1.1 Sie haben gesetzliche Rechte in Bezug auf die Art und Weise, wie Ihre persönlichen Daten behandelt werden.
1.2 Im Rahmen unserer Geschäftstätigkeit erheben, speichern und verarbeiten wir personenbezogene Daten unserer Kunden, Lieferanten und sonstiger Dritter. Um die gesetzlichen Bestimmungen einzuhalten und das Vertrauen in unser Unternehmen aufrechtzuerhalten, sind wir uns der Bedeutung eines korrekten und rechtmäßigen Umgangs mit diesen Daten bewusst.
1.3 Alle Personen, die in oder mit unserem Unternehmen arbeiten, sind verpflichtet, sich bei der Verarbeitung personenbezogener Daten an diese Richtlinie zu halten.
2. Einführung
2.1 In dieser Richtlinie und allen anderen Dokumenten, auf die darin Bezug genommen wird, wird die Grundlage dargelegt, auf der wir personenbezogene Daten verarbeiten, die wir von betroffenen Personen, z. B. Kunden und Geschäftskontakten, erheben oder die uns von betroffenen Personen oder anderen Quellen zur Verfügung gestellt werden.
2.2Darin werden auch unsere Verpflichtungen in Bezug auf den Datenschutz im Rahmen der Allgemeinen Datenschutzverordnung (“die Verordnung”).
2.3In dieser Richtlinie sind die Regeln für den Datenschutz und die rechtlichen Bedingungen festgelegt, die erfüllt sein müssen, wenn wir personenbezogene Daten erheben, bearbeiten, verarbeiten, übertragen und speichern.
2.4Die hier dargelegten Verfahren und Grundsätze müssen von uns und unseren Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Namen des Unternehmens arbeiten, jederzeit befolgt werden.
2.5Wir sind bestrebt, einen korrekten, rechtmäßigen und fairen Umgang mit Ihren persönlichen Daten zu gewährleisten und Ihre gesetzlichen Rechte zu respektieren.
3. Die Bedeutung der wichtigsten Begriffe des Datenschutzes
3.1 Daten sind Informationen, die elektronisch, auf einem Computer oder in bestimmten papiergestützten Ablagesystemen gespeichert sind.
3.2Betroffene Personen im Sinne dieser Richtlinie sind alle lebenden Personen, über die wir personenbezogene Daten besitzen. Eine betroffene Person muss nicht Staatsangehöriger des Vereinigten Königreichs oder im Vereinigten Königreich ansässig sein. Alle betroffenen Personen haben gesetzliche Rechte in Bezug auf ihre personenbezogenen Daten.
3.3Persönliche Daten sind Daten, die sich auf eine lebende Person beziehen, die anhand dieser Daten (oder anhand dieser Daten und anderer uns vorliegender Informationen) identifiziert werden kann. Personenbezogene Daten können Fakten sein (z. B. ein Name, eine Adresse oder ein Geburtsdatum) oder sie können eine Meinung über diese Person, ihre Handlungen und ihr Verhalten sein.
3.4Für die Datenverarbeitung Verantwortliche sind die Personen oder Organisationen, die bestimmen, zu welchem Zweck und auf welche Weise personenbezogene Daten verarbeitet werden. Sie sind für die Festlegung von Praktiken und Richtlinien im Einklang mit dem Gesetz verantwortlich. Wir sind der Datenverantwortliche für alle personenbezogenen Daten, die in unserem Unternehmen für unsere eigenen kommerziellen Zwecke verwendet werden.
3.5Verarbeitung ist jede Tätigkeit, die die Verwendung der Daten beinhaltet. Sie umfasst die Beschaffung, Aufzeichnung oder Speicherung der Daten oder die Durchführung eines Vorgangs oder einer Reihe von Vorgängen mit den Daten, einschließlich der Organisation, Änderung, Abfrage, Verwendung, Offenlegung, Löschung oder Vernichtung der Daten. Die Verarbeitung umfasst auch die Übermittlung personenbezogener Daten an Dritte.
4. Zusammenfassung der Datenschutzgrundsätze
Mit dieser Politik soll die Einhaltung der Verordnung gewährleistet werden. Die Verordnung legt die folgenden Grundsätze fest, die jeder, der mit personenbezogenen Daten umgeht, einhalten muss. Alle personenbezogenen Daten müssen sein:
a) Ordnungsgemäße und rechtmäßige Verarbeitung rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet werden;
b) Verarbeitet für begrenzte Zwecke und in angemessener Weise für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt nicht als unvereinbar mit den ursprünglichen Zwecken;
c) Angemessen, relevant und nicht übertrieben für den Zweck angemessen und sachdienlich sein und sich auf das beschränken, was im Hinblick auf die Zwecke, für die sie verarbeitet werden, erforderlich ist;
d) Genaue Es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e) nicht länger als für den Zweck erforderlich aufbewahrt werden in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Person ermöglicht, und zwar nur so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger aufbewahrt werden, sofern sie ausschließlich zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, sofern die in der Verordnung vorgesehenen geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden;
f) Verarbeitung im Einklang mit den Rechten der betroffenen Personen Die Verarbeitung personenbezogener Daten muss im Einklang mit den Rechten der betroffenen Personen erfolgen, insbesondere mit Ihrem Recht auf:
Auskunft über die von einem für die Datenverarbeitung Verantwortlichen über sie gespeicherten Daten zu verlangen (siehe auch Klausel 15).
die Verarbeitung ihrer Daten zu Zwecken des Direktmarketings zu verhindern.
Beantragen Sie die Berichtigung unrichtiger Daten (siehe auch Punkt 9).
Verhindern Sie eine Verarbeitung, die Ihnen selbst oder anderen Schaden zufügen oder sie in Bedrängnis bringen könnte.
g) Sicherheit in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen.
h) Übertragungen außerhalb des EWR nicht an Personen oder Organisationen übertragen werden, die sich in Ländern ohne angemessenen Schutz befinden.
5. Unsere Verwendung von personenbezogenen Daten und unser Zweck
Wir erheben, speichern und verarbeiten die in Anhang 1 genannten personenbezogenen Daten (und der Zweck, zu dem wir diese personenbezogenen Daten verarbeiten, ist ebenfalls in Anhang 1 aufgeführt).
6. Unsere Maßnahmen zum Datenschutz
Wenn wir mit personenbezogenen Daten arbeiten, ergreifen wir die in Anhang 2 aufgeführten Maßnahmen.
Abschnitt B: Grundsätze des Datenschutzes
7. Rechtmäßige, faire und transparente Datenverarbeitung
Die Verordnung zielt nicht darauf ab, die Verarbeitung personenbezogener Daten zu verhindern, sondern sicherzustellen, dass sie nach Treu und Glauben und ohne Beeinträchtigung der Rechte der betroffenen Person erfolgt. Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn einer (oder mehrere) der folgenden Punkte zutrifft:
a) Zustimmung die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
b) Vertrag die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung von Maßnahmen erforderlich, die auf Antrag der betroffenen Person vor Abschluss eines Vertrags erfolgen;
c) gesetzliche Verpflichtung die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Datenverarbeitung Verantwortliche unterliegt;
d) Schutz die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) öffentliches Interesse die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
f) berechtigte Interessen die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
8. Verarbeitet für festgelegte, eindeutige und rechtmäßige Zwecke
8.1 Das Unternehmen sammelt und verarbeitet die personenbezogenen Daten, die in Anhang 1 dieser Richtlinie aufgeführt sind. Dazu können personenbezogene Daten gehören, die wir direkt von den betroffenen Personen erhalten haben (z. B. die Kontaktdaten, die verwendet werden, wenn eine betroffene Person mit uns kommuniziert), aber auch Daten, die wir von Dritten erhalten haben.
8.2Das Unternehmen verarbeitet personenbezogene Daten nur für die in Anhang 1 dieser Richtlinie genannten Zwecke (oder für andere Zwecke, die in der Verordnung ausdrücklich erlaubt sind). Die Zwecke, für die wir personenbezogene Daten verarbeiten, werden den betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten mitgeteilt, wenn diese direkt bei ihnen erhoben werden, oder so bald wie möglich (höchstens einen Kalendermonat) nach der Erhebung, wenn sie von einem Dritten erhalten wurden.
9. Angemessene, relevante und begrenzte Datenverarbeitung
Das Unternehmen erhebt und verarbeitet personenbezogene Daten nur zu dem Zweck und in dem Umfang, der für den spezifischen Zweck bzw. die spezifischen Zwecke erforderlich ist, über den bzw. die die betroffenen Personen gemäß Teil 5 oben informiert wurden.
10. Genauigkeit der Daten und Aktualität der Daten
Das Unternehmen stellt sicher, dass alle erhobenen und verarbeiteten personenbezogenen Daten richtig und aktuell sind. Die Richtigkeit der Daten wird bei ihrer Erhebung und danach in regelmäßigen Abständen überprüft. Werden ungenaue oder veraltete Daten festgestellt, werden unverzüglich alle angemessenen Schritte unternommen, um diese Daten gegebenenfalls zu ändern oder zu löschen.
11. Rechtzeitige Bearbeitung
Das Unternehmen bewahrt personenbezogene Daten nicht länger auf, als es im Hinblick auf die Zwecke, für die diese Daten ursprünglich erhoben und verarbeitet wurden, erforderlich ist. Wenn die Daten nicht mehr benötigt werden, werden alle angemessenen Schritte unternommen, um sie unverzüglich zu löschen.
12. sichere Verarbeitung
Das Unternehmen stellt sicher, dass alle erhobenen und verarbeiteten personenbezogenen Daten sicher aufbewahrt und vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden. Weitere Einzelheiten zu den zu treffenden datenschutzrechtlichen und organisatorischen Maßnahmen sind in den Teilen 22 und 23 der vorliegenden Richtlinie enthalten.
12.1eine Bewertung der Risiken, die für die einzelnen Betroffenen bestehen; und
12.2Einzelheiten zu den bestehenden Maßnahmen zur Minimierung und Handhabung von Risiken, einschließlich Schutzmaßnahmen, Datensicherheit und anderer Maßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten, die ausreichen, um die Einhaltung der Verordnung nachzuweisen.
Abschnitt C: Rechte der betroffenen Person
13. Die Rechte der betroffenen Personen
In der Verordnung werden die folgenden Rechte der betroffenen Personen festgelegt:
a) Das Recht, informiert zu werden;
b) Das Recht auf Zugang;
c) Das Recht auf Berichtigung;
d) Das Recht auf Löschung (auch bekannt als das ‘Recht auf Vergessenwerden’);
e) Das Recht auf Einschränkung der Verarbeitung;
f) Das Recht auf Datenübertragbarkeit;
g) Das Recht auf Widerspruch;
h) Rechte in Bezug auf die automatisierte Entscheidungsfindung und das Profiling.
14. Die Rechte der betroffenen Personen
14.1 Das Unternehmen stellt sicher, dass jeder betroffenen Person bei der Erhebung personenbezogener Daten die folgenden Informationen zur Verfügung gestellt werden:
a) Angaben zum Unternehmen, einschließlich, aber nicht beschränkt auf die Identität von Jimit Bagadiya, dem Datenschutzbeauftragten;
b) den Zweck/die Zwecke, zu dem/denen die personenbezogenen Daten erhoben und verarbeitet werden (wie in Anhang 1 dieser Richtlinie aufgeführt), sowie die Rechtsgrundlage, die diese Erhebung und Verarbeitung rechtfertigt;
c) Gegebenenfalls die berechtigten Interessen, mit denen das Unternehmen die Erhebung und Verarbeitung der personenbezogenen Daten rechtfertigt;
d) wenn die personenbezogenen Daten nicht direkt von der betroffenen Person erhoben werden, die Kategorien der erhobenen und verarbeiteten personenbezogenen Daten;
e) falls die personenbezogenen Daten an einen oder mehrere Dritte weitergegeben werden sollen, Angaben zu diesen Dritten;
f) wenn die personenbezogenen Daten an einen Dritten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden sollen, Einzelheiten zu dieser Übermittlung, einschließlich, aber nicht beschränkt auf die bestehenden Sicherheitsvorkehrungen (weitere Einzelheiten zu solchen Datenübermittlungen in Drittländer siehe Teil 26 dieser Richtlinie);
g) Einzelheiten über die Dauer der Speicherung der personenbezogenen Daten durch das Unternehmen (oder, falls es keinen festgelegten Zeitraum gibt, Einzelheiten darüber, wie diese Dauer bestimmt wird);
h) Einzelheiten zu den Rechten der betroffenen Person gemäß der Verordnung;
i) Einzelheiten über das Recht der betroffenen Person, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen jederzeit zu widerrufen;
j) Einzelheiten über das Recht der betroffenen Person, sich beim Information Commissioner's Office (der ‘Aufsichtsbehörde’ gemäß der Verordnung) zu beschweren;
k) Gegebenenfalls Einzelheiten zu gesetzlichen oder vertraglichen Anforderungen oder Verpflichtungen, die die Erhebung und Verarbeitung der personenbezogenen Daten erfordern, sowie Einzelheiten zu den Folgen einer Nichtbereitstellung;
l) Einzelheiten zu jeder automatisierten Entscheidungsfindung, die unter Verwendung der personenbezogenen Daten stattfindet (einschließlich, aber nicht beschränkt auf Profiling), einschließlich Informationen darüber, wie Entscheidungen getroffen werden, die Bedeutung dieser Entscheidungen und etwaige Folgen.
14.2 Wenn die personenbezogenen Daten direkt bei der betroffenen Person zum Zeitpunkt der Erhebung erhoben werden;
14.3 Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person stammen (d. h. von einer anderen Partei):
a) wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, zum Zeitpunkt der ersten Kommunikation; oder
b) wenn die personenbezogenen Daten an eine andere Partei weitergegeben werden sollen, bevor die personenbezogenen Daten weitergegeben werden; oder
c) wenn die personenbezogenen Daten an eine andere Partei weitergegeben werden sollen, bevor die personenbezogenen Daten weitergegeben werden; oder
15. Zugang für Betroffene
15.1 Eine betroffene Person kann jederzeit einen Antrag auf Auskunft stellen, um mehr über die personenbezogenen Daten zu erfahren, die das Unternehmen über sie gespeichert hat. Das Unternehmen ist in der Regel verpflichtet, SARs innerhalb eines Monats nach Eingang zu beantworten (diese Frist kann bei komplexen und/oder zahlreichen Anfragen um bis zu zwei Monate verlängert werden; in solchen Fällen wird die betroffene Person über die Notwendigkeit der Verlängerung informiert).
15.2 Alle Anträge auf Auskunft sind an Jimit Bagadiya, den Datenschutzbeauftragten des Unternehmens, zu richten privacy@socialpilot.co. Das Unternehmen erhebt keine Gebühren für die Bearbeitung normaler Verdachtsmeldungen. Das Unternehmen behält sich das Recht vor, angemessene Gebühren für zusätzliche Kopien von Informationen zu erheben, die einer betroffenen Person bereits zur Verfügung gestellt wurden, sowie für offensichtlich unbegründete oder übertriebene Anfragen, insbesondere wenn sich solche Anfragen wiederholen.
16. Berichtigung von personenbezogenen Daten
16.1 Teilt eine betroffene Person dem Unternehmen mit, dass bei ihr gespeicherte personenbezogene Daten unrichtig oder unvollständig sind, und bittet sie um deren Berichtigung, so sind die betreffenden personenbezogenen Daten innerhalb eines Monats nach Eingang der Mitteilung der betroffenen Person zu berichtigen und die betroffene Person über diese Berichtigung zu unterrichten (diese Frist kann bei komplexen Anträgen um bis zu zwei Monate verlängert werden; in diesen Fällen wird die betroffene Person über die Notwendigkeit der Verlängerung informiert).
16.2 Sollten betroffene personenbezogene Daten an Dritte weitergegeben worden sein, so sind diese über die Berichtigung dieser personenbezogenen Daten zu informieren.
17. Löschung von personenbezogenen Daten
17.1 Die betroffenen Personen können unter den folgenden Umständen verlangen, dass das Unternehmen die über sie gespeicherten personenbezogenen Daten löscht:
a) es für das Unternehmen nicht mehr notwendig ist, diese personenbezogenen Daten für den Zweck zu speichern, für den sie ursprünglich erhoben oder verarbeitet wurden;
b) Die betroffene Person möchte ihre Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen widerrufen;
c) Die betroffene Person widerspricht der Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen (und es besteht kein überwiegendes berechtigtes Interesse, das es dem Unternehmen erlaubt, damit fortzufahren) (weitere Einzelheiten zu den Widerspruchsrechten der betroffenen Personen finden Sie in Teil 20 dieser Richtlinie);
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
e) Die personenbezogenen Daten müssen gelöscht werden, damit das Unternehmen einer bestimmten gesetzlichen Verpflichtung nachkommen kann;
17.2 Sofern das Unternehmen keine triftigen Gründe hat, die Löschung personenbezogener Daten zu verweigern, wird allen Anträgen auf Löschung entsprochen und die betroffene Person innerhalb eines Monats nach Eingang des Antrags der betroffenen Person über die Löschung informiert (diese Frist kann bei komplexen Anträgen um bis zu zwei Monate verlängert werden; in solchen Fällen wird die betroffene Person über die Notwendigkeit der Verlängerung informiert).
17.3 Wurden personenbezogene Daten, die auf Antrag der betroffenen Person gelöscht werden sollen, an Dritte weitergegeben, so sind diese über die Löschung zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).
18. Einschränkung der Verarbeitung personenbezogener Daten
18.1 Betroffene Personen können verlangen, dass das Unternehmen die Verarbeitung der sie betreffenden personenbezogenen Daten einstellt. Wenn eine betroffene Person einen solchen Antrag stellt, bewahrt das Unternehmen nur so viele personenbezogene Daten der betroffenen Person auf, wie erforderlich sind, um sicherzustellen, dass keine weitere Verarbeitung ihrer personenbezogenen Daten erfolgt.
18.2 Sollten betroffene personenbezogene Daten an Dritte weitergegeben worden sein, so sind diese über die geltenden Verarbeitungsbeschränkungen zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).
19. Datenübertragbarkeit
19.1 Wenn die betroffenen Personen dem Unternehmen ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten gegeben haben oder die Verarbeitung anderweitig für die Erfüllung eines Vertrags zwischen dem Unternehmen und der betroffenen Person erforderlich ist, haben die betroffenen Personen gemäß der Verordnung das Recht, eine Kopie ihrer personenbezogenen Daten zu erhalten und diese für andere Zwecke zu verwenden (nämlich die Übermittlung an andere für die Verarbeitung Verantwortliche, z. B. andere Organisationen).
19.2 Um das Recht auf Datenübertragbarkeit zu erleichtern, stellt das Unternehmen den betroffenen Personen alle einschlägigen personenbezogenen Daten im CSV-Format zur Verfügung.
19.3 Soweit technisch machbar, werden personenbezogene Daten auf Antrag einer betroffenen Person direkt an einen anderen für die Verarbeitung Verantwortlichen übermittelt.
19.4 Allen Anträgen auf Kopien personenbezogener Daten wird innerhalb eines Monats nach Antrag der betroffenen Person entsprochen (diese Frist kann bei komplexen Anträgen oder zahlreichen Anträgen um bis zu zwei Monate verlängert werden; in diesen Fällen wird die betroffene Person über die Notwendigkeit der Verlängerung informiert).
20. Einwände gegen die Verarbeitung personenbezogener Daten
20.1 Die betroffenen Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen zu widersprechen, wenn diese auf der Grundlage von berechtigten Interessen (einschließlich Profiling), Direktmarketing (einschließlich Profiling) und der Verarbeitung zu wissenschaftlichen und/oder historischen Forschungs- und Statistikzwecken erfolgt.
20.2 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen auf der Grundlage seiner berechtigten Interessen, so stellt das Unternehmen die Verarbeitung unverzüglich ein, es sei denn, es kann nachgewiesen werden, dass die berechtigten Gründe des Unternehmens für diese Verarbeitung die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung ist zur Geltendmachung von Rechtsansprüchen erforderlich.
20.3 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen zu Zwecken des Direktmarketings, so stellt das Unternehmen diese Verarbeitung unverzüglich ein.
20.4 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen zu wissenschaftlichen und/oder historischen Forschungszwecken und zu statistischen Zwecken, so muss die betroffene Person gemäß der Verordnung ‘Gründe im Zusammenhang mit ihrer besonderen Situation’ nachweisen. Das Unternehmen ist nicht verpflichtet, dem nachzukommen, wenn die Forschung für die Erfüllung einer Aufgabe erforderlich ist, die aus Gründen des öffentlichen Interesses durchgeführt wird.
21. Automatisierte Entscheidungsfindung
21.1 Falls das Unternehmen personenbezogene Daten für die Zwecke der automatisierten Entscheidungsfindung verwendet und diese Entscheidungen eine rechtliche (oder ähnlich bedeutende) Auswirkung auf die betroffenen Personen haben, haben die betroffenen Personen das Recht, solche Entscheidungen gemäß der Verordnung anzufechten, ein menschliches Eingreifen zu verlangen, ihren eigenen Standpunkt darzulegen und eine Erläuterung der Entscheidung vom Unternehmen zu erhalten.
21.2Das in Teil 21.1 beschriebene Recht gilt nicht unter den folgenden Umständen:
a) Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Unternehmen und der betroffenen Person erforderlich;
b) Die Entscheidung ist gesetzlich zulässig; oder
c) Die betroffene Person hat ihre ausdrückliche Einwilligung gegeben.
22. Profilierung
22.1 Verwendet das Unternehmen personenbezogene Daten zum Zwecke des Profilings, so gilt Folgendes:
a) Es werden klare Informationen zur Verfügung gestellt, die das Profiling erklären, einschließlich seiner Bedeutung und der wahrscheinlichen Folgen;
b) Es werden geeignete mathematische oder statistische Verfahren verwendet;
c) Technische und organisatorische Maßnahmen, die erforderlich sind, um das Risiko von Fehlern zu minimieren und eine einfache Korrektur solcher Fehler zu ermöglichen, werden durchgeführt.
d) Alle personenbezogenen Daten, die zum Zwecke der Profilerstellung verarbeitet werden, sind zu sichern, um diskriminierende Auswirkungen der Profilerstellung zu verhindern (weitere Einzelheiten zur Datensicherheit finden Sie in den Teilen 22 und 23 dieser Richtlinie).
Abschnitt D: Unsere sonstigen Verpflichtungen
23. Rechenschaftspflicht
23.1 Der Datenschutzbeauftragte des Unternehmens ist Jimit Bagadiya, privacy@socialpilot.co. Das Unternehmen führt schriftliche interne Aufzeichnungen über die Erhebung, den Besitz und die Verarbeitung personenbezogener Daten, die folgende Informationen enthalten müssen
a) den Namen und die Angaben des Unternehmens, seines Datenschutzbeauftragten und etwaiger dritter für die Datenverarbeitung Verantwortlicher;
b) Die Zwecke, für die das Unternehmen personenbezogene Daten verarbeitet;
c) Einzelheiten zu den Kategorien personenbezogener Daten, die vom Unternehmen erfasst, aufbewahrt und verarbeitet werden, sowie zu den Kategorien der betroffenen Personen, auf die sich diese personenbezogenen Daten beziehen;
d) Angaben (und Kategorien) zu Dritten, die personenbezogene Daten von der Firma erhalten;
e) Einzelheiten zu allen Übermittlungen personenbezogener Daten in Nicht-EWR-Länder einschließlich aller Mechanismen und Sicherheitsvorkehrungen;
f) Einzelheiten darüber, wie lange personenbezogene Daten vom Unternehmen aufbewahrt werden; und
g) Detaillierte Beschreibung aller technischen und organisatorischen Maßnahmen, die das Unternehmen ergreift, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
24. Datenschutz-Folgenabschätzungen
Das Unternehmen führt Datenschutz-Folgenabschätzungen durch, wenn und soweit dies in der Verordnung vorgeschrieben ist. Die Datenschutz-Folgenabschätzungen werden vom Datenschutzbeauftragten des Unternehmens beaufsichtigt und betreffen die folgenden wichtigen Bereiche:
24.1 Der Zweck bzw. die Zwecke, zu dem bzw. denen die personenbezogenen Daten verarbeitet werden, und die Verarbeitungsvorgänge, die mit diesen Daten durchgeführt werden sollen;
24.2 Einzelheiten zu den berechtigten Interessen, die das Unternehmen verfolgt;
24.3 Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung im Hinblick auf den/die Zweck(e), für den/die die Daten verarbeitet werden;
25. Organisatorische Maßnahmen
Das Unternehmen stellt sicher, dass bei der Erhebung, Speicherung und Verarbeitung personenbezogener Daten die folgenden Maßnahmen getroffen werden:
a) Alle Mitarbeiter, Bevollmächtigten, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens tätig sind, müssen umfassend über ihre individuellen Verantwortlichkeiten und die Verantwortlichkeiten des Unternehmens gemäß der Verordnung und dieser Richtlinie aufgeklärt werden und eine Kopie dieser Richtlinie erhalten;
b) Nur Angestellte, Beauftragte, Subunternehmer oder andere Parteien, die im Namen des Unternehmens tätig sind, die Zugang zu personenbezogenen Daten haben und diese nutzen müssen, um die ihnen zugewiesenen Aufgaben ordnungsgemäß zu erfüllen, haben Zugang zu personenbezogenen Daten, die sich im Besitz des Unternehmens befinden;
c) Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten umgehen, werden entsprechend geschult;
d) Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten arbeiten, werden angemessen beaufsichtigt;
e) Die Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten werden regelmäßig bewertet und überprüft;
f) Die Leistung der Mitarbeiter, Beauftragten, Auftragnehmer oder anderer Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten umgehen, wird regelmäßig bewertet und überprüft;
g) Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten umgehen, werden vertraglich verpflichtet, dies in Übereinstimmung mit den Grundsätzen der Verordnung und dieser Richtlinie zu tun;
h) Alle Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass alle ihre Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, denselben Bedingungen unterliegen wie die entsprechenden Mitarbeiter des Unternehmens, die sich aus dieser Richtlinie und der Verordnung ergeben;
i) Wenn ein Beauftragter, Auftragnehmer oder eine andere Partei, die im Namen des Unternehmens mit personenbezogenen Daten arbeitet, ihren Verpflichtungen im Rahmen dieser Richtlinie nicht nachkommt, muss diese Partei das Unternehmen für alle Kosten, Haftungen, Schäden, Verluste, Ansprüche oder Verfahren, die sich aus diesem Versäumnis ergeben, entschädigen und schadlos halten.
26. Übermittlung personenbezogener Daten in ein Land außerhalb des EWR
26.1 Das Unternehmen kann von Zeit zu Zeit personenbezogene Daten in Länder außerhalb des EWR übermitteln (der Begriff ‘übermitteln’ schließt die Bereitstellung aus der Ferne ein).
26.2 Die Übermittlung personenbezogener Daten in ein Land außerhalb des EWR findet nur statt, wenn einer oder mehrere der folgenden Punkte zutreffen:
a) Die Übermittlung erfolgt in ein Land, ein Gebiet oder einen oder mehrere bestimmte Sektoren in diesem Land (oder eine internationale Organisation), das/die nach Auffassung der Europäischen Kommission einen angemessenen Schutz personenbezogener Daten gewährleistet;
b) Die Übermittlung erfolgt in ein Land (oder eine internationale Organisation), das/die angemessene Garantien in Form einer rechtsverbindlichen Vereinbarung zwischen Behörden oder Einrichtungen, verbindlicher Unternehmensvorschriften, von der Europäischen Kommission angenommener Standarddatenschutzklauseln, der Einhaltung eines von einer Aufsichtsbehörde (z. B. dem Information Commissioner's Office) genehmigten Verhaltenskodex, der Zertifizierung im Rahmen eines genehmigten Zertifizierungsverfahrens (wie in der Verordnung vorgesehen), von der zuständigen Aufsichtsbehörde vereinbarter und genehmigter Vertragsklauseln oder von der zuständigen Aufsichtsbehörde genehmigter Bestimmungen in Verwaltungsvereinbarungen zwischen Behörden oder Einrichtungen bietet;
c) Die Übermittlung erfolgt mit der in Kenntnis der Sachlage erteilten Einwilligung der betroffenen Person(en);
d) Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Unternehmen erforderlich (oder für vorvertragliche Maßnahmen, die auf Antrag der betroffenen Person getroffen werden);
e) Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich;
f) Die Übermittlung ist für die Geltendmachung von Rechtsansprüchen erforderlich;
g) Die Übermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen; oder
h) Informationen, die für die Öffentlichkeit bestimmt sind und die für die Öffentlichkeit im Allgemeinen oder für diejenigen, die ein berechtigtes Interesse am Zugang zu dem Register nachweisen können, zugänglich sind.
27. Benachrichtigung über Datenschutzverletzungen
27.1 Alle Verletzungen des Schutzes personenbezogener Daten müssen dem Datenschutzbeauftragten des Unternehmens unverzüglich gemeldet werden.
27.2 Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt und diese Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (z. B. finanzieller Verlust, Verletzung der Vertraulichkeit, Diskriminierung, Rufschädigung oder sonstiger erheblicher sozialer oder wirtschaftlicher Schaden), muss der Datenschutzbeauftragte sicherstellen, dass das Information Commissioner's Office unverzüglich, auf jeden Fall aber innerhalb von 72 Stunden, nachdem er davon Kenntnis erlangt hat, über die Verletzung informiert wird.
27.3 Wenn eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko (d. h. ein höheres Risiko als das in Teil 27.2 beschriebene) für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, muss der Datenschutzbeauftragte sicherstellen, dass alle betroffenen Personen unmittelbar und ohne unangemessene Verzögerung über die Verletzung informiert werden.
27.4 Die Benachrichtigung über eine Datenschutzverletzung muss folgende Informationen enthalten:
a) Die Kategorien und die ungefähre Anzahl der betroffenen Personen;
b) die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Daten;
c) Name und Kontaktdaten des Datenschutzbeauftragten des Unternehmens (oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können);
d) die voraussichtlichen Folgen des Verstoßes;
e) Einzelheiten zu den Maßnahmen, die das Unternehmen ergriffen hat oder zu ergreifen gedenkt, um den Verstoß zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung seiner möglichen nachteiligen Auswirkungen.
28. Umsetzung der Politik
Diese Politik gilt ab dem 25.5.2018 als wirksam. Kein Teil dieser Politik hat rückwirkende Kraft und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum auftreten.
Anhang 1: Unsere Verwendung von personenbezogenen Daten und unser Zweck
Die folgenden personenbezogenen Daten können von der Gesellschaft erhoben, gespeichert und verarbeitet werden:
a) Name
b) Geschäfts-/Firmenname
c) Kontaktinformationen wie z. B. E-Mail-Adressen
d) Demografische Informationen wie die Postleitzahl,
e) Finanzielle Informationen wie Kredit-/Debitkartennummern
f) IP-Adresse (automatisch erhoben)
g) Typ und Version des Webbrowsers (automatisch erhoben),
h) Betriebssystem (automatisch erhoben)
i) Eine Liste von URLs, die mit einer verweisenden Website beginnen, Ihre Aktivität auf unserer Website und die Website, die Sie verlassen (automatisch erfasst)
Dies sind die Maßnahmen, die wir beim Umgang mit personenbezogenen Daten ergreifen:
m) Alle E-Mails mit personenbezogenen Daten müssen verschlüsselt werden;
n) Wenn personenbezogene Daten aus irgendeinem Grund gelöscht oder anderweitig entsorgt werden sollen (auch wenn Kopien erstellt wurden und nicht mehr benötigt werden), sollten sie sicher gelöscht und entsorgt werden. Ausdrucke sind zu schreddern, elektronische Kopien sind sicher zu löschen;
o) Personenbezogene Daten dürfen nur über sichere Netze übermittelt werden; die Übermittlung über ungesicherte Netze ist unter keinen Umständen zulässig;
p) Personenbezogene Daten dürfen nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine kabelgebundene Alternative gibt, die vernünftigerweise praktikabel ist;
q) Personenbezogene Daten, die im Text einer gesendeten oder empfangenen E-Mail enthalten sind, sollten aus dem Text der E-Mail kopiert und sicher aufbewahrt werden. Die E-Mail selbst sollte gelöscht werden. Alle temporären Dateien, die damit verbunden sind, sollten ebenfalls gelöscht werden;
r) Sollen personenbezogene Daten per Fax übermittelt werden, sollte der Empfänger im Voraus über die Übermittlung informiert werden und das Faxgerät sollte auf den Empfang der Daten warten;
s) Personenbezogene Daten dürfen nicht informell weitergegeben werden, und wenn ein Angestellter, ein Vertreter, ein Subunternehmer oder eine andere Partei, die im Namen des Unternehmens arbeitet, Zugang zu personenbezogenen Daten benötigt, zu denen er/sie nicht bereits Zugang hat, sollte dieser Zugang formell bei Jimit Bagadiya beantragt werden, und zwar über privacy@socialpilot.co;
t) Alle Ausdrucke personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen, austauschbaren Datenträgern gespeichert sind, sollten sicher in einem verschlossenen Kasten, einer Schublade, einem Schrank oder ähnlichem aufbewahrt werden;
u) Ohne die Genehmigung von Jimit Bagadiya dürfen keine personenbezogenen Daten an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien weitergegeben werden, unabhängig davon, ob diese Parteien im Auftrag des Unternehmens arbeiten oder nicht, privacy@socialpilot.co;
v) Personenbezogene Daten müssen jederzeit sorgfältig behandelt werden und dürfen zu keiner Zeit unbeaufsichtigt oder für unbefugte Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien einsehbar sein;
w) Wenn personenbezogene Daten auf einem Computerbildschirm angezeigt werden und der betreffende Computer längere Zeit unbeaufsichtigt bleibt, muss der Benutzer den Computer und den Bildschirm sperren, bevor er ihn verlässt;
x) Ohne die förmliche schriftliche Genehmigung von Jimit Bagadiya dürfen keine personenbezogenen Daten auf einem mobilen Gerät (einschließlich, aber nicht beschränkt auf Laptops, Tablets und Smartphones) gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder nicht, privacy@socialpilot.co und, im Falle einer solchen Genehmigung, unter strikter Einhaltung aller Anweisungen und Beschränkungen, die zum Zeitpunkt der Genehmigung beschrieben werden, und nicht länger als unbedingt erforderlich;
y) Personenbezogene Daten dürfen nicht auf ein Gerät übertragen werden, das einem Mitarbeiter persönlich gehört, und personenbezogene Daten dürfen nur dann auf Geräte übertragen werden, die Vertretern, Auftragnehmern oder anderen Parteien gehören, die im Namen des Unternehmens arbeiten, wenn die betreffende Partei zugestimmt hat, sich vollständig an den Buchstaben und den Geist dieser Richtlinie und der Verordnung zu halten (wozu auch der Nachweis gegenüber dem Unternehmen gehören kann, dass alle geeigneten technischen und organisatorischen Maßnahmen getroffen wurden);
z) Alle elektronisch gespeicherten personenbezogenen Daten sollten täglich gesichert werden, wobei die Sicherungen in der AWS Cloud gespeichert werden. Alle Sicherungen sollten verschlüsselt werden;
Alle elektronischen Kopien personenbezogener Daten sollten unter Verwendung von Passwörtern und Datenverschlüsselung sicher gespeichert werden;
Alle Passwörter, die zum Schutz persönlicher Daten verwendet werden, sollten regelmäßig geändert werden und keine Wörter oder Ausdrücke enthalten, die leicht erraten oder anderweitig kompromittiert werden können;
Unter keinen Umständen dürfen Passwörter aufgeschrieben oder an Angestellte, Vertreter, Auftragnehmer oder andere Personen weitergegeben werden, die für das Unternehmen tätig sind, unabhängig von der Dienststellung oder Abteilung. Wenn ein Passwort vergessen wird, muss es auf die entsprechende Weise zurückgesetzt werden. Das IT-Personal hat keinen Zugang zu Passwörtern.
