(1) Поради зголеменото вмрежување на информатичките и комуникациските системи, заштитата на личните податоци на корисниците, продажните партнери, вработените и акционерите се важни фактори на сите компании на Групацијата ДТ во светски рамки.      

(2) Поради тоа, најважната цел на овој Кодекс на однесување е да достигне идентично и високо ниво на заштита на податоците во Групацијата ДТ во светски рамки.  Особено, во случај на меѓународен тек на податоци, мора да се гарантира дека личните податоци се обработени од примателот согласно принципите на законот за заштита на податоци кој важи за испраќачот на таквите податоци.   

(3) Компаниите на Групацијата ДТ се свесни дека успехот на ДТ како целина зависи не само од глобалното вмрежување на тековите на информации, туку и од доверливо и безбедно ракување со лични податоци.  

(4) Во многу области, корисниците гледаат на Групацијата ДТ како единствен субјект.  Поради тоа, компаниите на Групацијата ДТ имаат заеднички интерес да дадат значителен придонес кон заедничкиот успех на компанијата и да го поддржат тврдењето на Групацијата ДТ како давател на висококвалитетни производи и услуги преку имплементација на овој Кодекс на однесување.   

 Дел еден 
Делокруг и примена

1. Правна природа на Кодексот на однесување

Овој Кодекс на однесување е Директива која е обврзувачка за целата Групација ДТ и стапува на сила по усвојување и објавување од страна на менаџментот на соодветните компании.  Се применува на ракувањето со сите лични податоци на физички лица, особено податоците за корисниците, акционерите, вработените и други трети страни, договорни страни или деловни партнери.      

2. Правни одредби кои треба да се применат

(1) Принципите утврдени во понатамошниот текст имаат за цел да гарантираат идентично високо ниво на заштита на податоци во целата Групација ДТ.  Сепак, овие принципи не ги заменуваат потребните - а таму каде е потребно - и статутaрните услови кои мора да бидат исполнети за легитимизација на ракувањето на личните податоци.  Било какви обврски и правила кои важат во поединечни компании за обработката и употребата на лични податоци кои ги надминуваат следните принципи или кои содржат дополнителни ограничувања на обработката и употребата на лични податоци, ќе останат неизменети со овој Кодекс на однесување.  Без оглед на горенаведеното, компаниите се согласни дека законите кои важат за поединечни компании нема да ги спречат овие компании да ги исполнат обврските од овој Кодекс на однесување.

(2) Податоците собрани во Европа мора да бидат обработени според правните одредби на земјата во која се собрани податоците, дури и во случај на меѓународен пренос.
(3) Собирањето на личните податоци и преносот на истите до јавни тела се вршат - освен во рамките на нормални договорни односи со корисник - во согласност со обврзувачките правни одредби на земјата.
(4) Овој Кодекс на однесување се води според правото на Федерална Република Германија.

 3. Прекинување

Истекувањето или прекинувањето на Кодексот на однесување - без оглед на времето, околностите и причините - не ги ослободуваат компаниите од обврските и/или одредбите од овој Кодекс на однесување во однос на обработката на веќе пренесени податоци.   

Дел два
Принципи

Член 1

Транспарентност на обработка на податоци

4. Обврска за информирање

Носителите на податоците мора да имаат лесен пристап до информациите за соодветното ракување на нивните лични податоци, на пример со објавување на политика за приватност и овој Кодекс на однесување на Интернет.

5. Содржина и форма на информациите

(1) Носителите на податоците соодветно се информираат за следното:

а) Идентитетот на контролорот (контролорите) на податоците и детали за контакт.

б) Планираниот обем и цел на собирањето, обработката и/или употребата на лични податоци.  Овие информации треба да вклучуваат и кои податоци се евидентираат и/или обработуваат/користат, зошто, за која цел и колку време.

в) Доколку личните податоци се пренесуваат на трети страни, примателот, обемот и целта на таквиот пренос.

г) Начинот на обработка и/или употреба на податоците, особено доколку истите треба да се обработат или користат во друга земја.

д) Нивните законски права (види Член 7).

(2) Без оглед на избраниот медиум, носителите на податоците треба да ги добијат овие информации на јасен и лесно разбирлив начин.

6. Достапност на информациите

Информациите се достапни на носителите на податоците кога податоците првпат се собрани и последователно, кога и да се побарани.

7. Согласност

(1) Освен собирањето, обработката или употребата на податоците се потребни за цели на иницирање или исполнување на договор или освен доколку постои некое друго статутарно овластување, одобрување од носителот на податоците се добива најдоцна кога податоците ќе почнат да се собираат, обработуваат или користат.

(2) Како дополнување на горенаведените обврски за информирање, во однос на согласноста ќе се запази и следното:

а) Согласноста за содржината мора да биде дадена експлицитно, мора да биде на волонтерска основа и мора да се обезбедат информации кои особено му го укажуваат на носителот на податоците обемот на предметот за кој носителот се согласува и последиците од недавањето согласност. Текстот на изјавите за согласност е доволно прецизен и ги информира Носителите на податоците за нивното право да ја повлечат својата согласност во било кое време.

б) Формулар за согласност се добива во форма соодветна на околностите (најчесто во печатена или електронска форма).  Во исклучителни случаи, согласност може да се добие усно, доколку фактите на согласноста и посебните околности поради кои усната согласност се смета за доволна се соодветно документирани.

Член 2

Употреба за конкретни цели

8. Принцип

Личните податоци нема да се користат за други цели освен оние за кои податоците првично биле собрани.

9. Забрана за условување

Употребата на услуги или прием на производи и/или услуги од страна на носителите на податоците нема да бидат условувани со согласност за употреба на нивните податоци за други цели освен за иницирање или исполнување на договор.  Ова ќе се применува само доколку не е разумно можно Носителот на податоците да користи слични услуги или производи.

Член 3

Посебни случаи на обработка на податоци

10. Директен Маркетинг

(1) Носителите на податоците ќе бидат информирани дека можат, во било кое време, да поднесат приговор за цели за директен маркетинг.  Дополнително, тие ќе бидат запознаени со природата, содржината и временскиот период во кој нивните податоци можат да се користат за цели за директен маркетинг. 

(2) Носителите на податоците ќе бидат информирани за нивното право да приговорат секој пат кога ќе добијат директна маркетинг комуникација.  Дополнително, Носителите на податоци ќе добијат соодветни алатки за примена на нивното право да не примаат такви комуникации.  Тие особено ќе добиваат информации за телото до кое се доставува приговор.

(3) Посебните правни одредби во согласност со втората реченица од  2 (1) од овој Кодекс на однесување, со кои употребата на личните податоци зависат од согласноста на Носителот на податоците, превладуваат врз други одредби.

11. Автоматизирани индивидуални одлуки

(1) Одлуки кои проценуваат индивидуални аспекти на лице и кои резултираат со правни последици за нив, или кои можат да имаат значителен неповолен ефект врз нив, нема да се базираат само на автоматската обработка.  Ова особено вклучува одлуки за кои податоците за кредитоспособност, професионална соодветност или здравствена состојба на носителот на податоците се значајни.

(2) Доколку, во поединечни случаи, постои објективна потреба за носење на автоматизирани одлуки, носителот на податоците ќе биде веднаш информиран за резултатот на автоматизираната одлука и ќе добие можност да даде коментар во соодветен временски период.  Овие коментари на носителот на податоците ќе бидат соодветно разгледани пред да се донесе конечна одлука.

 12. Посебни категории на лични податоци

(1) Ракувањето со посебни категории на лични податоци се предмет на експлицитно законско овластување или се предмет на претходна согласност од страна на носителот на податоците. Истото ќе биде дозволено и доколку е потребно да се обработат податоците со цел да се исполнат правата и обврските на одговорното тело во областа на законот за работни односи, под услов истото да биде дозволено согласно националниот закон кој обезбедува соодветни гаранции.

(2) Пред отпочнување на таквото собирање, обработка или употреба, секторот за заштита на податоци на компанијата во прашање ќе биде соодветно консултиран, во печатена форма, за сите случаи каде тоа е потребно.  Соодветно внимание треба да се посвети на природата, степенот, целта, потребата и правната основа за користење на податоците.

Член 4

Квалитет на податоци, економија на податоци и одбегнување на податоци

13. Квалитет на податоци

(1) Личните податоци во секое време ќе бидат точни и , каде што е потребно, ажурирани (квалитет на податоци).

(2) Имајќи ги предвид целите за кои податоците се собираат, обработуваат или користат, соодветни мерки ќе бидат превземени за да се осигура дека било какви неточни или нецелосни информации се избришани или доколку е потребно, исправени.

14. Економија на податоци, одбегнување на податоци, анонимизација и псевдонимизација

(1) Личните податоци се соодветни, релевантни и не се одвишни од аспект на употребата на податоците за конкретна цел (економија на податоци).  Податоците се обработуваат во рамки на одредена апликација само тогаш кога е потребно (одбегнување на податоци)

(2) Каде што е можно и економски разумно, ќе се користат процедури за бришење на податоци за идентификација на носителите на податоци (анонимизација) или за замена на податоците за идентификација со други карактеристики (псевдонимизација).  Анонимизацијата и псевдонимизацијата ќе се вршат на таков начин што вистинските идентититети на носителите на податоци не можат да се откријат или можат да се откријат само со непропорционално голем напор.

15. Профилирање, статистички анализи

(1) Организациски и технички мерки конзистентни со соодветни најмодерните концепти или технологии кои ќе обезбедат профилирањето (на пр. профили на движење, кориснички профили, профили за потрошувачка) не се дозволени освен со експлицитна законска дозвола или претходна согласност од носителот на податоци.

(2) За чисто статистички анализи или истражувања врз основа на анонимизирани или псевдонимизирани податоци, овие одредби не важат.

16. Архивирање на податоци 

Принципите за обработка на податоци, и особено принципите за економичност на податоци и одбегнување на податоци треба да се земат предвид при развивањето на правила за архивирање на податоци. Личните податоци не смеат да се архивираат без експлицитна согласност на носителот на податоците, освен доколку не се неопходни од оперативни причини или не претставуваат законска обврска.

Член 5

Забрана за понатамошен пренос

17. Пренос на податоци на трети страни 

(1) Преносот на лични податоци на трета страна бара правна основа. Ова може да се појави како прашање како резултат на потребата од исполнување на договорните барања кон носителите на податоци или добиена согласност од страна на носителот на податоци.

(2) Став 1 не се применува доколку постојат забрани во рамките на земјата, особено заради причини поврзани со безбедноста на земјата, националната одбрана, јавната безбедност или спречување, истражување, откривање и гонење на кривични дела за кои е потребен пренос на лични податоци.

18. Одговорност

(1) При преносот на податоци на трети страни кои не се јавни тела, компанијата која првично ги собрала податоците ќе обезбеди нивна законска обработка или употреба. Исто така, пред преносот на податоците, со примателот се дискутираат и се договараат соодветните мерки за заштита  и безбедност на податоците. Во случаи кога се склучени договори со тела од земји без соодветни нивоа за заштита на податоци мора да се обезбедат доволни гаранции во врска со заштитата на правото на приватност на поединецот и спроведување на правата поврзани со истото.

(2) Во согласност со општоприфатените стандарди, треба да се преземат соодветни технички и организациски мерки со цел да се обезбеди интегритет и безбедност на податоците во текот на нивниот пренос на трети страни.

19. Обработка на податоци од страна на подизведувачи 

(1) Кога некоја компанија ангажира услуги од подизведувач, освен договорот за услуги во кој се содржани работите кои треба да се извршат, договорот треба да се однесува и на обврските на подизведувачот како страна ангажирана во обработката на податоците. Овие обврски ќе ги дефинираат инструкциите на компанијата (единица за контрола на податоците) во врска со видот и начинот на обработка на лични податоци, целта на обработката и техничките и организациските мерки кои се потребни за заштита на податоците. Реченицата 3 од 18 (1) од овој Кодекс на однесување соодветно се применува.

(2) Подизведувачот нема да ги употребува личните податоци за цели на обработка за сопствени потреби или трети страни без претходна согласност на единицата за контрола на податоците. Во вториот случај, горенаведените правила треба исто така да се договорат со таквиот подизведувач(и).

(3) Подизведувачите се избираат според нивната можност за исполнување на горенаведените барања.

Член 6

Заштита на податоци, организација и безбедност на податоци

20. Лица недлежни за заштита на податоците

(1) Секоја компанија назначува лице надлежно за заштита на податоци чија задача е да обезбеди дека посебните сектори добиле совети во врска со статутарните и/или внатрешните барања на Групацијата или во врска со заштитата на податоци и политиката за приватност на податоците.

(2) Лицето надлежно за заштита на податоци мора да биде вклучено во дизајнирањето на нови производи и услуги од раните фази со цел да обезбеди дека истите се во согласност со принципите кои се дефинирани во овој Кодекс.

21. Проверки на степенот на заштита на податоци 

Проверките на степенот на заштита на податоци (на пр. преку ревизии на заштитата на податоци) треба да се вршат во редовни временски интервали со цел да се изврши преглед на ефективноста и успешноста на спроведената заштита на технички и организациски податоци. Таквите ревизии можат да се вршат внатрешно од страна на лицето надлежно за заштита на податоци или од други организациски единици на кои им е дадена задача за вршење на ревизија, или пак од страна на независна надворешна трета страна за која е добиено одобрение од единицата за контрола на податоци. Основа за определување на степенот на заштитата на податоци се барањата на правната и корпоративната политика кои се однесуваат на соодветната организациска единица, како и барањата на овој Кодекс на однесување.

22. Технички, организациски и мерки поврзани со вработените 

При започнувањето на работата на вработените во компанијата, во писмена форма треба да се договорат соодветните обврски за доверливост.  Исто така, за процесите на компанијата и за системите за информатичка технологија се воспоставуваат соодветни технички и организациски мерки за постапување со лични податоци. 

Таквите мерки вклучуваат: 

а) спречување на неовластени лица да добијат пристап до системите за обработка на податоци на кои се обработуваат или користат лични податоци (физичка контрола на пристап);

б) обезбедување дека системите за обработка на податоци не можат да се користат од страна на неовластени лица (контрола за одбивање на користење);

ц) обезбедување дека лицата кои се овластени да користат некој систем за обработка на податоци можат да пристапат само до оние податоци за кои имаат овластен пристап и дека личните податоци, во текот на обработката или користењето или по евидентирањето не можат да се читаат, копираат, менуваат или отстрануваат од страна на неовластени лица (контрола на пристап до податоци);

д) обезбедување дека, во текот на електронскиот пренос или во текот на нивниот транспорт или евидентирање на носач на податоци, личните податоци не можат да се читаат, копираат, менуваат или отстрануваат од страна на неовластени лица и дека е можно да се испита и да се утврди каде треба да се пренесат личните податоци со опрема за пренос на податоци (контрола на пренос на податоци);

е) обезбедување дека е можно ретроспективно да се испита и да се утврди дали и од страна на кого личните податоци биле внесени, изменети или отстранети од системите за обработка на податоци (контрола на внос на податоци);

ф) обезбедување дека личните податоци кои се обработуваат од подизведувачи можат да се обработуваат само во согласност со инструкциите добиени од нарачателот (контрола на подизведувач);

г) обезбедување дека личните податоци се заштитени од несакано уништување или губење (контрола на достапност);

х) гарантирање дека податоците кои се собрани за различни цели можат да се обработуваат одделно (правило за одделување).

Член 7

Права на носителите на податоци

23. Право на поставување прашања и жалба 

Секој носител на податоци има право во било кое време да контактира со секторот за заштита на податоци на одговорната компанија со прашања и жалби во врска во примената на овој Кодекс на однесување. Ако не е дополнително определено поинаку, за целите на овие одредби, за одговорна компанија се смета секоја компанија која е во договорен однос со носителот на податоци или која ги обработува личните податоци на носителот на податоци. Компанијата со која носителот на податоци склучил договор треба да осигура дека правата на носителот на податоци содветно се почитуваат од страна на другите одговорни компании.

24. Право на информирање 

(1) Секој носител на податоци може во било кое време да побара информации од одговорната компанија во врска со: 

а) личните податоци евидентирани за нивни потреби, вклучувајќи го и потеклото и примателот/примателите;

б) целта на обработката или употребата;

ц) лицата и единиците до кои нивните податоци редовно се пренесуваат, особено ако станува збор за пренос на податоци во странство;

д) одредбите на овој Кодекс на однесување.

(2) Соодветните информации треба да се стават на располагање на барателот во разбирлива форма, во разумен временски период. Генерално, ова треба да се прави во писмена форма или електронски.

(3) Онаму каде што дозволуваат релевантните закони на државата, компанијата може да наплати надомест за обезбедување на релевантните информации.

25. Право на протест/Право на бришење/блокирање на податоци

(1) Засегнат носител на податоци може да вложи протест до одговорната компанија против користење на негови/нејзини податоци, ако има такво право.

(2) Ова право на протест исто така ќе важи и во случај кога носителот на податоци претходно дал согласност за користење на неговите/нејзините податоци.

(3) Легитимните барања за бришење или блокирање на податоци треба итно да се реализираат. Таквите барања се легитимни особено кога правната основа за користење на податоците престанува да важи. Доколку некој носител на податоци има право на бришење на неговите податоци, но бришењето на податоците не е можно или е невозможно и покрај превземените разумни напори, податоците се заштитуваат од недозволено користење со блокирање. Се почитуваат статутарните периоди на задржување.

 26. Право на исправка 

Носителот на податоци може во било кое време да побара од одговорната компанија да ги исправи личните податоци кои се евидентирани за истиот доколку таквите податоци се нецелосни и/или неточни.

 27. Право на појаснување или коментари 

(1) Доколку некој носител на податоци тврди дека неговите/нејзините права се прекршени како резултат на незаконска обработка на податоци и особено доколку е прекршен овој Кодекс на однесување, одговорните компании ги објаснуваат фактите без напотребно одложување. Во вакви случаи, истите тесно соработуваат и дозволуваат пристап до сите податоци неопходни за утврдување на фактите на случајот.

(2) Секторот на компанијата одговорен за заштита на податоци кој најблиску се поврзува со соодветните прашања мора да ја координира целата релевантна кореспонденција со носителот на податоци.

28. Спроведување на правата на носителите на податоци 

Носителите на податоци не треба да се доведат во неповолна позиција заради користењето на овие права. Формата на комуникација со носителот на податоци – на пр. преку телефон, електронски или во писмена форма – треба да го почитува барањето на носителот на податоци, онаму каде што е возможно.

Член  8

Управување/одговорности во врска со процесот на заштита на податоци

 29. Одговорност за обработка на податоци 

(1) Компаниите, во функција на Контролори на податоци, се обврзани, особено во однос на носителите на податоци, да гарантираат согласност со барањата за заштита на податоци и одредбите на овој Кодекс на однесување.

(2) Лицето надлежно за заштита на податоци од дадената компанија веднаш се информира за било какви прекршоци (вклучувајќи и сомневања за направен прекршок) на одредбите за заштита на податоци и одредбите на овој Кодекс на однесување. Во случај на инциденти кои се релевантни за повеќе од една компанија се информира и централниот Сектор за приватност на Групацијата. Лицето надлежно за заштита на податоци го информира Секторот за приватност на Групацијата и доколку се извршат било какви промени во законите кои се однесуваат на компанијата и кои се значително неповолни.

(3) Секторите за заштита на податоци на посебните компании ги координираат своите активности во рамките на политиката за заштита на податоци на Групацијата. Исто така, тие треба взаемно да се подржуваат и да ги користат постоечките синергии.

 30. Координација од страна на лицето на Групацијата надлежно за приватност

 (1) Лицето на Групацијата надлежно за приватност го координира процесот на соработка и договарање на сите значајни прашања во врска со заштитата на податоци. Координативниот комитет на Групација ДТ за заштита на податоци игра улога на координативно тело.

(2) Задача на лицето на Групацијата надлежно за приватност е да подготви и развие политика на Групацијата за заштита на податоци. Секторите за заштита на податоци на компаниите исто така учествуваат во координацијата по ова прашање.

31. Супервизори и консултантски задолженија

(1) Лицата надлежни за заштита на податоците на соодветните компании се одговорни за надзор на придржувањето кон националните и меѓународните прописи за заштита на податоци и кон овој Кодекс на однесување. Во овој поглед, сите сектори на соодветните компании се обврзуваат да го инфомираат соодветното лице надлежно за заштита на податоците во врска со релевантните случувања и идни планови.

(2) Во отсуство на законски ограничувања, соодветните лица надлежни за заштита на податоците се овластени на самата локација да вршат испитување на сите техники на обработка кои вклучуваат користење на лични податоци.

(3) Каде што е соодветно и во рамките на задолженијата за испитување, единиците за заштита на податоци на компаниите користат механизми кои се идентични во рамки на Групацијата, на пример во форма на заеднички ревизии на заштита на податоци.

32. Обука и обврски на вработените

(1) Вработените во компаниите ќе бидат доволно обучени во однос на прописите за заштита на податоци и примената на овој Кодекс на однесување.

(2) Компаниите, со учество на надлежните сектори за заштита на податоци, ќе изготват соодоветни материјали за обука.

33. Соработка со надзорните органи

(1) Компаниите се согласни да одговараат на прашањата на надзорните органи кои се надлежни за нив или, доколку е применливо за компанијата, да ги изнесуваат податоците во текот на разумен временски период и до разумен степен, како и да се придржуваат кон препораките на надзорните органи.

(2) Во случај на промена на легислативата која се однесува на компанијата и која може да има значително неповолен ефект на гаранциите изложени во овој Кодекс на однесување, соодветната компанија ќе го извести адекватниот надзорен орган.

Член 9

Поими и дефиниции

Автоматизирани индивидуални решенија

Означува решенија кои имаат правни ефекти на носителот на податоците или кои значително влијаат на истиот и кои се базираат исклучиво на автоматска обработка на податоци кои се наменети за оценување на одредени лични аспекти во врска со носителот на податоците, како извршувањето на работата, соодветност за стекнување на право на кредит, сигурност, однесување, итн.

Носител на податоци

Означува било кое физичко лице со чии лични податоци располага Групацијата ДТ.

Контролор на податоци

Означува компанија која самостојно или заедно со други одлучува за целта и средствата за обработка на лични податоци.

Групацијата ДТ

Означува Deutsche Telekom AG и сите компании во кои Deutsche Telekom AG директно или индиректно поседува повеќе од 50% од акциите или кои се под контрола на истата.

Обработувач на податоци

Означува било кое правно или физичко лице, државен орган, агенција или било кое друго тело кое обработува лични податоци во име на контролорот на податоци (под-договарање на обработка на податоци).

Компанија

Означува било која компанија која е согласна да биде обврзана со овој Кодекс на однесување и која е наведена во Прилог 1 кон истиот.

Лични податоци

Означува било која информација во врска во врска со физичко лице кое е идентификувано или може да се идентификува (носител на податоци), односно лице кое може директно или индиректно да се идентификува, особено повикувајќи се на број на идентификација или еден или повеќе фактори кои се специфични за физичкиот, психолошкиот, менталниот, економскиот, културниот или социјалниот идентитет на лицето.

Располагање со лични податоци

Означува било која операција или серија операции кои се извршуваат во однос на личните податоци, како собирање, евидентирање, организација, чување, адаптација или измена, обновување, консултација, користење, откривање преку пренесување, дистрибуирање или овозможување на пристап до информациите на друг начин, усогласување или комбинирање, блокирање, бришење или уништување на истите; ова исто така вклучува обработка на лични податоци во структуирани фајлови.

Примател

Означува било кое правно или физичко лице, државен орган, агенција или било кое друго тело на кое му се откриени податоците, без оглед на тоа дали станува збор за трета страна или не; сепак, државните органи кои можат да примаат податоци во рамки на поединечни истраги не се сметаат за приматели.

Специјални категории на податоци

Означува податоци кои го откриваат расното или етничко потекло, политички убедувања, религиозни или филозофски верувања, синдикално членство или аспекти на здравствената состојба или сексуалниот живот.

Трета страна

Означува било кое друго лице или тело надвор од контролорот на податоци; трети страни не означува носител на податоци или лица или тела кои по налог собираат, обработуваат или користат лични податоци во Германија, друга земја членка на Европската унија или во друга држава која е страна на договорот во рамките на Европската економска област.