Nutzungsbedingungen
RICHTLINIE ZUR VERARBEITUNG UND ZUM SCHUTZ PERSONENBEZOGENER DATEN des Unternehmens Opereta d.o.o.
Auf der Grundlage der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Amtsblatt der Europäischen Union, L 119/1, 04.05.2016, nachfolgend: „Datenschutz-Grundverordnung“ oder „DSGVO“) und des Gesetzes zur Durchführung der Datenschutz-Grundverordnung (Amtsblatt 42/2018, nachfolgend: „Gesetz“) erlässt die Geschäftsführung der Gesellschaft Opereta d.o.o., mit Sitz in Zagreb, Božidara Magovca 63, OIB: 24059421894 (nachfolgend: „Gesellschaft“), vertreten durch den Geschäftsführer Borislav Vujović, der die Gesellschaft selbstständig und einzeln vertritt, hiermit am 12. Mai 2018 die folgende
I. GRUNDLEGENDE BESTIMMUNGEN
Artikel 1
(1) Diese Richtlinie zur Datenverarbeitung (nachfolgend: „Richtlinie“) regelt und legt die Rechte von Einzelpersonen in Bezug auf die Verarbeitung personenbezogener Daten sowie die Regeln für den freien Verkehr personenbezogener Daten fest, die von der Gesellschaft erhoben, verarbeitet, gespeichert und übermittelt werden.
(2) Diese Richtlinie definiert die Verfahren für die Verarbeitung personenbezogener Daten im Sinne des hierin festgelegten Begriffs „Verarbeitung“ und in Bezug auf spezifische Verarbeitungstätigkeiten, die von der Gesellschaft im Zusammenhang mit personenbezogenen Daten durchgeführt werden.
(3) Die Bestimmungen dieser Richtlinie gelten vollständig und direkt für alle personenbezogenen Daten von Einzelpersonen, die von der Gesellschaft verarbeitet werden.
II. BEGRIFFSBESTIMMUNGEN
Artikel 2
(1) Die folgenden Begriffe haben im Sinne dieser Richtlinie die folgende Bedeutung:
- „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;
- „betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
- „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
- „Einschränkung der Verarbeitung“ bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
- „Profiling“ bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
- „Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
- „Dateisystem“ bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
- „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden, und für die Zwecke dieser Richtlinie bezieht sich dies auf die Gesellschaft;
- „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und von der Gesellschaft als dem für die Datenverarbeitung Verantwortlichen für speziell vorgeschriebene Zwecke wie Lohn- und Gehaltsabrechnung, Arbeitsschutzaufzeichnungen usw. ernannt wird;
- „Empfänger“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen einer bestimmten Untersuchung im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden muss im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung stehen;
- „Dritter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
- „Einwilligung der betroffenen Person“ bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
- „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
- „genetische Daten“, „biometrische Daten“, „Gesundheitsdaten“, „Vertreter“, „Unternehmen“, „Unternehmensgruppe“, „verbindliche interne Datenschutzvorschriften“, „Aufsichtsbehörde“, „betroffene Aufsichtsbehörde“, „grenzüberschreitende Verarbeitung“, „maßgeblicher und begründeter Einspruch“ und „Mitarbeiter“ – behalten dieselben Bedeutungen wie in der DSGVO und dieser Richtlinie definiert.
(2) Andere in dieser Richtlinie verwendete Begriffe haben die Bedeutung gemäß der DSGVO und dem Gesetz.
III. ARTEN VON DATEN
Artikel 3
(1) Die Gesellschaft erhebt und verarbeitet die folgenden Arten von personenbezogenen Daten:
a) Daten von Bewerbern – Vor- und Nachname, Geburtsdatum, Wohnadresse, Telefonnummer, Mobiltelefonnummer, E-Mail-Adresse, Bildungsstand, Daten über frühere Beschäftigungsverhältnisse und andere Daten, die der Kandidat in seiner Bewerbung angegeben hat (Lebenslauf, Anschreiben, Kopien von Zeugnissen, Diplomen und anderen Dokumenten);
b) Mitarbeiterdaten – Vor- und Nachname, Wohnadresse, OIB (persönliche Identifikationsnummer), Geburtsdatum, Kontaktdaten (Telefon, E-Mail), Bildungsstand, Daten zum Arbeitsvertrag, Position und Berufsbezeichnung, Arbeitszeiten, Gehalt, Bankkontonummer, Aufzeichnungen über Krankmeldungen, Urlaubsaufzeichnungen, Aufzeichnungen über Aus-, Fort- und Weiterbildungen und andere Daten, die für die Ausübung von Rechten und Pflichten aus dem Arbeitsverhältnis erforderlich sind;
c) Daten von Geschäftspartnern – Vor- und Nachname der Kontaktpersonen, Geschäftsadresse, OIB, Telefon, E-Mail, Daten über vertragliche Verpflichtungen und andere Daten, die für die Geschäftsbeziehung erforderlich sind;
d) Daten von Klienten/Kunden – Vor- und Nachname, Adresse, OIB, Telefon, E-Mail, Daten über die zu verkaufende oder zu erwerbende Immobilie, Finanzdaten, falls für die Transaktion erforderlich, und andere Daten, die für die Erbringung von Dienstleistungen benötigt werden;
e) Daten von potenziellen Klienten/Kunden – Vor- und Nachname, E-Mail-Adresse, Telefonnummer und andere Kontaktdaten, die zum Zweck der Information über Dienstleistungen und Angebote erhoben werden;
f) Daten aus der Videoüberwachung – Bilder von Personen, die von Überwachungskameras in den Räumlichkeiten der Gesellschaft aufgezeichnet wurden, zum Zweck des Schutzes von Personen und Eigentum.
IV. GRUNDSÄTZE FÜR DIE VERARBEITUNG
Artikel 4
(1) Die Gesellschaft stellt sicher, dass personenbezogene Daten:
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“);
- sachlich richtig und, wo erforderlich, auf dem neuesten Stand sind; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
(2) Die Gesellschaft ist für die Einhaltung der in Absatz 1 genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).
V. RECHTSGRUNDLAGE FÜR DIE VERARBEITUNG
Artikel 5
(1) Die Verarbeitung personenbezogener Daten durch die Gesellschaft ist nur rechtmäßig, wenn und soweit mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der die Gesellschaft unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Gesellschaft übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen der Gesellschaft oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
VI. RECHTE DER BETROFFENEN PERSONEN
Artikel 6
(1) Die betroffene Person hat das Recht, von der Gesellschaft eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke,
- die Kategorien personenbezogener Daten, die verarbeitet werden,
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
- die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- das