Allgemeine Geschäftsbedingungen

Einleitung

Die Privatsphäre der betroffenen Personen wird durch die Vorschriften der Europäischen Union sowie durch die Gesetzgebung der Republik Kroatien, denen die Muttergesellschaft CROZ d.o.o. unterliegt, geschützt.

Diese Allgemeinen Geschäftsbedingungen wurden auf der Grundlage und in Übereinstimmung mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) erstellt.

Diese Allgemeinen Geschäftsbedingungen für den Schutz personenbezogener Daten (im Folgenden: “Allgemeine Geschäftsbedingungen”) gelten in Fällen, in denen das Unternehmen als Auftragsverarbeiter in einem Vertragsverhältnis mit einem Dritten – einem Kunden, der den Status eines für die Verarbeitung Verantwortlichen hat (im Folgenden: der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter, zusammen: “Vertragsparteien”) – steht.

Diese Allgemeinen Bedingungen gelten entsprechend, wenn der Auftragsverarbeiter in der Eigenschaft eines zweiten Auftragsverarbeiters und der für die Verarbeitung Verantwortliche in der Eigenschaft des Auftragsverarbeiters handelt.

Informationen zum Unternehmen

CROZ d.o.o.

Lastovska 23

10 000 Zagreb

Unternehmens-Identifikationsnummer: 86132384544

+385 (0)1 6184 831

croz@croz.net

Begriffe und ihre Bedeutung

Personenbezogene Daten – alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (Betroffener) beziehen

Betroffene Person – eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind

Verarbeitung personenbezogener Daten – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten

Verantwortlicher – der Kunde, der den Zweck und die Mittel der Verarbeitung personenbezogener Daten selbst oder mit anderen bestimmt

Auftragsverarbeiter – das Unternehmen, das personenbezogene Daten für den Verantwortlichen verarbeitet

Nutzer – die dritte Partei, die auf Wunsch des Kunden die Dienstleistungen des Unternehmens in Anspruch nimmt

Vertrag – jeder Vertrag, einschließlich der Annahme eines Angebots, einer Bestellung oder eines anderen Dokuments, auf dessen Grundlage das Unternehmen auf Wunsch des Kunden eine Dienstleistung erbringt, der zwischen den Vertragsparteien zum Zweck der Erbringung von Dienstleistungen aus dem Geschäftsbereich des Unternehmens für den Kunden geschlossen oder angenommen wurde und in dessen Rahmen das Unternehmen mit den personenbezogenen Daten des Kunden oder Nutzers in Kontakt kommt oder kommen könnte.

Aufsichtsbehörde – eine unabhängige öffentliche Behörde, die von der Republik Kroatien zum Zweck der Kontrolle und Sicherstellung der Umsetzung der DSGVO eingerichtet wurde

Einwilligung – jede frei gegebene, spezifische, informierte und unmissverständliche Angabe des Willens der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten signalisiert

Verletzung des Schutzes personenbezogener Daten – eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt

Pseudonymisierung – die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Grundsätze für die Verarbeitung personenbezogener Daten

Die Datenschutzgrundverordnung legt die folgenden Grundsätze für die Verarbeitung personenbezogener Daten fest, die die Vertragsparteien anwenden müssen:

a) Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer gegenüber der betroffenen Person transparenten Weise verarbeitet werden;

b) Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist, und gemäß den Bestimmungen der Datenschutz-Grundverordnung, die Garantien und Ausnahmen in Bezug auf im öffentlichen Interesse liegende Archivierungszwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke regeln, die nicht als unvereinbar mit den ursprünglichen Zwecken gelten;

c) Personenbezogene Daten müssen den Zwecken entsprechen, für die sie verarbeitet werden, dafür erheblich sein und sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist;

d) Personenbezogene Daten müssen sachlich richtig sein, und es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden;

e) Personenbezogene Daten werden so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert, die die Identifizierung der betroffenen Personen ermöglicht;

f) Personenbezogene Daten sind so zu verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung, und zwar durch geeignete technische oder organisatorische Maßnahmen;

g) Der für die Verarbeitung Verantwortliche muss für die Einhaltung der oben genannten Grundsätze verantwortlich sein und dies nachweisen können.

Grundlage für die Verarbeitung und Art der personenbezogenen Daten

Die Gesellschaft kann in ihrer Eigenschaft als Auftragsverarbeiter bei der Erbringung von Dienstleistungen personenbezogene Daten des für die Verarbeitung Verantwortlichen und/oder des Nutzers sowie anderer Personen, deren Identität direkt oder indirekt festgestellt werden kann (im Folgenden: Betroffene), einsehen, sammeln, verwenden, weiterleiten und auf andere Weise verarbeiten.

Je nach Art der Geschäftsbeziehung kann das Unternehmen verschiedene Arten von personenbezogenen Daten der betroffenen Person verarbeiten. Dazu gehören Identifikations- und Kontaktinformationen, einschließlich, aber nicht beschränkt auf: Vor- und Nachname, ständige und/oder vorübergehende Wohnanschrift, persönliche Identifikationsnummer (PIN), Geburtsdatum, -ort und -land, Staatsangehörigkeit(en), Titel und Nummer des Ausweises mit Titel und Land der ausstellenden Behörde.

Die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter

Mit dem Abschluss des Rahmenvertrags bestätigt der für die Verarbeitung Verantwortliche, dass er alle rechtlichen Verpflichtungen im Zusammenhang mit dem Schutz personenbezogener Daten und der Datenschutz-Grundverordnung in vollem Umfang einhält.

Der Auftragsverarbeiter bietet hinreichende Garantien für die Umsetzung angemessener Maßnahmen zum Schutz personenbezogener Daten und für ein integriertes Qualitätsmanagement- und Informationssicherheitssystem gemäß den Anforderungen der Normen ISO9001 und ISO27001. Der für die Verarbeitung Verantwortliche hat in erster Linie im Rahmen seiner Möglichkeiten alle personenbezogenen Daten, auf die der Auftragsverarbeiter zugreifen kann, unleserlich zu machen oder auf andere Weise zu verbergen, so dass selbst die Einsichtnahme in diese Daten nicht als Verarbeitung personenbezogener Daten gilt.

Falls die Verarbeitung personenbezogener Daten im Rahmen der Verpflichtungen des Auftragsverarbeiters aus dem Rahmenvertrag erforderlich ist, muss der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter vor Beginn der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter die erforderlichen Informationen übermitteln und Folgendes sicherstellen:

a) der Experte des Auftragsverarbeiters, der auf die Daten zugreift, so autorisiert ist, dass zweifelsfrei festgestellt werden kann, dass es sich um denselben Experten des Auftragsverarbeiters handelt (separates Konto, Anmeldung, keine gemeinsamen Konten für die Systemanmeldung);

b) das System, auf das zugegriffen wird, die Protokollierung von Zugriffen und Vorgängen unterstützt (mindestens: Anmeldekonto, Zeitstempel für An- und Abmeldung; Protokollierung der Dateneinsicht, Protokollierung von Datenänderungen);

c) falls die Daten am Standort des für die Verarbeitung Verantwortlichen verarbeitet werden, ein separater gesicherter Raum, in dem der Experte des Auftragsverarbeiters die personenbezogenen Daten verarbeiten würde.

Der für die Verarbeitung Verantwortliche ist nicht befugt, den Zugang zu den personenbezogenen Daten über den gesicherten Zugang des Auftragsverarbeiters einer anderen Person zu gewähren, einen anderen Auftragsverarbeiter zu beauftragen, der über den gesicherten Zugang des Auftragsverarbeiters auf die personenbezogenen Daten zugreift, oder selbständig auf die personenbezogenen Daten über den gesicherten Zugang des Auftragsverarbeiters zuzugreifen.

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, dazu verpflichtet; in einem solchen Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen, es sei denn, diese Rechtsvorschriften verbieten eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.

Der Auftragsverarbeiter stellt sicher, dass die Fachleute des Auftragsverarbeiters, die im Rahmen der Erfüllung der Verpflichtungen des Auftragsverarbeiters aus dem zwischen den Vertragsparteien geschlossenen Rahmenvertrag mit der Verarbeitung personenbezogener Daten betraut sind, sich mit schriftlichen Vertraulichkeitserklärungen verpflichten, d.h. sich rechtsverbindlichen Vertraulichkeitsverpflichtungen unterwerfen.

Die Vertragsparteien setzen im Rahmen der Erfüllung der Verpflichtungen aus dem Rahmenvertrag durch den Auftragsverarbeiter geeignete technische und organisatorische Schutzmaßnahmen ein, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, u.a. gegebenenfalls

(a) die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten
(c) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Vertragsparteien treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters tätig ist und Zugang zu personenbezogenen Daten hat, diese nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeitet, es sei denn, sie ist nach dem Recht der Union oder eines Mitgliedstaats dazu verpflichtet.

Der für die Verarbeitung Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung eines anderen Auftragsverarbeiters.
Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen, die die Hinzufügung oder Ersetzung anderer Auftragsverarbeiter betreffen, und gibt dem für die Verarbeitung Verantwortlichen die Möglichkeit, gegen diese Änderungen Einspruch zu erheben.

Beauftragt der Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem anderen Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegt.

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung, wofür sich der für die Verarbeitung Verantwortliche verpflichtet, dem Auftragsverarbeiter gemäß dem angenommenen Angebot des Auftragsverarbeiters für die Erbringung dieser Dienstleistungen eine Gebühr zu zahlen;

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO, wobei er die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt; dafür verpflichtet sich der für die Verarbeitung Verantwortliche, dem Auftragsverarbeiter ein Entgelt gemäß dem angenommenen Angebot des Auftragsverarbeiters für die Erbringung dieser Dienstleistungen zu zahlen.

Der Auftragsverarbeiter löscht alle personenbezogenen Daten nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung oder gibt sie an den für die Verarbeitung Verantwortlichen zurück und löscht vorhandene Kopien, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt die Aufbewahrung der personenbezogenen Daten vor.

Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der festgelegten Verpflichtungen erforderlich sind, sowie Informationen, die Überprüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder andere von diesem beauftragte Prüfer ermöglichen, und trägt zu diesen bei.

Falls der Auftragsverarbeiter der Meinung ist, dass die dokumentierten Anweisungen die Rechte der betroffenen Personen verletzen, informiert er den für die Verarbeitung Verantwortlichen über einen solchen Fall.

Falls der Auftragsverarbeiter im Auftrag des Auftraggebers einen Anwendungscode entwickelt, stellt der Auftraggeber sicher, dass der Auftraggeber alle Verpflichtungen im Zusammenhang mit dem Schutz personenbezogener Daten erfüllt, insbesondere in Bezug auf das Design und die Architektur der Anwendung, um jeden Zweifel auszuschließen.

Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten hat, die im Rahmen des Rahmenvertrags verarbeitet werden.

Angaben zur Verarbeitung personenbezogener Daten

Mit Abschluss des Rahmenvertrags erteilt der Verantwortliche dem Auftragsverarbeiter einen schriftlichen Auftrag mit folgenden Angaben zur Verarbeitung, sofern die Parteien nichts anderes vereinbart haben:

a) Art, Zweck und Ziel der Verarbeitung: Die personenbezogenen Daten werden verarbeitet, um die vertraglich vereinbarten Verpflichtungen des Auftragsverarbeiters aus dem Rahmenvertrag zu erfüllen.

b) Die Dauer der Verarbeitung: Sie entspricht der Dauer des zwischen den Parteien geschlossenen Rahmenvertrags.

c) Kategorien von betroffenen Personen / verarbeiteten Daten: Personenbezogene Daten von Mitarbeitern des Auftraggebers (einschließlich Freiwillige, Praktikanten, Studenten, Rentner und dergleichen), personenbezogene Daten von Mitarbeitern der Niederlassungen des Auftraggebers (einschließlich Freiwillige, Praktikanten, Studenten, Rentner und dergleichen), (potenzielle) Kunden des Auftraggebers, andere Personen, die mit dem Auftraggeber in Beziehung stehen, Mitarbeiter von (potenziellen) Kunden des Auftraggebers, Mitarbeiter von anderen Personen, die mit dem Auftraggeber in Beziehung stehen, Geschäftspartner des Auftraggebers, Mitarbeiter anderer Partner des Kunden, Besucher des Kunden, personenbezogene Daten eines anderen für die Verarbeitung Verantwortlichen, Lieferanten und Unterauftragnehmer des Kunden, Lieferanten und Unterauftragnehmer eines anderen für die Verarbeitung Verantwortlichen, Mitarbeiter der Lieferanten und Unterauftragnehmer des Kunden, Mitarbeiter von Lieferanten und Unterauftragnehmern eines anderen für die Verarbeitung Verantwortlichen, Vertreter, Berater und andere Sachverständige des Kunden und andere Sachverständige eines anderen für die Verarbeitung Verantwortlichen.

d) Art der personenbezogenen Daten: Grunddaten (Vor- und Nachname), andere Grunddaten (Adresse, Titel, Qualifikation, Geburtsdatum), E-Mail-Adresse, andere Kontaktinformationen (Telefonnummer, Handynummer, Faxnummer, Adresse), Grunddaten aus dem Vertrag, Historie des Kunden, Zugangs-/Benutzer-/Berechtigungsdaten.

e) Besondere Kategorien von personenbezogenen Daten: Besondere Kategorien von personenbezogenen Daten werden nicht verarbeitet.

f) Detaillierte Beschreibung der Verarbeitung personenbezogener Daten: mit nicht automatisierten und automatisierten Mitteln, beim Auftraggeber, beim Nutzer, falls zutreffend, und beim Auftragsverarbeiter.

g) Der für die Verarbeitung Verantwortliche ist befugt, personenbezogene Daten zu erheben, aufzuzeichnen, zu organisieren, zu strukturieren, zu speichern, anzupassen oder zu verändern, abzurufen, einzusehen, zu nutzen, durch Übermittlung, Verbreitung oder auf andere Weise zugänglich zu machen, abzugleichen oder zu kombinieren, zu beschränken, zu löschen oder zu vernichten.

Kann der Auftragsverarbeiter seinen Verpflichtungen aus dem Rahmenvertrag nicht
nachkommen, weil die Anweisungen zur Verarbeitung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen ihn nicht dazu befähigen oder der für die Verarbeitung Verantwortliche keine angemessenen Bedingungen für die Verarbeitung sichergestellt hat, so gilt dies nicht als Verzögerung, Versäumnis oder Unterlassung des Auftragsverarbeiters bei der Erfüllung seiner Verpflichtungen aus dem Rahmenvertrag.

Besondere Bestimmungen für den Fall, dass das Unternehmen als anderer Auftragsverarbeiter auftritt

Die Bestimmungen dieses Artikels gelten insbesondere für den Fall, dass der Kunde als Auftragsverarbeiter und die Firma als anderer Auftragsverarbeiter handelt.

Mit dem Abschluss des Rahmenvertrags erklärt der Kunde, dass er dem Unternehmen Aufträge und Anweisungen in Bezug auf die Verarbeitung personenbezogener Daten auf der Grundlage der schriftlichen Anweisung des Benutzers als Verantwortlicher erteilt; wird das Gegenteil festgestellt, ist das Unternehmen von jeglicher Verantwortung gegenüber dem Benutzer und der betroffenen Person befreit, während der Kunde dem Unternehmen gegenüber für alle entstandenen Schäden haftet.

Mit dem Abschluss des Rahmenvertrags erklärt der Kunde, dass er über eine spezielle oder allgemeine vorherige schriftliche Genehmigung des Benutzers als Verantwortlicher für die Beauftragung der Firma als weiterer Auftragsverarbeiter verfügt. Der Kunde informiert das Unternehmen unverzüglich über jede Änderung, die sich auf das oben Genannte bezieht und die das Unternehmen betrifft.

Falls der Kunde seine Eigenschaft als Auftragsverarbeiter verliert oder der Benutzer zu irgendeinem Zeitpunkt seine Anweisung zur Verarbeitung personenbezogener Daten ändert, widerruft oder eine neue Anweisung erteilt, muss der Kunde die Firma unverzüglich informieren.

Der Kunde informiert die Firma unverzüglich über alle wichtigen Umstände im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Benutzers.

Im Falle einer Unterlassung gelten die genannten Verpflichtungen nicht für die Firma, und der Kunde muss der Firma alle entstandenen Schäden ersetzen.

Von CROZ organisierte Veranstaltungen und Konferenzen

Zu den Kategorien der erhobenen personenbezogenen Daten können Fotos und Videoaufnahmen von betroffenen Personen gehören, die während der Veranstaltung oder Konferenz gemacht werden. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist das berechtigte Interesse des für die Verarbeitung Verantwortlichen gemäß Artikel 6 Absatz 1 Buchstabe f der Datenschutzgrundverordnung.

Die während der Konferenz aufgenommenen Fotos und Videos können für die Werbung für die Veranstaltung und die Aktivitäten von CROZ verwendet werden, einschließlich der Veröffentlichung auf der Website von CROZ und in den sozialen Medien. Die Auswahl der Medien liegt im Ermessen von CROZ.

Bitte beachten Sie, dass Foto- und Videoaufnahmen den Sponsoren der Veranstaltung oder Konferenz für Werbe- und Sponsoringzwecke zur Verfügung gestellt werden können.
Bitte beachten Sie, dass die Fotos und Videoaufzeichnungen für einen Zeitraum gespeichert werden, der durch die Ergebnisse der vom für die Verarbeitung Verantwortlichen durchgeführten Bewertung des berechtigten Interesses gerechtfertigt ist, jedoch höchstens 10 Jahre.

Der Veranstalter hat das Urheberrecht an den Fotos und Videoaufnahmen, so dass die Weitergabe, das Kopieren, die Vervielfältigung oder die Veränderung verboten ist.
Alle weiteren Bestimmungen zum Schutz personenbezogener Daten finden Sie unter folgendem Link: https://croz.net/.
Sie können den Datenschutzbeauftragten unter folgender E-Mail-Adresse erreichen: dpo@croz.net.

Zu den Rechten der betroffenen Person im Sinne der Datenschutz-Grundverordnung gehören das Recht auf Auskunft über personenbezogene Daten, auf Berichtigung oder Löschung personenbezogener Daten, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung und das Recht auf Datenübertragbarkeit.

Die Bereitstellung personenbezogener Daten ist weder eine gesetzliche oder vertragliche Verpflichtung noch eine notwendige Voraussetzung für den Abschluss eines Vertrags, und die betroffene Person ist nicht verpflichtet, personenbezogene Daten bereitzustellen.

Eine automatisierte Entscheidungsfindung findet nicht statt.

Verantwortung

Der für die Verarbeitung Verantwortliche ist ausschließlich für die Richtigkeit, Vollständigkeit und regelmäßige Aktualisierung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen verantwortlich.

Die für die Verarbeitung Verantwortliche ist ausschließlich für die Sicherheit, die Vertraulichkeit, die Passwörter und den Zugang zu den personenbezogenen Daten in der IT-Infrastruktur der für die Verarbeitung Verantwortlichen verantwortlich.

Der für die Verarbeitung Verantwortliche ist ausschließlich für die Bereitstellung und Wartung der von ihm verwendeten EDV-Anlagen sowie für andere Anlagen verantwortlich, die für die Verarbeitung relevanter personenbezogener Daten erforderlich sind, mit Ausnahme der Rechte und Pflichten der Parteien aus dem Rahmenvertrag.

Die Haftung des Auftragsverarbeiters ist ausgeschlossen für Schäden, die durch die Nutzung des Servers des Auftragsverarbeiters entstehen, für Ausfälle, Störungen, Verspätungen, Diebstahl, Datenverlust, Computerviren, Veränderungen und Missbrauch von Aufzeichnungen, Betriebsunterbrechungen, unbefugtes Verhalten des Verantwortlichen sowie für jegliche Folgeschäden.
Die Vertragsparteien sind sich einig, dass der Auftragsverarbeiter nur dann für den Schaden verantwortlich ist, wenn er personenbezogene Daten entgegen den Anweisungen des Verantwortlichen verarbeitet.

Falls der Auftragsverarbeiter personenbezogene Daten gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet hat und der betroffenen Person dennoch ein Schaden entstanden ist und dieser vom Auftragsverarbeiter ersetzt wurde oder der Auftragsverarbeiter eine Geldstrafe gezahlt hat oder ihm sonstige Kosten oder Schäden entstanden sind, hat der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter diesen Betrag vollständig zu ersetzen.

Die Höhe des Schadens, für den der Auftragsverarbeiter haftbar gemacht werden kann, ist auf einen Höchstbetrag von 500.000,00 HRK begrenzt.

Kategorien von betroffenen Personen/Daten: personenbezogene Daten der Fachleute des Unternehmens

Art der personenbezogenen Daten:

  • Kontaktinformationen – Handynummer, E-Mail Adresse
  • Vor- und Nachname, Qualifikation, Arbeitsplatz, Geburtsdatum
  • Sonstiges – sonstige Daten im Lebenslauf, Lebenslauf oder Zeugnis des Sachverständigen

Besondere Kategorien von personenbezogenen Daten werden nicht verarbeitet.
Art der Datenverarbeitung:

  • mit nicht automatisierten und automatisierten Mitteln
  • am Ort des Auftraggebers

Der Auftraggeber ist befugt:

  • zu sammeln,
  • aufzeichnen,
  • zu organisieren,
  • einzusehen,
  • verwenden,
  • nach Beendigung der Genehmigung zur Verarbeitung der personenbezogenen Daten zu löschen oder zu vernichten.

Die Gesellschaft ist berechtigt, dem Kunden jederzeit geänderte oder zusätzliche Anweisungen oder Aufträge für die Verarbeitung der gelieferten personenbezogenen Daten zu erteilen.

Die Vertragsparteien sind sich darüber einig, dass alle anderen personenbezogenen Daten, mit Ausnahme der in Punkt 4 dieses Artikels genannten, als übermäßig angeforderte personenbezogene Daten betrachtet werden und nicht als entscheidende personenbezogene Daten für die Erbringung von Dienstleistungen durch das Unternehmen im Rahmen des Grundvertrages angesehen werden können; daher ist der Kunde nicht berechtigt, diese Daten vom Unternehmen oder direkt von den Experten des Unternehmens anzufordern.

Schlussbestimmungen

Für die Beziehungen zwischen den Vertragsparteien gilt kroatisches Recht, und im Falle von Streitigkeiten ist das Gericht in Zagreb zuständig.

Durch den Abschluss dieser Vereinbarung behalten die Vertragsparteien alle Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten im Einklang mit der Allgemeinen Datenschutzverordnung.

Standardvertragsklauseln sind über den Link: https://commission.europa.eu/system/files/2021-06/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf  (in englisch) verfügbar und gelten in geeigneter Weise für diese Allgemeinen Geschäftsbedingungen und werden als Teil von ihnen betrachtet.

Die Bestimmungen dieser Allgemeinen Geschäftsbedingungen gelten zwischen den Vertragsparteien für die gesamte Laufzeit des Rahmenvertrags.

Schließen die Vertragsparteien eine besondere Vereinbarung über die Verarbeitung personenbezogener Daten, so ergänzen die Bestimmungen dieser Allgemeinen Bedingungen diese besondere Vereinbarung.

Im Falle von Meinungsverschiedenheiten mit den Allgemeinen Bedingungen einer zwischen den Vertragsparteien geschlossenen Sondervereinbarung über die Verarbeitung personenbezogener Daten sind die Bestimmungen der Sondervereinbarung verbindlich.

Informationssicherheitsrichtlinie

Strategische Bedeutung und politischer Rahmen:

  • Die Geschäftsführung von CROZ d.o.o. ist der Ansicht, dass die Informationssicherheit von strategischer Bedeutung für das Unternehmen und seine Dienstleistungen ist.
  • Die Informationssicherheitspolitik definiert die Notwendigkeit eines Sicherheitssystems, seinen Umfang, seine Ziele, die Methoden zur Erreichung dieser Ziele, die Sicherheitskontrollen, die Rollen, die Verantwortlichkeiten und die Verwaltung der Politik.

Konzept und Bedeutung der Informationssicherheit:

  • Informationssicherheit umfasst den Schutz der Vertraulichkeit, Integrität, Verfügbarkeit, Unverletzlichkeit, Verantwortlichkeit, Glaubwürdigkeit und Zuverlässigkeit von Informationswerten.
  • Der Schutz von Informationsgütern umfasst Daten, Software, physische Güter, Dienstleistungen, Personal und immaterielle Güter.

Bedrohungen und Schutz:

  • Bedrohungen für Informationssysteme entstehen durch organisatorisches Versagen, menschliches Handeln, technische Gründe, höhere Gewalt und die Nichteinhaltung von Vorschriften.
  • Die Informationssicherheit schützt den Geschäftsbetrieb vor Unterbrechungen, Missbrauch und Fehlern und gewährleistet so die Geschäftskontinuität und Risikominderung.

Grundsätze und Quellen von Sicherheitskontrollen:

  • Zu den Grundsätzen gehören die Einhaltung rechtlicher Verpflichtungen, die Risikobewertung, die Festlegung von Rollen und Verantwortlichkeiten, interne Vereinbarungen, globale Ziele und die Verwaltung des Systemlebenszyklus.
  • Die Sicherheitskontrollen beruhen auf rechtlichen Verpflichtungen, Risikobewertungen und der Geschäftsstrategie von CROZ.

Globale Ziele für die Informationssicherheit:

  1. Bewusstseinsbildung: Förderung einer Kultur der Informationssicherheit durch Aufklärung und Messung der Zielerreichung.
  2. Effektive Sicherheitsorganisation: Definition von Sicherheitsrollen, Bereitstellung der erforderlichen Ressourcen und Rechte.
  3. Risikomanagement: Identifizierung und Klassifizierung von Vermögenswerten, Bewertung von Risiken und deren regelmäßige Kontrolle.
  4. Wirksame Sicherheitskontrollen: Auswahl von Kontrollen auf der Grundlage von Rechtfertigung und Kosteneffizienz.
  5. Geschäftskontinuität: Verwalten Sie die Geschäftskontinuität, um kritische Systemteile zu schützen.
  6. Individuelle Verantwortung: Jeder Benutzer ist für die Sicherheit in seinem Arbeitsbereich verantwortlich.
  7. Dokumentation: Führen Sie ein gut dokumentiertes Informationssicherheitsmanagementsystem.
  8. Interne Audits und Zertifizierung: Regelmäßige Durchführung von Audits zur Verbesserung des Systems.

Organisation und Zuständigkeiten:

  • Leitung: Genehmigt die Richtlinie, stellt Ressourcen und Unterstützung bereit.
  • CISO: Koordiniert die Umsetzung der Sicherheitsmaßnahmen und die Ausbildung.
  • Sicherheitsbüro: Setzt Richtlinien um, verwaltet Dokumentation und Vorfälle.
  • Referatsleiter: Setzen die Richtlinie in ihren Bereichen um.
  • Eigentümer von Vermögenswerten: Sie klassifizieren die Vermögenswerte und führen Kontrollen durch.
  • Spezialistenteam: Behebt Sicherheitsvorfälle.
  • Interne Prüfer: Führen Audits durch.

Umsetzungsmethode:

  • Die Informationssicherheitspolitik stützt sich auf die Normen ISO 27001:2022 und ISO 27002:2022.
  • Die Einrichtung des Systems umfasst die Risikobewertung, die Auswahl von Sicherheitskontrollen und die kontinuierliche Verbesserung des Systems durch Überwachung und Audits.

Dieses Dokument dient als grundlegender Rahmen für das Informationssicherheitssystem von CROZ und verpflichtet alle Angestellten und externen Mitarbeiter zur Umsetzung der festgelegten Richtlinie.