Erklärung
Die EU-Datenschutz-Grundverordnung („DSGVO“) ist am 25. Mai 2018 in Kraft getreten und zielt darauf ab, die Sicherheit und den Schutz personenbezogener Daten in der Europäischen Union zu stärken. Sie ersetzt die europäische Datenschutzrichtlinie und entsprechende nationale Gesetze. Die DSGVO erlegt Unternehmen, die personenbezogene Daten von Bürgern der Europäischen Union erfassen oder speichern, zusätzliche Anforderungen auf.
Unsere Verpflichtung
Hypertherm begrüßt die Einführung der DSGVO. Wir verpflichten uns, die Sicherheit und den Schutz der von uns verarbeiteten personenbezogenen Daten gemäß den Anforderungen der DSGVO zu gewährleisten. Die Grundlage unseres Unternehmenserfolgs ist das Vertrauen, das unsere Mitarbeiter, Kunden und andere Stakeholder in unsere Fähigkeit setzen, hervorragende Qualität zu liefern. Dazu gehört auch unsere Fähigkeit, hinsichtlich der personenbezogenen Daten, die unsere Mitarbeiter, Kunden und Dritte uns anvertrauen, ein hohes Datensicherheits- und Datenschutzniveau zu gewährleisten. Hypertherm betrachtet es nicht nur als eine Pflicht, nationale und internationale Datenschutzgesetze einzuhalten, sondern auch, hierfür unternehmensweit die gleichen Standards, Prozesse und Verfahren umzusetzen. Hierdurch können wir die Transparenz, Berechenbarkeit und Einheitlichkeit gewährleisten, die unsere Stakeholder von uns erwarten. In dieser Erklärung sind unsere Vorbereitungen und Maßnahmen zur Einhaltung der DSGVO zusammengefasst. Dazu gehört die Entwicklung und Umsetzung neuer Datenschutz-Vorbereitungen, Rollen, Richtlinien, Verfahren, Kontrollen und Maßnahmen, um auf Dauer ein Höchstmaß an Compliance zu gewährleisten.
Vorbereitungen
Unsere Datenschutzrichtlinien sollen unseren Stakeholdern das Bewusstsein vermitteln, dass ihre Daten bei uns sicher sind. Wir haben eine Reihe von Maßnahmen eingeleitet, durch die gewährleistet ist, dass mit Stakeholdern und ihren Daten nach den Grundsätzen des Datenschutzes umgegangen wird. Deshalb beinhalten unsere Vorbereitungen auf die Anforderungen der DSGVO organisationsübergreifend Folgendes:
- Daten-Audit: Durchführung eines Daten-Audits aus Sicht der DSGVO durch Datenzuordnung und Verzeichnisse, um festzustellen und zu bewerten, welche personenbezogenen Daten wir speichern, ihre Quellen, wie und warum sie verarbeitet werden und ob und an wen sie weitergegeben werden.
- Richtlinien und Verfahren: Datenschutzrichtlinien und -Verfahren, um die Anforderungen und Standards der DSGVO und weiterer relevanter Datenschutzgesetze einzuhalten, darunter: -
- Datenschutz – Unser wichtigstes Richtlinien- und Verfahrensdokument zum Datenschutz wurde überarbeitet, um die Standards und Anforderungen der DSGVO einzuhalten. Es wurden Maßnahmen zur Verantwortlichkeit und Steuerung eingeleitet, um zu gewährleisten, dass wir unsere Verpflichtungen und Zuständigkeiten kennen, angemessen verbreiten und nachweisen; mit einem besonderen Schwerpunkt auf Datenschutz durch Gestaltung und die Rechte von Einzelpersonen.
- Datenaufbewahrung und Löschung – Wir haben unsere Richtlinien und Pläne zur Datenaufbewahrung überarbeitet, um zu gewährleisten, dass wir die Grundsätze der „Datenminimierung“ und „Speicherbeschränkung“ beachten und dass personenbezogene Daten nach den Grundsätzen der Rechtmäßigkeit und Ethik gespeichert, archiviert und vernichtet werden.
- Datenlecks – Unsere Verfahren zur Abwehr von Datenlecks gewährleisten, dass wir Sicherheitsvorkehrungen und Maßnahmen getroffen haben, um jedes Datenleck bei personenbezogenen Daten so früh wie möglich zu erkennen, zu bewerten, zu untersuchen und zu melden. Unsere Verfahren sind robust und wurden allen Mitarbeitern mitgeteilt, damit sie die Berichtswege und die entsprechenden Schritte kennen.
- Internationale Datenübertragung und Weitergabe an Dritte – Soweit Hypertherm personenbezogene Daten außerhalb der EU speichert oder dorthin überträgt, haben wir robuste Verfahren und Sicherheitsvorkehrungen eingerichtet, um die Daten zu sichern, zu verschlüsseln und die Datenintegrität zu gewährleisten. Wir arbeiten daran, Systeme und Verfahren einzurichten, um die Länder mit hinreichenden Angemessenheitsfeststellungen leichter kontinuierlich überprüfen zu können, und verbindliche Unternehmensregeln, Standarddatenschutzklauseln oder zulässige Verhaltensregeln für diese Länder festzulegen. Wir führen bei allen Empfängern personenbezogener Daten strenge Due-Diligence-Kontrollen durch, um zu begutachten und zu überprüfen, dass sie angemessene Sicherheitsmaßnahmen getroffen haben, um die Daten zu schützen und die geltenden Rechte der Betroffenen zu gewährleisten, sowie dass den Betroffenen gegebenenfalls effektive Rechtswege offenstehen.
- Zugriffsanfrage durch den Betroffenen (Subject Access Request, „SAR“) – Wir haben unsere SAR-Verfahren überarbeitet, um den geänderten, vorgeschriebenen Zeitraum von dreißig Tagen für die Bereitstellung der angeforderten Daten zu berücksichtigen und diese kostenlos bereitzustellen. In unserem neuen Verfahren wird geregelt, wie wir den Betroffenen überprüfen, welche Schritte für eine Zugriffsanfrage zu unternehmen sind und welche Ausnahmen gelten. Dadurch wird gewährleistet, dass die Kommunikation mit Betroffenen gesetzeskonform, einheitlich und angemessen ist.
- Datenschutz – Unser wichtigstes Richtlinien- und Verfahrensdokument zum Datenschutz wurde überarbeitet, um die Standards und Anforderungen der DSGVO einzuhalten. Es wurden Maßnahmen zur Verantwortlichkeit und Steuerung eingeleitet, um zu gewährleisten, dass wir unsere Verpflichtungen und Zuständigkeiten kennen, angemessen verbreiten und nachweisen; mit einem besonderen Schwerpunkt auf Datenschutz durch Gestaltung und die Rechte von Einzelpersonen.
- Rechtsgrundlage der Verarbeitung: Wir überprüfen alle Verarbeitungsaktivitäten, um die Rechtsgrundlage der Verarbeitung festzustellen und zu gewährleisten, dass die Rechtsgrundlage für die Aktivität angemessen ist. Gegebenenfalls führen wir auch Protokolle über unsere Verarbeitungstätigkeiten, um zu gewährleisten, dass wir unsere Verpflichtungen nach Artikel 30 der DSGVO einhalten.
- Datenschutzrichtlinie: Wir haben unsere Datenschutzrichtlinie auf die DSGVO abgestimmt, um zu gewährleisten, dass alle Personen, deren personenbezogene Daten wir verarbeiten, darüber informiert werden, warum wir sie brauchen, wie wir sie verwenden, welche Rechte sie haben, an wen die Daten weitergegeben werden und welche Sicherheitsvorkehrungen wir getroffen haben, um ihre Daten zu schützen. https://www.hypertherm.com/policies/
- Einholung der Einwilligung: Wir haben unsere Einwilligungsmechanismen für die Erfassung personenbezogener Daten überarbeitet, um zu gewährleisten, dass die Betroffenen verstehen, was sie uns geben und warum und wie wir es verwenden, sowie um ihnen klar definierte Möglichkeiten zu verschaffen, der Verarbeitung ihrer Daten durch uns zuzustimmen. Wir haben stringente Verfahren für die Protokollierung der Einwilligung entwickelt, damit wir die ausdrückliche Einwilligung sowie Zeit- und Datumsangaben nachweisen können, sowie eine einfache Möglichkeit, die Einwilligung jederzeit zu widerrufen.
- Direktmarketing: Wir haben die Verfahren für das Direktmarketing überarbeitet und klare Einwilligungsmechanismen für Marketing-Abonnements, klare Hinweise und Methoden für den Widerspruch sowie die Abbestellung aller weiteren Marketingmaterialien geschaffen.
- Datenschutz-Folgeabschätzung (Data Protection Impact Assessments, „DPIA“): Soweit wir personenbezogene Daten verarbeiten, die mit höherem Risiko verbunden sind, Verarbeitung in großem Stil oder Daten in Spezialkategorien bzw. zu Straftaten umfassen, haben wir stringente Verfahren und Bewertungsvorlagen entwickelt, um eine Folgenabschätzung durchzuführen, die die Anforderungen der DSGVO, Artikel 35, vollständig erfüllt. Wir haben Dokumentationsverfahren eingeführt, durch die jede Abschätzung protokolliert wird, sodass wir das durch die Verarbeitungsaktivitäten entstehende Risiko einschätzen und Maßnahmen zur Risikominderung für den Betroffenen einleiten können.
- Daten in besonderen Kategorien: Soweit wir Daten in besonderen Kategorien verarbeiten, halten wir dabei die Anforderungen des Artikels 9 der DSGVO vollständig ein und gewährleisten die Verschlüsselung und den Schutz aller dieser Daten. Daten in besonderen Kategorien werden nur dann verarbeitet, wenn dies notwendig ist und nachdem wir die Rechtsgrundlage nach Artikel 9(2) festgestellt haben. Soweit wir für die Verarbeitung eine Einwilligung brauchen, wird diese Einwilligung ausdrücklich und durch Unterschrift erteilt, und auf das Recht zur Änderung oder zum Widerruf dieser Einwilligung klar hingewiesen.
Rechte des Betroffenen
Zusätzlich zu den oben genannten Verfahren informieren wir den Betroffenen durch unsere zahlreichen Kommunikationskanäle über sein Recht, alle personenbezogenen Daten einzusehen, die Hypertherm über ihn verarbeitet, und das Recht, Auskunft über Folgendes zu verlangen:
- Welche personenbezogenen Daten wir über die Person speichern
- Die Zwecke der Verarbeitung
- Die Kategorien der entsprechenden personenbezogenen Daten
- Wie lange wir die personenbezogenen Daten zu speichern beabsichtigen
- Informationen über die Quelle, soweit wir die Daten nicht direkt von der Person erhalten haben
- Das Recht, unvollständige oder unzutreffende Daten über die Personen korrigieren oder vervollständigen zu lassen, sowie das Antragsverfahren dafür
- Das Recht, die Löschung personenbezogener Daten zu verlangen (soweit zutreffend) oder die Verarbeitung auf das nach den Datenschutzgesetzen zulässige Maß einzuschränken, sowie das Recht, jeder Form von Direktmarketing von uns zu widersprechen und über von uns eingesetzte automatisierte Entscheidungsfindungen informiert zu werden
- Das Recht, eine Beschwerde einzureichen, sowie den Ansprechpartner dafür
Datensicherheitsmaßnahmen
Hypertherm nimmt die Privatsphäre und Sicherheit von Einzelpersonen und ihrer personenbezogenen Daten sehr ernst und trifft alle angemessenen Maßnahmen und Vorkehrungen, um die von uns verarbeiteten personenbezogenen Daten zu schützen und zu sichern. Wir haben robuste Sicherheitsrichtlinien und -verfahren zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Vernichtung, sowie Sicherheitsmaßnahmen auf mehreren Ebenen, darunter Zugriffskontrollen, Kennwortrichtlinien, Verschlüsselungen, Praktiken, Beschränkungen und Authentifizierungstypen.
DSGVO-Rollen
Hypertherm hat ein funktionsübergreifendes weltweites Team aufgestellt, um die Roadmap für die Einhaltung der DSGVO zu entwickeln und umzusetzen. Dieses Team ist dafür zuständig, das Bewusstsein für die DSGVO innerhalb der gesamten Organisation zu steigern, unsere Bereitschaft für die DSGVO zu bewerten, Lücken zu erkennen und die neuen Richtlinien, Verfahren und Maßnahmen umzusetzen.
Hypertherm ist sich darüber im Klaren, dass das Bewusstsein und Verständnis der Mitarbeiter für die andauernde Einhaltung der DSGVO stets wachgehalten werden müssen, und hat seine Mitarbeiter in die Vorbereitungspläne einbezogen. Wir haben vor dem 25. Mai 2018 eine entsprechende Mitarbeiteranweisung an alle Mitarbeiter übermittelt. Dies dokumentiert unsere Unterstützung der DSGVO.
Weitere Informationen
Bei Fragen zu unseren Vorbereitungen auf die DSGVO wenden Sie sich bitte an unsere Ansprechpartner für Datenschutz: EthicsPoint - Hypertherm, Inc.
Wir engagieren uns für den Schutz Ihrer personenbezogenen Daten und für Transparenz darüber, welche Daten wir speichern.