Datenschutzpolitik

Jeder hat Rechte in Bezug auf den Umgang mit seinen persönlichen Daten. Im Rahmen der Aktivitäten der ISI Dublin können wir persönliche Daten über Mitarbeiter, Studenten, Erziehungsberechtigte, Gastfamilien, Bildungspartner, Kunden und Dienstleister sammeln, speichern und verarbeiten und sind uns der Notwendigkeit bewusst, diese Daten auf angemessene und rechtmäßige Weise zu behandeln. Die ISI Dublin verpflichtet sich, ihre Verpflichtungen in Bezug auf alle personenbezogenen Daten, die sie verarbeitet, einzuhalten.

Zu den Arten von personenbezogenen Daten, die ISI Dublin möglicherweise verarbeiten muss, gehören Angaben zu aktuellen, ehemaligen und zukünftigen Mitarbeitern, Studenten, Erziehungsberechtigten, Bildungspartnern, Gastfamilien, Lieferanten, Kunden und anderen, mit denen ISI Dublin kommuniziert. Die Informationen, die auf Papier oder auf einem Computer oder anderen Medien gespeichert sein können, unterliegen bestimmten gesetzlichen Schutzmaßnahmen, die in der Allgemeinen Datenschutzverordnung (GDPR) (EU) 2016/679 und anderen Vorschriften festgelegt sind. Die GDPR legt Beschränkungen dafür fest, wie ISI Dublin Daten sammeln und verarbeiten darf.

In Übereinstimmung mit der GDPR ist Jen Diaz Green die designierte "Datenschutzbeauftragte" (Data Protection Lead, DPL) bei ISI Dublin und ist für alle Aspekte der Datenschutzpolitik und deren Umsetzung verantwortlich.

Diese Richtlinie ist nicht Teil des Arbeitsvertrags eines Mitarbeiters und kann jederzeit geändert werden. Jeder Verstoß gegen diese Richtlinie wird ernst genommen und kann zu disziplinarischen Maßnahmen bis hin zur Entlassung führen.

Zweck und Umfang der Richtlinie

In dieser Richtlinie werden die Regeln der ISI Dublin zum Datenschutz und die rechtlichen Bedingungen dargelegt, die in Bezug auf die Erhebung, Beschaffung, Handhabung, Verarbeitung, Speicherung, den Transport und die Vernichtung von persönlichen und sensiblen Daten erfüllt werden müssen.

Wenn eine Person der Meinung ist, dass die Richtlinie in Bezug auf personenbezogene Daten über sie selbst oder andere nicht befolgt wurde, sollte sie die Angelegenheit bei der DPL zur Sprache bringen.

Definition von Begriffen des Datenschutzes

  • Daten - Informationen, die elektronisch, auf einem Computer oder in bestimmten papierbasierten Ablagesystemen gespeichert sind. Dazu gehören auch IT-Systeme und CCTV-Systeme.
  • Betroffene Personen - Für die Zwecke dieses Dokuments sind alle lebenden Personen gemeint, über die ISI Dublin persönliche Daten besitzt.
  • Personenbezogene Daten - Daten, die sich auf eine lebende Person beziehen, die anhand der Daten (oder anhand dieser Daten und anderer Informationen, die sich im Besitz des für die Datenverarbeitung Verantwortlichen befinden oder in dessen Besitz gelangen können) identifiziert werden kann. Personenbezogene Daten können Fakten sein (z.B. Name, Adresse oder Geburtsdatum) oder eine Meinung (z.B. eine Leistungsbeurteilung).
  • Datenverantwortliche - Die Personen oder Organisationen, die für die Aufbewahrung und Verwendung der Daten verantwortlich sind.
  • Datennutzer - Mitarbeiter, deren Arbeit den Umgang mit persönlichen Daten beinhaltet. Datennutzer haben die Pflicht, die Informationen, mit denen sie umgehen, zu schützen, indem sie jederzeit die Sicherheitsrichtlinien der ISI Dublin zum Datenschutz befolgen.
  • Verarbeitung - Durchführen einer beliebigen Operation oder einer Reihe von Operationen mit Daten, einschließlich: -
  • Beschaffung, Aufzeichnung oder Aufbewahrung von Daten
  • Erfassen, Organisieren, Speichern, Ändern oder Anpassen der Daten
  • Abrufen, Abfragen oder Verwenden der Daten
  • Offenlegung der Informationen oder Daten durch Übermittlung, Verbreitung oder sonstige Zugänglichmachung
  • Ausrichten, Kombinieren, Schwärzen, Löschen oder Vernichten der Daten
  • Sensible persönliche Daten - Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder ähnliche Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, den körperlichen oder geistigen Gesundheitszustand oder das Sexualleben einer Person, strafrechtliche Verurteilungen oder die mutmaßliche Begehung einer Straftat. Sensible personenbezogene Daten können nur unter strengen Bedingungen verarbeitet werden und erfordern in der Regel die ausdrückliche Zustimmung der betroffenen Person.

Grundsätze des Datenschutzes

Jeder, der personenbezogene Daten verarbeitet, muss die acht einklagbaren Grundsätze der guten Praxis einhalten. Diese sehen vor, dass personenbezogene Daten sein müssen: -

Fair erhalten und verarbeitet

Die GDPR soll die Verarbeitung personenbezogener Daten nicht verhindern, sondern sicherstellen, dass sie nach Treu und Glauben und ohne Beeinträchtigung der Rechte der betroffenen Person erfolgt. Die betroffene Person muss darüber informiert werden, wer der Datenschutzbeauftragte ist, in diesem Fall Jen Diaz Green, zu welchem Zweck die Daten von ISI Dublin verarbeitet werden und an wen die Daten möglicherweise weitergegeben werden.

Damit personenbezogene Daten rechtmäßig verarbeitet werden können, müssen bestimmte Bedingungen erfüllt sein. Dazu gehören unter anderem die Voraussetzungen, dass die betroffene Person in die Verarbeitung eingewilligt hat oder dass die Verarbeitung für das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder der Partei, an die die Daten weitergegeben werden, erforderlich ist. Wenn sensible personenbezogene Daten verarbeitet werden, muss mehr als eine Bedingung erfüllt sein. In den meisten Fällen wird die ausdrückliche Zustimmung der betroffenen Person zur Verarbeitung solcher Daten erforderlich sein.

Nur für einen oder mehrere festgelegte, ausdrückliche und rechtmäßige Zwecke aufbewahrt

Personenbezogene Daten dürfen nur für die spezifischen Zwecke verarbeitet werden, die der betroffenen Person bei der ersten Erhebung der Daten mitgeteilt wurden, oder für andere Zwecke, die durch die DSGVO ausdrücklich erlaubt sind. Das bedeutet, dass personenbezogene Daten nicht für einen Zweck erhoben und für einen anderen verwendet werden dürfen. Wenn es notwendig wird, den Zweck, für den die Daten verarbeitet werden, zu ändern, muss die betroffene Person über den neuen Zweck informiert werden, bevor die Verarbeitung erfolgt. Alle von ISI Dublin erhobenen personenbezogenen Daten von Mitarbeitern werden für die üblichen Zwecke der Personalabteilung verwendet. Wenn es notwendig ist, Mitarbeiterdaten für einen anderen Zweck zu erheben, wird ISI Dublin den Mitarbeiter davon in Kenntnis setzen und gegebenenfalls die Zustimmung des Mitarbeiters zu einer solchen Verarbeitung einholen.

Verwendung und Weitergabe nur in einer Weise, die mit diesen Zwecken vereinbar ist

Personenbezogene Daten sollten nur in dem Maße erhoben werden, wie sie für die der betroffenen Person mitgeteilten spezifischen Zwecke erforderlich sind. Alle Daten, die für diesen Zweck nicht erforderlich sind, sollten gar nicht erst erhoben werden.

Sicher aufbewahrt und geschützt

Die ISI Dublin und ihre Mitarbeiter müssen sicherstellen, dass angemessene Sicherheitsmaßnahmen gegen die unrechtmäßige oder unbefugte Verarbeitung personenbezogener Daten sowie gegen den versehentlichen Verlust oder die Beschädigung personenbezogener Daten getroffen werden.

Die GDPR verpflichtet ISI Dublin dazu, Verfahren und Technologien einzuführen, um die Sicherheit aller personenbezogenen Daten zu gewährleisten. Personenbezogene Daten dürfen nur dann an einen dritten Datenverarbeiter weitergegeben werden, wenn dieser sich zur Einhaltung dieser Verfahren und Richtlinien verpflichtet hat oder über angemessene Sicherheitsmaßnahmen verfügt.

Das Folgende muss beibehalten werden: -

  • Vertraulichkeit - Nur Personen, die zur Verwendung der Daten befugt sind, können auf diese zugreifen. ISI Dublin stellt sicher, dass nur befugte Personen Zugang zur Personalakte eines Mitarbeiters und zu allen anderen persönlichen oder sensiblen Daten haben, die sich im Besitz von ISI Dublin befinden. Die Mitarbeiter sind verpflichtet, die Vertraulichkeit der Daten, zu denen sie Zugang haben, zu wahren.
  • Integrität - Personenbezogene Daten sind korrekt und für den Zweck, für den sie verarbeitet werden, geeignet.
  • Verfügbarkeit - Nur autorisierte Benutzer sollten auf die Daten zugreifen können, wenn sie sie für autorisierte Zwecke benötigen.

Die Sicherheitsrichtlinien/Verfahren umfassen: -

  • Sichere abschließbare Schreibtische und Schränke. - Alle Schreibtische und Schränke bleiben verschlossen, wenn sie nicht benutzt werden. (Persönliche Informationen werden immer als vertraulich betrachtet) und mit besonderen Vorsichtsmaßnahmen behandelt, um sicherzustellen, dass niemand die Arbeit sehen kann, die diese Informationen enthält.
  • Methoden der Entsorgung. - Papierdokumente müssen geschreddert werden. Alle Wechseldatenträger sollten gelöscht und physisch vernichtet werden, wenn sie nicht mehr benötigt werden.
  • Geräte - Datennutzer sollten sicherstellen, dass einzelne Monitore keine vertraulichen Informationen für Passanten zeigen und dass der Bildschirmschoner startet, sobald ihr PC unbeaufsichtigt ist.
  • ISO 27001 - Alle Richtlinien in Bezug auf ISO 27001, einschließlich der Dokumente zur IT-Sicherheitsrichtlinie, müssen eingehalten werden.

Genau, vollständig und auf dem neuesten Stand gehalten

Personenbezogene Daten müssen korrekt sein und auf dem neuesten Stand gehalten werden. Informationen, die nicht korrekt oder irreführend sind, sind nicht richtig, und es sollten Maßnahmen ergriffen werden, um die Richtigkeit aller personenbezogenen Daten zum Zeitpunkt der Erfassung und danach in regelmäßigen Abständen zu überprüfen. Ungenaue oder veraltete Daten sollten vernichtet werden. Die Mitarbeiter sollten sicherstellen, dass sie die DPL und die Personalabteilung über alle relevanten Änderungen ihrer persönlichen Daten informieren, damit diese aktualisiert und genau gepflegt werden können. Beispiele für relevante Änderungen der Daten wären eine Adressänderung.

Angemessen, relevant und nicht übertrieben

Nicht länger aufbewahrt werden, als es für den Zweck oder die Zwecke, für die sie gesammelt wurden, notwendig ist

Personenbezogene Daten sollten nicht länger aufbewahrt werden, als es für den Zweck erforderlich ist. Für Hinweise zur Datenaufbewahrung sollten sich die Mitarbeiter an ihren Vorgesetzten wenden. ISI Dublin hat verschiedene gesetzliche Verpflichtungen, bestimmte Mitarbeiterdaten für einen bestimmten Zeitraum aufzubewahren. Darüber hinaus kann es sein, dass die ISI Dublin personenbezogene Daten für einen bestimmten Zeitraum aufbewahren muss, um ihre berechtigten Interessen zu schützen.

Auf Anfrage an die betroffenen Personen zur Verfügung gestellt

Die Daten müssen im Einklang mit den Rechten der betroffenen Person verarbeitet werden. Betroffene Personen haben ein Recht auf: -

  • Zugang zu allen Daten zu verlangen, die der Data Controller über sie gespeichert hat
  • die Verarbeitung ihrer Daten für Direktmarketingzwecke zu verhindern
  • Bitten Sie darum, dass ungenaue Daten geändert werden
  • Verhindern Sie eine Verarbeitung, die Ihnen selbst oder anderen Schaden zufügen könnte.
  • Umgang mit Anfragen zum Thema Zugang

Ein formeller Antrag einer betroffenen Person auf Informationen, die die ISI Dublin über sie besitzt, muss schriftlich gestellt werden. Jeder Mitarbeiter, der eine schriftliche Anfrage in Bezug auf die von ISI Dublin gespeicherten Daten erhält, sollte diese an den Data Controller weiterleiten.

Informationen per Telefon bereitstellen

Jeder Mitarbeiter, der mit telefonischen Anfragen zu tun hat, sollte vorsichtig sein, wenn er am Telefon persönliche Informationen preisgibt, die sich im Besitz der ISI Dublin befinden. Der Mitarbeiter sollte: -

Überprüfen Sie die Identität des Anrufers, um sicherzustellen, dass die Informationen nur an Personen weitergegeben werden, die ein Recht auf diese Informationen haben.

Schlagen Sie dem Anrufer vor, seine Anfrage schriftlich zu stellen, wenn der Mitarbeiter sich der Identität des Anrufers nicht sicher ist und wenn die Identität des Anrufers nicht überprüft werden kann

Wenden Sie sich in schwierigen Situationen an Ihren Vorgesetzten und/oder an den Data Controller, um Unterstützung zu erhalten. Kein Mitarbeiter sollte sich gezwungen fühlen, persönliche Informationen preiszugeben.

Direktmarketing

Bei ISI Dublin gehört es zu unseren Grundsätzen, potenzielle Kunden nicht ohne deren Zustimmung zu kontaktieren. Um diese Politik einzuhalten, werden unsere Mitarbeiter in der Verkaufsvorbereitung gebeten, Folgendes zu beachten: -

Rufen Sie eine andere Organisation erst dann an oder schicken Sie ihr eine E-Mail, wenn bestätigt ist, dass sie eine Internetpräsenz hat oder ihre Kontaktdaten wie Adresse und Telefonnummer bereits veröffentlicht sind.

Wenn ein Anruf getätigt wird, muss die Erlaubnis eingeholt werden, um die richtigen Kontaktinformationen zu erhalten, z. B. den zuständigen Entscheidungsträger für den IT-Einkauf. Es muss aufgezeichnet werden, mit wem unser Mitarbeiter gesprochen hat sowie Datum und Uhrzeit des Anrufs.

Jeder E-Mail-Kontakt muss eine klar gekennzeichnete Opt-Out-Option enthalten.

Wir vermarkten nicht per Post, SMS oder Fax.

Alle Opt-Outs müssen respektiert werden (telefonisch oder elektronisch), indem der Kontakt dauerhaft gelöscht wird.

Überprüfung der Politik

ISI Dublin wird die Effektivität dieser Richtlinie mindestens einmal jährlich und bei Bedarf auch häufiger überprüfen, um sicherzustellen, dass die erklärten Ziele erreicht werden, wobei Gesetzesänderungen und organisatorische oder sicherheitsrelevante Änderungen berücksichtigt werden.