Datenschutzrichtlinie zum Schutz personenbezogener Daten der
MDP Engineering Sp. z o.o. Sp. K.

ERKLÄRUNG

  1. Dieses Dokument stellt einen Rahmen von Grundsätzen und Regelungen zum Schutz personenbezogener Daten bei MDP Engineering dar. Diese Richtlinie ist eine Richtlinie im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), im Folgenden DSGVO genannt.
  2. Durch die Annahme dieser Richtlinie erklärt MDP Engineering die Einhaltung der Rechte der Personen, deren Daten verarbeitet werden, die sich aus den Bestimmungen der DSGVO ergeben, sowie Transparenz und Offenheit bei den Grundsätzen der Datenverarbeitung.
  3. Die Richtlinie enthält eine Beschreibung der Grundsätze zum Schutz personenbezogener Daten bei MDP Engineering, die im Verhältnis zum Umfang der Datenverarbeitung im Unternehmen stehen.
  4. Grundsätze der Verantwortung:
  5. Die Geschäftsführung/Partner von MDP Engineering, die als Verantwortlicher für die Datenverarbeitung (ADO) fungieren, sind für die Umsetzung und Aufrechterhaltung dieser Richtlinie verantwortlich.
  6. Aufgrund der Existenz von zwei Partnern in der Gesellschaft besteht die Funktion des ADO aus dem gemeinsamen Handeln beider Partner.
  7. Die Überwachung der Einhaltung der Bestimmungen dieser Richtlinie und der DSGVO obliegt, sofern kein Datenschutzbeauftragter (DSB) bestellt ist, einem benannten Mitarbeiter, der für die Überwachung der Sicherheit der verarbeiteten Daten und die Einhaltung der Datenschutzvorschriften verantwortlich ist.

DEFINITIONEN

  1. Richtlinie bedeutet diese Richtlinie von MDP Engineering zusammen mit den zugehörigen Dokumenten.
  2. DSGVO bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG.
  3. PUODO – Präsident des Amtes für den Schutz personenbezogener Daten – die übergeordnete nationale Datenschutzbehörde.
  4. Personenbezogene Daten – Daten gemäß der Definition in Artikel 4 der DSGVO und gemäß der Definition in Artikel 9 Absatz 1 der DSGVO.
  5. Verarbeitung bedeutet jede Operation oder Reihe von Operationen, die mit personenbezogenen Daten oder Datensätzen durchgeführt werden, ob automatisiert oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abruf, Einsichtnahme, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung und andere von der DSGVO-Definition abgedeckte Operationen.
  6. Verantwortlicher für die Datenverarbeitung (ADO) – eine juristische Person, die die Zwecke und Mittel der Datenverarbeitung bei MDP Engineering festlegt, auch ein gemeinsam Verantwortlicher.
  7. Auftragsverarbeiter – bedeutet eine verarbeitende Stelle, der MDP Engineering die Verarbeitung personenbezogener Daten im Rahmen eines Auftragsverarbeitungsvertrags anvertraut hat.
  8. Datenschutzbeauftragter (DSB) – ein von der Geschäftsführung von MDP Engineering benannter Mitarbeiter, der für die Überwachung der Einhaltung der DSGVO und dieser Richtlinie bei der Verarbeitung personenbezogener Daten bei MDP Engineering verantwortlich ist. Wenn gemäß Artikel 37 Absatz 1 der DSGVO als DSB bestellt, muss er beim Präsidenten des Amtes für den Schutz personenbezogener Daten registriert werden.
  9. Datensatz – eine organisierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob sie zentralisiert, dezentralisiert oder funktional oder geografisch verteilt ist.
  10. Empfänger – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.
  11. Vorfall – ein Ereignis, das sich direkt auf den Verlust eines bestimmten Sicherheitsniveaus der Daten auswirkt, insbesondere unbefugte Offenlegung, Verlust, unbefugte Änderung oder unbefugte Übermittlung von Daten.

ALLGEMEINE GRUNDSÄTZE ZUM SCHUTZ PERSONENBEZOGENER DATEN

  1. Grundsatz der Rechtmäßigkeit:
    • Das Unternehmen gewährleistet den Schutz der Daten und verarbeitet diese im Einklang mit dem Gesetz.
  2. Grundsatz der Erforderlichkeit (Angemessenheit, Minimierung) des Verarbeitungsumfangs:
    • bedeutet, dass nur die personenbezogenen Daten verarbeitet werden, die nach den geltenden Bestimmungen des Arbeitsgesetzbuches von einem Arbeitnehmer bei der Einstellung verlangt werden können. Die Anwendung dieses Grundsatzes beeinträchtigt nicht das Recht des Arbeitnehmers, dem Arbeitgeber andere personenbezogene Daten mitzuteilen, die er für die Wahrnehmung seiner Rechte und persönlichen Bedürfnisse für erforderlich hält. Die Mitteilung dieser Daten ist dann ebenfalls freiwillig.
  3. Grundsatz der Zweckbindung und Verarbeitung:
    • bedeutet, dass personenbezogene Daten nur zur Erreichung eines rechtmäßigen Zwecks verarbeitet werden. Der rechtmäßige Zweck muss dem Arbeitnehmer, von dem die Daten stammen, angegeben werden, und eine Änderung oder Erweiterung des Verarbeitungszwecks kann nicht ohne ausdrückliche Benachrichtigung des Arbeitnehmers und dessen formale Zustimmung zu dieser Erweiterung oder Änderung erfolgen.
  4. Grundsatz der transparenten Informationspolitik:
    • bedeutet, dass die Geschäftsführung von MDP Engineering alle Anstrengungen unternimmt, um sicherzustellen, dass der Arbeitnehmer, von dem die Daten stammen, zuverlässig über seine Rechte nach der DSGVO informiert wird. In Dokumenten, die sich an die betroffenen Personen richten, wird die allgemeine Rechtsgrundlage für die Verarbeitung sowie weitere Informationen, die in Abschnitt IX detailliert beschrieben sind, angegeben.
  5. Grundsatz der Sicherheit der Datenverarbeitung:
    • wird durch vier Attribute umgesetzt: Vertraulichkeit, Integrität, Verfügbarkeit und Rechenschaftspflicht. Es bedeutet die Verarbeitung von Daten unter Einhaltung der erforderlichen organisatorischen und technischen Schutzmaßnahmen, einschließlich des Schutzes vor unbefugter Offenlegung, unbefugter Verarbeitung, Zerstörung, Beschädigung sowie der Bewertung der Auswirkungen der Verarbeitung auf den Datenschutz. Es bedeutet auch, dass Daten nur für den gesetzlich vorgeschriebenen Zeitraum gespeichert werden. Im Bereich des Vorfallmanagements werden Verfahren angewendet, um identifizierte Verstöße zu erkennen, zu bewerten und dem PUODO zu melden.

RECHTSGRUNDLAGEN FÜR DIE VERARBEITUNG

  1. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Arbeitnehmern ist Artikel 6 der DSGVO und das Gesetz vom 26. Juni 1974, das Arbeitsgesetzbuch (mit späteren Änderungen):
    • Im internen Rechtsverkehr des Unternehmens ist die Grundlage für die Verarbeitung personenbezogener Daten durch einen Arbeitnehmer eine persönliche Genehmigung, die vom ADO ausgestellt und bei Beendigung des Arbeitsverhältnisses oder bei einer Änderung des Aufgabenbereichs widerrufen wird.
    • Die Anzahl der Personen, die zur Verarbeitung personenbezogener Daten bei MDP Engineering berechtigt sind, ist auf das notwendige Minimum beschränkt.
  2. Verarbeitungszwecke:
    • Der Zweck der Verarbeitung personenbezogener Daten von Arbeitnehmern ist die Erfüllung der gesetzlichen Pflichten des Arbeitgebers im Zusammenhang mit dem Beschäftigungsprozess, wie z. B. Rekrutierung, Beschäftigung, Sozialversicherung, Gehaltszahlungen, Arbeitszeiterfassung, Dienstaltersberechnung und Führung von Personalakten.
    • Der Zweck der Verarbeitung personenbezogener Daten von Vertragspartnern ist die Abwicklung von Produktionsprozessen, die von MDP Engineering durchgeführt werden, wie z. B. Beschaffung, Zusammenarbeit, Unterauftragsvergabe, Produktverkauf und Logistikdienstleistungen.
  3. Bestandsaufnahme der Ressourcen:
    • Im Bereich der personenbezogenen Daten wurden Datensätze identifiziert, die die bei MDP Engineering beschäftigten Arbeitnehmer, Bewerber im Rekrutierungsprozess und Vertragspartner sowie die entsprechenden Archivdaten für diese Datensätze umfassen.
  4. MDP Engineering beauftragt die Verarbeitung personenbezogener Daten von Arbeitnehmern im Zusammenhang mit der Beschäftigung nur an Stellen, mit denen ein Auftragsverarbeitungsvertrag geschlossen wurde. (Vertrag vom 25. Mai 2018 mit TAX FREE).
  5. Daten von Personen/Bewerbern im Rekrutierungsprozess werden in einem System verarbeitet, das von einer Stelle überwacht wird, mit der MDP Engineering einen Vertrag über die Erbringung von IT-Dienstleistungen abgeschlossen hat.

HANDHABUNG DER RECHTE DER BETROFFENEN UND INFORMATIONSVERPFLICHTUNGEN

  1. Rechte:
    • Recht auf Information – umfasst das Recht der betroffenen Person, klare und verständliche Informationen über:
      • die Daten des Verantwortlichen und des Datenschutzbeauftragten, einschließlich Kontaktdaten,
      • Datenempfänger,
      • Verarbeitungszwecke,
      • Absicht der Datenübermittlung,
      • Aufbewahrungsfrist der Daten,
      • Anträge auf Zugang zu ihren Daten,
      • automatisierte Verarbeitung und Profiling,
      • Informationen darüber, ob die Bereitstellung personenbezogener Daten eine gesetzliche Voraussetzung für den Abschluss eines Vertrags ist und die Folgen der Nichtbereitstellung,
    • Recht auf Löschung (Recht auf Vergessenwerden),
    • Recht auf Beschwerde – umfasst die Möglichkeit, eine Beschwerde beim Präsidenten des Amtes für den Schutz personenbezogener Daten oder direkt beim Verwaltungsgericht einzureichen,
    • Recht auf Zugang zu ihren Daten,
    • Recht auf Berichtigung der Daten,
    • Recht auf Einschränkung der Verarbeitung,
    • Recht auf Datenübertragbarkeit.
  2. Erfüllung der Informationspflicht:

In Dokumenten, die sich an die betroffenen Personen richten, wird jeweils die Rechtsgrundlage für die Verarbeitungstätigkeit angegeben, zusammen mit:

  • den Daten des Verantwortlichen und des Datenschutzbeauftragten oder einer anderen für den Prozess benannten Person,
  • Informationen über das Recht auf Zustimmung zur Verarbeitung, das Recht auf Zugang zu ihren Daten, das Recht auf Widerspruch gegen die Verarbeitung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Löschung, Berichtigung oder Übertragung der Daten, das Recht auf Information über Datenverletzungen,
  • Informationen über eine mögliche Verlängerung der Bearbeitungsfrist des Antrags,
  • Informationen über den Verarbeitungszweck und dessen Änderungen,
  • Informationen über die endgültige Löschung (Anonymisierung) der Daten.

Zur Erfüllung der Informationspflicht und zur Bearbeitung von Anträgen im Zusammenhang mit der Wahrnehmung der Rechte der betroffenen Personen benennt die Geschäftsführung von MDP Engineering, sofern kein Datenschutzbeauftragter bestellt ist, einen Mitarbeiter und legt dessen Aufgaben in der Aufgabenbeschreibung fest.

MASSNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN

  1. Der Verantwortliche für die Datenverarbeitung (ADO) ist für die Umsetzung geeigneter technischer, organisatorischer und rechtlicher Maßnahmen zum Schutz der Daten verantwortlich. Diese Maßnahmen werden bei Bedarf überprüft und aktualisiert. Der Umfang der angewandten Maßnahmen sollte die Schlussfolgerungen aus der Risikoanalyse und -bewertung widerspiegeln.
  2. Organisatorische Maßnahmen umfassen:
    • die Erstellung und Umsetzung dieser Schutzrichtlinie,
    • die Beauftragung der Verarbeitung im Rahmen individueller Genehmigungen,
    • die Pflichten der Mitarbeiter, die in den Arbeitsvorschriften von MDP Engineering festgelegt sind,
    • die Anwendung von Kontrollen durch die Geschäftsführung zur Einhaltung der DSGVO, einschließlich der Kontrolle des Auftragsverarbeiters und stichprobenartiger Überprüfungen interner Sicherheitsverfahren,
    • die Bestellung eines Datenschutzbeauftragten mit Aufgaben gemäß Artikel 39 der DSGVO.
  3. Technische und personelle Maßnahmen umfassen:
    • die Sicherung der Verarbeitungsanlagen in der ul. Trakt św. Wojciecha 243C, 80-017 Gdańsk, mit physischen Sicherheitsposten, Videoüberwachung, Empfangskontrollposten, Unterteilung des Gebäudes in Zugangskontrollzonen (SKD), physischen Schlössern an Räumen mit Schlüsseln und einem Brandschutzsystem,
    • die Sicherung des IT-Systems durch regelmäßig geänderte Login- und Passwortzugänge,
    • eingesetzte Antiviren-Systeme,
    • erteilte Zugangsberechtigungen für bestimmte Zonen und Räume (Schlüssel).
  4. Rechtliche Maßnahmen:
    • Schulungen zu den Bestimmungen der DSGVO, einschließlich straf- und dienstrechtlicher Haftung für Verstöße gegen die DSGVO,
    • Schulungen zum Zugang zu IT-Systemen, einschließlich dienstrechtlicher Haftung für Verstöße gegen interne IT-Sicherheitsvorschriften,
    • Schulungen der Mitarbeiter zu Verfahren im Falle von Datenverletzungen (Vorfällen),
    • Umsetzung eines rechtlichen Vertrags über die Datenverarbeitung, der die Rechte des Verantwortlichen (MDP Engineering) sichert und die verarbeiteten personenbezogenen Daten gemäß den Anforderungen der DSGVO schützt, der mit dem Auftragsverarbeiter (TAX FREE) geschlossen wurde.

NICHT IDENTIFIZIERTE DATEN

  • Umgang mit nicht identifizierten Daten – MDP Engineering identifiziert Fälle, in denen die Verarbeitung nicht identifizierter Daten auftreten kann, und unterhält Mechanismen zur vollständigen Wahrnehmung der Rechte der betroffenen Personen.

PROFILING

  • MDP Engineering wendet kein Profiling auf verarbeitete personenbezogene Daten von Arbeitnehmern an. Im Bereich der Überwachung der Verarbeitung, die anderen Stellen anvertraut wurde, behält sich MDP Engineering das Recht vor, die Rechtmäßigkeit der Verarbeitung durch einen Vertrag sicherzustellen, der die Rechte des Auftragsverarbeiters an Verarbeitungsformen genau festlegt.

REGISTER

  1. Gemäß Artikel 30 der DSGVO ist das Unternehmen nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Für die Identifizierung möglicher Verstöße wird jedoch ein solches Verzeichnis vom Auftragsverarbeiter geführt, und für die Abwicklung des Rekrutierungsprozesses von einem berechtigten Mitarbeiter.
  2. Ein Register von Verstößen (Vorfällen) wird geführt, um den Prozess der Identifizierung, Benachrichtigung und Verwaltung von Vorfällen zu handhaben.
  3. Ein Register der erteilten Genehmigungen zur Verarbeitung personenbezogener Daten wird geführt, um die Rechenschaftspflicht und Rechtmäßigkeit der Verarbeitung sicherzustellen.
  4. Je nach Dokumentationsbedarf können andere Register als die in der Richtlinie genannten erstellt werden, deren Zweck dann in diesem Dokument festgelegt wird.

KONTROLLE

  1. Die Kontrolle über die Einhaltung der DSGVO im Unternehmen obliegt der Geschäftsführung (ADO), durch eine Person, die mit den Aufgaben des Datenschutzbeauftragten betraut ist, oder, wenn kein DSB bestellt ist, einem namentlich benannten Mitarbeiter, der dieselben Aufgaben wahrnimmt.
  2. Die Kontrolle über die Einhaltung der Bestimmungen des Auftragsverarbeitungsvertrags obliegt der Geschäftsführung (ADO) oder, basierend auf einer persönlichen Genehmigung, dem Datenschutzbeauftragten oder einer anderen benannten Person.
  3. Kontrollen und Überprüfungen, die vom Datenschutzbeauftrag

Im Falle von Unstimmigkeiten oder Streitigkeiten gilt ausschließlich die polnische Version dieses Dokuments als rechtsverbindlich und vor Gericht gültig.