Datenschutzrichtlinie
1. Einleitung
Olympus Dairy Deutschland GmbH Dairy Deutschland GmbH verwendet im täglichen Geschäftsbetrieb eine Vielzahl von Daten über identifizierbare Personen, einschließlich Daten über:
Aktuelle, frühere und zukünftige Mitarbeiter
Aktuelle, frühere und zukünftige Studenten
Aktuelle, frühere und zukünftige Lehrer
Andere Kunden
Benutzer seiner Websites
Lieferanten / Subunternehmer / Geschäftspartner
Andere Interessengruppen
Bei der Erhebung und Verwendung dieser Daten unterliegt die Organisation einer Reihe von Rechtsvorschriften, die regeln, wie solche Aktivitäten durchgeführt werden dürfen und welche Schutzmaßnahmen getroffen werden müssen, um sie zu schützen.
Der Zweck dieser Richtlinie besteht darin, die einschlägigen Rechtsvorschriften darzulegen und die Schritte zu beschreiben, die Olympus Dairy Deutschland GmbH Dairy Deutschland GmbH unternimmt, um sicherzustellen, dass diese eingehalten werden.
Diese Kontrolle gilt für alle Systeme, Personen und Prozesse, aus denen die Informationssysteme der Organisation bestehen, einschließlich Vorstandsmitglieder, Direktoren, Mitarbeiter, Lieferanten, Schüler, Lehrer und andere Dritte, die Zugriff auf Olympus Dairy Deutschland GmbH-Systeme haben.
Die folgenden Richtlinien und Verfahren sind für dieses Dokument relevant:
Datenschutz-Folgenabschätzungsprozess
Verfahren zur Zuordnung personenbezogener Daten
Verfahren zur Reaktion auf Vorfälle mit Informationssicherheit
Rollen, Verantwortlichkeiten und Befugnisse der DSGVO
Aufbewahrungs- und Schutzrichtlinie für Aufzeichnungen
3 Datenschutzbestimmungen
3.1 Die Allgemeine Datenschutzverordnung
Die Allgemeine Datenschutzverordnung 679/2016 (DSGVO) ist eine der wichtigsten Rechtsvorschriften, die sich auf die Art und Weise auswirken, wie Olympus Dairy Deutschland GmbH seine Informationsverarbeitungsaktivitäten durchführt. Erhebliche Geldbußen werden verhängt, wenn ein Verstoß nach der DSGVO angenommen wird, die zum Schutz der personenbezogenen Daten von Personen in der Europäischen Union dient. Es ist die Politik von Olympus Dairy Deutschland GmbH, sicherzustellen, dass unsere Einhaltung der DSGVO und anderer relevanter Gesetze jederzeit klar und nachweisbar ist.
3.2 Definitionen
In der DSGVO sind insgesamt 26 Definitionen aufgeführt, und es ist nicht angebracht, sie alle hier zu reproduzieren. Die grundlegendsten Definitionen in Bezug auf diese Richtlinie lauten jedoch wie folgt:
Personenbezogene Daten sind definiert als:
Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere physikalische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person;
"Verarbeitung" bedeutet:
jede Operation oder Gruppe von Operationen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt wird, unabhängig davon, ob sie automatisiert durchgeführt werden oder nicht, wie z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung;
"Controller" bedeutet:
die natürliche oder juristische Person, Behörde, Agentur oder andere Einrichtung, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt; Wenn die Zwecke und Mittel einer solchen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt sind, kann der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Ernennung durch das Recht der Union oder der Mitgliedstaaten festgelegt werden.
3.3 Grundsätze für die Verarbeitung personenbezogener Daten
Es gibt eine Reihe grundlegender Prinzipien, auf denen die DSGVO basiert.
Diese sind wie folgt:
1. Personenbezogene Daten sind:
(a) in Bezug auf die betroffene Person rechtmäßig, fair und transparent verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);
(b) für bestimmte, explizite und legitime Zwecke gesammelt und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht vereinbar ist; Eine Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbeschränkung“).
(c) angemessen, relevant und auf das beschränkt, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Datenminimierung“);
(d) genau und erforderlichenfalls auf dem neuesten Stand gehalten werden; Es müssen alle angemessenen Schritte unternommen werden, um sicherzustellen, dass ungenaue personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, ungenau sind, unverzüglich gelöscht oder korrigiert werden („Richtigkeit“).
(e) in einer Form aufbewahrt werden, die es ermöglicht, betroffene Personen nicht länger als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich zu identifizieren; Personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern die personenbezogenen Daten ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 verarbeitet werden, sofern die entsprechenden technischen und organisatorischen Maßnahmen getroffen werden Maßnahmen, die nach dieser Verordnung erforderlich sind, um die Rechte und Freiheiten der betroffenen Person zu schützen („Speicherbeschränkung“);
(f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen („Integrität und Vertraulichkeit“).
2. Der für die Verarbeitung Verantwortliche ist für Absatz 1 („Rechenschaftspflicht“) verantwortlich und kann dessen Einhaltung nachweisen.
Olympus Dairy Deutschland GmbH muss sicherstellen, dass alle diese Grundsätze sowohl bei den derzeit durchgeführten Verarbeitungen als auch im Rahmen der Einführung neuer Verarbeitungsmethoden wie neuer IT-Systeme eingehalten werden. Der Betrieb eines Informationssicherheits-Managementsystems (ISMS), das der internationalen Norm ISO / IEC 27001 entspricht, ist ein wesentlicher Bestandteil dieser Verpflichtung.
3.4 Rechte des Einzelnen
Die betroffene Person hat auch Rechte aus der DSGVO. Diese bestehen aus:
1. Das Recht, informiert zu werden
2. Das Recht auf Zugang
3. Das Recht auf Berichtigung
4. Das Recht auf Löschung
5. Das Recht, die Verarbeitung einzuschränken
6. Das Recht auf Datenportabilität
7. Das Widerspruchsrecht
8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung.
Jedes dieser Rechte wird durch geeignete Verfahren innerhalb von Olympus Dairy Deutschland GmbH unterstützt, die es ermöglichen, die erforderlichen Maßnahmen innerhalb der in der DSGVO angegebenen Fristen zu ergreifen.
Diese Fristen sind in Tabelle 1 aufgeführt.
|
Antrag der betroffenen Person
|
Bearbeitungszeitraum
|
|
Rätten att bli informerad
|
Wenn Daten erfasst werden (sofern von der betroffenen Person angegeben) oder innerhalb eines Monats (falls nicht von der betroffenen Person angegeben)
|
|
Das Recht auf Zugang
|
Ein Monat
|
|
Das Recht auf Berichtigung
|
Ein Monat
|
|
Das Recht auf Löschung
|
Ohne übermäßige Verzögerung
|
|
Das Recht, die Verarbeitung einzuschränken
|
Ohne übermäßige Verzögerung
|
|
Das Recht auf Datenportabilität
|
Ein Monat
|
|
Das Widerspruchsrecht
|
Nach Eingang des Widerspruchs
|
|
Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung.
|
Unbestimmt
|
Tabelle 1 - Bearbeitungszeiträume für Anfragen betroffener Personen
3.5 Zustimmung
Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person bezogen werden, müssen diese Informationen innerhalb einer angemessenen Frist nach Erhalt der Daten und definitiv innerhalb eines Monats bereitgestellt werden.
3.6 Datenschutz durch Design
Olympus Dairy Deutschland GmbH hat das Prinzip des Datenschutzes übernommen und wird sicherstellen, dass bei der Definition und Planung aller neuen oder erheblich geänderten Systeme, die personenbezogene Daten erfassen oder verarbeiten, Datenschutzfragen gebührend berücksichtigt werden, einschließlich des Abschlusses einer oder mehrerer Auswirkungen auf den Datenschutz Einschätzungen.
Die Folgenabschätzung zum Datenschutz umfasst:
· Überlegung, wie und zu welchen Zwecken personenbezogene Daten verarbeitet werden
· Bewertung, ob die vorgeschlagene Verarbeitung personenbezogener Daten sowohl notwendig als auch verhältnismäßig für den / die Zweck (e) ist
· Bewertung der Risiken für Einzelpersonen bei der Verarbeitung personenbezogener Daten
· Welche Kontrollen sind erforderlich, um die identifizierten Risiken anzugehen und die Einhaltung der Rechtsvorschriften nachzuweisen?
Die Verwendung von Techniken wie Datenminimierung und Pseudonymisierung sollte gegebenenfalls in Betracht gezogen werden.
3.7 Übermittlung personenbezogener Daten
Die Übermittlung personenbezogener Daten außerhalb der Europäischen Union muss vor der Übermittlung sorgfältig überprüft werden, um sicherzustellen, dass sie innerhalb der von der DSGVO festgelegten Grenzen liegen. Dies hängt teilweise von dem Urteil der Europäischen Kommission ab, ob die im Empfangsland geltenden Schutzmaßnahmen für personenbezogene Daten angemessen sind, und dies kann sich im Laufe der Zeit ändern.
Konzerninterne internationale Datenübertragungen müssen rechtsverbindlichen Vereinbarungen unterliegen, die als Binding Corporate Rules (BCR) bezeichnet werden und den betroffenen Personen durchsetzbare Rechte gewähren.
3.8 Datenschutzbeauftragter
Eine definierte Rolle des Datenschutzbeauftragten (Data Protection Officer, DPO) ist nach der DSGVO erforderlich, wenn eine Organisation eine Behörde ist, wenn sie eine umfassende Überwachung durchführt oder wenn sie besonders sensible Datentypen in großem Umfang verarbeitet. Der Datenschutzbeauftragte muss über einen angemessenen Kenntnisstand verfügen und kann entweder eine interne Ressource sein oder an einen geeigneten Dienstleister ausgelagert werden.
Basierend auf diesen Kriterien verlangt Olympus Dairy Deutschland GmbH keine Ernennung eines Datenschutzbeauftragten.
3.9 Benachrichtigung über Verstöße
Es ist die Politik von Olympus Dairy Deutschland GmbH, fair und verhältnismäßig zu sein, wenn über die Maßnahmen nachgedacht wird, die ergriffen werden müssen, um betroffene Parteien über Verstöße gegen personenbezogene Daten zu informieren. In Übereinstimmung mit der DSGVO wird die zuständige Datenschutzbehörde (DPA) innerhalb von 72 Stunden informiert, wenn bekannt ist, dass ein Verstoß vorliegt, der wahrscheinlich ein Risiko für die Rechte und Freiheiten des Einzelnen darstellt. Dies wird gemäß unserem Verfahren zur Reaktion auf Informationssicherheitsvorfälle verwaltet, in dem der Gesamtprozess für die Behandlung von Informationssicherheitsvorfällen festgelegt ist.
Nach der DSGVO ist die zuständige Datenschutzbehörde befugt, für Verstöße gegen die Vorschriften eine Reihe von Geldbußen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder zwanzig Millionen Euro, je nachdem, welcher Wert höher ist, zu verhängen.
3.10 Einhaltung der DSGVO
Die folgenden Maßnahmen werden ergriffen, um sicherzustellen, dass Olympus Dairy Deutschland GmbH jederzeit dem Grundsatz der Rechenschaftspflicht der DSGVO entspricht:
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist klar und eindeutig
Alle Mitarbeiter, die mit personenbezogenen Daten befasst sind, verstehen ihre Verantwortung für die Einhaltung guter Datenschutzpraktiken
Alle Mitarbeiter wurden in Datenschutzfragen geschult
Regeln bezüglich der Zustimmung werden befolgt
Betroffenen, die ihre Rechte in Bezug auf personenbezogene Daten ausüben möchten, stehen Routen zur Verfügung, und solche Anfragen werden effektiv bearbeitet
· Regelmäßige Überprüfungen von Verfahren mit personenbezogenen Daten werden durchgeführt
· Privacy by Design wird für alle neuen oder geänderten Systeme und Prozesse übernommen
· Die folgende Dokumentation der Verarbeitungsaktivitäten wird aufgezeichnet:
o Name der Organisation und relevante Details
o Zwecke der Verarbeitung personenbezogener Daten
o Kategorien von Personen und verarbeitete personenbezogene Daten
o Kategorien von Empfängern personenbezogener Daten
o Vereinbarungen und Mechanismen für die Übermittlung personenbezogener Daten an Nicht-EU-Länder, einschließlich Einzelheiten zu den geltenden Kontrollen
o Aufbewahrungspläne für personenbezogene Daten
o Relevante technische und organisatorische Kontrollen vorhanden
Diese Maßnahmen werden im Rahmen der Überprüfung des Managements des Programms zum Schutz personenbezogener Daten regelmäßig überprüft.
