Joisto Quertum Datenschutz-POLITIK

Joisto Quertum ("JQ") ist in einer Branche tätig, in der der Zugang zu und die Verarbeitung von personenbezogenen Daten für die Erbringung der definierten Dienstleistungen erforderlich ist.
JQ nimmt die ordnungsgemäße Verarbeitung von personenbezogenen Daten sehr ernst. Dazu gehören eine faire und transparente Verarbeitung und die Einhaltung des Datenschutzgrundsatzes. Die Rechte der betroffenen Person werden geachtet, sie werden nur auf gesetzlicher Grundlage in dem Umfang verarbeitet, der für die Erbringung der von JQ angebotenen Dienstleistungen oder für den internen Gebrauch erforderlich ist.
Die Sicherheits- und Schutzmechanismen für die von JQ verarbeiteten personenbezogenen Daten werden auf der Grundlage einer Risiko- und Datenschutzbewertung ausgewählt. Dabei werden sowohl die geschäftlichen Erfordernisse als auch die Daten von Personen berücksichtigt, zu denen das Unternehmen eine Beziehung unterhält.
Verarbeitet JQ Daten, die ihr von anderen für die Datenverarbeitung Verantwortlichen anvertraut wurden, so führt sie diese Handlungen nur auf der Grundlage der erhaltenen Anweisungen in dem Umfang und zu dem Zweck aus, der im Vertrag festgelegt ist.
Wenn ein anderer Unterauftragnehmer oder Partner personenbezogene Daten verarbeitet, die ihm von JQ anvertraut wurden, muss sichergestellt werden, dass der Unterauftragnehmer die Daten in Übereinstimmung mit und zu den gleichen Bedingungen wie JQ verarbeitet.
Jeder Missbrauch personenbezogener Daten oder jede Bedrohung dieser Daten wird untersucht und je nach Schwere des Falles gemeldet.

Die Geschäftsführender Direktor von Joisto Quertum (MD) fungiert als verantwortliche Person für die Organisation. Der Geschäftsführer ist für die Unterstützung der Umsetzung dieser Politik in der gesamten Organisation verantwortlich, einschließlich der Zuweisung von Ressourcen.

Quertum als Teil der Joisto-Gruppe nutzt eine gemeinsame Datenschutzbeauftragter (DSB). Die Aufgaben des DSB bestehen darin, die Datenschutzarbeit bei JQ in unabhängiger Weise zu leiten und zu überwachen, dass JQ die geltenden Datenschutzvorschriften einhält.
Der behördliche Datenschutzbeauftragte wird rechtzeitig und umfassend in alle Fragen im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen. Der behördliche Datenschutzbeauftragte leitet und berät in Angelegenheiten, die mit der Umsetzung des Datenschutzes zusammenhängen. Der Datenschutzbeauftragte informiert und interpretiert die Anforderungen im Zusammenhang mit dem Datenschutz und gibt Empfehlungen für Verfahren und Maßnahmen.
Der behördliche Datenschutzbeauftragte überwacht die für die Steuerung der Datenschutzfunktion entwickelten Verfahren wie geplant. Der DSB sorgt dafür, dass die Datenschutzschulung des Personals auf dem neuesten Stand ist und dass insbesondere die Kompetenz des Schlüsselpersonals in Datenschutzfragen entsprechend den Anforderungen ihrer Aufgaben weiterentwickelt wird. Der DSB führt ein aktuelles Verzeichnis der Datenverarbeitungstätigkeiten (ROPA).

Eigentümer von Produkten und Dienstleistungen muss sicherstellen, dass alle aufgeführten Grundsätze des Schutzes personenbezogener Daten sowie technische und organisatorische Maßnahmen bei der Konzeption und während der gesamten Verarbeitung umgesetzt werden.

Teamleiter, Spezialisten und alle Angestellten und Mitarbeiter müssen sich mit den Bestimmungen über den Schutz personenbezogener Daten, die Anwendung spezifischer Verfahren und Maßnahmen zum Schutz dieser Daten vor unbefugter Weitergabe vertraut machen. Sie müssen bei der Durchführung von Datenverarbeitungsvorgängen besondere Sorgfalt walten lassen, um die Interessen der betroffenen Personen zu schützen, und alle anderen einschlägigen Anweisungen befolgen.

Für alle Mitarbeiter von JQ und alle Personen, die personenbezogene Daten für JQ verarbeiten, werden Schulungen zum Thema Datenschutz durchgeführt. Schulungen werden auch für diejenigen durchgeführt, die Zugang zu personenbezogenen Daten auf allgemeiner Ebene und für ihre spezielle Aufgabe haben, wenn dies als notwendig erachtet wird.

In Arbeitsanweisungen werden die Arbeitsmethoden im Zusammenhang mit der Verarbeitung personenbezogener Daten und die korrekten Verfahren zur Gewährleistung des Datenschutzes festgelegt. Es können Maßnahmen, Arbeitsphasen und Kontrollen hinzugefügt werden, um sicherzustellen, dass personenbezogene Daten in jeder Phase auf angemessene Weise verarbeitet werden. Dazu gehört beispielsweise die angemessene Entsorgung von Dokumenten, die personenbezogene Daten in elektronischer Form oder in Papierform enthalten.

Der Schutz personenbezogener Daten wird mit Hilfe der technischen und organisatorischen Maßnahmen (TOM) umgesetzt, die in den Verfahren und Sicherheitsanweisungen beschrieben sind, die sich aus der JQ-Informationssicherheitspolitik und dem implementierten Informationssicherheitsmanagementsystem ergeben.

Der Schutz personenbezogener Daten soll mit Hilfe der Verfahren der Sicherheit und
Informationssicherheit, die in der JQ-Informationssicherheitspolitik definiert ist, und ergänzende Informationen
Sicherheitshinweise. Informationssysteme, die zur Verarbeitung personenbezogener Daten eingesetzt werden, sollen so aufgebaut und in ihrem Betrieb gesichert werden, dass eine angemessene Umsetzung des Datenschutzes möglich ist.

Es werden regelmäßig Datenschutz-Folgenabschätzungen durchgeführt, die DPIA (Data Protection Impact Assessment) bestimmt das angemessene Schutzniveau. Die Folgenabschätzung stützt sich auf eine Beschreibung der Sicherheit des Systems, einschließlich der Sicherheitsmechanismen, ihrer Verwendung, des Betriebs und der Leistungsgarantie. Eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) wird als Teil des DPIA-Prozesses durchgeführt und muss sich auf die Dienste und Systeme beziehen, die personenbezogene Daten verarbeiten, um ein angemessenes und ausreichendes Schutzniveau zu gewährleisten.

Bei der Mehrzahl der organisatorischen Tätigkeiten verarbeitet JQ personenbezogene Daten, die ihr von ihrem Kunden anvertraut werden, der der für die Verarbeitung Verantwortliche ist, während JQ ein Auftragsverarbeiter ist (Art. 28).

Mit jedem Kunden wird eine Vereinbarung über die Anvertrauung personenbezogener Daten (DPA - Data Protection Agreement) unterzeichnet. Diese stellt eine Anlage zum Basisvertrag dar und steht in Verbindung mit den allgemeinen Geschäftsbedingungen und verweist auf diese.

Die DSGVO enthält den Zweck und den Umfang der zu verarbeitenden personenbezogenen Daten sowie Anweisungen für JQ zur angemessenen Verarbeitung.
JQ verpflichtet sich, diese Anweisungen zu befolgen und bei der Durchführung einer Bewertung der Auswirkungen der Datenverarbeitung mitzuwirken. JQ wird den für die Verarbeitung Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten informieren.

Die Notwendigkeit der Einbeziehung des Datenschutzes in Vereinbarungen und Verträge wird in allen Beschaffungssituationen geprüft. Besonderes Augenmerk wird auf Situationen gelegt, in denen der Lieferant personenbezogene Daten in einem Land außerhalb der EU/ETA oder vertrauenswürdiger Länder verarbeiten kann. Bei der Beschaffung von Arbeits- oder Beratungsdienstleistungen sollen die Dienstleistungsvereinbarungen auch Schulungspflichten enthalten, damit die Fähigkeiten und Kompetenzen einer externen Person den Anforderungen für eine erfolgreiche Durchführung der Aufgabe entsprechen.

Der Datenschutz wird in allen Vereinbarungen berücksichtigt, in denen Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, gekauft oder verkauft werden. Bei der Vergabe von Unteraufträgen im Rahmen der Dienstleistungen von JQ muss der Kunde über jede Änderung des Unterauftragnehmers, der als Unterauftragsverarbeiter eingesetzt wird, informiert werden.

Fahrlässige oder nachteilige Handlungen, die gegen die Datenschutzvorschriften verstoßen, der Missbrauch personenbezogener Daten und die Weitergabe von Informationen werden ernst genommen. Das Gleiche gilt für alle Drohungen dieser Art. Alle diesbezüglichen Vorfälle werden untersucht.

Joisto Quertum und die Joisto-Gruppe haben einen allgemeinen Prozess für das Management von Sicherheitsvorfällen implementiert, und Vorfälle im Zusammenhang mit personenbezogenen Daten gehören zu den unterstützten Fällen, die besondere Aufgaben erfordern.
Ein Vorfall, der eine Verletzung des Schutzes personenbezogener Daten beinhaltet, kann die versehentliche oder vorsätzliche Zerstörung, den Verlust, die Veränderung, die unbefugte Weitergabe oder die Offenlegung von personenbezogenen Daten, die von JQ verwaltet oder verarbeitet werden, umfassen.

Jedes gemeldete Ereignis, das zu einer Verletzung des Schutzes personenbezogener Daten führen kann, wird aufgezeichnet und analysiert, und die nächsten Schritte hängen von der spezifischen Klassifizierung des Vorfalls ab. Eine erste Maßnahme besteht darin, die negativen Auswirkungen des Vorfalls auf personenbezogene Daten zu verringern.

Der Datenschutzbeauftragte meldet die Ergebnisse der Untersuchung des Vorfalls intern innerhalb der Organisation und, falls erforderlich, den Behörden und/oder dem für die Datenverarbeitung Verantwortlichen, wobei er mit anderen Sicherheitsteams zusammenarbeitet.

Je nach Kritikalität und Ausmaß des Vorfalls kann es erforderlich sein, das Ereignis zu melden an
- Wenn der Fall Polen betrifft - an den Präsidenten des Amtes für den Schutz personenbezogener Daten,
- Wenn der Fall das Vereinigte Königreich betrifft - an das United Kingdom Information Commissioners Office
und benachrichtigen alle Personen, die an dem Vorfall beteiligt sein könnten. Die Meldung an die Behörde erfolgt über den zugelassenen Kommunikationskanal und innerhalb von 72 Stunden.