Wir geben detaillierte Informationen darüber, welche Datenkategorien wir wie lange aufbewahren, unsere Kriterien für Aufbewahrungs- und Löschungsentscheidungen und unsere regelmäßigen Löschverfahren.
RICHTLINIE ZUR SPEICHERUNG UND LÖSCHUNG PERSONENBEZOGENER DATEN
1. Einleitung
1.1. Zweck Diese Richtlinie zur Speicherung und Vernichtung personenbezogener Daten („Politik”), Gesetz Nr. 6698 zum Schutz personenbezogener Daten („KVKK" wegwerfen "Gesetz") und die Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, die im Amtsblatt vom 28. Oktober 2017 veröffentlicht wurde und in Kraft trat und die sekundäre Verordnung des Gesetzes darstellt („Vorschriften") um unseren gesetzlichen Verpflichtungen nachzukommen, um Erläuterungen zu den Verarbeitungstätigkeiten personenbezogener Daten und den zum Schutz personenbezogener Daten im Rahmen der Gesetzgebung über personenbezogene Daten eingesetzten Systemen abzugeben und die betroffenen Personen über die Grundsätze für die Festlegung der maximal erforderlichen Speicherdauer für den Zweck, für den Ihre personenbezogenen Daten verarbeitet werden, sowie über die Prozesse der Löschung, Vernichtung und Anonymisierung zu informieren.HeraBiyo Biotechnology Research and Consulting Limited Company(„HeraWater" oder "Unternehmen") Hergestellt von. 1.2. Anwendungsbereich * Diese Richtlinie regelt die Speicherung und Löschung personenbezogener Daten von Unternehmenskunden, sofern es sich um natürliche Personen handelt, im Falle von juristischen Personen um natürliche Personen, die zur Vertretung des Unternehmens befugt sind, sowie um potenzielle Kunden, deren Mitarbeiter, Mitarbeiter, Bewerber, Vertreter/Mitarbeiter von Produkt-/Dienstleistungskäufern, Vertreter/Mitarbeiter von Lieferanten, physische und virtuelle Besucher und sonstige Dritte. Diese Richtlinie gilt für alle Speichermedien, auf denen personenbezogene Daten verarbeitet werden, und für alle Aktivitäten im Zusammenhang mit der Speicherung und Löschung personenbezogener Daten, die sich im Besitz des Unternehmens befinden oder von diesem verwaltet werden. * Der Anwendungsbereich dieser Richtlinie für die oben genannten Personenkategorien kann die gesamte Richtlinie umfassen (z. B. unsere aktiven Kunden, die gleichzeitig unsere Besucher sind) oder nur bestimmte Bestimmungen (z. B. nur unsere Besucher). * Sofern in dieser Richtlinie keine Bestimmungen zu anderen Angelegenheiten wie der Verarbeitung, Speicherung und Übermittlung personenbezogener Daten enthalten sind, stehen detaillierte Informationen zu diesen Angelegenheiten zur Verfügung.www.herabiyo.biobefindet sich an der AdresseHeraWaterSie kann über die Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten abgerufen werden. * Im Falle eines Widerspruchs zwischen dieser Richtlinie und den Bestimmungen des KVKK sowie anderen einschlägigen Rechtsvorschriften ist die jeweils anwendbare Gesetzgebung maßgebend. 1.3. Definitionen
Definition Erläuterung Ausdrückliche Zustimmung Einwilligung auf Grundlage informierter Kenntnis und freiwilliger Äußerung zu einer konkreten Angelegenheit. Arbeitnehmer Firmenangestellter. Ansprechpartner Die natürliche Person, deren personenbezogene Daten verarbeitet werden. Verwandter Benutzer Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen oder gemäß der vom Datenverantwortlichen erteilten Befugnis und Weisung verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten zuständig ist. Zerstörung Löschung, Vernichtung oder Anonymisierung personenbezogener Daten. Kanun ya da KVKK Gesetz Nr. 6698 zum Schutz personenbezogener Daten. Aufnahmeumgebung Jede Umgebung, in der personenbezogene Daten voll- oder teilweise automatisiert oder nicht automatisiert verarbeitet werden, sofern sie Teil eines Datenerfassungssystems ist. Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verzeichnis der Verarbeitung personenbezogener Daten Das Verzeichnis, in dem die Verantwortlichen für die Datenverarbeitung eine detaillierte Aufstellung ihrer Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten erstellen, indem sie die Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Datenkategorie, die Empfängergruppe, an die die Daten übermittelt werden, und die betroffene Personengruppe angeben und die maximale Aufbewahrungsfrist erläutern, die für die Zwecke der Verarbeitung personenbezogener Daten erforderlich ist, die personenbezogenen Daten, die in andere Länder übermittelt werden sollen, und die Maßnahmen zur Datensicherheit. Datenschutzrichtlinie und Datenverarbeitungsrichtlinie www.herabiyo.bioAdresse an der AdresseHeraWaterRichtlinie zum Schutz und zur Verarbeitung personenbezogener Daten. Antragsformular für verwandte Personen Das Antragsformular, das die betroffene Person, deren personenbezogene Daten innerhalb des Unternehmens verarbeitet werden, bei der Geltendmachung ihrer in Artikel 11 des Gesetzes erläuterten Rechte verwenden wird. Verarbeitung personenbezogener Daten Jede mit personenbezogenen Daten durchgeführte Operation, wie das Erheben, Aufzeichnen, Speichern, Aufbewahren, Ändern, Umordnen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten, sei es vollständig oder teilweise mit automatischen oder nicht automatischen Mitteln, sofern sie Teil eines Datenerfassungssystems ist. Anonymisierung personenbezogener Daten Personenbezogene Daten dürfen in keiner Weise mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, auch nicht durch Abgleich mit anderen Daten. Löschung personenbezogener Daten Personenbezogene Daten dürfen für die betroffenen Nutzer in keiner Weise unzugänglich oder nicht wiederverwendbar gemacht werden. Vernichtung personenbezogener Daten Der Prozess, personenbezogene Daten für jedermann unzugänglich, unauffindbar und wiederverwendbar zu machen. Planke Datenschutzbehörde. Organisation Datenschutzbehörde. Besondere personenbezogene Daten Rasse, ethnische Herkunft, politische Ansichten, philosophische Überzeugungen, Religion, Sektenzugehörigkeit oder sonstige Glaubensrichtungen, Aussehen und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften,Daten über Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten. Periodische Zerstörung Falls alle im Gesetz festgelegten Verarbeitungsbedingungen für personenbezogene Daten entfallen, erfolgt die Löschung, Vernichtung oder Anonymisierung von Amts wegen in regelmäßigen Abständen und gemäß der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten. Politik Richtlinie zur Speicherung und Vernichtung personenbezogener Daten. Datenprozessor Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage der ihr vom Verantwortlichen erteilten Befugnis verarbeitet. Datenverantwortlicher Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist. Register der Datenverantwortlichen (VERBIS) Das Register der Datenverantwortlichen wird von der Präsidentschaft unter der Aufsicht des Datenschutzbeirats geführt. Vorschriften Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, die mit ihrer Veröffentlichung im Amtsblatt vom 28. Oktober 2017 in Kraft trat. Die in dieser Richtlinie verwendeten Definitionen sind nachfolgend aufgeführt:
2. Grundsätze
Das Unternehmen handelt bei der Verarbeitung, Speicherung und Vernichtung personenbezogener Daten gemäß den folgenden Grundsätzen: * Personenbezogene Daten, die unserem Unternehmen zur Verfügung stehen oder von ihm erhoben werden, werden gemäß Artikel 4 des spanischen Datenschutzgesetzes (KVKK) verarbeitet: (i) im Einklang mit dem Gesetz und den Grundsätzen der Ehrlichkeit, (ii) soweit erforderlich, auf Richtigkeit und Aktualität, (iii) für festgelegte, klare und legitime Zwecke, (iv) in einem dem Verarbeitungszweck angemessenen und verhältnismäßigen Umfang verwendet und (v) für den in den einschlägigen Rechtsvorschriften festgelegten oder für den in dieser Richtlinie festgelegten Verarbeitungszweck erforderlichen Zeitraum aufbewahrt. * Unser Unternehmen verarbeitet personenbezogene Daten mit der ausdrücklichen Einwilligung der betroffenen Person oder ohne die ausdrückliche Einwilligung der betroffenen Person in den in Artikel 5 und 6 des KVKK festgelegten Fällen.Besondere personenbezogene Daten (einschließlich genetischer und Gesundheitsdaten)Die betroffenen Personen werden von unserem Unternehmen gemäß Artikel 10 des KVKK über die Verarbeitung ihrer personenbezogenen Daten informiert, und die erforderlichen Informationen werden bereitgestellt, wenn die betroffene Person Auskunft verlangt. * Unser Unternehmen legt den Zweck der Verarbeitung personenbezogener Daten klar und präzise fest; diese Verarbeitung erfolgt auf einer legitimen und rechtmäßigen Grundlage. In diesem Zusammenhang werden personenbezogene Daten bereitgestellt oder sollen bereitgestellt werden.genetische Analyse- und BeratungsdienstleistungenDer Zweck der Verarbeitung personenbezogener Daten wird ebenfalls vor Beginn der Verarbeitungstätigkeit angegeben. * Die im Rahmen von Artikel 12 des Gesetzes über die Löschung, Vernichtung und Anonymisierung personenbezogener Daten zu treffenden Verfahren sowie die in Artikel 5 dieser Richtlinie festgelegten Verfahren.technische und administrative Maßnahmen (insbesondere Bioinformatik-Sicherheit),Wir handeln in voller Übereinstimmung mit den einschlägigen Gesetzen, den Beschlüssen des Vorstands und dieser Richtlinie. * Sämtliche Vorgänge im Zusammenhang mit der Löschung, Vernichtung und Anonymisierung personenbezogener Daten werden vom Unternehmen protokolliert und die entsprechenden Aufzeichnungen werden mindestens 3 Jahre lang aufbewahrt, sofern keine anderen gesetzlichen Verpflichtungen bestehen. * In Fällen, in denen die Verarbeitung personenbezogener Daten erforderlich ist, um das Leben einer Person oder einer anderen Person zu schützen, deren Einwilligung aufgrund einer faktischen Unmöglichkeit nicht offengelegt werden kann oder deren Einwilligung nicht wirksam sein kann, oder das Leben und die körperliche Unversehrtheit einer Person oder einer anderen Person, deren körperliche Unversehrtheit nicht erkannt werden kann, dürfen die personenbezogenen Daten des Dateninhabers verarbeitet werden. * HeraWaterkann die personenbezogenen Daten des Dateneigentümers verarbeiten, um seinen gesetzlichen Verpflichtungen nachzukommen (z. B. durch Versenden von Dokumenten als Antwort auf Anfragen von öffentlichen Institutionen wie dem Gesundheitsministerium). * Sofern der Vorstand nichts anderes beschließt, wählen wir das geeignete Verfahren zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten von Amts wegen. Auf Antrag der betroffenen Person wird das geeignete Verfahren jedoch unter Angabe der Gründe ausgewählt. * Wenn die in den Artikeln 5 und 6 des Gesetzes festgelegten Bedingungen für die Verarbeitung personenbezogener Daten nicht mehr erfüllt sind, werden die personenbezogenen Daten vom Unternehmen entweder von Amts wegen oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert. Wenn die betroffene Person diesbezüglich einen Antrag beim Unternehmen stellt; * Eingereichte Anfragen werden spätestens innerhalb von 30 (dreißig) Tagen bearbeitet und die zuständige Person wird informiert. * Falls die angeforderten Daten an Dritte weitergegeben wurden, wird der Dritte, an den die Daten weitergegeben wurden, darüber informiert und es werden die erforderlichen Maßnahmen mit dem Dritten ergriffen.
3. Aufzeichnungsmedien
Die personenbezogenen Daten der betroffenen Personen werden von dem Unternehmen in den in der nachstehenden Tabelle aufgeführten Umgebungen gemäß den einschlägigen Rechtsvorschriften, insbesondere den Bestimmungen des KVKK, und im Rahmen der in der nachstehenden Tabelle aufgeführten internationalen Datensicherheitsgrundsätze verarbeitet (Tabelle 1) werden sicher in den folgenden Umgebungen gespeichert: Tabelle 1: Umgebungen zur Aufzeichnung persönlicher Daten Tabelle Elektronische Medien Nicht-elektronische Medien Dies sind die Umgebungen, in denen Daten in anderen technologischen Geräten wie Computern und Telefonen gespeichert werden: Dies sind die Umgebungen, in denen Daten durch Ausdruck auf Papier oder Mikrofilm gespeichert werden: - Server (Domäne, Backup, E-Mail, Datenbank, Web, Dateifreigabe usw.); - Papier; -Server für Bioinformatik-Analysen und Cloud-Speicherbereiche; - Manuelle Datenerfassungssysteme (Umfrageformulare, Besucherbuch,Formulare für klinische Aufzeichnungen); - Software; - Schriftliche, gedruckte und visuelle Medien. - Informationssicherheitsgeräte;
- Personalcomputer (Desktop, Laptop);
- Mobile Geräte (Telefon, Tablet usw.);
- Optische Datenträger und Wechseldatenträger (CD, DVD, USB, externe Festplatte usw.).
4. Gründe für die Notwendigkeit der Lagerung und Vernichtung
Das Unternehmen speichert und vernichtet personenbezogene Daten der betroffenen Personen gemäß den gesetzlichen Bestimmungen. Detaillierte Informationen zur Speicherung und Vernichtung finden Sie unten: 4.1. Erläuterungen zur Lagerung Die personenbezogenen Daten der betroffenen Person werden in den oben genannten elektronischen oder nicht-elektronischen Medien innerhalb der im Gesetz und anderen einschlägigen Rechtsvorschriften festgelegten Grenzen sicher gespeichert, gemäß den in den Artikeln 5 und 6 des Gesetzes festgelegten Bedingungen für die Verarbeitung personenbezogener Daten, insbesondere zum Zweck der (i) Aufrechterhaltung der Geschäftstätigkeit, (ii) Erfüllung gesetzlicher Verpflichtungen und (iii) Verwaltung der Kundenbeziehungen. Die Gründe für die Lagerung sind folgende: * Die Speicherung personenbezogener Daten ist in der Gesetzgebung ausdrücklich vorgesehen. * Die Speicherung personenbezogener Daten erfolgt, weil sie in direktem Zusammenhang mit dem Abschluss und der Durchführung von Verträgen steht.(Zum Beispiel die Speicherung genetischer Daten zum Zweck der Erstellung eines Analyseberichts für den Kunden.) * Die Speicherung personenbezogener Daten ist für das Unternehmen erforderlich, um alle ihm obliegenden rechtlichen Verpflichtungen zu erfüllen. * Speicherung personenbezogener Daten aufgrund der Tatsache, dass diese von der betroffenen Person öffentlich gemacht wurden. * Speicherung personenbezogener Daten im Zusammenhang mit der Begründung, Ausübung oder dem Schutz eines Rechts. * Die Speicherung personenbezogener Daten ist für die berechtigten Interessen des Unternehmens zwingend erforderlich, sofern dadurch nicht die Grundrechte und Grundfreiheiten von Einzelpersonen beeinträchtigt werden. * Speichervorgänge, die die ausdrückliche Zustimmung der betroffenen Personen erfordern, unterliegen der Speicherung aufgrund der ausdrücklichen Zustimmung der betroffenen Personen. 4.2. Erläuterungen zur Zerstörung Obwohl die Speicherung in Übereinstimmung mit den gesetzlichen Bestimmungen und anderen einschlägigen Rechtsvorschriften erfolgt, werden personenbezogene Daten vom Verantwortlichen von Amts wegen oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert, wenn die Gründe für ihre Speicherung entfallen. In diesem Zusammenhang werden personenbezogene Daten der betroffenen Personen gemäß den geltenden Gesetzen und Vorschriften von der Gesellschaft von Amts wegen oder auf Anfrage in folgenden Fällen gelöscht, vernichtet oder anonymisiert: * Änderung oder Aufhebung einschlägiger Rechtsvorschriften, die die Grundlage für die Verarbeitung oder Speicherung personenbezogener Daten bilden. * Der Zweck, zu dem personenbezogene Daten verarbeitet oder gespeichert werden, entfällt. * Die in den Artikeln 5 und 6 des Gesetzes festgelegten Voraussetzungen für die Verarbeitung personenbezogener Daten werden aufgehoben. * In Fällen, in denen die Verarbeitung personenbezogener Daten ausschließlich auf der Grundlage einer ausdrücklichen Einwilligung erfolgt, widerruft die betroffene Person ihre Einwilligung. * Annahme des Antrags der betroffenen Person auf Löschung, Vernichtung oder Anonymisierung ihrer personenbezogenen Daten durch den Verantwortlichen für die Datenverarbeitung im Rahmen ihrer Rechte gemäß Artikel 11 Buchstabe e) und f) des Gesetzes. * Wenn der Datenverantwortliche den Antrag der betroffenen Person auf Löschung, Vernichtung oder Anonymisierung ihrer personenbezogenen Daten ablehnt oder die Antwort als unzureichend erachtet wird oder der Datenverantwortliche nicht innerhalb der gesetzlich vorgeschriebenen Frist antwortet, kann eine Beschwerde beim Vorstand eingereicht werden, und dieser Antrag kann vom Vorstand genehmigt werden. * Auch wenn die maximale Aufbewahrungsfrist für personenbezogene Daten abgelaufen ist, gibt es keine Umstände, die eine längere Aufbewahrung rechtfertigen würden. Gemäß Artikel 12 des Gesetzes ergreift unser Unternehmen alle erforderlichen technischen und organisatorischen Maßnahmen, um die unrechtmäßige Verarbeitung und den unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern und ein angemessenes Sicherheitsniveau für deren Schutz zu gewährleisten. Die in diesem Zusammenhang vom Unternehmen getroffenen organisatorischen und technischen Maßnahmen sind nachfolgend aufgeführt: 5.1. Administrative Maßnahmen Die von unserem Unternehmen ergriffenen administrativen Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten sind nachfolgend aufgeführt: * Die Mitarbeiter sollten regelmäßig über Datensicherheit informiert werden.Bildungs- und Sensibilisierungsaktivitätenwird gerade erledigt.(Mit besonderem Fokus auf die Ethik der Biotechnologie und die Sicherheit genetischer Daten.) * Die Pflicht zur Information der relevanten Personen ist erfüllt. * Es wurden institutionelle Richtlinien bezüglich Zugriff, Informationssicherheit, Nutzung, Speicherung und Vernichtung erstellt und umgesetzt. * Es werden Vertraulichkeitszusagen gemacht. * Die unterzeichneten Verträge enthalten Bestimmungen zur Datensicherheit. * Es wurden Richtlinien und Verfahren zur Sicherheit personenbezogener Daten festgelegt. * Probleme mit der Sicherheit personenbezogener Daten werden schnell gemeldet. * Es werden die erforderlichen Sicherheitsmaßnahmen hinsichtlich des Betretens und Verlassens von physischen Umgebungen getroffen, die personenbezogene Daten enthalten. * Die Sicherheit physischer Umgebungen, in denen personenbezogene Daten gespeichert sind, ist gegen äußere Risiken (Feuer, Überschwemmung usw.) gewährleistet. * Die Sicherheit von Umgebungen, die personenbezogene Daten enthalten, ist gewährleistet. * Personenbezogene DatenAnonymisierungs- und Pseudonymisierungstechnikenwird so weit wie möglich reduziert. * Bestehende Risiken und Bedrohungen wurden identifiziert. * Innerhalb der Institution werden regelmäßig und/oder stichprobenartige Prüfungen durchgeführt. * Protokolle und Verfahren für die Sicherheit besonderer personenbezogener Daten (genetische Daten) werden festgelegt und umgesetzt. * Die Anbieter von Datenverarbeitungsdienstleistungen werden für die Datensicherheit sensibilisiert. 5.2. Technische Maßnahmen Die von unserem Unternehmen ergriffenen technischen Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten sind nachfolgend aufgeführt: * Netzwerksicherheit und Anwendungssicherheit werden gewährleistet. * Für den persönlichen Datentransfer über ein Netzwerk wird ein geschlossenes Systemnetzwerk verwendet. (Für die Übertragung genetischer Daten werden sichere Tunnel bevorzugt.) * Das Schlüsselmanagement ist implementiert. * Im Rahmen der Beschaffung, Entwicklung und Wartung von Informationstechnologiesystemen werden Sicherheitsmaßnahmen ergriffen. * Für die Mitarbeiter wurde eine Berechtigungsmatrix erstellt. * Zugriffsprotokolle werden regelmäßig geführt. * In diesem Bereich wird die Befugnis von Mitarbeitern, die ihre Aufgaben ändern oder ihren Arbeitsplatz verlassen, widerrufen. * Firewalls werden eingesetzt. * Die Sicherheit personenbezogener Daten wird überwacht. * Persönliche Daten werden gesichert und die Sicherheit der gesicherten persönlichen Daten wird ebenfalls gewährleistet. * Benutzerkontenverwaltungs- und Autorisierungskontrollesysteme werden implementiert und überwacht. * Protokolleinträge werden ohne Benutzereingriff gespeichert. * Es werden Systeme zur Erkennung und Verhinderung von Eindringlingen eingesetzt. * Es wurden Maßnahmen zur Cybersicherheit ergriffen, deren Umsetzung ständig überwacht wird.
6. LAGER- UND VERWALTUNGSZEITRAUM
Unser Unternehmen prüft zunächst, ob die einschlägigen Rechtsvorschriften eine Aufbewahrungsfrist für personenbezogene Daten vorschreiben. Ist eine solche Frist vorgeschrieben, wird sie eingehalten; andernfalls werden personenbezogene Daten nur so lange gespeichert, wie es für den Zweck ihrer Verarbeitung erforderlich ist. Ist der Zweck der Verarbeitung entfallen und sind die gesetzlich und/oder von unserem Unternehmen festgelegten Aufbewahrungsfristen abgelaufen, dürfen personenbezogene Daten nur noch für die gesetzlich vorgeschriebenen Verjährungsfristen gespeichert werden, um in möglichen Rechtsstreitigkeiten als Beweismittel zu dienen, Rechte in Bezug auf personenbezogene Daten geltend zu machen oder sich gegen Rechtsansprüche zu verteidigen. Unser Unternehmen speichert personenbezogene Daten nicht aufgrund der Möglichkeit einer zukünftigen Verwendung. Die vom Unternehmen auf Grundlage des Verfahrens festgelegten Aufbewahrungs- und Löschfristen sind nachfolgend aufgeführt. Darüber hinaus sind die Aufbewahrungsfristen für alle personenbezogenen Daten, die im Rahmen der mit den Verfahren verbundenen Tätigkeiten anfallen, im Verzeichnis der Verarbeitung personenbezogener Daten enthalten. Lager- und Vernichtungsprozesse basierend auf dem Prozess: * Personenbezogene Daten von Kunden/Ansprechpartnern (einschließlich genetischer und Gesundheitsdaten): * Lagerdauer:10 Jahre nach Vertragsende * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Personenbezogene Daten von Lieferanten oder juristischen Personen, Lieferantenbeauftragten/Mitarbeitern: * Lagerdauer:10 Jahre nach Vertragsende * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Aufgrund von Vertragsgeschäften erhobene personenbezogene Daten: * Lagerdauer:10 Jahre nach Vertragsende * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Alle personenbezogenen Daten im Zusammenhang mit Buchhaltungs- und Finanztransaktionen: * Lagerdauer:5 Jahre ab dem Jahr nach dem Jahr des Empfangs * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Alle personenbezogenen Daten, die von Mitarbeitern und Praktikanten des Unternehmens im Rahmen anderer Prozesse wie der Erfüllung des Arbeitsvertrags, der Zahlung des durchschnittlichen Bruttoeinkommens, der Gewährung von Nebenleistungen und -möglichkeiten sowie der Durchführung von Verfahren vor der Sozialversicherungsanstalt erhoben werden (ausgenommen Daten, die aufgrund von Arbeitsschutzmaßnahmen erhoben werden): * Lagerdauer:10 Jahre nach Vertragsende * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Aufnahmen von Überwachungskameras: * Lagerdauer:30 Tage ab Registrierungsdatum * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Personenbezogene Daten zu IP-Adressen: * Lagerdauer:6 Monate ab Empfangsdatum * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Personenbezogene Daten von Geschäftspartnern/Lösungspartnern/Beratern: * Lagerdauer:10 Jahre nach dem Ende der Geschäftsbeziehung * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit. * Von potenziellen Kunden und Lieferanten erhaltene personenbezogene Daten zur Geschäftsentwicklung: * Lagerdauer:1 Jahr ab Erhalt * Zerstörungszeit:Während des ersten periodischen Vernichtungsprozesses nach Ablauf der Lagerzeit.
7. ANWENDUNG ZUR PERIODISCHEN VERnichtung UND VERnichtung PERSONENBEZOGENER DATEN
7.1. Periodische Zerstörung * Unternehmen, Recht, einschlägige Gesetzgebung,HeraWaterGemäß der Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten und dieser Richtlinie zur Speicherung und Vernichtung personenbezogener Daten löscht, vernichtet oder anonymisiert sie personenbezogene Daten im ersten periodischen Vernichtungsprozess nach dem Datum, an dem die Verpflichtung zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, für die sie verantwortlich ist, entsteht. * Gemäß Artikel 11 der Verordnung legt das Unternehmen den periodischen Vernichtungszeitraum fest.1 JahrDementsprechend stellt das Unternehmen fest, dassDezemberDie Zerstörung erfolgt in regelmäßigen Abständen. 7.2. Antrag auf Vernichtung personenbezogener Daten Wenn die betroffene Person gemäß Artikel 13 des Gesetzes bei dem Unternehmen die Löschung ihrer personenbezogenen Daten beantragt:
1. Wenn alle Voraussetzungen für die Verarbeitung personenbezogener Daten entfallen sind;Das Unternehmen wird die personenbezogenen Daten, auf die sich die Anfrage bezieht, ab dem Tag des Eingangs der Anfrage verarbeiten.30 (dreißig) TageDas Unternehmen wird Ihre personenbezogenen Daten mit einem geeigneten Verfahren löschen, vernichten oder anonymisieren und Ihnen den Grund für die Löschung erläutern. Damit das Unternehmen von Ihrem Antrag Kenntnis erlangt, muss dieser gemäß der Datenschutzrichtlinie gestellt worden sein. In jedem Fall wird das Unternehmen Sie über die getroffenen Maßnahmen informieren.
2. Sofern nicht alle Voraussetzungen für die Verarbeitung personenbezogener Daten beseitigt sind,Dieser Antrag kann von dem Unternehmen unter Angabe der Gründe gemäß Artikel 13 Absatz 3 des Gesetzes abgelehnt werden. Die Ablehnung wird der betroffenen Person spätestens innerhalb von dreißig Tagen schriftlich oder elektronisch mitgeteilt.
8. TECHNIKEN ZUR VERSCHLUSS VON PERSÖNLICHEN DATEN
Nach Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfrist oder der für den Verarbeitungszweck erforderlichen Aufbewahrungsfrist werden personenbezogene Daten vom Unternehmen entweder von Amts wegen oder auf Antrag der betroffenen Person gemäß den geltenden Gesetzen und unter Anwendung der nachstehend beschriebenen Verfahren gelöscht. Alle Vorgänge im Zusammenhang mit der Löschung, Vernichtung und Anonymisierung personenbezogener Daten werden protokolliert und diese Protokolle mindestens drei Jahre lang aufbewahrt, sofern keine anderen gesetzlichen Verpflichtungen bestehen. Die vom Unternehmen am häufigsten verwendeten Lösch-, Vernichtungs- und Anonymisierungsverfahren sind nachfolgend aufgeführt: 8.1. Verfahren zur Löschung personenbezogener Daten * Sicheres Löschen von Software (digitale Medien): * Bei der Löschung von Daten, die vollständig oder teilweise automatisiert verarbeitet und in digitalen Umgebungen gespeichert sind, werden Methoden eingesetzt, um die Daten aus der entsprechenden Software so zu löschen, dass sie für die relevanten Benutzer unzugänglich und wiederverwendbar sind. * Das Löschen relevanter Daten im Softwaresystem durch einen Löschbefehl; das Entfernen der Zugriffsrechte des betreffenden Benutzers auf die Datei oder das Verzeichnis, in dem sich die Datei auf dem zentralen Server befindet; das Löschen relevanter Zeilen in Datenbanken mit Datenbankbefehlen oder das Löschen von Daten auf Wechseldatenträgern, z. B. Flash-Speichern, mithilfe geeigneter Software können in diesen Rahmen fallen. * Wenn die Löschung personenbezogener Daten jedoch dazu führt, dass andere Daten innerhalb des Systems nicht mehr zugänglich und nutzbar sind, gelten personenbezogene Daten als gelöscht, wenn sie archiviert und somit nicht mehr mit der betreffenden Person in Verbindung gebracht werden können, vorausgesetzt, die folgenden Bedingungen sind erfüllt: * Es ist für keine andere Institution, Organisation oder Person zugänglich. * Es werden alle notwendigen technischen und administrativen Maßnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten nur von autorisierten Personen abgerufen werden. * Unkenntlichmachung personenbezogener Daten auf Papier (physische Datenträger): * Um die unbeabsichtigte Verwendung personenbezogener Daten zu verhindern oder um die Löschung von Daten zu ermöglichen, werden die betreffenden personenbezogenen Daten physisch aus dem Dokument herausgeschnitten und entfernt oder mit permanenter Tinte auf eine Weise unsichtbar gemacht oder blockiert, die mit technischen Lösungen nicht rückgängig gemacht und nicht lesbar ist. 8.2. Methoden zur Vernichtung personenbezogener Daten * Physikalische Zerstörung (Papier und optische/magnetische Datenträger): * Dokumente, die auf nicht-elektronischen Datenträgern gespeichert sind, werden mit Aktenvernichtern so vernichtet, dass sie nicht wieder zusammengesetzt werden können. * Es handelt sich um die physische Zerstörung optischer und magnetischer Datenträger, die personenbezogene Daten in einer elektronischen Umgebung enthalten, beispielsweise durch Schmelzen, Verbrennen oder Pulverisieren. Prozesse wie Schmelzen, Verbrennen, Pulverisieren oder Mahlen optischer oder magnetischer Datenträger machen die Daten unzugänglich. * Entmagnetisierung (Entgauss): * Es handelt sich um den Prozess, magnetische Datenträger einem hohen Magnetfeld auszusetzen, wodurch die darauf befindlichen Daten in einen unlesbaren Zustand überführt werden. * Überschreiben: * Durch das mindestens siebenfache Schreiben von Zufallsdaten, bestehend aus 0 und 1, auf magnetische und wiederbeschreibbare optische Datenträger wird verhindert, dass alte Daten gelesen und wiederhergestellt werden können. 8.3. Verfahren zur Anonymisierung personenbezogener Daten Personenbezogene Daten werden mithilfe der unten aufgeführten Techniken anonymisiert, sodass sie in keiner Weise mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, auch nicht in Verbindung mit anderen Daten: * Anonymisierungsverfahren, die keine Wertestörung verursachen: * Bei diesen Methoden handelt es sich um Anonymisierungsverfahren, bei denen eine beliebige Gruppe personenbezogener Daten verallgemeinert, durch andere ersetzt oder bestimmte Daten oder Untergruppen von Daten aus der Gruppe entfernt werden, ohne dass Änderungen oder Ergänzungen/Löschungen an den gespeicherten personenbezogenen Daten vorgenommen werden. * Variablenextraktion:Nachdem die mittels der deskriptiven Datenextraktionsmethode gesammelten Daten zusammengeführt wurden, wird der bestehende Datensatz anonymisiert, indem die "stark beschreibenden" Variablen aus dem erstellten Datensatz entfernt werden (z. B. Name, Nachname, Geburtsdatum usw.). * Datensätze extrahieren:Die gespeicherten Daten werden anonymisiert, indem die Datenzeile, die eine Singularität enthält, aus den Datensätzen entfernt wird. * Regionales Versteck:Wenn ein einzelnes Datum aufgrund seiner selten sichtbaren Kombination eindeutig ist, gewährleistet das Ausblenden der relevanten Daten die Anonymisierung. (Zum Beispiel durch Angabe von „Unbekannt“ anstelle einer seltenen Kombination aus Alter, Geschlecht und Krankheit.) * Codierung von Unter- und Obergrenzen:Die Anonymisierung erfolgt durch die Kombination der Werte in einem Datensatz mit vordefinierten Kategorien anhand eines spezifischen Kriteriums. (Zum Beispiel wird die Kategorie „zwischen 5 und 10 Jahren“ anstelle von „5 Jahren“ oder „7 Jahren“ Betriebszugehörigkeit verwendet.) * Generalisierung/Datenaggregation:Viele Daten werden aggregiert, wodurch personenbezogene Daten für Einzelpersonen unzugänglich werden. (Beispielsweise werden anstelle des Alters einzelner Mitarbeiter Altersspannen oder Durchschnittswerte angegeben.) * Globale Codierung/Datenableitung:Aus den personenbezogenen Daten wird ein allgemeinerer Inhalt erstellt, wobei sichergestellt wird, dass die personenbezogenen Daten keiner bestimmten Person zugeordnet werden können. (Zum Beispiel wird die Wohnregion anstelle der vollständigen Adresse angegeben.) * Anonymisierungsmethoden, die zu Wertestörungen führen: * Diese Methoden führen zu Verzerrungen, indem sie einzelne Daten innerhalb personenbezogener Datensätze verändern. Indem sichergestellt wird, dass die aggregierten Statistiken erhalten bleiben, können die erwarteten Vorteile der Daten weiterhin erzielt werden. * Hinzufügen von Rauschen:Insbesondere bei Datensätzen, in denen numerische Daten überwiegen, werden die Daten anonymisiert, indem den vorhandenen Daten mit einer festgelegten Rate positive oder negative Abweichungen hinzugefügt werden. * Mikroverbinden:Die Anonymisierung wird dadurch erreicht, dass zunächst alle Daten in Gruppen eingeteilt werden, indem sie in eine sinnvolle Reihenfolge gebracht werden, und anschließend der Wert, der durch die Berechnung des Durchschnitts der Gruppen erhalten wird, anstelle der entsprechenden Daten in der aktuellen Gruppe geschrieben wird. * Datenaustausch:Die Werte einer Variablen werden zwischen ausgewählten Paaren aus den gespeicherten Daten ausgetauscht. Diese Methode, die für kategorisierte Daten verwendet wird, zielt darauf ab, die Datenbank durch den Austausch der Daten der jeweiligen Person zu transformieren.