FPT Software Company, Ltd. (im Folgenden „FPT Software“) legt strenge Anforderungen für die Verarbeitung personenbezogener Daten von Kunden, Geschäftspartnern, Mitarbeitern oder anderen Personen fest. Sie erfüllt die Anforderungen der europäischen Datenschutzrichtlinie und gewährleistet die Einhaltung der Grundsätze der weltweit geltenden nationalen und internationalen Datenschutzgesetze. Die Richtlinie legt einen weltweit gültigen Datenschutz- und Sicherheitsstandard für FPT Software fest und regelt den Austausch von Informationen zwischen FPT Software, Tochtergesellschaften und juristischen Personen. FPT Software hat als Leitprinzipien für den Datenschutz – darunter Transparenz, Datensparsamkeit und Datensicherheit – das FPT Software Personal Data Protection Handbuch und die ISM-Richtlinien festgelegt.

Die Führungskräfte und Mitarbeiter von FPT Software sind verpflichtet, die Datenschutzrichtlinie des Unternehmens zu befolgen und die lokalen Datenschutzgesetze zu beachten. Als Globaler Datenschutzbeauftragter ist es meine Aufgabe, dafür zu sorgen, dass die Regeln und Grundsätze des Datenschutzes bei FPT Software weltweit eingehalten werden.

Gerne beantworte ich Ihre Fragen zum Datenschutz und zur internationalen Übermittlung personenbezogener Daten.

Frau Vy Huynh
Datenschutzbeauftragter, [email protected]

Diese Datenschutzrichtlinie gilt weltweit für FPT Software, Tochtergesellschaften sowie juristische Personen und basiert auf weltweit anerkannten, grundlegenden Prinzipien des Datenschutzes. Die Gewährleistung des Datenschutzes ist die Grundlage für vertrauenswürdige Geschäftsbeziehungen und den Ruf von FPT Software als erstklassiger Arbeitgeber.

Die Datenschutzrichtlinie ist eine der notwendigen Rahmenbedingungen für den grenzüberschreitenden Datentransfer zwischen FPT Software, Tochtergesellschaften und juristischen Personen. Sie gewährleistet ein angemessenes Datenschutzniveau, wie es in der Datenschutz-Grundverordnung der Europäischen Union, im APPI, im PDPA oder in anderen nationalen Vorschriften zum Schutz personenbezogener Daten sowie in den nationalen Gesetzen für die grenzüberschreitende Datenübermittlung vorgeschrieben ist, auch in Ländern, die noch keine angemessenen Datenschutzgesetze haben.

Um die Erhebung, Verarbeitung, Übertragung und Verwendung personenbezogener Daten zu standardisieren und die angemessene, rechtmäßige, faire und transparente Verwendung personenbezogener Daten zu fördern, um zu verhindern, dass personenbezogene Daten gestohlen, verändert, beschädigt, verloren oder offengelegt werden, legt FPT Software die Datenschutzmanagementrichtlinie und die Informationssicherheitsrichtlinien fest.

Diese Datenschutzrichtlinie umfasst die international anerkannten Grundsätze des Datenschutzes, ohne die bestehenden nationalen Gesetze zu ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Das einschlägige nationale Recht hat Vorrang, wenn es im Widerspruch zu dieser Datenschutzrichtlinie steht oder strengere Anforderungen als diese Richtlinie stellt. Der Inhalt dieser Datenschutzrichtlinie muss auch dann beachtet werden, wenn es keine entsprechenden nationalen Rechtsvorschriften gibt. Die Meldepflichten für die Datenverarbeitung nach nationalem Recht müssen eingehalten werden.

Jede Tochtergesellschaft oder juristische Person von FPT Software ist für die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen Verpflichtungen verantwortlich. Besteht Grund zu der Annahme, dass rechtliche Verpflichtungen im Widerspruch zu den Pflichten aus dieser Datenschutzrichtlinie stehen, muss die betreffende Tochtergesellschaft oder Rechtsperson den Globalen Datenschutzbeauftragten informieren. Im Falle von Konflikten zwischen der nationalen Gesetzgebung und der Datenschutzrichtlinie wird FPT Software in Person des Globalen Datenschutzbeauftragten mit der betreffenden Tochtergesellschaft oder juristischen Person von FPT Software zusammenarbeiten, um eine praktische Lösung zu finden, die dem Zweck der Datenschutzrichtlinie entspricht.

Der Globale Datenschutzbeauftragte GDPO, der dem für den Datenschutz zuständigen Vorstandsmitglied CFO unterstellt ist, beaufsichtigt die Compliance- und Regulierungsfunktionen von FPT Software mit dem Ziel, alle Bereiche mit möglichen Regulierungs- und Reputationsrisiken in Bezug auf die Verarbeitung personenbezogener Daten zu identifizieren, zu reduzieren und zu überwachen.

Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) wird zweimal im Jahr überarbeitet und ergänzt. Der GDPO koordiniert alle Überarbeitungen oder Ergänzungen des Handbuchs. Der GDPO und der endgültige CFO überprüfen und genehmigen das Handbuch unverzüglich im Falle wesentlicher Änderungen von Gesetzen, Vorschriften oder Geschäftspraktiken.

Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) wird im QMS von FPT Software veröffentlicht; alle Mitarbeiter haben Zugang zum QMS. Relevante Teile des Handbuchs werden bei wesentlichen Änderungen des Handbuchs umgehend verteilt. Neue Mitarbeiter werden über das Handbuch und das QMS informiert. Sie sind verpflichtet, das Handbuch durchzulesen und zu bestätigen, dass sie die relevanten Bestimmungen des Handbuchs verstehen, soweit sie auf den jeweiligen Mitarbeiter zutreffen.

GDPO bietet in regelmäßigen Abständen ein Online-Schulungsprogramm zum Schutz personenbezogener Daten auf der Online-Schulungsplattform e-campus von FPT Software an, um die Mitarbeiter über aktuelle regulatorische Entwicklungen, Aktualisierungen von Richtlinien und Verfahren sowie rechtliche Anforderungen zu informieren. Siehe Richtlinie_Personal Data Protection Training_v1.4.1.

Wenn ein Verstoß gegen das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) vorliegt oder eine vorläufige Feststellung getroffen wird, dass ein Verstoß stattgefunden haben könnte, muss ein Bericht an den GDPO und die Geschäftsleitung erfolgen.

Die Geschäftsleitung sollte angemessene Sanktionen gegen Mitarbeiter verhängen, die gegen die im Handbuch enthaltenen Richtlinien verstoßen. Zu den Sanktionen können eine oder alle der folgenden Maßnahmen gehören: ein Tadel, eine Geldstrafe, die vorübergehende Aussetzung des Beschäftigungsverhältnisses, die Beendigung des Beschäftigungsverhältnisses oder jede andere von der Geschäftsleitung für angemessen erachtete Sanktion.

Grundsatz 1: Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet (Rechtmäßigkeit, Fairness und Transparenz). Die Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Daten in rechtswidriger Weise oder zu nicht administrativen Zwecken ist strengstens untersagt.

Grundsatz 2: Verarbeitung personenbezogener Daten nur, wenn dies für rechtliche und regulatorische Zwecke oder für legitime organisatorische Zwecke unbedingt erforderlich ist.

Erhebung nur für festgelegte, ausdrückliche und rechtmäßige Zwecke und keine Weiterverarbeitung in einer Weise, die mit diesen Zwecken unvereinbar ist (Zweckbindung).

Grundsatz 3: Verarbeitung nur des für diese Zwecke erforderlichen Minimums an personenbezogenen Daten. Angemessen, sachdienlich und beschränkt auf das, was im Hinblick auf den Zweck der Verarbeitung erforderlich ist (Datenminimierung).

FPT Software wird die von den Parteien zur Verfügung gestellten personenbezogenen Daten nur im Rahmen von Gesetzen, Vorschriften und geschäftlichen Anforderungen erheben, verarbeiten, übertragen und nutzen und geeignete und angemessene Maßnahmen ergreifen, um die personenbezogenen Daten im notwendigen und angemessenen Umfang zu behandeln und zu nutzen.

Grundsatz 4: Klare Information der betroffenen Personen (einschließlich Kinder) darüber, wie und von wem ihre personenbezogenen Daten verwendet werden.

Grundsatz 5: Gewährleistung besonderer Schutzmaßnahmen, wenn Daten direkt von Kindern erhoben werden.

Grundsatz 6: Nur relevante und angemessene personenbezogene Daten verarbeiten. Sachlich richtig und, soweit erforderlich, auf den neuesten Stand gebracht; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können (sachliche Richtigkeit).

Grundsatz 7: Führung eines dokumentierten Verzeichnisses der Kategorien personenbezogener Daten, die von FPT Software verarbeitet werden.

Grundsatz 8: Personenbezogene Daten nur so lange aufbewahren, wie dies aus rechtlichen oder behördlichen Gründen oder für legitime organisatorische Zwecke erforderlich ist, und eine rechtzeitige und angemessene Entsorgung sicherstellen (Speicherbegrenzung).

Grundsatz 9: Wahrung der Rechte der betroffenen Person in Bezug auf ihre personenbezogenen Daten.



Grundsatz 10: Verarbeitung in einer Weise, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch den Einsatz geeigneter technischer oder organisatorischer Maßnahmen. (Integrität und Vertraulichkeit)

Grundsatz 11: Die DSGVO und andere nationale und internationale Gesetze schränken die Übermittlung personenbezogener Daten in Länder z. B. außerhalb des EWR oder relevanter Länder ein. Diese Einschränkungen gelten für alle Übermittlungen, unabhängig vom Umfang der Übermittlung oder der Häufigkeit der Übermittlung, es sei denn, die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten werden auf andere Weise geschützt. Übermittlung personenbezogener Daten nur dann, wenn sie „angemessenen Garantien“ unterliegen, die in der Datenschutz-Grundverordnung oder anderen nationalen und internationalen Rechtsvorschriften aufgeführt sind.

Grundsatz 12: Geeignete Garantien sind die von der Kommission angenommenen Standarddatenschutzklauseln. Die Klauseln enthalten vertragliche Verpflichtungen für den Datenexporteur und den Datenimporteur sowie Rechte für die Personen, deren personenbezogene Daten übermittelt werden. Einzelpersonen können diese Rechte direkt gegenüber dem Datenimporteur und dem Datenexporteur geltend machen. Die Standardvertragsklauseln müssen in ihrer Gesamtheit und ohne Änderungen verwendet werden.

Grundsatz 13: Entwicklung und Umsetzung eines PIMS, um die Umsetzung der PIMS-Richtlinie zu ermöglichen.

Grundsatz 14: Identifizierung von Personen/Mitarbeitern mit besonderer Verantwortung und Rechenschaftspflicht für das PIMS. Einführung einer strengen Governance einschließlich eines Globalen Datenschutzbeauftragten.

Grundsatz 15: Führung von Aufzeichnungen über die Verarbeitung personenbezogener Daten.

Mitarbeiter von FPT Software, die gegen diese Grundsätze verstoßen, werden auf der Grundlage der arbeitsvertraglichen Bestimmungen sanktioniert.

Personenbezogene Daten von Kunden und Anbietern (Drittpartei) können zum Zweck der Begründung, Durchführung und Beendigung eines Vertrages verarbeitet werden. Im Vorfeld eines Vertrags – in der Phase der Vertragsanbahnung – können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen vorzubereiten oder um andere Anfragen zu erfüllen, die mit dem Vertragsabschluss zusammenhängen. Kunden oder Anbieter können während der Vertragserstellung anhand der von ihnen bereitgestellten Informationen kontaktiert werden. Etwaige von Kunden oder Anbietern geforderte Einschränkungen müssen beachtet werden.

Die Öffentlichkeit, d. h. jeder Kunde, Anbieter und jede betroffene Person, muss Zugang zu Informationen über die Grundsätze und Aktivitäten von FPT Software zum Schutz personenbezogener Daten haben (siehe Kapitel 4) und muss in der Lage sein, auf einfache Weise mit dem Globalen Datenschutzbeauftragten von FPT Software zu kommunizieren:

Frau Vy Huynh | Datenschutzbeauftragter | FPT Deutschland GmbH

Am Thyssenhaus 1-3 (Haus 3), 45128 Essen, Deutschland

Tel: +49 201 49039350

URL: www.fptsoftware.de

Die Richtlinie zum Schutz personenbezogener Daten muss auf www.fpt-software.com veröffentlicht werden. Unter „Kontakt“ auf www.fptsoftware.de müssen die Kontaktdaten des Globalen Datenschutzbeauftragten veröffentlicht werden.

Daten können nach Einwilligung der betroffenen Person verarbeitet werden. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen, z. B. bei Telefongesprächen, kann die Einwilligung auch mündlich erteilt werden. Die Erteilung der Einwilligung muss dokumentiert werden.

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn nationale Rechtsvorschriften dies verlangen, vorschreiben oder erlauben. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.

Personenbezogene Daten können auch verarbeitet werden, wenn dies für ein berechtigtes Interesse von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einziehung offener Forderungen) oder wirtschaftlicher Natur (z. B. Vermeidung von Vertragsverletzungen). Personenbezogene Daten dürfen nicht zur Wahrung eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall ein schutzwürdiges Interesse der betroffenen Person nachgewiesen werden kann und dieses überwiegt. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.

Werden auf Websites oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt, müssen die betroffenen Personen in einer Datenschutzerklärung und ggf. in Informationen über Cookies darüber informiert werden. Die Datenschutzerklärung und etwaige Cookie-Informationen müssen so integriert werden, dass sie für die betroffenen Personen leicht zu erkennen, direkt zugänglich und ständig verfügbar sind.

Werden Nutzungsprofile (Tracking) erstellt, um die Nutzung von Websites und Apps auszuwerten, müssen die betroffenen Personen in der Datenschutzerklärung immer entsprechend informiert werden.

Wenn Websites oder Apps auf personenbezogene Daten in einem Bereich zugreifen können, der registrierten Benutzern vorbehalten ist, müssen die Identifizierung und Authentifizierung der betroffenen Person einen ausreichenden Schutz beim Zugriff bieten

Alle derzeit getroffenen technischen Maßnahmen siehe Kapitel 4, Technische Maßnahmen.

In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, wenn dies zur Aufnahme, Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist. Bei der Aufnahme eines Arbeitsverhältnisses können die personenbezogenen Daten der Bewerber verarbeitet werden. Wird der Bewerber abgelehnt, müssen seine Daten unter Einhaltung der vorgeschriebenen Aufbewahrungsfrist gelöscht werden, es sei denn, der Bewerber hat zugestimmt, dass seine Daten für ein künftiges Auswahlverfahren gespeichert bleiben. Die Einwilligung ist auch erforderlich, um die Daten für weitere Bewerbungsverfahren zu verwenden oder bevor die Bewerbung an andere juristische Personen von FPT Software weitergegeben wird.

Im bestehenden Arbeitsverhältnis muss sich die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages beziehen, wenn keiner der folgenden Umstände für eine zulässige Datenverarbeitung vorliegt.

Sollte es während des Bewerbungsverfahrens erforderlich sein, Informationen über einen Bewerber bei einer dritten Person einzuholen, müssen die Anforderungen der entsprechenden nationalen Gesetze beachtet werden. In Zweifelsfällen muss die Einwilligung der betroffenen Person eingeholt werden.

Es muss eine gesetzliche Ermächtigung zur Verarbeitung personenbezogener Daten vorliegen, die im Zusammenhang mit dem Arbeitsverhältnis stehen, aber ursprünglich nicht Teil der Erfüllung des Arbeitsvertrags waren. Dazu gehören gesetzliche Vorgaben, kollektive Regelungen mit den Arbeitnehmervertretern, die Einwilligung des Mitarbeiters oder das berechtigte Interesse des Unternehmens.

Die Verarbeitung personenbezogener Daten von Arbeitnehmern ist auch zulässig, wenn die nationale Gesetzgebung dies verlangt, vorschreibt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Besteht ein gewisser rechtlicher Spielraum, so müssen die schutzwürdigen Interessen des Arbeitnehmers berücksichtigt werden.

Wenn eine Datenverarbeitung über den Zweck der Vertragserfüllung hinausgeht, kann sie zulässig sein, wenn sie durch Kollektivvereinbarungen genehmigt wurde. Kollektivvereinbarungen sind Tarifverträge oder Vereinbarungen zwischen Arbeitgebern und Arbeitnehmervertretern im Rahmen des geltenden Arbeitsrechts. Die Vereinbarungen müssen sich auf den spezifischen Zweck der beabsichtigten Datenverarbeitungstätigkeit beziehen und im Rahmen der nationalen Datenschutzvorschriften erstellt werden.

Arbeitnehmerdaten können mit Einwilligung der betroffenen Person verarbeitet werden. Einverständniserklärungen müssen freiwillig abgegeben werden. Eine unfreiwillige Einwilligung ist nichtig. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen kann die Einwilligung mündlich erteilt werden; in diesem Fall muss sie ordnungsgemäß dokumentiert werden. Im Falle einer informierten, freiwilligen Bereitstellung von Daten durch die betreffende Partei kann von einer Einwilligung ausgegangen werden, wenn die nationalen Rechtsvorschriften keine ausdrückliche Einwilligung verlangen. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden.

Personenbezogene Daten können auch verarbeitet werden, wenn dies zur Durchsetzung eines berechtigten Interesses von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einreichung, Durchsetzung oder Abwehr von Rechtsansprüchen) oder finanzieller Natur (z. B. Bewertung von Unternehmen).

Personenbezogene Daten dürfen nicht auf der Grundlage eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall Anhaltspunkte dafür vorliegen, dass die Interessen des Arbeitnehmers schutzwürdig sind. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.

Kontrollmaßnahmen, die eine Verarbeitung von Arbeitnehmerdaten erfordern, können nur ergriffen werden, wenn eine gesetzliche Verpflichtung dazu besteht oder ein legitimer Grund vorliegt. Selbst wenn ein legitimer Grund vorliegt, muss auch die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Regelungen) sind mit den schutzwürdigen Interessen des von der Maßnahme betroffenen Arbeitnehmers an deren Ausschluss abzuwägen und können nur in angemessener Weise wahrgenommen werden. Die berechtigten Interessen des Unternehmens und die schutzwürdigen Interessen des Arbeitnehmers sind zu ermitteln und zu dokumentieren, bevor irgendwelche Maßnahmen ergriffen werden. Darüber hinaus sind etwaige zusätzliche Anforderungen nach nationalem Recht (z. B. Mitbestimmungsrechte der Arbeitnehmervertreter und Informationsrechte der Betroffenen) zu berücksichtigen.

Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden vom Unternehmen in erster Linie für arbeitsbezogene Aufgaben zur Verfügung gestellt. Sie sind Unternehmensinstrumente und Unternehmensressourcen. Sie können im Rahmen der geltenden gesetzlichen Bestimmungen und internen Unternehmensrichtlinien verwendet werden. Bei einer genehmigten Nutzung zu privaten Zwecken sind die Gesetze über das Fernmeldegeheimnis und gegebenenfalls die einschlägigen nationalen Telekommunikationsgesetze zu beachten.

Es wird keine allgemeine Überwachung des Telefon- und E-Mail-Verkehrs oder der Intranet-/Internetnutzung geben. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder einzelne Benutzer können für die Verbindungen zum FPT Software-Netzwerk Schutzmaßnahmen implementiert werden, die technisch schädliche Inhalte blockieren oder die Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefonanlagen, E-Mail-Adressen, Intranet/Internet und internen sozialen Netzwerken für einen begrenzten Zeitraum protokolliert werden. Auswertungen dieser Daten einer bestimmten Person können nur in einem konkreten, begründeten Fall von vermuteten Verstößen gegen Gesetze oder Richtlinien von FPT Software vorgenommen werden. Die Bewertungen können nur von den untersuchenden Dienststellen durchgeführt werden, wobei der Grundsatz der Verhältnismäßigkeit zu beachten ist. Die jeweiligen nationalen Gesetze müssen beachtet werden.

Anträge auf Zugang zu personenbezogenen Daten von staatlichen/staatlichen oder föderalen Agenturen oder anderen Regulierungsbehörden werden auf die gleiche Weise und unter den gleichen Bedingungen wie internationale Datenübermittlungen behandelt, wobei die Anforderungen des nationalen Rechts des jeweiligen Landes strikt eingehalten werden. Alle Auskunftsersuchen werden im Register für Auskunftsersuchen registriert. Alle Anfragen werden vom GDPO verwaltet und unterliegen der Zustimmung des für den Datenschutz zuständigen Vorstandsmitglieds von FPT Software (CFO). Der GDPO ist für die Kommunikation mit staatlichen/staatlichen oder föderalen Behörden oder anderen Regulierungsstellen verantwortlich. Der GDPO ist für das Register der Zugangsanträge zuständig.

Diese Richtlinien müssen zweimal jährlich überprüft und bewertet werden, um den neuesten Stand der internationalen Normen, Rechtsvorschriften, Technologien und Unternehmen widerzuspiegeln und die Aktualität der Verfahren zur Verwaltung personenbezogener Daten zu gewährleisten (siehe Guideline_Personal Data Protection Policy Development_v2.4.1).

Diese Richtlinie basiert auf einem Ankündigungsverfahren, das es dem Personal ermöglicht, die relevanten Grundsätze und Bestimmungen der Richtlinie zum Schutz personenbezogener Daten zu verstehen, damit sie diese befolgen können.

Diese Richtlinie muss von der Arbeitsgruppe für den Schutz personenbezogener Daten überarbeitet und überprüft sowie vom Globalen Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT Software (CFO) genehmigt werden. Der Globale Datenschutzbeauftragte ist für die Umsetzung und die internen Audits zuständig.

Die Einhaltung der Datenschutzrichtlinie und der geltenden Datenschutzgesetze wird jährlich durch Datenschutzaudits und andere Kontrollen überprüft. Die Durchführung dieser Kontrollen liegt in der Verantwortung der Datenschutzbeauftragten. Die Ergebnisse der Datenschutzkontrollen müssen dem Globalen Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT Software (CFO) mitgeteilt werden. Auf Anfrage werden die Ergebnisse der Datenschutzkontrollen der zuständigen Datenschutzbehörde zur Verfügung gestellt. Die zuständige Datenschutzbehörde kann eigene Kontrollen der Einhaltung der Bestimmungen dieser Richtlinie durchführen, soweit dies nach nationalem Recht zulässig ist.

Als nicht-öffentliches Unternehmen, das personenbezogene Daten im Rahmen eines Auftragsdatenverarbeitungsvertrages verarbeitet, muss FPT Software technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der Europäischen Datenschutz-Grundverordnung und anderer internationaler Datenschutzgesetze sicherzustellen. Zusätzlich zu diesem Verfahren muss FPT Software die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Komponenten garantieren.

Die folgenden Maßnahmengruppen befassen sich mit allen Aspekten des derzeitigen Mindestsicherheitsniveaus. Sie dienen dazu, das Datenschutzniveau von FPT Software bei der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen zu bewerten. Wenn FPT Software eine Verbindung zu den Systemen des Verantwortlichen herstellt, muss FPT Software zumindest den Vertraulichkeitsteil abschließen, wobei FPT Software die Zugangs- und Zugriffsberechtigungskontrollen sowie die Kontrollen der Aufgabentrennung abgeschlossen haben muss (Abschnitte b) c) d) unten).

Nachfolgend die technischen und organisatorischen Maßnahmen, die derzeit bei FPT Software realisiert werden. Ein kontinuierlicher Verbesserungsprozess wird eingeführt:

Im Kontaktverzeichnis werden die Benutzerstammdaten und der individuelle Identifikationscode jedes Mitarbeiters registriert. Der Zugang zu den Datenverarbeitungssystemen ist nur nach Identifizierung und Authentifizierung mit Hilfe des Identifikationscodes und des Passworts für das jeweilige System möglich.

Geschäftsräume und Einrichtungen sind aufgrund ihrer jeweiligen Sicherheitsanforderungen in verschiedene Sicherheitszonen mit unterschiedlichen Zugangsberechtigungen unterteilt. Sie werden vom Sicherheitspersonal überwacht.

Der Zugang zu speziellen Sicherheitsbereichen wie dem Servicecenter für Fernwartung oder ODC ist zusätzlich durch einen separaten Zugangsbereich geschützt. Die baulichen und inhaltlichen Sicherheitsstandards entsprechen den Sicherheitsanforderungen für Rechenzentren.

Der Zugriff auf die für die Erfüllung der jeweiligen Aufgabe notwendigen Daten wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept sichergestellt.

Die personenbezogenen Daten werden vom Auftragsverarbeiter nur für interne Zwecke verwendet. Eine Übermittlung an einen Dritten, z. B. einen Unterauftragnehmer, erfolgt ausschließlich unter Berücksichtigung der vertraglichen Vereinbarungen und der Europäischen Datenschutz-Grundverordnung.

Die Mitarbeiter des Auftragsverarbeiters sind angewiesen, personenbezogene Daten nur im Rahmen und für die Zwecke ihrer Aufgaben (z. B. Leistungserbringung) zu erheben, zu verarbeiten und zu nutzen. Auf technischer Ebene werden dazu die Mandantenfähigkeit, die Funktionstrennung sowie die Trennung von Prüf- und Produktionssystemen genutzt.

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hilfe zusätzlicher Informationen nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, vorausgesetzt, diese zusätzlichen Informationen werden getrennt gespeichert und unterliegen geeigneten technischen und organisatorischen Maßnahmen. Siehe Guideline_Pseudonymisation Minimisation and Encryption_v1.4.1

☒ Pseudonymisierte (oder anonyme) Verarbeitung von Daten

☒ Trennung von Auftragsdatei und Speicherung in einem separaten, sicheren IT-System

Die Weitergabe von personenbezogenen Daten durch FPT Software an Dritte (z. B. Kunden, Subunternehmer, Dienstleister) erfolgt nur bei Vorliegen eines entsprechenden Vertrages und nur für einen bestimmten Zweck. Werden personenbezogene Daten an Unternehmen mit Sitz außerhalb der EU/des EWR oder des Herkunftslandes übermittelt, stellt FPT Software sicher, dass am Zielort oder in der Zielorganisation ein angemessenes Datenschutzniveau gemäß der EU-Datenschutzverordnung besteht, z. B. durch die Verwendung von Verträgen auf der Grundlage der EU-Mustervertragsklauseln.

Systemeingaben werden in Form von Protokolldateien aufgezeichnet. Auf diese Weise ist es möglich, zu einem späteren Zeitpunkt zu überprüfen, ob und von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden.

Wenn personenbezogene Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr benötigt werden, werden sie unverzüglich gelöscht. Es ist zu beachten, dass bei jeder Löschung die personenbezogenen Daten zunächst nur gesperrt werden und dann mit einer gewissen Verzögerung endgültig gelöscht werden. Dies erfolgt, um versehentliche Löschungen oder mögliche absichtliche Beschädigungen zu verhindern.

☒ Mit Klimaanlage ausgestattete Serverräume

☒ Mit Schutzsteckern ausgestattete Serverräume

☒ Mit Feuerlöschern ausgestattete Serverräume

☒ Separat aufbewahrte Backups an einem sicheren Ort

☒ Notfallplan

☒ Plan zur Aufrechterhaltung des Geschäftsbetriebs

☒ Keine Serverräume unter den Sanitäranlagen

☒ Regelmäßige Datensicherungen

☒ Notfallplan für die Beaufsichtigung

☐ Andernfalls bitte angeben:

☒ Recovery acc, Sicherungs- und Wiederherstellungskonzept

☒ Wiederherstellungstests

☒ Notfallplan für die Beaufsichtigung

Es entspricht dem Management von Zwischenfällen bei festgestellten oder vermuteten Sicherheitsvorfällen bzw. Ausfällen im IT-Bereich.

☒ Bearbeitungsschema für das Störfallmanagement

☒ Team übt realistische Übungen

☒ Sicherheitsteam benannt und geschult

☐ Andernfalls bitte angeben:

☒ Einhaltung des „Privacy by Design“/Datenschutz durch geeignete Technologien

☒ Auswahl von Technologien zur Verbesserung des Datenschutzes für künftige Anforderungen

☒ Einhaltung des Datenschutzes durch Voreinstellung/Datenschutz durch entsprechende Einstellungen

☐ Andernfalls bitte angeben:

Keine Datenverarbeitung darf ohne vorherige ausdrückliche Genehmigung des für die Verarbeitung Verantwortlichen durchgeführt werden, z. B. klare vertragliche Verpflichtung, formalisierte Auftragsverwaltung, strenge Auswahl des Dienstleisters, Verpflichtung zur Vorabkontrolle, Nachkontrolle.

Die Führungskräfte von FPT Software, die Tochtergesellschaften und die juristischen Personen sind für die Datenverarbeitung in ihrem Zuständigkeitsbereich verantwortlich. Daher müssen sie sicherstellen, dass die gesetzlichen und in der Datenschutzrichtlinie enthaltenen Anforderungen an den Datenschutz erfüllt werden (z. B. nationale Meldepflichten). FSU-Leiter, OB-Leiter und Geschäftsführer einer juristischen Person sind dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, um eine datenschutzkonforme Datenverarbeitung zu gewährleisten. Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitarbeiter. Wenn externe Stellen Datenschutzkontrollen durchführen, muss der Globale Datenschutzbeauftragte unverzüglich informiert werden.

Die jeweiligen FSU-Leiter, OB-Leiter oder Geschäftsführer einer juristischen Person müssen den Globalen Datenschutzbeauftragten über den Namen ihres Datenschutzvertreters informieren. Die Datenschutzvertreter sind die Ansprechpartner vor Ort für den Datenschutz. Sie müssen Kontrollen durchführen und die Mitarbeiter mit dem Inhalt der Datenschutzrichtlinien vertraut machen. Das zuständige Management ist verpflichtet, den Globalen Datenschutzbeauftragten und die Datenschutzvertreter bei ihren Bemühungen zu unterstützen. FSUs, OBs oder juristische Personen müssen die Datenschutzvertreter rechtzeitig über neue Verarbeitungen von personenbezogenen Daten informieren. Bei Datenverarbeitungsvorhaben, die Risiken für die Persönlichkeitsrechte der betroffenen Personen mit sich bringen können, muss der Globale Datenschutzbeauftragte vor Beginn der Verarbeitung informiert werden. Dies gilt insbesondere für äußerst sensible personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter ausreichend im Datenschutz geschult sind (jährliche Sensibilisierungsschulung mit Prüfung, erweiterte Schulung für PM, DM, BU-Leads).

Die unsachgemäße Verarbeitung personenbezogener Daten oder andere Verstöße gegen die Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und Schadensersatzforderungen nach sich ziehen. Verstöße, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

Wenn Sie die Auswirkungen dieser Richtlinie nicht verstehen oder nicht wissen, wie sie auf Sie zutreffen, wenden Sie sich bitte telefonisch oder per E-Mail an den Datenschutzbeauftragter (Frau Vy Huynh, E-Mail: [email protected]).

PDP-Handbuch V3.3

Policies:

• Policy_Personal Data Protection Training V1.4.1
• Policy_Privacy Statement_v1.3.1
• Policy_PIMS Scope_v1.3.1

• Guideline Personal Data Retention V3.4.1
• Guideline Policy Development V2.4.1
• Guideline Personal Data Protection Organization V3.4.1
• Guideline Personal Data Protection Management Audit V2.4.1
• Guideline Complaints and Appeals Handling V3.4.1
• Guideline Data Breach Incident V3.4.1
• Guideline Personal Data Inventory Management V3.4.1
• Guideline Data Flow Mapping V2.4.1
• Guideline Risk Management DPIA V2.4.1
• Guideline_Pseudonymisation Minimisation and Encryption_v1.4.1
• Guideline PII Classification and Rating V3.4.1

• Template_DS Consent Withdrawal Form_v1.2
• Template_retention schedule_V1.2
• Template_audit checklist short_V1.2
• Template_internal competence matrix_V1.2
• Template_privacy notice register_V1.2
• Template_DP Job Description and Responsibilities_v1.3.1
• Template_DPO Job Description_v1.3.1
• Template_DS request_incident_compliant_appeal_register-DP_V1.3
• Template_Rationale DPO_v1.2
• Template_Parental Consent Withdrawal Form_v1.2
• Template_Data Subject Right Request Form_v2.3
• Template_Parental Consent Form_v1.2
• Template_Data Subject Consent Form_v2.3
• Template Personal Data Processing Inventory V2.6
• Template Standard Contractual Clauses V2.3
• Template Personal Data Protection Exhibit V1.5
• Template risk management DPIA V3.3
• Checklist Before Engagement V3.2
• Template Data Processing Agreement V1.2
• Template_Non Conformance Report_v1.1
• Template_Internal Audit Report_v1.1
• Template_Internal Audit Schedule_v1.1
 

• Procedure_privacy_V1.3.1
• Procedure_ds_access request_V1.3.1
• Procedure_complaints_V1.3.1
• Procedure_consent withdrawal_V1.3.1
• Procedure_consent_V1.3.1
• Procedure_Data Protection Impact Assessment_V1.3.1
• Procedure_Personal Data Breach Notification_V1.3.1
• Procedure_communication_V1.3.1
• Procedure_personal data transfer_V1.3.1
• Procedure_data portability_V1.3.1
• Procedure_third party service contracts_V1.3.1
• Procedure_sub contracted processing_V1.3.1
• Procedure_competence_V1.3.1
• Procedure_DP management review_V1.3.1
• Procedure_Retention of Records_V1.3.1
• Procedure_Continual Improvement_v1.2.1
• Procedure_Internal Audit_v1.2.1

• Record_DP contacts_V1.2
• Record_internal contracts_V1.2
• Record_authorities_Key-Supplier_V1.2

Jede Ausnahme muss vom Globalen Datenschutzbeauftragten geprüft und genehmigt werden und auch vom verantwortlichen Vorstandsmitglied von FPT Software (CFO)/Geschäftsführer eines Tochterunternehmens/einer juristischen Person genehmigt werden.

In Vietnam gibt es kein einheitliches Datenschutzgesetz. Regelungen zum Datenschutz und zum Schutz der Privatsphäre finden sich in verschiedenen Rechtsinstrumenten. Das Recht auf Privatsphäre und das Recht auf Ansehen, Würde und Ehre sowie die Grundprinzipien dieser Rechte sind derzeit in der Verfassung 2013 („Verfassung“) und im Zivilgesetzbuch 2015 („Zivilgesetzbuch“) als unantastbar und gesetzlich geschützt verankert.
Die Leitprinzipien für die Erhebung, Speicherung, Verwendung, Verarbeitung, Offenlegung und Übermittlung personenbezogener Daten sind in den folgenden wichtigen Gesetzen und Dokumenten festgelegt:

• Strafgesetzbuch 100/2015/QH13, verabschiedet von der Nationalversammlung am 27. November 2015
• Gesetz Nr. 24/2018/QH14 über Cybersicherheit, verabschiedet von der Nationalversammlung am 12. Juni 2018 (“Cybersicherheitsgesetz”);
• Gesetz Nr. 86/2015/QH13 über die Sicherheit von Netzwerken, verabschiedet von der Nationalversammlung am 19. November 2015; geändert durch Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“Gesetz über die Sicherheit von Netzwerken”);
• Gesetz Nr. 59/2010/QH12 über den Schutz der Verbraucherrechte, verabschiedet von der Nationalversammlung am 17. November 2010; geändert durch das Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“CRPL”);
• Gesetz Nr. 67/2006/QH11 über Informationstechnologie, verabschiedet von der Nationalversammlung am 29. Juni 2006; geändert durch Gesetz Nr. 21/2017/QH14 vom 14. November 2017 über Planung (“IT-Gesetz”);
• Gesetz Nr. 51/2005/QH11 über E-Transaktionen, verabschiedet von der Nationalversammlung am 29. November 2005 (“E-Transaktionsgesetz”);
• Erlass Nr. 85/2016/ND-CP vom 1. Juli 2016 über die Sicherheit von Informationssystemen durch Klassifizierung (“Erlass 85”);
• Erlass Nr. 72/2013/ND-CP vom 15. Juli 2013 über die Verwaltung, Bereitstellung und Nutzung von Internetdiensten und Online-Informationen, geändert durch Erlass Nr. 27/2018/ND-CP vom 1. März 2018 und Erlass Nr. 150/2018/ND-CP vom 7. November 2018 (“Erlass 72”);
• Erlass Nr. 52/2013/ND-CP vom 16. Mai 2013, geändert durch Erlass Nr. 08/2018/ND-CP vom 15. Januar 2018 über die Änderung bestimmter Dekrete in Bezug auf die Unternehmensbedingungen unter staatlicher Verwaltung des Ministeriums für Industrie und Handel und Erlass Nr. 85/2021/ND-CP vom 25. September 2021 (“Erlass 52”);
• Erlass Nr. 15/2020/ND-CP der Regierung vom 3. Februar 2020 über Sanktionen für administrative Verstöße gegen die Vorschriften über Postdienste, Telekommunikation, Funkfrequenzen, Informationstechnologie und elektronische Transaktionen (“Erlass 15”);
• Rundschreiben Nr. 03/2017/TT-BTTTT des Ministeriums für Information und Kommunikation vom 24. April 2017 über Leitlinien für den Erlass 85 (“Rundschreiben 03”);
• Rundschreiben Nr. 20/2017/TT-BTTTT vom 12. September 2017 des Ministeriums für Information und Kommunikation, das Vorschriften zur landesweiten Koordinierung und Reaktion auf Informationssicherheitsvorfälle enthält (“Rundschreiben 20”);
• Rundschreiben Nr. 38/2016/TT-BTTTT vom 26. Dezember 2016 des Ministeriums für Information und Kommunikation, das die grenzüberschreitende Bereitstellung öffentlicher Informationen regelt (“Rundschreiben 38”);
• Rundschreiben Nr. 24/2015/TT-BTTTT vom 18. August 2015 des Ministeriums für Information und Kommunikation, das die Verwaltung und Nutzung von Internetressourcen regelt, geändert durch Rundschreiben Nr. 06/2019/TT-BTTTT vom 19. Juli 2019 (“Rundschreiben 25”); und
• Beschluss Nr. 05/2017/QD-TTg des Premierministers vom 16. März 2017 über Notfallpläne zur Gewährleistung der nationalen Cyber-Informationssicherheit (“Beschluss 05” ).

Die Anwendbarkeit der Rechtsdokumente hängt vom jeweiligen Sachkontext ab, z. B. können Unternehmen im Banken- und Finanzsektor, im Bildungswesen und im Gesundheitswesen speziellen Datenschutzbestimmungen unterliegen, ganz zu schweigen von den Bestimmungen über personenbezogene Daten von Arbeitnehmern, die im Arbeitsgesetzbuch 2019 (“Arbeitsgesetzbuch”) enthalten sind.

Die wichtigsten vietnamesischen Rechtsdokumente, die den Datenschutz regeln, sind das Cybersicherheitsgesetz und das Gesetz über die Sicherheit von Netzwerken. Das vietnamesische Cybersicherheitsgesetz hat Ähnlichkeiten mit den Cybersicherheitsgesetzen anderer Länder, die sich an der Datenschutz-Grundverordnung der EU orientieren, und mit dem chinesischen Cybersicherheitsgesetz aus dem Jahr 2017. Das Gesetz zielt darauf ab, die Regierung in die Lage zu versetzen, den Informationsfluss zu kontrollieren. Das Gesetz über die Sicherheit von Netzwerken setzt die Datenschutzrechte der betroffenen Personen durch.

Der Entwurf einer Verordnung, die eine Reihe von Artikeln des Cybersicherheitsgesetzes (“Entwurf der Cybersicherheitsverordnung”) detailliert ausführt, insbesondere die Umsetzungsrichtlinien für die Anforderungen an die Datenlokalisierung, sowie der Entwurf einer Verordnung, die die Reihenfolge und die Verfahren für die Anwendung einer Reihe von Maßnahmen zur Gewährleistung der Cybersicherheit detailliert ausführt, und der Entwurf eines Beschlusses des Premierministers, der eine Liste von Informationssystemen, die für die nationale Sicherheit wichtig sind, verkündet, werden derzeit vom Ministerium für öffentliche Sicherheit (“MPS”) in Abstimmung mit anderen relevanten Ministerien, ministeriellen Agenturen und Gremien vorbereitet.

Das MPS hat einen Erlass über den Schutz personenbezogener Daten (“PDPD-Entwurf”) ausgearbeitet, mit dem alle Datenschutzgesetze und -verordnungen in einem umfassenden Datenschutzgesetz zusammengefasst und die bestehenden Vorschriften erheblich ergänzt und verbessert werden sollen. Der PDPD-Entwurf wurde im Februar 2021 zur öffentlichen Stellungnahme freigegeben und sollte ursprünglich bis Dezember 2021 in Kraft treten. Der Abschluss des Prozesses nimmt viel mehr Zeit in Anspruch, als das MPS zunächst angenommen hatte. Der PDPD-Entwurf wird voraussichtlich Ende 2022 fertiggestellt und in Kraft treten.