Schutz personenbezogener Daten

KRKA Pharma GmbH, Wien (nachfolgend: „Krka“) setzt sich für die Achtung der Grundrechte ein und legt besonderes Augenmerk auf den Schutz und die Verarbeitung personenbezogener Daten.

Selbstverpflichtung von Krka

Krka setzt sich für die sichere und vertrauliche Verarbeitung personenbezogener Daten im Zusammenhang mit Mitarbeitern, Anteilseignern, Vertragspartnern, Webseitenutzern sowie sonstigen Interessenträgern ein. Zugleich trägt Krka dafür Sorge, dass personenbezogene Daten rechtmäßig, fair und transparent sowie unter Achtung der Rechte der betroffenen Personen verarbeitet werden.

Richtlinie zum Schutz personenbezogener Daten

Zur Umsetzung seiner Verpflichtung hat Krka neue Vorschriften zum Schutz personenbezogener Daten erlassen, die der Datenschutz-Grundverordnung, der DSGVO (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates) und anderen anwendbaren Rechtsvorschriften entsprechen. Diese neuen Vorschriften bilden zusammen mit verschiedenen weiteren internen Vorschriften und Maßnahmen die Richtlinie der Krka Gruppe, mit der sichergestellt wird, dass personenbezogene Daten für bestimmte Zwecke erhoben und verarbeitet werden, dem Grundsatz der Datenminimierung entsprechen und dass personenbezogene Daten nur für den Zeitraum gespeichert werden, der für die Erfüllung des Zwecks, zu dem sie erhoben wurden, erforderlich ist.

Umfang

Unsere Richtlinie gilt für sämtliche Personen, die personenbezogene Daten an uns übermitteln: Mitarbeiter, Bewerber, Anteilseigner, Kunden, Lieferanten von Krka usw.

Für wen ist diese Richtlinie bindend

Diese Richtlinie ist für jede natürliche oder juristische Person bindend, mit der Krka zusammenarbeitet oder die im Namen von Krka auftritt und gelegentlich Zugriff auf personenbezogene Daten benötigt. Sämtliche Mitarbeiter von Krka und den Tochtergesellschaften des Unternehmens müssen sie erfüllen, ebenso gilt sie auch verbindlich für Auftragnehmer, Berater und sonstige externe Verarbeiter personenbezogener Daten.

Bestandteile der Richtlinie

Für die Ausführung unserer Prozesse ist es auch notwendig, dass wir personenbezogene Daten erheben und verarbeiten. Hierzu gehören Daten, die eine Identifikation betroffener Personen erlauben, wie beispielsweise Namen, Adressen, Nutzernamen und Passwörter, digitaler Fußabdruck, Fotografien, Personalausweisnummern, Finanzdaten usw.

Krka erhebt diese Daten in transparenter Weise und nur auf der Grundlage einer uneingeschränkten Zusammenarbeit mit interessierten Parteien sowie in ihrem vollen Bewusstsein. Nach der Erhebung der Daten gelten folgende Vorschriften:

Personenbezogene Daten, die von Krka erhoben werden:

  • werden fair und ausschließlich für legitime Zwecke erhoben;
  • sind sachlich richtig und auf aktuellem Stand;
  • werden im Rahmen rechtlicher Regelwerke und moralischer Grenzen verarbeitet;
  • werden gegen unbefugten und unrechtmäßigen Zugriff durch interne oder externe Parteien geschützt.

Personenbezogene Daten, die von Krka erhoben werden, werden nicht:

  • ohne Rechtsgrundlage von Krka nach außen übermittelt;
  • länger als für die angegebene Speicherfrist aufbewahrt;
  • an Organisationen oder Länder übermittelt, für die und in denen nicht die entsprechenden Datenschutzvorschriften gelten;
  • an Parteien übermittelt, denen die betroffene Person nicht zugestimmt hat (mit Ausnahme berechtigter Anforderungen durch Rechtsdurchsetzungsbehörden).

Zusätzlich zur sachgemäßen Datenverarbeitung besteht für Krka auch eine direkte Verpflichtung gegenüber den betroffenen Personen. Im Einklang mit der DSGVO und sonstigen geltenden Rechtsvorschriften zum Schutz personenbezogener Daten stellt Krka unter anderem Folgendes sicher:

  • Informationen für jede interessierte Einzelperson über sie betreffende personenbezogene Daten, d. h. die Kategorien personenbezogener Daten, die wir erheben, den Zweck der Erhebung ihrer personenbezogenen Daten, die Speicherfristen für ihre personenbezogenen Daten, Informationen zur Übermittlung ihrer personenbezogenen Daten an sonstige Parteien usw.
  • Berichtigung falscher personenbezogener Daten;
  • Löschung sämtlicher personenbezogenen Daten, wenn die Bedingungen für die Löschung erfüllt sind, z. B. nach Widerruf der Einwilligung der betreffenden Person;
  • Verfahren im Fall von verloren gegangenen, beschädigten oder gefährdeten Daten.

Tätigkeiten

Wir verpflichten uns hiermit dazu, die folgenden Tätigkeiten zum Schutz personenbezogener Daten auszuführen:

  • Einschränkung und Kontrolle des Zugangs zu besonderen Kategorien personenbezogener Daten;
  • Entwicklung und Umsetzung transparenter Verfahren für die Erhebung von Daten;
  • Schulung der Mitarbeiter für die Umsetzung persönlicher und technischer Schutzmaßnahmen;
  • Einrichtung eines sicheren Netzwerks zum Schutz personenbezogener Daten vor Cyberangriffen;
  • Schaffung klarer Verfahren für die Meldung von Datenschutzverletzungen oder Datenbetrug;
  • Aufnahme von Vertragsklauseln oder klaren Anweisungen zu unserer Datenverarbeitung;
  • Schaffung bewährter Vorgehensweisen für den Datenschutz (Richtlinie zum aufgeräumten Schreibtisch und leeren Bildschirm, Dokumentenschreddern, sicherer Verschluss, Datenverschlüsselung, regelmäßige Erstellung von Sicherungskopien, Zugangsberechtigungen usw.)

Krka verfügt über eine Zertifizierung nach ISO 27001, dies heißt, dass das Unternehmen im Einklang mit der ISO 27001 – Informationssicherheitsmanagementsysteme – bewährte Vorgehensweisen für den Datenschutz umsetzt.

Die Datenschutzbestimmungen von Krka werden in den folgenden Dokumenten geregelt:

  • Sonderrichtlinie für den Schutz personenbezogener Daten auf unserer Website;
  • Vorschriften zum Schutz personenbezogener Daten, in denen das System zum Schutz personenbezogener Daten ausführlich beschrieben wird;
  • Anhang zu den Allgemeinen Verfahren für den Schutz personenbezogener Daten, in denen eine kurze Beschreibung der technischen und organisatorischen Vorkehrungen für den Schutz personenbezogener Daten enthalten ist;
  • Aufzeichnungen über die Verarbeitung personenbezogener Daten – Beschreibungen der Dateisysteme mit personenbezogenen Daten.

Disziplinarische Konsequenzen

Mitarbeiter von Krka sind verpflichtet, sämtliche Grundsätze in dieser Richtlinie streng einzuhalten. Verstöße gegen die Vorschriften zum Datenschutz können zu disziplinarischen und sonstigen Maßnahmen führen.