Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU- Datenschutz-Grundverordnung Verantwortlicher Verantwortlicher Klimatechnik Seiser Jürgen Seiser Nußbaumweg 236 2722 Weikersdorf am Steinfelde j.seiser@klima-technik.co.at 0664 8214776 Datenverarbeitungen/Datenverarbeitungszwecke 1 Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (Rechnungen, Angebote) in diesen Angelegenheiten. Daten: Name, Anschrift, Bankverbindung, Telefon, E-Mail, UID Nummer 1.1 Rechtsgrundlage Daten werden zur Erfüllung eines Vertrags (Geschäftsbeziehung) erhoben, Datenerhebung ist für die Auftrageserfüllung notwendig. 2.Personalverwaltung: Verarbeitung und Übermittlung von Daten für die Personalentlohnung und die damit verbundenen Verarbeitungen und Übermittlungen für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von arbeits- und sozialrechtlich vorgegebener Aufzeichnungs-, Auskunfts- und Meldepflichten, einschließlich Dokumente Bewerbungsschreiben, Dienstzeugnisse 2.1 Rechtsgrundlage Art 6 Abs 1 lit b (Zur Vertragserfüllung inkl. Betriebsvereinbarungen erforderlich), lit c (gesetzliche Verpflichtungen) DSGVO: ABGB, AMSG, AngG, ARbIG, ArbVG, ARG, ASchG,ASVG, AuslBG, BAG, BEinstG, BMVSG, BundesarbeiterkammerG, EFZG, EStG, FLAF, FLAG, GlBG, MSchG, PKG, UrlG, VerschVG, VKG
Detailangaben zu Rechnungswesen und Geschäftsabwicklung Kunden und Lieferanten inkl. jeweiliger Kontaktpersonen Kategorien der verarbeiteten Daten und ankreuzen, ob sie an Empfänger übermittelt werden Lfd. Nr. Kategorie der betroffenen Personengruppen Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlic h relevant isd Art 10 DSGVO Banken Rechtsvertreter im Geschäftsfall Inkassounternehmen im Anlassfall Gerichte im Anlassfall Versicherungen im Anlassfall Subunternehmen - Monteure Lieferanten im Anlassfall Kunden und Lieferanten 1 Name, Firma od. sonstige Geschäftsbezeichnung Nein X X X X X X X 2 Anschrift Nein X X X X X X 3 Kontaktdaten Nein X X X X X 4 Bankverbindungen Nein X X X X X 5 UID-Nummer Nein X X X 5 Namen der Kontaktpersonen 6 Kontaktdaten der Kontaktpersonen Nein Nein X X X X X X X X X X
Löschungs- und Aufbewahrungsfristen Daten werden mindesten für 30 Jahre im Unternehmen gespeichert. Aus Erfahrung werden die Daten nicht gelöscht, da sich auch nach vielen Jahren wieder Geschäftsbeziehungen ergeben können.
Detailangaben zu Personalverwaltung Arbeitnehmer, freie Dienstnehmer, Lehrlinge, Ferialpraktikanten, ehemalige Beschäftigte Kategorien der betroffenen Personengruppe Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO Aufbewahrungsdauer mind. (Jahre) Empfänger Arbeitnehmer, freie Dienstnehmer, Lehrlinge, Ferialpraktikanten, ehemalige Beschäftigte Name 30 1-10 Geburtsdatum 30 1-7, 9 Bankverbindungen 30 1-2, 5, 8-9 elektr. Kontaktdaten, dienstlich 30 1-9 Wohnadresse 30 1-9 elektr. Kontaktdaten privat Sozialversicherungsnummer Sozialversicherungsträger Dienstnehmer - Sozialversicherungsdaten Daten der Versichertenmeldung 30 1-9 Ja 30 1-2, 5-6, 9 30 1-2, 5-6, 9 30 1-2, 9 30 1-2, 9 Eintrittsdatum 30 1-4, 7, 9 Austrittsdatum, Kündigungsfrist 30 1-4, 7, 9
Art und Beendigung des Dienstverhältnisses Arbeitszeiterfassung (einfache Zeittabelle) 30 1-2, 5, 9, 30 2, 9 Krankenstand, einschl. Arbeitsunfall Ja 30 1-2, 9 Zeitpunkt des Arbeitsunfalls Daten zur Entgeltforzahlung Ja 30 1-2, 9 30 1-2, 9 Gesetzliche, kollektivertragliche, betriebsvereinbarungsmäßige und einzelvertragliche Grundlagen der Entgeldtberechung (Einstufung) 30 1-2, 5, 9 Brutto- und Nettoentgelt 30 1-2, 5-6, 8-9 Daten des Lohnzettels 30 2, 9 Besondere Qualifikationen (w.b. Gewerbeschein, besondere Ausbildung) 30 2, 4, 9
Kategorien von Empfängern, an die personenbezogene Daten offengelegt werden - im Anlassfall Lfd. Nr. 1 2 Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen Gläubiger des Betroffenen sowie sonstige an der allenfalls damit verbundenen Rechts- verfolgung Beteiligte, auch bei freiwilligen Gehaltsabtretungen für fällige Forderungen Sozialversicherungsträger (einschließlich Betriebskrankenkassen) 3 Wahlvorstand für Betriebs- ratswahlen 4 Arbeitsinspektorat 5 Organe der betrieblichen Interessenvertretung 6 7 10 Gemeindebehörden in ver- waltungspolizeilichen Agenden (Gewerbebehörde, Zuständig- keiten nach ASchG, usw.) Bezirksverwaltungsbehörde in verwaltungspolizeilichen Agenden (Gewerbebehörde, Zuständigkeiten nach ASchG, usw. Rechtsgrundlage für Datenübermittlung Art. 6 Abs 1 lit a und DSGVO Allgemeines Sozialversicherungs- gesetz (ASVG) Arbeitsverfassungsgesetz (ArbVG) 8 Arbeitsinspektoratsgesetz (ArbIG) Arbeitsverfassungsgesetz (ArbVG) Diverse BG, LG und VO Diverse BG, LG und VO 8 Lehrlingsstelle und Berufs- schule 19 Berufsausbildungsgesetz 9 Arbeitsmarktservice Bundesamt für Soziales und Behindertenwesen (Bundessozialamt) zb gemäß 16 Behinderteneinstellungsgesetz 11 Finanzamt 12 Versicherungsanstalten im Rahmen einer bestehenden Gruppen- oder Einzelversicherung 13 Mit der Auszahlung an den Betroffenen oder an Dritte befassten Banken 14 Vom Dienstnehmer angegebene Gewerkschaft, mit Zustimmung des Betroffenen Arbeitsmarktservicegesetz (AMSG) 16 Behinderteneinstellungsgesetz (BEinstG) Einkommensteuergesetz (EStG 1988) Versicherungsvertragsgesetz (VersVG) Art. 6 Abs 1 lit b DSGVO Art. 6 Abs 1 lit b DSGVO ivm Vereinsgesetz 2002 15 Gesetzliche Interessenvertretungen Arbeiterkammergesetz 1992 16 Betriebsratsfonds 73 Abs 3 Arbeitsverfassungsgesetz (ArbVG)
Lfd. Nr. Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen 17 Betriebsärzte Rechtsgrundlage für Datenübermittlung 79ff ArbeitnehmerInnenschutzgesetz (ASchG) 18 Pensionskassen Pensionskassengesetz (PKG) 19 Externer Personalverrechner Art. 6 Abs 1 lit b, Art 9 Abs 2 lit b DSGVO 20 Rechtsvertreter Art. 6 Abs 1 lit f DSGVO 21 Gerichte Art. 6 Abs 1 lit f DSGVO 22 Mitversicherte Art. 6 Abs 1 lit f DSGVO 23 Mitarbeitervorsorgekassen 11 Abs 2 Z 5 und 13 Betriebliches Mitarbeitervorsorgegesetz (BMVG) 24 Kunden und Interessenten des Auftraggebers Art. 6 Abs 1 lit f DSGVO 25 EDV Dienstleister Art. 6 Abs 1 lit f DSGVO
Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen Speicherung: Kunden- und Lieferantendaten werden elektronisch (Buchhaltungsprogramm, Rechnungsprogramm, NAS Telefonbuch), als auch teilweise in Papierform (Ordnersystem), eventuell in einer Kundenkartei gespeichert. Vertraulichkeit: Zutrittskontrolle: Schutz vor unbefugtem Zutritt durch Schlüsselsystem in das Bürogebäude. Schutz vor unbefugter Systembenützung durch Passwörter, Firewalls, 2- Wege - Verschlüsselung Integrität: Eingabekontrolle: Feststellung, ob und von wem personenbezogen Daten ins System eigegeben, verändert oder entfernt worden sind: Protokollierung Verfügbarkeit und Belastbarkeit: Verfügbarkeitstrontrolle Schutz gegen zufällige oder Mutwille Zerstörung bzw. Verlust: regelmäßiges Backup Sicherheit der Daten: Daten in Papierform (Ordnersystem) sind im Büro durch Zutrittskontrolle (Schlüsselsystem) vor unberechtigter, Benützung, Veränderung bzw. Löschung gesichert. Neue Daten werden durch ein Eingabeprotokoll auf Richtigkeit geprüft. elektronische Daten werden durch Passwort- bzw. PIN Schutz auf allen verwendeten Geräten sowie Firewalls vor unbefugter Systembenützung geschützt. Geteilte Daten werden zusätzlich durch ein zweites bzw. drittes Passwort geschützt. Daten werden auf einem NAS (Synologie) gespeichert. NAS hat folgende Sicherheitszertifikate: - ISO/IEC 29147:2014(E) - Information technology -- Security techniques -- Vulnerability disclosure - ISO/IEC 30111:2013(E) - Information technology -- Security techniques -- Vulnerability handling processes Daten welche sich in der NAS Cloud befinden werden gesichert durch: - militärtaugliche AES 256-Bit-Verschlüsselungstechnologie - Firewall - Denial-of-Service-Prävention - Automatische Blockierung von IP-Adressen - AES-Verschlüsselung - Antivirenprogramm - 2 Stufen-Verifizierung - Synology Sicherheitsberater Verlust von Daten werden durch regelmäßige Backups am NAS vorgesorgt. Weiters wird das NAS über einen externen Akku betrieben, welcher im Falle eines Stromausfalls Datenverlust verhindert.