Datenschutzerklärung

Einführung

Die EU-Datenschutz-Grundverordnung (“GDPR”) tritt am 25. Mai 2018 in der Europäischen Union in Kraft und bringt die wichtigsten Änderungen des Datenschutzrechts in zwei Jahrzehnten mit sich. Auf der Grundlage der datenschutzgerechten Gestaltung und eines risikobasierten Ansatzes wurde die Datenschutz-Grundverordnung so konzipiert, dass sie den Anforderungen des digitalen Zeitalters gerecht wird.

Das 21. Jahrhundert bringt eine breitere Nutzung von Technologie, neue Definitionen dessen, was personenbezogene Daten darstellt, und eine enorme Zunahme der grenzüberschreitenden Verarbeitung mit sich. Die neue Verordnung zielt darauf ab, die Datenschutzgesetze und -verarbeitung in der EU zu vereinheitlichen und Einzelpersonen mehr konsistente Rechte auf Zugang und Kontrolle ihrer personenbezogenen Daten zu geben.

Unsere Verpflichtung

GK GRUPA d.o.o. ( ‚Wir‘ oder ‚uns‘ oder ‚unser‘) sind verpflichtet, Gewährleistung der Sicherheit und der Schutz der persönlichen Daten, die wir verarbeiten, und eine nachgiebige und schlüssiges Konzept für den Datenschutz zu gewährleisten. Wir hatten immer ein robustes und wirksames Datenschutzprogramm, das den geltenden Gesetzen entspricht und die Datenschutzgrundsätze beachtet. Wir erkennen jedoch unsere Verpflichtung an, dieses Programm zu aktualisieren und zu erweitern, um den Anforderungen der GDPR und dem Recht der Republik Kroatien zu entsprechen.

GK GRUPA d.o.o. die persönlichen Daten im Rahmen unserer Zuständigkeit zur Sicherung und indeveloping Datenschutzregelung gewidmet sind, die für einen bestimmten Zweck und zeigt ein Verständnis und Wertschätzung für die neue Verordnung wirksam, fit ist. Unsere Vorbereitung und Ziele für BIPR Einhaltung wurden in dieser Aussage und beinhalten die Entwicklung und Implementierung neuer Datenschutz Rollen, Richtlinien, Verfahren, Kontrollen und Maßnahmen zur Sicherung der maximalen und laufenden Compliance zusammengefasst.

Wie bereiten wir uns auf die GDPR vor?

GK GRUPA d.o.o. Wir haben bereits ein einheitliches Datenschutz- und Sicherheitsniveau in unserer gesamten Organisation, jedoch ist es unser Ziel, die GDPR bis zum 25. Mai 2018 vollständig einzuhalten. Unsere Vorbereitung umfasst:

• Information Audit – um ein unternehmensweites Information-Audit durchzuführen, um zu identifizieren und zu bewerten, welche persönlichen Informationen wir besitzen, woher sie kommen, wie und warum sie verarbeitet werden und ob und an wen sie weitergegeben wird.
• Richtlinien und Verfahren – Umsetzung neuer Datenschutzrichtlinien und -verfahren zur Erfüllung der Anforderungen und Standards der Datenschutz-Grundverordnung und aller relevanten Datenschutzgesetze, einschließlich:
  • Datenschutz – unser wichtigstes Grundsatz- und Verfahrensdokument zum Datenschutz wurde überarbeitet, um die Standards und Anforderungen der GDPR zu erfüllen. Rechenschaftspflicht und Governance-Maßnahmen sind vorhanden, um sicherzustellen, dass wir unsere Verpflichtungen und Verantwortlichkeiten verstehen und angemessen verbreiten und demonstrieren; mit einem Schwerpunkt auf Datenschutz durch Design und die Rechte von Einzelpersonen.
  • Datenspeicherung und -löschung – Wir haben unsere Aufbewahrungsrichtlinien und -pläne aktualisiert, um sicherzustellen, dass wir die Grundsätze der Datenminimierung und Speicherbegrenzung einhalten und dass personenbezogene Daten nachgiebig und ethisch gespeichert, archiviert und vernichtet werden. Wir haben dedizierte Löschverfahren eingeführt, um die neue Verpflichtung zur Löschung zu erfüllen, und wissen, wann diese und die Rechte anderer betroffener Personen gelten; zusammen mit etwaigen Ausnahmen, Antwortzeiten und Zuständigkeiten für Benachrichtigungen.
  • Datenverstöße – Unsere Verfahren gegen Verstöße stellen sicher, dass wir Sicherheitsmaßnahmen und Maßnahmen ergreifen, um Verletzungen personenbezogener Daten zum frühestmöglichen Zeitpunkt zu ermitteln, zu bewerten, zu untersuchen und zu melden. Unsere Verfahren sind robust und wurden an alle Mitarbeiter weitergegeben, um sie auf die Berichtslinien und die folgenden Schritte aufmerksam zu machen.
  • Internationale Datenübertragungen und Offenlegungen von Dritten – wo GK GRUPA d.o.o. speichert oder überträgt personenbezogene Daten außerhalb der EU, verfügen wir über robuste Verfahren und Schutzmaßnahmen, um die Integrität der Daten zu sichern, zu verschlüsseln und aufrechtzuerhalten. Unsere Verfahren umfassen eine kontinuierliche Überprüfung der Länder mit ausreichenden Angemessenheitsentscheidungen sowie Bestimmungen für verbindliche Unternehmensregeln; Standarddatenschutzklauseln oder anerkannten Verhaltenskodizes für die Länder ohne. Wir führen mit allen Empfängern personenbezogener Daten strenge Due-Diligence-Prüfungen durch, um zu bewerten und zu verifizieren, dass sie geeignete Schutzmaßnahmen zum Schutz der Informationen, zur Durchsetzung durchsetzbarer Datensubjekte und gegebenenfalls zu wirksamen Rechtsbehelfen für betroffene Personen enthalten.
  • Subject Access Request (SAR) – Wir haben unsere SAR-Verfahren überarbeitet, um den überarbeiteten 30-Tage-Zeitrahmen für die Bereitstellung der angeforderten Informationen und die kostenlose Bereitstellung dieser Bestimmungen zu berücksichtigen. Unsere neuen Verfahren beschreiben detailliert, wie die betroffene Person zu überprüfen ist, welche Schritte zur Bearbeitung einer Zugriffsanforderung unternommen werden, welche Ausnahmen gelten und eine Reihe von Antwortvorlagen, um sicherzustellen, dass die Kommunikation mit den betroffenen Personen konform, konsistent und angemessen ist.
• Rechtsgrundlage für die Verarbeitung – Wir überprüfen alle Verarbeitungsaktivitäten, um die Rechtsgrundlage für die Verarbeitung zu ermitteln und sicherzustellen, dass jede Basis für die Aktivität geeignet ist, auf die sie sich bezieht. Gegebenenfalls führen wir auch Aufzeichnungen über unsere Verarbeitungstätigkeiten, um sicherzustellen, dass unsere Verpflichtungen gemäß Artikel 30 der DSGVO und Anhang 1 des Datenschutzgesetzes erfüllt werden.
• Privatsphäre und Datenschutz – Wir haben unsere Datenschutzerklärung überarbeitet, um der GDPR zu entsprechen und sicherzustellen, dass alle Personen, deren persönliche Daten wir verarbeiten, darüber informiert wurden, warum wir sie benötigen, wie sie genutzt werden und welche Rechte sie haben Informationen werden offen gelegt und welche Schutzmaßnahmen sind zum Schutz ihrer Informationen vorhanden.
• Einholung der Einwilligung – Wir haben unsere Einwilligungsmechanismen für die Beschaffung personenbezogener Daten überarbeitet, um sicherzustellen, dass die einzelnen Personen verstehen, was sie zur Verfügung stellen, warum und wie wir sie verwenden und klare, definierte Möglichkeiten zur Einwilligung in die Verarbeitung ihrer Daten geben. Wir haben strenge Verfahren für die Einholung der Einwilligung entwickelt, um sicherzustellen, dass wir eine zustimmende Einwilligung sowie Zeit- und Datumsaufzeichnungen nachweisen können. und eine einfache Ansicht und Zugriffsmöglichkeit, um die Einwilligung jederzeit zu widerrufen.
• Direktmarketing – Wir haben den Wortlaut und die Prozesse für Direktmarketing überarbeitet, einschließlich klarer Opt-in-Mechanismen für Marketingabonnements; eine klare Benachrichtigung und eine Methode zum Entfernen und Abmelden von Funktionen für alle nachfolgenden Marketingmaterialien.
• Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments – DPIA) – bei denen wir personenbezogene Daten verarbeiten, die als hochriskant eingestuft werden, große Datenmengen verarbeiten oder spezielle Daten zur Kategorie / strafrechtlichen Verurteilung enthalten; Wir haben strenge Verfahren und Bewertungsschemata für die Durchführung von Folgenabschätzungen entwickelt, die den Anforderungen der GDPR gemäß Artikel 35 vollständig entsprechen. Wir haben dokumentierende Prozesse implementiert, die jede Bewertung aufzeichnen, es uns ermöglichen, das Risiko, das von der Verarbeitungstätigkeit ausgeht, zu bewerten und Abhilfemaßnahmen zu ergreifen, um das Risiko für die betroffenen Personen zu verringern.
• Processor Agreements – wo wir für die Verarbeitung personenbezogener Daten in unserem Namen (Payroll, Recruitment, Hosting etc.) Dritte einsetzen, haben wir Compliant Processor Agreements und Due Diligence-Verfahren entworfen, um sicherzustellen, dass sie (ebenso wie wir) und verstehen ihre / unsere GDPR-Verpflichtungen. Diese Maßnahmen umfassen erste und laufende Überprüfungen der erbrachten Dienstleistung, die Notwendigkeit der Verarbeitungstätigkeit, die technischen und organisatorischen Maßnahmen und die Einhaltung der GDPR.
• Spezielle Kategorien Daten – wo wir Informationen über spezielle Kategorien erhalten und verarbeiten, tun wir dies in voller Übereinstimmung mit den Anforderungen von Artikel 9 und verfügen über hochrangige Verschlüsselungen und Schutzmechanismen für alle diese Daten. Daten zu speziellen Kategorien werden nur dort verarbeitet, wo es notwendig ist, und werden nur verarbeitet, wenn wir zuerst die entsprechende Grundlage nach Artikel 9 Absatz 2 oder die Datenschutzbestimmungen gemäß Anhang 1 festgelegt haben. Wenn wir uns auf die Zustimmung zur Verarbeitung verlassen, ist dies ausdrücklich und wird durch eine Unterschrift bestätigt, mit dem Recht, die Zustimmung zu ändern oder zu entfernen, die eindeutig ausgeschildert ist.

Datensubjekt-Rechte

Zusätzlich zu den oben genannten Richtlinien und Verfahren, die sicherstellen, dass Einzelpersonen ihre Datenschutzrechte durchsetzen können, bieten wir einen einfachen Zugang zu Informationen über unsere Website über das Recht einer Person auf Zugang zu persönlichen Informationen, die GK GRUPA d.o.o. Prozesse über sie und Informationen anfordern über:

• Welche persönlichen Informationen wir über sie haben
• Der Zweck der Verarbeitung
• Die Kategorien der betroffenen personenbezogenen Daten
• Die Empfänger, denen die personenbezogenen Daten mitgeteilt wurden / werden
• Wie lange beabsichtigen wir, Ihre persönlichen Daten zu speichern?
• Wenn wir die Daten nicht direkt von ihnen sammeln, Informationen über die Quelle
• Das Recht, unvollständige oder ungenaue Daten über sie zu korrigieren oder zu vervollständigen und das Verfahren, um dies zu beantragen
• Das Recht, die Löschung personenbezogener Daten zu verlangen (sofern zutreffend) oder die Verarbeitung in Übereinstimmung mit den Datenschutzgesetzen einzuschränken sowie jeder Direktvermarktung von uns zu widersprechen und über automatisierte Entscheidungen, die wir verwenden, informiert zu sein
• Das Recht, eine Beschwerde einzureichen oder einen Rechtsbehelf einzulegen, und wer sollte in solchen Fällen Kontakt aufnehmen

Informationssicherheit und technische und organisatorische Maßnahmen

GK GRUPA d.o.o. Es nimmt die Privatsphäre und Sicherheit von Personen und deren persönlichen Daten sehr ernst und ergreift angemessene Maßnahmen und Vorkehrungen, um die von uns verarbeiteten personenbezogenen Daten zu schützen und zu schützen. Wir verfügen über robuste Informationssicherheitsrichtlinien und -verfahren, um personenbezogene Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Zerstörung zu schützen, und verfügen über mehrere Ebenen von Sicherheitsmaßnahmen, darunter:

• Zugriffskontrolle
• Passwortrichtlinie
• Verschlüsselung
• Pseudonymisierung
• Praxis
• Begrenztheit
• IT
• Beglaubigung

GDPR-Rollen und -Mitarbeiter

GK GRUPA d.o.o. hasst Ivica Šipek zum Datenschutzbeauftragten (Data Protection Officer, DPO) ernannt und ein Datenschutzteam ernannt, um unsere Roadmap für die Einhaltung der neuen Datenschutzbestimmungen zu entwickeln und umzusetzen. Das Team ist dafür verantwortlich, das Bewusstsein für die GDPR in der gesamten Organisation zu fördern, unsere GDPR-Bereitschaft zu bewerten, etwaige Lücken zu identifizieren und die neuen Strategien, Verfahren und Maßnahmen umzusetzen.

GK GRUPA d.o.o. ist sich bewusst, dass ein kontinuierliches Bewusstsein und Verständnis der Mitarbeiter für die fortgesetzte Einhaltung der Datenschutzgrundsätze von grundlegender Bedeutung ist und unsere Mitarbeiter in unsere Vorbereitungspläne einbezogen hat. Wir haben ein Mitarbeiterschulungsprogramm eingeführt, das allen Mitarbeitern vor dem 25. Mai 2018 zur Verfügung gestellt wird und Teil unseres Einführungs- und jährlichen Schulungsprogramms ist.