Zum Inhalt springen
Besuchen Sie uns aus Vereinigte Staaten von Amerika ?

PERSONENBEZOGENE DATEN AUFBEWAHRUNGS- UND ENTSORGUNGSRICHTLINIE (KONFORM MIT KVKK & DSGVO)


1. EINFÜHRUNG UND ZWECK DER RICHTLINIE


Die Richtlinie zur Aufbewahrung und Vernichtung von personenbezogenen Daten („Richtlinie“) wurde von Kalif Mimarlık Mühendislik Proje Yapı Taahhüt Üretim İthalat İhracat ve San. Ltd. Şti. („KALİF DESIGN“ oder das „UNTERNEHMEN“) erstellt, um die Verfahren und Grundsätze bezüglich der durchgeführten Aufbewahrungs- und Vernichtungsaktivitäten festzulegen.


Das Unternehmen zielt darauf ab, sicherzustellen, dass die personenbezogenen Daten aller relevanten Personen – einschließlich der Mitarbeiter des Unternehmens, Kunden, Lieferanten, Bewerber, Mitglieder und Besucher – in Übereinstimmung mit dem Gesetz Nr. 6698 über den Schutz personenbezogener Daten („Gesetz/KVKK“) und den einschlägigen Rechtsvorschriften verarbeitet werden und dass die betroffenen Personen ihre Rechte wirksam ausüben können.

Alle Prozesse bezüglich der Aufbewahrung und Vernichtung von personenbezogenen Daten werden vom Unternehmen in Übereinstimmung mit dieser Richtlinie durchgeführt.


2. GELTUNGSBEREICH


Diese Richtlinie deckt die personenbezogenen Daten von ab:

  • Mitarbeitern des Unternehmens
  • Bewerbern
  • Kunden
  • Lieferanten
  • Mitgliedern
  • Besuchern
  • In Rechtsstreitigkeiten verwickelten Personen
  • Anderen Dritten


Diese Richtlinie gilt für alle Aufnahmeumgebungen, die im Besitz des Unternehmens sind oder von diesem verwaltet werden, in denen personenbezogene Daten verarbeitet werden, sowie für alle Verarbeitungstätigkeiten personenbezogener Daten.


3. DEFINITIONEN


Abkürzung — Definition

  • Ausdrückliche Einwilligung: Einwilligung, die freiwillig, auf der Grundlage von Informationen und bezogen auf einen bestimmten Gegenstand erteilt wird.

  • Relevanter Benutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen (oder unter der vom Datenverantwortlichen erhaltenen Autorität/Anweisung) verarbeiten, mit Ausnahme der Person/Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist.

  • Entsorgung (Disposal): Löschung, Vernichtung oder Anonymisierung von personenbezogenen Daten.

  • Gesetz / KVKK / DSGVO: Gesetz Nr. 6698 über den Schutz personenbezogener Daten und die EU-Datenschutz-Grundverordnung.

  • Aufnahmeumgebung: Jede Umgebung, in der personenbezogene Daten vollständig oder teilweise durch automatisierte Mittel oder durch nicht-automatisierte Mittel verarbeitet werden, sofern sie Teil eines Datenerfassungssystems sind.

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

  • Verarbeitung personenbezogener Daten: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Umstrukturieren, Offenlegen, Übertragen, Übernehmen, Bereitstellen, Klassifizieren oder das Verhindern der Nutzung, durch vollständig oder teilweise automatisierte Mittel oder nicht-automatisierte Mittel als Teil eines Datenerfassungssystems.

  • Anonymisierung personenbezogener Daten: Das Unmöglichmachen der Zuordnung personenbezogener Daten zu einer identifizierten oder identifizierbaren natürlichen Person, selbst wenn diese mit anderen Daten abgeglichen werden.

  • Löschung personenbezogener Daten: Das Unzugänglichmachen und Unbrauchbarmachen personenbezogener Daten für relevante Benutzer in jeglicher Weise.

  • Vernichtung von personenbezogenen Daten: Das Unmöglichmachen für jedermann, auf personenbezogene Daten zuzugreifen, diese wiederherzustellen oder in jeglicher Weise wiederzuverwenden. Dies entspricht im Allgemeinen dem „Recht auf Löschung“ gemäß DSGVO.

  • Gremium / Aufsichtsbehörde: Der Datenschutzausschuss (Türkei) und die zuständigen Datenschutzbehörden (EU).

  • Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion/Sekte/andere Überzeugungen, Kleidung, Mitgliedschaft in Vereinigungen/Stiftungen/Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen, biometrische und genetische Daten.

  • Periodische Entsorgung: Wiederkehrende Löschung, Vernichtung oder Anonymisierung, die von Amts wegen in den in der Aufbewahrungs- und Vernichtungsrichtlinie festgelegten Intervallen durchgeführt wird, wenn alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen.

  • VERBIS: Das Datenerfassungssystem, in dem personenbezogene Daten strukturiert nach bestimmten Kriterien verarbeitet werden.

  • Betroffene Person / Relevante Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

  • Datenverantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.

  • Verordnung: Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt am 28. Oktober 2017.


4. AUFNAHMEUMGEBUNGEN


Die personenbezogenen Daten relevanter Personen werden vom Unternehmen sicher in den unten aufgeführten Umgebungen gespeichert, primär in Übereinstimmung mit dem KVKK und den einschlägigen Rechtsvorschriften, im Rahmen internationaler Datensicherheitsgrundsätze.


Elektronische Umgebungen:

  • Unternehmenscomputer

  • E-Mail-Server

  • Tragbare Speichergeräte

  • Buchhaltungssoftware

  • Social-Media-Konten

  • Telefongeräte


Nicht-elektronische Umgebungen:

  • Papierdokumente und Akten

  • Schriftliche, gedruckte und visuelle Medien

  • Verschlossene Schränke


5. GRUNDSÄTZE


Das Unternehmen handelt bei der Aufbewahrung und Entsorgung personenbezogener Daten nach folgenden Grundsätzen:

  • Bei der Löschung, Vernichtung und Anonymisierung personenbezogener Daten handelt das Unternehmen in voller Übereinstimmung mit dem Gesetz, den einschlägigen Rechtsvorschriften, den Entscheidungen des Gremiums und dieser Richtlinie.

  • Bei der Verarbeitung personenbezogener Daten schützt das Unternehmen die Rechte der betroffenen Personen. Die Erhebung und Verarbeitung personenbezogener Daten erfolgt im Einklang mit den allgemeinen Grundsätzen gemäß Artikel 4 der KVKK und Artikel 5 der DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten).

  • Alle Entsorgungsvorgänge werden vom Unternehmen aufgezeichnet, und diese Aufzeichnungen werden 10 (zehn) Jahre lang aufbewahrt, vorbehaltlich anderer gesetzlicher Verpflichtungen.

  • Sofern vom Unternehmen nicht anders beschlossen, wählt das Unternehmen die geeignete Entsorgungsmethode aus. Auf Anfrage der betroffenen Person wird die gewählte Methode jedoch mit Begründung erläutert.

  • Wenn alle Bedingungen für die Verarbeitung personenbezogener Daten gemäß den Artikeln 5 und 6 des Gesetzes entfallen, werden personenbezogene Daten von Amts wegen durch das Unternehmen oder auf Antrag der betroffenen Person entsorgt. Im Falle eines Antrags der betroffenen Person:


    • Anträge werden spätestens innerhalb von 30 (dreißig) Tagen abgeschlossen und die betroffene Person wird informiert.

    • Wurden die betreffenden Daten an Dritte übermittelt, wird der Dritte benachrichtigt und es wird sichergestellt, dass die erforderlichen Maßnahmen aufseiten des Dritten ergriffen werden.


6. ERLÄUTERUNGEN ZUR AUFBEWAHRUNG UND ENTSORGUNG


Personenbezogene Daten, die vom Unternehmen verarbeitet werden, werden sicher in elektronischen und/oder nicht-elektronischen Umgebungen innerhalb der durch das KVKK und andere einschlägige Rechtsvorschriften festgelegten Grenzen gespeichert, basierend auf Rechtsgrundlagen wie: ausdrückliche Bestimmung in Gesetzen, Notwendigkeit zur Begründung/Erfüllung eines Vertrags, Erfüllung rechtlicher Verpflichtungen des Datenverantwortlichen, Notwendigkeit zur Begründung/Ausübung/zum Schutz eines Rechts, Notwendigkeit für berechtigte Interessen ohne Beeinträchtigung der Grundrechte und Grundfreiheiten sowie ausdrückliche Einwilligung.


6.1 ERLÄUTERUNGEN ZUR AUFBEWAHRUNG


Die Aufbewahrungsfristen für personenbezogene Daten, die vom Unternehmen verarbeitet werden, werden unter Berücksichtigung des Grundsatzes in Artikel 4/2(d) KVKK bestimmt: „Aufbewahrung für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum oder so lange, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.“


Detaillierte Erläuterungen zur Aufbewahrung und Entsorgung finden Sie unten.


6.1.1 RECHTSGRUNDLAGEN, DIE EINE AUFBEWAHRUNG ERFORDERN


Personenbezogene Daten, die im Rahmen der Tätigkeit des Unternehmens verarbeitet werden, werden für die in den einschlägigen Rechtsvorschriften vorgesehenen Zeiträume aufbewahrt. Dementsprechend werden personenbezogene Daten im Rahmen der erforderlichen Aufbewahrungsfristen aufbewahrt, einschließlich, aber nicht beschränkt auf:

  • EU-Datenschutz-Grundverordnung (DSGVO/GDPR)

  • Gesetz Nr. 6698 über den Schutz personenbezogener Daten

  • Türkisches Obligationenrecht Nr. 6098

  • Gesetz Nr. 6563 zur Regelung des elektronischen Geschäftsverkehrs

  • Verbraucherschutzgesetz Nr. 6502

  • Steuerverfahrensgesetz Nr. 213

  • Türkisches Handelsgesetzbuch Nr. 6102

  • Einkommensteuergesetz Nr. 193

  • Arbeitsgesetz Nr. 4857

  • Strafprozessordnung Nr. 5271

  • Anwaltsgesetz Nr. 1136

  • Gesetz über Sozialversicherungen und allgemeine Krankenversicherung Nr. 5510

  • Gesetz über Arbeitsschutz und Arbeitssicherheit Nr. 6331

  • Zivilprozessordnung Nr. 6100

  • Türkisches Zivilgesetzbuch Nr. 4721

  • Gesetz Nr. 5651 zur Regelung von Veröffentlichungen im Internet und zur Bekämpfung von durch solche Veröffentlichungen begangenen Straftaten

  • Verordnung über kommerzielle Kommunikation und kommerzielle elektronische Nachrichten

  • Sonstige derzeit geltende Sekundärgesetzgebung


6.1.2 VERARBEITUNGSZWECKE, DIE EINE AUFBEWAHRUNG ERFORDERN


Das Unternehmen bewahrt personenbezogene Daten für die folgenden Zwecke auf (einschließlich, aber nicht beschränkt auf):

  • Erfüllung rechtlicher Verpflichtungen aus einschlägigen Rechtsvorschriften (z. B. E-Commerce, Verbraucherrecht, Steuerrecht, Arbeitsrecht, Arbeitsschutzrecht, Sozialversicherung usw.)

  • Durchführung von Einkaufs-/Bestellvorgängen

  • Durchführung von Mitgliedschaftsprozessen

  • Bereitstellung eines Dienstes zur Anzeige der Kaufhistorie

  • Bewertung von Anfragen

  • Verwaltung von Vertragsprozessen

  • Versenden von E-Rechnungen/E-Archiv-Rechnungen im Zusammenhang mit Käufen

  • Ausstellung von Rechnungen und in einigen Fällen Durchführung von Kontokorrent- und Abstimmungstransaktionen

  • Erfüllung von Verpflichtungen für Produkte mit bestimmten gesetzlichen Schwellenwerten oder Vorschriften

  • Durchführung operativer Nachverkaufsprozesse

  • Bereitstellung von After-Sales-Support-Diensten

  • Lieferung gekaufter Produkte per Fracht/Versand

  • Verwaltung von Produktrückgabe- und Rückerstattungsprozessen

  • Wenn die Erlaubnis zur kommerziellen Kommunikation/ausdrückliche Einwilligung erteilt wurde: Durchführung allgemeiner oder personalisierter Kampagnen, Vorteile, Werbeaktionen, Werbung, Informationen, Marketingaktivitäten und kommerzielle Kommunikation (SMS, E-Mail usw.)

  • Lösung von Problemen/Beschwerden/Anfragen, die über Kommunikationskanäle (Callcenter, E-Mail, Website, mobile App, soziale Medien usw.) eingereicht wurden, und Kontaktaufnahme mit dem Kunden bei Bedarf

  • Ausübung aller Rechte (Klagen, Antworten, Einsprüche) gegen offizielle Institutionen (Gerichte, Vollstreckungsämter, Schiedsausschüsse usw.) bei Streitigkeiten; Durchführung von Verhandlungs- und Vergleichsprozessen

  • Verfolgung von Klagen und rechtlichen Verfahren

  • Dienen als Beweismittel im Rahmen von Sicherheit, Überprüfung, Ermittlung und rechtlichen Verfahren

  • Durchführung von Aktivitäten in Übereinstimmung mit den Rechtsvorschriften

  • Erfüllung von Verpflichtungen und Prozessen aus Arbeitsverträgen

  • Erstellung von Personalakten

  • Verfolgung der gesetzlichen Rechte der Arbeitnehmer

  • Feststellung, ob Mitarbeiter medizinisch geeignet sind (soweit anwendbar und rechtmäßig)

  • Durchführung von Kommunikationsaktivitäten

  • Ausstellung von Gehaltsabrechnungen und Zahlung von Gehältern

  • An-/Abmeldungen zur Sozialversicherung

  • Verwaltung von Urlaubsprozessen

  • Durchführung von Schulungs- und Informationsaktivitäten für Mitarbeiter

  • Bereitstellung notwendiger Unterstützung im Falle von Blutspendebedarf

  • Durchführung periodischer ärztlicher Untersuchungen durch den Betriebsarzt

  • Erfassung von Arbeitszeiten und Stundennachweisen

  • Verwaltung und Verfolgung von Projekten

  • Verwaltung von Zuweisungsprozessen

  • Verwaltung von Notfallprozessen

  • Entgegennahme von Bewerbungen für offene Stellen

  • Überprüfung und Bewertung der beruflichen Qualifikationen von Bewerbern

  • Verwaltung von Bewertungsprozessen für Kandidaten

  • Kontaktaufnahme mit Kandidaten

  • Verwaltung von Beschaffungsprozessen und Nachverfolgung

  • Buchhalterische Nachverfolgung von Lieferantenzahlungen

  • Verwaltung von Lieferantenbeziehungen

  • Durchführung der Kommunikation mit Lieferanten

  • Aktualisierung von Lieferanteninformationen

  • Durchführung von Zahlungsprozessen

  • Bereitstellung von Informationen an autorisierte öffentliche Institutionen und Organisationen


6.2 GRÜNDE, DIE EINE ENTSORGUNG ERFORDERN


Personenbezogene Daten werden vom Unternehmen von Amts wegen oder auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert in Fällen wie:

  • Änderung oder Aufhebung relevanter gesetzlicher Bestimmungen, die die Grundlage für die Verarbeitung/Aufbewahrung bilden

  • Der Zweck, der die Verarbeitung/Aufbewahrung erfordert, besteht nicht mehr

  • Die Bedingungen für die Verarbeitung gemäß den Artikeln 5 und 6 der KVKK sowie den Artikeln 6 und 9 der DSGVO entfallen.

  • Wenn die Verarbeitung ausschließlich auf einer ausdrücklichen Einwilligung beruht und die betroffene Person ihre Einwilligung widerruft

  • Annahme eines Antrags auf Löschung/Vernichtung gemäß Artikel 11 KVKK durch das Unternehmen

  • Ablehnung des Antrags der betroffenen Person durch den Datenverantwortlichen, unzureichende Antwort oder Nichtbeantwortung innerhalb der gesetzlichen Frist, gefolgt von einer Beschwerde beim Gremium und der Annahme des Antrags durch das Gremium

  • Ablauf der maximalen Aufbewahrungsfrist ohne Bedingung, die eine längere Aufbewahrung rechtfertigt


7. ERGRIFFENE ADMINISTRATIVE UND TECHNISCHE MASSNAHMEN


Um die sichere Speicherung personenbezogener Daten zu gewährleisten, unrechtmäßige Verarbeitung/Zugriffe zu verhindern und eine rechtmäßige Entsorgung sicherzustellen, ergreift das Unternehmen technische und administrative Maßnahmen gemäß Artikel 12 KVKK und, für besondere Kategorien von Daten, im Rahmen der angemessenen Maßnahmen, die vom Gremium gemäß Artikel 6/4 KVKK bekannt gegeben wurden.


7.1 ADMINISTRATIVE MASSNAHMEN


Im Rahmen der administrativen Maßnahmen:

  • Erfüllt das Unternehmen seine Verpflichtung, betroffene Personen zu informieren, bevor es mit der Verarbeitung personenbezogener Daten beginnt

  • Erstellt Bestandsverzeichnisse personenbezogener Daten und bestimmt bestehende Risiken und Bedrohungen

  • Beschränkt den internen Zugriff auf gespeicherte personenbezogene Daten auf Personal, das basierend auf der Stellenbeschreibung Zugriff benötigt (unter Berücksichtigung, ob es sich um Daten besonderer Kategorien handelt und deren Wichtigkeitsgrad)

  • Hat eine „Richtlinie und einen Plan zur Reaktion auf Vorfälle bei Verletzung des Schutzes personenbezogener Daten“ erstellt und benachrichtigt die betroffene Person und das Gremium so schnell wie möglich (innerhalb von 72 Stunden), wenn Daten unrechtmäßig von anderen erlangt werden

  • Unterzeichnet Verträge mit Dritten (natürliche/juristische Personen), an die personenbezogene Daten übermittelt werden, oder gewährleistet Datensicherheit durch Vertragsklauseln

  • Beschäftigt Personal, das kenntnisreich und erfahren in der Verarbeitung personenbezogener Daten ist, und bietet notwendige Schulungen zu Datenschutzgesetzen und Datensicherheit an

  • Wenn Verstöße festgestellt werden, wird die Angelegenheit unverzüglich vom Vorgesetzten des jeweiligen Mitarbeiters gemeldet; die HR-Abteilung führt eine Bewertung durch und es werden notwendige Maßnahmen ergriffen

  • Legt disziplinarische Regelungen fest, die Datensicherheitsbestimmungen für Mitarbeiter enthalten

  • Führt in bestimmten Abständen Schulungs- und Sensibilisierungsaktivitäten zu Informations- und Datensicherheit durch

  • Erstellt und implementiert Unternehmensrichtlinien zu Zugriff, Informationssicherheit, Nutzung, Aufbewahrung und Entsorgung

  • Holt Vertraulichkeitsverpflichtungen ein

  • Fügt Klauseln zur Sicherheit personenbezogener Daten in Verträge und Arbeitsverträge ein

  • Führt regelmäßige und stichprobenartige interne Audits durch

  • Bestimmt und implementiert Richtlinien und Verfahren für die Sicherheit von Daten besonderer Kategorien

  • Minimiert personenbezogene Daten so weit wie möglich

  • Nimmt Klauseln zum Schutz personenbezogener Daten in Arbeitsverträge auf

  • Erstellt einen KVKK-Warntext zur Verwendung in Unternehmens-E-Mails


7.2 TECHNISCHE MASSNAHMEN


Im Rahmen der technischen Maßnahmen:

  • Widerruft das Unternehmen Berechtigungen für Mitarbeiter, deren Aufgaben sich ändern oder die das Unternehmen verlassen

  • Verwendet Firewalls

  • Ergreift zusätzliche Sicherheitsmaßnahmen für personenbezogene Daten, die über Papier übertragen werden, und versendet Dokumente in vertraulichkeitsgestuftem Format

  • Ergreift notwendige Sicherheitsmaßnahmen für den Ein-/Ausgang zu physischen Umgebungen, die personenbezogene Daten enthalten

  • Gewährleistet den Schutz physischer Umgebungen vor externen Risiken (Feuer, Überschwemmung usw.)

  • Gewährleistet die Sicherheit von Umgebungen, die personenbezogene Daten enthalten

  • Führt Backups durch und gewährleistet die Sicherheit der gesicherten personenbezogenen Daten

  • Wendet Benutzerkontenverwaltungs- und Berechtigungskontrollsysteme an und überwacht diese

  • Setzt eine Passwortrichtlinie durch, die starke/komplexe Passwörter von mindestens 8 Zeichen, einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen, erfordert


9. ENTSORGUNG PERSONENBEZOGENER DATEN


Das Unternehmen bewahrt personenbezogene Daten für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum oder so lange auf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. In diesem Zusammenhang wird zunächst festgestellt, ob in den einschlägigen Rechtsvorschriften eine Aufbewahrungsfrist vorgeschrieben ist. Wenn eine Frist angegeben ist, wird diese eingehalten. Wenn nicht angegeben, werden die Daten so lange aufbewahrt, wie es für den Verarbeitungszweck erforderlich ist.

Wenn der Zeitraum endet oder die Gründe, die eine Verarbeitung erfordern, entfallen – und wenn es keine Rechtsgrundlage gibt, die eine längere Verarbeitung erlaubt – werden personenbezogene Daten vom Unternehmen gemäß dieser Richtlinie gelöscht, vernichtet oder anonymisiert.


Wo eine vertragliche Beziehung besteht, beginnen die Aufbewahrungsfristen, nachdem die vertraglichen Verpflichtungen der Parteien enden; bei anderen Aktivitäten, nachdem die Transaktion abgeschlossen ist und ein endgültiges Ergebnis erzielt wurde.

Wenn ein Rechtsstreit oder ein Klageprozess vorliegt, werden personenbezogene Daten aufbewahrt, bis der rechtliche Prozess abgeschlossen ist.


Hinweis zum DSGVO-Kontext: Während die türkische Gesetzgebung die Entsorgung spezifisch in „Löschen, Vernichten veya Anonymisieren“ kategorisiert, gewährleisten diese Maßnahmen im Sinne der DSGVO gemeinsam die Erfüllung der Verpflichtung zur „Löschung“ personenbezogener Daten (Recht auf Löschung / Recht auf Vergessenwerden), wenn eine Aufbewahrung nicht mehr erforderlich ist.


10. ENTSORGUNGSTECHNIKEN FÜR PERSONENBEZOGENE DATEN


Am Ende der Aufbewahrungsfrist werden personenbezogene Daten vom Unternehmen von Amts wegen oder auf Antrag der betroffenen Person in Übereinstimmung mit den einschlägigen Rechtsvorschriften unter Verwendung der untenstehenden Techniken entsorgt.

Sofern vom Gremium nicht anders entschieden, wählt das Unternehmen die geeignete Methode der Löschung, Vernichtung oder Anonymisierung von Amts wegen aus. Wenn von der betroffenen Person gewünscht, wählt das Unternehmen die geeignete Methode aus, indem es seine Begründung erläutert.

Alle Transaktionen bezüglich Löschung, Vernichtung oder Anonymisierung werden aufgezeichnet, und diese Aufzeichnungen werden 10 (zehn) Jahre lang aufbewahrt, vorbehaltlich anderer gesetzlicher Verpflichtungen.


10.1 LÖSCHUNG PERSONENBEZOGENER DATEN


Löschung personenbezogener Daten bedeutet, personenbezogene Daten für relevante Benutzer in jeglicher Weise unzugänglich und unbrauchbar zu machen. Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen zu ergreifen, um dies sicherzustellen.


„Relevanter Benutzer“ wird in der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, Artikel 4(b) definiert als: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen oder unter der vom Datenverantwortlichen erhaltenen Autorität/Anweisung verarbeiten, mit Ausnahme der Person/Einheit, die für die technische Speicherung, den Schutz und die Sicherung verantwortlich ist.


Methoden der Löschung (Zusammenfassung):

  • Personenbezogene Daten auf Servern: Für Daten, deren Aufbewahrungsfrist abgelaufen ist, erfolgt die Löschung durch Entfernen der Zugriffsberechtigungen relevanter Benutzer durch den Systemadministrator.

  • Daten in elektronischer Umgebung: Für Daten, deren Aufbewahrungsfrist abgelaufen ist, werden diese für alle Mitarbeiter außer dem Datenbankadministrator unzugänglich und unbrauchbar gemacht.

  • Daten in physischer Umgebung: Für papierbasierte Daten, deren Aufbewahrungsfrist abgelaufen ist, werden diese für Mitarbeiter außer dem für Archive verantwortlichen Abteilungsleiter unzugänglich und unbrauchbar gemacht.

  • Personenbezogene Daten auf tragbaren Medien: Auf Flash-basierten Medien gespeicherte Daten, deren Aufbewahrungsfrist abgelaufen ist, werden vom Systemadministrator verschlüsselt, der Zugriff wird nur auf den Systemadministrator beschränkt, und Verschlüsselungsschlüssel werden sicher aufbewahrt.


10.2 VERNICHTUNG PERSONENBEZOGENER DATEN


Vernichtung personenbezogener Daten bedeutet, es für jedermann unmöglich zu machen, auf personenbezogene Daten zuzugreifen, diese wiederherzustellen oder in jeglicher Weise wiederzuverwenden. Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen zu ergreifen.


Methoden der Vernichtung (Zusammenfassung):

  • Daten in physischer Umgebung: Papierbasierte personenbezogene Daten, deren Aufbewahrungsfrist abgelaufen ist, werden irreversibel unter Verwendung von Aktenvernichtern vernichtet.

  • Daten auf optischen/magnetischen Medien: Daten auf optischen und magnetischen Medien, deren Aufbewahrungsfrist abgelaufen ist, werden physisch vernichtet (z. B. Schmelzen, Verbrennen, Pulverisieren). Zusätzlich werden magnetische Medien einem hohen Magnetfeld unter Verwendung spezieller Geräte ausgesetzt, um die Daten unlesbar zu machen.


10.3 ANONYMISIERUNG PERSONENBEZOGENER DATEN


Anonymisierung bedeutet, das Unmöglichmachen der Zuordnung personenbezogener Daten zu einer identifizierten oder identifizierbaren natürlichen Person, selbst wenn diese mit anderen Daten abgeglichen werden.

Damit Daten als anonymisiert gelten, darf es nicht möglich sein, eine Person erneut zu identifizieren, selbst unter Verwendung von Techniken, die für die Aufnahmeumgebung und den Tätigkeitsbereich geeignet sind, wie z. B. Rückgängigmachen durch den Datenverantwortlichen oder Dritte und/oder Abgleich mit anderen Daten.


Der Datenverantwortliche ist verpflichtet, alle notwendigen technischen und administrativen Maßnahmen bezüglich der Anonymisierung zu ergreifen.


Das Unternehmen berücksichtigt auch die von der Behörde veröffentlichte „Leitlinie zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten“ und wählt geeignete Beispiele aus dieser Leitlinie aus.


11. AUFBEWAHRUNGS- UND ENTSORGUNGSFRISTEN


Bezüglich personenbezogener Daten, die im Rahmen der Aktivitäten des Unternehmens verarbeitet werden:

  • Personenbezogene Daten-basierte Aufbewahrungsfristen für alle personenbezogenen Daten innerhalb von Aktivitäten, die von Prozessen abhängen, sind im Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten enthalten.

  • Prozessbasierte Aufbewahrungsfristen sind in der Richtlinie zur Aufbewahrung und Vernichtung von personenbezogenen Daten enthalten.

  • Aufbewahrungsfristen können vom Unternehmen bei Bedarf aktualisiert werden.

  • Für personenbezogene Daten, deren Aufbewahrungsfristen abgelaufen sind, wird die Löschung, Vernichtung oder Anonymisierung vom Unternehmen von Amts wegen durchgeführt.


Prozessbasierte Aufbewahrungs- & Entsorgungsfristen (Zusammenfassung):

  • Personalakten der Mitarbeiter / Gehaltszahlungen: 10 Jahre ab Ende des Vertrags/Rechtsgeschäfts → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Bewerbungen über Kariyer.net: 1 Jahr → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Kundendaten für eingehende Bestellungen / Rechnungen / Quittungen: 10 Jahre ab Ende der Rechtsbeziehung → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Daten von Arbeitsschutzspezialisten & Betriebsärzten (Dienstleistungsbeschaffung): 10 Jahre ab Ende der Rechtsbeziehung → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Periodische Untersuchungen durch den Betriebsarzt / Arbeitsschutzaktivitäten: 15 Jahre nach Beendigung des Arbeitsverhältnisses → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Individuelle Lieferanten & Einzelunternehmer-Lieferanten / Rechnungen: 10 Jahre → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Rechtsstreitigkeiten/Vollstreckungs-/Mediationsakten: 10 Jahre nach endgültigem Abschluss des Falls → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • CCTV-Aufzeichnungen (Videoüberwachung): 7 Tage → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung

  • Marketing-E-Mails: 2 Jahre → Entsorgung bei der ersten periodischen Entsorgung nach Ende der Aufbewahrung


12. PERIODISCHER ENTSORGUNGSZEITRAUM


Gemäß Artikel 11 der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten und zur Einhaltung des Grundsatzes der „Speicherbegrenzung“ (Storage Limitation) der DSGVO hat das Unternehmen den Zeitraum für die periodische Entsorgung auf 6 Monate festgelegt. Dementsprechend wird die periodische Entsorgung jedes Jahr im Juni und Dezember durchgeführt.


13. VERÖFFENTLICHUNG UND AUFBEWAHRUNG DER RICHTLINIE


Die Richtlinie wird in zwei Formaten veröffentlicht: nass unterzeichnet (gedrucktes Papier) und elektronisch. Sie wird auf der Website des Unternehmens der Öffentlichkeit zugänglich gemacht. Die gedruckte Papierkopie wird ebenfalls vom Unternehmen aufbewahrt.


14. AKTUALISIERUNGSHÄUFIGKEIT DER RICHTLINIE


Die Richtlinie wird vom Unternehmen bei Bedarf überprüft, und notwendige Abschnitte werden aktualisiert.


15. INKRAFTTRETEN UND AUFHEBUNG


Die Richtlinie gilt als in Kraft getreten, nachdem sie auf der Website des Unternehmens veröffentlicht wurde.

Wenn beschlossen wird, die Richtlinie aufzuheben, wird die alte nass unterzeichnete Kopie vom Unternehmen annulliert (durch Stempeln von „annulliert“ oder Schreiben der Annullierung) und unterzeichnet und aufbewahrt.

Filler
Filler
Filler
Filler
Filler
Ihr Warenkorb

Ihr Warenkorb ist leer

Einkauf Starten