Informationstext

Richtlinien

RICHTLINIE ZUR SICHERHEIT BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN

DEFINITIONEN UND ABKÜRZUNGEN

Institution  : RAYTA FREIZEITZENTREN BETRIEBSFÜHRUNG VISUELLE KUNST KOMMUNIKATION UND ORGANISATION

INDUSTRIE UND HANDEL AKTIENGESELLSCHAFT (Mersis Nr.: 0734-2552-7820-0001)

Gesetz: Gesetz Nr. 6698 zum Schutz personenbezogener Daten.

Richtlinie: Richtlinie zur Sicherheit besonderer Kategorien personenbezogener Daten.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Überzeugungen, Kleidung und Erscheinungsbild, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Verantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenverarbeitungssystems verantwortlich ist.

Verarbeitung personenbezogener Daten: Jeder Vorgang wie Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Neuordnen, Offenlegen, Übermitteln, Übernehmen, Zugänglichmachen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten, ganz oder teilweise automatisiert oder nicht automatisiert, sofern Teil eines Datenverarbeitungssystems.

Verzeichnis der Verarbeitungstätigkeiten: Ein Verzeichnis, in dem Datenverantwortliche ihre Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten detailliert darstellen, einschließlich Verarbeitungszwecken und Rechtsgrundlagen, Datenkategorien, Empfängergruppen, betroffenen Personengruppen, maximalen Aufbewahrungsfristen, Auslandsübermittlungen und Sicherheitsmaßnahmen.

 

ZWECK UND UMFANG

Ziel der Richtlinie zur Sicherheit besonderer Kategorien personenbezogener Daten („Richtlinie“) ist die Erfüllung der gesetzlichen Verpflichtungen, die sich aus dem Beschluss des Datenschutzrates vom 31.01.2018 mit der Nummer 2018/10 ergeben, sowie die Festlegung der technischen und administrativen Maßnahmen zur Verarbeitung dieser Daten.

Der Anwendungsbereich der Richtlinie umfasst die von der Institution ergriffenen technischen und administrativen Maßnahmen zur Sicherheit besonderer Kategorien personenbezogener Daten.

VERANTWORTLICHKEIT UND AUFGABENVERTEILUNG

Alle Einheiten und Mitarbeiter der Institution unterstützen aktiv die verantwortlichen Stellen bei der ordnungsgemäßen Umsetzung der technischen und administrativen Maßnahmen, der Schulung und Sensibilisierung der Mitarbeiter, der Überwachung und kontinuierlichen Kontrolle sowie bei der Verhinderung unrechtmäßiger Verarbeitung und Zugriffe und der Sicherstellung einer rechtmäßigen Speicherung besonderer Kategorien personenbezogener Daten.

Die Verteilung der Aufgaben und Zuständigkeiten ist wie folgt:

Position

Aufgabe

Vorstand

Genehmigt die Richtlinie und setzt sie in Kraft. Verantwortlich dafür, dass die Geschäftsleitung und Mitarbeiter entsprechend der Richtlinie handeln. Stellt die notwendigen Ressourcen und das Budget bereit.

Geschäftsleitung

Verantwortlich für die Überwachung der Umsetzung der Richtlinie. Führt Entscheidungs- und Umsetzungsprozesse durch.

KVKK-Verantwortlicher

Verantwortlich für die Erstellung und Veröffentlichung der Richtlinie sowie für die Umsetzung der technischen Maßnahmen.

Buchhaltung und Finanzen

Vermietungsdienstleistungen

Verantwortlich für die Umsetzung der Richtlinie im Rahmen ihrer Aufgaben.

IT-Verantwortlicher

Verantwortlich für die technische Sicherheit der Systeme, Zugriffskontrollen und Datensicherheitsmaßnahmen.

TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN

Gemäß Artikel 6 Absatz 4 des Gesetzes müssen bei der Verarbeitung besonderer Kategorien personenbezogener Daten zusätzliche Sicherheitsmaßnahmen getroffen werden.

Die Institution ergreift alle erforderlichen technischen und administrativen Maßnahmen zur Sicherstellung der Datenverarbeitung im Einklang mit dem Gesetz.

Technische Maßnahmen

Elektronische Umgebungen:

  • Daten werden verschlüsselt gespeichert,
  • Schlüssel werden separat gesichert,
  • Alle Aktivitäten werden protokolliert,
  • Sicherheitsupdates und Tests werden regelmäßig durchgeführt,
  • Zugriffsrechte werden kontrolliert,
  • Zwei-Faktor-Authentifizierung wird verwendet.

Physische Umgebungen:

  • Schutz vor Feuer, Wasser, Diebstahl usw.,
  • Zugriffsbeschränkungen werden angewendet.

Datenübertragung:

  • E-Mail-Verschlüsselung oder KEP,
  • Verschlüsselung tragbarer Medien,
  • VPN oder SFTP für Serverübertragungen,
  • Vertrauliche Dokumentenübertragung.

Administrative Maßnahmen

  • Regelmäßige Schulungen,
  • Vertraulichkeitsvereinbarungen,
  • Zugriffskontrollen,
  • Regelmäßige Überprüfungen,
  • Sofortige Rechteentziehung bei Rollenwechsel.

Risikobewertungen werden durchgeführt.

ÜBERPRÜFUNG DER RICHTLINIE

Die Richtlinie wird bei Bedarf aktualisiert.

VERANTWORTUNG FÜR DIE UMSETZUNG

Die Richtlinie tritt nach Genehmigung durch den Vorstand in Kraft und wird den Mitarbeitern bekannt gegeben.