REGLEMENT FÜR ÜBERLASSUNG DER VERARBEITUNG PERSONENBEZOGENER DATEN DURCH SUBUNTERNEHMER GELTEND IN DER FIRMA „WIELKOPOLSKI INDYK/PUTE”
I ALLGEMEINE INFORMATIONEN
§ 1.1
In Anbetracht des Rechtes auf Schutz der Privatsphäre von Kunden und Kontrahenten der Firma „Wielkopolski Indyk“ in Erfüllung der Voraussetzungen geltender Rechtsvorschriften, darunter Vorschriften der Verordnung des Europäischen Parlamentes und des Rates (EU) 2016/679 vom 27. April 2016 um Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und Aufhebung der Richtlinie 95/46/EG (nachstehend DSGVO), veröffentlichen wir das vorliegende Reglement für Verarbeitung personenbezogener Daten durch Subunternehmer, nachstehend „Reglement“ genannt, das die in unserer Firma geltenden Prinzipien der Überlassung der Verarbeitung von Daten an Rechtspersonen, denen wir, im Zusammenhang mit der unternommenen Kooperation oder der durch sie geleisteten Diensten, zur Verarbeitung die uns freigegebene personenbezogene Daten übermitteln.
§1.2
- Reglement verbindet alle mit der Firma „Wielkopolski Indyk“ kooperierenden oder für sie Dienste leistenden Rechtspersonen, denen in Verbindung mit der Kooperation oder Dienstleistungen die Firma „Wielkopolski Indyk“ personenbezogene Daten zur Verarbeitung übermittelt/überlässt, die von ihr administriert werden. Diese Rechtspersonen werden nachstehend „Subunternehmer“ oder „Prozessoren“ genannt.
- Reglement hat Anwendung zu allen personenbezogenen Daten, mit deren Verarbeitung Firma „Wielkopolski Indyk“ seine Subunternehmer beauftragt.
- Wenn Subunternehmer mit der Firma „Wielkopolski Indyk“ einen getrennten Vertrag bezüglich Überlassung personenbezogener Daten zur Verarbeitung geschlossen hat, haben Bestimmungen eines solchen Vertrages Vorrang vor den Bestimmungen dieses Reglements. Im vertraglich nicht geregelten Umfang haben Bestimmungen des Reglements Anwendung.
- Reglement wurde am 24. Mai 2018 eingesetzt und gilt unbefristet. Firma „Wielkopolski Indyk“ behält sich das Recht auf seine Änderung vor. Subunternehmer werden mindestens 14 Tage im Voraus über den Umfang der Änderungen benachrichtigt.
§1.3
Für Bedürfnisse dieses Reglements werden folgende nachstehend angeführte Begriffe festgestellt:
1 . Der für die Verarbeitung Verantwortliche/ [Polnisch: Administrator] „Wielkopolski Indyk“ sp. z o.o./GmbH mit Sitz in Bolesławiec 12 A, 62-050 Mosina, eingetragen ins polnische Handelsregister [Krajowy Rejestr Sądowy – Nationales Gerichtsregister] unter der Nummer 0000646404.
NIP 7773271756, REGON 365834337;
2. DSGVO – Verordnung des Europäischen Parlamentes und des Rates (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (GBl. EU von 2016 Nr. 119, S.1);
3. Subunternehmer/ Prozessor – Rechtsperson, die personenbezogene Daten auf Anweisung des für die Verarbeitung Verantwortlichen und auf die durch den für die Verarbeitung Verantwortlichen festgestellte Art verarbeitet;
4. Kooperation – Zusammenarbeit/Mitarbeit/Kooperation zwischen dem für die Verarbeitung Verantwortlichen und dem Subunternehmer, wegen welcher der für die Verarbeitung Verantwortliche dem Subunternehmer Verarbeitung personenbezogener Daten überlässt;
5. Vertrag – Vertrag auf Dienstleistungen oder ein sonstiger zivil-rechtlicher Vertrag, der den für die Verarbeitung Verantwortlichen mit dem Subunternehmer verbindet, wegen dessen der für die Verarbeitung Verantwortliche den Subunternehmer mit der Verarbeitung personenbezogener Daten beauftragt;
II UMFANG, ZWECK UND CHARAKTER DER VERARBEITUNG PERSONENBEZOGENER DATEN
§2.1.
Jeder Subunternehmer (Prozessor), dem im Zusammenhang mit der Kooperation oder dem geschlossenen Vertrag der für die Verarbeitung Verantwortliche Verarbeitung personenbezogener Daten überlässt, ist verpflichtet, die ihm übermittelten personenbezogenen Daten nach den in diesem Reglement festgesetzten Prinzipien und nach geltenden Gesetzesvorschriften zu verarbeiten.
§2.2
- Überlassung der Verarbeitung personenbezogener Daten an den Prozessor kann insbesondere Daten folgender Personenkategorien betreffen:
a) Arbeitnehmer und Mitarbeiter des für die Verarbeitung Verantwortlichen;
b) Personen aus der Zusammensetzung der Organe des für die Verarbeitung Verantwortlichen;
c) Kunden und Kontrahenten des für die Verarbeitung Verantwortlichen;
d) Arbeitnehmer, Mitarbeiter, Subunternehmer oder Kontrahenten der Personen, die unter c) genannt sind. - Umfang der dem Prozessor zur Verarbeitung übermittelten personenbezogener Daten kann miterfassen:
a) Vorname und Nachname;
b) Wohnortadresse;
c) E-Mail-Adresse;
d) Telefonnummer;
e) Bankkontonummer;
f) Amtliches Kennzeichen des Autos oder eines anderen Fahrzeugs (wenn die Leistung ein Fahrzeug betrifft)
g) Identifikationsangaben? PESEL, NIP, Serie und Nummer des Identitätsnachweises;
h) Angaben zur ausgeübter Gewerbetätigkeit
§2.3
- Überlassung an den Prozessor Verarbeitung personenbezogener Daten erfolgt in dem Umfang, in welchem das für Umsetzung der Kooperationszwecke oder angemessener Vertragsabwicklung erforderlich ist.
- Personalangaben, bestimmt in § 2.2. werden verarbeitet:
– ausschließlich zu den aus dem Gegenstand der Kooperation oder Vertragsgegenstand resultierenden Zwecken, darunter auch zum Zweck Ausführung einer einmaliger Dienstleistung, die akut in einer anderen als schriftlicher Form beauftragt wurde,
und
– im Umfang, in welchem das für Umsetzung der Kooperations- oder Vertragszwecke erforderlich ist. - Diese Angaben können nicht zu einem anderen Zweck oder in einem breiteren Umfang verarbeitet werden, als das im Absatz 2 dieses Paragraphs bestimmt ist.
- Verarbeitung durch den Prozessor den überlassenen personenbezogenen Daten zu einem breiteren Umfang oder für Umsetzung sonstiger Zwecke als diese in Absätzen 1 und 2 dieses Paragraphs bezeichnet, bei keiner vorhandenen einschlägigen Rechtsgrundlage, wird als Verletzung der DSGVO-Vorschriften und des Reglements gelten, was ein Grund für Beendigung der Kooperation oder Bestellung weiterer Aufträge durch den für die Verarbeitung Verantwortlichen und gesetzlich vorausgesehene Konsequenzen ziehen
§2.4
- Personalangaben können dem Prozessor in schriftlicher oder elektronischer Form (z.B. in Papierform, SMS-Nachricht, via Telefon, via elektronische Post, traditionelle Post) persönlich oder an die durch den Prozessor angegebene Telefonnummer, E-Mail-Adresse, Korrespondenzadresse überlassen werden.
- Verarbeitung personenbezogener Daten durch den Prozessor kann in Papierform oder bei Nutzung IT-Systeme erfolgen, je nachdem, zu welchem Zweck die Daten verarbeitet werden.
III ÜBERLASSUNGSZEITDAUER
§3.1
- Überlassung der Verarbeitung personenbezogener Daten dem Prozessor, mit Vorbehalt der Bestimmungen des Absatzes 2 dieses Paragraphs findet in der Dauerzeit der Kooperation oder des Vertrags statt.
- Nach Beendigung der Kooperation oder nach der Vertragsauflösung oder nach dem Vertragsablauf ist der Prozessor berechtigt, die ihm überlassenen personenbezogenen Daten nur in dem Umfang und nur über die erforderliche Zeit, die aus den gesetzlich vorgeschriebenen Vorschriften herausgeht (insbesondere Steuergesetz), und auch über die Zeit, die der Verjährungsfrist der Ansprüche entspricht, die aus der Kooperation oder aus dem Vertrag resultieren.
§3.2
Nach Ablauf der Zeit, die in § 3.1 genannt ist, Prozessor – abhängig von der Entscheidung des für die Verarbeitung Verantwortlichen – löscht oder retourniert die ihm übermittelten personenbezogenen Daten und vernichtet alle existierende Kopien davon innerhalb 7 Werktagen seit der Zustellung der Entscheidung des für die Verarbeitung Verantwortlichen, es sei denn Aufbewahren personenbezogener Daten vom EU-Recht oder vom polnischen Recht vorgeschrieben ist.
IV RECHTE UND PFLICHTEN DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN
§4.1
- Der für die Verarbeitung Verantwortliche [Polnisch: Administrator], Auditor oder eine andere durch den für die Verarbeitung Verantwortlichen bevollmächtigte Person hat Recht auf Kontrolle der Einhaltung durch den Prozessor von Datenschutz-Prinzipien.
- Der für die Verarbeitung Verantwortliche, Auditor oder eine andere durch den für die Verarbeitung Verantwortlichen bevollmächtigte Person ist berechtigt, Einhaltung durch den Prozessor von Grundschutz-Prinzipien zu kontrollieren, insbesondere durch Verlangen der Erteilung von Informationen bezüglich Verarbeitung personenbezogener Daten durch den Prozessor oder Durchführung der Kontrolle an Stellen, wo die übermittelten personenbezogenen Daten verarbeitet werden.
§4.2
- Der für die Verarbeitung Verantwortliche ist verpflichtet zur Mitwirkung mit dem Subunternehmer in Ausführung der Pflichten, die aus dem Reglement hervorgehen und Aufklärungen bei Zweifeln zur Rechtmäßigkeit der Anweisungen des für die Verarbeitung Verantwortlichen zu erteilen.
- Die in diesem Paragraph bestimmten Berechtigungen stehen dem für die Verarbeitung Verantwortlichen entsprechend gegenüber den Rechtspersonen zu, die in Nummer VI genannt sind – im Falle der durch den für die Verarbeitung Verantwortlichen ausgesprochenen Zustimmung zu Übermittlung durch den Prozessor der Verarbeitung von den ihm überlassenen Daten an andere verarbeitende Rechtspersonen (Subverarbeiten).
V PFLICHTEN DES PROZESSORS
§5.1
- Prozessor verarbeitet Daten ausschließlich gegen belegte Anweisung des für die Verarbeitung Verantwortlichen wobei als solche belegte Anweisung gilt auch die elektronisch übermittelte Anweisung an die durch den Prozessor angegebene E-Mail-Adresse oder via SMS-Nachricht an die durch den Prozessor angegebene Telefonnummer.
- Prozessor ohne ausdrückliche Zustimmung des für die Verarbeitung Verantwortlichen darf personenbezogene Daten ins Dritte Land oder in eine internationale Organisation verarbeiten, d.h. außer EWR (Europäischem Wirtschaftsraum), es sei denn, solche Pflicht von auf ihn durch EU-Recht oder inländische Vorschriften auferlegt.
- Im Falle einer Pflicht oder Absicht der Übermittlung personenbezogener Daten außer dem EWR, ist Prozessor verpflichtet, wenn das nicht rechtswidrig ist, dem für die Verarbeitung Verantwortlichen das mitzuteilen, damit der für die Verarbeitung Verantwortliche Entscheidung treffen und für Rechtmäßigkeit der Verarbeitung oder zur Beendigung der Überlassung von Verarbeitung Handlungen vornehmen kann.
§5.2.
- Prozessor ist verpflichtet zu sichern, dass zur Verarbeitung der ihm übermittelten personenbezogenen Daten nur diejenige Personen zugelassen sind, die Befugnis zur Verarbeitung personenbezogener Daten haben, die in Art. 29 DSGVO genannt ist und die im Bereich Datenschutzvorschriften Schulung absolviert haben.
- Prozessor ist verpflichtet auch das zu sichern, dass die zur Verarbeitung der ihm überlassenen Daten Befugten sich zur Geheimhaltung verpflichten oder dass sie einer entsprechenden Pflicht der Geheimhaltung unterliegen.
- Prozessor hat Pflicht, Evidenz der zur Verarbeitung der ihm übermittelten personenbezogenen Daten befugten Personen zu führen und diese Evidenz auf jede Aufforderung des für die Verarbeitung Verantwortlichen freizugeben.
§5.3.
- Prozessor ist verpflichtet, entsprechende technische und organisatorische Maßnahmen einzusetzen und zu behalten während der gesamten Zeit der Verarbeitung der Daten, die für angemessene Sicherung der ihm übermittelten personenbezogenen Daten notwendig sind, insbesondere für Sicherung dieser Daten gegen Zugang Unbefugter (z.B. durch Sicherungen des Handys oder des Computers mit dem für Dritte unzugänglichen Passwort
- Prozessor ist verpflichtet, die ihm übermittelten personenbezogenen Daten und Maßnahmen ihrer Sicherung geheim zu halten.
§5.4
- Pflicht des Prozessors ist Leistung der Hilfe dem für die Verarbeitung Verantwortlichen in Erfüllung der Pflicht, auf das Verlangen der Person, die die Daten betreffen, im Umfang ihrer im Kapitel III von DSGVO bestimmten Rechte zu antworten, das heißt insbesondere im Umfang der Umsetzung des Rechtes dieser Person auf:
– Zugang zum Inhalt ihrer Daten;
– Berichtigung ihrer Daten;
– Löschung ihrer Daten;
– Einschränkung der Verarbeitung ihrer Daten;
– Übertragung ihrer Daten zu einem anderen Rechtsträger;
– Rückziehung der Einwilligung zur Verarbeitung ihrer Daten;
– Einreichung eines Widerspruchs gegen Verarbeitung ihrer Daten. - Hilfe, die im Absatz 1 des vorliegenden Paragraphs genannt ist, wird durch entsprechende technische und organisatorische Maßnahmen erteilt.
- In jedem Fall Prozessor hat Pflicht, Hilfe zu leisten nicht später als innerhalb 7 Tage Frist seit der Kenntnisnahme der Aufforderung von dem für die Verarbeitung Verantwortlichen.
- Prozessor ist verpflichtet, den für die Verarbeitung Verantwortlichen über die Tatsache oder die Absicht von Nutzung automatisierter Datenverarbeitung, darunter Profilieren, im Umfang und zum Zweck, der für Erfüllung der Informationspflicht des für die Verarbeitung Verantwortlichen notwendig ist.
§5. 5
Prozessor hat ferner die Pflicht, dem für die Verarbeitung Verantwortlichen bei Erfüllung der in Art. 32-36 DSGVO bestimmten Pflichten Hilfe zu leisten, insbesondere:
1 . dem für die Verarbeitung Verantwortlichen jeglichen Verstoß gegen personenbezogene Daten innerhalb nicht später als 24 Stunden seit der Feststellung des Verstoßes zu melden, darunter Benachrichtigung mindestens von:
a) Charakter, Kategorie des Eingreifens und angenäherte Anzahl der Personen, die die Daten betreffen, angenäherte Anzahl der Eintragungen von personenbezogenen Daten, auf die sich den Datenschutzverstoß bezieht,
b) mögliche Konsequenzen des Verstoßes gegen Datenschutz,
c) angewandte oder vorgeschlagene Maßnahmen zum Zweck der Abhilfe gegen Datenschutzverletzung, darunter in angemessenen Fällen Maßnahmen zur Minimalisierung ihrer negativer Folgen
und Übergabe dem für die Verarbeitung Verantwortlichen erforderlicher Dokumentation zur Datenschutzverletzung, um dem für die Verarbeitung Verantwortlichen Erfüllung der Pflicht zur Benachrichtigung der Aufsichtsbehörde zu ermöglichen;
2. Übergabe dem für die Verarbeitung Verantwortlichen Folgenschätzung geplanter Verarbeitungsvorgänge zum Datenschutz? wenn die jeweilige Art der Verarbeitung mit großer Wahrscheinlichkeit ein hohes Risiko Verletzung der Rechte oder Freiheiten natürlicher Personen verursachen kann? Im Falle wenn im Laufe der Abwicklung dieses Vertrages Risikobewertung sich ändert oder wenn neue Risiken auftreten;
3. Dokumentierung aller Datenschutzverletzungen in Form von Verstoßregister mit mindestens Informationen zu den Umständen der Datenschutzverletzung, Folgen dieses Verstoßes und Abhilfemaßnahmen.
§5.6
Zu Pflichten des Prozessors gehört auch:
- Freigabe an den für die Verarbeitung Verantwortlichen aller zum Belegen Erfüllung der im Reglement oder in Datenschutzvorschriften genannten Pflichten erforderlichen Informationen, innerhalb der 5 Werktage Frist seit der Entgegennahme des Verlangens des für die Verarbeitung Verantwortlichen;
- Ermöglichung dem für die Verarbeitung Verantwortlichen, Auditor oder einer anderen durch den für die Verarbeitung Verantwortlichen bevollmächtigten Person von Durchführung der Audits, darunter Inspektionen, in Mitwirkung bei Prüfungs- und Sanierungsmaßnahmen in der mit dem Prozessor vereinbarten Frist, wobei die Festsetzung erfolgt nicht später als 7 Tage vor dem geplanten Audit;
- Einhaltung der Nachkontroll-Anweisungen, die durch den für die Verarbeitung Verantwortlichen in der durch den für die Verarbeitung Verantwortlichen angegebenen Frist;
- unumgänglicher Benachrichtigung des für die Verarbeitung Verantwortlichen, wenn seiner Meinung nach die ihm erteilte Anweisung Verstoß gegen DSGVO oder andere EU-Vorschriften oder inländische Datenschutzvorschriften darstellt;
- unumgängliche Benachrichtigung des für die Verarbeitung Verantwortlichen:
a) über Kontrolle der Datenverarbeitung, angesagt oder durchgeführt durch staatliche Organe, die zu solchen Kontrollen befugt sind, und alle Entscheidungen oder Verwaltungsbeschlüssen gegen den Prozessor in Verbindung mit der Kontrolle;
b) über eingeleitete oder laufende Verwaltungsverfahren, gerichtliche oder Vorbereitungsverfahren im Zusammenhang mit der Übermittlung dem Prozessor der Verarbeitung personenbezogener Daten, und auch über alle Entscheidungen, Beschlüsse oder Bescheide gegenüber dem Prozessor im Zusammenhang mit dem Oben genannten.
VI WEITERE ÜBERLASSUNG DER VERARBEITUNG PERSONENBEZOGENER DATEN
§6.1
- Für weitere Überlassung der Datenverarbeitung durch den Prozessor seinen Subunternehmer (s.g. Subübermittlung) ist schriftliche Einwilligung des für die Verarbeitung Verantwortlichen erforderlich. Einwilligung kann allgemeinen oder spezifischen Charakter haben.
- Einwilligung wird erteilt unter der Bedingung, dass:
1) Umfang und Zweck der Subüberlassung nicht breiter als der aus diesem Reglement oder einem separat mit dem für die Verarbeitung Verantwortlichen geschlossenen Vertrag auf Überlassung der Datenverarbeitung resultierend wird;
2) Gegenstand und Dauerzeit, Charakter und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorie der Personen, die die Daten betreffen, und auch Pflichten und Rechte des für die Verarbeitung Verantwortlichen, im Vertrag auf Subüberlassung entsprechend zu den im Reglement oder im separaten Vertrag zwischen dem Prozessor und dem für die Verarbeitung Verantwortlichen geschilderten Bedingungen erhalten werden;
3) Subüberlassung wird notwendig für Umsetzung der Kooperationszwecke oder Vertragsabwicklung sein;
4) Subüberlassung wird nicht gegen Interessen des für die Verarbeitung Verantwortlichen verstoßen;
5) Vertrag auf Subüberlassung wird in Schriftform und nach geltenden Vorschriften zur Überlassung der Verarbeitung personenbezogener Daten geschlossen und auf den Subunternehmer des Prozessors die Pflicht auferlegen, alle Pflichten des Prozessors aus diesem Vertrag zu erfüllen;
6) Prozessor im Vertrag der Subüberlassung verpflichtet seine Subunternehmer zur Befolgung bei Verarbeitung der überlassenen Daten Pflichten betreffs Datenschutz auf dem mindestens im Reglement oder in einem separat zwischen dem Prozessor und dem für die Verarbeitung Verantwortlichen geschlossenen Vertrag auf Überlassung der Datenverarbeitung bestimmten Niveau und auch in DSGVO und ländlichen Gesetzesvorschriften, und auch zur Erfüllung direkt dem für die Verarbeitung Verantwortlichen gegenüber von Informationspflichten aus dem Reglement, insbesondere im Bereich der Umsetzung von Berechtigungen der Personen, die die Daten betreffen, und Verstöße gegen Datenschutz. - Der für die Verarbeitung Verantwortliche kann jederzeit seine Zustimmung zur Subüberlassung im Verhältnis zum konkreten Subunternehmer zurückziehen. Im Falle der zurückgezogenen Zustimmung hat Prozessor kein Recht dazu, weiterhin dem jeweiligen Subunternehmer Datenverarbeitung zu überlassen.
§6.2
Subüberlassung ohne Zustimmung des für die Verarbeitung Verantwortlichen wird als Verstoß gegen DSGVO-Vorschriften gelten, was als Grundlage zur Beendigung der Kooperation oder Nutzung der Dienstleistungen des Prozessors und gesetzlich vorgeschriebenen Konsequenzen gelten kann
VII HAFTUNG
§7.1
- Prozessor trägt volle Haftung gegenüber dem für die Verarbeitung Verantwortlichen oder Dritten für Schäden, die mit gegen DSGVO oder sonstige Datenschutzvorschriften verstoßender Datenverarbeitung verursacht werden, insbesondere, wenn er die in DSGVO, sonstigen Rechtsvorschriften oder im Reglement oder in einem separaten, mit dem für die Verarbeitung Verantwortlichen geschlossenen Vertrag auf Überlassung bestimmten Pflichten nicht erfüllte.
- Verarbeiter haftet gegenüber dem für die Verarbeitung Verantwortlichen für Handlungen und Unterlassungen des Subunternehmers, dem er Datenverarbeitung überlassen hat, als auch für eigene Handlungen und Unterlassungen.
VIII SCHLUSSBESTIMMUNGEN
§8.1
Reglement wurde am 24. Mai 2018 eingesetzt und gilt unbefristet. Firma „Wielkopolski Indyk“ behält sich das Recht auf deine Änderung vor. Subunternehmer werden über Umfang der Änderungen mit mindestens 14 Tage im Voraus informiert.
Bolesławiec, am 24 Mai. 2018