FPT Software Company, Ltd. (im Folgenden „FPT Software“) legt strenge
Anforderungen für die Verarbeitung personenbezogener Daten von Kunden,
Geschäftspartnern, Mitarbeitern oder anderen Personen fest. Sie erfüllt
die Anforderungen der europäischen Datenschutzrichtlinie und gewährleistet
die Einhaltung der Grundsätze der weltweit geltenden nationalen und
internationalen Datenschutzgesetze. Die Richtlinie legt einen weltweit
gültigen Datenschutz- und Sicherheitsstandard für FPT Software fest und
regelt den Austausch von Informationen zwischen FPT Software,
Tochtergesellschaften und juristischen Personen. FPT Software hat als
Leitprinzipien für den Datenschutz – darunter Transparenz,
Datensparsamkeit und Datensicherheit – das FPT Software Personal Data
Protection Handbuch und die ISM-Richtlinien festgelegt.
Die Führungskräfte und Mitarbeiter von FPT Software sind verpflichtet, die
Datenschutzrichtlinie des Unternehmens zu befolgen und die lokalen
Datenschutzgesetze zu beachten. Als Globaler Datenschutzbeauftragter ist
es meine Aufgabe, dafür zu sorgen, dass die Regeln und Grundsätze des
Datenschutzes bei FPT Software weltweit eingehalten werden.
Gerne beantworte ich Ihre Fragen zum Datenschutz und zur internationalen
Übermittlung personenbezogener Daten.
Frau Vy Huynh
Datenschutzbeauftragter,
[email protected]
Diese Datenschutzrichtlinie gilt weltweit für FPT Software,
Tochtergesellschaften sowie juristische Personen und basiert auf weltweit
anerkannten, grundlegenden Prinzipien des Datenschutzes. Die
Gewährleistung des Datenschutzes ist die Grundlage für vertrauenswürdige
Geschäftsbeziehungen und den Ruf von FPT Software als erstklassiger
Arbeitgeber.
Die Datenschutzrichtlinie ist eine der notwendigen Rahmenbedingungen für
den grenzüberschreitenden Datentransfer zwischen FPT Software,
Tochtergesellschaften und juristischen Personen. Sie gewährleistet ein
angemessenes Datenschutzniveau, wie es in der Datenschutz-Grundverordnung
der Europäischen Union, im APPI, im PDPA oder in anderen nationalen
Vorschriften zum Schutz personenbezogener Daten sowie in den nationalen
Gesetzen für die grenzüberschreitende Datenübermittlung vorgeschrieben
ist, auch in Ländern, die noch keine angemessenen Datenschutzgesetze
haben.
Um die Erhebung, Verarbeitung, Übertragung und Verwendung
personenbezogener Daten zu standardisieren und die angemessene,
rechtmäßige, faire und transparente Verwendung personenbezogener Daten zu
fördern, um zu verhindern, dass personenbezogene Daten gestohlen,
verändert, beschädigt, verloren oder offengelegt werden, legt FPT Software
die Datenschutzmanagementrichtlinie und die
Informationssicherheitsrichtlinien fest.
Diese Datenschutzrichtlinie umfasst die international anerkannten
Grundsätze des Datenschutzes, ohne die bestehenden nationalen Gesetze zu
ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Das einschlägige
nationale Recht hat Vorrang, wenn es im Widerspruch zu dieser
Datenschutzrichtlinie steht oder strengere Anforderungen als diese
Richtlinie stellt. Der Inhalt dieser Datenschutzrichtlinie muss auch dann
beachtet werden, wenn es keine entsprechenden nationalen
Rechtsvorschriften gibt. Die Meldepflichten für die Datenverarbeitung nach
nationalem Recht müssen eingehalten werden.
Jede Tochtergesellschaft oder juristische Person von FPT Software ist für
die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen
Verpflichtungen verantwortlich. Besteht Grund zu der Annahme, dass
rechtliche Verpflichtungen im Widerspruch zu den Pflichten aus dieser
Datenschutzrichtlinie stehen, muss die betreffende Tochtergesellschaft
oder Rechtsperson den Globalen Datenschutzbeauftragten informieren. Im
Falle von Konflikten zwischen der nationalen Gesetzgebung und der
Datenschutzrichtlinie wird FPT Software in Person des Globalen
Datenschutzbeauftragten mit der betreffenden Tochtergesellschaft oder
juristischen Person von FPT Software zusammenarbeiten, um eine praktische
Lösung zu finden, die dem Zweck der Datenschutzrichtlinie entspricht.
Der Globale Datenschutzbeauftragte GDPO, der dem für den Datenschutz
zuständigen Vorstandsmitglied CFO unterstellt ist, beaufsichtigt die
Compliance- und Regulierungsfunktionen von FPT Software mit dem Ziel, alle
Bereiche mit möglichen Regulierungs- und Reputationsrisiken in Bezug auf
die Verarbeitung personenbezogener Daten zu identifizieren, zu reduzieren
und zu überwachen.
Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien,
Verfahren, Vorlagen) wird zweimal im Jahr überarbeitet und ergänzt. Der
GDPO koordiniert alle Überarbeitungen oder Ergänzungen des Handbuchs. Der
GDPO und der endgültige CFO überprüfen und genehmigen das Handbuch
unverzüglich im Falle wesentlicher Änderungen von Gesetzen, Vorschriften
oder Geschäftspraktiken.
Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien,
Verfahren, Vorlagen) wird im QMS von FPT Software veröffentlicht; alle
Mitarbeiter haben Zugang zum QMS. Relevante Teile des Handbuchs werden bei
wesentlichen Änderungen des Handbuchs umgehend verteilt. Neue Mitarbeiter
werden über das Handbuch und das QMS informiert. Sie sind verpflichtet,
das Handbuch durchzulesen und zu bestätigen, dass sie die relevanten
Bestimmungen des Handbuchs verstehen, soweit sie auf den jeweiligen
Mitarbeiter zutreffen.
GDPO bietet in regelmäßigen Abständen ein Online-Schulungsprogramm zum
Schutz personenbezogener Daten auf der Online-Schulungsplattform e-campus
von FPT Software an, um die Mitarbeiter über aktuelle regulatorische
Entwicklungen, Aktualisierungen von Richtlinien und Verfahren sowie
rechtliche Anforderungen zu informieren. Siehe Richtlinie_Personal Data Protection Training_v1.4.1.
Wenn ein Verstoß gegen das Handbuch zum Schutz personenbezogener Daten
(Richtlinien, Leitlinien, Verfahren, Vorlagen) vorliegt oder eine
vorläufige Feststellung getroffen wird, dass ein Verstoß stattgefunden
haben könnte, muss ein Bericht an den GDPO und die Geschäftsleitung
erfolgen.
Die Geschäftsleitung sollte angemessene Sanktionen gegen Mitarbeiter
verhängen, die gegen die im Handbuch enthaltenen Richtlinien verstoßen. Zu
den Sanktionen können eine oder alle der folgenden Maßnahmen gehören: ein
Tadel, eine Geldstrafe, die vorübergehende Aussetzung des
Beschäftigungsverhältnisses, die Beendigung des
Beschäftigungsverhältnisses oder jede andere von der Geschäftsleitung für
angemessen erachtete Sanktion.
Grundsatz 1: Personenbezogene Daten werden rechtmäßig, nach Treu und
Glauben und in einer für die betroffene Person transparenten Weise
verarbeitet (Rechtmäßigkeit, Fairness und Transparenz). Die Erhebung,
Verarbeitung, Übermittlung und Nutzung personenbezogener Daten in
rechtswidriger Weise oder zu nicht administrativen Zwecken ist strengstens
untersagt.
Grundsatz 2: Verarbeitung personenbezogener Daten nur, wenn dies für
rechtliche und regulatorische Zwecke oder für legitime organisatorische
Zwecke unbedingt erforderlich ist.
Erhebung nur für festgelegte, ausdrückliche und rechtmäßige Zwecke und
keine Weiterverarbeitung in einer Weise, die mit diesen Zwecken
unvereinbar ist (Zweckbindung).
Grundsatz 3: Verarbeitung nur des für diese Zwecke erforderlichen Minimums
an personenbezogenen Daten. Angemessen, sachdienlich und beschränkt auf
das, was im Hinblick auf den Zweck der Verarbeitung erforderlich ist
(Datenminimierung).
FPT Software wird die von den Parteien zur Verfügung gestellten
personenbezogenen Daten nur im Rahmen von Gesetzen, Vorschriften und
geschäftlichen Anforderungen erheben, verarbeiten, übertragen und nutzen
und geeignete und angemessene Maßnahmen ergreifen, um die
personenbezogenen Daten im notwendigen und angemessenen Umfang zu
behandeln und zu nutzen.
Grundsatz 4: Klare Information der betroffenen Personen (einschließlich
Kinder) darüber, wie und von wem ihre personenbezogenen Daten verwendet
werden.
Grundsatz 5: Gewährleistung besonderer Schutzmaßnahmen, wenn Daten direkt
von Kindern erhoben werden.
Grundsatz 6: Nur relevante und angemessene personenbezogene Daten
verarbeiten. Sachlich richtig und, soweit erforderlich, auf den neuesten
Stand gebracht; es sind alle angemessenen Maßnahmen zu treffen, damit
personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung
unrichtig sind, unverzüglich gelöscht oder berichtigt werden können
(sachliche Richtigkeit).
Grundsatz 7: Führung eines dokumentierten Verzeichnisses der Kategorien
personenbezogener Daten, die von FPT Software verarbeitet werden.
Grundsatz 8: Personenbezogene Daten nur so lange aufbewahren, wie dies aus
rechtlichen oder behördlichen Gründen oder für legitime organisatorische
Zwecke erforderlich ist, und eine rechtzeitige und angemessene Entsorgung
sicherstellen (Speicherbegrenzung).
Grundsatz 9: Wahrung der Rechte der betroffenen Person in Bezug auf ihre
personenbezogenen Daten.
Grundsatz 10: Verarbeitung in einer Weise, die eine angemessene Sicherheit
personenbezogener Daten gewährleistet, einschließlich des Schutzes vor
unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung
durch den Einsatz geeigneter technischer oder organisatorischer Maßnahmen.
(Integrität und Vertraulichkeit)
Grundsatz 11: Die DSGVO und andere nationale und internationale Gesetze
schränken die Übermittlung personenbezogener Daten in Länder z. B.
außerhalb des EWR oder relevanter Länder ein. Diese Einschränkungen gelten
für alle Übermittlungen, unabhängig vom Umfang der Übermittlung oder der
Häufigkeit der Übermittlung, es sei denn, die Rechte der betroffenen
Personen in Bezug auf ihre personenbezogenen Daten werden auf andere Weise
geschützt. Übermittlung personenbezogener Daten nur dann, wenn sie
„angemessenen Garantien“ unterliegen, die in der
Datenschutz-Grundverordnung oder anderen nationalen und internationalen
Rechtsvorschriften aufgeführt sind.
Grundsatz 12: Geeignete Garantien sind die von der Kommission angenommenen
Standarddatenschutzklauseln. Die Klauseln enthalten vertragliche
Verpflichtungen für den Datenexporteur und den Datenimporteur sowie Rechte
für die Personen, deren personenbezogene Daten übermittelt werden.
Einzelpersonen können diese Rechte direkt gegenüber dem Datenimporteur und
dem Datenexporteur geltend machen. Die Standardvertragsklauseln müssen in
ihrer Gesamtheit und ohne Änderungen verwendet werden.
Grundsatz 13: Entwicklung und Umsetzung eines PIMS, um die Umsetzung der
PIMS-Richtlinie zu ermöglichen.
Grundsatz 14: Identifizierung von Personen/Mitarbeitern mit besonderer
Verantwortung und Rechenschaftspflicht für das PIMS. Einführung einer
strengen Governance einschließlich eines Globalen Datenschutzbeauftragten.
Grundsatz 15: Führung von Aufzeichnungen über die Verarbeitung
personenbezogener Daten.
Mitarbeiter von FPT Software, die gegen diese Grundsätze verstoßen, werden
auf der Grundlage der arbeitsvertraglichen Bestimmungen sanktioniert.
Personenbezogene Daten von Kunden und Anbietern (Drittpartei) können zum Zweck der Begründung, Durchführung und Beendigung eines Vertrages verarbeitet werden. Im Vorfeld eines Vertrags – in der Phase der Vertragsanbahnung – können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen vorzubereiten oder um andere Anfragen zu erfüllen, die mit dem Vertragsabschluss zusammenhängen. Kunden oder Anbieter können während der Vertragserstellung anhand der von ihnen bereitgestellten Informationen kontaktiert werden. Etwaige von Kunden oder Anbietern geforderte Einschränkungen müssen beachtet werden.
Die Öffentlichkeit, d. h. jeder Kunde, Anbieter und jede betroffene Person, muss Zugang zu Informationen über die Grundsätze und Aktivitäten von FPT Software zum Schutz personenbezogener Daten haben (siehe Kapitel 4) und muss in der Lage sein, auf einfache Weise mit dem Globalen Datenschutzbeauftragten von FPT Software zu kommunizieren:
Frau Vy Huynh | Datenschutzbeauftragter | FPT Deutschland GmbH
Am Thyssenhaus 1-3 (Haus 3), 45128 Essen, Deutschland
Tel: +49 201 49039350
URL: www.fptsoftware.de
Die Richtlinie zum Schutz personenbezogener Daten muss auf www.fpt-software.com veröffentlicht werden. Unter „Kontakt“ auf www.fptsoftware.de müssen die Kontaktdaten des Globalen Datenschutzbeauftragten veröffentlicht werden.
Daten können nach Einwilligung der betroffenen Person verarbeitet werden. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen, z. B. bei Telefongesprächen, kann die Einwilligung auch mündlich erteilt werden. Die Erteilung der Einwilligung muss dokumentiert werden.
Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn nationale Rechtsvorschriften dies verlangen, vorschreiben oder erlauben. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.
Personenbezogene Daten können auch verarbeitet werden, wenn dies für ein berechtigtes Interesse von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einziehung offener Forderungen) oder wirtschaftlicher Natur (z. B. Vermeidung von Vertragsverletzungen). Personenbezogene Daten dürfen nicht zur Wahrung eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall ein schutzwürdiges Interesse der betroffenen Person nachgewiesen werden kann und dieses überwiegt. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.
Werden auf Websites oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt, müssen die betroffenen Personen in einer Datenschutzerklärung und ggf. in Informationen über Cookies darüber informiert werden. Die Datenschutzerklärung und etwaige Cookie-Informationen müssen so integriert werden, dass sie für die betroffenen Personen leicht zu erkennen, direkt zugänglich und ständig verfügbar sind.
Werden Nutzungsprofile (Tracking) erstellt, um die Nutzung von Websites und Apps auszuwerten, müssen die betroffenen Personen in der Datenschutzerklärung immer entsprechend informiert werden.
Wenn Websites oder Apps auf personenbezogene Daten in einem Bereich zugreifen können, der registrierten Benutzern vorbehalten ist, müssen die Identifizierung und Authentifizierung der betroffenen Person einen ausreichenden Schutz beim Zugriff bieten
Alle derzeit getroffenen technischen Maßnahmen siehe Kapitel 4, Technische Maßnahmen.
In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, wenn dies zur Aufnahme, Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist. Bei der Aufnahme eines Arbeitsverhältnisses können die personenbezogenen Daten der Bewerber verarbeitet werden. Wird der Bewerber abgelehnt, müssen seine Daten unter Einhaltung der vorgeschriebenen Aufbewahrungsfrist gelöscht werden, es sei denn, der Bewerber hat zugestimmt, dass seine Daten für ein künftiges Auswahlverfahren gespeichert bleiben. Die Einwilligung ist auch erforderlich, um die Daten für weitere Bewerbungsverfahren zu verwenden oder bevor die Bewerbung an andere juristische Personen von FPT Software weitergegeben wird.
Im bestehenden Arbeitsverhältnis muss sich die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages beziehen, wenn keiner der folgenden Umstände für eine zulässige Datenverarbeitung vorliegt.
Sollte es während des Bewerbungsverfahrens erforderlich sein, Informationen über einen Bewerber bei einer dritten Person einzuholen, müssen die Anforderungen der entsprechenden nationalen Gesetze beachtet werden. In Zweifelsfällen muss die Einwilligung der betroffenen Person eingeholt werden.
Es muss eine gesetzliche Ermächtigung zur Verarbeitung personenbezogener Daten vorliegen, die im Zusammenhang mit dem Arbeitsverhältnis stehen, aber ursprünglich nicht Teil der Erfüllung des Arbeitsvertrags waren. Dazu gehören gesetzliche Vorgaben, kollektive Regelungen mit den Arbeitnehmervertretern, die Einwilligung des Mitarbeiters oder das berechtigte Interesse des Unternehmens.
Die Verarbeitung personenbezogener Daten von Arbeitnehmern ist auch zulässig, wenn die nationale Gesetzgebung dies verlangt, vorschreibt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Besteht ein gewisser rechtlicher Spielraum, so müssen die schutzwürdigen Interessen des Arbeitnehmers berücksichtigt werden.
Wenn eine Datenverarbeitung über den Zweck der Vertragserfüllung hinausgeht, kann sie zulässig sein, wenn sie durch Kollektivvereinbarungen genehmigt wurde. Kollektivvereinbarungen sind Tarifverträge oder Vereinbarungen zwischen Arbeitgebern und Arbeitnehmervertretern im Rahmen des geltenden Arbeitsrechts. Die Vereinbarungen müssen sich auf den spezifischen Zweck der beabsichtigten Datenverarbeitungstätigkeit beziehen und im Rahmen der nationalen Datenschutzvorschriften erstellt werden.
Arbeitnehmerdaten können mit Einwilligung der betroffenen Person verarbeitet werden. Einverständniserklärungen müssen freiwillig abgegeben werden. Eine unfreiwillige Einwilligung ist nichtig. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen kann die Einwilligung mündlich erteilt werden; in diesem Fall muss sie ordnungsgemäß dokumentiert werden. Im Falle einer informierten, freiwilligen Bereitstellung von Daten durch die betreffende Partei kann von einer Einwilligung ausgegangen werden, wenn die nationalen Rechtsvorschriften keine ausdrückliche Einwilligung verlangen. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden.
Personenbezogene Daten können auch verarbeitet werden, wenn dies zur Durchsetzung eines berechtigten Interesses von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einreichung, Durchsetzung oder Abwehr von Rechtsansprüchen) oder finanzieller Natur (z. B. Bewertung von Unternehmen).
Personenbezogene Daten dürfen nicht auf der Grundlage eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall Anhaltspunkte dafür vorliegen, dass die Interessen des Arbeitnehmers schutzwürdig sind. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.
Kontrollmaßnahmen, die eine Verarbeitung von Arbeitnehmerdaten erfordern, können nur ergriffen werden, wenn eine gesetzliche Verpflichtung dazu besteht oder ein legitimer Grund vorliegt. Selbst wenn ein legitimer Grund vorliegt, muss auch die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Regelungen) sind mit den schutzwürdigen Interessen des von der Maßnahme betroffenen Arbeitnehmers an deren Ausschluss abzuwägen und können nur in angemessener Weise wahrgenommen werden. Die berechtigten Interessen des Unternehmens und die schutzwürdigen Interessen des Arbeitnehmers sind zu ermitteln und zu dokumentieren, bevor irgendwelche Maßnahmen ergriffen werden. Darüber hinaus sind etwaige zusätzliche Anforderungen nach nationalem Recht (z. B. Mitbestimmungsrechte der Arbeitnehmervertreter und Informationsrechte der Betroffenen) zu berücksichtigen.
Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden vom Unternehmen in erster Linie für arbeitsbezogene Aufgaben zur Verfügung gestellt. Sie sind Unternehmensinstrumente und Unternehmensressourcen. Sie können im Rahmen der geltenden gesetzlichen Bestimmungen und internen Unternehmensrichtlinien verwendet werden. Bei einer genehmigten Nutzung zu privaten Zwecken sind die Gesetze über das Fernmeldegeheimnis und gegebenenfalls die einschlägigen nationalen Telekommunikationsgesetze zu beachten.
Es wird keine allgemeine Überwachung des Telefon- und E-Mail-Verkehrs oder der Intranet-/Internetnutzung geben. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder einzelne Benutzer können für die Verbindungen zum FPT Software-Netzwerk Schutzmaßnahmen implementiert werden, die technisch schädliche Inhalte blockieren oder die Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefonanlagen, E-Mail-Adressen, Intranet/Internet und internen sozialen Netzwerken für einen begrenzten Zeitraum protokolliert werden. Auswertungen dieser Daten einer bestimmten Person können nur in einem konkreten, begründeten Fall von vermuteten Verstößen gegen Gesetze oder Richtlinien von FPT Software vorgenommen werden. Die Bewertungen können nur von den untersuchenden Dienststellen durchgeführt werden, wobei der Grundsatz der Verhältnismäßigkeit zu beachten ist. Die jeweiligen nationalen Gesetze müssen beachtet werden.
Anträge auf Zugang zu personenbezogenen Daten von staatlichen/staatlichen oder föderalen Agenturen oder anderen Regulierungsbehörden werden auf die gleiche Weise und unter den gleichen Bedingungen wie internationale Datenübermittlungen behandelt, wobei die Anforderungen des nationalen Rechts des jeweiligen Landes strikt eingehalten werden. Alle Auskunftsersuchen werden im Register für Auskunftsersuchen registriert. Alle Anfragen werden vom GDPO verwaltet und unterliegen der Zustimmung des für den Datenschutz zuständigen Vorstandsmitglieds von FPT Software (CFO). Der GDPO ist für die Kommunikation mit staatlichen/staatlichen oder föderalen Behörden oder anderen Regulierungsstellen verantwortlich. Der GDPO ist für das Register der Zugangsanträge zuständig.
Diese Richtlinien müssen zweimal jährlich überprüft und bewertet werden, um den neuesten Stand der internationalen Normen, Rechtsvorschriften, Technologien und Unternehmen widerzuspiegeln und die Aktualität der Verfahren zur Verwaltung personenbezogener Daten zu gewährleisten (siehe Guideline_Personal Data Protection Policy Development_v2.4.1).
Diese Richtlinie basiert auf einem Ankündigungsverfahren, das es dem
Personal ermöglicht, die relevanten Grundsätze und Bestimmungen der
Richtlinie zum Schutz personenbezogener Daten zu verstehen, damit sie
diese befolgen können.
Diese Richtlinie muss von der Arbeitsgruppe für den Schutz
personenbezogener Daten überarbeitet und überprüft sowie vom Globalen
Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT
Software (CFO) genehmigt werden. Der Globale Datenschutzbeauftragte ist
für die Umsetzung und die internen Audits zuständig.
Die Einhaltung der Datenschutzrichtlinie und der geltenden Datenschutzgesetze wird jährlich durch Datenschutzaudits und andere Kontrollen überprüft. Die Durchführung dieser Kontrollen liegt in der Verantwortung der Datenschutzbeauftragten. Die Ergebnisse der Datenschutzkontrollen müssen dem Globalen Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT Software (CFO) mitgeteilt werden. Auf Anfrage werden die Ergebnisse der Datenschutzkontrollen der zuständigen Datenschutzbehörde zur Verfügung gestellt. Die zuständige Datenschutzbehörde kann eigene Kontrollen der Einhaltung der Bestimmungen dieser Richtlinie durchführen, soweit dies nach nationalem Recht zulässig ist.
Als nicht-öffentliches Unternehmen, das personenbezogene Daten im Rahmen
eines Auftragsdatenverarbeitungsvertrages verarbeitet, muss FPT Software
technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der
Europäischen Datenschutz-Grundverordnung und anderer internationaler
Datenschutzgesetze sicherzustellen. Zusätzlich zu diesem Verfahren muss
FPT Software die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Komponenten garantieren.
Die folgenden Maßnahmengruppen befassen sich mit allen Aspekten des
derzeitigen Mindestsicherheitsniveaus. Sie dienen dazu, das
Datenschutzniveau von FPT Software bei der Verarbeitung personenbezogener
Daten im Auftrag des für die Verarbeitung Verantwortlichen zu bewerten.
Wenn FPT Software eine Verbindung zu den Systemen des Verantwortlichen
herstellt, muss FPT Software zumindest den Vertraulichkeitsteil
abschließen, wobei FPT Software die Zugangs- und
Zugriffsberechtigungskontrollen sowie die Kontrollen der Aufgabentrennung
abgeschlossen haben muss (Abschnitte b) c) d) unten).
Nachfolgend die technischen und organisatorischen Maßnahmen, die derzeit
bei FPT Software realisiert werden. Ein kontinuierlicher
Verbesserungsprozess wird eingeführt:
Im Kontaktverzeichnis werden die Benutzerstammdaten und der individuelle Identifikationscode jedes Mitarbeiters registriert. Der Zugang zu den Datenverarbeitungssystemen ist nur nach Identifizierung und Authentifizierung mit Hilfe des Identifikationscodes und des Passworts für das jeweilige System möglich.
☒ Alarm system
☒ Schutz von Gebäudeschächten
☒ Automatisches Zugangskontrollsystem
☒ Zugangskontrolle durch Chipkartentransporter
☒ Schließsystem mit Code-Schloss
☒ Manuelles Schließsystem
☐ Biometrische Zugangskontrolle
☒ Videoüberwachung der Eingänge
☐ Lichtschranken / Bewegungsmelder
☒ Sicherheitsschlösser
☒ Erfassung von Besuchern
☒ Identitätskontrolle durch Hausmeister/Empfang
☒ Verpflichtung einer besonderen ausgewählten Sicherheit
☒ Einsatz von speziell ausgewähltem Reinigungspersonal
☒ Regelung der Schlüsselübergabe (Übergabe der Schlüssel usw.)
☒ Verpflichtung zum Tragen der Berechtigungskarte Personal
Geschäftsräume und Einrichtungen sind aufgrund ihrer jeweiligen Sicherheitsanforderungen in verschiedene Sicherheitszonen mit unterschiedlichen Zugangsberechtigungen unterteilt. Sie werden vom Sicherheitspersonal überwacht.
Der Zugang zu speziellen Sicherheitsbereichen wie dem Servicecenter für Fernwartung oder ODC ist zusätzlich durch einen separaten Zugangsbereich geschützt. Die baulichen und inhaltlichen Sicherheitsstandards entsprechen den Sicherheitsanforderungen für Rechenzentren.
☒ Interne Zugangskontrolle
☒ Isolationskontrolle (Erlaubnis für Benutzerrechte)
☒ Angabe eines sicheren Passworts
☐ Biometrische Authentifizierung
☒ Authentifizierung eines Benutzernamens / Passworts
☒ Zuweisung von Benutzerprofilen zu IT-Systemen
☒ Abschließbare Servergehäuse / Computer
☒ Einsatz von VPN-Technologie (Fernzugriff)
☒ Sperren externer Schnittstellen (USB usw.)
☒ Verschlüsselung von mobilen Datenträgern
☒ System zur Erkennung von Eindringlingen
☐ Zentrale Smartphone-Verwaltung (z. B. Fernlöschung)
☐ Verschlüsselung von Smartphone-Inhalten
☐ Sichere Passwörter für Smartphones
☒ Verschlüsselung von Datenträgern auf Laptops
☒ Vergabe von individuellen Benutzernamen
☐ Andernfalls bitte angeben:
Der Zugriff auf die für die Erfüllung der jeweiligen Aufgabe notwendigen Daten wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept sichergestellt.
☒ Konzept der Rechtevergabe
☒ Rechteverwaltung durch den Systemadministrator
☒ Anzahl der Systemadministratoren „auf ein Minimum reduziert“
☒ Aufzeichnung der Löschung
☒ Protokollierung von Systemzugriffsereignissen, insbesondere Eingaben, Änderungen und Löschungen von Daten
☒ Anwendung des Virenschutzes
☒ Physische Löschung von Medien vor der Wiederverwendung
☒ Anwendung der Software-Firewall
☒ Sichere Speicherung von Datenträgern
☒ Passwortrichtlinien (inkl. definierter Passwortlänge, Passwortänderungen)
☒ Verschlüsselung von Datenträgern
☒ Einsatz von geeigneten Schreddern bzw. spezialisierten Dienstleistern
☒ Anwendung der Hardware-Firewall
☒ Ordnungsgemäße Vernichtung von Datenträgern
☐ Andernfalls bitte angeben:
☒ Zugangsprotokolle
Die personenbezogenen Daten werden vom Auftragsverarbeiter nur für interne Zwecke verwendet. Eine Übermittlung an einen Dritten, z. B. einen Unterauftragnehmer, erfolgt ausschließlich unter Berücksichtigung der vertraglichen Vereinbarungen und der Europäischen Datenschutz-Grundverordnung.
Die Mitarbeiter des Auftragsverarbeiters sind angewiesen, personenbezogene Daten nur im Rahmen und für die Zwecke ihrer Aufgaben (z. B. Leistungserbringung) zu erheben, zu verarbeiten und zu nutzen. Auf technischer Ebene werden dazu die Mandantenfähigkeit, die Funktionstrennung sowie die Trennung von Prüf- und Produktionssystemen genutzt.
☒ Physikalisch getrennte Speicherung mit separaten Systemen oder Datenträgern
☒ Definition eines Berechtigungskonzepts
☒ Trennung zwischen Produktiv- und Prüfsystemen
☒ Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
☒ Keine produktiven Daten in Prüfsystemen
☒ Logische Kliententrennung (softwarebasiert)
☐ Andernfalls bitte angeben:
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hilfe zusätzlicher Informationen nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, vorausgesetzt, diese zusätzlichen Informationen werden getrennt gespeichert und unterliegen geeigneten technischen und organisatorischen Maßnahmen. Siehe Guideline_Pseudonymisation Minimisation and Encryption_v1.4.1
☒ Pseudonymisierte (oder anonyme) Verarbeitung von Daten
☒ Trennung von Auftragsdatei und Speicherung in einem separaten, sicheren IT-System
Die Weitergabe von personenbezogenen Daten durch FPT Software an Dritte (z. B. Kunden, Subunternehmer, Dienstleister) erfolgt nur bei Vorliegen eines entsprechenden Vertrages und nur für einen bestimmten Zweck. Werden personenbezogene Daten an Unternehmen mit Sitz außerhalb der EU/des EWR oder des Herkunftslandes übermittelt, stellt FPT Software sicher, dass am Zielort oder in der Zielorganisation ein angemessenes Datenschutzniveau gemäß der EU-Datenschutzverordnung besteht, z. B. durch die Verwendung von Verträgen auf der Grundlage der EU-Mustervertragsklauseln.
☒ Einrichtung von Standleitungen bzw. VPN-Tunnel
☒ E-Mail-Verschlüsselung
☒ Erfassung der Datenempfänger sowie der Zeiträume der geplanten Übermittlung bzw. der vereinbarten Löschfristen
☒ Physischer Transport: Auswahl des speziellen Transportpersonals und des Trägers
☐ Andernfalls bitte angeben:
☒ Datenübermittlung in anonymer oder pseudonymer Form
☒ Erstellung einer Übersicht über die regelmäßige Datenabfrage sowie den Datentransfer
☒ Physischer Transport: Verwendung von sicheren Transportbehältern/Verpackungen
☒ Verwendung von verschlüsselten externen Geräten bei der Datenübertragung (CD, USB, Stick usw.)
Systemeingaben werden in Form von Protokolldateien aufgezeichnet. Auf diese Weise ist es möglich, zu einem späteren Zeitpunkt zu überprüfen, ob und von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden.
☒ Erstellung einer Übersicht, aus der hervorgeht, welche Anwendung zur Eingabe, Änderung oder Löschung welcher Daten berechtigt ist
☒ Berechtigungseinstellungen, die zur Eingabe, Änderung und Löschung von Daten nach einem Rechtevergabekonzept berechtigen
☒ Kontinuierliche Protokollierung von Eingaben, Änderungen und Löschungen von Daten
☒ Verwendung von individuell zugewiesenen Benutzernamen, um die Zugangskontrolle oder die Eingabe, Änderung oder Löschung von Daten zu gewährleisten
☒ Beibehaltung eines Archivierungssystems zur Bewertung der Herkunft von Daten, die an automatisch verarbeitete Daten übermittelt werden
☒ Aktivitätsprotokolle
☐ Andernfalls bitte angeben.
Wenn personenbezogene Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr benötigt werden, werden sie unverzüglich gelöscht. Es ist zu beachten, dass bei jeder Löschung die personenbezogenen Daten zunächst nur gesperrt werden und dann mit einer gewissen Verzögerung endgültig gelöscht werden. Dies erfolgt, um versehentliche Löschungen oder mögliche absichtliche Beschädigungen zu verhindern.
☒ Mit Klimaanlage ausgestattete Serverräume
☒ Mit Schutzsteckern ausgestattete Serverräume
☒ Mit Feuerlöschern ausgestattete Serverräume
☒ Separat aufbewahrte Backups an einem sicheren Ort
☒ Notfallplan
☒ Plan zur Aufrechterhaltung des Geschäftsbetriebs
☒ Keine Serverräume unter den Sanitäranlagen
☒ Regelmäßige Datensicherungen
☒ Notfallplan für die Beaufsichtigung
☐ Andernfalls bitte angeben:
☒ Recovery acc, Sicherungs- und Wiederherstellungskonzept
☒ Wiederherstellungstests
☒ Notfallplan für die Beaufsichtigung
☒ Die Grundsätze für die Verarbeitung personenbezogener Daten (Erhebung, Verarbeitung oder Nutzung) sind Gegenstand einer internen Unternehmensrichtlinie
☒ Der Datenschutzbeauftragte wurde schriftlich benannt
☒ Die Mitarbeiter sind auf das Datengeheimnis/den Umgang mit personenbezogenen Daten verpflichtet
☒ Die Mitarbeiter sind verpflichtet, die Vorschriften zum Fernmeldegeheimnis einzuhalten
☒ Eine interne Liste der Verarbeitungsvorgänge ist verfügbar. Siehe Guideline_Personal Data Inventory Management_v3.4.1
☒ Der Datenschutzbeauftragte ist an der Datenschutz-Folgenabschätzung beteiligt
☒ Der Datenschutzbeauftragte ist Mitglied des Organisationsplans
☒ Mitarbeiterschulungen. Siehe Policy_Personal Data Protection Training_v1.4.1
☒ Implementierung eines Kontrollsystems zur Aufdeckung von unberechtigtem Zugriff auf personenbezogene Daten
☐ Andernfalls bitte angeben:
Es entspricht dem Management von Zwischenfällen bei festgestellten oder vermuteten Sicherheitsvorfällen bzw. Ausfällen im IT-Bereich.
☒ Bearbeitungsschema für das Störfallmanagement
☒ Team übt realistische Übungen
☒ Sicherheitsteam benannt und geschult
☐ Andernfalls bitte angeben:
☒ Einhaltung des „Privacy by Design“/Datenschutz durch geeignete Technologien
☒ Auswahl von Technologien zur Verbesserung des Datenschutzes für künftige Anforderungen
☒ Einhaltung des Datenschutzes durch Voreinstellung/Datenschutz durch entsprechende Einstellungen
☐ Andernfalls bitte angeben:
Keine Datenverarbeitung darf ohne vorherige ausdrückliche Genehmigung des für die Verarbeitung Verantwortlichen durchgeführt werden, z. B. klare vertragliche Verpflichtung, formalisierte Auftragsverwaltung, strenge Auswahl des Dienstleisters, Verpflichtung zur Vorabkontrolle, Nachkontrolle.
☒ Auswahl von (Unter-)Auftragnehmern mit professioneller Sorgfalt (insbesondere im Hinblick auf die Datensicherheit)
☒ Für den Auftragsverarbeiter erstellte und schriftlich dokumentierte Leitlinien (z. B. durch einen Datenverarbeitungsvertrag)
☒ Benannter Datenschutzbeauftragter des Auftragsverarbeiters (falls erforderlich)
☒ Wirksame Aufsichtsrechte des für die Verarbeitung Verantwortlichen vereinbart
☒ Vor der Beauftragung Überprüfung der vom Unterauftragnehmer aufgezeichneten Sicherheitsmaßnahmen
☒ Die Mitarbeiter des Auftragsverarbeiters sind verpflichtet, eine Geheimhaltungs-/Vertraulichkeitsvereinbarung zu unterzeichnen.
☒ Sicherstellung der Löschung oder Vernichtung von Daten nach Beendigung des Vertragsverhältnisses
☒ Ständige Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten
☐ Andernfalls bitte angeben:
Jeder neue Mitarbeiter muss am ersten Tag an einer Schulung zum Schutz personenbezogener Daten teilnehmen.
Für jeden Mitarbeiter, der personenbezogene Daten verarbeitet, ist die Teilnahme an einer Datenschutzschulung auf e-campus (FPT Software Training Platform) einschließlich einer erfolgreichen Prüfung vor Beginn der Verarbeitung personenbezogener Daten obligatorisch. Eine jährliche Auffrischungsschulung ist ebenfalls obligatorisch.
Jeder PM, DM, SDM, Teamleiter, der mit der Verarbeitung personenbezogener Daten zu tun hat, ist verpflichtet, vor Beginn der Verarbeitung personenbezogener Daten an der erweiterten Datenschutzschulung auf e-campus (FPT Software Training Platform) teilzunehmen und eine Prüfung abzulegen. Eine jährliche Auffrischungsschulung ist ebenfalls obligatorisch (siehe Policy_Personal Data Protection Training_v1.4.1).
FPT Software VN wird jeder juristischen Person und jeder Tochtergesellschaft von FPT Software eine Download-Version aller Schulungsunterlagen zur Verfügung stellen.
Der Globale Datenschutzbeauftragte, der intern von beruflichen Aufträgen unabhängig ist, wirkt auf die Einhaltung nationaler und internationaler Datenschutzbestimmungen hin. Er ist verantwortlich für die Datenschutzrichtlinie und beaufsichtigt deren Einhaltung. Der Globale Datenschutzbeauftragte wird vom Vorstand von FPT Software ernannt.
Die Datenschutzvertreter unterrichten den Globalen Datenschutzbeauftragten unverzüglich über alle Datenschutzrisiken.
Jede betroffene Person kann sich jederzeit an den oder den zuständigen Globalen Datenschutzbeauftragten wenden, um Bedenken zu äußern, Fragen zu stellen, Informationen anzufordern oder Beschwerden in Bezug auf den Datenschutz oder die Datensicherheit vorzubringen. Auf Wunsch werden Anliegen und Beschwerden vertraulich behandelt.
Kann der betreffende Datenschutzvertreter eine Beschwerde nicht lösen oder einen Verstoß gegen die Datenschutzrichtlinie nicht beheben, ist unverzüglich der Globale Datenschutzbeauftragte zu konsultieren. Entscheidungen des Globalen Datenschutzbeauftragten zur Behebung von Datenschutzverstößen müssen von der Leitung des betreffenden Unternehmens bestätigt werden. Anfragen von Aufsichtsbehörden müssen immer dem Globalen Datenschutzbeauftragten gemeldet werden (siehe Template_DPO Job Description_v1.3.1).
Die Kontaktdaten des Globalen Datenschutzbeauftragten und der Mitarbeiter lauten wie folgt:
FPT Deutschland GmbH
Datenschutzbeauftragter, Frau Vy Huynh
Am Thyssenhaus 1-3 (Haus 3), 45128 Essen, Deutshland
E-mail: [email protected]
Die Führungskräfte von FPT Software, die Tochtergesellschaften und die
juristischen Personen sind für die Datenverarbeitung in ihrem
Zuständigkeitsbereich verantwortlich. Daher müssen sie sicherstellen, dass
die gesetzlichen und in der Datenschutzrichtlinie enthaltenen
Anforderungen an den Datenschutz erfüllt werden (z. B. nationale
Meldepflichten). FSU-Leiter, OB-Leiter und Geschäftsführer einer
juristischen Person sind dafür verantwortlich, dass organisatorische,
personelle und technische Maßnahmen getroffen werden, um eine
datenschutzkonforme Datenverarbeitung zu gewährleisten. Die Einhaltung
dieser Anforderungen liegt in der Verantwortung der jeweiligen
Mitarbeiter. Wenn externe Stellen Datenschutzkontrollen durchführen, muss
der Globale Datenschutzbeauftragte unverzüglich informiert werden.
Die jeweiligen FSU-Leiter, OB-Leiter oder Geschäftsführer einer
juristischen Person müssen den Globalen Datenschutzbeauftragten über den
Namen ihres Datenschutzvertreters informieren. Die Datenschutzvertreter
sind die Ansprechpartner vor Ort für den Datenschutz. Sie müssen
Kontrollen durchführen und die Mitarbeiter mit dem Inhalt der
Datenschutzrichtlinien vertraut machen. Das zuständige Management ist
verpflichtet, den Globalen Datenschutzbeauftragten und die
Datenschutzvertreter bei ihren Bemühungen zu unterstützen. FSUs, OBs oder
juristische Personen müssen die Datenschutzvertreter rechtzeitig über neue
Verarbeitungen von personenbezogenen Daten informieren. Bei
Datenverarbeitungsvorhaben, die Risiken für die Persönlichkeitsrechte der
betroffenen Personen mit sich bringen können, muss der Globale
Datenschutzbeauftragte vor Beginn der Verarbeitung informiert werden. Dies
gilt insbesondere für äußerst sensible personenbezogene Daten. Die
Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter ausreichend im
Datenschutz geschult sind (jährliche Sensibilisierungsschulung mit
Prüfung, erweiterte Schulung für PM, DM, BU-Leads).
Die unsachgemäße Verarbeitung personenbezogener Daten oder andere Verstöße
gegen die Datenschutzgesetze können in vielen Ländern strafrechtlich
verfolgt werden und Schadensersatzforderungen nach sich ziehen. Verstöße,
für die einzelne Mitarbeiter verantwortlich sind, können zu
arbeitsrechtlichen Sanktionen führen.
Wenn Sie die Auswirkungen dieser Richtlinie nicht verstehen oder nicht
wissen, wie sie auf Sie zutreffen, wenden Sie sich bitte telefonisch oder
per E-Mail an den Datenschutzbeauftragter (Frau Vy Huynh, E-Mail:
[email protected]).
PDP-Handbuch V3.3
Policies:
- Policy_Personal Data Protection Training V1.4.1
- Policy_Privacy Statement_v1.3.1
- Policy_PIMS Scope_v1.3.1
Leitlinien:
- Guideline Personal Data Retention V3.4.1
- Guideline Policy Development V2.4.1
- Guideline Personal Data Protection Organization V3.4.1
- Guideline Personal Data Protection Management Audit V2.4.1
- Guideline Complaints and Appeals Handling V3.4.1
- Guideline Data Breach Incident V3.4.1
- Guideline Personal Data Inventory Management V3.4.1
- Guideline Data Flow Mapping V2.4.1
- Guideline Risk Management DPIA V2.4.1
- Guideline_Pseudonymisation Minimisation and Encryption_v1.4.1
- Guideline PII Classification and Rating V3.4.1
Vorlagen:
- Template_DS Consent Withdrawal Form_v1.2
- Template_retention schedule_V1.2
- Template_audit checklist short_V1.2
- Template_internal competence matrix_V1.2
- Template_privacy notice register_V1.2
- Template_DP Job Description and Responsibilities_v1.3.1
- Template_DPO Job Description_v1.3.1
- Template_DS request_incident_compliant_appeal_register-DP_V1.3
- Template_Rationale DPO_v1.2
- Template_Parental Consent Withdrawal Form_v1.2
- Template_Data Subject Right Request Form_v2.3
- Template_Parental Consent Form_v1.2
- Template_Data Subject Consent Form_v2.3
- Template Personal Data Processing Inventory V2.6
- Template Standard Contractual Clauses V2.3
- Template Personal Data Protection Exhibit V1.5
- Template risk management DPIA V3.3
- Checklist Before Engagement V3.2
- Template Data Processing Agreement V1.2
- Template_Non Conformance Report_v1.1
- Template_Internal Audit Report_v1.1
- Template_Internal Audit Schedule_v1.1
Verfahren:
- Procedure_privacy_V1.3.1
- Procedure_ds_access request_V1.3.1
- Procedure_complaints_V1.3.1
- Procedure_consent withdrawal_V1.3.1
- Procedure_consent_V1.3.1
- Procedure_Data Protection Impact Assessment_V1.3.1
- Procedure_Personal Data Breach Notification_V1.3.1
- Procedure_communication_V1.3.1
- Procedure_personal data transfer_V1.3.1
- Procedure_data portability_V1.3.1
- Procedure_third party service contracts_V1.3.1
- Procedure_sub contracted processing_V1.3.1
- Procedure_competence_V1.3.1
- Procedure_DP management review_V1.3.1
- Procedure_Retention of Records_V1.3.1
- Procedure_Continual Improvement_v1.2.1
- Procedure_Internal Audit_v1.2.1
Aufzeichnungen:
- Record_DP contacts_V1.2
- Record_internal contracts_V1.2
- Record_authorities_Key-Supplier_V1.2
Jeder Mitarbeiter von FPT Software kann diese Richtlinien und Vorlagen auf der Plattform QMS finden.
Jede Ausnahme muss vom Globalen Datenschutzbeauftragten geprüft und genehmigt werden und auch vom verantwortlichen Vorstandsmitglied von FPT Software (CFO)/Geschäftsführer eines Tochterunternehmens/einer juristischen Person genehmigt werden.
PII, Persönlich identifizierbare Informationen, personenbezogene Daten
Unter „personenbezogenen Daten“ versteht die EU-DSGVO (Artikel 4 Nr. 1) alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Betroffene Person
EU-DSGVO (Artikel 4 Nr. 1), Betroffene Person bezieht sich auf jede natürliche Person, die direkt oder indirekt identifiziert werden kann.
Verantwortlicher
EU-DSGVO (Artikel 4 Nr. 7), Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet; sind der Zweck und die Mittel der Verarbeitung durch Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt, so können der Verantwortliche oder die spezifischen Kriterien für seine Benennung durch Rechtsvorschriften der Union oder der Mitgliedstaaten vorgesehen werden.
Auftragsverarbeiter
EU-DSGVO (Artikel 4 Nr. 8), Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Empfänger
EU-DSGVO (Artikel 4 Nr. 9), eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht.
Dritter
EU-DSGVO (Artikel 4 Nr. 10), eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person als die betroffene Person, der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter und Personen, die unter direkter Aufsicht des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten
DSB/GDSB
DSB/GDSBDPO/GDPODatenschutzbeauftragter/Globaler Datenschutzbeauftragter
DPIA
Datenschutzfolgenabschätzung (engl. Data Protection Impacted Assessment)
PIMS
Managementsystem für personenbezogene Daten (engl. Personal Information Management System)
EU
Europäische Union
EU-DSGVO
EU-Datenschutz-Grundverordnung
95/26/EC
EU-Datenschutzrichtlinie 95/46/EC
Privacy Shield
EU-U.S. und Swiss-U.S. Privacy Shield Frameworks, die vom U.S. Department of Commerce und der Europäischen Kommission und der Schweizer Verwaltung entwickelt wurden, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen bei der Übertragung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu bieten.
APPI
Gesetz über den Schutz personenbezogener Daten, Japan. Es trat am 30. Mai 2017 in Kraft.
PDPA
Gesetz zum Schutz personenbezogener Daten 2012 (engl. Personal Data Protection Act), Singapur
PDPO
Verordnung über personenbezogene Daten (Datenschutz) (engl. Personal Data (Privacy) Ordinance), Hongkong, 2012
PIPA
Südkoreas umfangreiches Gesetz zum Schutz personenbezogener Daten (PIPA, engl. Personal Information Protection Act) wurde am 30. September 2011 in Kraft gesetzt.
PIPEDA
Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (engl. Personal Information Protection and Electronic Documents Act), Kanada 2018
Privacy Act, APPs, CDR
Datenschutzgesetz Australien, einschließlich der australischen Datenschutzgrundsätze (engl. Australian Privacy Principles), Recht auf Verbraucherdaten (engl. Consumer Data Right)
HITRUST
Health Information Trust Alliance (CSF, Gemeinsamer Sicherheitsrahmen)
HIPAA
Health Insurance Portability and Accountability Act von 1996 (HIPAA), USA
PCI DSS
Payment Card Industry Data Security Standard, Mai 2018
CCPA
California Consumer Privacy Act of 2018, Cal. Civ. Code §§ 1798.100 et seq.
PDPL, UAR
Gesetzesdekret Nr. 45 von 2021
DPA Philippines
Republikgesetz 10173, Datenschutzgesetz 2012
PIPL
Gesetz zum Schutz personenbezogener Daten (engl. Personal Information Protection Law) der Volksrepublik China und damit zusammenhängende Gesetze und Vorschriften
PDPA Malaysia
Gesetz zum Schutz personenbezogener Daten 2010 (engl. Personal Data Protection Act), Malaysia
TISAX
Trusted Information Security Assessment Exchange
BS10012: 2017
British Standard Personal Information Management System
Vietnamesische Gesetze zum Schutz der Privatsphäre:
– Artikel 21 der Verfassung von 2013
– Artikel 38 des Zivilgesetzbuches 2015
– Artikel 125 des Strafgesetzbuches
– Klausel 2 von Artikel 19 des Arbeitsgesetzes-Erlass der
vietnamesischen Regierung:
Nghị Định Quy Định Về Bảo Vệ Dữ Liệu Cá Nhân Noch nicht in Kraft
FPT Software Handbuch zum Schutz personenbezogener Daten
DP_ Handbook_Version_V3.3
In Vietnam gibt es kein einheitliches Datenschutzgesetz. Regelungen zum
Datenschutz und zum Schutz der Privatsphäre finden sich in verschiedenen
Rechtsinstrumenten. Das Recht auf Privatsphäre und das Recht auf Ansehen,
Würde und Ehre sowie die Grundprinzipien dieser Rechte sind derzeit in der
Verfassung 2013 („Verfassung“) und im Zivilgesetzbuch 2015
(„Zivilgesetzbuch“) als unantastbar und gesetzlich geschützt verankert.
Die Leitprinzipien für die Erhebung, Speicherung, Verwendung,
Verarbeitung, Offenlegung und Übermittlung personenbezogener Daten sind in
den folgenden wichtigen Gesetzen und Dokumenten festgelegt:
- Strafgesetzbuch 100/2015/QH13, verabschiedet von der Nationalversammlung am 27. November 2015
- Gesetz Nr. 24/2018/QH14 über Cybersicherheit, verabschiedet von der Nationalversammlung am 12. Juni 2018 (“Cybersicherheitsgesetz”);
- Gesetz Nr. 86/2015/QH13 über die Sicherheit von Netzwerken, verabschiedet von der Nationalversammlung am 19. November 2015; geändert durch Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“Gesetz über die Sicherheit von Netzwerken”);
- Gesetz Nr. 59/2010/QH12 über den Schutz der Verbraucherrechte, verabschiedet von der Nationalversammlung am 17. November 2010; geändert durch das Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“CRPL”);
- Gesetz Nr. 67/2006/QH11 über Informationstechnologie, verabschiedet von der Nationalversammlung am 29. Juni 2006; geändert durch Gesetz Nr. 21/2017/QH14 vom 14. November 2017 über Planung (“IT-Gesetz”);
- Gesetz Nr. 51/2005/QH11 über E-Transaktionen, verabschiedet von der Nationalversammlung am 29. November 2005 (“E-Transaktionsgesetz”);
- Erlass Nr. 85/2016/ND-CP vom 1. Juli 2016 über die Sicherheit von Informationssystemen durch Klassifizierung (“Erlass 85”);
- Erlass Nr. 72/2013/ND-CP vom 15. Juli 2013 über die Verwaltung, Bereitstellung und Nutzung von Internetdiensten und Online-Informationen, geändert durch Erlass Nr. 27/2018/ND-CP vom 1. März 2018 und Erlass Nr. 150/2018/ND-CP vom 7. November 2018 (“Erlass 72”);
- Erlass Nr. 52/2013/ND-CP vom 16. Mai 2013, geändert durch Erlass Nr. 08/2018/ND-CP vom 15. Januar 2018 über die Änderung bestimmter Dekrete in Bezug auf die Unternehmensbedingungen unter staatlicher Verwaltung des Ministeriums für Industrie und Handel und Erlass Nr. 85/2021/ND-CP vom 25. September 2021 (“Erlass 52”);
- Erlass Nr. 15/2020/ND-CP der Regierung vom 3. Februar 2020 über Sanktionen für administrative Verstöße gegen die Vorschriften über Postdienste, Telekommunikation, Funkfrequenzen, Informationstechnologie und elektronische Transaktionen (“Erlass 15”);
- Rundschreiben Nr. 03/2017/TT-BTTTT des Ministeriums für Information und Kommunikation vom 24. April 2017 über Leitlinien für den Erlass 85 (“Rundschreiben 03”);
- Rundschreiben Nr. 20/2017/TT-BTTTT vom 12. September 2017 des Ministeriums für Information und Kommunikation, das Vorschriften zur landesweiten Koordinierung und Reaktion auf Informationssicherheitsvorfälle enthält (“Rundschreiben 20”);
- Rundschreiben Nr. 38/2016/TT-BTTTT vom 26. Dezember 2016 des Ministeriums für Information und Kommunikation, das die grenzüberschreitende Bereitstellung öffentlicher Informationen regelt (“Rundschreiben 38”);
- Rundschreiben Nr. 24/2015/TT-BTTTT vom 18. August 2015 des Ministeriums für Information und Kommunikation, das die Verwaltung und Nutzung von Internetressourcen regelt, geändert durch Rundschreiben Nr. 06/2019/TT-BTTTT vom 19. Juli 2019 (“Rundschreiben 25”); und
- Beschluss Nr. 05/2017/QD-TTg des Premierministers vom 16. März 2017 über Notfallpläne zur Gewährleistung der nationalen Cyber-Informationssicherheit (“Beschluss 05” ).
Die Anwendbarkeit der Rechtsdokumente hängt vom jeweiligen Sachkontext ab, z. B. können Unternehmen im Banken- und Finanzsektor, im Bildungswesen und im Gesundheitswesen speziellen Datenschutzbestimmungen unterliegen, ganz zu schweigen von den Bestimmungen über personenbezogene Daten von Arbeitnehmern, die im Arbeitsgesetzbuch 2019 (“Arbeitsgesetzbuch”) enthalten sind.
Die wichtigsten vietnamesischen Rechtsdokumente, die den Datenschutz regeln, sind das Cybersicherheitsgesetz und das Gesetz über die Sicherheit von Netzwerken. Das vietnamesische Cybersicherheitsgesetz hat Ähnlichkeiten mit den Cybersicherheitsgesetzen anderer Länder, die sich an der Datenschutz-Grundverordnung der EU orientieren, und mit dem chinesischen Cybersicherheitsgesetz aus dem Jahr 2017. Das Gesetz zielt darauf ab, die Regierung in die Lage zu versetzen, den Informationsfluss zu kontrollieren. Das Gesetz über die Sicherheit von Netzwerken setzt die Datenschutzrechte der betroffenen Personen durch.
Der Entwurf einer Verordnung, die eine Reihe von Artikeln des Cybersicherheitsgesetzes (“Entwurf der Cybersicherheitsverordnung”) detailliert ausführt, insbesondere die Umsetzungsrichtlinien für die Anforderungen an die Datenlokalisierung, sowie der Entwurf einer Verordnung, die die Reihenfolge und die Verfahren für die Anwendung einer Reihe von Maßnahmen zur Gewährleistung der Cybersicherheit detailliert ausführt, und der Entwurf eines Beschlusses des Premierministers, der eine Liste von Informationssystemen, die für die nationale Sicherheit wichtig sind, verkündet, werden derzeit vom Ministerium für öffentliche Sicherheit (“MPS”) in Abstimmung mit anderen relevanten Ministerien, ministeriellen Agenturen und Gremien vorbereitet.
Das MPS hat einen Erlass über den Schutz personenbezogener Daten (“PDPD-Entwurf”) ausgearbeitet, mit dem alle Datenschutzgesetze und -verordnungen in einem umfassenden Datenschutzgesetz zusammengefasst und die bestehenden Vorschriften erheblich ergänzt und verbessert werden sollen. Der PDPD-Entwurf wurde im Februar 2021 zur öffentlichen Stellungnahme freigegeben und sollte ursprünglich bis Dezember 2021 in Kraft treten. Der Abschluss des Prozesses nimmt viel mehr Zeit in Anspruch, als das MPS zunächst angenommen hatte. Der PDPD-Entwurf wird voraussichtlich Ende 2022 fertiggestellt und in Kraft treten.