1. Allgemein
Die Handelsgesellschaft CanDo d.o.o. za trgovinu i usluge (für Handel und Dienstleistungen), Oriovac, Zagrebačka 52, St-Nr.: 56531095048 arbeitet in Übereinstimmung mit den gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, insbesondere in Übereinstimmung mit der Allgemeinen Datenschutzverordnung (EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016) und dem Gesetz zur Umsetzung der Allgemeinen Datenschutzverordnung. Im Folgenden informieren wir Sie darüber, welche personenbezogenen Daten wir sammeln, für welche Zwecke wir sie verwenden und wie Sie diese Verfahren überwachen und Ihre Rechte ausüben können.
2. Der Verantwortliche und/oder der Auftragsverarbeiter
Die Handelsgesellschaft CanDo d.o.o. za trgovinu i uslug (für Handel und Dienstleistungen), Oriovac, Zagrebačka 52
St-Nr.: 56531095048
E Mail-Addresse: mislav.kemec@cando.hr
Verantwortliche Person:
Mislav Kemec, St-Nr.: 65593818248, Oriovac, Braće Radić 38, Geschäftsführer
3. Zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten
3.1 CanDo d.o.o. sammelt personenbezogene Daten direkt von Ihnen, um Verträge abzuschließen und auszuführen / Produkte zu kaufen und zu verkaufen und Dienstleistungen zu erbringen sowie bei Handlungen, die dem Vertragsschluss vorausgehen (Angebote, Fragen und / oder Anfragen innerhalb der Bestellung von Produkten oder Dienstleistungen, Senden von Fragen oder Anfragen zu unseren Produkten oder Dienstleistungen) oder aus anderen rechtlichen Gründen.
Wir verwenden personenbezogene Daten nur für festgelegte Zwecke und geben sie nicht für unvorhergesehene oder unerwartete Zwecke weiter.
Wir erheben auch personenbezogene Daten, wenn Sie uns diese zur Verfügung stellen, beispielsweise per E-Mail, und in ähnlichen Situationen, in denen Sie sich entschieden haben, uns Daten zur Verfügung zu stellen.
3.2 Wenn Sie einen Vertrag mit CanDo d.o.o. abschließen, ein Angebot anfordern, unsere Dienstleistungen anfordern möchten und in jedem Fall, wenn Sie eine vertragliche oder geschäftliche Beziehung mit CanDo d.o.o. eingehen, verarbeiten wir Ihre personenbezogenen Daten, um Ihnen unsere Dienstleistung bereitzustellen, oder die Verwendung unserer Produkte in übereinstimmung mit ihrer Anfrage zu ermöglichen, oder um auf Ihre Anfrage zu antworten. Wenn Sie den Kauf von Produkten oder Dienstleistungen beantragen, oder ein Vertragsverhältnis mit CanDo d.o.o. eingehen, werden Sie über die Art der Informationen informiert, die Sie uns zur Erfüllung Ihres Atrags, d.h. zum Abschluss und zur Ausführung des Vertrags, zur Verfügung stellen müssen. Wir sammeln und verarbeiten keine Daten, die nicht zur Ausführung des angeforderten Dienstes dienen.
Die personenbezogene Daten, die wir für die Zwecke dieses Abschnitts sammeln, können Folgendes umfassen:
Vorname und Nachname, Geburtsname,
– Adresse:
– St-Nr., Einheitliche Personenkennziffer der Bürger,
– Geburtsdatum, -ort und -staat,
– Geschlecht, Familienstand
– Ausbildung, Beruf,
– Familienmitglieder,
– Beitragszeit,
– Wohnverhältnisse,
– Staatsbürgerschaft, Nationalität,
– Datum des Beginns und der Beendigung des Arbeitsverhältnisses,
– Telefonnummer,
– biometrische Daten – Fingerabdruck zur Erfassung der Arbeitszeit der Mitarbeiter (mit Einwilligung).
3.3 CanDo d.o.o. kann Sie auch um Einwilligung zur Verarbeitung Ihrer Daten für einen oder mehrere besondere Zwecke bitten, die letztendlich keine Bedingung für die Vertragserfüllung oder rechtliche Verpflichtung von CanDo d.o.o darstellen, oder für den Abschluss und die Erfüllung des Vertrags nicht erforderlich sind (zB zum Zwecke der Vermarktung, des Angebots neuer Produkte und Dienstleistungen usw.). Sie sind nicht verpflichtet, die Einwilligung für eine solche Verarbeitung zu erteilen, können dies jedoch frei tun, und jederzeit widerrufen. Dies hat aber keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung die aufgrund der Einwilligung vor dem Widerruf bereits durchgeführt wurde. Der Antrag auf Einwilligung wird Ihnen so vorgelegt, dass er in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache verständlich ist, und klar von anderen Themen unterschieden werden kann.
3.4 CanDo d.o.o. unterliegt Als juristische Person natürlich gesetzlichen Verpflichtungen, welche eine Verpflichtung zur Verarbeitung von Daten zum Zwecke der Erfüllung der gesetzlich vorgeschriebenen Zwecke vorschreiben können. In diesem Fall verarbeitet CanDo d.o.o. Ihre personenbezogenen Daten auf der gesetzlich vorgeschriebenen Rechtsgrundlage.
3.5 Unsere Informationssysteme sind durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Änderung oder Übertragung Ihrer Daten sowie vor möglichem Verlust oder Löschung geschützt.
4. Empfänger personenbezogener Daten
4.1 Die Daten, die wir von Ihnen und über Sie erfasst haben, verbleiben in den Datenbanken von CanDo d.o.o.
Ihre Daten können an Dritte weitergegeben werden:
a) wenn es unsere rechtliche Verpflichtung ist oder als Reaktion auf Gerichtsverfahren oder auf Ersuchen von Behörden die in Vergehens-, Straf- oder anderen Verfahren teilnehmen.
b) um unsere Rechte, Privatsphäre, Sicherheit, Eigentum oder das öffentliche Interesse zu schützen
c) für administrative oder technische Unterstützung (z. B. für unsere Buchhaltungsdienstleister, Lieferservices usw.) oder für andere geschäftliche Zwecke, um Transaktionen mit Ihnen zu erleichtern
d) um unsere Daten zu analysieren, mobile Analysedienste durchzuführen oder unsere Dienste zu warten und zu verbessern (gegebenenfalls vorbehaltlich Vertraulichkeitsvereinbarungen)
e) um geeignete Rechtsmittel einzureichen und / oder auf rechtliche Aufforderungen zu reagieren, denen wir ausgesetzt sein könnten
f) um die Bedingungen einer Vereinbarung oder Geschäftsbeziehung mit Ihnen zu erfüllen
h) in anderen Fällen mit Ihrer Einwilligung.
4.2 Personenbezogene Daten können an eine andere juristische Person im Falle einer Übertragung, eines Gesellschafterwechsels, einer Umstrukturierung oder eines Zusammenschlusses des Unternehmens oder eines Teils des Unternehmens CanDo d.o.o. oder seiner Vermögenswerte an ein anderes Unternehmen übertragen werden.
4.3 Wir können Ihre persönlichen Daten den Mitgliedern der Gruppe, Dritten, Dienstleistern oder Subunternehmern offenlegen. Diese Dienstleister befinden sich möglicherweise in einem anderen Land als Ihrem Heimatland, z. B. den USA oder einem Mitgliedstaat der Europäischen Union. Diese Dienstleister sind vertraglich verpflichtet, die Vertraulichkeit und Sicherheit Ihrer Daten zu bewahren.
4.4 Im Falle der Weitergabe von Daten an Dritte untersagt CanDo d.o.o. diesen Parteien, Ihre personenbezogenen Daten für einen anderen als den vereinbarten Zweck zu verwenden, und verpflichtet den Geschäftspartner, die Vertraulichkeit personenbezogener Daten zu bewahren.
5. Speicherfristen für personenbezogene Daten
5.1 Die Speicher- und Bearbeitungsfristen Ihrer Daten hängen von der Art/Kategorie der Daten, dem Zweck, für den sie erfasst oder bereitgestellt wurden, und den Gesetzen oder gesetzlichen Verpflichtungen ab, denen CanDo d.o.o. unterliegt. Wir bewahren personenbezogene Daten so lange auf, wie dies gesetzlich vorgeschrieben oder für die Erbringung der angeforderten Dienstleistung oder für die Erbringung der Dienstleistung oder des Zwecks, für den Sie Ihre Einwilligung erteilt haben, erforderlich ist, sofern gesetzlich nichts anderes vorgeschrieben ist (z. B. im Zusammenhang mit anhängigen Gerichtsverfahren).
5.2 Daten im Zusammenhang mit gesetzlichen und rechtlichen Verpflichtungen von CanDo d.o.o. werden für den in den maßgebenden Gesetzen vorgeschriebenen Zeitraum gespeichert – z. B. ist die Speicherverpflichtung und -frist für die Aufbewahrung von Rechnungen und Buchhaltungsunterlagen (die auch Ihre Daten enthalten) im Rechnungslegungsgesetz vorgeschrieben.
5.3 Daten, für welche die Gesetze oder sonstige Vorschriften keine Speichersfrist vorschreiben, werden unter Berücksichtigung der Datenkategorie und des Zwecks, für den sie erhoben wurden, für einen angemessenen Zeitraum gespeichert. Für einen bestimmten Zweck erhobene Daten werden nur für diesen Zweck verwendet und nach Ablauf einer angemessenen Frist und nach Erfüllung dieses Zwecks nicht mehr aktiv gespeichert. Anonymisierte Daten können für statistische und Marketingzwecke, Archivierungszwecke und andere analytische Zwecke verwendet werden. Wenn Sie diese Daten bereitstellen, werden Sie mit der Speicherfrist oder den Kriterien vertraut gemacht, anhand derer die Speicherfrist dieser Daten bestimmt wird.
6. Rechte der betroffenen Personen
6.1 In Bezug auf die Verarbeitung Ihrer personenbezogenen Daten stellen wir Ihnen folgende Rechte sicher:
(i) das Recht auf Zugang zu ihren personenbezogenen Daten
(ii) das Recht, die Daten zu berichtigen oder zu ergänzen
(iii) das Recht auf Löschung („Recht auf Vergessenwerden“)
(iv) das Recht, die Verarbeitung einzuschränken
(v) das Recht, der Verarbeitung personenbezogener Daten zu widersprechen
(vi) das Recht auf Datenübertragbarkeit
6.2 Sie können einen Antrag auf die Ausübung Ihrer Rechte aus dem vorherigen Punkt per E-Mail-Adresse: mislav.kemec@cando.hr oder durch Kontaktaufnahme mit CanDo d.o.o. za trgovinu i usluge, Oriovac, Zagrebačka 52 stellen. Wir werden Ihre Anträge und Anfragen unverzüglich und in Übereinstimmung mit den gesetzlichen Verpflichtungen bearbeiten und Sie über die von uns ergriffenen Maßnahmen informieren.
6.3 Zur Ausübung und zum Schutz ihrer Rechte hat der Nutzer das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen – der Agentur für den Schutz personenbezogener Daten (Agencija za zaštitu osobnih podataka) in Martićeva ulica 14, Zagreb.
Gemäß den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (nachstehend: Verordnung) und des Gesetzes zur Umsetzung der Allgemeinen Datenschutzverordnung (Amtsblatt 42/2018, nachstehend: Gesetz) erlässt Die Handelsgesellschaft CanDo d.o.o. für Handel und Dienstleistungen, Oriovac, Zagrebačka 52, St-Nr.: 56531095048 (nachstehend: Verantwortlicher), am 18.5.2018 die folgende
DATENSCHUTZRICHTLINIE
Allgemeine Bestimmungen
Artikel 1
(1) Der Verantwortliche regelt als für die Anwendung der Verordnung haftende Person den Schutz von Personen (natürlichen Personen) im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten durch diese Datenschutzrichtlinie.
(2) Diese Datenschutzrichtlinie gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
Bedeutung der in dieser Richtlinie verwendeten Begriffe
Artikel 2
(1) Um das Verständnis der Richtlinie und der darin verwendeten Begriffe zu erleichtern, werden die Definitionen der einzelnen Begriffe gemäß der Verordnung und dem Gesetz angegeben.
(2) Den folgenden Begriffen kommt folgende Bedeutung zu:
1) „personenbezogene Daten“ bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2) „Verarbeitung“ bedeutet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3) „Pseudonymisierung“ bedeutet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
4) „Verantwortlicher“ bedeutet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
5) „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
6) „Empfänger“ bedeutet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
7) „Dritter“ bedeutet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
8) „Einwilligung“ der betroffenen Person bedeutet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
9) „Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
10) “Datenschutzbeauftragter” ist eine Person, die vom Verantwortlichen für die Bearbeitung personenbezogener Daten ernannt wird und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Ausübung des Rechts auf Schutz personenbezogener Daten sicherstellt.
DATEISYSTEM
Artikel 3
Der Verantwortliche verarbeitet folgende Kategorien personenbezogener Daten:
– personenbezogene Daten der Arbeitnehmer des Verantwortlichen (Aufzeichnungen über Arbeitszeiten, Gehälter der Arbeitnehmer usw.),
– personenbezogene Daten der Kunden, Lieferanten und Geschäftspartner des Verantwortlichen,
– sonstige gemäß Artikel 6 der Verordnung erhobene personenbezogene Daten.
VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 4
(1) Die personenbezogenen Daten der betroffenen Personen werden vom Verantwortlichen nach den in der Verordnung festgelegten Grundprinzipien der personenbezogenen Datenverarbeitung verarbeitet:
(2) Die personenbezogenen Daten der betroffenen Personen werden vom Verantwortlichen Rechtmäßig, Transparent und nach Treu und Glauben Verarbeitet. Nur angemessene und relevante personenbezogene Daten werden ausschließlich für besondere, ausdrückliche und rechtmäßige Zwecke verarbeitet und danach nicht in einer Weise weiterverarbeitet, die diesen Zwecken nicht entspricht.
(3) Die vom Verantwortlichen verarbeiteten personenbezogenen Daten sind sachlich richtig und werden erforderlichenfalls auf den neuesten Stand gebracht. Personenbezogene Daten die nicht sachlich richtig sind werden ohne Verzögerung gelöscht oder berichtigt.
(4) Der Verantwortliche verarbeitet personenbezogene Daten ausschließlich so, dass eine angemessene Sicherheit personenbezogener Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung durch Anwendung geeigneter technischer und organisatorischer Maßnahmen.
(5) Der Verantwortliche speichert die personenbezogenen Daten nur so lange, wie dies für die Zwecke erforderlich ist, für die die personenbezogenen Daten verarbeitet werden. Ausnahmsweise dürfen personenbezogene Daten für längere Zeiträume gespeichert werden, jedoch nur, wenn sie ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu Zwecken der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken verarbeitet werden.
(6) Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden, überprüft der Verantwortliche regelmäßig die weitere Notwendigkeit der Speicherung dieser Daten im Hinblick auf den Zweck ihrer Verarbeitung, und ergreift geeignete Maßnahmen (z. B. Löschung personenbezogener Daten, wenn kein rechtliches Hindernis besteht).
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Artikel 5
Der Verantwortliche verarbeitet personenbezogene Daten nur insoweit, als eine der folgenden Bedingungen erfüllt ist:
– die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
– die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
– die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
– die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
– die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Befugnisse erfolgt, die dem Verantwortlichen übertragen wurde;
– die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Artikel 6
(1) Verarbeitet der Verantwortliche personenbezogene Daten, für welche die Einwilligung der betroffenen Person erforderlich ist, kann die Zustimmung auf dem dafür vorgesehenen Formular erteilt werden, das von der betroffenen Person unterschrieben wird.
(2) Das im vorstehenden Absatz genannte Einwilligungsformular ist so zu erstellen, dass die Anwendung der Bestimmungen der Verordnung über die Einwilligungsklärung gewährleistet ist, und das schriftliche Formular dient als Nachweis dafür, dass die betroffene Person die Verarbeitung seiner personenbezogenen Daten Eingewilligt hat.
(3) Zusätzlich zu dem oben genannten Formular gilt als Einwilligung jede schriftliche oder elektronische Erklärung oder bestätigende Handlung, welche die betroffene Person dem Verantwortlichen übermittelt hat und die in ihrem Inhalt einen klaren Ausdruck der freiwilligen, besonderen, informierten und eindeutigen Einwilligung zur Verarbeitung der ihn angehenden persönlichen Daten darstellt.
(4) Der Verantwortliche verarbeitet personenbezogene Daten auf der Grundlage der mündlichen Zustimmung (Erklärung) der betroffenen Person, sofern der Verantwortliche nachweisen kann, dass die betroffene Person die Einwilligung zur Verarbeitung seiner personenbezogenen Daten in dieser Form erteilt hat.
(5) Die Zustimmung, mit der die betroffene Person dem Verantwortlichen die Einwilligung zur Verarbeitung personenbezogener Daten erteilt, muss freiwillig sein.
(6) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor der Einwilligung hierüber informiert.
(7) Der Widerruf der Einwilligung kann mündlich, elektronisch oder schriftlich erfolgen.
(8) Bei der Verarbeitung personenbezogener Daten eines Minderjährigen muss die Einwilligung und der Widerruf der Einwilligung gemäß den vorstehenden Absätzen oder gemäß den Bestimmungen der Verordnung vom Elternteil / gesetzlichen Vertreter erteilt oder genehmigt werden.
(9) Die betroffene Person hat das Recht, die Einwilligung zu verweigern.
(10) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 7
(1) Der Verantwortliche verarbeitet keine besonders sensiblen Daten wie:
(2) Der Verantwortliche verarbeitet die Daten über den Gesundheitszustand der betroffenen Person. Diese Verarbeitung ist erforderlich, um die Verpflichtungen zu erfüllen und die besonderen Rechte des Verantwortlichen oder der betroffenen Person auszuüben, alles auf der Grundlage des Krankenversicherungsgesetzes, des Arbeitsgesetzes, des Arbeitsschutzgesetzes sowie anderer einschlägiger Vorschriften im Bereich des Arbeitsrechts und des Sozialversicherungsrechts sowie des Sozialschutzes in der Zuständigkeit der Europäischen Union oder der Republik Kroatien.
(3) Der Verantwortliche verarbeitet die biometrischen Daten/Fingerabdrücke seiner Mitarbeiter zum Zweck der Erfassung der Arbeitszeit und als Möglichkeit der Erfassung der Arbeitszeit die sich als Alternative zur Eingabe in die täglichen Aufzeichnungen der Arbeitszeit bietet. Diese Daten werden später in die offiziellen Arbeitszeitaufzeichnungen des Unternehmens übertragen. Die biometrischen Daten der Mitarbeiter werden ausschließlich mit Einwilligung des Mitarbeiters verarbeitet, der nicht verpflichtet ist, diese Zustimmung zu erteilen.
(4) Bei der Verarbeitung anderer personenbezogener Daten aus der Kategorie besonders sensibler Daten kann diese Verarbeitung ausschließlich auf den in der Verordnung vorgesehenen Gründen beruhen.
RECHTE DER BETROFFENEN PERSONEN
Artikel 8
Während der Verarbeitung personenbezogener Daten stellt der Verantwortliche den betroffenen Personen alle Informationen zur Verfügung, die sich auf die Verarbeitung deren personenbezogenen Daten beziehen, insbesondere zu dem Zweck der Datenverarbeitung, der Rechtsgrundlage für die Datenverarbeitung, den berechtigten Interessen des Verantwortlichen, der Absicht, personenbezogene Daten an Dritte weiterzugeben, der Speicherzeit der personenbezogenen Daten, dem Bestehen des Rechts der betroffenen Person, auf personenbezogene Daten zuzugreifen und personenbezogene Daten berichtigen oder zu löschen zu lassen und die Verarbeitung einzuschränken, dem Widerspruchsrecht und alle anderen Informationen, die der betroffenen Person gemäß den Bestimmungen der Verordnung zur Verfügung gestellt werden.
Artikel 9
Gemäß der Verordnung stellt der Verantwortliche sicher, dass die betroffenen Personen die folgenden Rechte ausüben können:
Artikel 10
(1) Der Verantwortliche hat unverzüglich und spätestens innerhalb eines Monats nach Eingang der Aufforderung der betroffenen Person oder seines gesetzlichen Vertreters oder Bevollmächtigten:
– der betroffenen Person Zugang zu ihren personenbezogenen Daten zu ermöglichen und sie über den Zweck der Verarbeitung ihrer personenbezogenen Daten, die Kategorien ihrer verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen ihre personenbezogenen Daten mitgeteilt wurden oder werden, sowie die vorgesehenen Speicherfristen (bzw. die Kriterien für die Bestimmung dieser Fristen) für die die personenbezogenen Daten gespeichert werden und in dem Fall, in dem personenbezogene Daten nicht von der betroffenen Person erhoben wurden, über die Quelle der Daten zu informieren,
– die betroffene Person über ihr Recht auf Berichtigung oder Löschung personenbezogener Daten (Recht auf Vergessenwerden) oder Einschränkung der Verarbeitung personenbezogener Daten, das Recht, eine Beschwerde bei der Datenschutzbehörde einzureichen, zu informieren;
– fehlerhafte personenbezogene Daten zu korrigieren oder unter Berücksichtigung der Verarbeitungszwecke unvollständige personenbezogene Daten (z. B. durch Abgabe einer zusätzlichen Erklärung) in Bezug auf die betroffene Person zu ergänzen;
– personenbezogene Daten der betroffenen Person zu löschen, sofern personenbezogene Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder wenn die betroffene Person die Einwilligung (wenn die Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person durchgeführt wird) widerruft oder wenn die Daten illegal verarbeitet wurden oder eine solche Verpflichtung durch das EU-Recht oder das kroatische Recht bestimmt ist;
– die Verarbeitung personenbezogener Daten der betroffenen Person einzuschränken, sofern die betroffene Person die Richtigkeit personenbezogener Daten bestreitet (für den Zeitraum, bis der Verantwortliche die Richtigkeit personenbezogener Daten überprüft) oder die Verarbeitung rechtswidrig ist (wobei die betroffene Person keine Löschung fordert, sondern nur eine Nutzungsbeschränkung an.) oder der Verantwortliche die personenbezogenen Daten nicht mehr für Verarbeitungszwecke benötigt (aber die betroffene Person verlangt sie, um rechtliche Ansprüche geltend zu machen, zu verwirklichen oder zu verteidigen) oder die Betroffene Person der Verarbeitung widersprochen hat;
– der betroffenen Person einen Ausdruck der sie betreffenden im Dateisystem enthaltenen personenbezogenen Daten direkt oder per E-Mail vorzulegen;
– die Verarbeitung personenbezogener Daten der betroffenen Person einzustellen, die auf der Grundlage des öffentlichen Interesses und des berechtigten Interesses des Verantwortlichen oder eines Dritten verarbeitet werden, es sei denn, es gibt berechtigte Gründe für die Verarbeitung, die über die Interessen, Rechte und Freiheiten der betroffenen Person hinausgehen oder im Falle, dass rechtliche Ansprüche geltend gemacht, ausgeübt oder verteidigt werden.
(2) Anträge sind schriftlich an den Verantwortlichen oder gegebenenfalls an den Datenschutzbeauftragten zu richten.
Artikel 11
Die betroffene Person, die der Ansicht ist, dass ein durch die Verordnung oder das Gesetz garantiertes Recht verletzt wurde, hat das Recht, bei der Datenschutzbehörde einen Antrag auf Feststellung eines Verstoßes zu stellen.
DATENSCHUTZBEAUFTRAGTER
Artikel 12
(1) Gemäß Artikel 37 der Verordnung kann der Verantwortliche für die Verarbeitung personenbezogener Daten über die Ernennung eines Datenschutzbeauftragten für personenbezogene Daten entscheiden.
(2) Die Entscheidung über die Ernennung des Datenschutzbeauftragten erfolgt schriftlich.
(3) Bei Ernennung eines Datenschutzbeauftragten teilt der Verantwortliche der Datenschutzbehörde die Ernennung innerhalb eines Monats nach der Entscheidung über die Ernennung mit und macht die offiziellen Kontaktdaten des Datenschutzbeauftragten auf seiner Website oder auf andere geeignete Weise öffentlich zugänglich.
(4) Eine Person darf nicht zum Datenschutzbeauftragten ernannt werden wenn gegen sie ein Verfahren wegen Verletzung der Amts- oder Arbeitspflicht anhängig ist, gegen die eine Maßnahme wegen der Verletzung der Amts- oder Arbeitspflicht verhängt wurde, und gegen die eine Maßnahme wegen des Verstoßes gegen die Normen des Ethikkodex und andere vom Verantwortlichen verabschiedete Verhaltensregeln auferlegt wurde.
Pflichten des Datenschutzbeauftragten
Artikel 13
(1) Der Datenschutzbeauftragte ist verpflichtet:
1) die Anwendung der in der Verordnung vorgeschriebenen Grundsätze der Verarbeitung personenbezogener Daten sicherzustellen;
2) sicherzustellen, dass der Verantwortliche sich der Notwendigkeit bewusst ist, die Vorschriften zum Schutz personenbezogener Daten anzuwenden
3) sicherzustellen, dass alle Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sich ihrer Verpflichtungen hinsichtlich des Schutzes personenbezogener Daten bewusst sind
4) die Ausübung der Rechte der betroffenen Personen zu ermöglichen
5) mit der Agentur für den Schutz personenbezogener Daten zusammenzuarbeiten
6) alle Informationen und Daten, die er bei der Erfüllung seiner Pflichten erfährt, auch nach Beendigung seiner Bestellung als Datenschutzbeauftragter vertraulich zu behandeln.
(2) Beschwerden, Anträge auf Löschung, Aktualisierung und Berichtigung personenbezogener Daten sowie sonstige Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten sind an den Datenschutzbeauftragten oder den Verantwortlichen zu richten, wenn kein Datenschutzbeauftragter bestellt wurde.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN
Artikel 14
(1) Der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um ein für das Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich:
1) der Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2) der Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten;
3) der Gewährleistung der Möglichkeit einer rechtzeitigen Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugriffs auf diese Daten im Falle eines physischen oder technischen Vorfalls;
4) der Aufrechterhaltung der Prozesse zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Um unbefugten Zugriff auf oder Verlust von Daten zu vermeiden, werden in Papierform gespeicherte Daten in Registern in verschlossenen Schränken und Räumen aufbewahrt, auf die nur befugte Mitarbeiter zugreifen können und die in elektronischer Form gespeicherten Daten werden auf Servern gespeichert und durch Sicherheitsprogramme und die Zuweisung eines speziellen Benutzernamens und Passworts geschützt, die nur dem Angestellten bekannt sind, der diese personenbezogene Daten verarbeitet.
RECHTSMECHANISMEN DES PERSÖNLICHEN DATENSCHUTZES
Artikel 15
(1) Die vom Verantwortlichen beschäftigten Mitarbeiter sind mit der Datenschutzpolitik des Verantwortlichen vertraut, insbesondere mit den aus dem Arbeitsverhältnis übernommenen Verpflichtungen und den Bestimmungen dieser Richtlinie. Die Mitarbeiter sind mit der Verpflichtung zur zweckgemäßen Verarbeitung personenbezogener Daten und zur Wahrung der Vertraulichkeit aller personenbezogenen Daten auf die sie berechtigt sind Zuzugreifen und die sich in Datenbanken befinden die vom Verantwortlichen verwaltet werden, vertraut.
(2) Die Verletzung des Schutzes personenbezogener Daten ist ein Grund für die Kündigung des Arbeitsverhältnisses und bei groben Verstößen auch Grund für die außerordentliche Kündigung des Arbeitsvertrags sowie die Grundlage für den Schadensersatz.
Meldung der Verletzungen des Schutzes personenbezogener Daten
Artikel 16
(1) Wenn es wahrscheinlich ist, dass eine Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Verantwortliche die Datenschutzbehörde unverzüglich und spätestens 72 Stunden nach Kenntnisnahme der Verletzung über die Verletzung informieren.
(2) Die Meldung sollte eine Beschreibung der Verletzung sowie Informationen zu den betroffenen Personen und den personenbezogenen Daten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung und die Kontaktstelle des Verantwortlichen enthalten.
(3) Wenn es wahrscheinlich ist, dass eine Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Verantwortliche die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten in Kenntnis setzen.
Schlussbestimmungen
Artikel 17
(1) Diese Richtlinie tritt am Tag ihrer Annahme in Kraft.
(2) Mit Inkrafttreten dieser Richtlinie erlöschen alle Bestimmungen früherer Rechtsakte, welche die in dieser Richtlinie enthaltenen Fragen in irgendeiner Weise regeln.