailowo na adres: daneosobowebizon@bizea.com.pl

    5. Ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.(RODO)

    6. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany.

    7. Pani/Pana dane nie będą podlegały profilowaniu.

    8. Bliższe informacje wraz z Polityką Bezpieczeństwa Przetwarzania Danych Osobowych znajdują się na naszej stronie Internetowej oraz w siedzibie Firmy.

 

DATENSCHUTZRICHTLINIE
PRZETWARZANIA DANYCH OSOBOWYCH
bei
BIZON INT Sp. z o.o. z siedzibą: Tomice, ul. Europejska 4, 05-532 Baniocha k. Warszawy

 

Einführung

In Verfolgung des verfassungsmäßigen Rechts jeder Person auf Schutz des Privatlebens und der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016. zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), um technische und organisatorische Maßnahmen zum Schutz verarbeiteter personenbezogener Daten anzuwenden, die den Risiken und den geschützten Datenkategorien angemessen sind, insbesondere zum Schutz der Daten gegen ihre Weitergabe an Unbefugte, ihre Kenntnisnahme durch Unbefugte, ihre Verarbeitung unter Verstoß gegen die vorgenannte Verordnung sowie gegen ihre Veränderung, ihren Verlust, ihre Beschädigung oder ihre Vernichtung, wird die folgende Verfahrensordnung eingeführt.

Kapitel 1
Allgemeine Bestimmungen

§ 1. Für die Zwecke dieses Dokuments gelten folgende Begriffsbestimmungen
1) Verordnung - bedeutet das die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);Datenschutzverordnung);
2) personenbezogene Daten - sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
3) Datensatz - ein strukturierter Satz personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob der Satz zentralisiert, dezentralisiert oder funktional bzw. geografisch verteilt ist;
4) Datenverarbeitung - ist ein Vorgang oder eine Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten oder einer Reihe personenbezogener Daten vorgenommen werden, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Erfassen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten
5) Computersystem - bezeichnet eine Gesamtheit von zusammenwirkenden Geräten, Programmen, Informationsverarbeitungsverfahren und Softwarewerkzeugen, die zum Zweck der Datenverarbeitung eingesetzt werden;
6) Datensicherheit im EDV-System - bedeutet die Implementierung und den Betrieb geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten vor unberechtigter Verarbeitung
7) Löschung der Daten - bedeutet die Vernichtung der personenbezogenen Daten oder ihre Änderung, die keine Identifizierung des Datensubjekts ermöglicht;
8) Verantwortlicher - die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt, so kann der Verantwortliche auch durch das Unionsrecht oder das Recht der Mitgliedstaaten benannt werden, oder es können die spezifischen Kriterien für seine Benennung festgelegt werden;
9) Einwilligung der betroffenen Person - jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person entweder durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt;
10) Datenempfänger - ist jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. Öffentliche Stellen, die im Rahmen eines bestimmten Verfahrens im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten personenbezogene Daten erhalten können, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch diese öffentlichen Stellen muss den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen;
11) Drittland - bezeichnet ein Land, das nicht zum Europäischen Wirtschaftsraum gehört;
12) technische und organisatorische Maßnahmen - bezeichnet die technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Vertraulichkeit, Integrität und Verantwortlichkeit der verarbeiteten personenbezogenen Daten zu gewährleisten;
13) Einschränkung der Verarbeitung - bedeutet die Kennzeichnung gespeicherter personenbezogener Daten, um deren zukünftige Verarbeitung einzuschränken;
14) Profiling - ist jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Faktoren einer Person zu bewerten, insbesondere um Aspekte bezüglich ihrer Leistung, wirtschaftlichen Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder Ortswechsel zu analysieren oder vorherzusagen;
15) Pseudonymisierung - ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und durch technische und organisatorische Maßnahmen sichergestellt ist, die eine Zuordnung zu einer identifizierten oder identifizierbaren natürlichen Person unmöglich machen;
16) Auftragsverarbeiter - ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
17) Verletzung des Schutzes personenbezogener Daten - bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

Kapitel 2
Der für die Verarbeitung personenbezogener Daten Verantwortliche

§ 2. Der für die Verarbeitung Verantwortliche ist insbesondere verpflichtet:

    1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

    2. Prowadzi rejestr czynności przetwarzania. W rejestrze zamieszcza się następujące informacje:

        • den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen sowie etwaiger gemeinsam für die Verarbeitung Verantwortlicher und gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen und des DSB;

        • die Zwecke der Verarbeitung,

        • eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten

        • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

        • gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich des Namens dieses Drittlandes oder dieser internationalen Organisation und - bei Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der Verordnung - Dokumentation der geeigneten Garantien

        • ggf. die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

        • ggf. eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 Absatz 1 der Verordnung,

Kapitel 3
Technische und organisatorische Maßnahmen

§ 3. Der für die Verarbeitung Verantwortliche hat für die Zwecke des Datenschutzes die in der Verordnung genannten Anforderungen zu erfüllen:

a) eine Datenschutz-Folgenabschätzung durchzuführen,
b) eine Risikoanalyse im Hinblick auf die an den jeweiligen Prozessen beteiligten Ressourcen durchzuführen,
c) nur Personen, die von dem für die Verarbeitung Verantwortlichen ermächtigt wurden, dürfen die Daten verarbeiten (Anlage Nr. 1),
d) Betrauungsverträge zur Datenverarbeitung sind gemäß Anlage Nr. 2 abgeschlossen,
e) diese Datenschutzrichtlinie wurde erstellt und umgesetzt.

§ 4. Für den Schutz personenbezogener Daten gilt Folgendes Maßnahmen zum physischen Schutz personenbezogener Daten:

    • personenbezogene Datensätze werden in einem Raum aufbewahrt, der mit einer gewöhnlichen Tür gesichert ist (nicht verstärkt, nicht feuerfest),

    • personenbezogene Datensätze werden in einem mit Türen gesicherten Raum im 1. und 2. Stock aufbewahrt;

    • das Gebäude, in dem der Verantwortliche seinen Sitz hat, ist mit einer einbruchssicheren Alarmanlage ausgestattet

    • der Zugang zu den Räumen, in denen personenbezogene Daten verarbeitet werden, ist durch das Zugangskontrollsystem abgedeckt - die Schlüssel werden an der Rezeption nur an berechtigte Personen ausgegeben.

    • der Zugang zum Gebäude, in dem der Verantwortliche seinen Sitz hat, wird durch das Überwachungssystem mit Hilfe von CCTV-Kameras kontrolliert

    • das Gebäude, in dem der Verantwortliche seinen Sitz hat, wird rund um die Uhr durch den Sicherheitsdienst überwacht,

    • personenbezogene Daten in Papierform werden in einem verschlossenen Metallschrank und in verschlossenen nichtmetallischen Schränken aufbewahrt,

    • Sicherungs-/Archivkopien personenbezogener Datensätze werden in einem verschlossenen, nicht-metallischen Schrank aufbewahrt

    • Räumlichkeiten, in denen Dateien mit personenbezogenen Daten verarbeitet werden, sind durch eine Brandschutzanlage und/oder einen freistehenden Feuerlöscher gegen Brandeinwirkung geschützt,

    • Dokumente, die personenbezogene Daten enthalten, werden nach Ablauf ihrer Verwendbarkeit maschinell mit Hilfe von Aktenvernichtern vernichtet.

§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

    • die für die Verarbeitung personenbezogener Daten verwendeten Computer sind an ein lokales Computernetzwerk angeschlossen,

    • um das zur Verarbeitung personenbezogener Daten genutzte IT-System vor den Auswirkungen eines Stromausfalls zu schützen, werden Geräte vom Typ USV, Stromgenerator und/oder ein separates Stromnetz eingesetzt,

    • der Zugriff auf einen Satz personenbezogener Daten, der auf einer separaten Computerstation/ einem tragbaren Computer verarbeitet wird, ist mit einem Passwort gegen unbefugte Aktivierung geschützt

    • der Zugriff auf das Betriebssystem eines Computers, auf dem personenbezogene Daten verarbeitet werden, ist durch eine Authentifizierung mit einer Benutzerkennung und einem Passwort geschützt,

    • es wurden Maßnahmen ergriffen, um unbefugte Kopien von personenbezogenen Daten, die mit IT-Systemen verarbeitet werden, zu verhindern,

    • es wurde ein System der Registrierung des Zugriffs auf das System/der Sammlung von persönlichen Daten verwendet,

    • für personenbezogene Daten, die mittels Fernübertragung übermittelt werden, wurden Mittel des kryptographischen Datenschutzes eingesetzt,

    • die Festplattenmatrix wurde verwendet, um persönliche Daten vor den Auswirkungen eines Ausfalls des Festplattenspeichers zu schützen,

    • es wurden Maßnahmen zum Schutz personenbezogener Daten vor Schadsoftware, wie z. B. Würmern, Viren, Trojanern, Rootkits, getroffen

    • zum Schutz des Zugriffs auf das Computernetzwerk wurde ein Firewall-System eingesetzt,

    • IDS/IPS-System wird verwendet, um den Zugriff auf das Computernetzwerk zu schützen.

§ 6. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

    • es sind Maßnahmen getroffen, um die Zugriffsrechte auf den angegebenen Datenbereich innerhalb des Systems der verarbeiteten personenbezogenen Daten zu bestimmen,

    • der Zugriff auf die Datenablage in dem in IT-Systemen verarbeiteten Teil erfordert eine Authentifizierung mit einer Benutzerkennung und einem Passwort,

    • es wurden systemische Mittel eingesetzt, die es ermöglichen, angemessene Zugriffsrechte auf IT-Ressourcen, einschließlich personenbezogener Dateien, für bestimmte Benutzer des IT-Systems zu bestimmen,

    • es wurde ein Mechanismus zur Erzwingung der periodischen Änderung von Passwörtern für den Zugriff auf persönliche Datensätze angewendet,

    • Bildschirmschoner wurden an Stellen installiert, an denen personenbezogene Daten verarbeitet werden

    • ein Mechanismus zur automatischen Sperrung des Zugriffs auf das IT-System, das für die Verarbeitung personenbezogener Daten verwendet wird, bei längerer Inaktivität des Benutzers (Bildschirmschoner) angewendet wurde,

    • § 7. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

    • die mit der Verarbeitung der Daten beauftragten Personen mit den Vorschriften des Datenschutzes vertraut gemacht worden sind,

    • die an der Verarbeitung personenbezogener Daten beteiligten Personen wurden im Hinblick auf die Sicherheit des IT-Systems geschult,

    • die an der Verarbeitung von personenbezogenen Daten beteiligten Personen zur Geheimhaltung verpflichtet waren,

    • Bildschirme der zur Verarbeitung personenbezogener Daten eingesetzten Computer sind so eingestellt, dass Außenstehende keinen Einblick in die verarbeiteten Daten haben,

    • Sicherungskopien des Satzes personenbezogener Daten werden in einem anderen Raum aufbewahrt als in dem, in dem sich der Server befindet, auf dem die personenbezogenen Daten verarbeitet werden,

    • der Verantwortliche bestimmt die Grundregeln der Sicherheit, die für alle Mitarbeiter des Unternehmens verbindlich sind, d.h:

        • das Prinzip der notwendigen Kenntnisse - Beschränkung des Zugriffs auf Daten nur auf solche, die zur Erfüllung der Aufgaben einer bestimmten Funktion erforderlich sind,

        • das Prinzip der Ressourcenverantwortung - der Verarbeiter ist für die von ihm verarbeiteten Daten verantwortlich und ist verpflichtet, die festgelegten Sicherheitsverfahren in dieser Hinsicht einzuhalten,

        • das Prinzip des abgeschlossenen Raums - keine unbefugten Personen sollten allein im Raum gelassen werden (in Abwesenheit einer autorisierten Person), Räume sollten beim Verlassen unbedingt abgeschlossen werden und Schlüssel sollten nicht in Schlössern stecken,

        • Clean-Desk-Regel - Papierdokumente und Datenträger (CDs, DVDs, USB-Sticks, etc.) werden unbeaufsichtigt auf dem Schreibtisch liegen lassen,

        • Grundsatz der Vertraulichkeit der Konten in den Systemen - jeder Mitarbeiter ist verpflichtet, in den EDV-Systemen auf den ihm zugewiesenen Konten zu arbeiten, es ist strengstens verboten, Konten für Personen zugänglich zu machen, die ihnen nicht zugewiesen wurden,

        • Regel der Vertraulichkeit von Passwörtern und Zugangscodes - Wahrung der Vertraulichkeit und keine Weitergabe von Passwörtern und Zugangscodes an unbefugte Personen, insbesondere gilt diese Regel für persönliche Zugangspasswörter zu EDV-Systemen und geschützten Bereichen,

        • Grundsatz der Nutzung dienstlicher E-Mails - jede Person, die berechtigt ist, Daten in Erfüllung dienstlicher Pflichten zu verarbeiten, nutzt ausschließlich dienstliche E-Mails, die Nutzung privater E-Mails ist in diesem Zusammenhang untersagt,

        • zasada czystego ekranu – blokowanie komputera przed każdym opuszczeniem pomieszczenia, w przypadku dłuższej nieobecności w pomieszczeniu konieczne jest wylogowanie się z systemu,

        • Clean-Desktop-Regel - auf dem Computer-Desktop sollten nur Icons von Standardsoftware und offiziellen Anwendungen sowie Verknüpfungen zu Ordnern platziert werden, sofern deren Namen keine Daten, insbesondere keine persönlichen Daten, enthalten, die unkontrolliert offengelegt werden können (z. B. während einer Präsentation)

        • das Prinzip der sauberen Drucker/Kopierer - Entnahme von Dokumenten aus den Druckern unmittelbar nach dem Ausdrucken, insbesondere betrifft dieses Prinzip Dokumente, die in Druckern, die sich in einem anderen Raum befinden, liegen,

        • Prinzip des sauberen Mülleimers - Papierdokumente, mit Ausnahme von Werbematerialien, sollten in Aktenvernichtern oder durch eine externe Firma vernichtet werden,

        • zasada legalności oprogramowania – zakaz samodzielnego instalowania oprogramowania, w tym w szczególności przechowywania na komputerze treści naruszających prawa autorskie oraz innych nielegalnych danych,

        • Grundsatz der Meldung von Sicherheitsvorfällen - jeder Datenverarbeiter ist verpflichtet, Informationssicherheitsvorfälle, d.h. unbefugte Offenlegung, Zerstörung oder Änderung von Informationen, gemäß dem in Kapitel 8 festgelegten Verfahren zu melden,

        • zasada korzystania z zasobów Spółki – dane, będące w posiadaniu administratora danych, mogą być przetwarzane wyłącznie w środkach przetwarzania dopuszczonych do wykorzystania w Spółce, w szczególności zabrania się korzystania w tym celu z prywatnych środków przetwarzania danych,

        • das Prinzip der Nichtverwendung von Namen mit personenbezogenen Daten bei der Kennzeichnung von Dateien, Ordnern usw.

        • Angemessener Schutz der Hardware-Ressourcen des Unternehmens, die für geschäftliche Zwecke genutzt werden - tragbare Computer, Telefone, Smartphones, Tablets und andere Geräte, die von den Datenverarbeitern des Unternehmens für geschäftliche Zwecke genutzt werden, sollten angemessen vor unbefugtem Zugriff geschützt und zumindest mit einem Passwort zur Aktivierung des Geräts versehen sein.

 

Kapitel 4
DPIA-Verfahren
(Data Protection Impact Assessment)

§ 8. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza się dla każdego procesu.
§ 9. DPIA ist jedes Mal durchzuführen, wenn eine wesentliche Änderung des Prozesses der Verarbeitung personenbezogener Daten eintritt, z. B. Wechsel des Dienstleisters, Änderung der Datenverarbeitungsmethode, Austausch der am Prozess beteiligten Ressourcen.
§ 10. Die Datenschutzfolgenabschätzung wird zusammen mit der Risikoanalyse mindestens einmal jährlich in Bezug auf die Prozesse durchgeführt, die als Ergebnis der zuvor durchgeführten Datenschutzfolgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen angezeigt haben.

 

Kapitel 5
Verfahren zur Risikoanalyse und Plan zum Umgang mit dem Risiko

§ 11. Der Verantwortliche hat die Risikoanalyse für die an den Prozessen beteiligten Ressourcen durchzuführen.
§ 12. Die Risikoanalyse ist mindestens einmal jährlich durchzuführen und bildet die Grundlage für die Aktualisierung des Verfahrens zum Umgang mit Risiken.
§ 13. Auf der Grundlage der Ergebnisse der durchgeführten Risikoanalyse setzt der Datenverwalter selbstständig die Methoden des Risikomanagements um.
§ 14. Der für die Verarbeitung Verantwortliche wählt jedes Mal die Art und Weise des Umgangs mit dem Risiko und bestimmt, welche Risiken und in welcher Reihenfolge zuerst berücksichtigt werden sollen.

Kapitel 6
Verfahren der Zusammenarbeit mit externen Unternehmen

§ 15.1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych
2. Der für die Verarbeitung Verantwortliche führt das Register der externen Subjekte, denen die personenbezogenen Daten zur Verarbeitung anvertraut wurden.
§ 16. Każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług ma zamiar skorzystać z wykorzystaniem procedury współpracy z podmiotami zewnętrznymi .

Kapitel 7
Verfahren zum Schutz der Daten durch Voreinstellung
(Berücksichtigung des Datenschutzes in der Entwurfsphase)

§ 17. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania. Wdraża odpowiednie środki techniczne i organizacyjne aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania ( ilość zbieranych danych, zakres i okres przetwarzanych danych oraz ich dostępność).
§ 18. Im Falle der Absicht, die Verarbeitung personenbezogener Daten in einem neuen Prozess zu beginnen, muss der Verantwortliche die Datenschutzfolgenabschätzung für diesen Prozess durchführen.

Kapitel 8
Verfahren zum Management von Vorfällen

§ zwanzig. W każdym przypadku naruszenia ochrony danych osobowych, administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
§ 21. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia z wykorzystaniem procedury zarządzania incydentami bezpieczeństwa.
§ 22. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności w oparciu o wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
§ 23. Administrator danych dokumentuje naruszenia oraz prowadzi rejestr naruszeń , które skutkują naruszeniem praw i wolności osób fizycznych.

Kapitel 9
Verfahren zur Verwirklichung der individuellen Rechte

§ 24. Der für die Verarbeitung Verantwortliche hat jeden Einzelfall zu prüfen, wenn eine betroffene Person den Willen zur Ausübung ihrer Rechte gemäß der Verordnung mitteilt.
§ 25. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

    • Recht auf Zugang zu den Daten,

    • Recht auf Berichtigung der Daten,

    • Recht auf Löschung der Daten,

    • Recht auf Datenübertragbarkeit,

    • Recht auf Widerspruch gegen die Verarbeitung der Daten,

    • Recht, keinen Entscheidungen unterworfen zu werden, die ausschließlich auf Profiling beruhen.

§ 26. Bei Ausübung des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung unterrichtet der für die Verarbeitung Verantwortliche unverzüglich die Empfänger der Daten, denen er die Daten übermittelt hat, es sei denn, dies ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand.
§ 27. Der für die Verarbeitung Verantwortliche darf die Ausübung der Rechte der betroffenen Personen verweigern, wenn sich eine solche Möglichkeit aus den Bestimmungen der Verordnung ergibt; die Verweigerung der Ausübung der Rechte der betroffenen Personen bedarf jedoch einer Begründung unter Angabe der sich aus der Verordnung ergebenden Rechtsgründe.

Kapitel 10
Verfahren zur Einholung der Einwilligung und zur Unterrichtung der betroffenen Person

§ 28. 1. Wenn Daten direkt von der betroffenen Person erhoben werden, erfüllt der für die Verarbeitung Verantwortliche die Informationspflicht gegenüber der betroffenen Person.
2. Im Falle der Erhebung von Daten eines Mitarbeiters ist die Muster-Informationspflicht anzuwenden.
§ 29. In jedem Fall der Erhebung von Daten aus anderen Quellen als der betroffenen Person hat der für die Verarbeitung Verantwortliche die Informationspflicht gegenüber der betroffenen Person unverzüglich, spätestens jedoch beim ersten Kontakt mit der betroffenen Person zu erfüllen,
§ 30. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul.

Kapitel 11
Schlussbestimmungen

§ 31. Alle in diesem Dokument beschriebenen Grundsätze sind von den zur Verarbeitung personenbezogener Daten berechtigten Personen unter besonderer Berücksichtigung der Interessen der Betroffenen zu beachten.
§ 32. Dieses Dokument ist ab dem Datum seiner Genehmigung durch den Verantwortlichen verbindlich

de_DEDeutsch
de_DEDeutsch pl_PLPolski en_GBEnglish (UK) ro_RORomână lt_LTLietuvių kalba ru_RUРусский ukУкраїнська