UNSERE DATENSCHUTZZIELE & GLOBALE DATENSCHUTZRICHTLINIE
EINLEITUNG
Zweck des Datenschutzes ist es, im Zusammenhang mit der Verarbeitung personenbezogener Daten die öffentlichen Freiheiten und Grundrechte natürlicher Personen, insbesondere deren Ruf und Privatsphäre, zu wahren und zu schützen. Ziel ist es, die Verarbeitung personenbezogener Daten unabhängig vom Format der Datenverarbeitung, die Rechte der betroffenen Personen sowie die Pflichten der Datenverarbeiter und -verantwortlichen zu regeln.
ZWECK UND GeltungsBEREICH
1.1 Diese Richtlinie legt die Datenschutzanforderungen von Colt fest, die es den Mitarbeitenden und den Personen, die personenbezogene Daten von Colt verarbeiten, ermöglichen, personenbezogene Daten effektiv zu schützen und Datenschutzrisiken für die Geschäftsleistungen, Funktionen, Informationssysteme, Vermögenswerte und Personen von Colt zu managen.
1.2 Es liegt in der Verantwortung jedes Colt-Mitarbeiters, diese Grundsätze bei der Erfüllung seiner täglichen Aufgaben zu verstehen.
1.3 Die in diesem Dokument definierten Anforderungen sind verbindlich und gelten für alle Colt-Mitarbeiter.
DEFINITIONEN
2.1 Personenbezogene Daten: bedeuten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Kennzeichner wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Kennzeichner oder auf einen oder mehrere der der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person spezifischen Faktoren; zudem gibt es Arten von "sensiblen Daten", die sich nicht nur auf Gesundheit, sondern auch auf Ideologie, Religion, ethnische Herkunft, Sexualleben sowie auf die Vorgeschichte von strafrechtlichen oder verwaltungsrechtlichen Verurteilungen oder Straftaten beziehen. Aufgrund von Beschränkungen und Besonderheiten bei der Verwendung sensibler Daten hat Colt eine separate Datenschutzrichtlinie zur Regelung der Verarbeitung sensibler Daten eingeführt, die Colt Sensitive Information Policy.
2.2 Mitarbeiter: bedeutet Colt-Mitarbeiter, von Colt autorisierte Auftragnehmer, Unterauftragnehmer von Lieferanten, Partner, Zeitarbeitskräfte und jede Person, die direkt vom Lieferanten beschäftigt wird oder die der Lieferant beauftragt und in die Erbringung von Dienstleistungen für Colt einbezogen hat.
2.3 Lieferant: bezeichnet eine Organisation oder Einzelperson, die eine Vereinbarung mit Colt über die Lieferung eines Produkts oder einer Dienstleistung eingeht. Dies umfasst alle Lieferanten in der Lieferkette.
2.4 Colt-Personendaten: bedeutet personenbezogene Daten, die Mitarbeiter, Kunden und Lieferanten betreffen.
2.5 "Datenschutzgesetzgebung" bedeutet die Verordnung (EU) 2016/679 ("DSGVO") sowie alle anwendbaren Datenschutzgesetze und -vorschriften, in der jeweils geltenden Fassung, einschließlich etwaiger Änderungen, Überarbeitungen oder Ersetzungen.
KONFORMITÄT
3.1 Die Einhaltung dieser Richtlinie ist für alle Colt-Mitarbeiter, die an der Verarbeitung von Colt-Personendaten beteiligt sind, verbindlich.
3.2 Der Datenschutzbeauftragte überwacht und berichtet über das Maß an Compliance, das Colt-Mitarbeiter in Bezug auf diese Richtlinie und die in diesem Dokument festgelegten Anforderungen erreichen.
3.3 Die Nichtbefolgung dieser Richtlinie erfordert eine ausdrückliche Genehmigung des Colt-Datenschutzbeauftragten.
3.4 Vorherige Genehmigung des Datenschutzbeauftragten sollte eingeholt werden, bevor dieses Dokument Dritten zur Verfügung gestellt wird.
ROLLEN UND VERANTWORTLICHKEITEN
4.1 Der Datenschutzbeauftragte ist verantwortlich für die Pflege dieses Dokuments und dafür, dass es weiterhin wirksam ist, um das Datenschutzniveau für Colt zu reduzieren.
4.2 Colt-Mitarbeiter sind verantwortlich für die tägliche Anwendung der in diesem Dokument enthaltenen Richtlinie und Kontrollen. Der Datenschutzbeauftragte kann von Colt-Mitarbeitern Nachweise dafür verlangen, wie die Anforderungen dieses Dokuments angewendet wurden.
SCHULUNG UND BEWUSSTSEIN
5.1 Alle Colt-Mitarbeiter müssen innerhalb der ersten 30 Tage ihrer Beschäftigung verpflichtende allgemeine Datenschutz- und Informationssicherheitsschulungen sowie rollenspezifische spezielle Schulungsmodule absolvieren und diese jährlich während ihrer Beschäftigung auffrischen. Mitarbeitende, die mit personenbezogenen Daten umgehen, müssen geschult werden, bevor sie Zugang zu Colt-Systemen mit personenbezogenen Daten erhalten. Vorgesetzte werden ermutigt, Datenschutzschulungen für sich selbst oder für unterstellte Mitarbeitende anzufordern, wenn sie dies für angemessen halten.
5.2 Darüber hinaus stellt das Datenschutzteam fortlaufende Leitlinien und Sensibilisierungsmaterialien zur Verfügung, einschließlich Newsletter, Leitfäden, Webinare und kundenorientierte Unterlagen, sofern dies angebracht ist.
5.3 Das Datenschutzteam arbeitet mit den Abteilungen Personalwesen und Marketing zusammen, um sicherzustellen, dass Schulungs- und Sensibilisierungsmaterialien aktuell, relevant und angemessen zugewiesen oder verteilt werden. Das Nichtbestehen oder Nichtabsolvieren verpflichtender Datenschutzausbildungen kann zu disziplinarischen Maßnahmen oder dem Entzug des Zugangs zur Colt-IT-Infrastruktur führen.
DATENSCHUTZROLLEN UND -VERANTWORTLICHKEITEN
6.1 Colt muss Datenschutzrisikomanagement- und Governance-Rollen definieren, dokumentieren und zuweisen.
6.2 Colt muss Colt-Mitarbeitende und diejenigen, die spezifische Aktivitäten des Datenschutzrisikomanagements durchführen, schulen, damit sie ihre Aufgaben effektiv erfüllen können.
6.3 Colt hat einen globalen DPO benannt, der intern tätig ist und sich innerhalb der Europäischen Union befindet. Zusätzlich hat Colt lokale Datenschutzbeauftragte gemäß nationaler Datenschutzgesetze und örtliche Vertreter in jedem Land, die direkt an den globalen DPO berichten. Das Team des DPO ist per E-Mail unter [email protected] oder [email protected] erreichbar.
Die Angaben zum Group Data Protection Officer lauten wie folgt:
Alessandro Galtieri
Group Data Protection Officer
Colt Technology Services Group Limited
Colt House | 20 Great Eastern Street | London | EC2A 3EH | UK
6.4 Darüber hinaus lauten die lokalen Datenschutzbeauftragten wie folgt:
6.4.1 Italien DPO: Alessandro Galtieri
6.4.2 Deutschland DPO: Sebastian Kraska
6.4.3 Niederlande DPO: Ellen Koopman
6.4.4 Spanien DPO: Cristina Sirera
6.4.5 Indien Beschwerdestelle: Alessandro Galtieri
GRUNDSÄTZLICHE PRINZIPIEN
Colt muss die Sicherheit und Integrität der personenbezogenen Daten, für die es verantwortlich ist, gewährleisten. Dies umfasst personenbezogene Daten, die es direkt verarbeitet (Colt als Datenverantwortlicher), durch die Erbringung von Dienstleistungen durch Dritte (als Datenverarbeiter für Colt) oder als Anbieter von Dienstleistungen (Colt als Datenverarbeiter) für einen Dritten.
In allen Fällen, unabhängig davon, ob Colt als Verantwortlicher oder Auftragsverarbeiter handelt, müssen die personenbezogenen Daten in Übereinstimmung mit den geltenden gesetzlichen und vertraglichen Verpflichtungen und Garantien verarbeitet werden.
Die anwendbare Datenschutzregelung wirkt sich direkt auf die Tätigkeiten von Colt aus, da personenbezogene Daten in seiner täglichen Tätigkeit verarbeitet werden. Bei der Verarbeitung dieser Daten müssen bestimmte Grundsätze und Maßnahmen erfüllt werden. Diese Grundsätze sind wie folgt:
RECHTMÄSSIGKEIT, FAIRNESS UND TRANSPARENZ
Colt muss personenbezogene Daten in Übereinstimmung mit Folgendem verarbeiten:
(a) Rechtmäßigkeit: Die Verarbeitung personenbezogener Daten muss auf einer rechtmäßigen Grundlage beruhen
(b) Fairness: Personenbezogene Daten müssen auf faire Weise verarbeitet werden, wie es vernünftigerweise erwartet werden kann.
(c) Transparenz: Über die Verarbeitung muss in klarer, präziser und unmissverständlicher Weise informiert werden.
ZWECKBINDUNG
Colt muss sicherstellen, dass personenbezogene Daten nur für die spezifischen, eindeutigen und legitimen Zwecke verarbeitet werden, für die sie erhoben wurden, und nicht in einer mit dem Erhebungszweck unvereinbaren Weise weiterverarbeitet werden.
DATENMINIMIERUNG
Erhobene personenbezogene Daten müssen angemessen, relevant und auf das für die Verarbeitung erforderliche Maß beschränkt sein.
SPEICHERBEGRENZUNG
Colt muss personenbezogene Daten, die eine Identifizierung der Person ermöglichen, nicht länger aufbewahren als für den Zweck ihrer Erhebung und Verarbeitung erforderlich ist.
Colt speichert personenbezogene Daten gemäß der Colt-Richtlinie zur Aufbewahrung und Vernichtung, die im Intranet zu finden ist.
Richtigkeit
Colt muss angemessene Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten genau, vollständig und, wo erforderlich, auf dem neuesten Stand sind.
Wenn Colt feststellt, dass personenbezogene Daten ungenau oder veraltet sind, werden alle angemessenen Schritte unternommen, um diese Daten so schnell wie möglich zu berichtigen oder zu löschen.
SICHERHEIT
Colt muss sicherstellen, dass die erhobenen und verarbeiteten personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden, um unbefugte oder unrechtmäßige Datenverarbeitung, versehentlichen Verlust, Zerstörung oder Beschädigung zu verhindern.
Insbesondere muss Colt sicherstellen, dass seine Mitarbeiter, die in Ausübung ihrer Tätigkeiten Zugang zu personenbezogenen Daten haben, sich verpflichten, diese Daten vertraulich zu behandeln und von der Weitergabe an Dritte abzusehen, sofern dies nicht rechtmäßig ist.
Bei einem vermuteten (oder bestätigten) Sicherheitsvorfall, der versehentlichen, unbefugten oder unrechtmäßigen Zugriff auf, Offenlegung, Änderung, Verlust oder Löschung personenbezogener Daten durch einen Colt-Mitarbeiter oder einen Dritten beinhaltet, wenden Sie sich bitte an das CSIRT gemäß dem Prozess zur Reaktion auf Vorfälle mit personenbezogenen Daten.
DATENSCHUTZ DURCH TECHNIKGESTALTUNG UND DATENSCHUTZ-EINSTELLUNGEN VOREINSTELLUNG
Colt muss Maßnahmen anwenden, um die Einhaltung der datenschutzrechtlichen Anforderungen durch Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu gewährleisten und nachzuweisen:
(a) Datenschutz durch Technikgestaltung: Bei der Gestaltung eines Produkts oder einer Dienstleistung muss Colt von Anfang an Aspekte wie Informationsanforderungen oder die Einholung einer geeigneten Einwilligung zur Verarbeitung von Kundendaten berücksichtigen.
(b) Datenschutzfreundliche Voreinstellungen: Standardmäßig dürfen nur die personenbezogenen Daten verarbeitet werden, die zur Erreichung des verfolgten rechtmäßigen Zwecks erforderlich sind, wobei die Vertraulichkeit personenbezogener Daten gewährleistet werden muss.
7.8.2 Die Datenschutz-Folgenabschätzung (PIA) ist ein nützliches Instrument, um sicherzustellen, dass der Datenschutz in alle neuen Verarbeitungsaktivitäten integriert wird, und daher hat Colt Leitlinien und Vorlagen entwickelt für:
(a) Wann eine PIA durchzuführen ist (siehe PIA-Justifikation für Details);
(b) Wie eine PIA auszufüllen ist (siehe PIA-Ausfüllhilfe und FAQs); und
(c) Eine PIA-Vorlagendokument.
7.8.3 Colt hat festgelegt, dass in den folgenden Fällen eine PIA durchgeführt werden muss:
(a) Systematische und gründliche Bewertung personenbezogener Aspekte von Personen, die auf automatisierter Datenverarbeitung, einschließlich Profiling, basieren und auf deren Grundlage Entscheidungen über diese natürlichen Personen getroffen werden.
(b) Groß angelegte Verarbeitung sensibler Daten oder von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten. Bei Colt wird groß angelegte Datenverarbeitung als 100 oder mehr betroffene Personen definiert.
(c) Systematische Überwachung eines öffentlich zugänglichen Bereichs.
(d) Verarbeitung sensibler personenbezogener Daten.
(e) Übermittlung personenbezogener Daten außerhalb von Colt in Länder außerhalb des EWR (d. h. der EU, Island, Norwegen und Liechtenstein) oder in ein Drittland ohne Angemessenheitsbeschluss.
(f) Die Auswirkung auf die Privatsphäre einer Person ist erheblich oder maximal. Bitte beziehen Sie sich auf das PIA-Leitdokument für weitere Beispiele von Auswirkungen.
7.8.4 Die Colt-PIA-Methodik muss angewendet werden, um die erforderlichen Datenschutzkontrollen für jede geschäftliche Tätigkeit mit Datenschutzrisiko zu bewerten und zu bestimmen, z. B. Projekte, Beschaffung von Waren und Dienstleistungen.
7.8.5 Mitarbeitende sollten die oben genannten Unterlagen konsultieren, wenn sie eine PIA durchführen oder beurteilen, ob eine erforderlich ist, und bei Bedarf das Colt-Datenschutzteam kontaktieren (unter [email protected]).
VERANTWORTLICHKEIT
Colt als Datenverantwortlicher ist dafür verantwortlich, wie es personenbezogene Daten verarbeitet und diese Richtlinie einhält.
Alle Mitarbeitenden sind verpflichtet, im Einklang mit dieser Richtlinie zu handeln und, wo angemessen, dafür zu sorgen, dass sie durchgesetzt wird.
Das Datenschutzteam ist für diese Richtlinie und die Durchführung von Schulungen hierzu verantwortlich, jedoch werden viele Mitarbeitende Teile dieser Richtlinie erfüllen müssen, insbesondere das Prinzip der Individuellen Rechte. In solchen Fällen müssen die Mitarbeitenden die in dem Prinzip und der Richtlinie zu Individuellen Rechten festgelegten Verfahren befolgen.
Colt muss Aufzeichnungen über die Verarbeitungstätigkeiten führen; die in diesem Verzeichnis enthaltenen Informationen unterscheiden sich je nachdem, ob Colt die personenbezogenen Daten als Datenverantwortlicher oder als Auftragsverarbeiter verarbeitet.
EINZELRECHTE
Colt wird alle betroffenen Personen darüber informieren, wie sie ihre Rechte ausüben können, und sicherstellen, dass Personen in der Lage sind, ihre Rechte frei auszuüben. Colt wird angemessen auf Anfragen zur Ausübung einer der folgenden Einzelrechte reagieren:
(a) Auskunftsrecht: Personen haben das Recht, eine Kopie der über sie erhobenen personenbezogenen Daten zu erhalten (unabhängig davon, ob diese von Colt selbst oder bei dessen Dienstleistern gehalten werden), und Informationen über die Verarbeitung zu erhalten.
(b) Berichtigungsrecht: Personen haben das Recht, unrichtige oder unvollständige personenbezogene Daten, die sie betreffen (unabhängig davon, ob diese von Colt selbst oder bei dessen Dienstleistern gehalten werden), zu berichtigen, um deren Richtigkeit und die angemessene Verarbeitung sicherzustellen.
(c) Recht auf Löschung (Recht auf Vergessenwerden): Personen haben das Recht auf Löschung der sie betreffenden personenbezogenen Daten.
(d) Widerspruchsrecht: Personen haben das Recht, jederzeit gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen.
(e) Einschränkungsrecht: Personen haben das Recht, die Verarbeitung personenbezogener Daten, die sie betreffen, einzuschränken. Das bedeutet, dass die Verarbeitung „pausiert“ wird und die personenbezogenen Daten nur gespeichert werden.
(f) Recht auf Datenübertragbarkeit: Personen haben das Recht, die sie betreffenden personenbezogenen Daten zu erhalten und diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format an einen anderen Verantwortlichen übermitteln zu lassen.
(g) Recht auf Nichtunterwerfung unter automatisierte Entscheidungsfindung: Personen haben das Recht, nicht einer auf automatisierter Datenverarbeitung beruhenden Entscheidung unterworfen zu werden, die sie betrifft, einschließlich Profiling. Dies schließt Fälle ein, in denen Colt Cookies als technisches Instrument verwendet, um Kunden zu bewerten und deren Verhalten, Leistung oder Präferenzen vorherzusagen, indem deren Profil mit dem anderer Nutzer oder ähnlicher Kunden verglichen wird.
7.10.2 Colt beantwortet diese Anfragen gemäß dem in der Richtlinie zu Individuellen Rechten vorgesehenen Verfahren.
Zuletzt aktualisiert
War das hilfreich?