Pošalji poruku
+385 1 3820 050

Nutzungsbedingungen

VERORDNUNG ÜBER DIE VERARBEITUNG UND DEN SCHUTZ PERSONENBEZOGENER DATEN der Handelsgesellschaft Opereta d.o.o.

Auf Grundlage der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Amtsblatt der Europäischen Union, L 119/1, 04.05.2016.) – im Folgenden “Datenschutz-Grundverordnung” oder “Verordnung” – und des Gesetzes zur Umsetzung der Datenschutz-Grundverordnung (NN 42/2018, im Folgenden “Gesetz”) erlässt die Geschäftsführung der Handelsgesellschaft Opereta d.o.o., mit Sitz in Zagreb, Božidara Magovca 63, USt-IdNr.: 24059421894 (im Folgenden: “Gesellschaft”), vertreten durch den Geschäftsführer Borislav Vujović, der die Gesellschaft selbstständig und einzeln vertritt, am 12.05.2018 folgende

I. GRUNDLEGENDE BESTIMMUNGEN

Artikel 1.

(1) Diese Verordnung über die Datenverarbeitung (im Folgenden: “Verordnung”) regelt und legt die Rechte von Einzelpersonen in Bezug auf die Verarbeitung personenbezogener Daten und Regeln im Zusammenhang mit dem freien Verkehr personenbezogener Daten in Bezug auf personenbezogene Daten fest, die von der Gesellschaft erhoben, verarbeitet, gespeichert und weitergeleitet werden.

(2) Diese Verordnung legt die Verfahren zur Verarbeitung personenbezogener Daten im Sinne des in dieser Verordnung festgelegten Verarbeitungsbegriffs in Bezug auf die konkreten Verarbeitungsvorgänge fest, die die Gesellschaft in Bezug auf personenbezogene Daten durchführt.

(3) Die Bestimmungen dieser Verordnung gelten vollständig und unmittelbar für alle personenbezogenen Daten von natürlichen Personen, deren personenbezogene Daten von der Gesellschaft verarbeitet werden.

II. DEFINITIONEN

Artikel 2.

(1) Die folgenden Begriffe haben im Sinne dieser Verordnung folgende Bedeutungen:

„personenbezogene Daten” bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

„betroffene Person” bezeichnet eine identifizierbare natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

„Verarbeitung” bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

„Einschränkung der Verarbeitung” bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

„Profiling” bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

„Pseudonymisierung” bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

„Dateisystem” bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

„Verantwortlicher” bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgeschrieben werden, und im Sinne dieser Verordnung stellt dies die Gesellschaft dar;

„Auftragsverarbeiter” bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und von der Gesellschaft als Verantwortlicher für die Datenverarbeitung zu speziell vorgeschriebenen Zwecken wie Lohnabrechnung, Arbeitsschutzaufzeichnungen usw. ernannt wurde;

„Empfänger” bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

„Dritter” bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

„Einwilligung” der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

„Verletzung des Schutzes personenbezogener Daten” bezeichnet eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

„genetische Daten” bezeichnet personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;

„biometrische Daten” bezeichnet mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

„Gesundheitsdaten” bezeichnet personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

„Vertreter” bezeichnet eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

„Unternehmen” bezeichnet eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

„Unternehmensgruppe” bezeichnet eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

„verbindliche interne Datenschutzvorschriften” bezeichnet Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet, im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;

„Aufsichtsbehörde” bezeichnet die Agentur für den Schutz personenbezogener Daten oder eine andere unabhängige staatliche Stelle, die von der Republik Kroatien eingerichtet wurde und für die Überwachung der Anwendung der Verordnung und des Gesetzes verantwortlich ist, um die Grundrechte und Freiheiten von natürlichen Personen in Bezug auf die Verarbeitung zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Europäischen Union zu erleichtern.

„betroffene Aufsichtsbehörde” bezeichnet eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil:

a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,

b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder

c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.

„grenzüberschreitende Verarbeitung” bezeichnet entweder:

a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.

„maßgeblicher und begründeter Einspruch” bezeichnet einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob Maßnahmen in Bezug auf den Verantwortlichen oder Auftragsverarbeiter gemäß dieser Verordnung vorgesehen sind, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;

„Arbeitnehmer” jede Person, die in der Gesellschaft aufgrund eines Arbeitsvertrags oder Managementvertrags beschäftigt ist

(2) Andere in dieser Verordnung verwendete Begriffe haben die Bedeutung gemäß der Verordnung und dem Gesetz.

 

III. ARTEN VON DATEN

Artikel 3.

(1) Personenbezogene Daten werden nach Kategorien von Personen wie folgt unterteilt:

  • personenbezogene Daten von Mitarbeitern;
  • personenbezogene Daten von potenziellen Mitarbeitern;
  • personenbezogene Daten von natürlichen Personen, die Lieferanten sind und/oder Vertreter von Lieferanten;
  • personenbezogene Daten von natürlichen Personen, die Dienstleistungsempfänger sind und/oder Vertreter von Dienstleistungsempfängern.

(2) Personenbezogene Daten, nach Arten von personenbezogenen Daten, umfassen insbesondere, jedoch nicht ausschließlich:

  • Name und Nachname,
  • Registrierungsnummer, OIB;
  • Geburtsdatum;
  • Personalausweisnummer;
  • Reisepassnummer;
  • Name des Vaters oder der Mutter;
  • Wohnsitz und Adresse;
  • Geburtsort;
  • Krankenversicherungsnummer;
  • Rentenversicherungsnummer;
  • Zweite Rentenversicherung;
  • Art des Arbeitsverhältnisses (befristet, unbefristet, Werkvertrag);
  • Arbeitsplatz;
  • Ausbildungsgrad (SSS, VŠS, VSS);
  • Qualifikation betroffenen Person;
  • Bankkontonummer;
  • Berufserfahrung vor dem Arbeitgeber;
  • Datum des Beginns des Arbeitsverhältnisses;
  • Datum der Beendigung des Arbeitsverhältnisses;
  • Grund für die Beendigung des Arbeitsverhältnisses (Rente, Kündigung, usw.);
  • Arbeitszeit des Mitarbeiters;
  • Daten über die in Anspruch genommenen Arbeitsrechte (z.B. Mutterschaftsurlaub, Krankenstand, usw.);
  • Status beschäftigt/arbeitslos;
  • Schule/Beruf;
  • Klasse;
  • Vor- und Nachname des Elternteils (Vormunds);
  • Personalausweisnummer des Elternteils (Vormunds);

(3) Es ist verboten, personenbezogene Daten zu sammeln und zu verarbeiten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft offenbaren, sowie genetische Daten, biometrische Daten, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person zu verarbeiten, es sei denn, dies ist durch die Verordnung ausdrücklich vorgesehen.

Artikel 4.

(1) Das Unternehmen sammelt die folgenden personenbezogenen Daten:

  1. Grundlegende personenbezogene Daten: Vor- und Nachname, Wohnadresse, persönliche Identifikationsnummer (OIB), Geburtsdatum, Geschlecht, Handynummer und Kontaktdaten (Wohnadresse, E-Mail, Telefonnummer), Informationen über die Art des Vertragsverhältnisses und dessen Inhalt;
  2. Weitere personenbezogene Daten, die betroffene Person oder Dritte dem Unternehmen im Rahmen eines Arbeits-, Geschäfts- oder sonstigen Verhältnisses oder während der Dauer eines Arbeits-, Geschäfts- oder sonstigen Verhältnisses zur Verfügung stellen, wie z.B. Daten aus dem Personalausweis, Bankkonto, Unterschrifts- oder Vertretungsbefugnisse, wobei hier keine datenschutzsensiblen Daten wie insbesondere Informationen über die rassische oder ethnische Zugehörigkeit, politische oder religiöse Überzeugungen oder Weltanschauungen, genetische Daten oder Gesundheitsdaten enthalten sind;
  3. Daten über die Nutzung der Produkte und Dienstleistungen des Unternehmens und deren Inhalte, z.B. Beschreibung der gekauften und genutzten Produkte und Dienstleistungen, Nutzungsweise.

(2) Personenbezogene Daten werden entweder direkt von der betroffenen Person (mündlich und schriftlich) oder indirekt von Dritten erhoben.

(3) Je nach Art und Zweck der personenbezogenen Daten werden die gesammelten personenbezogenen Daten verarbeitet, archiviert und gegebenenfalls weitergeleitet, alles gemäß der in Anhang 1 der Verordnung dargestellten Übersicht.

 

IV. DATENVERARBEITUNG

Artikel 5.

(1) Die personenbezogenen Daten der betroffenen Person werden zu folgenden Zwecken verarbeitet:

  1. Begründung eines Arbeitsverhältnisses der betroffenen Person – Erfüllung der gesetzlichen Verpflichtungen des Unternehmens als Arbeitgeber
  2. Durchführung von Geschäftsbeziehungen – Abschluss und Erfüllung von Verträgen des Unternehmens mit der betroffenen Personen (Kunden/Lieferanten)
  3. Gewährleistung von Sicherheit und Schutz des Eigentums des Unternehmens – Erfassung von Ein- und Ausgängen der betroffenen Person in den Räumlichkeiten des Unternehmens sowie Überwachungskameras
  4. Bearbeitung von Beschwerden der betroffenen Person (Kunden, Lieferanten)

(2) Die personenbezogenen Daten werden im Unternehmen verarbeitet:

  1. auf Grundlage gesetzlicher und untergesetzlicher Vorschriften, wenn dies zur Erfüllung der rechtlichen Verpflichtungen des Unternehmens erforderlich ist, insbesondere gemäß dem geltenden Arbeitsgesetz, dem Rechnungslegungsgesetz, dem Handelsgesetz, dem Immobilienvermittlungsgesetz, dem Verbraucherschutzgesetz, dem Gesetz über Handelsgesellschaften, dem Dienstleistungsgesetz, dem Schuldrecht, der Allgemeinen Datenschutzverordnung, der Betriebsordnung des Unternehmens und anderen anwendbaren Vorschriften sowie zur Erfüllung von Aufgaben, die im öffentlichen Interesse durchgeführt werden;
  2. auf Grundlage der Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere spezifische Zwecke;
  3. wenn die Verarbeitung für die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich ist;
  4. auf Grundlage interner Richtlinien des Unternehmens, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist;
  5. zur Forderungseintreibung und zur Kontaktaufnahme mit der betroffenen Person – personenbezogene Daten werden grundsätzlich nach Beendigung des Vertragsverhältnisses gelöscht, spätestens jedoch nach Ablauf aller gesetzlichen Verpflichtungen zur Aufbewahrung personenbezogener Daten, es sei denn, es wurde ein Verfahren zur Zwangseintreibung unbezahlter Forderungen eingeleitet, bis zur endgültigen Beendigung des Verfahrens, oder zur Kontaktaufnahme mit der betroffenen Person während des Vertragsverhältnisses sowie nach Beendigung des Vertragsverhältnisses für einen Zeitraum von einem Jahr, über Kommunikationskanäle, für die das Unternehmen die Einwilligung der betroffenen Person erhalten hat, wie E-Mail, soziale Netzwerke und schriftlich (per Post).

Artikel 6.

(1) Das Unternehmen stellt alle rechtlichen, technischen und organisatorischen Voraussetzungen zur Einhaltung der Grundprinzipien der Verarbeitung personenbezogener Daten sicher.

(2) Personenbezogene Daten müssen:

  1. rechtmäßig, fair und transparent in Bezug auf die betroffene Person verarbeitet werden;
  2. für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung für Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken;
  3. angemessen, relevant und auf das notwendige Maß in Bezug auf die Zwecke, für die sie verarbeitet werden, beschränkt sein;
  4. richtig und erforderlichenfalls auf dem neuesten Stand sein, wobei das Unternehmen alle angemessenen Maßnahmen ergreifen muss, um sicherzustellen, dass unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden, unter Berücksichtigung der Zwecke, für die sie verarbeitet werden;
  5. in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger aufbewahrt werden, wenn sie ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, wobei geeignete technische und organisatorische Maßnahmen getroffen werden müssen;
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung durch den Einsatz geeigneter technischer oder organisatorischer Maßnahmen.

Artikel 7.

(1) Die Verarbeitung personenbezogener Daten durch Videoüberwachung bezieht sich auf die Erhebung und Weiterverarbeitung personenbezogener Daten, die die Erstellung von Aufzeichnungen umfassen, die Teil eines Speichersystems sind oder dazu bestimmt sind, Teil eines solchen Systems zu werden.

(2) Die Verarbeitung personenbezogener Daten durch Videoüberwachung erfolgt gemäß der Videoüberwachungsrichtlinie und nur zu Zwecken, die notwendig und gerechtfertigt sind, um den Schutz von Personen und Eigentum zu gewährleisten.

(3) Die Videoüberwachung umfasst nur Räume oder Teile von Räumen, deren Überwachung zur Erreichung des im vorstehenden Absatz genannten Zwecks erforderlich ist.

(4) Ein Objekt oder ein bestimmter Raum darin, der unter Videoüberwachung steht, ist so gekennzeichnet, dass das Zeichen spätestens beim Betreten des Überwachungsbereichs sichtbar ist.

(5) Die Kennzeichnung aus dem vorherigen Absatz muss alle relevanten Informationen gemäß den Bestimmungen von Artikel 13 dieser Richtlinie enthalten, insbesondere ein einfaches und leicht verständliches Bild mit einem Text, der den betroffenen Personen folgende Informationen liefert:

  • dass der Bereich videoüberwacht wird,
  • Angaben zum Unternehmen (Verantwortlicher),
  • Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen, über die die betroffene Person ihre Rechte geltend machen kann.

(6) Das Recht auf Zugang zu personenbezogenen Daten, die durch Videoüberwachung erhoben wurden, hat die verantwortliche Person des Unternehmens und/oder eine von ihm bevollmächtigte Person.

(7) Aufzeichnungen aus dem Videoüberwachungssystem dürfen nicht entgegen den in Absatz 2 dieses Artikels festgelegten Zwecken verwendet werden.

(8) Das Videoüberwachungssystem ist vor dem Zugriff unbefugter Personen geschützt.

(9) Der Verantwortliche ist verpflichtet, ein Protokollsystem zur Erfassung des Zugriffs auf Videoüberwachungsaufzeichnungen einzurichten, das die Zeit und den Ort des Zugriffs sowie die Kennzeichnung der Personen enthält, die auf die durch Videoüberwachung erhobenen Daten zugegriffen haben.

(10) Aufzeichnungen, die durch Videoüberwachung erhalten wurden, dürfen höchstens 6 Monate lang aufbewahrt werden, gemäß dem Gesetz zur Umsetzung der Allgemeinen Datenschutzverordnung, es sei denn, ein anderes Gesetz schreibt eine längere Aufbewahrungsfrist vor oder wenn sie als Beweismittel in einem Gerichts-, Verwaltungs-, Schiedsgerichts- oder einem anderen gleichwertigen Verfahren dienen.

(11) Die Verarbeitung personenbezogener Daten von Arbeitnehmern durch Videoüberwachung von Arbeitsräumen darf nur erfolgen, wenn neben den im Gesetz zur Umsetzung der Allgemeinen Datenschutzverordnung festgelegten Bedingungen auch die im Arbeitsschutzgesetz festgelegten Bedingungen erfüllt sind und die Arbeitnehmer vorab über diese Maßnahme informiert wurden und der Arbeitgeber die Mitarbeiter vor der Entscheidung über die Einrichtung des Videoüberwachungssystems informiert hat.

(12) Die Videoüberwachung von Arbeitsräumen darf keine Räume zur Erholung, persönlichen Hygiene oder zum Umkleiden umfassen.

 

Artikel 8.

(1) Das Unternehmen führt ein Verzeichnis der Verarbeitungstätigkeiten sowohl in elektronischer als auch in schriftlicher Form.

(2) Im Verzeichnis werden für jede Kategorie von betroffenen Personen der Zweck der Verarbeitung, die verarbeiteten personenbezogenen Daten, die Grundlage und Art der Erhebung, der Aufbewahrungsort, die Aufbewahrungsdauer und die Art des Schutzes angegeben.

(3) Der Geschäftsführer des Unternehmens wird per Beschluss eine Person benennen, die für die Führung des Verzeichnisses der Verarbeitungstätigkeiten verantwortlich ist.

Artikel 9.

(1) Personenbezogene Daten, die erhoben und verarbeitet werden, werden grundsätzlich gelöscht, sobald der Zweck, für den sie erhoben wurden, erfüllt ist, spätestens jedoch nach Ablauf aller gesetzlichen Aufbewahrungspflichten.

(2) Personenbezogene Daten von Arbeitnehmern werden für die im Gesetz, in untergesetzlichen Vorschriften oder in internen Richtlinien des Unternehmens festgelegte Dauer aufbewahrt.

(3) Personenbezogene Daten von Personen, die sich für eine Anstellung im Unternehmen interessieren, werden so lange aufbewahrt, wie die Tätigkeit, für die sie verarbeitet werden, andauert, jedoch nicht länger als 2 (zwei) Jahre.

Artikel 10.

Einwilligungen der betroffenen Personen, die für die Kontaktaufnahme und andere Zwecke außerhalb der gesetzlich vorgeschriebenen Grundlagen für die Erhebung personenbezogener Daten erteilt wurden, gelten bis zum Widerruf und können jederzeit widerrufen werden.

Artikel 11.

(1) Die für die Verarbeitung personenbezogener Daten autorisierten Personen verarbeiten personenbezogene Daten auf der Grundlage der Beschreibung der Aufgaben, die sie ausführen. Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, unterzeichnen eine Vertraulichkeitserklärung, mit der sie sich verpflichten, die Vertraulichkeit aller personenbezogenen Daten, zu denen sie Zugang haben und die sie verarbeiten, zu wahren und diese Daten ausschließlich für den vorgesehenen Zweck zu verwenden.

(2) Bei der Erhebung personenbezogener Daten sind die Mitarbeiter des Unternehmens verpflichtet, die betroffene Person über den Zweck und die Rechtsgrundlage der Verarbeitung zu informieren.

V. RECHTE DER BETROFFENEN PERSON

Artikel 12.

(1) Recht auf Berichtigung: Wenn das Unternehmen unvollständige oder unrichtige personenbezogene Daten verarbeitet, kann die betroffene Person jederzeit verlangen, dass das Unternehmen diese Daten berichtigt oder ergänzt.

(2) Recht auf Löschung: Die betroffene Person kann die Löschung ihrer personenbezogenen Daten verlangen, wenn das Unternehmen diese ohne gültigen Zweck oder unrechtmäßig verarbeitet hat.

(3) Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann die Einschränkung der Verarbeitung ihrer Daten in folgenden Fällen verlangen:

  • Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten für einen Zeitraum, der es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • Die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung ihrer Nutzung;
  • Der Verantwortliche benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung, aber die betroffene Person benötigt sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 der Verordnung eingelegt und wartet auf die Bestätigung, ob die berechtigten Gründe des Verantwortlichen die Gründe der betroffenen Person überwiegen.

(4) Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen, dass ihre personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format an einen anderen Verantwortlichen übertragen werden, wenn das Unternehmen diese Daten auf Grundlage der Einwilligung der betroffenen Person oder zur Erfüllung vertraglicher Verpflichtungen verarbeitet und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(5) Widerspruchsrecht: Die betroffene Person hat das Recht, jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten einzulegen. Das Unternehmen darf die personenbezogenen Daten dann nicht mehr verarbeiten, es sei denn, es kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(6) Recht auf Beschwerde: Wenn die betroffene Person der Meinung ist, dass das Unternehmen bei der Verarbeitung ihrer Daten gegen kroatische oder europäische Vorschriften zum Schutz personenbezogener Daten verstoßen hat, hat sie das Recht, innerhalb von 15 (fünfzehn) Tagen nach Einreichung einer schriftlichen Beschwerde und Anfrage an das Unternehmen eine Erklärung und Antworten auf Fragen zum Schutz personenbezogener Daten vom Unternehmen zu erhalten. Sollte die betroffene Person keine Antwort/Erklärung innerhalb der in diesem Absatz festgelegten Frist erhalten oder weiterhin der Meinung sein, dass das Unternehmen bei der Verarbeitung personenbezogener Daten gegen kroatische oder europäische Vorschriften zum Schutz personenbezogener Daten verstößt, hat sie das Recht, eine Beschwerde bei der Agentur oder einer anderen zuständigen öffentlichen Behörde und Aufsichtsbehörde innerhalb der Europäischen Union einzureichen.

(7) Ausübung der Rechte: Der gesetzliche Vertreter des Unternehmens wird einen Datenschutzbeauftragten des Unternehmens sowie eine Person benennen, die neben dem Unternehmen als Arbeitgeber befugt ist, die Verarbeitung, Erhebung, Nutzung und Weitergabe personenbezogener Daten zu überwachen. Vor der Erhebung personenbezogener Daten werden die Mitarbeiter des Unternehmens die betroffene Person über die Identität des Datenschutzbeauftragten des Unternehmens und den Zweck der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, informieren.

Das Unternehmen ist verpflichtet, innerhalb von 30 Tagen nach Einreichung eines Antrags jeder betroffenen Person (oder ihrem gesetzlichen Vertreter oder Bevollmächtigten) die folgenden Informationen bereitzustellen:

  • Identität und Kontaktdaten des Verantwortlichen
  • Kontakt des Datenschutzbeauftragten
  • Verantwortlicher für den Datenschutz
  • Zweck der Verarbeitung und Rechtsgrundlage für die Verarbeitung personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern personenbezogener Daten (falls vorhanden);
  • falls zutreffend, die Tatsache, dass der Verantwortliche beabsichtigt, personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses gemäß Artikel 45 der Verordnung an ein Drittland zu übermitteln.

 

VI. MAßNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN

Artikel 13.

Wenn die betroffene Person eines der in Artikel 12 dieser Vorschrift genannten Rechte ausüben möchte, kann sie sich an die in Artikel 12 Absatz 7 dieser Vorschrift benannte Person wenden, die verpflichtet ist, innerhalb von 30 Tagen nach Eingang des Antrags der betroffenen Person schriftlich zu antworten.

Artikel 14.

(1) Das Unternehmen ist verpflichtet, geeignete technische, personelle und organisatorische Maßnahmen zu ergreifen, um eine wirksame Umsetzung der Datenschutzgrundsätze zu gewährleisten und die erhobenen Daten vor versehentlichem Verlust oder Zerstörung, unbefugtem Zugriff oder unbefugter Änderung, unbefugter Offenlegung und jeglichem Missbrauch zu schützen.

(2) Falls bestimmte personenbezogene Daten im Namen des Unternehmens von einem Dritten (Auftragsverarbeiter) verarbeitet werden, wird mit diesem die Verpflichtung zur Einhaltung der im Gesetz und in dieser Vorschrift festgelegten Datenschutzbestimmungen vertraglich vereinbart.

(3) Die Verpflichtung zur Einhaltung der Datenschutzbestimmungen gemäß dem vorangehenden Absatz wird mit jeder juristischen oder natürlichen Person, die Zugang zu personenbezogenen Daten hat, insbesondere bei der Wartung von Anwendungen oder dem Informationssystem des Unternehmens, vertraglich vereinbart.

Artikel 15.

(1) Der Mitarbeiter, der zur Verarbeitung einer bestimmten personenbezogenen Information autorisiert ist, muss den Datenschutzbeauftragten des Unternehmens unverzüglich über jede Datenverletzung informieren, sobald er davon Kenntnis erlangt.

(2) Wenn es wahrscheinlich ist, dass die Verletzung personenbezogener Daten ein Risiko für die Rechte und Freiheiten natürlichen Person darstellt, wird der Datenschutzbeauftragte und/oder der Geschäftsführer des Unternehmens oder eine von ihm beauftragte Person die Datenschutzbehörde (im Folgenden: Agentur) unverzüglich, und wenn möglich, spätestens 72 Stunden nach Kenntnis der Verletzung, über die Verletzung personenbezogener Daten informieren, indem er das als Anhang 2 dieser Vorschrift beigefügte Formular für den Bericht über die Verletzung personenbezogener Daten übermittelt. Sollte das Unternehmen die Agentur nicht innerhalb von 72 Stunden benachrichtigen, wird es den Grund für dieses Verhalten darlegen.

(3) Wenn es wahrscheinlich ist, dass die Verletzung personenbezogener Daten ein Risiko für die Rechte und Freiheiten der natürlichen Person darstellt, wird der Geschäftsführer des Unternehmens oder eine von ihm beauftragte Person die betroffene Person unverzüglich über die Verletzung informieren.

(4) Die Benachrichtigung gemäß Absatz 3 dieses Artikels ist nicht erforderlich, wenn das Unternehmen geeignete technische und organisatorische Schutzmaßnahmen ergriffen und auf die verletzten personenbezogenen Daten angewendet hat und wenn es nachträgliche Maßnahmen ergriffen hat, um sicherzustellen, dass das Risiko für die Rechte und Freiheiten der betroffenen Person nicht mehr wahrscheinlich ist.

(5) Der Auftragsverarbeiter, falls vorhanden, ist verpflichtet, das Unternehmen unverzüglich zu informieren, sobald er von einer Verletzung personenbezogener Daten Kenntnis erlangt.

Artikel 16.

(1) Die in Artikel 3 und Artikel 4 dieser Arbeitsordnung  genannten personenbezogenen Daten gelten als Geschäftsgeheimnis, und die Mitarbeiter, die aus irgendeinem Grund von den in Artikel 3 und Artikel 4 dieser Arbeitsordnung  genannten Daten Kenntnis erlangen, sind befugt, diese ausschließlich zur Erfüllung ihrer Pflichten aus dem Arbeitsverhältnis zu verwenden.

(2) Eine Verletzung der Pflicht zur Wahrung des Geschäftsgeheimnisses gemäß dem vorangehenden Absatz wird als besonders schwerwiegender Verstoß gegen die arbeitsvertraglichen Pflichten angesehen und stellt einen Grund für die fristlose Kündigung des Arbeitsvertrags dar.

(3) Wenn dem Arbeitgeber durch die unbefugte Weitergabe von Daten, die als Geschäftsgeheimnis gelten, ein materieller oder immaterieller Schaden entsteht, wird der Arbeitgeber gegen die Person, die die Pflicht zur Geheimhaltung verletzt hat, ein Verfahren zur Schadensersatzforderung einleiten.

VII. ÜBERGANGS- UND SCHLUSSBESTIMMUNGEN

Artikel 17.

Diese Arbeitsordnung wird vor ihrem Inkrafttreten auf der Anzeigetafel des Unternehmens bekannt gemacht und tritt am 25. Mai 2018 in Kraft und wird ab diesem Datum angewendet.

OPERETA – NOSITELJ CERTIFIKATA BONITETNE IZVRSNOSTI

 

KATEGORIJE

Compare listings

Compare