Datenschutzrichtlinie

Einführung

Diese Policy legt die Verpflichtungen von Dynamic Search Solutions, einem in Großbritannien unter der Nummer 09203492 registrierten Unternehmen mit Sitz in Suite 1, 2. Stock, Pacific Chambers Building, Liverpool, L2 5QQ („das Unternehmen“) in Bezug auf Datenschutz und Datenschutz, fest die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten gemäß der EU-Verordnung 2016/679, Datenschutz-Grundverordnung („DSGVO“).

Die DSGVO definiert „personenbezogene Daten“ als Informationen über eine bestimmte oder bestimmbare natürliche Person (eine „betroffene Person“). eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder einen oder mehrere physikalische oder physiologische Faktoren genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.

Diese Richtlinie legt die Verpflichtungen des Unternehmens bezüglich der Sammlung, Verarbeitung, Übertragung, Speicherung und Entsorgung personenbezogener Daten fest. Die hier beschriebenen Verfahren und Prinzipien müssen jederzeit vom Unternehmen, seinen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, eingehalten werden.

Das Unternehmen verpflichtet sich nicht nur zum Buchstaben des Gesetzes, sondern auch zum Geist des Gesetzes und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen persönlichen Daten, wobei die gesetzlichen Rechte, die Privatsphäre und das Vertrauen aller respektiert werden Personen, mit denen es handelt.

Die Datenschutzgrundsätze

Diese Richtlinie soll die Einhaltung der DSGVO sicherstellen. Die Datenschutzgrundverordnung legt die folgenden Grundsätze fest, denen jede Partei, die personenbezogene Daten verarbeitet, entsprechen muss. Alle persönlichen Daten müssen sein:

  1. Rechtlich, fair und transparent in Bezug auf die betroffene Person verarbeitet
  2. Für bestimmte, explizite und legitime Zwecke erfasst und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken nicht vereinbar ist. Die Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu Zwecken der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken gilt nicht als unvereinbar mit den ursprünglichen Zwecken.
  3. Angemessen, relevant und begrenzt auf das, was für die Zwecke, für die es verarbeitet wird, notwendig ist.
  4. Präzise und, wenn nötig, auf dem neuesten Stand gehalten. Jeder vernünftige Schritt muss unternommen werden, um sicherzustellen, dass personenbezogene Daten, die in Bezug auf die Zwecke, für die sie verarbeitet werden, ungenau sind, gelöscht oder unverzüglich berichtigt werden.
  5. Gehalten in einer Form, die es ermöglicht, die betroffenen Personen nicht länger als für die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, erforderlich zu erfassen, vorbehaltlich der Durchführung der von der DSGVO geforderten angemessenen technischen und organisatorischen Maßnahmen zur Wahrung der Rechte und Freiheiten der Betroffene.
  6. In einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen gewährleistet.

Die Rechte von Datensubjekten

Die DSGVO legt die folgenden Rechte fest, die für betroffene Personen gelten (bitte beachten Sie die für weitere Einzelheiten angegebenen Teile dieser Richtlinie):

  1. Das Recht auf Information (Teil 12).
  2. Das Recht auf Zugang (Teil 13);
  3. Das Recht auf Nachbesserung (Teil 14);
  4. Das Recht auf Löschung (auch bekannt als das „Recht auf Vergessenwerden“) (Teil 15);
  5. Das Recht, die Verarbeitung einzuschränken (Teil 16);
  6. Das Recht auf Datenübertragbarkeit (Teil 17);
  7. Das Recht zu protestieren (Teil 18); und
  8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling (Teile 19 und 20).
  1. Rechtmäßige, faire und transparente Datenverarbeitung

Mit der DSGVO soll sichergestellt werden, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden, ohne die Rechte der betroffenen Person zu beeinträchtigen. Die Datenschutz-Grundverordnung besagt, dass die Verarbeitung personenbezogener Daten zulässig ist, wenn mindestens eines der folgenden Kriterien zutrifft:

  1. Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
  2. Die Verarbeitung ist für die Ausführung eines Vertrags erforderlich, bei dem die betroffene Person Vertragspartei ist, oder um auf Ersuchen der betroffenen Person vor dem Abschluss eines Vertrags mit ihnen Schritte zu unternehmen;
  3. Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, der der für die Verarbeitung Verantwortliche unterliegt;
  4. Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. Die Verarbeitung ist für die Ausführung einer Aufgabe erforderlich, die im öffentlichen Interesse oder bei der Ausübung hoheitlicher Befugnisse im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt wird; oder
  6. Die Verarbeitung ist für die Zwecke der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft gesetzt, die den Schutz personenbezogener Daten erfordern, insbesondere wenn die Daten Thema ist ein Kind.
  1. Angegebene, explizite und legitime Zwecke

Das Unternehmen erhebt und verarbeitet die in Teil 21 dieser Richtlinie aufgeführten personenbezogenen Daten. Das beinhaltet:

    1. Personenbezogene Daten, die direkt von den betroffenen Personen erhoben werden
    2. Persönliche Daten von Dritten erhalten.
  1. Das Unternehmen erhebt, verarbeitet und speichert personenbezogene Daten nur für die in Teil 21 dieser Richtlinie genannten Zwecke (oder für andere Zwecke, die in der DSGVO ausdrücklich erlaubt sind).
  2. Die betroffenen Personen werden über den Zweck oder die Zwecke, für die das Unternehmen ihre personenbezogenen Daten verwendet, informiert. Weitere Informationen zur Information der betroffenen Personen finden Sie in Teil 12.
  1. Angemessene, relevante und eingeschränkte Datenverarbeitung

Das Unternehmen wird personenbezogene Daten nur erheben und verarbeiten, soweit dies für den speziellen Zweck oder die Zwecke erforderlich ist, zu denen die betroffenen Personen gemäß Teil 5 oben und wie in Teil 21 unten dargelegt informiert wurden (oder werden) .

Genauigkeit der Daten und Aktualisierung der Daten

  1. Das Unternehmen muss sicherstellen, dass alle persönlichen Daten, die von ihm gesammelt, verarbeitet und gespeichert werden, genau und aktuell sind. Dies umfasst unter anderem die Berichtigung personenbezogener Daten auf Antrag einer betroffenen Person, wie in Teil 14 unten dargelegt.
  2. Die Richtigkeit der personenbezogenen Daten wird bei der Erhebung und regelmäßig überprüft Intervalle danach. Sollten sich personenbezogene Daten als unrichtig oder veraltet erweisen, werden unverzüglich alle angemessenen Schritte unternommen, um diese Daten zu ändern oder zu löschen.

Vorratsdatenspeicherung

  1. Das Unternehmen wird personenbezogene Daten nicht länger aufbewahren, als dies für den Zweck oder die Zwecke erforderlich ist, für die diese personenbezogenen Daten ursprünglich erhoben, gespeichert und verarbeitet wurden.
  2. Wenn keine persönlichen Daten mehr benötigt werden, werden alle angemessenen Schritte unternommen, um sie ohne Verzögerung zu löschen oder anderweitig zu beseitigen.
  3. Umfassende Informationen über die Vorgehensweise des Unternehmens bei der Vorratsdatenspeicherung, einschließlich der Aufbewahrungsfristen für bestimmte personenbezogene Datentypen, die sich im Besitz des Unternehmens befinden, finden Sie in unseren Datenschutzrichtlinien.

Sichere Verarbeitung

Das Unternehmen stellt sicher, dass alle persönlichen Daten, die gesammelt, gespeichert und verarbeitet werden, sicher und vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung geschützt sind. Weitere Einzelheiten zu den technischen und organisatorischen Maßnahmen sind in den Teilen 22 bis 27 dieser Richtlinie enthalten.

Rechenschaftspflicht und Aufzeichnungen

Der Datenschutzbeauftragte des Unternehmens ist unter dss@dynamic.search.co.uk erreichbar

Der Datenschutzbeauftragte ist verantwortlich für die Überwachung der Umsetzung dieser Richtlinie und für die Überwachung der Einhaltung dieser Richtlinie, der anderen datenschutzrelevanten Richtlinien des Unternehmens sowie der DSGVO und anderer anwendbarer Datenschutzgesetze.

Das Unternehmen muss schriftliche Aufzeichnungen über die Sammlung, den Besitz und die Verarbeitung personenbezogener Daten führen, die folgende Informationen enthalten:

  1. Name und Details des Unternehmens, seines Datenschutzbeauftragten und aller anwendbaren Datenverarbeitungsunternehmen von Drittanbietern;
  2. Die Zwecke, für die das Unternehmen personenbezogene Daten sammelt, speichert und verarbeitet;
  3. Einzelheiten zu den Kategorien personenbezogener Daten, die von der Gesellschaft erhoben, gespeichert und verarbeitet werden, sowie zu den Kategorien von Datensubjekten, auf die sich diese personenbezogenen Daten beziehen;
  4. Einzelheiten der Übermittlung personenbezogener Daten in Nicht-EWR-Länder einschließlich aller Mechanismen und Sicherheitsmaßnahmen;
  5. Einzelheiten darüber, wie lange personenbezogene Daten vom Unternehmen aufbewahrt werden (bitte beachten Sie die Datenschutzrichtlinien des Unternehmens); und
  6. Detaillierte Beschreibungen aller technischen und organisatorischen Maßnahmen, die das Unternehmen zur Gewährleistung der Sicherheit personenbezogener Daten getroffen hat.

Datenschutz-Folgenabschätzungen

Die Gesellschaft führt Datenschutz-Folgenabschätzungen für alle neuen Projekte und / oder neuen Verwendungen personenbezogener Daten durch, bei denen neue Technologien zum Einsatz kommen, und die betreffende Verarbeitung führt wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen die DSGVO.

Datenschutz-Folgenabschätzungen werden vom Datenschutzbeauftragten überwacht und betreffen Folgendes:

  1. Art (en) personenbezogener Daten, die gesammelt, gespeichert und verarbeitet werden;
  2. Die Zwecke, für die personenbezogene Daten verwendet werden sollen;
  3. Die Ziele des Unternehmens;
  4. Wie personenbezogene Daten verwendet werden sollen;
  5. Die Parteien (intern und / oder extern), die konsultiert werden sollen;
  6. Die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck, für den sie verarbeitet wird;
  7. Risiken für betroffene Personen;
  8. Risiken, die sowohl innerhalb als auch für das Unternehmen bestehen; und
  9. Vorgeschlagene Maßnahmen zur Minimierung und Handhabung erkannter Risiken.

Data Informatives informieren

Das Unternehmen muss die in Teil 12.2 aufgeführten Informationen jeder betroffenen Person zur Verfügung stellen:

Werden personenbezogene Daten direkt von betroffenen Personen erhoben, werden diese betroffenen Personen zum Zeitpunkt der Datenerhebung über ihren Zweck informiert; und

Werden personenbezogene Daten von Dritten erhoben, werden die betroffenen Personen über ihren Zweck informiert:

wenn die personenbezogenen Daten an eine andere Partei übertragen werden sollen, bevor diese übertragen wird; oder

so bald wie möglich und in jedem Fall nicht mehr als einen Monat nach Erhalt der persönlichen Daten.

Auf Anfrage sind folgende Informationen bereitzustellen:

  1. Angaben zur Gesellschaft, einschließlich, aber nicht beschränkt auf die Identität ihres Datenschutzbeauftragten;
  2. Die Zwecke, für die die personenbezogenen Daten gesammelt und verarbeitet werden (wie in Teil 21 dieser Richtlinie dargelegt) und die Rechtsgrundlage, die diese Erhebung und Verarbeitung rechtfertigt;
  3. Gegebenenfalls die legitimen Interessen, aufgrund derer die Gesellschaft die Erhebung und Verarbeitung personenbezogener Daten rechtfertigt;
  4. Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person erhalten werden, werden die Kategorien personenbezogener Daten erfasst und verarbeitet;
  5. Wenn die personenbezogenen Daten an einen oder mehrere Dritte übertragen werden sollen, Angaben zu diesen Parteien;
  6. Englisch: eur-lex.europa.eu/LexUriServ/LexUri…0111: EN: HTML Wenn die personenbezogenen Daten an eine dritte Partei außerhalb des Europäischen Wirtschaftsraums (der „EWR“) übermittelt werden sollen, sind Einzelheiten dieser Übermittlung, einschließlich, aber nicht beschränkt auf die geltenden Sicherheitsmaßnahmen (siehe Teil 28 dieser Richtlinie für weitere Details);
  7. Details der Vorratsdatenspeicherung;
  8. Einzelheiten zu den Rechten der betroffenen Person gemäß der Datenschutz-Grundverordnung;
  9. Angaben zum Recht der betroffenen Person, ihre Einwilligung in die Verarbeitung personenbezogener Daten durch das Unternehmen jederzeit zu widerrufen;
  10. Angaben zum Recht der betroffenen Person, beim Amt des Datenschutzbeauftragten (der „Aufsichtsbehörde“ im Sinne der DSGVO) Beschwerde einzureichen;
  11. Gegebenenfalls Einzelheiten zu rechtlichen oder vertraglichen Erfordernissen oder Verpflichtungen, die die Erhebung und Verarbeitung personenbezogener Daten erforderlich machen, sowie Einzelheiten zu den Folgen der Nichtbereitstellung; und
  12. Einzelheiten zu automatisierten Entscheidungen oder Profilerstellungen, die unter Verwendung der personenbezogenen Daten vorgenommen werden, einschließlich Informationen darüber, wie Entscheidungen getroffen werden, welche Bedeutung diese Entscheidungen haben und welche Konsequenzen dies haben wird.

Zugriff auf Datensubjekt

  1. Betroffene Personen können jederzeit Subject Access Requests („SARs“) beantragen, um mehr über die persönlichen Daten zu erfahren, die das Unternehmen über sie speichert, was sie mit diesen personenbezogenen Daten tun und warum.
  2. Datensubjekte, die eine SAR vornehmen möchten, können dies schriftlich unter Verwendung des Antragsformulars für den Antrag des Unternehmens oder einer anderen schriftlichen Mitteilung tun. SARs sollten an den Datenschutzbeauftragten des Unternehmens unter dss@dynamic.search.co.uk gerichtet werden.
  3. Die Antworten auf Verdachtsmitteilungen erfolgen normalerweise innerhalb eines Monats nach Erhalt, diese können jedoch um bis zu zwei Monate verlängert werden, wenn der SAR komplex ist und / oder zahlreiche Anträge gestellt werden. Wenn eine solche zusätzliche Zeit erforderlich ist, muss die betroffene Person informiert werden.
  4. Alle eingegangenen SARs werden vom Datenschutzbeauftragten der Gesellschaft bearbeitet.
  5. Die Gesellschaft erhebt keine Gebühr für die Abwicklung normaler SARs. Die Gesellschaft behält sich das Recht vor, angemessene Gebühren für zusätzliche Kopien von Informationen zu erheben, die bereits an eine betroffene Person geliefert wurden, und für offensichtlich unbegründete oder übermäßige Anfragen, insbesondere wenn sich solche Anfragen wiederholen.

Berichtigung von persönlichen Daten

  1. Betroffene Personen haben das Recht, vom Unternehmen zu verlangen, dass sie ihre persönlichen Daten korrigieren, die ungenau oder unvollständig sind.
  2. Die Gesellschaft muss die betreffenden personenbezogenen Daten berichtigen und die betroffene Person innerhalb eines Monats darüber informieren, nachdem die betroffene Person die Gesellschaft über die Angelegenheit informiert hat. Bei komplexen Anfragen kann die Frist um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, muss die betroffene Person informiert werden.
  3. Falls betroffene personenbezogene Daten an Dritte weitergegeben wurden, werden diese Parteien über jede Berichtigung informiert, die an diesen personenbezogenen Daten vorgenommen werden muss.

Löschung von persönlichen Daten

Betroffene Personen haben das Recht zu verlangen, dass das Unternehmen die persönlichen Daten löscht, die es in folgenden Fällen über sie speichert:

    1. Es ist nicht mehr notwendig, dass die Gesellschaft diese personenbezogenen Daten in Bezug auf den Zweck / die Zwecke speichert, für die sie ursprünglich erhoben oder verarbeitet wurden;
    2. Die betroffene Person möchte ihre Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten bei der Gesellschaft widerrufen;
    3. Der Betroffene widerspricht dem Unternehmen, seine personenbezogenen Daten zu speichern und zu verarbeiten (und es besteht kein überwiegendes berechtigtes Interesse daran, dem Unternehmen zu erlauben, dies weiterhin zu tun) (siehe Teil 18 dieser Richtlinie für weitere Einzelheiten bezüglich des Widerspruchsrechts);
    4. Die personenbezogenen Daten wurden rechtswidrig verarbeitet;
    5. Die personenbezogenen Daten müssen gelöscht werden, damit das Unternehmen einer bestimmten rechtlichen Verpflichtung nachkommen kann ;
  1. Sofern die Gesellschaft keine begründeten Gründe hat, die Löschung personenbezogener Daten zu verweigern, müssen alle Löschungsanträge innerhalb eines Monats nach Eingang der Anfrage der betroffenen Person erfüllt und die betroffene Person über die Löschung informiert werden. Bei komplexen Anfragen kann die Frist um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, muss die betroffene Person informiert werden.
  2. Falls personenbezogene Daten, die auf Anfrage einer betroffenen Person gelöscht werden sollen, an Dritte weitergegeben werden, werden diese Parteien über die Löschung informiert (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

Einschränkung der Verarbeitung personenbezogener Daten

  1. Betroffene Personen können verlangen, dass das Unternehmen die Verarbeitung der personenbezogenen Daten, die es über sie speichert, einstellt. Wenn eine betroffene Person einen solchen Antrag stellt, wird die Gesellschaft nur die Menge an personenbezogenen Daten über diese betroffene Person aufbewahren, die erforderlich ist, um sicherzustellen, dass die betreffenden personenbezogenen Daten nicht weiter verarbeitet werden.
  2. Falls betroffene personenbezogene Daten an Dritte weitergegeben wurden, sind diese Parteien über die geltenden Einschränkungen bei der Verarbeitung zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

Datenportabilität

  1. Wenn betroffene Personen ihre Einwilligung erteilt haben, ihre personenbezogenen Daten auf diese Weise zu verarbeiten, oder die Verarbeitung anderweitig für die Erfüllung eines Vertrags zwischen der Gesellschaft und der betroffenen Person erforderlich ist, haben die betroffenen Personen gemäß der DSGVO das Recht, eine Kopie ihrer persönlichen Daten zu erhalten und sie für andere Zwecke zu verwenden (nämlich an andere Datenverantwortliche zu übermitteln).
  2. Um das Recht auf Datenübertragbarkeit zu erleichtern, stellt das Unternehmen alle relevanten personenbezogenen Daten den betroffenen Personen im gewünschten Format zur Verfügung :
  3. Soweit dies technisch möglich ist, werden personenbezogene Daten, wenn sie von einer betroffenen Person angefordert werden, direkt an den zuständigen für die Verarbeitung Verantwortlichen übermittelt.
  4. Alle Anträge auf Kopien personenbezogener Daten müssen innerhalb eines Monats nach der Anfrage der betroffenen Person beantwortet werden. Bei komplexen oder zahlreichen Anfragen kann die Frist um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, muss die betroffene Person informiert werden.

Einwände gegen die Verarbeitung personenbezogener Daten

  1. Betroffene Personen haben das Recht, der Verarbeitung personenbezogener Daten durch das Unternehmen aufgrund legitimer Interessen, Direktmarketing (einschließlich Profiling) zu widersprechen,
  2. Widersetzt sich eine betroffene Person der Verarbeitung personenbezogener Daten aufgrund ihrer berechtigten Interessen, wird die Gesellschaft diese Verarbeitung unverzüglich einstellen, es sei denn, es kann nachgewiesen werden, dass die berechtigten Gründe der Gesellschaft für eine solche Verarbeitung die Interessen, Rechte und Freiheiten der betroffenen Person außer Kraft setzen. oder dass die Verarbeitung für die Durchführung von Rechtsansprüchen notwendig ist.
  3. Widerspricht eine betroffene Person der Verarbeitung personenbezogener Daten durch die Gesellschaft für Direktmarketing-Zwecke, wird die Gesellschaft diese Verarbeitung unverzüglich einstellen.

Persönliche Daten gesammelt, gespeichert und verarbeitet

Die folgenden personenbezogenen Daten werden vom Unternehmen gesammelt, gespeichert und verarbeitet. (Einzelheiten zur Vorratsdatenspeicherung finden Sie in der Datenaufbewahrung des Unternehmens):

  1. Name
  2. Kontakt details
  3. Informationen durch Lebenslauf, einschließlich
    1. Adresse
    2. Gehaltsinformationen
    3. Qualifikationen
    4. Karriere Geschichte
    5. Verweise

Datensicherheit – Übertragung von persönlichen Daten und Kommunikation

Die Gesellschaft stellt sicher, dass die folgenden Maßnahmen in Bezug auf alle Kommunikations- und sonstigen Übermittlungen mit personenbezogenen Daten ergriffen werden:

  1. Alle E-Mails mit persönlichen Daten müssen verschlüsselt werden
  2. Alle E-Mails mit persönlichen Daten müssen als „vertraulich“ gekennzeichnet sein.
  3. Persönliche Daten dürfen nur über sichere Netzwerke übertragen werden; die Übertragung über ungesicherte Netze ist unter keinen Umständen erlaubt;
  4. Personenbezogene Daten werden möglicherweise nicht über ein drahtloses Netzwerk übertragen, wenn eine kabelgebundene Alternative vorhanden ist, die vernünftigerweise praktikabel ist;
  5. Personenbezogene Daten, die im Text einer E-Mail enthalten sind, sollten unabhängig davon, ob sie gesendet oder empfangen wurden, aus dem Inhalt dieser E-Mail kopiert und sicher gespeichert werden. Die E-Mail selbst sollte gelöscht werden. Alle damit verbundenen temporären Dateien sollten ebenfalls gelöscht werden.
  6. Wenn persönliche Daten per Fax gesendet werden sollen, sollte der Empfänger im Voraus über die Übertragung informiert werden und auf das Faxgerät warten, um die Daten zu erhalten;
  7. Wenn personenbezogene Daten in Papierform übermittelt werden sollen, sollten sie direkt an den Empfänger weitergegeben werden.
  8. Alle persönlichen Daten, die physisch übertragen werden sollen, sei es in Papierform oder auf herausnehmbaren elektronischen Medien, müssen in einen geeigneten, als „vertraulich“ gekennzeichneten Container übertragen werden.

Datensicherheit – Lagerung

Das Unternehmen muss sicherstellen, dass die folgenden Maßnahmen in Bezug auf die Speicherung personenbezogener Daten ergriffen werden:

  1. Alle elektronischen Kopien von persönlichen Daten sollten sicher unter Verwendung von Passwörtern und Datenverschlüsselung gespeichert werden;
  2. Alle Ausdrucke personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen Wechselmedien gespeichert sind, sollten sicher in einer verschlossenen Kiste, Schublade, einem Schrank oder ähnlichem aufbewahrt werden;
  3. Alle elektronisch gespeicherten personenbezogenen Daten sollten gesichert werden. Alle Backups müssen verschlüsselt sein.
  4. Es dürfen keine persönlichen Daten an ein Gerät übertragen werden, das einem Mitarbeiter persönlich gehört, und personenbezogene Daten dürfen nur an Geräte von Bevollmächtigten, Auftragnehmern oder anderen für das Unternehmen tätigen Parteien übertragen werden, wenn sich die betreffende Partei bereit erklärt hat, die Daten vollständig zu erfüllen Buchstabe und Geist dieser Richtlinie und der DSGVO (zu der unter anderem auch gehört werden kann, dass alle geeigneten technischen und organisatorischen Maßnahmen getroffen wurden).

Datensicherheit – Entsorgung

Wenn irgendwelche persönlichen Daten aus irgendeinem Grund gelöscht oder anderweitig entsorgt werden müssen (einschließlich der Fälle, in denen Kopien angefertigt wurden und nicht mehr benötigt werden), sollten diese sicher gelöscht und entsorgt werden. Weitere Informationen zur Löschung und Löschung persönlicher Daten finden Sie in den Datenschutzrichtlinien des Unternehmens.

Datensicherheit – Verwendung von persönlichen Daten

Das Unternehmen muss sicherstellen, dass die folgenden Maßnahmen in Bezug auf die Verwendung personenbezogener Daten ergriffen werden:

    1. Es dürfen keine personenbezogenen Daten informell weitergegeben werden, und wenn ein Mitarbeiter, Vertreter, Unterauftragnehmer oder eine andere für das Unternehmen tätige Partei Zugriff auf personenbezogene Daten benötigt, zu denen sie noch keinen Zugang haben, sollte ein solcher Zugriff von der Datenschutzbeauftragter.
    2. Ohne Zustimmung des Datenschutzbeauftragten dürfen keine personenbezogenen Daten an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien weitergegeben werden, unabhängig davon, ob diese im Auftrag des Unternehmens arbeiten oder nicht.
    3. Personenbezogene Daten müssen jederzeit sorgfältig behandelt werden und dürfen nicht unbeaufsichtigt oder im Blick auf nicht autorisierte Mitarbeiter, Agenten, Unterauftragnehmer oder andere Parteien zu jeder Zeit verlassen werden;
    4. Wenn persönliche Daten auf einem Computerbildschirm angezeigt werden und der fragliche Computer für einen bestimmten Zeitraum unbeaufsichtigt gelassen wird, muss der Benutzer den Computer und den Bildschirm vor dem Verlassen des Computers sperren. und
    5. Werden personenbezogene Daten, die sich im Besitz des Unternehmens befinden, zu Marketingzwecken verwendet, liegt es in der Verantwortung des Datenschutzbeauftragten sicherzustellen, dass die entsprechende Einwilligung eingeholt wird und keine betroffenen Personen sich abgemeldet haben, sei es direkt oder über eine Drittleistung wie die TPS.

Datensicherheit – IT-Sicherheit

Die Gesellschaft muss sicherstellen, dass die folgenden Maßnahmen in Bezug auf IT- und Informationssicherheit ergriffen werden:

  1. Alle Passwörter, die zum Schutz personenbezogener Daten verwendet werden, sollten regelmäßig geändert werden und sollten keine Wörter oder Ausdrücke verwenden, die leicht zu erraten oder anderweitig kompromittierbar sind. Alle Kennwörter müssen eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Alle vom Unternehmen verwendete Software ist so konzipiert, dass solche Passwörter erforderlich sind.
  2. Unter keinen Umständen sollten Passwörter zwischen Mitarbeitern, Agenten, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, unabhängig von ihrem Dienstalter oder ihrer Abteilung, schriftlich festgehalten oder weitergegeben werden. Wenn ein Passwort vergessen wird, muss es mit der entsprechenden Methode zurückgesetzt werden. IT-Mitarbeiter haben keinen Zugang zu Passwörtern;
  3. Die gesamte Software (einschließlich, aber nicht beschränkt auf Anwendungen und Betriebssysteme) muss auf dem neuesten Stand gehalten werden. Die IT-Mitarbeiter des Unternehmens sind dafür verantwortlich, alle sicherheitsrelevanten Aktualisierungen so schnell wie möglich und praktisch möglich zu installieren , es sei denn, es gibt triftige technische Gründe, dies nicht zu tun. und
  4. Ohne vorherige Genehmigung des Datenschutzbeauftragten darf keine Software auf einem unternehmenseigenen Computer oder Gerät installiert werden.

Organisatorische Maßnahmen

Das Unternehmen muss sicherstellen, dass die folgenden Maßnahmen in Bezug auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ergriffen werden:

  1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die für das Unternehmen tätig sind, müssen sich ihrer individuellen Verantwortlichkeiten und der Verantwortlichkeiten des Unternehmens im Rahmen der Datenschutz-Grundverordnung sowie dieser Richtlinie voll bewusst sein und erhalten eine Kopie dieser Richtlinie;
  2. Nur Mitarbeiter, Beauftragte, Unterauftragnehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten und Zugang zu personenbezogenen Daten und deren Verwendung benötigen, um ihre zugewiesenen Aufgaben ordnungsgemäß zu erfüllen, haben Zugang zu personenbezogenen Daten, die sich im Besitz des Unternehmens befinden;
  3. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden entsprechend geschult.
  4. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden angemessen überwacht.
  5. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten arbeiten, müssen verpflichtet und dazu angehalten werden, bei der Erörterung arbeitsbezogener Angelegenheiten, die sich auf personenbezogene Daten beziehen, Sorgfalt, Vorsicht und Diskretion zu üben ;
  6. Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten sind regelmäßig zu bewerten und zu überprüfen;
  7. Alle personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, werden regelmäßig überprüft, wie in den Datenschutzrichtlinien des Unternehmens dargelegt.
  8. Die Leistung dieser Mitarbeiter, Vertreter, Auftragnehmer oder anderer Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, muss regelmäßig evaluiert und überprüft werden.
  9. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, sind verpflichtet, dies im Einklang mit den Grundsätzen der DSGVO und dieser Richtlinie vertraglich zu tun;
  10. Alle Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass alle ihre Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, zu denselben Bedingungen wie die betreffenden Mitarbeiter des Unternehmens gehalten werden dieser Richtlinie und der DSGVO; und
  11. Wenn ein Vertreter, Auftragnehmer oder eine andere Partei, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeitet, ihren Verpflichtungen gemäß dieser Richtlinie nicht nachkommt, stellt diese Partei das Unternehmen frei von jeglichen Kosten, Haftungen, Schäden, Verlusten, Ansprüchen oder Verfahren, die entstehen könnten von diesem Versagen.

Übertragung personenbezogener Daten in ein Land außerhalb des EWR

Die Gesellschaft kann von Zeit zu Zeit personenbezogene Daten in Länder außerhalb des EWR übertragen („Übertragung“ umfasst die Bereitstellung von Fernverbindungen).

Die Übermittlung personenbezogener Daten in ein Land außerhalb des EWR erfolgt nur, wenn eine oder mehrere der folgenden Bedingungen zutreffen:

  1. Die Übertragung erfolgt in ein Land, ein Gebiet oder einen oder mehrere spezifische Sektoren in diesem Land (oder einer internationalen Organisation), für die die Europäische Kommission einen angemessenen Schutz personenbezogener Daten sichergestellt hat;
  2. Die Übertragung erfolgt in ein Land (oder eine internationale Organisation), das geeignete Garantien in Form einer rechtsverbindlichen Vereinbarung zwischen öffentlichen Behörden oder Einrichtungen bietet;verbindliche Unternehmensregeln; Standard-Datenschutzklauseln der Europäischen Kommission; Einhaltung eines von einer Aufsichtsbehörde genehmigten genehmigten Verhaltenskodex (z. B. das Amt des Datenschutzbeauftragten); Zertifizierung im Rahmen eines anerkannten Zertifizierungsmechanismus (wie in der DSGVO vorgesehen); Vertragsklauseln, die von der zuständigen Aufsichtsbehörde vereinbart und genehmigt wurden; oder Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder von der zuständigen Aufsichtsbehörde zugelassenen Stellen aufgenommen wurden;
  3. Die Übertragung erfolgt mit der Einwilligung der betroffenen Person (en);
  4. Die Übertragung ist notwendig für die Ausführung eines Vertrags zwischen der betroffenen Person und der Gesellschaft (oder für vorvertragliche Schritte, die auf Anfrage der betroffenen Person unternommen werden);
  5. Die Übertragung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;
  6. Die Übertragung ist notwendig für die Durchführung von Rechtsansprüchen;
  7. Die Übertragung ist erforderlich, um die wesentlichen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Einwilligung zu erteilen; oder
  8. Die Übertragung erfolgt aus einem Register, das nach britischem oder EU-Recht dazu bestimmt ist, der Öffentlichkeit Informationen bereitzustellen, und das allgemein für die Öffentlichkeit oder anderweitig für diejenigen zugänglich ist, die ein berechtigtes Interesse am Zugang zum Register nachweisen können .

Datenverletzung Benachrichtigung

Alle Verstöße gegen persönliche Daten müssen unverzüglich dem Datenschutzbeauftragten der Gesellschaft gemeldet werden.

Wenn eine Verletzung des Schutzes personenbezogener Daten erfolgt und diese Verletzung wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen führt (z. B. finanzieller Verlust, Verletzung der Vertraulichkeit, Diskriminierung, Rufschädigung oder anderer erheblicher sozialer oder wirtschaftlicher Schäden), wird der Datenschutz Der Beamte muss sicherstellen, dass das Amt für Information Commissioner unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes informiert wird.

Für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko (dh ein höheres Risiko als das in Teil 29.2 beschriebene) für die Rechte und Freiheiten der betroffenen Personen bedeutet, muss der Datenschutzbeauftragte sicherstellen, dass alle betroffenen Daten betroffen sind unverzüglich und unverzüglich über den Verstoß informiert werden.

Benachrichtigungen über Datenverletzungen müssen folgende Informationen enthalten:

  1. Die Kategorien und die ungefähre Anzahl der betroffenen Personen;
  2. Die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
  3. Name und Kontaktdaten des Datenschutzbeauftragten des Unternehmens (oder eines anderen Kontaktpunkts, an dem weitere Informationen erhältlich sind);
  4. Die wahrscheinlichen Folgen des Verstoßes;
  5. Einzelheiten zu den Maßnahmen, die die Gesellschaft zur Behebung des Verstoßes getroffen hat oder zu ergreifen beabsichtigt, einschließlich gegebenenfalls Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen.

Implementierung der Richtlinie

  1. Diese Richtlinie gilt ab dem 25. Mai 2018. Kein Teil dieser Richtlinie hat eine Rückwirkung und gilt daher nur für Ereignisse, die an oder nach diesem Datum eintreten.

Meine Einstellungen verwalten

Wenn Sie möchten, dass wir die Art und Weise ändern, wie wir mit Ihnen kommunizieren, geben Sie bitte Ihre Daten unten ein. Wir werden diese Informationen verwenden, um Ihre Anfrage zu bearbeiten. Bitte stellen Sie daher sicher, dass Ihre Daten korrekt eingegeben werden.

Entfernen Sie Ihre Informationen

Wenn Sie aus unserer Datenbank entfernt werden möchten, klicken Sie bitte auf den folgenden Button:

EnglishDeutsch