top of page

Richtlinie – DSGVO-Datenschutzrichtlinie

 

Sie müssen diese Richtlinie lesen, da sie wichtige Informationen enthält über:

 

  • die Datenschutzgrundsätze, die die Kanzlei einhalten muss;

  • was mit personenbezogenen Informationen (oder Daten) und sensiblen personenbezogenen Informationen (oder Daten) gemeint ist;

  • wie wir personenbezogene Daten und sensible personenbezogene Daten gemäß den Datenschutzgrundsätzen erheben, verwenden und (letztendlich) löschen;

  • wo detailliertere Datenschutzinformationen zu finden sind, z. B. über die personenbezogenen Daten, die wir über Sie sammeln und verwenden, wie sie verwendet, gespeichert und übertragen werden, für welche Zwecke, welche Schritte unternommen werden, um diese Daten sicher zu halten und wie lange sie aufbewahrt werden;

  • Ihre Rechte und Pflichten in Bezug auf den Datenschutz; und

  • die Folgen der Nichteinhaltung dieser Richtlinie.

 

  1. Einführung

 

  1. Die Kanzlei erhebt, speichert und verwendet personenbezogene Daten (auch als Daten bezeichnet) über Stellenbewerber und über aktuelle und ehemalige Mitarbeiter, Zeit- und Leiharbeitskräfte, Auftragnehmer, Praktikanten, Freiwillige und Auszubildende für eine Reihe von bestimmten rechtmäßigen Zwecken, wie in der beschrieben Datenschutzhinweise des Unternehmens in Bezug auf Einstellung und Beschäftigung.

 

  1. Diese Richtlinie legt fest, wie wir unseren Datenschutzverpflichtungen nachkommen und versuchen, personenbezogene Daten unserer Mitarbeiter zu schützen. Außerdem soll sichergestellt werden, dass die Mitarbeiter die Regeln für die Erfassung, Verwendung und Löschung personenbezogener Daten, auf die sie im Rahmen ihrer Arbeit möglicherweise Zugriff haben, verstehen und einhalten.

 

  1. Wir verpflichten uns, unsere Datenschutzverpflichtungen einzuhalten und präzise, klar und transparent darzulegen, wie wir personenbezogene Daten über unsere Mitarbeiter erhalten und verwenden und wie (und wann) wir diese Daten löschen, wenn sie nicht mehr benötigt werden.

 

  1. Der Datenschutzbeauftragte der Kanzlei ist dafür verantwortlich, die Kanzlei und ihre Mitarbeiter über ihre Datenschutzverpflichtungen zu informieren und zu beraten und die Einhaltung dieser Verpflichtungen und der Richtlinien der Kanzlei zu überwachen. Wenn Sie Fragen oder Kommentare zum Inhalt dieser Richtlinie haben oder weitere Informationen benötigen, wenden Sie sich bitte per E-Mail an den Datenschutzbeauftragten:dpo@confirmsend.co.

 

  1. Umfang

 

  1. Diese Richtlinie gilt für die personenbezogenen Daten von Stellenbewerbern und aktuellen und ehemaligen Mitarbeitern, einschließlich Angestellter, Zeitarbeitskräfte und Zeitarbeitskräfte, Praktikanten, Freiwillige und Auszubildende.

 

  1. Die Mitarbeiter sollten sich auf die Datenschutzerklärung der Kanzlei und gegebenenfalls auf ihre anderen relevanten Richtlinien beziehen, einschließlich in Bezug auf Internet, E-Mail und Kommunikation, Überwachung, soziale Medien, Informationssicherheit, Datenaufbewahrung und Informationen über das Strafregister, die weitere Informationen enthalten den Schutz personenbezogener Daten in diesen Kontexten.

 

  1. Wir werden diese Richtlinie gemäß unseren Datenschutzverpflichtungen regelmäßig überprüfen und aktualisieren. Sie ist nicht Teil des Arbeitsvertrags eines Mitarbeiters und wir können sie von Zeit zu Zeit ändern, aktualisieren oder ergänzen. Wir werden alle neuen oder geänderten Richtlinien an die Mitarbeiter weitergeben, bevor sie angenommen werden.

 

  1. Definitionen

 

  1. Strafregisterinformationen

bezeichnet personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten, Anschuldigungen, Verfahren und damit verbundene Sicherheitsmaßnahmen;

 

  1. Datenleck

bedeutet eine Sicherheitsverletzung, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt;

 

  1. Betroffene Person

bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen;

 

  1. Persönliche Informationen

(manchmal als personenbezogene Daten bezeichnet) bezeichnet Informationen in Bezug auf eine Person, die anhand dieser Informationen (direkt oder indirekt) identifiziert werden kann;

 

  1. Informationen verarbeiten

bezeichnet das Erhalten, Aufzeichnen, Organisieren, Speichern, Ändern, Abrufen, Offenlegen und/oder Vernichten von Informationen oder deren Verwendung oder irgendetwas damit;

 

  1. Pseudonymisiert

bezeichnet den Vorgang, bei dem personenbezogene Daten in einer Weise verarbeitet werden, dass sie ohne Hinzuziehung zusätzlicher Informationen, die gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht mehr identifiziert werden können, nicht mehr identifizierbar sind eine identifizierbare Person;

 

  1. Sensible persönliche Informationen

(manchmal auch als „besondere Kategorien personenbezogener Daten“ oder „sensible personenbezogene Daten“ bezeichnet) bezeichnet personenbezogene Daten über Rasse, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftsmitgliedschaft (oder Nichtmitgliedschaft), genetische Informationen, Biometrische Informationen (sofern sie zur Identifizierung einer Person verwendet werden) und Informationen über die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person.

 

  1. Datenschutzgrundsätze

 

  1. Die Kanzlei wird bei der Verarbeitung personenbezogener Daten die folgenden Datenschutzgrundsätze einhalten:

 

  1. Wir werden personenbezogene Daten rechtmäßig, fair und transparent verarbeiten;

 

  1. wir werden personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erheben und sie nicht auf eine Weise verarbeiten, die mit diesen rechtmäßigen Zwecken unvereinbar ist;

 

  1. Wir verarbeiten nur die personenbezogenen Daten, die für die jeweiligen Zwecke angemessen, relevant und erforderlich sind;

 

  1. Wir werden personenbezogene Daten korrekt und aktuell halten und angemessene Schritte unternehmen, um sicherzustellen, dass ungenaue personenbezogene Daten unverzüglich gelöscht oder berichtigt werden;

 

  1. wir speichern personenbezogene Daten in einer Form, die eine Identifizierung betroffener Personen nicht länger ermöglicht, als es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist; und

 

  1. Wir werden geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten sicher aufbewahrt und vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden.

 

  1. Grundlage für die Verarbeitung personenbezogener Daten

 

  1. In Bezug auf jede Verarbeitungstätigkeit werden wir, bevor die Verarbeitung zum ersten Mal beginnt, und dann regelmäßig, während sie andauert:

 

  1. Überprüfen Sie die Zwecke der jeweiligen Verarbeitungstätigkeit und wählen Sie die am besten geeignete Rechtsgrundlage (oder -grundlagen) für diese Verarbeitung aus, d. h.:

 

  1. dass die betroffene Person der Verarbeitung zugestimmt hat;

 

  1. dass die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist;

 

  1. dass die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Kanzlei unterliegt;

 

  1. dass die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist;

 

  1. dass die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist

 

  1. dass die Verarbeitung für die Zwecke berechtigter Interessen der Kanzlei oder eines Dritten erforderlich ist, es sei denn, diese Interessen werden durch die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft gesetzt – siehe Abschnitt 5.2 unten.

 

  1. außer wenn die Verarbeitung auf einer Einwilligung beruht, sich vergewissern, dass die Verarbeitung für den Zweck der entsprechenden Rechtsgrundlage erforderlich ist (dh, dass es keinen anderen vernünftigen Weg gibt, diesen Zweck zu erreichen);

 

  1. Dokumentieren Sie unsere Entscheidung, welche Rechtsgrundlage gilt, um nachzuweisen, dass wir die Datenschutzgrundsätze einhalten;

 

 

  1. Informationen sowohl über die Zwecke der Verarbeitung als auch über die Rechtsgrundlage dafür in unsere entsprechende(n) Datenschutzerklärung(en) aufzunehmen;

 

  1. bei der Verarbeitung sensibler personenbezogener Daten auch eine rechtmäßige Sonderbedingung für die Verarbeitung dieser Daten ermitteln (siehe Abschnitt 6.2.2 unten) und diese dokumentieren; und

 

  1. bei der Verarbeitung von Informationen über Straftaten auch eine rechtmäßige Bedingung für die Verarbeitung dieser Informationen ermitteln und dokumentieren.

 

  1. Bei der Feststellung, ob die berechtigten Interessen der Kanzlei die geeignetste Grundlage für eine rechtmäßige Verarbeitung sind, werden wir:

 

  1. eine Bewertung der berechtigten Interessen (LIA) durchführen und Aufzeichnungen darüber führen, um sicherzustellen, dass wir unsere Entscheidung begründen können;

 

  1. Wenn die LIA erhebliche Auswirkungen auf den Datenschutz feststellt, prüfen Sie, ob wir auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen müssen.

 

  1. die LIA im Auge behalten und wiederholen, wenn sich die Umstände ändern; und

 

  1. Informationen über unsere berechtigten Interessen in unsere entsprechende(n) Datenschutzerklärung(en) aufzunehmen.

 

  1. Sensible persönliche Informationen

 

  1. Sensible personenbezogene Daten werden manchmal als „besondere Kategorien personenbezogener Daten“ oder „sensible personenbezogene Daten“ bezeichnet.

 

  1. Die Kanzlei kann von Zeit zu Zeit sensible personenbezogene Daten verarbeiten müssen. Wir verarbeiten sensible personenbezogene Daten nur, wenn:

 

  1. wir haben eine gesetzliche Grundlage dafür, wie in Absatz 5.1.1 oben dargelegt, z. B. ist es für die Erfüllung des Arbeitsvertrags erforderlich, um den gesetzlichen Verpflichtungen der Kanzlei nachzukommen oder um die berechtigten Interessen der Kanzlei zu verfolgen; und

 

  1. eine der besonderen Bedingungen für die Verarbeitung sensibler personenbezogener Daten gilt, z. B.:

 

  1. die betroffene Person hat ausdrücklich eingewilligt;

 

  1. die Verarbeitung ist zum Zweck der Ausübung arbeitsrechtlicher Rechte oder Pflichten der Kanzlei oder der betroffenen Person erforderlich;

 

  1. die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist und die betroffene Person körperlich nicht in der Lage ist, ihre Einwilligung zu erteilen;

 

  1. die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offensichtlich öffentlich gemacht wurden;

 

  1. die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist; oder

 

  1. die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

 

  1. Vor der Verarbeitung sensibler personenbezogener Daten müssen die Mitarbeiter den Datenschutzbeauftragten über die geplante Verarbeitung informieren, damit der Datenschutzbeauftragte beurteilen kann, ob die Verarbeitung die oben genannten Kriterien erfüllt.

 

  1. Sensible personenbezogene Daten werden nicht verarbeitet, bis:

 

  1. die Bewertung nach Absatz 6.3 hat stattgefunden; und

 

  1. die Person wurde ordnungsgemäß (durch eine Datenschutzerklärung oder auf andere Weise) über die Art der Verarbeitung, die Zwecke, für die sie durchgeführt wird, und die Rechtsgrundlage dafür informiert.

 

  1. Die Kanzlei führt keine automatisierte Entscheidungsfindung (einschließlich Profilerstellung) auf der Grundlage der sensiblen personenbezogenen Daten einer Person durch.

 

  1. Die Datenschutzerklärung der Kanzlei legt die Arten sensibler personenbezogener Daten dar, die die Kanzlei verarbeitet, wofür sie verwendet werden und die Rechtsgrundlage für die Verarbeitung.

 

  1. In Bezug auf sensible personenbezogene Daten wird die Kanzlei die in den Absätzen 6.8 und 6.9 unten beschriebenen Verfahren einhalten, um sicherzustellen, dass sie die in Absatz 4 oben dargelegten Datenschutzgrundsätze einhält.

 

  1. Während des Einstellungsverfahrens: Der Officer Manager stellt unter Anleitung des Datenschutzbeauftragten sicher, dass (sofern das Gesetz nichts anderes zulässt):

 

  1. Während der Vorauswahl, des Vorstellungsgesprächs und der Entscheidungsfindung werden keine Fragen zu sensiblen personenbezogenen Daten gestellt, z. B. Rasse oder ethnische Herkunft, Gewerkschaftszugehörigkeit oder Gesundheit;

 

  1. Wenn sensible personenbezogene Daten eingehen, z. B. wenn der Bewerber diese unaufgefordert in seinem Lebenslauf oder während des Vorstellungsgesprächs bereitstellt, werden diese nicht aufgezeichnet und alle Verweise darauf sofort gelöscht oder unkenntlich gemacht

 

  1. jedes ausgefüllte Formular zur Überwachung der Chancengleichheit wird getrennt vom Bewerbungsformular der Person aufbewahrt und kann nicht von der Person eingesehen werden, die in die engere Wahl kommt, ein Vorstellungsgespräch führt oder die Einstellungsentscheidung trifft;

 

  1. Prüfungen des „Rechts auf Arbeit“ werden durchgeführt, bevor ein bedingungsloses Stellenangebot gemacht wird, und nicht während der früheren Phasen der Auswahlliste, des Vorstellungsgesprächs oder der Entscheidungsfindung;

 

  1. Wir stellen Gesundheitsfragen im Zusammenhang mit der Einstellung nicht oder nur, wenn ein Stellenangebot vorliegt.

 

  1. Während der Beschäftigung: Der Office Manager verarbeitet unter Anleitung des Datenschutzbeauftragten:

 

  1. Gesundheitsinformationen zum Zwecke der Verwaltung von Krankengeld, der Führung von Aufzeichnungen über Fehlzeiten im Krankheitsfall, der Überwachung der Anwesenheit des Personals und der Ermöglichung von beschäftigungsbezogenen Gesundheits- und Krankheitsleistungen;

 

  1. sensible personenbezogene Daten zum Zwecke der Überwachung der Chancengleichheit und der Berichterstattung zur Lohngleichheit. Soweit möglich, werden diese Informationen anonymisiert; und

 

  1. Informationen zur Gewerkschaftsmitgliedschaft zum Zwecke der Personalverwaltung und der Verwaltung von "Abhaken".

 

 

  1. Informationen zum Strafregister

 

  1. Strafregisterinformationen werden in Übereinstimmung mit der Strafregisterinformationsrichtlinie der Kanzlei verarbeitet.

 

  1. Datenschutz-Folgenabschätzungen (DSFAs)

 

  1. Wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Datenschutzrechte einer Person führt (z. B. wenn die Kanzlei den Einsatz einer neuen Form von Technologie plant), führen wir vor Beginn der Verarbeitung eine DSFA durch, um Folgendes zu bewerten:

 

  1. ob die Verarbeitung in Bezug auf ihren Zweck erforderlich und verhältnismäßig ist;

 

  1. die Risiken für Einzelpersonen; und

 

  1. welche Maßnahmen ergriffen werden können, um diesen Risiken zu begegnen und personenbezogene Daten zu schützen.

 

  1. Vor der Einführung einer neuen Technologie sollte sich der verantwortliche Manager daher mit dem Datenschutzbeauftragten in Verbindung setzen, damit eine DSFA durchgeführt werden kann.

 

  1. Im Verlauf einer DSFA wird der Partner den Rat des Datenschutzbeauftragten und die Ansichten aller anderen relevanten Interessengruppen einholen.

 

  1. Dokumentation und Aufzeichnungen

 

  1. Wir werden schriftliche Aufzeichnungen über Verarbeitungsaktivitäten führen, die ein hohes Risiko darstellen, d. h. die zu einem Risiko für die Rechte und Freiheiten von Personen führen können oder sensible personenbezogene Daten oder Informationen aus dem Strafregister betreffen, einschließlich:

 

  1. Name und Einzelheiten der Organisation des Arbeitgebers (und gegebenenfalls anderer Verantwortlicher, des Vertreters des Arbeitgebers und des Datenschutzbeauftragten)

 

  1. die Zwecke der Verarbeitung;

 

  1. eine Beschreibung der Kategorien von Personen und Kategorien personenbezogener Daten;

 

  1. Kategorien von Empfängern personenbezogener Daten;

 

  1. gegebenenfalls Angaben zu Übermittlungen an Drittländer, einschließlich Dokumentation der bestehenden Schutzmaßnahmen des Übermittlungsmechanismus;

 

  1. wo möglich Aufbewahrungsfristen; und

 

  1. soweit möglich eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

 

  1. Als Teil unseres Verzeichnisses der Verarbeitungstätigkeiten dokumentieren wir oder verlinken auf Dokumentationen zu:

 

  1. Informationen, die für Datenschutzhinweise erforderlich sind;

 

  1. Aufzeichnungen über die Zustimmung;

 

  1. Controller-Prozessor-Verträge;

 

  1. der Ort der persönlichen Informationen;

 

  1. DPIAs; und

 

  1. Aufzeichnungen über Datenschutzverletzungen.

 

  1. Wenn wir sensible personenbezogene Daten oder Informationen aus dem Strafregister verarbeiten, führen wir schriftliche Aufzeichnungen über:

 

  1. die relevanten Zwecke, für die die Verarbeitung stattfindet, einschließlich (falls erforderlich, warum es für diesen Zweck erforderlich ist;

 

  1. die Rechtsgrundlage für unsere Verarbeitung; und

 

  1. ob wir die personenbezogenen Daten in Übereinstimmung mit unserem Richtliniendokument aufbewahren und löschen, und falls nicht, die Gründe dafür, dass wir unsere Richtlinie nicht befolgen.

 

  1. Wir werden die von uns verarbeiteten personenbezogenen Daten regelmäßig überprüfen und unsere Dokumentation entsprechend aktualisieren. Dies kann beinhalten:

 

  1. Durchführung von Informationsaudits, um herauszufinden, welche personenbezogenen Daten die Firma besitzt;

 

  1. Verteilen von Fragebögen und Gespräche mit Mitarbeitern im gesamten Unternehmen, um ein vollständigeres Bild unserer Verarbeitungsaktivitäten zu erhalten; und

 

  1. Überprüfung unserer Richtlinien, Verfahren, Verträge und Vereinbarungen, um Bereiche wie Aufbewahrung, Sicherheit und gemeinsame Nutzung von Daten anzugehen.

 

  1. Datenschutzerklärung

 

  1. Die Kanzlei gibt von Zeit zu Zeit Datenschutzmitteilungen heraus, in denen Sie über die personenbezogenen Daten informiert werden, die wir über Sie erfassen und speichern, und wie Sie davon ausgehen können, dass Ihre personenbezogenen Daten verwendet werden und für welche Zwecke.

 

  1. Wir werden geeignete Maßnahmen ergreifen, um Informationen in Datenschutzhinweisen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitzustellen.

 

  1. Individual Rechte

 

  1. Sie haben (gemeinsam mit anderen betroffenen Personen) die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

 

  1. darüber informiert zu werden, wie, warum und auf welcher Grundlage diese Informationen verarbeitet werden – siehe die Datenschutzhinweise der Kanzlei;

 

  1. um eine Bestätigung zu erhalten, dass Ihre Informationen verarbeitet werden, und um Zugang zu diesen und bestimmten anderen Informationen zu erhalten, indem Sie eine Auskunftsanfrage stellen – siehe die Richtlinie der Kanzlei zur Auskunftsanfrage;

 

  1. Daten berichtigen zu lassen, wenn sie ungenau oder unvollständig sind;

 

  1. Daten löschen zu lassen, wenn sie für den Zweck, für den sie ursprünglich erhoben/verarbeitet wurden, nicht mehr erforderlich sind oder wenn keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (dies wird manchmal als „Recht auf Vergessenwerden“ bezeichnet);

 

  1. die Verarbeitung personenbezogener Daten einzuschränken, wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist (aber Sie nicht möchten, dass die Daten gelöscht werden) oder wenn der Arbeitgeber die personenbezogenen Daten nicht mehr benötigt, Sie die Daten jedoch benötigen einen Rechtsanspruch geltend machen, ausüben oder verteidigen; und

 

  1. die Verarbeitung personenbezogener Daten vorübergehend einzuschränken, wenn Sie der Meinung sind, dass sie nicht korrekt sind (und der Arbeitgeber überprüft, ob sie korrekt sind) oder wenn Sie der Verarbeitung widersprochen haben (und der Arbeitgeber prüft, ob die berechtigten Gründe der Organisation Ihre Interessen überwiegen ).

 

  1. Wenn Sie eines der Rechte in den Ziffern 11.1.3 bis 11.1.6 ausüben möchten, wenden Sie sich bitte an den Datenschutzbeauftragten.

 

  1. Individuelle Verpflichtungen

 

  1. Einzelpersonen sind dafür verantwortlich, der Kanzlei dabei zu helfen, ihre personenbezogenen Daten auf dem neuesten Stand zu halten. Sie sollten den Office Manager informieren, wenn sich die Informationen ändern, die Sie der Firma zur Verfügung gestellt haben, beispielsweise wenn Sie umziehen oder die Details des Bank- oder Bausparkontos ändern, auf das Sie bezahlt werden.

 

  1. Im Rahmen Ihrer Anstellung oder Ihres Engagements haben Sie möglicherweise Zugriff auf die personenbezogenen Daten anderer Mitarbeiter, Lieferanten und Kunden der Kanzlei. Wenn dies der Fall ist, erwartet die Kanzlei von Ihnen, dass Sie dabei helfen, ihre Datenschutzverpflichtungen gegenüber diesen Personen zu erfüllen. Sie sollten sich beispielsweise darüber im Klaren sein, dass sie möglicherweise auch die in Absatz 11.1 oben dargelegten Rechte genießen

 

 

  1. Wenn Sie Zugang zu personenbezogenen Daten haben, müssen Sie:

 

  1. nur auf die personenbezogenen Daten zugreifen, für die Sie eine Zugriffsberechtigung haben, und nur für autorisierte Zwecke;

 

  1. anderen Mitarbeitern der Kanzlei den Zugriff auf personenbezogene Daten nur dann gestatten, wenn sie über die entsprechende Berechtigung verfügen;

 

  1. Personen, die keine Mitarbeiter des Unternehmens sind, den Zugriff auf personenbezogene Daten nur dann gestatten, wenn Sie vom Datenschutzbeauftragten ausdrücklich dazu befugt sind;

 

  1. personenbezogene Daten sicher aufbewahren (z. B. durch Einhaltung der Regeln für den Zugang zu Räumlichkeiten, den Computerzugang, den Passwortschutz und die sichere Speicherung und Vernichtung von Dateien sowie andere Vorsichtsmaßnahmen, die in der Informationssicherheitsrichtlinie der Kanzlei festgelegt sind);

 

  1. keine personenbezogenen Daten oder Geräte, die personenbezogene Daten enthalten (oder die für den Zugriff darauf verwendet werden können), aus den Räumlichkeiten der Kanzlei entfernen, es sei denn, es sind geeignete Sicherheitsmaßnahmen (wie Pseudonymisierung, Verschlüsselung oder Passwortschutz) vorhanden, um die Daten und das Gerät zu sichern; und

 

  1. keine persönlichen Informationen auf lokalen Laufwerken oder auf persönlichen Geräten speichern, die für Arbeitszwecke verwendet werden;

 

  1. Sie sollten sich an den Datenschutzbeauftragten wenden, wenn Sie besorgt sind oder vermuten, dass eines der folgenden Ereignisse stattgefunden hat (oder stattfindet oder wahrscheinlich stattfinden wird):

 

  1. Verarbeitung personenbezogener Daten ohne Rechtsgrundlage für ihre Verarbeitung oder, im Falle sensibler personenbezogener Daten, ohne dass eine der Bedingungen in Absatz 6.2.2 erfüllt ist;

 

  1. jede Datenschutzverletzung wie in Absatz 15.1 unten dargelegt;

 

  1. Zugriff auf personenbezogene Daten ohne die entsprechende Genehmigung;

 

  1. personenbezogene Daten werden nicht sicher aufbewahrt oder gelöscht;

 

  1. Entfernen von personenbezogenen Daten oder Geräten, die personenbezogene Daten enthalten (oder die für den Zugriff darauf verwendet werden können) aus den Räumlichkeiten der Kanzlei, ohne dass angemessene Sicherheitsmaßnahmen vorhanden sind;

 

  1. jede andere Verletzung dieser Richtlinie oder eines der in Absatz 4.1 oben dargelegten Datenschutzgrundsätze.

 

  1. Informationssicherheit

 

  1. Die Kanzlei wird geeignete technische und organisatorische Maßnahmen in Übereinstimmung mit der Informationssicherheitsrichtlinie der Kanzlei ergreifen, um personenbezogene Daten sicher aufzubewahren und insbesondere vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen. Dazu können gehören:

 

  1. sicherzustellen, dass personenbezogene Daten nach Möglichkeit pseudonymisiert oder verschlüsselt werden;

 

  1. Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten;

 

  1. sicherzustellen, dass im Falle eines physischen oder technischen Vorfalls die Verfügbarkeit und der Zugriff auf personenbezogene Daten zeitnah wiederhergestellt werden können; und

 

  1. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

  1. Wenn die Firma externe Organisationen einsetzt, um personenbezogene Daten in ihrem Namen zu verarbeiten, müssen in Verträgen mit diesen Organisationen zusätzliche Sicherheitsvorkehrungen getroffen werden, um die Sicherheit personenbezogener Daten zu gewährleisten. Verträge mit externen Organisationen müssen insbesondere Folgendes vorsehen:

 

  1. die Organisation darf nur auf schriftliche Weisung der Kanzlei handeln;

 

  1. diejenigen, die die Daten verarbeiten, unterliegen der Geheimhaltungspflicht;

 

  1. geeignete Maßnahmen ergriffen werden, um die Sicherheit der Verarbeitung zu gewährleisten;

 

  1. Subunternehmer werden nur mit vorheriger Zustimmung der Kanzlei und im Rahmen eines schriftlichen Vertrages beauftragt;

 

  1. Die Organisation unterstützt die Kanzlei bei der Gewährung des Zugangs zu Subjekten und der Möglichkeit für Einzelpersonen, ihre Rechte in Bezug auf den Datenschutz auszuüben;

 

  1. Die Organisation unterstützt die Kanzlei bei der Erfüllung ihrer Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen;

 

  1. Die Organisation löscht oder gibt alle personenbezogenen Daten an die Kanzlei zurück, wie es am Ende des Vertrages verlangt wird; und

 

  1. Die Organisation unterzieht sich Audits und Inspektionen, stellt der Kanzlei alle Informationen zur Verfügung, die sie benötigt, um sicherzustellen, dass beide ihre Datenschutzverpflichtungen erfüllen, und teilt der Kanzlei unverzüglich mit, wenn sie aufgefordert wird, etwas zu tun, das gegen das Datenschutzgesetz verstößt.

 

  1. Bevor eine neue Vereinbarung über die Verarbeitung personenbezogener Daten durch eine externe Organisation abgeschlossen oder eine bestehende Vereinbarung geändert wird, müssen die zuständigen Mitarbeiter die Genehmigung ihrer Bedingungen durch den Datenschutzbeauftragten einholen;

 

  1. Speicherung und Aufbewahrung personenbezogener Daten

 

  1. Personenbezogene Daten (und sensible personenbezogene Daten) werden gemäß der Informationssicherheitsrichtlinie des Unternehmens sicher aufbewahrt.

 

  1. Personenbezogene Daten (und sensible personenbezogene Daten) sollten nicht länger als nötig aufbewahrt werden. Die Dauer der Aufbewahrung von Daten hängt von den Umständen ab, einschließlich der Gründe, warum die personenbezogenen Daten erhoben wurden. Die Mitarbeiter sollten die Aufbewahrungsrichtlinie für Aufzeichnungen der Firma befolgen, die die entsprechende Aufbewahrungsfrist oder die Kriterien festlegt, die zur Bestimmung der Aufbewahrungsfrist verwendet werden sollten. Bei Unsicherheiten sollten die Mitarbeiter [den Datenschutzbeauftragten;

 

  1. Personenbezogene Daten (und sensible personenbezogene Daten), die nicht mehr benötigt werden, werden dauerhaft aus unseren Informationssystemen gelöscht und alle Ausdrucke werden sicher vernichtet.

 

  1. Datenschutzverletzungen

 

  1. Eine Datenschutzverletzung kann viele verschiedene Formen annehmen, zum Beispiel:

 

  1. Verlust oder Diebstahl von Daten oder Geräten, auf denen personenbezogene Daten gespeichert sind;

 

  1. unbefugter Zugriff auf oder Verwendung personenbezogener Daten durch einen Mitarbeiter oder Dritte;

 

  1. Datenverlust aufgrund eines Geräte- oder Systemausfalls (einschließlich Hardware und Software);

 

  1. menschliches Versagen, wie versehentliches Löschen oder Verändern von Daten;

 

  1. unvorhergesehene Umstände wie Feuer oder Überschwemmung;

 

  1. vorsätzliche Angriffe auf IT-Systeme wie Hacking, Viren oder Phishing-Betrug; und

 

  1. „Blagging“-Straftaten, bei denen Informationen durch Täuschung der Organisation erlangt werden, die sie besitzt.

 

  1. Die Firma wird:

 

  1. die erforderliche Meldung einer Datenschutzverletzung unverzüglich an das Information Commissioner's Office und, wenn möglich, innerhalb von 72 Stunden, nachdem sie davon Kenntnis erlangt hat, wenn dies wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führt; und

 

  1. die betroffenen Personen zu benachrichtigen, wenn eine Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt und eine Benachrichtigung gesetzlich vorgeschrieben ist.

 

  1. Internationale Überweisungen

 

  1. Die Kanzlei kann personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) (der die Länder der Europäischen Union sowie Island, Liechtenstein und Norwegen umfasst) auf der Grundlage übertragen, dass dieses Land, Gebiet oder diese Organisation ein angemessenes Schutzniveau aufweist oder dass die Organisation, die die Informationen erhält, angemessene Garantien durch verbindliche Unternehmensvorschriften oder Standarddatenschutzklauseln oder die Einhaltung eines genehmigten Verhaltenskodex geschaffen hat, oder mit ausdrücklicher Zustimmung des Kunden.

 

  1. Ausbildung

 

  1. Die Kanzlei stellt sicher, dass die Mitarbeiter in Bezug auf ihre Datenschutzverantwortung angemessen geschult sind. Personen, deren Funktionen regelmäßigen Zugriff auf personenbezogene Daten erfordern oder die für die Umsetzung dieser Richtlinie oder die Beantwortung von Zugriffsanfragen im Rahmen dieser Richtlinie verantwortlich sind, erhalten zusätzliche Schulungen, um ihnen zu helfen, ihre Pflichten zu verstehen und sie einzuhalten.

 

  1. Folgen bei Nichteinhaltung

 

  1. Die Kanzlei nimmt die Einhaltung dieser Richtlinie sehr ernst. Nichteinhaltung der Richtlinie:

 

  1. gefährdet die Personen, deren personenbezogene Daten verarbeitet werden; und

 

  1. birgt das Risiko erheblicher zivil- und strafrechtlicher Sanktionen für die Person und die Firma; und

 

  1. kann unter Umständen eine Straftat des Einzelnen darstellen.

 

  1. Aufgrund der Bedeutung dieser Richtlinie kann die Nichteinhaltung einer Anforderung durch einen Mitarbeiter gemäß unseren Verfahren zu Disziplinarmaßnahmen führen, und diese Maßnahme kann zur Entlassung wegen groben Fehlverhaltens führen. Wenn ein Nicht-Mitarbeiter gegen diese Richtlinie verstößt, kann sein Vertrag mit sofortiger Wirkung gekündigt werden.

 

  1. Wenn Sie Fragen oder Bedenken zu irgendetwas in dieser Richtlinie haben, zögern Sie nicht, sich an den Datenschutzbeauftragten zu wenden;

 

 

 

Ich habe diese Richtlinie gelesen und verstanden und stimme zu, mich an ihre Bedingungen zu halten.

 

Unterzeichnet................................................. .................................................... .

bottom of page