1. Die wichtigsten Abkürzungen

Abkürzung	Beschreibung
u.o.d.o.	Gesetz vom 29.08.1997 über den Schutz der Personaldaten (Gesetzblatt von 2015, Pos. 2135 mit späteren Änderungen).
rozp. MSWIA	Verordnung vom 29.04.04 des Ministers für Inneres und Verwaltung über die Dokumentation der Verarbeitung von personenbezogenen Daten sowie technische und organisatorische Bedingungen, den IT-Geräte und IT-Systeme zur Verarbeitung personenbezogener Daten zu entsprechen haben
GIODO	Der Staatsbeauftragte zum Datenschutz
ADO	Verantwortlicher
ABI	Informationssicherheitsbeauftragte
ASI	IT-Systemadministrator
SI	IT- System
SZBDO	Sicherheitsmanagementsystem im Bereich von Datenverarbeitung
PBDO	Datenschutzpolitik
IZSI	Anweisung der IT- Systemverwaltung

2. Begriffsbestimmungen

Im Sinne dieser Datenschutzpolitik bezeichnet der Ausdruck:

1. Verantwortlicher – die natürliche oder juristische Person, Behörde, Einrichtung, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
2. Informationssicherheitbeauftragte – die natürliche Person, die vom Verantwortlichen zur Überwachung der im Art.36a, Absatz 2. im Gesetz über den Schutz der Personaldaten (u.o.d.o) formulierten Prinzipien, ernannt wurde;
3. IT- Systemadministrator – eine vom Verantwortlichen ernannte Person oder Einrichtung, die für die Funktionierung der IT-Systeme und der Telematiknetze zuständig ist sowie die Sicherheit von IT-Systemen und Telematiknetzen gewährleistet;
4. Auftragsverarbeiter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
   d.h. Firmaarbeiter, für einen Dienstleistungsvertrag oder einen zivilrechtlichen Vertrag angestellte Personen, Freiwillige, Lehrlinge oder Auszubildende;
5. Personenbezogene Daten – alle Informationen, die sich auf eine identefizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt. insbesondere mittels Zuordnung zu einer Kennnummer oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
6. Sammlung von personenbezogenen Daten – jede struktuierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig, ob diese Sammlung zentral, dezentralisiert oder nach funktionalen Gesichtspunkten aufgeteilt geführt wird;
7. Verarbeitung – jeder Vorgang im Zusammenhang mit personenbezogenen Daten insbesondere dieser, der in IT-systemen vorgenommen wird, d.h. das Erheben, das Erfassen, die Speicherung, die Bearbeitung, die Anpassung oder Veränderung, die Offenlegung durch Übermittlung, und das Löschen;
8. IT- System – ein System der miteinander zusammenarbeitenden Geräte, Programme, oder Datenverarbeitungprozeduren und der Programmierungsinstrumente die zur Datenverarbeitung eingesetzt werden;
9. Datensicherung im IT-System – Einsatz und Anwendung der technischen sowie organisatorischen Maßnahmen, die eine unrechtmäßige Verarbeitung von personenbezogenen Daten verhindern;
10. Informationssicherheit – Prinzipien, die zu beachten sind, bei dem Entwerfen und bei der Nutzung der Systeme und Anwendungen, die zur Datenverarbeitung dienen – so dass der Zugang immer im Einklang mit Voraussetzungen folgt.
11. Datenlöschen – Vernichtung personenbezogener Daten oder deren Änderung, die die Identifikation der betroffenen Person unmöglich macht;
12. Einwilligung der betroffenen Person – jede freiwillig für den bestimmten Fall, in informierter Wese und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten zuständig ist. Die Willenserklärung kann nicht stillschweigend angenommen sein;
13. Empfänger – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, mit Ausnahme von:
    1. einer betroffenen Person,
    2. einem Auftragsverarbeiter,
    3. einem Stellvertreter - gemäß Art. 31a im Gesetz über den Schutz der Personaldaten (u.o.d.o.),
    4. einer Einrichtung -gemäß Art.31. im Gesetz über den Schutz der Personaldaten (u.o.d.o.),
    5. Staatsbehörden oder Gebietskörperschaft, deren Daten offengelegt werden im Zusammenhang mit Gerichtsverfahren;

14. Drittland – der zum Europäischen Wirtschaftsraum gehörende Staat;
15. Passwort/Kennwort – eine Zeichenfolge (Buchstaben, Ziffern oder andere) – die nur dem Arbeiter, der zur Arbeit im IT-System berechtigt ist, bekannt sind;
16. Benutzerkennung – Zeichenfolge (Buchstaben, Ziffern oder andere) – die eindeutig die Person identifiziert, die für die Verarbeitung der Daten in der Firma zuständig ist;
17. Datenvertraulicheit – die Eigenschaft, die versichert, dass die Daten keiner unberechtigten Person oder Einrichtung offengelegt werden;
18. Datenintegrität – die Eigenschaft, die versichert, dass personenbezogene Daten nicht geändert oder vernichtet wurden (ohne Genehmigung);
19. Rechenschaftspflicht - eine Eigenschaft, die versichert, dass die Tätigkeiten des Subjekts eindeutig nur diesem Subjekt zugeschrieben werden können;
20. IT- Systembenutzer – eine zur Datenverarbeitung berechtigte Person im IT system, der eine Benutzerkennung und ein Kennwort anerkannt wurden;
21. Authentifizierung – der Prozess einer korrekten Identifizierung des IT-System – Benutzers, so dass ihm bestimmte Rechte und Genehmigungen im IT-System der Firma anerkannt werden;
22. Sicherheitsvorfall – Verletzung personenbezogener Daten;
23. Bedrohung – eine potentielle Möglichkeit vom Sicherheitsvorfall;
24. Korrekturmaßnahme – die Wirkung um die Ursache des Sicherheitsvorfalls zu beseitigen;
25. Präventionsmaßnahme – die Wirkung, die man unternehmen soll, um die Bedrohung oder andere ungewünschte Datenverletzung vorzubeugen.

3. Einführung

Datenschutzpolitik bei KOTT (GmbH) bestimmt Regeln, Prinzipien und Empfehlungen wie personenbezogene Daten verarbeitet und versichert werden und wie sie verarbeitet, geschützt und offengelegt werden.

Datenschutzpolitik informiert über die Datenverarbeitungsvorgänge und die Anwendung der organisatorisch – technischen Maßnahmen, die Datenschutz sicherstellen.

Dieses Dokument  ist dem anwendbaren Recht genügen, insbesondere dem Gesetz zum Datenschutz vom 29.08.1997 in der geänderten Fassung  und der erlassenen Durchführungsakten..


4. Ziele der Datenschutzpolitik

Diese Datenschutzpolitik hat zum Ziel, Sicherheits- und Schutzprinzipien der Verarbeitung personenbezogener Daten bei Kott GmbH zu bestimmen und einzusetzen. Insbesondere:

1. Sicherstellung von der Einhaltung der Vorschriften;
2. Gewährleistung von der Datenvertraulichkeit, - integrität und der Rechenschaftspflicht;
3. Sensibilisierung von den Daten verarbeitenden Personen;
4. Einbeziehen der Daten verarbeitenden Personen in den Informationsschutz.

5. Informationssicherheitsbeauftragte

1. Verantwortlicher ernennt einen Informationssicherheitsbeauftragten, was aufgrund einer schriftlichen Ernennung erfolgt (Muster einer Ernennung – Anhang Z1- PBDO).
2. Verantwortlicher kann stellvertretende Informationssicherheitsbeauftragte ernennen.
3. Verantwortlicher bevollmächtigt den Informationssicherheitsbeauftragten, Befugnisse zur Datenverarbeitung zu übertragen.
4. Die Aufgabe des Informationssicherheitsbeauftragten ist es zu überwachen, ob die Grundsätze der datenschutzpolitik bei KOTT (GmbH) eingehalten und geignete technische und organisatorische Maßnahmen zum Datenschutz sichergestellt werden.
5. Dem Informationssicherheitsbeauftragten stellen folgende Befugnisse zu, die mit der Festlegung von Regeln für eine sichere Datenverarbeitung verbunden sind::
   1. Erstellung und Genehmigung der internen Anleitungen,
   2. die Genehmigung der Verträge.

6. Dem Informationssicherheitsbeauftragten stellen folgende Kompetenzen zu, die mit der Wahrnehmung dessen aufsichtsrechtlichen Aufgaben verbunden sind:
   1. das Recht zur Errichtung und Überwachung der Zugangsrechte zur Computersoftware,
   2. das Recht zur Festlegung der Regeln im Bereich des Antiviruschutzes und Cyberangriffe

7. Verantwortlicher kann dem Informationssicherheitsbeauftragten andere Verpflichtungen übertragen, die nicht im Widerspruch zu den in Punkten 5-6 genannten Aufgaben stehen.

6. Die zur Datenverarbeitung befugten Personen

zu den Verpflichtungen der zur Datenverarbeitung befugten Personen gehören:

1. die regelungen über Datenschutz und die Datenschutzpolitik und Anleitung der Verwaltung über IT- Systeme in Kenntnis zu nehmen;
2. die Empfehlungen von Informationssicherheitsbeauftragten zu befolgen;
3. personenbezogene Daten nur in so einem Umfang zu verarbeiten, der individuell von einem Verantowrtlichen in einer schriftlichen Vollmacht bestimmt wird und nur um Dienstverpflichtungen zu erfüllen;
4. den Informationssicherheitsbeauftragten über jede Unregelmäßigkeiten betreffs der Datenverarbeitung in der Firma umgehend zu informieren;
5. personenbezogene Daten und zu deren Verarbeitung getroffene Maßnahmen vom unbefugten Zugang, Offenlegung, Änderung, Vernichtung zu schützen;
6. die IT-Systeme der Firma zu nutzen wie in den Gebrauchsanweisungen der Geräte vorgeschrieben wird;
7. unbefristete Geheimhaltungspflicht betreffs personenbezogene Daten und der Weisen deren Sicherung einzuhalten;
8. besonders vorsichtig zu sein, wenn man die Operationen mit personenbezogenen Daten vornimmt um die Interessen der betroffenen Personen zu schützen.

7. Grundsätze für die Verarbeitung personenbezobener Daten

1. Datenverarbeitung muss rechtgemäß erfolgen;
2. die betroffene Person muss ihre Einwilligung in die Verarbeitung der sich betreffenden Daten geben und darüber informiert werden zu welchen Zwecken die Verarbeitung erfolgt (wie das sich aus den Vorschriften des Gesetzes zum Datenschutz ergibt)
3. die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder gesperrt und vor einem weiteren Zugriff geschützt werden.
4. die Verarbeitung personenbezogener Daten soll gemäß der inhaltlichen Korrektheit und zwecksverbunden erfolgten;
5. personenbezogene Daten können nur so lange verarbeitet werden, wie es notwendig ist um einen Zweck zu erfüllen.
6. man soll Vertraulichkeit, Integrität und Rechenschaftspflicht der Daten sicherstellen;
7. personenbezogene Daten können nicht offengelegt werden ohne darin die Einwilligung der betroffenen Person eingeholt wird. Personenbezogene Daten können den betroffenen Personen, den zur Datenverarbeitung befugten Personen, Einrichtungen, denen aufgrund des Übertragungsvertrages Daten übermittelt wurden oder Staatsbehörden und Gemeinschaftskörperschaften im Zusammenhang mit Gerichtsverfahren weitergegeben werden.
8. Die Datenverarbeitung kann sowohl in IT-Systemen als auch in traditioneller Form erfolgen d.h.: Ordner, Verzeichnisse, Listen und Informationssammlungen.
9. Bei der Datenverarbeitung in Systemen anderen als Informatiksysteme gelten die Vorschriften über Geheimhaltung, Dokumentenablauf und Sicherheitsstellung von Dienstdokumenten.
10. Alle Personen, deren Daten verarbeitet werden haben das Recht zum Datenschutz, zur Kontrolle der Datenverarbeitung und zu deren Aktualisierung, Löschen und zur Aufklärung über eigene Rechte.

8. Die Befugnis zur Datenverarbeitung

1. Zur Verarbeitung der Daten sowie zur Verwaltung und Betrieb von Informationssystemen werden nur solche Personen zugelassen, die eine vom Verantwortlichen erteilte Befugniss zur Datenverarbeitung haben (Muster: Anhang Z2- PBDO) und dazu eine Erklärung über die Verfolgung der im Gesetz über den Schutz der Personaldaten (u.o.d.o.) enthaltenen Vorschriften abgegeben haben. (Muster der Erklärung: Anhang Z3 – PBDO).
2. Verantwortlicher führt Aufzeichnungen der zur Datenverarbeitung befugten Personen (Muster: Anhang Z4-PBDO).

9. Auftragsdatenverarbeitung

1. Verantwortlicher kann eine andere Einrichtung mit der Verarbeitung der Daten für einen bestimmten Zweck beauftragen.
2. In dieser Situation bestimmt die Vereinbarung zur Auftragsdatenverarbeitung vor allem den Zweck und den Umfang der Datenverarbeitung.

10. Offenlegung personenbezogener Daten

Offenlegung personenbezogener Daten in der Firma ist nur zugelassen aufgrund einer der Rechtlinien die in dem Gesetz über den Schutz der Personaldaten (u.o.d.o, Art 23.1 und Art 27.2) bestimmt ist und aufgrund der Regelungen anderer Gesetze.


11. Übermittlung personenbezogener Informationen außerhalb Polen

1. Verantwortlicher kann die Daten übermitteln:
   1. an die Staaten des Europäischen Wirtschaftsraumes
   2. andere Staaten (Drittländer).
2. Übermittlung personenbezogener Daten innerhalb des Europäischen Wirtschaftsraumes wird so wie die Datenverarbeitung in Polen angesehen;
3. Werden personenbezogene Daten an ein Drittland übermittelt, muss eine der Voraussetzungen erfüllt werden:
   1. as Drittland gewährleistet mindestens so einen Datenschutz wie auf dem Gebiet von der Republik von Polen,
   2. Datenübermittlung erfolgt aufgrund der Rechtsverpflichtung oder Bestimmungen eines ratifizierten Internationalabkommens,
   3. mindestens eine der Voraussetungen bestimmt im Art. 47. Absatz 3 u.o.d.o.
   4. der Staatsbeauftragte zum Datenschutz (GIDO) stimmt der Datenübermittlung zu

12. Verzeichnis von Gebäuden, Räume und deren Teile, wo Daten verarbeitet werden

Informationssicherheitsbeauftragte ist zuständig dafür, Aufzeichnungen zu führen und aufzubewahren in denen das Verzeichnis von Gebäuden, Räumen und deren Teile ist, wo die Daten sowohl in Papierform als auch in der elektronischen Form verarbeitet werden. Das aktuelle Verzeichnis zeigt der Anhang Z6-PBDO.


13. Das Verzeichnis von Datensammlungen mit der Bezeichnung der Programme die bei der Verarbeitung eingesetzt wurden

Informationssicherheitsbeauftragte ist zuständig dafür, Aufzeichnungen zu führen und aufzubewahren in denen das Verzeichnis aller Datensammlungen zusammen mit der Bezeichnung der Programme die bei der Verarbeitung eingesetzt werden. Das Verzeichnis ist im Anhang Z7-PBDO zu finden.


14. Beschreibung der Struktur der Datensammlungen

Dateninformationssicherheitsbeauftragte ist zuständig dafür Aufzeichnungen zu führen und aufzubewahren in denen die Beschreibung der Datenstruktur in der Firma vorliegt. Die aktuelle Beschreibung enthält der Anhang Z8-PBDO. Er soll auch die Aufzeichnung der Übermittlung von Daten an Personen und Institutionen außer Firma führen (Muster der Aufzeichnung – Anhang Z5-PBDO).


15. Datenverkehr unter einzelnen Systemen

Informationssicherheitsbeauftragte ist zuständig dafür die Aufzeichnung zu führen und aufzubewahren, in der Datenverkehr unter einzelnen Systemen beschrieben wird. Die aktuelle Beschreibung der Datenverkehr ist im Anhang Z9-PDO zu finden.


16. Die Bestimmung von technischen und organisatorischen Maßnahmen zur Sicherung der Vertraulichkeit, der Datenintegrität und Rechenschaftspflicht beider Datenverarbeitung

Der Informationssicherheitsbeauftragte ist zuständig dafür, Aufzeichnungen zu führen und aufzubewahren, in der die Informationen über geeignete technische und organisatorische Maßnahmen zu finden sind, die getroffen wurden um Vertraulicheit, Datenintegrität und Rechenschaftspflicht der verarbeiteten Daten zu sichern. Die aktuelle Beschreibung der getroffenen Maßnahmen ist im Anhang Z10- PBDO zu finden.


17. Straf- und Ordnungsvorschriften

Straf- und Ordnungsvorschriften werden mit folgenden Akten reguliert:

1. Gesetz über Schutz der personenbezogenen Daten vom 29.081997, Gesetzblatt 2015, Pos. 2135) – Art. 49-54;
2. Strafgesetzbuch (Gesetzblatt vom 1997, Nr 88, Pos. 553 in geänderter Fassung.) - Art.266
3. Arbeitsgesetzbuch (Gesetzblatt vom 1998, Nr 21, Pos.94 in geänderter Fassung) – Art. 52 und Art 108.

18. Schlussbestimmungen

Für die Berichte, die nicht in dieser Datenschutzpolitik geregelt sind, finden die Anwendung die Vorschriften des Gesetzes über den Datenschutz vom 29.08.1997 (Gesetzblattt vom 2015, Pos 2135).


19. Anhänge

Z1-PBDO – Ernennung eines Informationssicherheitsbeauftragten
Z2-PBDO – Befugnis zur Verarbeitung personenbezogener Daten
Z3-PBDO – Erklärung zur einer Einhaltung von Vorschriften aus dem Gesetz über den Datenschutz (u.o.d.o.)
Z4-PBDO – Verzeichnis der zur Datenverarbeitung befugten Personen
Z5-PBDO – Verzeichnis der Datenweitergabe
Z6-PBDO – Verzeichnis von Gebäuden, Räume und deren Teile, wo Daten verarbeitet werden
Z7-PBDO – Verzeichnis von Datensammlungen mit der Bezeichnung der Programme die bei der Verarbeitung eingesetzt wurden
Z8-PBDO – Beschreibung der Datenstruktur
Z9-PBDO – Datenverkehr unter einzelnen Systemen
Z10-PBDO – Bestimmung von technischen und organisatorischen Maßnahmen zur Sicherung der Vertraulichkeit, der Datenintegrität und Rechenschaftspflicht der Datenverarbeitung
Z11-PBDO – Verzeichnis von Sicherheitsvorällen