Organisatorische Datenschutz
Der Schutz personenbezogener Daten ist für Italtower S.r.l. (im Folgenden „Italtower“ oder „Unternehmen“) ein wichtiges Anliegen.
Das Inkrafttreten der Verordnung (EU) 2016/679 „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (im Folgenden „GDPR“) bot die Gelegenheit, die Tätigkeiten des Unternehmens weiter an die Grundsätze der Transparenz und des Schutzes personenbezogener Daten anzupassen, unter Wahrung der Grundrechte und Grundfreiheiten aller betroffenen Personen, seien es Mitarbeiter, Partner, Kunden, Lieferanten oder Dritte, die an Informationen interessiert sind.
Italtower hat daher ein „Datenschutz-Organisationsmodell“ (MOP) eingeführt, das hier in seinen Grundzügen beschrieben wird und darauf abzielt, alle Datenverarbeitungen zu analysieren, funktional zu organisieren und sicher sowie transparent zu verwalten. In diesem Bereich der Website finden Sie außerdem Informationen zu den Rechten der betroffenen Person und zu den Modalitäten für deren Ausübung gegenüber dem Verantwortlichen.
INHALTSVERZEICHNIS
1 - ORGANISATIONSMODELL ZUM DATENSCHUTZ GEMÄSS GDPR
1.1 - THEMEN
1.2 - RISIKOANALYSE UND MASSNAHMEN ZUR VERMEIDUNG VON DATENSCHUTZRISIKEN
2 - TRANSPARENZ UND RECHTE DER BETROFFENEN PERSON
2.1 - RECHTE IM BEREICH DES DATENSCHUTZES
2.2 - AUSÜBUNG DER RECHTE
2.3 - FORMULARE UND INFORMATIONEN
1 - ORGANISATIONSMODELL ZUM DATENSCHUTZ GEMÄSS GDPR
1.1 - THEMEN
Verantwortlicher für die Datenverarbeitung
Der Verantwortliche für die Datenverarbeitung ist:
Italtower S.r.l. (im Folgenden auch „Verantwortlicher“)
Piove di Sacco (PD) Via A. Meucci n. 5/11
Umsatzsteuer-Identifikationsnummer und Steuernummer: 04725890281
Tel. +39 0495840542
e-mail: info@italtower.com
Zertifizierte E-Mail: semtrade@lamiapec.it
ZUR VERARBEITUNG BEFUGTE PERSONEN (ex art. 29 GDPR)
Die MOP sieht vor, dass jeder Mitarbeiter/Mitarbeiterin des Verantwortlichen nur die Daten verarbeitet, die für die Erfüllung seiner bzw. ihrer Aufgaben unerlässlich sind, entsprechend der internen Organisation und vor allem den Zwecken, die der betroffenen Person mitgeteilt und vorgeschlagen wurden (sog. Grundsatz der „Zweckbindung und Datenminimierung“, Art. 5 Abs. 1 Buchst. b) und c) der GDPR). Jede zur Verarbeitung personenbezogener Daten befugte Person hat vom Verantwortlichen spezifische Anweisungen in Bezug auf diese Verarbeitung erhalten.
Das Informationssystem ist von Grund auf in „abgetrennte Bereiche“ unterteilt. Der Mitarbeiter/Mitarbeiterin hat von seinem/ihrem Arbeitsplatz aus nur Zugriff auf die Daten, die für die Erfüllung seiner/ihrer Aufgaben unerlässlich sind. Die Zuweisung zu den spezifischen Verarbeitungsbereichen erfolgt nach einer sorgfältigen Analyse der Unternehmensstruktur und -organisation sowie des internen und externen Datenflusses des Unternehmens.
Der Mitarbeiter/Mitarbeiterin hat zudem eine interne Richtlinie zur Nutzung der IT-Systeme sowie Verhaltensregeln für den Umgang mit allen Informationen erhalten, auf die er/sie aufgrund seiner/ihrer spezifischen Tätigkeit Zugriff hat.
SYSTEMADMINISTRATOREN
Der Verantwortliche nutzt IT-Systeme zur Verwaltung und Organisation seiner Geschäftstätigkeit. Aus diesem Grund stehen seit jeher die Entwicklung der Software, deren Nutzungsmodalitäten und die Datensicherheit im Mittelpunkt der Tätigkeit des Verantwortlichen. Die Personen mit „Administrator“-Rechten innerhalb des Unternehmens werden ausdrücklich benannt und geschult. Auch spezialisierte externe Unternehmen, die auf Unternehmensdaten zugreifen, werden gemäß Art. 28 der GDPR ausdrücklich als externe Auftragsverarbeiter und/oder externe Systemadministratoren benannt.
Externe IT-Dienstleister werden mit besonderem Augenmerk auf ihre Professionalität ausgewählt, nicht nur in technischer Hinsicht, sondern auch in Bezug auf die Einhaltung und den Schutz von Daten, wobei zertifizierte Unternehmen bevorzugt werden.
VERANTWORTLICHE FÜR DIE DATENVERARBEITUNG (ex art. 28 GDPR)
Grundsätzlich führt der Verantwortliche fast alle Verarbeitungsvorgänge intern durch. Fälle, in denen bestimmte Tätigkeiten, die eine Datenverarbeitung im Auftrag des Verantwortlichen beinhalten, an Dritte ausgelagert werden, sind in den einzelnen Datenschutzerklärungen entsprechend angegeben. In diesen Fällen wird das Verhältnis zu dem Dritten durch einen speziellen Vertrag über die Bestellung zum „Auftragsverarbeiter“ gemäß Art. 28 der GDPR geregelt.
Der Verantwortliche überträgt diese Verarbeitungstätigkeiten an externe Stellen, die ausreichende Garantien bieten, um geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Anforderungen der GDPR entsprechen und den Schutz der Rechte der betroffenen Personen gewährleisten.
1.2 RISIKOANALYSE UND MASSNAHMEN ZUR VERMEIDUNG VON DATENSCHUTZRISIKEN
Gemäß den Grundsätzen der sogenannten „Accountability“ (Rechenschaftspflicht) obliegt es dem Verantwortlichen, eine Reihe von organisatorischen, physischen, rechtlichen, technischen und IT-Maßnahmen zu ergreifen, um das Risiko einer Verletzung der Rechte und persönlichen Freiheiten der betroffenen Personen zu verhindern. Um dieses Ziel zu erreichen, wird eine kontinuierliche Risikoanalyse durchgeführt, die sich nach den Verarbeitungsvorgängen, den eingesetzten Instrumenten sowie der Art und dem Umfang der verarbeiteten Daten richtet.
VERARBEITUNGSVERZEICHNIS (ex art. 30 GDPR) UND
DATENSCHUTZ-FOLGENABSCHÄTZUNG (ex art. 35 GDPR)
Der Datenschutzbeauftragte sorgt für eine sorgfältige und kontinuierliche Risikoanalyse hinsichtlich der Verarbeitung personenbezogener Daten, die für jede Tätigkeit oder jede erbrachte Dienstleistung anhand eines Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 1 der GDPR ermittelt werden.
Der Verantwortliche überprüft regelmäßig, ob risikobehaftete Tätigkeiten vorliegen, die eine spezifische Folgenabschätzung gemäß Art. 35 der GDPR (sog. „DPIA“) erfordern.
2 - TRANSPARENZ UND RECHTE DER BETROFFENEN PERSON
2.1 RECHTE IM BEREICH DES DATENSCHUTZES
Der Verantwortliche hält es auch an dieser Stelle für unerlässlich, die betroffenen Personen über die Existenz bestimmter Rechte im Bereich des Datenschutzes zu informieren, die im Folgenden aufgeführt sind.
Recht auf Auskunft (Transparenz bei der Datenverarbeitung)
Die betroffene Person hat das Recht, darüber informiert zu werden, wie der Verantwortliche ihre personenbezogenen Daten verarbeitet, zu welchen Zwecken dies geschieht und welche weiteren Informationen gemäß Art. 13 der GDPR vorgesehen sind. Zu diesem Zweck hat der Verantwortliche organisatorische Abläufe eingerichtet, die es ermöglichen, bei der Erhebung oder Anforderung personenbezogener Daten eine speziell auf die jeweilige Kategorie der betroffenen Personen (Mitarbeiter, Kunde, Lieferant usw.) zugeschnittene Datenschutzerklärung bereitzustellen. Dieses Dokument ermöglicht es, alle Personen, auf die sich die Daten beziehen, angemessen darüber zu informieren, wie die Verarbeitung durch den Verantwortlichen erfolgt. Die Muster-Datenschutzerklärung kann durch einen entsprechenden Antrag an den Verantwortlichen angefordert werden.
Recht auf Widerruf der Einwilligung (art. 13)
Sie haben das Recht, Ihre Einwilligung jederzeit für alle Verarbeitungen zu widerrufen, deren Rechtmäßigkeit auf Ihrer Einwilligung beruht. Der Widerruf der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der bisherigen Verarbeitung.
Recht auf Auskunft über die Daten (art. 15)
Sie können Auskunft verlangen über a) die Zwecke der Verarbeitung; b) die Kategorien der betroffenen personenbezogenen Daten; c) die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, insbesondere wenn es sich um Empfänger in Drittländern oder internationale Organisationen handelt; d) soweit möglich, die geplante Aufbewahrungsfrist für die personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Frist; e) das Bestehen des Rechts der betroffenen Person, vom Verantwortlichen die Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder die Einschränkung der Verarbeitung dieser Daten zu verlangen oder ihrer Verarbeitung zu widersprechen; f) das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen; g) sofern die Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über ihre Herkunft; h) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich der Profilerstellung gemäß Artikel 22 Absätze 1 und 4, und zumindest in diesen Fällen aussagekräftige Informationen über die angewandte Logik sowie die Bedeutung und die voraussichtlichen Folgen dieser Verarbeitung für die betroffene Person. Sie haben das Recht, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, anzufordern.
Recht auf Berichtigung (art. 16)
Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten, die Sie betreffen, zu verlangen und die Vervollständigung unvollständiger personenbezogener Daten zu erwirken.
Recht auf Vergessenwerden (art. 17)
Sie haben das Recht, vom Verantwortlichen die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind, wenn Sie Ihre Einwilligung widerrufen, wenn kein vorrangender berechtigter Grund für die Profiling-Verarbeitung vorliegt, wenn die Daten unrechtmäßig verarbeitet wurden oder wenn eine gesetzliche Verpflichtung zur Löschung besteht; wenn sich die Daten auf Webdienste beziehen, die für Minderjährige ohne deren Einwilligung erbracht wurden. Die Löschung kann erfolgen, sofern nicht das Recht auf freie Meinungsäußerung und Informationsfreiheit vorrangig ist, die Daten zur Erfüllung einer gesetzlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt aufbewahrt werden, aus Gründen des öffentlichen Interesses im Gesundheitswesen, zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Feststellung, Ausübung oder Verteidigung eines Rechts vor Gericht.
Recht auf Einschränkung der Verarbeitung (art. 18)
Sie haben das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der personenbezogenen Daten bestritten haben (für den Zeitraum, der der Verantwortliche benötigt, um die Richtigkeit dieser personenbezogenen Daten zu überprüfen) oder wenn die Verarbeitung unrechtmäßig ist, Sie sich jedoch der Löschung der personenbezogenen Daten widersetzen und stattdessen eine Einschränkung ihrer Verwendung verlangen, oder wenn Sie diese für die Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht, während sie dem Verantwortlichen nicht mehr erforderlich sind.
Recht auf Datenübertragbarkeit (art. 20)
Sie haben das Recht, die uns zur Verfügung gestellten personenbezogenen Daten, die Sie betreffen, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese an einen anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf Ihrer Einwilligung beruhte, auf einem Vertrag beruhte und die Verarbeitung automatisiert erfolgt, es sei denn, die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und diese Übermittlung beeinträchtigt nicht die Rechte Dritter.
Widerspruchsrecht (art. 21)
Sie haben jederzeit das Recht, der Verarbeitung Ihrer personenbezogenen Daten ganz oder teilweise zu widersprechen, sofern die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen oder zu Zwecken des Direktmarketings erfolgt.
Recht, sich an die Datenschutzbehörde zu wenden (art. 77)
Unbeschadet anderer Verwaltungs- oder Rechtsbehelfe haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, insbesondere in dem Mitgliedstaat, in dem Sie Ihren gewöhnlichen Wohnsitz haben, arbeiten oder in dem der mutmaßliche Verstoß stattgefunden hat, wenn Sie der Ansicht sind, dass die Sie betreffende Verarbeitung gegen die Datenschutz-Grundverordnung verstößt.
2.2 AUSÜBUNG DER RECHTE
Um Ihre Rechte tatsächlich auszuüben, können Sie eine E-Mail an die Adresse info@italtower.com senden und gegebenenfalls die unten zur Verfügung gestellten Formulare beifügen.
2.3 FORMULARE UND INFORMATIONEN
1) Nachstehend finden Sie einen Musterbrief, den Sie ausfüllen können, um Ihre Rechte konkret geltend zu machen. Das Formular kann gemäß den geltenden Rechtsvorschriften an den Verantwortlichen unter den oben angegebenen Adressen gesendet werden.
Muster zum Ausdrucken und Ausfüllen unter Angabe des geltend gemachten Rechts
Formular zur Ausübung der Rechte
Datenschutzerklärungen: