REGELN DES SHOPS

REGELN DES SHOPS kolceochronne.pl

§1

Allgemeine Bestimmungen

1. Der Webshop, im Folgenden als Shop bezeichnet, führt Einzelhandelsverkäufe über das Internet auf der Grundlage der vorliegenden Regeln durch.

2. Der Eigentümer des Shops ist: Senator Łódź – Jarosław Balcerek mit Sitz in der ul. Legionów 96 [Straße], 90-736 Łódź, Steuernummer NIP: 726-108-77-36, Tel. 605202929 oder 42 6330709, E-Mail-Adresse: info@kolceochronne.pl

3. Die Regeln sind integraler Bestandteil des mit dem Kunden abgeschlossenen Kaufvertrags.

4. Voraussetzung für das Zustandekommen des Kaufvertrags ist die Annahme der Regeln durch den Kunden.

5. Die im Shop angegebenen Preise sind Bruttopreise (einschließlich Mehrwertsteuer).

6. Die im Shop erhältlichen Waren sind frei von Sach- und Rechtsmängeln.

§2

Bestellungen

1. Bestellungen können wie folgt aufgegeben werden:

a) über das auf der Website des Shops verfügbare Formular,

b) per E-Mail an die auf der Website des Shops angegebene Adresse,

c) telefonisch unter den für Bestellungen vorgesehenen Nummern, die auf der Website des Shops unter der Registerkarte Kontakt verfügbar sind.

2. Voraussetzung für die Ausführung einer Bestellung ist, dass der Kunde Daten angibt, die es ermöglichen, den Kunden und den Empfänger der Ware zu verifizieren. Der Shop bestätigt die Annahme der Bestellung per E-Mail oder telefonisch. Der Shop bestätigt die Erfüllung der Bestellung nach Vorauszahlung.

3. Die Parteien sind an die Informationen gebunden, die zum Zeitpunkt der Bestellung auf der Website des Shops für die gekauften Waren enthalten sind, insbesondere: den Preis, die Produkteigenschaften, das Datum und die Art der Lieferung.

4. Die Informationen auf der Website des Shops stellen kein Angebot im Sinne des Zivilgesetzbuches dar. Durch die Aufgabe einer Bestellung gibt der Kunde ein Angebot zum Kauf der angegebenen Waren ab. Der Kaufvertrag kommt zustande, wenn der Kunde die Bestellung bestätigt, indem er eine Proformarechnung akzeptiert und die Vorauszahlung bestätigt.

§3

Zahlungen

1. Der Kunde hat die Wahl zwischen den auf der Registerkarte Zahlungsarten angegebenen Zahlungsarten.

2. Die Versandpreise sind in der Lieferpreisliste angegeben.

3. Die Herausgabe der Ware setzt die Bezahlung der Ware und des Versands voraus.

§4

Versand der Ware

1. Die bestellten Ware wird innerhalb von 3 Werktagen nach Eingang der Vorauszahlung durch einen Kurierdienst versandt oder zur Abholung durch den Kunden in den Geschäftsräumen der Firma bereitgestellt.

2. Im Falle einer Zahlung per Zahlungskarte wird die Lieferzeit für die Bestellung ab dem Zeitpunkt der positiven Autorisierung der Transaktion berechnet.

§5

Reklamationen

1. Die Grundlage für die Annahme der Reklamation ist die Vorlage des Kaufbelegs (Quittung oder Umsatzsteuerrechnung) durch den Kunden.

2. Im Falle der Nichtübereinstimmung der Ware mit dem Vertrag, sollte der Kunde die reklamierte Ware zusammen mit einer Beschreibung der Nichtübereinstimmung an den Shop zurücksenden.

3. Der Shop wird auf die Reklamation des Kunden innerhalb von 14 Arbeitstagen nach Rücksendung der Ware mit einer Beschreibung der Nichtübereinstimmung reagieren. Wenn die Überprüfung der Nichtübereinstimmung ein Gutachten seitens eines Vertreters des Herstellers der Ware erfordert, verlängert sich die Frist für die Antwort des Shops um die Zeit, in der der Shop ein solches Gutachten einholt.

4. Wenn die Erfüllung einer berechtigten Reklamation die Zusendung eines neuen Produkts an den Kunden oder die Beseitigung der Nichtübereinstimmung beinhaltet, gehen die Lieferkosten zu Lasten des Shops.

5. Individuelle Einstellungen des Computers und des Monitors des Kunden, die zu einer fehlerhaften oder verzerrten Darstellung der Informationen über die Waren (z.B. Farben) führen, können nicht als Grundlage für eine Reklamation dienen.

§6

Widerrufsrecht

1. Auf der Grundlage des Gesetzes vom 2. März 2000 über den Schutz bestimmter Verbraucherrechte und die Haftung für Schäden, die durch ein gefährliches Produkt verursacht wurden, hat der Kunde das Recht, den Vertrag zu widerrufen.

2. Das Widerrufsrecht wird wirksam, wenn der Kunde innerhalb von 14 Tagen nach Erhalt der Ware eine Widerrufserklärung an den Shop übermittelt.

3. Der Kunde retourniert die Ware innerhalb von 14 Tagen nach Erklärung des Widerrufs des Vertrags an den Shop. Die retournierte Ware muss sich in einem intakten Zustand befinden, d.h. sie muss vollständig sein und darf keine Gebrauchsspuren aufweisen. Die Versandkosten gehen zu Lasten des Kunden.

4. Innerhalb von 3 Werktagen nach Erhalt prüft der Shop den Zustand des zurückgegebenen Produkts.

5. Innerhalb von 7 Tagen nach Prüfung der Ware erstattet der Shop dem Kunden den gezahlten Betrag, abzüglich der Kosten für die Bearbeitung der Bestellung. Der Kunde ist verpflichtet, die Kontonummer anzugeben, auf die der erstattete Betrag überwiesen werden soll. Im Falle einer Zahlung per Kreditkarte erfolgt die Erstattung auf die Karte.

6. Verstößt der Kunde gegen die in den Absätzen 2 und 3 genannten Bedingungen, so ist die Widerrufserklärung unwirksam, die Ware wird nicht retourniert und der Shop erstattet dem Kunden den gezahlten Betrag nicht.

7. Der Kunde hat kein Widerrufsrecht in den in Artikel 10 Absatz 3 des in Absatz 1 genannten Gesetzes genannten Fällen, d.h. in Bezug auf:

a) die Erbringung von Dienstleistungen, mit deren Erbringung mit Zustimmung des Kunden vor Ablauf der Widerrufsfrist begonnen wurde (gilt für Fälle der Erbringung von Dienstleistungen und nicht des Verkaufs von Waren),

b) Ton- und Bildaufnahmen und solche, die auf Computerdatenträgern aufgezeichnet wurden, nachdem der Kunde die Originalverpackung entfernt hat,

c) Verträge über Dienstleistungen, bei denen der Preis oder die Vergütung ausschließlich von der Entwicklung der Preise auf dem Finanzmarkt abhängt,

d) Leistungen von Eigenschaften, die der Kunde in der von ihm erteilten Bestellung angegeben hat oder die eng mit seiner Person verbunden sind,

e) Leistungen, die nicht zurückgegeben werden können oder die aufgrund ihrer Beschaffenheit verderblich sind,

f) die Lieferung von Zeitungen,

g) Dienstleistungen im Zusammenhang mit Glücksspielen.

§7

Geistiges Eigentum

Es ist verboten, die auf der Website des Shops veröffentlichten Materialien (einschließlich Fotos und Beschreibungen von Waren) ohne die schriftliche Zustimmung des Shops zu verwenden.

§8

Inkrafttreten und Änderungen der Regeln

1. Die Regeln treten am Tag der Veröffentlichung auf der Website des Shops in Kraft.

2. Der Shop behält sich das Recht vor, die Regeln zu ändern, die ab dem Datum ihrer Veröffentlichung auf der Website des Shops in Kraft treten. Für Verträge, die vor der Änderung der Regeln geschlossen wurden, gilt die zum Zeitpunkt der Bestellung durch den Kunden gültige Fassung der Regeln.

 

 

SICHERHEITSRICHTLINIE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Sicherheitsrichtlinie für die Verarbeitung

von personenbezogenen Daten

bei

Senator-Łódź Jarosław Balcerek

90-763 Łódź ul. Legionów 96 [Straße] Steuernummer NIP 7261087736

KAPITEL I

Allgemeine Bestimmungen

§ 1

  • Die Geschäftsleitung von Senator-Łódź Jarosław Balcerek, die sich der Bedeutung der Fragen im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten bewusst ist, nimmt dieses Dokument an und erklärt die Überwachung seiner Einhaltung, um die Achtung des Rechts auf Privatsphäre zu gewährleisten, indem sie die notwendigen und gezielten Maßnahmen anwendet, um die korrekte Verwaltung des Flusses gesetzlich geschützter Informationen, die natürliche Personen betreffen, bei Senator-Łódź Jarosław Balcerek sicherzustellen
  • Die Geschäftsleitung erklärt, den Schutz personenbezogener Daten auf einem Niveau zu gewährleisten, das der Art der verarbeiteten Informationen entspricht und es ermöglicht, diese gegen unrechtmäßige Handlungen zu schützen (Informationssicherheit).
  • Das Ziel der Sicherheitsrichtlinie zum Schutz personenbezogener Daten ist es, die technischen und organisatorischen Schutzmaßnahmen bei Senator-Łódź Jarosław Balcerek an die höchsten Standards des Informationsschutzes anzupassen, die eine korrekte Mitbenutzung innerhalb der Organisation ermöglichen werden.
  • Das Management der Verarbeitung und des Schutzes personenbezogener Daten bei Senator-Łódź Jaroslaw Balcerek ist ein strukturierter und kontinuierlicher Prozess, dessen Bestandteile die Identifizierung und Bewertung von Risiken, die Einrichtung und Verbesserung von Schutzmaßnahmen, die Verbesserung der Qualifikation des Personals und die Einführung eines Verfahrens und von Grundsätzen der Rechenschaftspflicht für Fälle von Verstößen gegen die Richtlinie sind.

§ 2

  • Bei diesem Dokument handelt es sich um eine Reihe von Regeln und praktischen Leitlinien, in denen dargelegt wird, wie personenbezogene Daten ordnungsgemäß verwaltet, geschützt und weitergegeben werden können, insbesondere:
    • die Sicherheitsgrundsätze, die für die Verarbeitung personenbezogener Daten gelten;
    • die organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten vor unrechtmäßiger Verarbeitung;
    • die Grundsätze der Übermittlung personenbezogener Daten zwischen Nutzern und anderen berechtigten Personen;
    • die Bedingungen der Haftung von Personen, die gegen die Richtlinie verstoßen;
    • die Grundsätze der Meldung von Unregelmäßigkeiten bei der Verarbeitung oder dem Schutz personenbezogener Daten an den Verantwortlichen für die Datenverarbeitung;
    • die Verpflichtungen der Nutzer zur Verbesserung ihrer Qualifikation im Bereich des Schutzes personenbezogener Daten;
    • sonstige Informationen gemäß § 4 der Verordnung des Ministers für Inneres und Verwaltung vom 29. April 2004 über die Dokumentation der Verarbeitung personenbezogener Daten und die technischen und organisatorischen Bedingungen, die von den für die Verarbeitung personenbezogener Daten verwendeten Geräten und IT-Systemen erfüllt werden sollten.
  • Die in diesem Dokument dargelegten Grundsätze gelten für den Schutz personenbezogener Daten, die sowohl innerhalb als auch außerhalb von IT-Systemen verarbeitet werden.

§ 3

Die Verpflichtung, die in diesem Dokument beschriebenen Grundsätze einzuhalten, obliegt:

  • allen Personen, die von Senator-Łódź Jarosław Balcerek auch im Rahmen eines zivilrechtlichen Vertrags beschäftigt werden;
  • Praktikanten, Freiwilligen, Auszubildenden und anderen Personen, die in ähnlicher Funktion für Senator-Łódź Jarosław Balcerek arbeiten;
  • Mitgliedern der Organe von Senator-Łódź Jarosław Balcerek
  • anderen Personen, die an der Verarbeitung personenbezogener Daten bei Senator-Łódź Jarosław Balcerek beteiligt sind.

§ 4

  • Definitionen der in diesem Dokument verwendeten Begriffe:
    • Gesetz - bezeichnet das Gesetz zum Schutz personenbezogener Daten vom 29. August 1997;
    • Richtlinie - ist dieses Dokument gemeint;
    • Anleitung - bezeichnet die von dem Verantwortlichen für die Datenverarbeitung herausgegebene „Anleitung zur Verwaltung des IT-Systems";
    • Dateisystem - bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung nach funktionalen Gesichtspunkten geordnet oder geteilt ist;
    • Datenverarbeitung - bezeichnet alle Vorgänge, die mit personenbezogenen Daten durchgeführt werden, wie das Erheben, Erfassen, Speichern, Verarbeiten, Ändern, Weitergeben und Löschen, insbesondere mit Hilfe von IT-Systemen;
    • IT-System - bezeichnet die Gesamtheit der zusammenwirkenden Geräte, Programme, Informationsverarbeitungsverfahren und Softwaretools, die zum Zweck der Datenverarbeitung eingesetzt werden;
    • Verantwortlicher für die Datenverarbeitung - ist Senator-Łódź Jarosław Balcerek 90-763 Łódź, 96 Legionów [Straße], Verantwortlicher für die Informationssicherheit - ist eine Person, die vom Verantwortlichen für die Datenverarbeitung ernannt wird, um die Funktion des Verantwortlichen für die Informationssicherheit gemäß den im Gesetz festgelegten Regeln auszuüben;
    • Nutzer - bezeichnet die Person, die von dem Verantwortlichen für die Datenverarbeitung zur Verarbeitung personenbezogener Daten ermächtigt wurde;
    • Nutzerkennung - bezeichnet eine Folge von Buchstaben, Ziffern oder anderen Zeichen, die die zur Verarbeitung personenbezogener Daten im IT-System berechtigte Person eindeutig identifiziert;
    • Passwort - bezeichnet eine Folge von Buchstaben, Ziffern oder anderen Zeichen, die nur der Person bekannt ist, die berechtigt ist, in dem IT-System zu arbeiten;
    • Rechenschaftspflicht - bezeichnet die Eigenschaft, die sicherstellt, dass die Handlungen des Beteiligten zweifelsfrei nur diesem Beteiligten zugeordnet werden können;
    • Datenintegrität - bezeichnet die Eigenschaft, die sicherstellt, dass personenbezogene Daten nicht auf unbefugte Weise verändert oder zerstört wurden;
    • Löschung - bezeichnet die Vernichtung personenbezogener Daten oder ihre Veränderung in einer Weise, dass die Identität der betroffenen Person nicht festgestellt werden kann;
    • Vertraulichkeit der Daten - ist zu verstehen als die Eigenschaft, die sicherstellt, dass die Daten nicht an unbefugte Stellen weitergegeben werden;
    • Authentifizierung - bezeichnet eine Maßnahme, die darauf abzielt, die erklärte Identität einer Person zu überprüfen.
    • Begriffe, die in dieser Richtlinie nicht definiert sind, haben die Bedeutung, die ihnen durch das Gesetz und die auf seiner Grundlage erlassenen Durchführungsbestimmungen gegeben wird.

§ 5

Senator-Łódź Jarosław Balcerek 90-763 Łódź ul. Legionów 96 [Straße] verarbeitet und erhebt personenbezogene Daten nur in Fällen und für Zwecke, die gesetzlich zulässig sind, insbesondere wenn:

  • die betroffene Person ihre Einwilligung gibt, es sei denn, es geht um die Löschung der sie betreffenden Daten;
  • es notwendig ist, um die rechtlich begründeten Zwecke des Verantwortlichen für die Datenverarbeitung zu erreichen.

§ 6

Die Verarbeitung personenbezogener Daten in Senator-Łódź Jarosław Balcerek 90-763 Łódź ul. Legionów 96 [Straße] ist nur unter der Bedingung zulässig, dass die Bestimmungen des Gesetzes, die auf der Grundlage des Gesetzes erlassenen Durchführungsbestimmungen und die vom Verantwortlichen für die Datenverarbeitung erlassenen Vorschriften - insbesondere die Richtlinie und die Anweisungen - eingehalten werden.

 

KAPITEL II

System zum Schutz von personenbezogenen Daten

§ 7

  • Der Verantwortliche für die Datenverarbeitung ist verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die ein hohes Schutzniveau für die verarbeiteten personenbezogenen Daten gewährleisten - insbesondere schützt er die Daten vor dem Zugriff Unbefugter, vor der Kenntnisnahme durch Unbefugte, vor der Verarbeitung unter Verstoß gegen das Gesetz und vor der Veränderung, dem Verlust, der Beschädigung oder der Zerstörung der Daten.

 

§ 8

  • Der Verantwortliche für die Datenverarbeitung kann einen Verantwortlichen für die Informationssicherheit ernennen.
  • Zu den Aufgaben des Verantwortlichen für die Informationssicherheit gehören:
    • die Sicherstellung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten

die Überprüfung der Vereinbarkeit der Verarbeitung personenbezogener Daten mit den Datenschutzgesetzen und die Erstellung eines diesbezüglichen Berichts an den Verantwortlichen für die Datenverarbeitung;

Beaufsichtigung der Aktualisierung der Richtlinie und der Anleitung sowie der Einhaltung der darin dargelegten Grundsätze;

b) Sicherstellung, dass die Nutzer mit den Vorschriften zum Schutz personenbezogener Daten vertraut sind;

Führung des Registers der vom Verantwortlichen für die Datenverarbeitung verarbeiteten Dateisystemen, mit Ausnahme der in Artikel 43 Absatz 1 des Gesetzes genannten Dateien, die die Bezeichnung des Dateisystems und die in Artikel 41 Absatz 1 Punkt 2-4a und 7 des Gesetzes genannten Informationen enthält.

  • Der Verantwortliche für die Datenverarbeitung kann den Verantwortlichen für die Informationssicherheit mit der Wahrnehmung anderer Aufgaben betrauen, wenn dies die ordnungsgemäße Erfüllung der in Abs. 2 genannten Aufgaben nicht beeinträchtigt.
  • Das Muster für die Ernennung des Verantwortlichen für die Informationssicherheit zusammen mit dem Umfang der zusätzlichen Aufgaben gemäß Abs. 3, ist der Richtlinie als Anlage beigefügt.
  • Der Verantwortliche für die Datenverarbeitung kann zusätzliche Stellen im Zusammenhang mit dem Schutz personenbezogener Daten einrichten, insbesondere den Verantwortlichen für IT-Systeme. Bei der Ernennung von Personen auf die im vorstehenden Satz genannten Stellen legt der Verantwortliche für die Datenverarbeitung den Umfang ihrer Aufgaben und Befugnisse in Bezug auf die Nutzer.

§ 9

  • Der Verantwortliche für die Datenverarbeitung kann die Verarbeitung personenbezogener Daten nur durch einen schriftlich abgeschlossenen Vertrag, in dem Umfang und Zweck der Datenverarbeitung festgelegt sind, einem anderen Rechtsträger anvertrauen.
  • Der im vorstehenden Absatz genannte Vertrag muss die Zusicherung der mit der Verarbeitung personenbezogener Daten betrauten Stelle enthalten, dass sie vor Beginn der Verarbeitung Maßnahmen zur Sicherung des in den Artikeln 36 - 39 des Gesetzes genannten Dateisystems ergreift und die in Artikel 39a des Gesetzes genannten Anforderungen erfüllt.

§ 10

  • Nur Personen, die über eine schriftliche Ermächtigung des Verantwortlichen für die Datenverarbeitung (Nutzer) verfügen, in der der Umfang und der Zweck der Datenverarbeitung festgelegt sind, dürfen Daten verarbeiten. Die Ermächtigung wird für einen bestimmten oder unbestimmten Zeitraum erteilt. Das Muster der Ermächtigung ist der Richtlinie beigefügt.
  • Der Verantwortliche für die Datenverarbeitung führt ein Register der zur Verarbeitung personenbezogener Daten ermächtigten Personen, in dem Vor- und Nachname der ermächtigten Person, die Nutzerkennung, das Datum der Erteilung und Beendigung sowie der Umfang der Ermächtigung zur Verarbeitung personenbezogener Daten angegeben werden. Ein Muster des Registers ist eine Anlage zu dieser Richtlinie.
  • Die Nutzer sind verpflichtet, die von ihnen verarbeiteten personenbezogenen Daten und die Mittel zu ihrer Sicherung vertraulich zu behandeln. Um diese Verpflichtung zu gewährleisten, muss der potenzielle Nutzer zusammen mit dem Erhalt der Zustimmung zur Verarbeitung der Daten eine Vertraulichkeitserklärung unterzeichnen.
  • Der Verantwortliche für die Datenverarbeitung erteilt keine Ermächtigung für die Datenverarbeitung, wenn der potenzielle Nutzer sich geweigert hat, die Vertraulichkeitserklärung zu unterzeichnen.
  • Der Verantwortliche für die Datenverarbeitung kann die erteilte Ermächtigung jederzeit widerrufen, was in den in Abs. 2 genannten Aufzeichnungen festgehalten wird.
  • Der Verantwortliche für die Datenverarbeitung stellt sicher, dass Unbefugte keinen Zugang zu personenbezogenen Daten erhalten, die innerhalb der Organisation verarbeitet werden, und verhindert insbesondere die Verarbeitung personenbezogener Daten durch Stellen, die nicht befugt sind, deren Ermächtigung abgelaufen ist oder entzogen wurde.
  • Zur Erfüllung der Verpflichtung gemäß Abs. 6:
    • stellt der Verantwortliche für die Datenverarbeitung Kennungen und Passwörter, die die Nutzung des IT-Systems ermöglichen, nur Personen zur Verfügung, die eine schriftliche Ermächtigung zur Verarbeitung personenbezogener Daten haben;
    • gewährt der Verantwortliche für die Datenverarbeitung den Zugang zu Schlüsseln zu Gebäuden, Räumen, Schränken, Tresoren usw., in denen personenbezogene Datenträger aufbewahrt werden, nur Personen, die eine schriftliche Ermächtigung zur Verarbeitung personenbezogener Daten haben;
    • löscht der Verantwortliche für die Datenverarbeitung unverzüglich nach Ablauf oder Entzug der Ermächtigung des Nutzers zur Verarbeitung personenbezogener Daten die Kennung des Nutzers aus dem IT-System und widerruft die Schlüssel des Nutzers zu den unter Buchstabe b genannten Einrichtungen;
    • ergreift der Verantwortliche für die Datenverarbeitung andere notwendige und zweckmäßige Maßnahmen, insbesondere kann er eine Videoüberwachung einsetzen, ein Verzeichnis der ausgegebenen Schlüssel einführen, die personenbezogenen Datenträger in einem Stahlschrank oder in verschlossenen Schränken aufbewahren.

 

 

 

§ 11

  • Der Nutzer darf personenbezogene Daten nur in dem Umfang erheben, der im Hinblick auf die ausgeübte Tätigkeit, die Art und den Wert der Transaktion, das berechtigte Interesse oder den Zweck der Datenverarbeitung angemessen ist.
  • Bei der Erhebung von Daten ist der Nutzer verpflichtet, die in Artikel 24 und 25 des Gesetzes genannten Informationspflichten zu erfüllen, insbesondere die Person, von der die Daten erhoben werden, über die Zwecke dieser Tätigkeit zu informieren.
  • Personenbezogene Daten dürfen nur aus zuverlässigen Quellen erhoben werden.
  • Der Nutzer muss, sobald er von der Notwendigkeit der Aktualisierung seiner personenbezogenen Daten Kenntnis erlangt, eine solche Aktualisierung vornehmen oder dem Verantwortlichen für die Datenverarbeitung die Informationen über die Notwendigkeit der Aktualisierung mitteilen, wenn er nicht selbst dazu berechtigt ist.

§ 12

  • Der Nutzer gibt die personenbezogenen Daten, sobald sie erhoben wurden, in das entsprechende Dateisystem ein und vermerkt in den Aufzeichnungen oder dem System gemäß Abs. 3 genannten Aufzeichnungen oder Systeme den Zweck ihrer Verarbeitung. Werden die personenbezogenen Daten nicht in das Dateisystem eingegeben, wird der Zweck ihrer Erhebung neben den Daten vermerkt.
  • Der Nutzer darf die Daten nicht zu anderen Zwecken verarbeiten als denen, für die sie in der unter Abs.1. beschriebenen Weise erhoben und gespeichert wurden.
  • Der Verantwortliche für die Datenverarbeitung gewährleistet die Kontrolle darüber, welche personenbezogenen Daten, wann und von wem in das Dateisystem eingegeben wurden und an wen sie übermittelt werden, durch die folgenden Maßnahmen:
    • im Falle der Verarbeitung personenbezogener Daten außerhalb des IT-Systems – es wird ein schriftliches/elektronisches Register geführt, in das jeder Nutzer unmittelbar nach der Eingabe der personenbezogenen Daten in das System oder nach deren Übermittlung entsprechende Informationen zusammen mit seinem Vor- und Nachnamen, dem Datum dieser Vorgänge und dem Umfang der eingegebenen oder übermittelten personenbezogenen Daten einträgt; im Falle der Übermittlung personenbezogener Daten gibt der Nutzer auch an, an wen die Daten übermittelt wurden;
    • im Falle der Verarbeitung personenbezogener Daten in einem IT-System - das System muss sicherstellen, dass Folgendes aufgezeichnet wird:
      • das Datum der ersten Dateneingabe in das System - automatisch, nachdem der Nutzer den Dateneingabevorgang genehmigt hat;
      • die Kennung des Nutzers, der die personenbezogenen Daten in das System eingibt, es sei denn, nur eine Person hat Zugriff auf das IT-System und die darin verarbeiteten Daten - automatisch, nachdem der Nutzer die Dateneingabe genehmigt hat;
      • die Quelle der Daten, falls die Daten nicht bei der betroffenen Person erhoben wurden; wurden die personenbezogenen Daten jedoch direkt bei der betroffenen Person erhoben, muss das System die Möglichkeit bieten, diesen Umstand zu vermerken, es sei denn, alle in dem betreffenden Systemverarbeiteten personenbezogenen Daten wurden direkt erhoben;
      • Informationen über die Empfänger der Daten (Artikel 7, Punkt 6 des Gesetzes) und andere Personen, an die die personenbezogenen Daten weitergegeben wurden, sowie das Datum und den Umfang dieser Weitergabe, es sei denn, das IT-System wird für die Verarbeitung der in öffentlichen Systemen enthaltenen Daten verwendet;
      • Einspruch gemäß Artikel 32 Absatz 1 Punkt 8.
  • Die Bestimmungen von Absatz 3b müssen nicht angewendet werden, wenn das IT-System ausschließlich für die Verarbeitung von Daten mittels Textverarbeitung verwendet wird, um die Daten in schriftlicher Form zur Verfügung zu stellen.

§ 13

Personenbezogene Daten werden nicht länger aufbewahrt, als es zur Erreichung der gemäß § 11 definierten und aufgezeichneten Zwecke der Verarbeitung erforderlich ist. Wenn die Zwecke der Verarbeitung erreicht sind, löscht der Nutzer unverzüglich aus allen Dateisystemen und anderen Orten, an denen die personenbezogenen Daten gespeichert sind.

§ 14

Die Verfahren zur Durchführung und Aufzeichnung der Reparatur, Inspektion und Wartung von IT-Systemen und Datenverarbeitungsmedien sind in der Anleitung dargelegt.

§ 15

  • Die Nutzer sind im Falle der Feststellung eines Verstoßes gegen das System zum Schutz personenbezogener Daten, insbesondere gegen die Richtlinie, verpflichtet, den Verantwortlichen für die Datenverarbeitung unverzüglich zu benachrichtigen und die erforderlichen Maßnahmen zu ergreifen, um die Auswirkungen des Verstoßes zu minimieren und den Zustand der Konformität wiederherzustellen, insbesondere:
    • die Ursache und den Umfang des Verstoßes sowie die für den Verstoß verantwortliche Person zu ermitteln;
    • den Ort zu sichern, an dem der Verstoß stattgefunden hat;
    • die Einstellung der Verarbeitung personenbezogener Daten, auch im IT-System, in Erwägung zu ziehen, bis die relevanten Umstände des Verstoßes geklärt sind;
    • Handlungen zu unterlassen, die die Analyse des Vorfalls behindern könnten.
  • Unter einem Verstoß gegen das Datenschutzsystem ist insbesondere zu verstehen:
    • der Ausfall eines Elements des IT-Systems;
    • die Warnung des Antiviren-Systems vor der Infektion eines beliebigen Elements des IT-Systems;
    • das Auftreten einer Bedrohung für die Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, z.B. Feuer, Überschwemmung, Einsturz;
    • die Anwesenheit von unbefugten Personen in den Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, deren Verhalten darauf hindeutet, dass sie versuchen, sich unbefugt Zugang zu personenbezogenen Daten zu verschaffen;
    • der Verlust von Sicherungskopien;
    • unbefugtes Einloggen in das IT-System;
    •  Zerstörung oder Beschädigung einer Komponente des IT-Systems.
  • Jede Benachrichtigung über eine Verletzung des Datenschutzsystems wird von dem Verantwortlichen für die Datenverarbeitung in das Register für Datenschutzverstöße eingetragen, das der Richtlinie beigefügt ist. Die Benachrichtigung enthält eine kurze Beschreibung, die Ursache und das Ausmaß des Verstoßes und wie in Zukunft mit ähnlichen Situationen umgegangen werden soll.

§ 16

  • Der Verantwortliche für die Datenverarbeitung begibt sich an den Ort des Verstoßes, um die Umstände des Verstoßes zu prüfen und über das weitere Vorgehen zu entscheiden, wobei er insbesondere prüft, ob es angemessen ist, Spezialisten für IT-Systeme hinzuzuziehen.
  • Wurde die Verarbeitung personenbezogener Daten eingestellt, so entscheidet der Verantwortliche für die Datenverarbeitung über ihre Wiederaufnahme, es sei denn, besondere Umstände erfordern die sofortige Wiederaufnahme der Verarbeitung.
  • Der Nutzer, der den Verstoß gemeldet hat, ist verpflichtet, dem Verantwortlichen für die Datenverarbeitung die relevanten Umstände des Verstoßes zu melden. Der Verantwortliche für die Datenverarbeitung kann auch Erklärungen von anderen Personen verlangen, die möglicherweise Kenntnis von dem Vorfall haben.

§ 17

  • Der Verantwortliche für die Datenverarbeitung entwickelt und implementiert Maßnahmen, um die Sicherheit des Systems zum Schutz personenbezogener Daten wiederherzustellen und das System gegen das Auftreten ähnlicher Bedingungen in der Zukunft zu schützen, insbesondere indem er den Nutzern die erforderlichen Anweisungen erteilt.
  • Der Verantwortliche für die Datenverarbeitung kann in regelmäßigen Abständen Berichte über die aufgetretenen Verstöße und die zu ihrer Behebung zu treffenden Maßnahmen erstellen. Alle Nutzer sind verpflichtet, sich mit diesen Berichten vertraut zu machen.

§ 18

  • Den Nutzern ist es untersagt:
    • personenbezogene Daten in einem Umfang und zu einem Zweck zu verarbeiten, der nicht mit der Ermächtigung oder dem Gesetz übereinstimmt;
    • personenbezogene Daten Personen zur Verfügung zu stellen, die nicht zu deren Verarbeitung befugt sind;
    • die Geräte, auf denen personenbezogene Daten gespeichert sind, außerhalb des Bereichs der Verarbeitung personenbezogener Daten zu bringen;
    • bei der Verarbeitung personenbezogener Daten gegen die Rechtsordnung, die Richtlinie und das Handbuch zu verstoßen.
  • Die Nichteinhaltung von Verboten und die Nichteinhaltung von Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten innerhalb der Organisation wird mit disziplinarischen Sanktionen geahndet, wie in der Richtlinie dargelegt.

§ 19

  • Personenbezogene Daten werden in der Organisation in Gebäuden, Räumlichkeiten oder Teilen von Räumlichkeiten verarbeitet, die den Bereich für die Verarbeitung personenbezogener Daten bilden und die in Anlage Nr. 5 der Richtlinie aufgeführt sind.
  • Die Nutzer dürfen keine Daten außerhalb des in Abs. 1 genannten Datenverarbeitungsbereichs verarbeiten, insbesondere dürfen sie keine Datenträger aus diesem Bereich heraustragen, außer in den in der Richtlinie und den Anweisungen zur Reparatur und Wartung von Datenträgern genannten Fällen.

§ 20

  • Die Liste der Dateien mit personenbezogenen Daten und die Angabe der Software und Hardware, die für ihre Verarbeitung verwendet werden, bilden die Anlage Nr. 6 zu dieser Richtlinie.
  • Jede Änderung der Datenbänke mit personenbezogenen Daten und der für ihre Verarbeitung verwendeten Software und Hardware erfordert eine unverzügliche Änderung der in Abs.1 genannten Liste durch den Verantwortlichen für die Datenverarbeitung.
  • Die Nutzer dürfen das IT-System nicht unter Verletzung der sich aus der unter Abs.1. genannten Liste ergebenden Verknüpfungen nutzen.

 

§ 21

Die Dateisysteme der Organisation verarbeiten personenbezogene Daten in dem Umfang, der durch die Angabe der Informationsfelder und der Verbindungen zwischen ihnen in Anlage Nr. 7 der Richtlinie festgelegt ist.

§ 22

  • Die Art und Weise, in der Daten zwischen den verschiedenen Systemen der Organisation fließen, ist in Anlage Nr. 8 der Richtlinie definiert.
  • In Verbindung mit der Art und Weise, wie die IT-Systeme funktionieren und miteinander verbunden sind, werden Sicherheitsmaßnahmen auf der in § 7 Abs.1 genannten Ebene angewendet.

§ 22

Um die Vertraulichkeit, Integrität und Verantwortlichkeit der verarbeiteten Daten zu gewährleisten, werden zusätzlich zu den anderen in der Richtlinie genannten Maßnahmen die folgenden organisatorischen und technischen Sicherheitsmaßnahmen angewandt:

  • Büro, das abschließbar ist
  • Ein Computer, der durch ein Passwort geschützt
  • Der Nutzer hat ein Login und ein Passwort für das System
  • Änderung des Passworts alle 30 Tage
  • Ausloggen aus dem System bei Arbeitsende

 

KAPITEL III

Sanktionen

§ 23

Die folgenden Sanktionen werden gegen Nutzer verhängt, die gegen Verbote verstoßen oder ihren Verpflichtungen bei der Verarbeitung personenbezogener Daten nicht nachkommen:

 

  • Auflösung des Arbeitsvertrags (Abmahnung, Verweis)
  • Abzug vom Gehalt

 

 

KAPITEL IV

Verbesserung der Qualifikationen

§ 24

  • Der Verantwortliche für die Datenverarbeitung gewährt den Nutzern Zugang zu Datenschutzschulungen.
  • Der Nutzer ist verpflichtet, mindestens alle 12 Monate eine Schulung zur Verbesserung seiner Datenschutzkenntnisse zu absolvieren.
  • Im Falle einer wesentlichen Änderung des Datenschutzrechts verschafft der Verantwortliche für die Datenverarbeitung dem Nutzer unverzüglich Zugang zu den aktuellen Datenschutzvorschriften und der entsprechenden Literatur. Soweit möglich, organisiert er Schulungen für die Nutzer, um deren Kenntnisse über den Datenschutz zu aktualisieren.

§ 25

Bevor der für Verantwortliche für die Datenverarbeitung einen potenziellen Nutzer zur Verarbeitung personenbezogener Daten ermächtigt, stellt er sicher, dass der potenzielle Nutzer Zugang zu Schulungsmaterial über den Schutz personenbezogener Daten hat, und bietet nach Möglichkeit Schulungen in diesem Bereich an. Um die Kenntnisse des potenziellen Nutzers zu prüfen, kann der Verantwortliche für die Datenverarbeitung einen Kompetenztest durchführen.

 

KAPITEL V

Schlussbestimmungen

§ 26

  • Die Richtlinie tritt mit dem Datum ihrer Veröffentlichung in Kraft und ihr Inhalt ist beim Verantwortlichen für die Datenverarbeitung allgemein einsehbar.
  • Der Nutzer ist verpflichtet, eine Erklärung abzugeben, dass er sich mit den Bestimmungen des Gesetzes, den auf seiner Grundlage erlassenen Durchführungsbestimmungen, der verbindlichen Richtlinie und den Anweisungen vertraut gemacht hat. Eine Vorlage für diese Erklärung ist der Richtlinie beigefügt.
  • Alle Dokumente, einschließlich der Anlagen zur Richtlinie, die sich auf den Schutz personenbezogener Daten in der Organisation beziehen, werden von dem Verantwortlichen für die Datenverarbeitung aufbewahrt. Erklärungen, Vollmachten und andere Dokumente, die sich direkt auf einen bestimmten Nutzer beziehen, werden ebenfalls in der Personalakte des Nutzers aufbewahrt.