Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Einleitung
Der Schutz personenbezogener Daten stellt für Gamma System s.r.l. (im Folgenden "GAMMA" oder "Gesellschaft") eine wichtige Verpflichtung dar.
Das Inkrafttreten der Verordnung (EU) 2016/679 "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (im Folgenden "DSGVO") hat die Gelegenheit geboten, die von der Gesellschaft ausgeübten Tätigkeiten weiter an die Grundsätze der Transparenz und des Schutzes personenbezogener Daten anzupassen und dabei die Grundrechte und -freiheiten aller Betroffenen zu respektieren, seien es Angestellte, Mitarbeiter, Kunden, Lieferanten oder Dritte, die am Erhalt von Informationen interessiert sind.
GAMMA SYSTEM hat daher ein "Organisationsmodell zum Schutz der Privatsphäre" (MOP) umgesetzt, dessen Richtlinien hier beschrieben werden und das darauf abzielt, die gesamte Datenverarbeitung zu analysieren, sie funktionell zu organisieren und sie auf sichere und transparente Weise zu verwalten. Dieser Abschnitt der Website enthält auch Informationen über die Rechte der betroffenen Person und wie sie diese gegenüber dem für die Verarbeitung Verantwortlichen ausüben kann.
Inhalt
1 - ORGANISATIONSMODELL FÜR DEN DATENSCHUTZ NACH DSGVO
1.1 - SUBJEKTE
1.2 - RISIKOANALYSE UND MASSNAHMEN ZUR VERMEIDUNG VON DATENSCHUTZRISIKEN
2 - TRANSPARENZ UND RECHTE DER BETROFFENEN PERSONEN
2.1 - DATENSCHUTZRECHTE
2.2 - AUSÜBUNG DER RECHTE
2.3 - FORMULARE UND INFORMATIONEN
1 - DSGVO - Datenschutz-Organisationsmodell
1.1 - SUBJEKTE
DATENVERANTWORTLICHER
Datenverantwortlicher ist:
GAMMA SYSTEM SRL (nachfolgend auch "VERANTWORTLICHER“ genannt)
VIA Torino 24/I – 10044 PIANEZZA (TO)
Tel. +39 011-9682466
e-mail: info@gammasystem.com.
Zertifizierte E-Mail: ammin.rps@pec.it
Mehrwert- und Steuernummer: 02647040233
ZUR VERARBEITUNG DER DATEN ERMÄCHTIGTE PERSONEN (ehem. Art. 29 DSGVO)
Das MOP sieht vor, dass jeder Angestellte/Mitarbeiter des DATENVERANTWORTLICHEN nur die Daten verarbeitet, die für die Erfüllung seiner Aufgaben erforderlich sind, und zwar in Abhängigkeit von der internen Organisation und vor allem von den angegebenen und der betroffenen Person vorgeschlagenen Zwecken (die so genannten Grundprinzipien der Zweckbindung und Datenminimierung, laut Artikel 5 Absatz 1 Buchstaben b) und c) der Datenschutzgrundverordnung). Daher wurde eine Segmentierung der Verarbeitung nach homogenen Bereichen von befugten Personen vorgenommen, wobei die für jeden Bereich verantwortlichen Angestellten/Mitarbeiter an einen bestimmten Bereich der Verarbeitung gebunden sind. Jede befugte Person hat vom DATENVERANTWORTLICHEN spezifische Anweisungen für die Verarbeitung personenbezogener Daten erhalten. Zu diesem Zweck ist auch das Informationssystem von vornherein "kompartimentiert". Der Angestellte/Mitarbeiter darf von seinem Computerarbeitsplatz aus nur auf die Daten zugreifen, die er zur Erfüllung seiner Aufgaben benötigt. Die Festlegung spezifischer Verarbeitungsbereiche erfolgt nach sorgfältiger Analyse der Unternehmensstruktur und -organisation sowie des Datenflusses innerhalb und außerhalb des Unternehmens. Der Angestellte/Mitarbeiter hat auch eine interne Regelung für die Nutzung von IT-Tools und Verhaltensregeln, einschließlich ethischer Regeln, für alle Informationen erhalten, zu denen er aufgrund seiner spezifischen Aufgabe Zugang hat. Um die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten wirksam zu gewährleisten, hat der für die Verarbeitung Verantwortliche seinen Angestellten/Mitarbeitern, die im Rahmen ihrer Aufgaben personenbezogene Daten verarbeiten, eine angemessene Schulung zu diesem Thema vorgesehen.
SYSTEMADMINISTRATOREN (INTERN UND EXTERN)
Der DATENVERANTWORTLICHE verwendet Computersysteme, um seine Aktivität zu verwalten und zu organisieren. Aus diesem Grund ist die Aufmerksamkeit für den Aufbau der Software, ihre Verwendung und die Datensicherheit seit jeher die Grundlage der Geschäftstätigkeit des DATENVERANTWORTLICHEN. Personen mit Privilegien als Administrator innerhalb des Unternehmens werden speziell ernannt und geschult. Andere externe Fachunternehmen, die auf Unternehmensdaten zugreifen, werden ebenfalls speziell als externe Manager und/oder externe Systemadministratoren gemäß Artikel 28 der Datenschutz-Grundverordnung ernannt.
Externe IT-Dienstleister werden mit besonderem Augenmerk auf die Professionalität ausgewählt, nicht nur in technischer Hinsicht, sondern auch in Bezug auf den Schutz personenbezogener Daten, wobei zertifizierten Unternehmen der Vorzug gegeben wird.
DATENVERANTWORTLICHE (ehem. Art.28 DSGVO )
Grundsätzlich führt der DATENVERANTWORTLICHE fast alle Verarbeitungstätigkeiten intern durch. Fälle, in denen bestimmte Tätigkeiten, die eine Datenverarbeitung im Namen des DATENVERANTWORTLICHEN beinhalten, an Dritte ausgelagert werden, werden in den einzelnen Angaben entsprechend angegeben. In diesen Fällen wird die Beziehung zu dem Dritten durch einen speziellen Vertrag über die Ernennung als "Datenverarbeiter" gemäß Artikel 28 der Datenschutz-Grundverordnung geregelt.
Der DATENVERANTWORTLICHE überträgt diese Verarbeitungstätigkeit an externe Parteien, die hinreichende Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen bieten, um die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten.
1.2 RISIKOANALYSE UND MASSNAHMEN ZUR VERHINDERUNG VON DATENSCHUTZRISIKEN
Nach den Grundsätzen der sogen. "Rechenschaftspflicht" obliegt es dem DATENVERANTWORTLICHEN, eine Reihe von Maßnahmen - organisatorischer, physischer, rechtlicher, technischer und informationstechnischer Art - zu ergreifen, die darauf abzielen, das Risiko einer Verletzung der Rechte und persönlichen Freiheiten der betroffenen Personen zu verhindern. Um dieses Ziel zu erreichen, wird eine ständige Risikoanalyse anhand der Verarbeitung, der verwendeten Mitteln, der Art und der Menge der verarbeiteten Daten durchgeführt.
VERARBEITUNGSPROTOKOLL (ehem. Art. 30 DSGVO) UND DATENSCHUTZ-FOLGENABSCHÄTZUNG (ehem. Art. 35 DSGVO)
Das Datenschutz-Organisation sieht eine sorgfältige und ständige Analyse der Risiken für die Verarbeitung personenbezogener Daten vor, die für jede Tätigkeit oder Dienstleistung durch ein Register der gemäß Artikel 26 Absatz 1 der DSGVO gemeldeten Verarbeitungen ermittelt wird. Nach der Analyse der vom DATENVERANTWORTLICHEN durchgeführten Verarbeitungstätigkeiten wird davon ausgegangen, dass es bisher keine risikobehafteten Tätigkeiten gibt, die eine spezifische Folgenabschätzung gemäß Artikel 35 der DSGVO (die so genannte data protection impact assessment – DPIA). Die Analyse der IT-Risiken und der Hardware- und Software-Infrastrukturen des Unternehmens sowie der IT-Anpassungsmaßnahmen wurde sowohl von unserem Systemadministrator mit speziellen Tools und Checklisten als auch von einem externen, auf IT-Sicherheit spezialisierten Unternehmen durchgeführt, das eine eingehende Prüfung mit Sicherheitstests vornahm. Die Ergebnisse der Untersuchung ermöglichten es den Technikern, die Maßnahmen zum Schutz vor Cyberangriffen und Cyberbedrohungen schrittweise und in einem angemessenen Verhältnis zum Risiko für die Rechte und Freiheiten der der betroffenen Personen weiter zu verbessern.
2 - Transparenz und Rechte der betroffenen Person
2.1 RECHTE ZUM SCHUTZ PERSONENBEZOGENER DATEN
Der DATENVERANTWORTLICHE hält es auch hier für unerlässlich, die betroffenen Personen über das Bestehen bestimmter Rechte zum Schutz personenbezogener Daten zu informieren, die im Folgenden aufgeführt sind.
Recht auf Information (Transparenz der Datenverarbeitung)
Die betroffene Person hat das Recht, darüber informiert zu werden, wie und zu welchen Zwecken der DATENVERANTWORTLICHE ihre personenbezogenen Daten verarbeitet, und andere in Artikel 13 der DSGVO vorgesehene Informationen zu erhalten. Zu diesem Zweck hat der DATENVERANTWORTLICHE organisatorische Abläufe eingerichtet, die es ermöglichen, bei der Beschaffung oder Anforderung personenbezogener Daten eine Informationsvorlage zu erstellen, die je nach Kategorie der betroffenen Personen (Mitarbeiter, Kunde, Lieferant usw.) "Ad hoc" erstellt wird. Dieses Dokument ermöglicht es, alle Personen, auf die sich die Daten beziehen, in angemessener Weise über die Art und Weise der Verarbeitung durch den DATENVERANTWORTLICHEN zu informieren. Die Informationsvorlage kann durch einen an den DATENVERANTWORTLICHEN gerichteten Antrag angefordert werden.
Recht auf Widerruf der Einwilligung (Art. 13)
Sie haben das Recht, Ihre Einwilligung jederzeit für alle Verarbeitungen zu widerrufen, deren Rechtmäßigkeit von Ihrer Einwilligungserklärung abhängt. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bisherigen Verarbeitung nicht berührt.
Auskunftsrecht (Art. 15)
Sie können Folgendes verlangen: a) die Verarbeitungszwecke b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Sie haben das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu verlangen.
Recht auf Berichtigung (Art. 16)
Sie haben das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen und die Vervollständigung unvollständiger personenbezogener Daten zu erwirken.
Recht auf Vergessenwerden (Art. 17)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten bei dem für deren Verarbeitung Verantwortlichen zu verlangen, wenn Ihre Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind, wenn Sie Ihre Einwilligung widerrufen, wenn es keinen zwingenden schutzwürdigen Grund für die Fortsetzung der Profiling-Verarbeitung gibt, wenn die Daten unrechtmäßig verarbeitet wurden, wenn eine gesetzliche Verpflichtung zur Löschung der Daten besteht; wenn sich die Daten auf Webdienste beziehen, die Minderjährigen ohne deren Einwilligung bereitgestellt wurden. Die Löschung kann erfolgen, es sei denn, das Recht auf freie Meinungsäußerung und Information überwiegt, die Daten werden zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, aus Gründen des öffentlichen Interesses im Gesundheitsbereich, zur Archivierung im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen gespeichert.
Recht auf Einschränkung der Verarbeitung (Art. 18)
Sie haben das Recht, von dem für die Verarbeitung Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit personenbezogener Daten bestritten haben (für den Zeitraum, der erforderlich ist, damit der für die Verarbeitung Verantwortliche die Richtigkeit dieser personenbezogenen Daten überprüfen kann) oder wenn die Verarbeitung unrechtmäßig ist, Sie aber der Löschung der personenbezogenen Daten widersprechen und stattdessen die Einschränkung ihrer Verwendung verlangen oder wenn die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Ihnen notwendig sind, aber vom Verantwortlichen längst nicht mehr benötigt werden.
Recht auf Übertragbarkeit (Art. 20)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, es sei denn, die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und die Übermittlung beeinträchtigt nicht die Rechte eines Dritten.
Widerspruchsrecht (Art. 21)
Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten jederzeit ganz oder teilweise zu widersprechen, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses des Datenverantwortlichen oder zu Zwecken der Direktwerbung erfolgt.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77).
Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt , haben Sie, unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs, das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedsstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
2.2 AUSÜBUNG DER RECHTE
Zur wirksamen Ausübung Ihrer Rechte können Sie beim DATENVERANTWORTLICHEN Informationen anfordern oder die nachstehend bereitgestellten Zugangsformulare ordnungsgemäß ausfüllen.
2.3 FORMULARE UND INFORMATIONEN
1) Formulare - Nachstehend finden Sie einen Entwurf eines Dokuments, das für die tatsächliche Ausübung der Rechte der betroffenen Person mit Angabe des beantragten Rechts auszudrucken und auszufüllen ist. Das Formular kann dem DATENVERANTWORTLICHEN unter den oben angegebenen Adressen gemäß den geltenden Vorschriften zugesandt werden.
Formular zur Ausübung der Rechte
2) Informationen: