By pressing the button below I freely give my consent to set or activate cookies and external links. I know their functions because they are described in the privacy policy or explained in more detail in documents or external links implemented there. I have the right to withdraw my data protection consent at any time with effect for the future, by changing my cookie preferences or deleting my cookies. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. With a single action (pressing the button), several consents are granted. These are consents under data protection law as well as those under ePrivacy and telemedia law that are necessary for storing and reading out information and are required as a legal basis for planned further processing of the data read out. I am aware that I can refuse my consent by clicking on the other button or, if necessary, make individual settings. With my action I also confirm that I have read and taken note of the Privacy Policy and the Transparency Document.

Transparency Document

Page 1 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. A. Identity and the contact details of the controller (Art. 13 I lit. a, 14 I lit. a DS-GVO) PsycApps LTD Health Foundry, 1 Royal Street SE1 7LL London United Kingdom Email: info@equoogame.com Website: https://www.equoogame.com B. Contact details of the Data Protection Officer (Art. 13 I lit. b, 14 I lit. b DS-GVO) Prof. Dr. h.c. Heiko Jonny Maniero, LL.B., LL.M. mult., M.L.E.* DGD Deutsche Gesellschaft für Datenschutz GmbH** Fraunhoferring 3 85238 Petershausen Phone: +49 (0) 8131-77987-0 FAX: +49 (0) 8131-77987-99 Email: info@dg-datenschutz.de Website: https://dg-datenschutz.de/ *Obligatory information, please see: https://dg-datenschutz.de/the-data-protection-team/heiko-jonny-maniero/?lang=en **Obligatory information, please see: https://dg-datenschutz.de/imprint/?lang=en Page 2 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Table of Contents GERMAN: Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO) ……………………………………………… 3 GERMAN: Mitarbeiter- und Bewerberinformation über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO) ……… 16 ENGLISH: Information about the Processing of Personal Data (Article 13, 14 GDPR) ……………………………………………………………….. 28 ENGLISH: Information about the Processing of Personal Data for Employees and Applicants (Article 13, 14 GDPR) ……………………. 39 SPANISH: Información sobre el tratamiento de datos personales (Artículos 13, 14 RGPD) ……………………………………………………….. 50 SPANISH: Información sobre el tratamiento de datos personales de los empleados y solicitantes (artículo 13, 14 del RGPD) ………. 63 FRENCH: Information sur le traitement des données à caractère personnel (Articles 13 et 14 RGPD) ……………………………………….. 75 FRENCH: Information sur le traitement des données à caractère personnel des employés et des candidates (Articles 13 et 14 RGPD) ……………………………………………………………………………………………………………………………………………………………………………………. 87 ITALIAN: Informazioni sul trattamento dei dati personali (articolo 13, 14 GDPR) ……………………………………………………………………. 99 ITALIAN: Informazioni sul trattamento dei dati personali per dipendenti e richiedenti (articolo 13, 14 GDPR) …………………………. 111 DUTCH: Informatie over de verwerking van persoonsgegevens (Artikel 13, 14 AVG) …………………………………………………………….. 122 DUTCH: Informatie over de verwerking van persoonsgegevens voor werknemers en sollicitanten (artikel 13, 14 AVG) …………….. 135 GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (Άρθρα 13, 14 ΓΚΠΔ) ………………………….. 147 GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα Εργαζομένων και Υποψηφίων (Άρθρα 13, 14 ΓΚΠΔ) …………………………………………………………………………………………………………………………………………………………………………. 160 POLISH: Informacja o przetwarzaniu danych osobowych (Artykuł 13 i 14 RODO) ………………………………………………………………….. 172 POLISH: Informacja o przetwarzaniu danych osobowych pracowników i kandydatów (art. 13 i 14 RODO) ………………………………… 184 HUNGARIAN: Információk személyes adatok kezeléséről (GDPR 13., 14. cikk) ………………………………………………………………………. 196 HUNGARIAN: A munkavállalók és pályázók személyes adatainak feldolgozásáról szóló információk (GDPR, 13. és 14. cikk) ……….. 208 ROMANIAN: Informații despre prelucrarea datelor cu caracter personal (Articolul 13, 14 GDPR) ……………………………………………. 220 ROMANIAN: Informații privind prelucrarea datelor cu caracter personal pentru angajați și solicitanți (articolul 13, 14 GDPR) …… 233 CROATIAN: Informacije o obradi osobnih podataka (članak 13, 14 GDPR) ……………………………………………………………………………. 245 CROATIAN: Informacije o obradi osobnih podataka za zaposlenike i podnositelje zahtjeva (članak 13, 14 GDPR) ……………………… 256 SERBIAN: Информације о обради личних података (члан 13, 14 ГДПР) ……………………………………………………………………………. 267 SERBIAN: Информације о обради личних података за запослене и подносиоце захтева (члан 13, 14 ГДПР) ………………………. 279 RUSSIAN: Информация об обработке персональных данных (статья 13, 14 Общий Регламент по Защите Данных, ОРЗД (GDPR)) ………………………………………………………………………………………………………………………………………………………………………………….. 290 RUSSIAN: Информация об обработке персональных данных для сотрудников и заявителей (статья 13, 14 Общий Регламент по Защите Данных, ОРЗД (GDPR)) ……………………………………………………………………………………………………………………………………… 301 Page 3 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. GERMAN: Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO) Sehr geehrte Damen und Herren, die personenbezogenen Daten jedes Einzelnen, der in einer vertraglichen, vorvertraglichen oder anderweitigen Beziehung zu unserem Unternehmen steht, verdienen besonderen Schutz. Wir haben das Ziel, unser Datenschutzniveau auf einem hohen Standard zu halten. Deswegen setzen wir auf eine kontinuierliche Weiterentwicklung unserer Datenschutz- und Datensicherheitskonzepte. Selbstverständlich halten wir die gesetzlichen Vorschriften zum Datenschutz ein. Nach Art. 13, 14 DSGVO treffen Verantwortliche besondere Informationspflichten, wenn sie personenbezogene Daten erheben. Durch dieses Dokument erfüllen wir diese Verpflichtungen. Die Terminologie gesetzlicher Vorschriften ist kompliziert. Bei der Ausarbeitung dieses Dokuments konnte leider nicht auf die Verwendung von juristischen Begriffen verzichtet werden. Daher möchten wir darauf hinweisen, dass Sie sich bei allen Fragen zu diesem Dokument, zu den verwendeten Fachbegriffen oder Formulierungen gerne an uns wenden dürfen. I. Erfüllung der Informationspflichten im Falle der Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DS-GVO) A. Name und Kontaktdaten des Verantwortlichen (Art. 13 I lit. a DS-GVO) Siehe oben B. Kontaktdaten des Datenschutzbeauftragten (Art. 13 I lit. b DS-GVO) Siehe oben C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 13 I lit. c DS-GVO) Zweck der Verarbeitung personenbezogener Daten ist die Abwicklung sämtlicher Vorgänge, die den Verantwortlichen, Kunden, Interessenten, Geschäftspartner oder sonstige vertragliche oder Page 4 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. vorvertragliche Beziehungen zwischen den genannten Gruppen (im weitesten Sinne) oder gesetzliche Pflichten des Verantwortlichen betreffen. Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO). D. Wenn die Verarbeitung auf Artikel 6 I lit. f DS-GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (Art. 13 I lit. d DS-GVO) Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner. Page 5 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 I lit. e DSGVO) Öffentliche Stellen Externe Stellen Weitere externe Stellen Interne Verarbeitung Konzerninterne Verarbeitung Sonstige Stellen F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (Art. 13 I lit. f, 46 I, II lit. c DS-GVO) Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend Konzerngesellschaften genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften oder Empfänger kann bei uns angefordert werden. Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können, ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO. Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar. Page 6 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 13 II lit. a DS-GVO) Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind. H. Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 13 II lit. b DS-GVO) Alle Betroffenen haben die folgenden Rechte: Auskunftsrecht Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können (Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des Auskunftsrechts kann sich der Betroffene an uns wenden. Recht auf Berichtigung Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, von unserem Unternehmen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder Betroffene an uns wenden. Recht auf Löschung (Recht auf Vergessenwerden) Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu. Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO. Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist genehmigen können. Einschränkung der Verarbeitung Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit. Page 7 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht werden. Recht auf Widerspruch Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann über uns geltend gemacht werden. Recht auf Datenübertragbarkeit Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann das Recht auf Datenübertragbarkeit über uns ausüben. I. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a DS-GVO oder Art. 9 II lit. a DSGVO beruht (Art. 13 II lit. c DS-GVO) Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO, der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jede andere Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen. Page 8 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 II lit. d, 77 I DS-GVO) Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde mitzuteilen, Art. 13 II lit. d DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt, dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141 Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren. K. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung (Art. 13 II lit. e DS-GVO) Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an uns wenden. Wir klären den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte. Page 9 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 II lit. f DS-GVO) Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling. II. Erfüllung der Informationspflichten für die Fälle, bei denen die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DS-GVO) A. Name und Kontaktdaten des Verantwortlichen (Art. 14 I lit. a DS-GVO) Siehe oben B. Kontaktdaten des Datenschutzbeauftragten (Art. 14 I lit. b DS-GVO) Siehe oben C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 14 I lit. c DS-GVO) Zweck der Verarbeitung personenbezogener Daten ist die Abwicklung sämtlicher Vorgänge, die das Unternehmen, Kunden, Interessenten, Geschäftspartner oder sonstige vertragliche oder vorvertragliche Beziehungen zwischen den genannten Beteiligtengruppen (im weitesten Sinne) oder gesetzliche Pflichten des Verantwortlichen betreffen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich Page 10 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO basieren. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO). D. Kategorien personenbezogener Daten, die verarbeitet werden (Art. 14 I lit. d DSGVO) Kundendaten Interessentendaten Beschäftigtendaten Lieferantendaten E. Kategorien von Empfängern der personenbezogenen Daten (Art. 14 I lit. e DSGVO) Öffentliche Stellen Externe Stellen Weitere externe Stellen Page 11 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Interne Verarbeitung Konzerninterne Verarbeitung Sonstige Stellen F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind (Art. 14 I lit. f, 46 I, II lit. c DS-GVO) Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend “Konzerngesellschaften” genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften oder Empfänger kann bei uns angefordert werden. Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können, ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO. Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar. G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 14 II lit. a DS-GVO) Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind. Page 12 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Mitteilung der berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 I lit. f DS-GVO beruht (Art. 14 II lit. b DS-GVO) Gemäß Art. 6 I lit. f DS-GVO ist eine Verarbeitung nur rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 Satz 2 DS-GVO kann ein berechtigtes Interesse vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist. In allen Fällen in denen unser Unternehmen die Verarbeitung von personenbezogenen Daten auf Art. 6 I lit. f DS-GVO stützt, liegt unser berechtigtes Interesse in der Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner. I. Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 14 II lit. c DS-GVO) Alle Betroffenen haben die folgenden Rechte: Auskunftsrecht Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können (Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des Auskunftsrechts kann sich der Betroffene an uns wenden. Recht auf Berichtigung Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, von unserem Unternehmen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder Betroffene an uns wenden. Recht auf Löschung (Recht auf Vergessenwerden) Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu. Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle Page 13 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO. Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist genehmigen können. Einschränkung der Verarbeitung Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit. a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht werden. Recht auf Widerspruch Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann über uns geltend gemacht werden. Recht auf Datenübertragbarkeit Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann das Recht auf Datenübertragbarkeit über uns ausüben. J. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a oder Art. 9 II lit. a DS-GVO beruht (Art. 14 II lit. d DS-GVO) Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO, der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jeder anderen Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen Page 14 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen. K. Beschwerderecht bei einer Aufsichtsbehörde (Art. 14 II lit. e, 77 I DS-GVO) Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde mitzuteilen, Art. 14 II lit. e DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt, dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141 Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren. L. Quelle aus der die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen (Art. 14 II lit. f DS-GVO) Grundsätzlich werden personenbezogene Daten direkt beim Betroffenen oder im Zusammenwirken mit einer Behörde erhoben (z.B. Auslesen von Daten eines behördlichen Registers). Andere Daten über Betroffene stammen aus Übermittlungen von Konzerngesellschaften. Im Rahmen dieser allgemein zu haltenden Information ist eine Mitteilung der exakten Quellen aus denen die personenbezogenen Daten stammen entweder unmöglich oder verursacht unverhältnismäßigen Aufwand im Sinne von Art. 14 V lit. b DS-GVO. Wir erheben grundsätzlich keine personenbezogenen Daten aus öffentlich zugänglichen Quellen. Jeder Betroffene kann sich jederzeit an uns wenden, um genauere Informationen über exakte Quellen der sie betreffenden personenbezogenen Daten zu erhalten. Kann der betroffenen Person nicht exakt mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so wird die individuelle Unterrichtung allgemein gehalten (Erwägungsgrund 61 Satz 4 DS-GVO). Page 15 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 14 II lit. g DS-GVO) Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling. Page 16 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. GERMAN: Mitarbeiter- und Bewerberinformation über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DSGVO) Sehr geehrte Damen und Herren, personenbezogene Daten von Mitarbeitern und Bewerbern verdienen besonderen Schutz. Wir haben uns zum Ziel gesetzt, unser Datenschutzniveau auf einem hohen Standard zu halten. Deswegen setzen wir auf eine kontinuierliche Weiterentwicklung unserer Datenschutz- und Datensicherheitskonzepte. Selbstverständlich halten wir die gesetzlichen Vorschriften zum Datenschutz ein. Nach Art. 13, 14 DSGVO treffen Verantwortliche besondere Informationspflichten, wenn sie personenbezogene Daten verarbeiten. Durch dieses Dokument erfüllen wir diese Verpflichtungen. Die Terminologie gesetzlicher Vorschriften ist kompliziert. Bei der Ausarbeitung dieses Dokuments konnte leider nicht auf die Verwendung von juristischen Begriffen verzichtet werden. Daher möchten wir darauf hinweisen, dass Sie sich bei allen Fragen zu diesem Dokument, zu den verwendeten Fachbegriffen oder Formulierungen gerne an uns wenden dürfen. I. Erfüllung der Informationspflichten im Falle der Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DS-GVO) A. Name und Kontaktdaten des Verantwortlichen (Art. 13 I lit. a DS-GVO) Siehe oben B. Kontaktdaten des Datenschutzbeauftragten (Art. 13 I lit. b DS-GVO) Siehe oben C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 13 I lit. c DS-GVO) Für Bewerberdaten ist der Zweck der Datenverarbeitung, eine Prüfung der Bewerbung im Bewerbungsverfahren durchzuführen. Für diesen Zweck verarbeiten wir alle von Ihnen zur Verfügung gestellten Daten. Auf Basis der im Rahmen der Bewerbung übermittelten Daten prüfen wir, ob Sie zu einem Vorstellungsgespräch (Teil des Auswahlverfahrens) eingeladen werden. Sodann verarbeiten wir Page 17 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. im Falle von grundsätzlich geeigneten Bewerberinnen und Bewerbern, insbesondere im Rahmen des Bewerbungsgesprächs, bestimmte weitere von Ihnen zur Verfügung gestellte personenbezogene Daten, die für unsere Auswahlentscheidung wesentlich sind. Werden Sie von uns eingestellt, wandeln sich Bewerberdaten automatisch in Mitarbeiterdaten. Im Rahmen des Einstellungsverfahrens werden wir sodann weitere personenbezogene Daten von Ihnen verarbeiten, die wir von Ihnen abfragen und die zur Vertragsanbahnung oder Vertragserfüllung erforderlich sind (z.B. Personenidentifikationsnummern oder Steuernummern). Für Mitarbeiterdaten ist der Zweck der Datenverarbeitung, die Erfüllung des Arbeitsvertrages, sonstiger gesetzlicher Vorschriften die auf das Arbeitsverhältnis anwendbar sind (z.B. aus dem Steuerrecht), sowie der Einsatz Ihrer Person zur Durchführung des mit Ihnen abgeschlossenen Arbeitsvertrages (z.B. Veröffentlichung Ihres Namens und der Kontaktdaten innerhalb des Unternehmens oder gegenüber Kunden). Mitarbeiterdaten werden nach Beendigung des Arbeitsverhältnisses zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert. Rechtsgrundlagen für die Datenverarbeitung sind Art. 6 Abs. 1 Buchst. b DS-GVO, Art. 9 Abs. 2 Buchst. b und h DS-GVO, Art. 88 Abs. 1 DS-GVO sowie nationale Rechtsvorschriften, wie etwa für Deutschland § 26 BDSG. D. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 I lit. e DSGVO) Öffentliche Stellen Externe Stellen Weitere externe Stellen Interne Verarbeitung Konzerninterne Verarbeitung Sonstige Stellen E. Empfänger in einem Drittland und geeignete oder angemessene Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (Art. 13 I lit. f, 46 I, II lit. c DS-GVO) Alle Unternehmen und Niederlassungen, die unserer Unternehmensgruppe angehören (nachfolgend Konzerngesellschaften genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können Page 18 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften oder Empfänger kann bei uns angefordert werden. Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können, ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO. Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar. F. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 13 II lit. a DS-GVO) Die Dauer der Speicherung personenbezogener Daten von Bewerbern beträgt 6 Monate. Für Mitarbeiterdaten gilt die gesetzliche Aufbewahrungspflicht. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind. G. Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 13 II lit. b DS-GVO) Alle Betroffenen haben die folgenden Rechte: Auskunftsrecht Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können (Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des Auskunftsrechts kann sich der Betroffene an uns wenden. Page 19 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Recht auf Berichtigung Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder Betroffene an uns wenden. Recht auf Löschung (Recht auf Vergessenwerden) Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu. Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO. Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist genehmigen können. Einschränkung der Verarbeitung Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit. a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht werden. Recht auf Widerspruch Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann über uns geltend gemacht werden. Recht auf Datenübertragbarkeit Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann das Recht auf Datenübertragbarkeit über uns ausüben. Page 20 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a DS-GVO oder Art. 9 II lit. a DSGVO beruht (Art. 13 II lit. c DS-GVO) Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO, der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jede andere Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen. I. Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 II lit. d, 77 I DS-GVO) Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde mitzuteilen, Art. 13 II lit. d DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt, dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141 Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren. Page 21 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung (Art. 13 II lit. e DS-GVO) Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an uns wenden. Wir klären den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte. K. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 II lit. f DS-GVO) Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling. II. Erfüllung der Informationspflichten für die Fälle, bei denen die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DS-GVO) A. Name und Kontaktdaten des Verantwortlichen (Art. 14 I lit. a DS-GVO) Siehe oben Page 22 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. B. Kontaktdaten des Datenschutzbeauftragten (Art. 14 I lit. b DS-GVO) Siehe oben C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 14 I lit. c DS-GVO) Für Bewerberdaten die nicht bei der betroffenen Person erhoben wurden, ist der Zweck der Datenverarbeitung, eine Prüfung der Bewerbung im Bewerbungsverfahren durchzuführen. Für diesen Zweck verarbeiten wir alle von uns nicht bei Ihnen erhobenen Daten. Auf Basis der im Rahmen der Bewerbung verarbeiteten Daten prüfen wir, ob Sie zu einem Vorstellungsgespräch (Teil des Auswahlverfahrens) eingeladen werden. Werden Sie von uns eingestellt, wandeln sich nicht bei Ihnen erhobene Bewerberdaten automatisch in Mitarbeiterdaten. Für solche Mitarbeiterdaten ist der Zweck der Datenverarbeitung, die Erfüllung des Arbeitsvertrages und sonstiger gesetzlicher Vorschriften die auf das Arbeitsverhältnis anwendbar sind. Mitarbeiterdaten werden nach Beendigung des Arbeitsverhältnisses zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert. Rechtsgrundlagen für die Datenverarbeitung sind Art. 6 Abs. 1 Buchst. b und f DS-GVO, Art. 9 Abs. 2 Buchst. b und h DS-GVO, Art. 88 Abs. 1 DS-GVO sowie nationale Rechtsvorschriften, wie etwa für Deutschland § 26 BDSG. D. Kategorien personenbezogener Daten, die verarbeitet werden (Art. 14 I lit. d DSGVO) Bewerberdaten Mitarbeiterdaten E. Kategorien von Empfängern der personenbezogenen Daten (Art. 14 I lit. e DSGVO) Öffentliche Stellen Externe Stellen Page 23 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Weitere externe Stellen Interne Verarbeitung Konzerninterne Verarbeitung Sonstige Stellen F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind (Art. 14 I lit. f, 46 I, II lit. c DS-GVO) Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend “Konzerngesellschaften” genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften oder Empfänger kann bei uns angefordert werden. Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können, ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO. Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar. G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 14 II lit. a DS-GVO) Die Dauer der Speicherung personenbezogener Daten von Bewerbern beträgt 6 Monate. Für Mitarbeiterdaten gilt die gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind. Page 24 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Mitteilung der berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 I lit. f DS-GVO beruht (Art. 14 II lit. b DS-GVO) Gemäß Art. 6 I lit. f DS-GVO ist eine Verarbeitung nur rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 Satz 2 DS-GVO kann ein berechtigtes Interesse vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist. In allen Fällen in denen unser Unternehmen die Verarbeitung von personenbezogenen Bewerberdaten und Mitarbeiterdaten auf Art. 6 I lit. f DS-GVO stützt, liegt unser berechtigtes Interesse in der Beschäftigung von geeignetem Personal und Fachkräften. I. Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 14 II lit. c DS-GVO) Alle Betroffenen haben die folgenden Rechte: Auskunftsrecht Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können (Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des Auskunftsrechts kann sich der Betroffene an uns wenden. Recht auf Berichtigung Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder Betroffene an uns wenden. Recht auf Löschung (Recht auf Vergessenwerden) Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu. Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung Page 25 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO. Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist genehmigen können. Einschränkung der Verarbeitung Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit. a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann uns geltend gemacht werden. Recht auf Widerspruch Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann über uns geltend gemacht werden. Recht auf Datenübertragbarkeit Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann das Recht auf Datenübertragbarkeit über uns ausüben. J. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a oder Art. 9 II lit. a DS-GVO beruht (Art. 14 II lit. d DS-GVO) Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO, der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jeder anderen Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine Page 26 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen. K. Beschwerderecht bei einer Aufsichtsbehörde (Art. 14 II lit. e, 77 I DS-GVO) Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde mitzuteilen, Art. 14 II lit. e DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt, dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141 Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren. L. Quelle aus der die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen (Art. 14 II lit. f DS-GVO) Grundsätzlich werden personenbezogene Daten direkt beim Betroffenen oder im Zusammenwirken mit einer Behörde erhoben (z.B. Auslesen von Daten eines behördlichen Registers). Andere Daten über Betroffene stammen aus Übermittlungen von Konzerngesellschaften. Im Rahmen dieser allgemein zu haltenden Information ist eine Mitteilung der exakten Quellen aus denen die personenbezogenen Daten stammen entweder unmöglich oder verursacht unverhältnismäßigen Aufwand im Sinne von Art. 14 V lit. b DS-GVO. Wir erheben grundsätzlich keine personenbezogenen Daten aus öffentlich zugänglichen Quellen. Jeder Betroffene kann sich jederzeit an uns wenden, um genauere Informationen über exakte Quellen der sie betreffenden personenbezogenen Daten zu erhalten. Kann der betroffenen Person nicht exakt mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so wird die individuelle Unterrichtung allgemein gehalten (Erwägungsgrund 61 Satz 4 DS-GVO). Page 27 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 14 II lit. g DS-GVO) Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling. Page 28 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ENGLISH: Information about the Processing of Personal Data (Article 13, 14 GDPR) Dear Sir or Madam, The personal data of every individual who is in a contractual, pre-contractual or other relationship with our company deserve special protection. Our goal is to keep our data protection level to a high standard. Therefore, we are constantly developing our data protection and data security concepts. Of course, we comply with the statutory provisions on data protection. According to Article 13, 14 GDPR, controllers meet specific information requirements when collecting personal data. This document fulfills these obligations. The terminology of legal regulations is complicated. Unfortunately, the use of legal terms could not be dispensed with in the preparation of this document. Therefore, we would like to point out that you are always welcome to contact us for all questions concerning this document, the used terms or formulations. I. Compliance with the information requirements when personal data is collected from the data subject (Article 13 GDPR) A. Identity and the contact details of the controller (Article 13(1) lit. a GDPR) See above B. Contact details of the Data Protection Officer (Article 13(1) lit. b GDPR) See above C. Purposes of the processing for which the personal data are intended as well as the legal basis for the processing (Article 13(1) lit. c GDPR) The purpose of the processing of personal data is the handling of all operations which concern the controller, customers, prospective customers, business partners or other contractual or pre-contractual relations between the named groups (in the broadest sense) or legal obligations of the controller. Art. 6(1) lit. a GDPR serves as the legal basis for processing operations for which we obtain consent for a specific processing purpose. If the processing of personal data is necessary for the performance of a Page 29 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. contract to which the data subject is party, as is the case, for example, when processing operations are necessary for the supply of goods or to provide any other service, the processing is based on Article 6(1) lit. b GDPR. The same applies to such processing operations which are necessary for carrying out precontractual measures, for example in the case of inquiries concerning our products or services. Is our company subject to a legal obligation by which processing of personal data is required, such as for the fulfillment of tax obligations, the processing is based on Art. 6(1) lit. c GDPR. In rare cases, the processing of personal data may be necessary to protect the vital interests of the data subject or of another natural person. This would be the case, for example, if a visitor were injured in our company and his name, age, health insurance data or other vital information would have to be passed on to a doctor, hospital or other third party. Then the processing would be based on Art. 6(1) lit. d GDPR. Finally, processing operations could be based on Article 6(1) lit. f GDPR. This legal basis is used for processing operations which are not covered by any of the abovementioned legal grounds, if processing is necessary for the purposes of the legitimate interests pursued by our company or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. Such processing operations are particularly permissible because they have been specifically mentioned by the European legislator. He considered that a legitimate interest could be assumed if the data subject is a client of the controller (Recital 47 Sentence 2 GDPR). D. Where the processing is based on Article 6(1) lit. f GDPR the legitimate interests pursued by the controller or by a third party (Article 13(1) lit. d GDPR) Where the processing of personal data is based on Article 6(1) lit. f GDPR our legitimate interest is to carry out our business in favor of the well-being of all our employees and the shareholders. E. Categories of recipients of the personal data (Article 13(1) lit. e GDPR) Public authorities External bodies Further external bodies Internal processing Intragroup processing Page 30 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Other bodies F. Recipients in a third country and appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available (Article 13(1) lit. f, 46(1), 46 (2) lit. c GDPR) All companies and branches that are part of our group (hereinafter referred to as “group companies”) that have their place of business or an office in a third country may belong to the recipients of personal data. A list of all group companies or recipients can be requested from us. According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third country if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate safeguards may be provided without requiring any specific authorisation from a supervisory authority by means of standard contractual clauses, Article 46(2) lit. c GDPR. The standard contractual clauses of the European Union or other appropriate safeguards are agreed on with all recipients from third countries before the first transmission of personal data. Consequently, it is ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses from us. The standard contractual clauses are also available in the Official Journal of the European Union (OJ 2010 / L 39, page 5-18). G. Period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period (Article 13(2) lit. a GDPR) The criteria used to determine the period of storage of personal data is the respective statutory retention period. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract. H. Existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability (Article 13(2) lit. b GDPR) All data subjects have the following rights: Page 31 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Right to access Each data subject has a right to access the personal data concerning him or her. The right to access extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results from Art. 15 GDPR. The data subject may contact us to exercise the right to access. Right to rectification According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article 16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the processing, to have incomplete personal data completed, including by means of providing a supplementary statement. The data subject may contact us to exercise the right of rectification. Right to erasure (right to be forgotten) In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This right can also be exercised by contacting us. At this point, however, we would like to point out that this right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after the expiration of the statutory retention period. Right to restriction of processing According to Article 18 GDPR any data subject is entitled to a restriction of processing. The restriction of processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The data subject may contact us to exercise the right to restriction of processing. Right to object Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise the right to object. Right to data portability Art. 20 GDPR grants the data subject the right to data portability. Under this provision, the data subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided. The data subject may contact us to exercise the right to data portability. Page 32 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. The existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal, where the processing is based on Article 6(1) lit. a GDPR or Article 9(2) lit. a GDPR (Article 13(2) lit. c GDPR) If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has given consent to the processing of personal data for one or more specific purposes or is it based on Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his or her consent at any time. Withdraw of consent shall not affect the lawfulness of processing based on consent before its withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3) Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as consent has been given or in any other way, that is considered by the data subject to be simpler. In todays information society, probably the simplest way to withdraw consent is a simple email. If the data subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the data subject may choose any other way to communicate his or her withdraw of consent to us. J. Right to lodge a complaint with a supervisory authority (Article 13(2) lit. d, 77(1) GDPR) As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a supervisory authority, Article 13(2) lit. d GDPR. The right to lodge a complaint with a supervisory authority is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a supervisory authority was only limited by the law of the Union in such way, that it can only be exercised before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid double complaints of the same data subject in the same matter. If a data subject wants to lodge a complaint about us, we therefore asked to contact only a single supervisory authority. K. Provision of personal data as statutory or contractual requirement; Requirement necessary to enter into a contract; Obligation of the data subject to provide the personal data; possible consequences of failure to provide such data (Art. 13(2) lit. e GDPR) We clarify that the provision of personal data is partly required by law (e.g. tax regulations) or can also result from contractual provisions (e.g. information on the contractual partner). Page 33 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Sometimes it may be necessary to conclude a contract that the data subject provides us with personal data, which must subsequently be processed by us. The data subject is, for example, obliged to provide us with personal data when our company signs a contract with him or her. The non-provision of the personal data would have the consequence that the contract with the data subject could not be concluded. Before personal data is provided by the data subject, the data subject must contact us. We clarify to the data subject whether the provision of the personal data is required by law or contract or is necessary for the conclusion of the contract, whether there is an obligation to provide the personal data and the consequences of non-provision of the personal data. L. Existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject (Article 13 (2) lit. f GDPR) As a responsible company, we do not use automatic decision-making or profiling. II. Compliance with the information requirements when personal data is not collected from the data subject (Article 14 GDPR) A. Identity and the contact details of the controller (Article 14(1) lit. a GDPR) See above B. Contact details of the Data Protection Officer (Article 14(1) lit. b GDPR) See above C. Purposes of the processing for which the personal data are intended as well as the legal basis for the processing (Article 14(1) lit. c GDPR) The purpose of the processing of personal data is the handling of all operations which concern the controller, customers, prospective customers, business partners or other contractual or pre-contractual relations between the named groups (in the broadest sense) or legal obligations of the controller. Page 34 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. If the processing of personal data is necessary for the performance of a contract to which the data subject is party, as is the case, for example, when processing operations are necessary for the supply of goods or to provide any other service, the processing is based on Article 6(1) lit. b GDPR. The same applies to such processing operations which are necessary for carrying out pre-contractual measures, for example in the case of inquiries concerning our products or services. Is our company subject to a legal obligation by which processing of personal data is required, such as for the fulfillment of tax obligations, the processing is based on Art. 6(1) lit. c GDPR. In rare cases, the processing of personal data may be necessary to protect the vital interests of the data subject or of another natural person. This would be the case, for example, if a visitor were injured in our company and his name, age, health insurance data or other vital information would have to be passed on to a doctor, hospital or other third party. Then the processing would be based on Art. 6(1) lit. d GDPR. Finally, processing operations could be based on Article 6(1) lit. f GDPR. This legal basis is used for processing operations which are not covered by any of the abovementioned legal grounds, if processing is necessary for the purposes of the legitimate interests pursued by our company or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. Such processing operations are particularly permissible because they have been specifically mentioned by the European legislator. He considered that a legitimate interest could be assumed if the data subject is a client of the controller (Recital 47 Sentence 2 GDPR). D. Categories of personal data concerned (Article 14(1) lit. d GDPR) Customer data Data of potential customers Data of employees Data of suppliers E. Categories of recipients of the personal data (Article 14(1) lit. e GDPR) Public authorities External bodies Page 35 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Further external bodies Internal processing Intragroup processing Other bodies F. Recipients in a third country and appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available (Article 14(1) lit. f, 46(1), 46(2) lit. c GDPR) All companies and branches that are part of our group (hereinafter referred to as “group companies”) that have their place of business or an office in a third country may belong to the recipients of personal data. A list of all group companies can be requested from us. According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third country if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate safeguards may be provided without requiring any specific authorisation from a supervisory authority by means of standard data protection clauses, Article 46(2) lit. c GDPR. The standard contractual clauses of the European Union or other appropriate safeguards are agreed on with all recipients from third countries before the first transmission of personal data. Consequently, it is ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses from us. The standard contractual clauses are also available in the Official Journal of the European Union (OJ 2010 / L 39, page 5-18). G. Period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period (Article 14(2) lit. a GDPR) The criteria used to determine the period of storage of personal data is the respective statutory retention period. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract. Page 36 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Notification of the legitimate interests pursued by the controller or by a third party if the processing is based on Article 6(1) lit. f GDPR (Art. 14(2) lit. b GDPR) According to Article 6(1) lit. f GDPR, processing shall be lawful only if the processing is necessary for the purposes of legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. According to Recital 47 Sentence 2 GDPR a legitimate interest could exist where there is a relevant and appropriate relationship between the data subject and the controller, e.g. in situations where the data subject is a client of the controller. In all cases in which our company processes personal data based on Article 6(1) lit. f GDPR, our legitimate interest is in carrying out our business in favor of the well-being of all our employees and the shareholders. I. Existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability (Article 14(2) lit. c GDPR) All data subjects have the following rights: Right to access Each data subject has a right to access the personal data concerning him or her. The right to access extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results from Art. 15 GDPR. The data subject may contact us to exercise the right to access. Right to rectification According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article 16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the processing, to have incomplete personal data completed, including by means of providing a supplementary statement. The data subject may contact us to exercise the right of rectification. Right to erasure (right to be forgotten) In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This right can also be exercised by contacting us. At this point, however, we would like to point out that this right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after the expiration of the statutory retention period. Page 37 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Right to restriction of processing According to Article 18 GDPR any data subject is entitled to restriction of processing. The restriction of processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The data subject may contact us to exercise the right to restriction of processing. Right to object Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise the right to object. Right to data portability Art. 20 GDPR grants the data subject the right to data portability. According to this provision the data subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided. The data subject may contact us to exercise the right to data portability. J. The existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal, where the processing is based on Article 6(1) lit. a or Article 9(2) lit. a GDPR (Art. 14(2) lit. d GDPR) If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has given consent to the processing of personal data for one or more specific purposes or is it based on Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his or her consent at any time. Withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3) Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as consent has been given or in any other way, that is considered by the data subject to be simpler. In todays information society, probably the simplest way to withdraw consent is a simple email. If the data subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the data subject may choose any other way to communicate his or her withdraw of consent to us. Page 38 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Right to lodge a complaint with a supervisory authority (Article 14(2) lit. e, 77(1) GDPR) As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a supervisory authority, Article 14(2) lit. e GDPR. The right to lodge a complaint with a supervisory authority is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a supervisory authority was only limited by the law of the Union in such way, that it can only be exercised before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid double complaints of the same data subject in the same matter. If a data subject wants to lodge a complaint about us, we therefore asked to contact only a single supervisory authority. L. Source the personal data originate, and if applicable, whether it came from publicly accessible sources (Article 14(2) lit. f GDPR) In principle, personal data is collected directly from the data subject or in cooperation with an authority (e.g. retrieval of data from an official register). Other data on data subjects are derived from transfers of group companies. In the context of this general information, the naming of the exact sources from which personal data is originated is either impossible or would involve a disproportionate effort within the meaning of Art. 14(5) lit. b GDPR. In principle, we do not collect personal data from publicly accessible sources. Any data subject can contact us at any time to obtain more detailed information about the exact sources of the personal data concerning him or her. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided (Recital 61 Sentence 4 GDPR). M. Existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject (Article 14(2) lit. g GDPR) As a responsible company, we do not use automatic decision-making or profiling. Page 39 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ENGLISH: Information about the Processing of Personal Data for Employees and Applicants (Article 13, 14 GDPR) Dear Sir or Madam, Personal data of employees and applicants deserves special protection. Our goal is to keep our data protection level to a high standard. Therefore, we are constantly developing our data protection and data security concepts. Of course, we comply with the statutory provisions on data protection. According to Article 13, 14 GDPR, controllers meet specific information requirements when processing personal data. This document fulfills these obligations. The terminology of legal regulation is complicated. Unfortunately, the use of legal terms could not be dispensed with in the preparation of this document. Therefore, we would like to point out that you are always welcome to contact us for all questions concerning this document, the terms used or formulations. I. Compliance with the information requirements when personal data is collected from the data subject (Article 13 GDPR) A. Identity and the contact details of the controller (Article 13(1) lit. a GDPR) See above B. Contact details of the Data Protection Officer (Article 13(1) lit. b GDPR) See above C. Purposes of the processing for which the personal data are intended as well as the legal basis for the processing (Article 13(1) lit. c GDPR) For applicant’s data, the purpose of data processing is to conduct an examination of the application during the recruitment process. For this purpose, we process all data provided by you. Based on the data submitted during the recruitment process, we will check whether you are invited to a job interview (part of the selection process). In case of generally suitable candidates, in particular in the context of the job interview, we process certain other personal data provided by you, which is essential for our selection Page 40 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. decision. If you are hired by us, applicant’s data will automatically change into employee data. As part of the recruitment process, we will process other personal data about you that we request from you and that is required to initiate or fulfill your contract (such as personal identification numbers or tax numbers). For employee data, the purpose of data processing is the performance of the employment contract or compliance with other legal provisions applicable to the employment relationship (e.g. tax law) as well as the use of your personal data to carry out the employment contract concluded with you (e.g. publication of your name and the contact information within the company or to customers). Employee data is stored after termination of the employment relationship to fulfill legal retention periods. The legal basis for data processing is Article 6(1) lit. b GDPR, Article 9(2) lit. b and h GDPR, Article 88 (1) GDPR and national legislation, such as for Germany Section 26 BDSG (Federal Data Protection Act). D. Categories of recipients of the personal data (Article 13(1) lit. e GDPR) Public authorities External bodies Further external bodies Internal processing Intragroup processing Other bodies E. Recipients in a third country and appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available (Article 13(1) lit. f, 46(1), 46 (2) lit. c GDPR) All companies and branches that are part of our group (hereinafter referred to as “group companies”) that have their place of business or an office in a third country may belong to the recipients of personal data. A list of all group companies or recipients can be requested from us. According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third country if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate safeguards may be provided without requiring any specific authorisation from a supervisory authority by means of standard contractual clauses, Article 46(2) lit. c GDPR. Page 41 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. The standard contractual clauses of the European Union or other appropriate safeguards are agreed on with all recipients from third countries before the first transmission of personal data. Consequently, it is ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses from us. The standard contractual clauses are also available in the Official Journal of the European Union (OJ 2010 / L 39, page 5-18). F. Period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period (Article 13(2) lit. a GDPR) The duration of storage of personal data of applicants is 6 months. For employee data the respective statutory retention period applies. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract. G. Existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability (Article 13(2) lit. b GDPR) All data subjects have the following rights: Right to access Each data subject has a right to access the personal data concerning him or her. The right to access extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results from Art. 15 GDPR. The data subject may contact us to exercise the right to access. Right to rectification According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article 16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the processing, to have incomplete personal data completed, including by means of providing a supplementary statement. The data subject may contact us to exercise the right of rectification. Right to erasure (right to be forgotten) In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This right can also be exercised by contacting us. At this point, however, we would like to point out that this right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after the expiration of the statutory retention period. Page 42 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Right to restriction of processing According to Article 18 GDPR any data subject is entitled to a restriction of processing. The restriction of processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The data subject may contact us to exercise the right to restriction of processing. Right to object Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise the right to object. Right to data portability Art. 20 GDPR grants the data subject the right to data portability. Under this provision, the data subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided. The data subject may contact us to exercise the right to data portability. H. The existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal, where the processing is based on Article 6(1) lit. a GDPR or Article 9(2) lit. a GDPR (Article 13(2) lit. c GDPR) If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has given consent to the processing of personal data for one or more specific purposes or is it based on Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his or her consent at any time. Withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3) Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as consent has been given or in any other way, that is considered by the data subject to be simpler. In today’s information society, probably the simplest way to withdraw consent is a simple email. If the data subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the data subject may choose any other way to communicate his or her withdraw of consent to us. Page 43 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Right to lodge a complaint with a supervisory authority (Article 13(2) lit. d, 77(1) GDPR) As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a supervisory authority, Article 13(2) lit. d GDPR. The right to lodge a complaint with a supervisory authority is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a supervisory authority was only limited by the law of the Union in such way, that it can only be exercised before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid double complaints of the same data subject in the same matter. If a data subject wants to lodge a complaint about us, we therefore asked to contact only a single supervisory authority. J. Provision of personal data as statutory or contractual requirement; Requirement necessary to enter into a contract; Obligation of the data subject to provide the personal data; possible consequences of failure to provide such data (Art. 13(2) lit. e GDPR) We clarify that the provision of personal data is partly required by law (e.g. tax regulations) or can also result from contractual provisions (e.g. information on the contractual partner). Sometimes it may be necessary to conclude a contract that the data subject provides us with personal data, which must subsequently be processed by us. The data subject is, for example, obliged to provide us with personal data when our company signs a contract with him or her. The non-provision of the personal data would have the consequence that the contract with the data subject could not be concluded. Before personal data is provided by the data subject, the data subject must contact us. We clarify to the data subject whether the provision of the personal data is required by law or contract or is necessary for the conclusion of the contract, whether there is an obligation to provide the personal data and the consequences of non-provision of the personal data. K. Existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject (Article 13 (2) lit. f GDPR) As a responsible company, we do not use automatic decision-making or profiling. Page 44 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Compliance with the information requirements when personal data is not collected from the data subject (Article 14 GDPR) A. Identity and the contact details of the controller (Article 14(1) lit. a GDPR) See above B. Contact details of the Data Protection Officer (Article 14(1) lit. b GDPR) See above C. Purposes of the processing for which the personal data are intended as well as the legal basis for the processing (Article 14(1) lit. c GDPR) For applicant’s data not collected from the data subject, the purpose of data processing is to conduct an examination of the application during the recruitment process. For this purpose, we may process data not collected from you. Based on the data processed during the recruitment process, we will check whether you are invited to a job interview (part of the selection process). If you are hired by us, applicant’s data will automatically convert into employee data. For employee data, the purpose of data processing is the performance of the employment contract or compliance with other legal provisions applicable to the employment relationship. Employee data is stored after termination of the employment relationship to fulfill legal retention periods. The legal basis for data processing is Article 6(1) lit. b and f GDPR, Article 9(2) lit. b and h GDPR, Article 88 (1) GDPR and national legislation, such as for Germany Section 26 BDSG (Federal Data Protection Act). D. Categories of personal data concerned (Article 14(1) lit. d GDPR) Applicant’s data Employee data Page 45 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categories of recipients of the personal data (Article 14(1) lit. e GDPR) Public authorities External bodies Further external bodies Internal processing Intragroup processing Other bodies F. Recipients in a third country and appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available (Article 14(1) lit. f, 46(1), 46(2) lit. c GDPR) All companies and branches that are part of our group (hereinafter referred to as “group companies”) that have their place of business or an office in a third country may belong to the recipients of personal data. A list of all group companies or recipients can be requested from us. According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third country if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate safeguards may be provided without requiring any specific authorisation from a supervisory authority by means of standard data protection clauses, Article 46(2) lit. c GDPR. The standard contractual clauses of the European Union or other appropriate safeguards are agreed on with all recipients from third countries before the first transmission of personal data. Consequently, it is ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses from us. The standard contractual clauses are also available in the Official Journal of the European Union (OJ 2010 / L 39, page 5-18). Page 46 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period (Article 14(2) lit. a GDPR) The duration of storage of personal data of applicants is 6 months. For employee data the respective statutory retention period applies. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract. H. Notification of the legitimate interests pursued by the controller or by a third party if the processing is based on Article 6(1) lit. f GDPR (Art. 14(2) lit. b GDPR) According to Article 6(1) lit. f GDPR, processing shall be lawful only if the processing is necessary for the purposes of legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. According to Recital 47 Sentence 2 GDPR a legitimate interest could exist where there is a relevant and appropriate relationship between the data subject and the controller, e.g. in situations where the data subject is a client of the controller. In all cases in which our company processes applicant’s data based on Article 6(1) lit. f GDPR, our legitimate interest is the employment of suitable personnel and professionals. I. Existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability (Article 14(2) lit. c GDPR) All data subjects have the following rights: Right to access Each data subject has a right to access the personal data concerning him or her. The right to access extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results from Art. 15 GDPR. The data subject may contact us to exercise the right to access. Right to rectification According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article 16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the processing, to have incomplete personal data completed, including by means of providing a supplementary statement. The data subject may contact us to exercise the right of rectification. Page 47 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Right to erasure (right to be forgotten) In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This right can also be exercised by contacting us. At this point, however, we would like to point out that this right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after the expiration of the statutory retention period. Right to restriction of processing According to Article 18 GDPR any data subject is entitled to restriction of processing. The restriction of processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The data subject may contact us to exercise the right to restriction of processing. Right to object Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise the right to object. Right to data portability Art. 20 GDPR grants the data subject the right to data portability. According to this provision the data subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided. The data subject may contact us to exercise the right to data portability. J. The existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal, where the processing is based on Article 6(1) lit. a or Article 9(2) lit. a GDPR (Art. 14(2) lit. d GDPR) If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has given consent to the processing of personal data for one or more specific purposes or is it based on Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his or her consent at any time. Withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3) Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as consent has been given or in any other way, that is considered by the data subject to be simpler. In today’s information society, probably the simplest way to withdraw consent is a simple email. If the data Page 48 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the data subject may choose any other way to communicate his or her withdraw of consent to us. K. Right to lodge a complaint with a supervisory authority (Article 14(2) lit. e, 77(1) GDPR) As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a supervisory authority, Article 14(2) lit. e GDPR. The right to lodge a complaint with a supervisory authority is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a supervisory authority was only limited by the law of the Union in such way, that it can only be exercised before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid double complaints of the same data subject in the same matter. If a data subject wants to lodge a complaint about us, we therefore asked to contact only a single supervisory authority. L. Source the personal data originate, and if applicable, whether it came from publicly accessible sources (Article 14(2) lit. f GDPR) In principle, personal data is collected directly from the data subject or in cooperation with an authority (e.g. retrieval of data from an official register). Other data on data subjects are derived from transfers of group companies. In the context of this general information, the naming of the exact sources from which personal data is originated is either impossible or would involve a disproportionate effort within the meaning of Art. 14(5) lit. b GDPR. In principle, we do not collect personal data from publicly accessible sources. Any data subject can contact us at any time to obtain more detailed information about the exact sources of the personal data concerning him or her. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided (Recital 61 Sentence 4 GDPR). Page 49 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject (Article 14(2) lit. g GDPR) As a responsible company, we do not use automatic decision-making or profiling. Page 50 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. SPANISH: Información sobre el tratamiento de datos personales (Artículos 13, 14 RGPD) Estimado señor o señora: Los datos personales de toda persona que se encuentre en una relación contractual, precontractual o de otro tipo con nuestra empresa merecen una protección especial. Nuestro objetivo es mantener nuestro nivel de protección de datos a un alto nivel. Por lo tanto, estamos desarrollando constantemente nuestros conceptos de protección y seguridad de datos. Por supuesto, cumplimos con las disposiciones legales sobre protección de datos. De acuerdo con los artículos 13 y 14 del RGPD, las empresas cumplen requisitos específicos de información al recoger datos personales. Este documento cumple con estas obligaciones. La terminología de las normas legales es complicada. Desafortunadamente, no se pudo prescindir del uso de términos legales en la preparación de este documento. Por lo tanto, nos gustaría señalar que usted es siempre bienvenido a ponerse en contacto con nuestro delegado de protección de datos para todas las preguntas relativas a este documento, los términos utilizados o formulaciones. I. Cumplimiento de los requisitos de información cuando se recogen datos personales del interesado (artículo 13 del RGPD) A. Identidad y datos de contacto del responsable (artículo 13.1 lit. a RGPD) Véase arriba B. Datos de contacto del delegado de protección de datos (artículo 13(1) lit. b RGPD) Véase arriba C. Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento (artículo 13(1) lit. c RGPD) Page 51 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. La finalidad del tratamiento de datos personales es el tratamiento de todas las operaciones que afecten al responsable del tratamiento, a los clientes, a los posibles clientes, a los socios comerciales o a otras relaciones contractuales o precontractuales entre los grupos mencionados (en el sentido más amplio) o a las obligaciones legales del responsable del tratamiento. Art. 6(1) lit. a RGPD sirve como base legal para operaciones de tratamiento para las cuales obtenemos el consentimiento para un propósito específico de tratamiento. Si el tratamiento de datos personales es necesario para la ejecución de un contrato en el que el interesado es parte, como es el caso, por ejemplo, cuando las operaciones de tratamiento son necesarias para el suministro de bienes o para prestar cualquier otro servicio, el tratamiento se basa en el artículo 6(1) lit. b RGPD. Lo mismo se aplica a los tratamientos necesarios para la realización de medidas precontractuales, por ejemplo, en el caso de consultas sobre nuestros productos o servicios. Nuestra empresa está sujeta a una obligación legal por la que se requiere el tratamiento de datos personales, como por ejemplo para el cumplimiento de obligaciones fiscales, el tratamiento se basa en el Art. 6(1) lit. c RGPD. En raras ocasiones, el tratamiento de datos personales puede ser necesario para proteger los intereses vitales del interesado o de otra persona física. Este sería el caso, por ejemplo, si un visitante sufriera una lesión en nuestra empresa y su nombre, edad, datos del seguro médico u otra información vital tuviera que ser transmitida a un médico, hospital u otro tercero. Entonces el tratamiento se basaría en el Art. 6(1) lit. d RGPD. Por último, las operaciones de tratamiento podrían basarse en el artículo 6(1) lit. f del RGPD. Este fundamento jurídico se utiliza para operaciones de tratamiento que no están cubiertas por ninguno de los fundamentos jurídicos antes mencionados, si el tratamiento es necesario para los fines de los intereses legítimos perseguidos por nuestra empresa o por un tercero, excepto cuando dichos intereses estén superados por los intereses o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales. Estos tratamientos son especialmente admisibles porque el legislador europeo los ha mencionado expresamente. Consideraba que se podía presumir un interés legítimo si el interesado era cliente del responsable del tratamiento (segunda frase del considerando 47 del RGPD). D. Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero (artículo 13, apartado 1, letra d), del RGPD) Cuando el tratamiento de datos personales se basa en el artículo 6(1) lit. f RGPD, nuestro interés legítimo es llevar a cabo nuestro negocio en favor del bienestar de todos nuestros empleados y accionistas. Page 52 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categorías de destinatarios de los datos personales (artículo 13, apartado 1, lit. e RGPD) Autoridades públicas Organismos externos Otros organismos externos Tratamiento interno Tratamiento dentro del grupo Otros organismos F. Destinatarios en un tercer país y las garantías adecuadas o apropiadas y los medios para obtener una copia de estas o al hecho de que se hayan prestado (artículo 13, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD) Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas “empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los destinatarios de los datos personales. De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna autorización específica de una autoridad de control por medio de cláusulas contractuales estándar, artículo 46(2) lit. c RGPD. Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea (DO 2010 / L 39, pp. 5-18). Page 53 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (artículo 13(2) lit. a RGPD) El criterio utilizado para determinar el plazo de portabilidad de los datos personales es el plazo de conservación legal respectivo. Una vez transcurrido dicho plazo, los datos correspondientes se borran de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación de un contrato. H. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (artículo 13, apartado 2, letra b), del RGPD) Todos los interesados tienen los siguientes derechos: Derecho de acceso Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD). Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de acceso. Derecho a rectificación De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación. Derecho a la supresión (derecho al olvido) Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos. En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar sólo después de la expiración del plazo de retención legal. Page 54 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Derecho a la limitación de tratamiento De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la limitación de tratamiento. Derecho de oposición Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de oposición. Derecho a la portabilidad de datos El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b), del RGPD, tiene derecho a recibir los datos personales que le conciernan a él o ella, que él o ella haya facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la portabilidad de datos. I. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) (artículo 13, apartado 2, letra c), del RGPD) Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD, el derecho de retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento, Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de Page 55 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de comunicarnos la revocación de su consentimiento. J. Derecho a presentar una reclamación ante una autoridad de control (letra d) del apartado 2 del artículo 13 y apartado 1 del artículo 77 del RGPD) Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control. K. La comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos (Art. 13(2) lit. e RGPD) Aclaramos que el suministro de datos personales es requerido en parte por la ley (p.ej. regulaciones fiscales) o también puede resultar de disposiciones contractuales (p.ej. información sobre la parte contratante). A veces puede ser necesario celebrar un contrato en el que el interesado nos proporciona datos personales, que deben ser procesados posteriormente por nosotros. Por ejemplo, el interesado está obligado a facilitarnos datos personales cuando nuestra empresa firma un contrato con él. La no comunicación de los datos personales tendría como consecuencia que no se pudiera celebrar el contrato con el interesado. Antes de que el interesado facilite datos personales, el interesado deberá ponerse en contacto con nuestro delegado de protección de datos. Nuestro delegado de protección de datos aclara al interesado si el suministro de los datos personales es requerido por la ley o el contrato o si es necesario para la Page 56 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. conclusión del contrato, si existe una obligación de proporcionar los datos personales y las consecuencias de la no entrega de los datos personales. L. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (artículo 13, apartado 2, letra f), del RGPD) Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles automáticos. II. Cumplimiento de los requisitos de información cuando no se reciben datos personales del interesado (artículo 14 del RGPD) A. La identidad y los datos de contacto del responsable y, en su caso, de su representante (artículo 14.1 lit. a RGPD) Véase arriba B. Datos de contacto del delegado de protección de datos, en su caso (artículo 14(1) lit. b RGPD) Véase arriba C. Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento (artículo 14(1) lit. c RGPD) La finalidad del tratamiento de datos personales es el tratamiento de todas las operaciones que afecten al responsable del tratamiento, a los clientes, a los posibles clientes, a los socios comerciales o a otras relaciones contractuales o precontractuales entre los grupos mencionados (en el sentido más amplio) o a las obligaciones legales del responsable del tratamiento. Si el tratamiento de datos personales es necesario para la ejecución de un contrato en el que el interesado es parte, como es el caso, por ejemplo, cuando las operaciones de tratamiento son necesarias para el suministro de bienes o para prestar cualquier otro servicio, el tratamiento se basa en el artículo 6(1) lit. b RGPD. Lo mismo se aplica a los tratamientos necesarios para la realización de Page 57 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. medidas precontractuales, por ejemplo, en el caso de consultas sobre nuestros productos o servicios. Nuestra empresa está sujeta a una obligación legal por la que se requiere el tratamiento de datos personales, como por ejemplo para el cumplimiento de obligaciones fiscales, el tratamiento se basa en el Art. 6(1) lit. c RGPD. En raras ocasiones, el tratamiento de datos personales puede ser necesario para proteger los intereses vitales del interesado o de otra persona física. Este sería el caso, por ejemplo, si un visitante sufriera una lesión en nuestra empresa y su nombre, edad, datos del seguro médico u otra información vital tuviera que ser transmitida a un médico, hospital u otro tercero. Entonces el tratamiento se basaría en el Art. 6(1) lit. d RGPD. Por último, las operaciones de tratamiento podrían basarse en el artículo 6(1) lit. f del RGPD. Este fundamento jurídico se utiliza para operaciones de tratamiento que no están cubiertas por ninguno de los fundamentos jurídicos antes mencionados, si el tratamiento es necesario para los fines de los intereses legítimos perseguidos por nuestra empresa o por un tercero, excepto cuando dichos intereses estén superados por los intereses o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales. Estos tratamientos son especialmente admisibles porque el legislador europeo los ha mencionado expresamente. Consideraba que se podía presumir un interés legítimo si el interesado era cliente del responsable del tratamiento (segunda frase del considerando 47 del RGPD). D. Categorías de datos personales de que se trate (artículo 14, apartado 1, letra d), del RGPD) Datos del cliente Datos de clientes potenciales Datos de los empleados Datos de los proveedores E. Destinatarios o las categorías de destinatarios de los datos personales, en su caso (artículo 14.1 lit. e RGPD) Autoridades públicas Page 58 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Organismos externos Otros organismos externos Tratamiento interno Tratamiento dentro del grupo Otros organismos F. Destinatarios en un tercer país u organización internacional y las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado (artículo 14, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD) Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas “empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los destinatarios de los datos personales. De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna autorización específica de una autoridad de control por medio de cláusulas contractuales estándar, artículo 46(2) lit. c RGPD. Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea (DO 2010 / L 39, pp. 5-18). G. Plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo (artículo 14(2) lit. a RGPD) El criterio utilizado para determinar el plazo de portabilidad de los datos personales es el plazo de conservación legal respectivo. Una vez transcurrido dicho plazo, los datos correspondientes se borran Page 59 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación de un contrato. H. Notificación de los intereses legítimos del responsable del tratamiento o de un tercero si el tratamiento se basa en el artículo 6, apartado 1, letra f), del RGPD (Art. 14(2) lit. b RGPD) De conformidad con el artículo 6, apartado 1, letra f), del RGPD, el tratamiento sólo será lícito si el tratamiento es necesario para satisfacer intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo cuando los intereses o los derechos y libertades fundamentales del interesado prevalezcan sobre los intereses o libertades fundamentales del interesado que requieran la protección de datos personales. Según la segunda frase del considerando 47 del RGPD, podría existir un interés legítimo cuando exista una relación pertinente y adecuada entre el interesado y el responsable del tratamiento, por ejemplo, en situaciones en las que el interesado sea cliente del responsable del tratamiento. En todos los casos en los que nuestra empresa trata datos personales basados en el artículo 6(1) lit. f del RGPD, nuestro interés legítimo es llevar a cabo nuestro negocio a favor del bienestar de todos nuestros empleados y accionistas. I. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (artículo 14, apartado 2, letra c), del RGPD) Todos los interesados tienen los siguientes derechos: Derecho de acceso Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD). Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de acceso. Derecho a rectificación De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales Page 60 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación. Derecho a la supresión (derecho al olvido) Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos. En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar sólo después de la expiración del plazo de retención legal. Derecho a la limitación de tratamiento De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la limitación de tratamiento. Derecho de oposición Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de oposición. Derecho a la portabilidad de datos El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b), del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la portabilidad de datos. J. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) (Art. 14(2) lit. d RGPD) Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías Page 61 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD, el derecho de retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento, Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de comunicarnos la revocación de su consentimiento. K. Derecho a presentar una reclamación ante una autoridad de control (artículo 14, apartado 2, letra e), y artículo 77, apartado 1, del RGPD) Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control. L. Fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público (artículo 14(2) lit. f RGPD) En principio, los datos personales se recogen directamente del interesado o en cooperación con una autoridad (por ejemplo, extracción de datos de un registro oficial). Otros datos sobre los interesados se derivan de las transmisiones de empresas del grupo. En el contexto de esta información general, la indicación de las fuentes exactas de las que proceden los datos personales es imposible o supondría un esfuerzo desproporcionado en el sentido del artículo. 14(5) lit. b RGPD. En principio, no recogemos datos personales de fuentes de acceso público. Page 62 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Cualquier interesado puede ponerse en contacto con nuestro delegado de protección de datos en cualquier momento para obtener información más detallada sobre las fuentes exactas de los datos personales que le conciernen. En los casos en que no pueda facilitarse al interesado el origen de los datos personales porque se hayan utilizado varias fuentes, deberá facilitarse información general (cuarta frase del considerando 61 del RGPD). M. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (artículo 14, apartado 2, letra g), del RGPD) Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles automáticos. Page 63 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. SPANISH: Información sobre el tratamiento de datos personales de los empleados y solicitantes (artículo 13, 14 del RGPD) Estimado señor o señora: Los datos personales de empleados y solicitantes merecen una protección especial. Nuestro objetivo es mantener nuestro nivel de protección de datos en los más altos estándares. Por lo tanto, estamos desarrollando constantemente nuestros conceptos de protección y seguridad de datos. Por supuesto, cumplimos con las disposiciones legales sobre protección de datos. De acuerdo con los artículos 13 y 14 del RGPD, los responsables del tratamiento cumplen requisitos específicos de información al tratar datos personales. Este documento cumple con estas obligaciones. La terminología de las normas legales es complicada. Desafortunadamente, no se pudo prescindir del uso de términos legales en la preparación de este documento. Por lo tanto, nos gustaría señalar que usted es siempre bienvenido a ponerse en contacto con nosotros para todas las preguntas relativas a este documento, los términos utilizados o formulaciones. I. Cumplimiento de los requisitos de información cuando se recogen datos personales de el interesado (artículo 13 del RGPD) A. Identidad y datos de contacto del responsable (artículo 13.1 lit. a RGPD) Véase arriba B. Datos de contacto del delegado de protección de datos (artículo 13(1) lit. b RGPD) Véase arriba C. Finalidades del tratamiento al que se destinan los datos personales, así como el fundamento jurídico del tratamiento (artículo 13, apartado 1, letra c), del RGPD) Para los datos de solicitantes, el fin del tratamiento de datos es realizar un examen de la solicitud durante el proceso de selección. Por este motivo, tratamos todos los datos que nos proporcione. Basándonos en Page 64 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. los datos suministrados durante el proceso de selección, comprobaremos si se le invita a una entrevista de trabajo (parte del proceso de selección). En caso de candidatos generalmente aptos, en particular en el contexto de la entrevista de trabajo, trataremos otro tipo determinado de datos personales que usted nos proporcione, algo esencial para tomar una decisión en el proceso de selección. Si nosotros le contratamos, los datos de solicitante cambiarán automáticamente a datos de empleado. Como parte del proceso de selección, trataremos otros datos personales de usted que le solicitemos y que son necesarios para iniciar o cumplir con su contrato (como números de identidad personal o números fiscales). En relación a los datos de empleados, el fin del tratamiento de datos es la ejecución del contrato de trabajo o el cumplimiento de otras obligaciones legales aplicables a la relación laboral (p. ej., legislación tributaria) así como el uso de sus datos personales para llevar a cabo el contrato de trabajo celebrado con usted (p. ej., la publicación de su nombre e información de contacto en la empresa o a disposición de los usuarios). Los datos de empleados se almacenan una vez concluida la relación laboral para cumplir con los periodos legales de conservación. La base jurídica para el tratamiento de datos es el artículo 6, apartado 1, letra b), del RGPD, artículo 9, apartado 2, letras b) y h), del RGPD, artículo 88, apartado 1 del RGPD y la legislación nacional, tal como el artículo 26 de la BDSG (Ley Federal sobre Protección de Datos alemana). D. Categorías de destinatarios de los datos personales (artículo 13, apartado 1, lit. e RGPD) Autoridades públicas Organismos externos Otros organismos externos Tratamiento interno Tratamiento dentro del grupo Otros organismos Page 65 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Destinatarios en un tercer país y las garantías adecuadas o apropiadas y los medios para obtener una copia de estas o al hecho de que se hayan prestado (artículo 13, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD) Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas “empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los destinatarios de los datos personales. De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna autorización específica de una autoridad de control por medio de cláusulas contractuales estándar, artículo 46(2) lit. c RGPD. Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea (DO 2010 / L 39, pp. 5-18). F. Plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (artículo 13, apartado 2, letra a), del RGPD). La duración del almacenamiento de datos personales de los solicitantes es de 6 meses. Se aplica el correspondiente periodo legal de conservación para los datos de empleados. Una vez transcurrido dicho plazo, los datos correspondientes se borran de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación de un contrato. G. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (artículo 13, apartado 2, letra b), del RGPD) Todos los interesados tienen los siguientes derechos: Page 66 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Derecho de acceso Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD). Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de acceso. Derecho a rectificación De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación. Derecho a la supresión (derecho al olvido) Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos. En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar sólo después de la expiración del plazo de retención legal. Derecho a la limitación de tratamiento De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la limitación de tratamiento. Derecho de oposición Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de oposición. Derecho a la portabilidad de datos El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b), del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede Page 67 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la portabilidad de datos. H. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) (artículo 13, apartado 2, letra c), del RGPD) Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD, el derecho de retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento, Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de comunicarnos la revocación de su consentimiento. I. Derecho a presentar una reclamación ante una autoridad de control (letra d) del apartado 2 del artículo 13 y apartado 1 del artículo 77 del RGPD) Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única Page 68 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control. J. La comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos (Art. 13(2) lit. e RGPD) Aclaramos que el suministro de datos personales es requerido en parte por la ley (p.ej. regulaciones fiscales) o también puede resultar de disposiciones contractuales (p.ej. información sobre la parte contratante). A veces puede ser necesario celebrar un contrato en el que el interesado nos proporciona datos personales, que deben ser procesados posteriormente por nosotros. Por ejemplo, el interesado está obligado a facilitarnos datos personales cuando nuestra empresa firma un contrato con él. La no comunicación de los datos personales tendría como consecuencia que no se pudiera celebrar el contrato con el interesado. Antes de que el interesado facilite datos personales, el interesado deberá ponerse en contacto con nuestro delegado de protección de datos. Nuestro delegado de protección de datos aclara al interesado si el suministro de los datos personales es requerido por la ley o el contrato o si es necesario para la conclusión del contrato, si existe una obligación de proporcionar los datos personales y las consecuencias de la no entrega de los datos personales. K. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (artículo 13, apartado 2, letra f), del RGPD) Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles automáticos. Page 69 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Cumplimiento de los requisitos de información cuando no se reciben datos personales del interesado (artículo 14 del RGPD) A. La identidad y los datos de contacto del responsable y, en su caso, de su representante (artículo 14.1 lit. a RGPD) Véase arriba B. Datos de contacto del delegado de protección de datos, en su caso (artículo 14(1) lit. b RGPD) Véase arriba C. Finalidades del tratamiento al que se destinan los datos personales, así como el fundamento jurídico del tratamiento (artículo 14, apartado 1, letra c), del RGPD) Si los datos de los solicitantes no se obtienen de los interesados, el fin del tratamiento de datos es realizar un examen de la solicitud durante el proceso de selección. Para tal fin, podremos tratar datos no obtenidos de usted. Basándonos en los datos tratados durante el proceso de selección, comprobaremos si se le invita a una entrevista de trabajo (parte del proceso de selección). Si nosotros le contratamos, los datos de solicitante se convertirán automáticamente en datos de empleado. Para los datos de empleados, el fin del tratamiento de los datos es la ejecución del contrato de empleo o el cumplimiento de otras obligaciones legales aplicables a la relación laboral. Los datos de empleados se almacenan una vez concluida la relación laboral para cumplir con los periodos legales de conservación. La base jurídica para el tratamiento de datos es el artículo 6, apartado 1, letra b) y f), del RGPD, artículo 9, apartado 2, letras b) y h), del RGPD, artículo 88, apartado 1 del RGPD y la legislación nacional, tal como el artículo 26 de la BDSG (Ley Federal sobre Protección de Datos alemana). D. Categorías de datos personales de que se trate (artículo 14, apartado 1, letra d), del RGPD) Datos de solicitantes Datos de empleados Page 70 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categorías de destinatarios de los datos personales (artículo 14, apartado 1, lit. e RGPD) Autoridades públicas Organismos externos Otros organismos externos Tratamiento interno Tratamiento dentro del grupo Otros organismos F. Destinatarios en un tercer país u organización internacional y las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado (artículo 14, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD) Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas “empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los destinatarios de los datos personales. De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna autorización específica de una autoridad de control por medio de cláusulas contractuales estándar, artículo 46(2) lit. c RGPD. Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea (DO 2010 / L 39, pp. 5-18). Page 71 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo (artículo 14, apartado 2, letra a), del RGPD) La duración del almacenamiento de datos personales de los solicitantes es de 6 meses. Se aplica el correspondiente periodo legal de conservación para los datos de empleados. Una vez transcurrido dicho plazo, los datos correspondientes se borran de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación de un contrato. H. Notificación de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero si el tratamiento se basa en el artículo 6, apartado 1, letra f), del RGPD (artículo 14, apartado 2, letra b), del RGPD) De conformidad con el artículo 6, apartado 1, letra f), del RGPD, el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Según la segunda frase del considerando 47 del RGPD, podría existir un interés legítimo cuando exista una relación pertinente y adecuada entre el interesado y el responsable del tratamiento, por ejemplo, en situaciones en las que el interesado sea cliente del responsable del tratamiento. En todos los casos en los que nuestra empresa trate datos de solicitantes en base al artículo 6, apartado 1, letra f), del RGPD, nuestro interés legítimo es el empleo de profesionales y personal aptos. I. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (artículo 14, apartado 2, letra c), del RGPD) Todos los interesados tienen los siguientes derechos: Derecho de acceso Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD). Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de acceso. Page 72 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Derecho a rectificación De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación. Derecho a la supresión (derecho al olvido) Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos. En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar sólo después de la expiración del plazo de retención legal. Derecho a la limitación de tratamiento De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la limitación de tratamiento. Derecho de oposición Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho de oposición. Derecho a la portabilidad de datos El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b), del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la portabilidad de datos. Page 73 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) (Art. 14(2) lit. d RGPD) Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD, el derecho de retirar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento, Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de comunicarnos la revocación de su consentimiento. K. Derecho a presentar una reclamación ante una autoridad de control (artículo 14, apartado 2, letra e), y artículo 77, apartado 1, del RGPD) Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control. Page 74 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público (artículo 14(2) lit. f RGPD) En principio, los datos personales se recogen directamente del interesado o en cooperación con una autoridad (por ejemplo, extracción de datos de un registro oficial). Otros datos sobre los interesados se derivan de las transmisiones de empresas del grupo. En el contexto de esta información general, la indicación de las fuentes exactas de las que proceden los datos personales es imposible o supondría un esfuerzo desproporcionado en el sentido del artículo. 14(5) lit. b RGPD. En principio, no recogemos datos personales de fuentes de acceso público. Cualquier interesado puede ponerse en contacto con nuestro delegado de protección de datos en cualquier momento para obtener información más detallada sobre las fuentes exactas de los datos personales que le conciernen. En los casos en que no pueda facilitarse al interesado el origen de los datos personales porque se hayan utilizado varias fuentes, deberá facilitarse información general (cuarta frase del considerando 61 del RGPD). M. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (artículo 14, apartado 2, letra g), del RGPD) Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles automáticos. Page 75 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. FRENCH: Information sur le traitement des données à caractère personnel (Articles 13 et 14 RGPD) Madame ou Monsieur, Les données à caractère personnel de chaque personne qui est à une relation contractuelle, précontractuelle ou une autre relation avec note entreprise méritent une protection particulière. Notre but est de maintenir la protection des données à un niveau élevé. Nous développons constamment nos concepts de protection et de sécurité des données. Bien entendu, nous respectons les dispositions statutaires sur la protection des données. Selon les articles 13 et 14 RGPD, les responsables du traitement respectent des exigences des informations spécifiques quand ils traitement des données à caractère personnel. Ce document remplit ces conditions. La terminologie des réglementslégales est compliquée. Malheureusement, l’utilisation de termes juridiques ne pouvait pas être évitée dans la préparation de ce document. Par conséquent, nous voulons souligner que vous êtes toujours bienvenues pour nous contacter de toutes questions concernant ce document, les termes utilisés ou les formulations. I. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (Article 13 RGPD) A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD) Voir au-dessus B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD) Voir au-dessus C. Finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (art. 13(1) lit. c RGPD) La finalité du traitement des données à caractère personnelles le traitement de toutes opérations concernant le responsable du traitement, les clients, les clientes potentiels, les partenaires commerciaux ou d’autres relations contractuelles ou précontractuelles entre les équipes désignés (au sens le plus large) ou des obligations légales du responsable du traitement. Page 76 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L’article 6(1) lit. a RGPD sert comme la base légale des opérations du traitement pour lesquels nous obtenons le consentement à une finalité spécifique du traitement. Si le traitement des données a caractère personnel est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, le cas échéant, pour exemple, quand le traitement est nécessaire à la fourniture de biens ou à la fourniture de tout autre service, la base du traitement est l’article 6(1) lit. B RGPD. Dans de rares cas, le traitement de données à caractère personnel peut être nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Ce serait le cas, par exemple, si un visiteur était blessé dans notre entreprise et que son nom, son âge, ses données d’assurance maladie ou d’autres informations vitales devraient être transmises à un médecin, à un hôpital ou à une autre tierce partie. Le traitement serait fondé sur l’art. 6 (1) lit. d GDPR. Finalement, les opérations de traitement peuvent être fondes sur l’article 6(1) lit. f RGPD. Cette base légale est utilisée pour les opérations de traitement qui ne sont pas couvertes par l’une des bases légales susmentionnés, si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par notre entreprise ou par un tiers, sauf si ces intérêts sont outrepassés par des libertés et droits fondamentaux de la personne concernée qui nécessitent la protection de données à caractère personnel. De tels opérations du traitement sont particulièrement autorisées car ils ont été spécifiquement mentionnés par le législateur européen. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. D. Lorsque le traitement est fondé sur l’article 6(1) lit. f, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (article 13(1) lit. d RGPD) Lorsque le traitement des données à caractère personnel est fondé sur l’article 6(1) point f RGPD notre intérêt légitime est de mener nos activités en faveur du bien-être de tous nos employés et de nos actionnaires. E. Catégories des destinataires des données à caractère personnel (art. 13(1) lit. e RGPD) Autorités publiques Organisations externes Page 77 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Autres organisations externes Traitement interne Traitement intragroupe Autres organisations F. Destinataires dans un pays tiers et garanties appropriées ou appropriées et moyens permettant d’en obtenir une copie ou lorsqu’ils ont été mis à disposition (Article 13(1) lit. f, 46(2) lit. c RGPD) Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires peut nous être demandée. Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place les garanties appropriées, et à condition que des droits applicables des personnes concernées et des recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2) lit. c RGPD). Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont convenues avec tous les destinataires de pays tiers avant la première transmission de données à caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union Européenne (OJ 2010 / L 39, page 5-18). G. Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères pour déterminer cette durée (Article 13(2) lit. a RGPD) Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la durée de conservation statutaire respective. Apres l’expiration de cette durée, les données correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires à l’exécution du contrat ou à la conclusion d’un contrat. Page 78 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD) Toutes les personnes concernées ont les droits suivants: Droit d’accès La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous contacter afin d’exercer le droit d’accès. Droit de rectification Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de rectification. Droit à l’effacement («droit à l’oubli») En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD). Droit à la limitation du traitement Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article 18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation du traitement. Droit d’opposition En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour exercer le droit d’opposition. Page 79 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Droit à la portabilité des données L’article 20 RGPD garantit le droit a la portabilité des données de la personne concernée. En vertu de cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne concernée peut nous contacter afin d’exercer le droit à la portabilité de données. I. Existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, lorsque le traitement est fondé sur l’article 6(1)(a), ou sur l’article 9(2)(a)(Article 13(3) lit. c RGPD) Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le cas, si la personne concernée a donné son consentement pour le traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui régit le consentement explicite au traitement de catégories particulières de données à caractère personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait (art. 7(3) phrase 2 RGPD). Il est aussi simple de retirer que de donner son consentement) art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la même manière que le consentement ou de toute autre manière, considérée par la personne concernée comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée peut choisir par tout autre moyen de communiquer son retrait de consentement. J. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 13(2) lit. d, 77(1) RGPD) Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 13(2) lit. d RGPD). Le droit d’introduire une réclamation auprès une autorité de contrôle est régi par l’article 77(1) RGPD. Selon cette disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans Page 80 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle. K. Fourniture de données à caractère personnel contractuel; Obligation pour la conclusion d’un contrat; Obligation de la personne concernée de fournir les données à caractère personnel; Conséquences éventuelles de la non-fourniture des données (article 13(2) lit. e RGPD) Nous clarifions que la que la fourniture de données à caractère personnel est en partie requise par la loi (par exemple, la réglementation fiscale) ou peut également résulter de dispositions contractuelles (par exemple, des informations sur le partenaire contractuel). Quelques fois, il peut être nécessaire de conclure un contrat prévoyant que la personne concernée nous fournisse des données à caractère personnel, qui doivent ensuite être traitées par nous. La personne concernée est par exemple obligée de nous fournir des données à caractère personnel lorsque notre société signe un contrat avec elle. La non-communication des données à caractère personnel aurait pour conséquence que le contrat avec la personne concernée ne pourrait pas être conclu. L. Existence d’une prise de décision automatisée, y compris profilage, visée à l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (art. 13(2) lit. f RGPD) En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage. II. Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (Article 14 RGPD) A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD) Voir au-dessus Page 81 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD) Voir au-dessus C. Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (article 14(1) lit. c RGPD) La finalité du traitement des données à caractère personnelles le traitement de toutes opérations concernant le responsable du traitement, les clients, les clientes potentiels, les partenaires commerciaux ou d’autres relations contractuelles ou précontractuelles entre les équipes désignés (au sens le plus large) ou des obligations légales du responsable du traitement. Si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie comme par exemple lorsque des opérations de traitement sont nécessaires à la fourniture de biens ou à la fourniture de tout autre service, le traitement est fondé sur l’article 6(1) lit. b RGPD. La même s’applique lorsque le traitement est nécessaire à l’exécution de mesures précontractuelles prises comme par exemple en cas des demandes concernant nos produits ou services. Si notre société est soumise à une obligation légale imposant le traitement de données à caractère personnel, notamment pour le respect des obligations fiscales, le traitement est fondé sur l’article 6(1) lit. c RGPD. Dans de rares cas, le traitement de données à caractère personnel peut être nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Ce serait le cas, par exemple, si un visiteur était blessé dans notre entreprise et que son nom, son âge, ses données d’assurance maladie ou d’autres informations vitales devraient être transmises à un médecin, à un hôpital ou à une autre tierce partie. Le traitement serait fondé sur l’art. 6 (1) lit. d GDPR. Finalement, les opérations de traitement peuvent être fondes sur l’article 6(1) lit. f RGPD. Cette base légale est utilisée pour les opérations de traitement qui ne sont pas couvertes par l’une des bases légales susmentionnés, si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par notre entreprise ou par un tiers, sauf si ces intérêts sont outrepassés par des libertés et droits fondamentaux de la personne concernée qui nécessitent la protection de données à caractère personnel. De tels opérations du traitement sont particulièrement autorisés car ils ont été spécifiquement mentionnés par le législateur européen. Il a considéré qu’un tel intérêt légitime pourrait exister lorsqu’il existe où la personne concernée est un client du responsable du traitement (Récital 47 phrase 2 RGPD). D. Les catégories de données à caractère personnel concernées (art. 14(1) lit. d RGPD) Page 82 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Données des clientes Données des clientes potentielles Données des employés Données des fournisseurs E. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e RGPD) Autorités publiques Organisations externes Autres organisations externes Traitement interne Traitement intragroupe Autres organisations F. Destinataires dans pays tiers ou une organisation internationale, et garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition (art. 14(1) lit. f RGPD, 46(1), 46(2) lit. c RGPD) Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires peut nous être demandée. Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place les garanties appropriées, et à condition que des droits applicables des personnes concernées et des recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2) lit. c RGPD). Page 83 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont convenues avec tous les destinataires de pays tiers avant la première transmission de données à caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union Européenne (OJ 2010 / L 39, page 5-18). G. Durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (art. 14(1) lit. a RGPD) Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la durée de conservation statutaire respective. Apres l’expiration de cette durée, les données correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires à l’exécution du contrat ou à la conclusion d’un contrat. H. Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, lorsque le traitement est fondé sur l’article 6(1) lit. f RGPD (art. 14(2) lit. b RGPD) Selon l’article 6(1) lit. f RGPD, le traitement n’est licite que le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. Selon le récital 47 phrase 2 RGPD, un tel intérêt légitime pourrait exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement, par exemple où la personne concernée est un client du responsable du traitement. Dans tous les cas où notre société traite des données à caractère personnel sur la base de l’article 6(1) lit. f RGPD, notre intérêt légitime est de mener nos activités en faveur du bien-être de tous nos employés et de nos actionnaires. I. Existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données (Article 13(2) lit.b RGPD) Toutes les personnes concernées ont les droits suivants: Page 84 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Droit d’accès La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous contacter afin d’exercer le droit d’accès. Droit de rectification Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de rectification. Droit à l’effacement («droit à l’oubli») En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD). Droit à la limitation du traitement Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article 18(1) lit. a-d s’appliquent. La personne concernée peut nous contacter afin d’exercer le droit à la limitation du traitement. Droit d’opposition En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour exercer le droit d’opposition. Droit à la portabilité des données L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne concernée peut nous contacter afin d’exercer le droit à la portabilité de données. Page 85 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, lorsque le traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit. a RGPD (art. 14 (2) lit. d RGPD) Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le cas, si la personne concernée a donné son consentement pour le traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui régit le consentement explicite au traitement de catégories particulières de données à caractère personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait (art. 7(3) phrase 2 RGPD).Il est aussi simple de retirer que de donner son consentement) art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la même manière que le consentement ou de toute autre manière, considérée par la personne concernée comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée peut choisir par tout autre moyen de communiquer son retrait de consentement. K. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 13(2) lit. d, 77(1) RGPD) Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 14(2) lit. e RGPD). Le droit d’introduire une réclamation auprès une autorité de contrôle est régi par l’article 77(1) RGPD. Selon cette disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle. Page 86 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. La source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (art. 14(2) lit. f RGPD) En principe, les données à caractère personnel sont collectées directement auprès de la personne concernée ou en coopération avec une autorité (par exemple, la récupération de données à partir d’un registre officiel). Les autres données relatives aux personnes concernées proviennent de transferts des entreprises du groupe. Dans le contexte de ces informations générales, la désignation des sources exactes à l’origine des données à caractère personnel est impossible ou impliquerait un effort disproportionné au sens de l’art. 14 (5) lit. b GDPR. En principe, nous ne collectons pas de données à caractère personnel à partir de sources accessibles au public. Toute personne concernée peut nous contacter à tout moment pour obtenir des informations plus détaillées sur les sources exactes des données à caractère personnel la concernant. Lorsque l’origine des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies (récital 61 phrase 4 RGPD). M. Existence d’une prise de décision automatisée, y compris profilage, visée à l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (art. 14(2) lit. g RGPD) En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage. Page 87 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. FRENCH: Information sur le traitement des données à caractère personnel des employés et des candidates (Articles 13 et 14 RGPD) Madame ou Monsieur, Les données à caractère personnel des employés et des candidats méritent une protection particulière. Notre objectif est de maintenir la protection de nos données à un niveau élevé. Par conséquent, nous développons constamment nos concepts de protection et de sécurité des données. Bien entendu, nous respectons les dispositions légales en matière de protection des données. Selon les articles 13 et 14 RGPD, les responsables du traitement répondent à des exigences d’information spécifiques lors du traitement de données à caractère personnel. Ce document remplit ces obligations. La terminologie de la réglementation légale est compliquée. Malheureusement, l’utilisation de termes juridiques n’a pas pu être abandonnée lors de la préparation de ce document. Toutefois, nous tenons à souligner que vous êtes toujours le bienvenu pour nous contacter pour toutes questions concernant ce document, les termes utilisés ou les formulations. I. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (Article 13 RGPD) A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD) Voir au-dessus B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD) Voir au-dessus C. Finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (art. 13(1) lit. c RGPD) Pour les données du candidat, le traitement des données a pour objet de procéder à un examen de la candidature au cours du processus de recrutement. À cette fin, nous traitons toutes les données que vous avez fournies. Fonde sur des données soumises lors du processus de recrutement, nous vérifierons si vous êtes invité à un entretien d’embauche (élément du processus de sélection).Dans le cas de Page 88 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. candidats généralement qualifiés, en particulier dans le cadre de l’entretien d’embauche, nous traitons certaines autres données à caractère personnel que vous nous avez fournies, ce qui est essentiel pour notre décision de sélection. Si vous êtes embauché par nous, les données du demandeur seront automatiquement converties en données relatives aux employés. Dans le cadre du processus de recrutement, nous traiterons les autres données à caractère personnel vous concernant que nous vous demandons et qui sont nécessaires pour initier ou exécuter votre contrat (telles que du numéro d’identification personnel ou du numéro d’identification fiscale).Pour les données relatives aux employés, le traitement des données a pour objet l’exécution du contrat de travail ou le respect d’autres dispositions légales applicables à la relation de travail (droit fiscal, par exemple), ainsi que l’utilisation de vos données à caractère personnel pour exécuter le contrat de travail conclu avec vous. La base légale pour le traitement de données est l’article 6 (1) lit. b RGPD, article 9(2) lit. b et h RGPD, l’article 88(1) RGPD et de la législation nationale. D. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e RGPD) Autorités publiques Organisations externes Autres organisations externes Traitement interne Traitement intragroupe Autres organisations E. Destinataires dans un pays tiers et garanties appropriées ou appropriées et moyens permettant d’en obtenir une copie ou lorsqu’ils ont été mis à disposition (Article 13(1) lit. f, 46(2) lit. c RGPD) Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires peut nous être demandée. Page 89 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place les garanties appropriées, et à condition que des droits applicables des personnes concernées et des recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2) lit. c RGPD). Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont convenues avec tous les destinataires de pays tiers avant la première transmission de données à caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union Européenne (OJ 2010 / L 39, page 5-18). F. Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères pour déterminer cette durée (Article 13(2) lit. a RGPD) Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la durée de conservation statutaire respective. Apres l’expiration de cette durée, les données correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires à l’exécution du contrat ou à la conclusion d’un contrat. G. Existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD) Toutes les personnes concernées ont les droits suivants: Droit d’accès La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous contacter afin d’exercer le droit d’accès. Page 90 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Droit de rectification Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de rectification. Droit à l’effacement («droit à l’oubli») En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD). Droit à la limitation du traitement Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article 18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation du traitement. Droit d’opposition En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour exercer le droit d’opposition. Droit à la portabilité des données L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne concernée peut nous contacter afin d’exercer le droit à la portabilité de données. H. Droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, lorsque le traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit a RGPD Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le cas, si la personne concernée a donné son consentement pour le traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui Page 91 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. régit le consentement explicite au traitement de catégories particulières de données à caractère personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait (art. 7(3) phrase 2 RGPD). Il est aussi simple de retirer que de donner son consentement (art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la même manière que le consentement ou de toute autre manière, considérée par la personne concernée comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son consentement consiste à utiliser un courrier électronique. Si la personne concernée souhaite retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée peut choisir par tout autre moyen de communiquer son retrait de consentement. I. Droit d’introduire une réclamation auprès d’une autorité de contrôle (art.13(2) lit. d, 77(1) RGPD) Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 13(2) lit. d RGPD). Le droit d’introduire une réclamation auprès une autorité de contrôle est régie par l’article 77(1) RGPD. Selon cette disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du règlement général sur la protection des données. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle. J. Fourniture de données à caractère personnel contractuel; Obligation pour la conclusion d’un contrat; Obligation de la personne concernée de fournir les données à caractère personnel; Conséquences éventuelles de la non-fourniture des données (article 13(2) lit. e RGPD) Nous clarifions que la que la fourniture de données à caractère personnel est en partie requise par la loi (par exemple, la réglementation fiscale) ou peut également résulter de dispositions contractuelles (par exemple, des informations sur le partenaire contractuel). Page 92 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Quelques fois, il peut être nécessaire de conclure un contrat prévoyant que la personne concernée nous fournisse des données à caractère personnel, qui doivent ensuite être traitées par nous. La personne concernée est par exemple obligée de nous fournir des données à caractère personnel lorsque notre société signe un contrat avec elle. La non-communication des données à caractère personnel aurait pour conséquence que le contrat avec la personne concernée ne pourrait pas être conclu. Avant que les données personnelles soient fournies par la personne concernée, celle-ci doit nous contacter. Nous précisons à la personne concernée si la fourniture des données à caractère personnel est requise par la loi ou par un contrat ou si elle est nécessaire à la conclusion du contrat, s’il existe une obligation de fournir des données à caractère personnel et les conséquences de la non-fourniture des données à caractère personnel. K. Existence d’une prise de décision automatisée, y compris profilage, visée à l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (art. 13(2) lit. f RGPD) En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage. II. Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (Article 14 RGPD) A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD) Voir au-dessus B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD) Voir au-dessus C. Finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (art. 14(1) lit. c RGPD) Pour les données du candidat, le traitement des données a pour objet de procéder à un examen de la candidature au cours du processus de recrutement. À cette fin, nous traitons toutes les données que vous avez fournies. Fonde sur des données soumises lors du processus de recrutement, nous vérifierons Page 93 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. si vous êtes invité à un entretien d’embauche (élément du processus de sélection). Si vous êtes embauché par nous, les données du demandeur seront automatiquement converties en données relatives aux employés. Pour les données relatives aux employés, le traitement des données a pour objet l’exécution du contrat de travail ou le respect d’autres dispositions légales applicables à la relation de travail, ainsi que l’utilisation de vos données à caractère personnel pour exécuter le contrat de travail conclu avec vous. Les données relatives aux employés sont conservées après la fin de la relation de travail afin de respecter les délais de conservation légaux. La base légale pour le traitement de données est les articles 6 (1) lit. b RGPD, 9(2) lit. b et h RGPD, 88(1) RGPD et de la législation nationale. D. Les catégories de données à caractère personnel concernées (art. 14(1) lit. d RGPD) Données des candidats Données des employés E. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e RGPD) Autorités publiques Organisations externes Autres organisations externes Traitement interne Traitement intragroupe Autres organisations Page 94 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. F. Destinataires dans pays tiers ou une organisation internationale, et garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition (art. 14(1) lit. f RGPD, 46(1), 46(2) lit. c RGPD) Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires peut nous être demandée. Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place les garanties appropriées, et à condition que des droits applicables des personnes concernées et des recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2) lit. c RGPD). Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont convenues avec tous les destinataires de pays tiers avant la première transmission de données à caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union Européenne (OJ 2010 / L 39, page 5-18). G. Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères pour déterminer cette durée (Article 14(2) lit. a RGPD) Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la durée de conservation statutaire respective. Apres l’expiration de cette durée, les données correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires à l’exécution du contrat ou à la conclusion d’un contrat. H. Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, lorsque le traitement est fondé sur l’article 6(1) lit. f RGPD (art. 14(2) lit. b RGPD) Selon l’article 6(1) lit. f RGPD, le traitement n’est licite que le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. Selon le récital 47 phrase 2 RGPD, Page 95 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. un tel intérêt légitime pourrait exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement, par exemple où la personne concernée est un client du responsable du traitement. Dans tous les cas où notre société traite des données à caractère personnel sur la base de l’article 6(1) lit. f RGPD, notre intérêt légitime est de mener nos activités en faveur du bien-être de tous nos employés et de nos actionnaires. I. Existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD) Toutes les personnes concernées ont les droits suivants: Droit d’accès La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous contacter afin d’exercer le droit d’accès. Droit de rectification Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de rectification. Droit à l’effacement («droit à l’oubli») En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD). Droit à la limitation du traitement Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article 18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation du traitement. Page 96 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Droit d’opposition En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour exercer le droit d’opposition. Droit à la portabilité des données L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne concernée peut nous contacter afin d’exercer le droit à la portabilité de données. J. Existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, lorsque le traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit. a RGPD (art. 14(2) lit. d RGPD) Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le cas, si la personne concernée a donné son consentement pour le traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui régit le consentement explicite au traitement de catégories particulières de données à caractère personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait (art. 7(3) phrase 2 RGPD).Il est aussi simple de retirer que de donner son consentement) art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la même manière que le consentement ou de toute autre manière, considérée par la personne concernée comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée peut choisir par tout autre moyen de communiquer son retrait de consentement. Page 97 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 14(2) lit. e, 77(1) RGPD) Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 14(2) lit. e RGPD). Le droit d’introduire une réclamation auprès une autorité de contrôle est régie par l’article 77(1) RGPD. Selon cette disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle. L. La source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (art. 14(2) lit. f RGPD) En principe, les données à caractère personnel sont collectées directement auprès de la personne concernée ou en coopération avec une autorité (par exemple, la récupération de données à partir d’un registre officiel). Les autres données relatives aux personnes concernées proviennent de transferts des entreprises du groupe. Dans le contexte de ces informations générales, la désignation des sources exactes à l’origine des données à caractère personnel est impossible ou impliquerait un effort disproportionné au sens de l’art. 14 (5) lit. b GDPR. En principe, nous ne collectons pas de données à caractère personnel à partir de sources accessibles au public. Toute personne concernée peut nous contacter à tout moment pour obtenir des informations plus détaillées sur les sources exactes des données à caractère personnel la concernant. Lorsque l’origine des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies (récital 61 phrase 4 RGPD). Page 98 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Existence d’une prise de décision automatisée, y compris profilage, visée à l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (art. 14(2) lit. g RGPD) En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage. Page 99 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ITALIAN: Informazioni sul trattamento dei dati personali (articolo 13, 14 GDPR) Gentile signore o signora, I dati personali di ogni individuo che abbia un rapporto contrattuale, precontrattuale o di altro tipo con la nostra azienda merita una protezione speciale. Il nostro obiettivo è di mantenere il nostro livello di protezione dei dati ad un alto livello. Pertanto, sviluppiamo costantemente i nostri concetti di protezione dei dati e sicurezza dei dati. Ovviamente, rispettiamo le disposizioni legali sulla protezione dei dati. Ai sensi dell’articolo 13, 14 GDPR, i titolari del trattamento soddisfano specifici requisiti di informazione nella raccolta di dati personali. Questo documento soddisfa questi obblighi. La terminologia delle normative legali è complicata. Sfortunatamente, l’uso di termini legali non può essere evitato nella preparazione di questo documento. Pertanto, vorremmo sottolineare che siete sempre i benvenuti a contattarci per tutte le domande riguardanti questo documento, i termini usati o le formulazioni. I. Rispetto dei requisiti in materia di informazione quando i dati personali sono raccolti dall’interessato (articolo 13 del GDPR) A. Identità e recapiti del titolare del trattamento (articolo 13, paragrafo 1, lett. a) del GDPR) Vedi sopra B. Dati di contatto del responsabile della protezione dei dati (articolo 13, paragrafo 1, lett. b) del GDPR) Vedi sopra Page 100 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Finalità del trattamento al quale sono destinati i dati personali nonché base legale per il trattamento (articolo 13, paragrafo 1, lett. c) GDPR) Lo scopo del trattamento dei dati personali è la gestione di tutte le operazioni che riguardano il titolare del trattamento, i clienti, i potenziali clienti, i partner commerciali o altre relazioni contrattuali o precontrattuali tra i gruppi nominati (nel senso più ampio) o gli obblighi legali del titolare del trattamento. Art. 6 (1) lett. c GDPR funge da base legale per le operazioni di elaborazione per le quali otteniamo il consenso per uno scopo di elaborazione specifico. Se il trattamento di dati personali è necessario per l’esecuzione di un contratto a cui l’interessato è parte, come ad esempio quando le operazioni di trattamento sono necessarie per la fornitura di beni o per fornire qualsiasi altro servizio, il trattamento è basato sull’articolo 6, paragrafo 1, lett. b) GDPR. Lo stesso vale per le operazioni di trattamento necessarie per l’esecuzione di misure precontrattuali, ad esempio nel caso di richieste relative ai nostri prodotti o servizi. La nostra azienda è soggetta all’obbligo legale in base al quale è richiesto il trattamento dei dati personali, ad esempio per l’adempimento di obblighi fiscali, il trattamento è basato sull’art. 6 (1) lett. c) GDPR. In rari casi, il trattamento di dati personali può essere necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica. Questo sarebbe il caso, ad esempio, se un visitatore fosse ferito nella nostra azienda e il suo nome, età, dati di assicurazione sanitaria o altre informazioni vitali dovrebbero essere trasmessi a un medico, ospedale o altra terza parte. Quindi l’elaborazione si baserebbe sull’art. 6 (1) lett. d) GDPR. Infine, le operazioni di trattamento potrebbero essere basate sull’articolo 6, paragrafo 1, lett. f) GDPR. Questa base giuridica viene utilizzata per le operazioni di trattamento che non sono coperte da nessuno dei summenzionati motivi legali, se il trattamento è necessario ai fini degli interessi legittimi perseguiti dalla nostra azienda o da una terza parte, eccetto laddove tali interessi siano superati dagli interessi o diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Tali operazioni di trattamento sono particolarmente ammissibili in quanto sono state espressamente menzionate dal legislatore europeo. Riteneva che potesse essere assunto un interesse legittimo se l’interessato fosse un cliente del titolare del trattamento (considerando 47, frase 2, GDPR). D. Se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR gli interessi legittimi perseguiti dal titolare del trattamento o da un terzo (articolo 13, paragrafo 1, lett. d) del GDPR) Se il trattamento dei dati personali si basa sull’articolo 6, paragrafo 1, lett. f) GDPR il nostro legittimo interesse è di svolgere la nostra attività in favore del benessere di tutti i nostri dipendenti e azionisti. Page 101 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categorie di destinatari dei dati personali (articolo 13, paragrafo 1, lettere e) GDPR) Autorità pubbliche Entità esterne Ulteriori entità esterne Elaborazione interna Elaborazione intragruppo Altre entità F. Destinatari in un paese terzo e garanzie appropriate o adeguate e i mezzi con cui ottenerne una copia o quando sono stati resi disponibili (articolo 13, paragrafo 1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR) Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”) che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi. Ai sensi dell’articolo 46, paragrafo 1 del GDPR, un titolare del trattamento o un responsabile del trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite appropriate misure di salvaguardia senza richiedere un’autorizzazione specifica da parte di un’autorità di vigilanza mediante clausole contrattuali standard, articolo 46, paragrafo 2, lett. c) GDPR. Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard. Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU 2010 / L 39, pagina 5-18). Page 102 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo (articolo 13, paragrafo 2, lett. a) GDPR) I criteri utilizzati per determinare il periodo di conservazione dei dati personali sono i rispettivi periodi di conservazione previsti dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o l’inizio di un contratto. H. Esistenza del diritto di richiedere al titolare del trattamento l’accesso e la rettifica o cancellazione di dati personali o la limitazione del trattamento della persona interessata o di opporsi al trattamento nonché il diritto alla portabilità dei dati (articolo 13, paragrafo 2, lett. b) del GDPR). Tutte le persone interessate hanno i seguenti diritti: Diritto di accesso Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli, al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso. Diritto di rettifica Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo 16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione integrativa. L’interessato può contattarci per esercitare il diritto di rettifica. Diritto alla cancellazione (diritto di essere dimenticato) Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge. Diritto alla restrizione dell’elaborazione Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1, Page 103 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. lettere a) – d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del trattamento. Diritto di obiettare Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto di obiettare. Diritto alla portabilità dei dati L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati. I. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora il trattamento si basi sull’articolo 6, paragrafo 1, lett. a) GDPR o l’Articolo 9 (2) lett. a) GDPR (articolo 13, paragrafo 2, lett. c) del GDPR) Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9, paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso in qualsiasi momento. Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro, articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR. Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa, l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi. J. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2, lett. d), 77, paragrafo 1 del GDPR) Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo Page 104 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR). Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia. Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di contattare solo una singola autorità di controllo. K. Fornitura di dati personali come requisito legale o contrattuale; Requisito necessario per stipulare un contratto; Obbligo dell’interessato di fornire i dati personali; possibili conseguenze del mancato conferimento di tali dati (articolo 13, paragrafo 2, lett. e) GDPR) Chiariamo che la fornitura di dati personali è in parte richiesta dalla legge (ad es. Regolamenti fiscali) o può anche derivare da disposizioni contrattuali (ad esempio informazioni sul partner contrattuale). A volte può essere necessario concludere un contratto che l’interessato fornisca dati personali, che devono successivamente essere elaborati da noi. L’interessato è, per esempio, obbligato a fornire dati personali quando la nostra azienda firma un contratto con lui o lei. La mancata fornitura dei dati personali avrebbe come conseguenza che il contratto con l’interessato non poteva essere concluso. Prima che i dati personali siano forniti dall’interessato, l’interessato deve contattarci. Chiariamo all’interessato se la fornitura dei dati personali è richiesta dalla legge o dal contratto o è necessaria per la conclusione del contratto, se esiste l’obbligo di fornire i dati personali e le conseguenze della mancata fornitura dei dati personali. L. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale trattamento per l’interessato (articolo 13, paragrafo 2, lett. f) GDPR) In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica. Page 105 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Rispetto dei requisiti di informazione quando i dati personali non sono raccolti dall’interessato (articolo 14 del GDPR) A. Identità e recapiti del titolare del trattamento (articolo 14, paragrafo 1, lett. a), del GDPR) Vedi sopra B. Dati di contatto del responsabile della protezione dei dati (articolo 14, paragrafo 1, lett. b) del GDPR) Vedi sopra C. Finalità del trattamento per il quale sono destinati i dati personali nonché base legale per il trattamento (articolo 14, paragrafo 1, lett. c) GDPR) Lo scopo del trattamento dei dati personali è la gestione di tutte le operazioni che riguardano il titolare del trattamento, i clienti, i potenziali clienti, i partner commerciali o altre relazioni contrattuali o precontrattuali tra i gruppi nominati (nel senso più ampio) o gli obblighi legali del titolare del trattamento. Se il trattamento di dati personali è necessario per l’esecuzione di un contratto a cui l’interessato è parte, come ad esempio quando le operazioni di trattamento sono necessarie per la fornitura di beni o per fornire qualsiasi altro servizio, il trattamento è basato sull’articolo 6, paragrafo 1, lett. b) GDPR. Lo stesso vale per le operazioni di trattamento necessarie per l’esecuzione di misure precontrattuali, ad esempio nel caso di richieste relative ai nostri prodotti o servizi. La nostra azienda è soggetta all’obbligo legale in base al quale è richiesto il trattamento dei dati personali, ad esempio per l’adempimento di obblighi fiscali, il trattamento è basato sull’art. 6 (1) lett. c) GDPR. In rari casi, il trattamento di dati personali può essere necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica. Questo sarebbe il caso, ad esempio, se un visitatore fosse ferito nella nostra azienda e il suo nome, età, dati di assicurazione sanitaria o altre informazioni vitali dovrebbero essere trasmessi a un medico, ospedale o altra terza parte. Quindi l’elaborazione si baserebbe sull’art. 6 (1) lett. d) GDPR. Infine, le operazioni di trattamento potrebbero essere basate sull’articolo 6, paragrafo 1, lett. f) GDPR. Questa base giuridica viene utilizzata per le operazioni di trattamento che non sono coperte da nessuno dei summenzionati motivi legali, se il trattamento è necessario ai fini degli interessi legittimi perseguiti dalla nostra azienda o da una terza parte, eccetto laddove tali interessi siano superati dagli interessi o diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Tali operazioni Page 106 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. di trattamento sono particolarmente ammissibili in quanto sono state espressamente menzionate dal legislatore europeo. Riteneva che potesse essere assunto un interesse legittimo se l’interessato fosse un cliente del titolare del trattamento (considerando 47, frase 2, GDPR). D. Categorie di dati personali interessati (articolo 14, paragrafo 1, lett. d) GDPR) Dati dei clienti Dati di potenziali clienti Dati dei dipendenti Dati dei fornitori E. Categorie di destinatari dei dati personali (articolo 14, paragrafo 1, lett. e) GDPR) Autorità pubbliche Entità esterne Ulteriori entità esterne Elaborazione interna Elaborazione intragruppo Altre entità F. Destinatari in un paese terzo e garanzie appropriate o adeguate e mezzi per ottenerne una copia o quando sono stati resi disponibili (articolo 14, paragrafo 1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR) Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”) che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei dati personali. Un elenco di tutte le società del gruppo può essere richiesto a noi. Ai sensi dell’articolo 46, paragrafo 1, del GDPR, un titolare del trattamento o un responsabile del trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il Page 107 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite opportune salvaguardie senza richiedere un’autorizzazione specifica da parte di un’autorità di vigilanza mediante clausole standard di protezione dei dati, articolo 46, paragrafo 2, lett. c) GDPR. Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard. Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU 2010 / L 39, pagina 5-18). G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo (articolo 14, paragrafo 2, lett. a), GDPR) I criteri utilizzati per determinare il periodo di conservazione dei dati personali sono i rispettivi periodi di conservazione previsti dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o l’inizio di un contratto. H. Notifica degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR (Art. 14 (2) lett. b) GDPR) Ai sensi dell’articolo 6, paragrafo 1, lett. f) GDPR, il trattamento è lecito solo se il trattamento è necessario ai fini di interessi legittimi perseguiti dal titolare del trattamento o da un terzo, eccetto laddove tali interessi siano superati dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono protezione di dati personali. Secondo il considerando 47, frase 2, GDPR, potrebbe esistere un interesse legittimo qualora esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad es. in situazioni in cui l’interessato è un cliente del controllore. In tutti i casi in cui la nostra azienda elabora i dati personali in base all’articolo 6, paragrafo 1, lett. f) GDPR, il nostro interesse legittimo è nello svolgere la nostra attività a favore del benessere di tutti i nostri dipendenti e azionisti. Page 108 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Esistenza del diritto di richiedere al titolare del trattamento accesso e rettifica o cancellazione di dati personali o restrizione del trattamento in relazione all’interessato e di opporsi al trattamento nonché al diritto alla portabilità dei dati (articolo 14, paragrafo 2, lett. c) del GDPR) Tutte le persone interessate hanno i seguenti diritti: Diritto di accesso Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli, al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso. Diritto di rettifica Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo 16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione integrativa. L’interessato può contattarci per esercitare il diritto di rettifica. Diritto alla cancellazione (diritto di essere dimenticato) Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge. Diritto alla restrizione dell’elaborazione Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1, lettere a) – d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del trattamento. Diritto di obiettare Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto di obiettare. Diritto alla portabilità dei dati L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere Page 109 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati. J. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora il trattamento si basi sull’articolo 6, paragrafo 1, lett. a), l’articolo 9, paragrafo 2, lett. a) GDPR (articolo 14, paragrafo 2, lett. d) GDPR) Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9, paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso in qualsiasi momento. Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro, articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR. Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa, l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi. K. Diritto di presentare un reclamo all’autorità di controllo (articolo 14, paragrafo 2, lett. e), 77, paragrafo 1 del GDPR) Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR). Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia. Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di contattare solo una singola autorità di controllo. Page 110 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Fonte: i dati personali provengono e, se del caso, se provengono da fonti accessibili al pubblico (articolo 14, paragrafo 2, lett. f) GDPR) In linea di principio, i dati personali vengono raccolti direttamente dall’interessato o in collaborazione con un’autorità (ad esempio, il recupero di dati da un registro ufficiale). Altri dati sugli interessati sono derivati da trasferimenti di società del gruppo. Nel contesto di queste informazioni generali, la denominazione delle fonti esatte da cui provengono i dati personali è impossibile o comporterebbe uno sforzo sproporzionato ai sensi dell’Art. 14 (5) lett. b) GDPR. In linea di principio, non raccogliamo dati personali da fonti accessibili pubblicamente. Qualsiasi soggetto interessato può contattarci in qualsiasi momento per ottenere informazioni più dettagliate sulle esatte fonti dei dati personali che lo riguardano. Qualora l’origine dei dati personali non possa essere fornita all’interessato in quanto sono state utilizzate varie fonti, è opportuno fornire informazioni generali (considerando 61, frase 4, GDPR). M. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale trattamento per l’interessato (articolo 14, paragrafo 2, lett. g) GDPR) In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica. Page 111 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ITALIAN: Informazioni sul trattamento dei dati personali per dipendenti e richiedenti (articolo 13, 14 GDPR) Gentile signore o signora, I dati personali di dipendenti e candidati meritano una protezione speciale. Il nostro obiettivo è di mantenere il nostro livello di protezione dei dati ad un alto livello. Pertanto, sviluppiamo costantemente i nostri concetti di protezione dei dati e sicurezza dei dati. Ovviamente, rispettiamo le disposizioni legali sulla protezione dei dati. Ai sensi dell’articolo 13, 14 GDPR, i titolari del trattamento soddisfano specifici requisiti di informazione nel trattamento dei dati personali. Questo documento soddisfa questi obblighi. La terminologia della regolamentazione legale è complicata. Sfortunatamente, l’uso di termini legali non può essere evitato nella preparazione di questo documento. Pertanto, vorremmo sottolineare che siete sempre i benvenuti a contattarci per tutte le domande riguardanti questo documento, i termini usati o le formulazioni. I. Rispetto dei requisiti in materia di informazione quando i dati personali sono raccolti dall’interessato (articolo 13 del GDPR) A. Identità e recapiti del titolare del trattamento (articolo 13, paragrafo 1, lett. a) del GDPR) Vedi sopra B. Dati di contatto del responsabile della protezione dei dati (articolo 13, paragrafo 1, lett. b) del GDPR) Vedi sopra C. Finalità del trattamento al quale sono destinati i dati personali nonché base legale per il trattamento (articolo 13, paragrafo 1, lett. c) GDPR) Per i dati del richiedente, lo scopo del trattamento dei dati è di condurre un esame dell’applicazione durante il processo di assunzione. A tale scopo, elaboriamo tutti i dati forniti dall’utente. Sulla base dei Page 112 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. dati presentati durante il processo di assunzione, verificheremo se sei stato invitato a un colloquio di lavoro (parte del processo di selezione). Nel caso di candidati generalmente idonei, in particolare nel contesto del colloquio di lavoro, elaboriamo alcuni altri dati personali forniti da voi, che è essenziale per la nostra decisione di selezione. Se sei assunto da noi, i dati del candidato cambieranno automaticamente in dati dei dipendenti. Come parte del processo di reclutamento, elaboreremo altri dati personali che ti richiediamo e che sono necessari per avviare o soddisfare il tuo contratto (come numeri di identificazione personale o numeri di imposta). Per i dati dei dipendenti, lo scopo del trattamento dei dati è l’esecuzione del contratto di lavoro o l’adempimento ad altre disposizioni legali applicabili al rapporto di lavoro (es. Diritto tributario), nonché l’uso dei dati personali per eseguire il contratto di lavoro concluso con voi (es. pubblicazione del tuo nome e delle informazioni di contatto all’interno dell’azienda o ai clienti). I dati dei dipendenti vengono archiviati dopo la cessazione del rapporto di lavoro per rispettare i periodi di conservazione legale. La base giuridica per l’elaborazione dei dati è l’articolo 6, paragrafo 1, lett. b) GDPR, articolo 9, paragrafo 2, lett. b) e h) GDPR, articolo 88 (1) del GDPR e legislazione nazionale, come per la Germania Sezione 26 BDSG (Legge federale sulla protezione dei dati). D. Categorie di destinatari dei dati personali (articolo 13, paragrafo 1, lett. e) GDPR) Autorità pubbliche Entità esterne Ulteriori entità esterne Elaborazione interna Elaborazione intragruppo Altre entità E. Destinatari in un paese terzo e garanzie appropriate o adeguate e i mezzi con cui ottenerne una copia o quando sono stati resi disponibili (articolo 13, paragrafo 1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR) Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”) che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi. Page 113 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Ai sensi dell’articolo 46, paragrafo 1, del GDPR, un titolare del trattamento o un responsabile del trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite appropriate misure di salvaguardia senza richiedere un’autorizzazione specifica da parte di un’autorità di controllo mediante clausole contrattuali standard, articolo 46, paragrafo 2, lett. c) GDPR. Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard. Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU 2010 / L 39, pagina 5-18). F. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo (articolo 13, paragrafo 2, lett. a), GDPR) La durata della conservazione dei dati personali dei candidati è di 6 mesi. Per i dati dei dipendenti si applica il rispettivo periodo di conservazione previsto dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o l’inizio di un contratto. G. Esistenza del diritto di richiedere al titolare del trattamento l’accesso e la rettifica o cancellazione di dati personali o la limitazione del trattamento della persona interessata o di opporsi al trattamento nonché il diritto alla portabilità dei dati (articolo 13, paragrafo 2, lett. b) del GDPR) Tutte le persone interessate hanno i seguenti diritti: Diritto di accesso Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli, al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso. Diritto di rettifica Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo Page 114 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. 16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione integrativa. L’interessato può contattarci per esercitare il diritto di rettifica. Diritto alla cancellazione (diritto di essere dimenticato) Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge. Diritto alla restrizione dell’elaborazione Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1, lettere a)-d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del trattamento. Diritto di obiettare Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto di obiettare. Diritto alla portabilità dei dati L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati. H. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora il trattamento si basi sull’articolo 6, paragrafo 1, lett. a) GDPR o l’Articolo 9 (2) lett. a) GDPR (articolo 13, paragrafo 2, lett. c) del GDPR) Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9, paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso in qualsiasi momento. Page 115 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro, articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR. Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa, l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi. I. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2, lett. d), 77, paragrafo 1 del GDPR) Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR). Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia. Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di contattare solo una singola autorità di controllo. J. Fornitura di dati personali come requisito legale o contrattuale; Requisito necessario per stipulare un contratto; Obbligo dell’interessato di fornire i dati personali; possibili conseguenze del mancato conferimento di tali dati (articolo 13, paragrafo 2, lett. e) GDPR) Chiariamo che la fornitura di dati personali è in parte richiesta dalla legge (ad es. Regolamenti fiscali) o può anche derivare da disposizioni contrattuali (ad esempio informazioni sul partner contrattuale). A volte può essere necessario concludere un contratto che l’interessato fornisca dati personali, che devono successivamente essere elaborati da noi. L’interessato è, per esempio, obbligato a fornire dati personali quando la nostra azienda firma un contratto con lui o lei. La mancata fornitura dei dati personali avrebbe come conseguenza che il contratto con l’interessato non poteva essere concluso. Page 116 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Prima che i dati personali siano forniti dall’interessato, l’interessato deve contattarci. Chiariamo all’interessato se la fornitura dei dati personali è richiesta dalla legge o dal contratto o è necessaria per la conclusione del contratto, se esiste l’obbligo di fornire i dati personali e le conseguenze della mancata fornitura dei dati personali. K. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale trattamento per l’interessato (articolo 13, paragrafo 2, lett. f) GDPR) In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica. II. Rispetto dei requisiti di informazione quando i dati personali non sono raccolti dall’interessato (articolo 14 del GDPR) A. Identità e recapiti del titolare del trattamento (articolo 14, paragrafo 1, lett. a), del GDPR) Vedi sopra B. Dati di contatto del responsabile della protezione dei dati (articolo 14, paragrafo 1, lett. b) del GDPR) Vedi sopra C. Finalità del trattamento per il quale sono destinati i dati personali nonché base legale per il trattamento (articolo 14, paragrafo 1, lett. c) GDPR) Per i dati del richiedente non raccolti dall’interessato, lo scopo del trattamento dei dati è di condurre un esame dell’applicazione durante il processo di assunzione. A tal fine, potremmo elaborare dati non raccolti da te. Sulla base dei dati elaborati durante il processo di assunzione, verificheremo se sei stato invitato a un colloquio di lavoro (parte del processo di selezione). Se sei assunto da noi, i dati del candidato si convertiranno automaticamente in dati dei dipendenti. Per i dati dei dipendenti, lo scopo del trattamento dei dati è l’esecuzione del contratto di lavoro o l’osservanza di altre disposizioni legali Page 117 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. applicabili al rapporto di lavoro. I dati dei dipendenti vengono archiviati dopo la cessazione del rapporto di lavoro per rispettare i periodi di conservazione legale. La base giuridica per l’elaborazione dei dati è l’articolo 6, paragrafo 1, lett. b) e f) GDPR, articolo 9, paragrafo 2, lett. b) e h) GDPR, articolo 88 (1) del GDPR e legislazione nazionale, come per la Germania Sezione 26 BDSG (Legge federale sulla protezione dei dati). D. Categorie di dati personali interessati (articolo 14, paragrafo 1, lett. d) GDPR) Dati del richiedente Dati dei dipendenti E. Categorie di destinatari dei dati personali (articolo 14, paragrafo 1, lett. e) GDPR) Autorità pubbliche Entità esterne Ulteriori entità esterne Elaborazione interna Elaborazione intragruppo Altre entità F. Destinatari in un paese terzo e garanzie appropriate o adeguate e mezzi per ottenerne una copia o quando sono stati resi disponibili (articolo 14, paragrafo 1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR) Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”) che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi. Ai sensi dell’articolo 46, paragrafo 1 del GDPR, un titolare del trattamento o un responsabile del trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti Page 118 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite opportune salvaguardie senza richiedere un’autorizzazione specifica da parte di un’autorità di controllo mediante clausole standard di protezione dei dati, articolo 46, paragrafo 2, lett. c) GDPR. Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard. Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU 2010 / L 39, pagina 5-18). G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo (articolo 14, paragrafo 2, lett. a) GDPR) La durata della conservazione dei dati personali dei candidati è di 6 mesi. Per i dati dei dipendenti si applica il rispettivo periodo di conservazione previsto dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o l’inizio di un contratto. H. Notifica degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR (Art. 14 (2) lett. b) GDPR) Ai sensi dell’articolo 6, paragrafo 1, lett. f) GDPR, il trattamento è lecito solo se il trattamento è necessario ai fini di interessi legittimi perseguiti dal titolare del trattamento o da un terzo, eccetto laddove tali interessi siano superati dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono protezione di dati personali. Secondo il considerando 47, frase 2, GDPR, potrebbe esistere un interesse legittimo qualora esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad es. in situazioni in cui l’interessato è un cliente del titolare del trattamento. In tutti i casi in cui la nostra società elabora i dati del richiedente in base all’articolo 6, paragrafo 1, lett. a). Per GDPR, il nostro legittimo interesse è l’impiego di personale e professionisti adatti. Page 119 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Esistenza del diritto di richiedere al titolare del trattamento accesso e rettifica o cancellazione di dati personali o restrizione del trattamento in relazione all’interessato e di opporsi al trattamento nonché al diritto alla portabilità dei dati (articolo 14, paragrafo 2, lett. c) del GDPR) Tutte le persone interessate hanno i seguenti diritti: Diritto di accesso Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli, al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso. Diritto di rettifica Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo 16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione integrativa. L’interessato può contattarci per esercitare il diritto di rettifica. Diritto alla cancellazione (diritto di essere dimenticato) Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è soggetta la nostra società, articolo 17, paragrafo 3, lett. b GDPR. Ciò significa che possiamo approvare un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge. Diritto alla restrizione dell’elaborazione Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1, lettere a-d GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del trattamento. Diritto di obiettare Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto di obiettare. Diritto alla portabilità dei dati L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a e b GDPR il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere tali Page 120 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati. J. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora il trattamento si basi sull’articolo 6, paragrafo 1, lett. a o l’articolo 9, paragrafo 2, lett. a GDPR (articolo 14, paragrafo 2, lett. d GDPR) Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a GDPR, che è il caso, se l’interessato ha acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9, paragrafo 2, lett. la GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso in qualsiasi momento. Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro, articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR. Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa, l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi. K. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2, lett. d), 77, paragrafo 1 del GDPR) Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d GDPR. Il diritto di presentare un reclamo presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR). Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia. Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di contattare solo una singola autorità di controllo. Page 121 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. I dati personali provengono e, se del caso, provengono da fonti accessibili al pubblico (articolo 14, paragrafo 2, lett. g) del GDPR) In linea di principio, i dati personali vengono raccolti direttamente dall’interessato o in collaborazione con un’autorità (ad esempio, il recupero di dati da un registro ufficiale). Altri dati sugli interessati sono derivati da trasferimenti di società del gruppo. Nel contesto di queste informazioni generali, la denominazione delle fonti esatte da cui provengono i dati personali è impossibile o comporterebbe uno sforzo sproporzionato ai sensi dell’Art. 14 (5) lett. b_ GDPR. In linea di principio, non raccogliamo dati personali da fonti accessibili pubblicamente. Qualsiasi soggetto interessato può contattarci in qualsiasi momento per ottenere informazioni più dettagliate sulle esatte fonti dei dati personali che lo riguardano. Qualora l’origine dei dati personali non possa essere fornita all’interessato in quanto sono state utilizzate varie fonti, è opportuno fornire informazioni generali (considerando 61, frase 4, GDPR). M. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale trattamento per l’interessato (articolo 14, paragrafo 2, lett. g) GDPR) In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica. Page 122 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. DUTCH: Informatie over de verwerking van persoonsgegevens (Artikel 13, 14 AVG) Geachte heer, geachte mevrouw, De persoonsgegevens van elke persoon die een contractuele, precontractuele of andere relatie met ons bedrijf heeft, verdienen speciale bescherming. Ons doel is ons gegevensbeschermingsniveau aan een hoge standaard te laten voldoen. Daarom zorgen wij voor een voortdurende ontwikkeling van onze concepten voor gegevensbescherming en gegevensbeveiliging. Uiteraard voldoen wij aan de wettelijke bepalingen inzake gegevensbescherming. Volgens de artikelen 13 en 14 van de AVG moeten bedrijven aan specifieke informatievereisten voldoen bij het verzamelen van persoonsgegevens. Dit document voldoet aan deze verplichtingen. De terminologie van wettelijke regelgeving is gecompliceerd. Helaas kon het gebruik van wettelijke termen niet worden voorkomen bij de voorbereiding van dit document. Daarom willen we u er graag op wijzen dat u altijd contact kunt opnemen met onze functionaris voor gegevensbescherming voor alle vragen die u hebt over dit document en de gebruikte termen of formuleringen. I. Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld (artikel 13 AVG) A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 13, lid 1, punt a AVG) Zie bovenstaande B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 13, lid 1, punt b AVG) Zie bovenstaande Page 123 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking (artikel 13, lid 1, punt c AVG) Het doel van het verwerken van persoonsgegevens is de uitvoer van alle activiteiten die verwerkingsverantwoordelijke, klanten, prospecten, zakelijke partners of andere contractuele of precontractuele relaties tussen de genoemde groepen (in de breedste zin van het woord) betreffen of wettelijke verplichtingen van de verwerkingsverantwoordelijke. Artikel 6, lid 1, punt a AVG dient als de wettelijke basis voor verwerkingsactiviteiten waarvoor wij toestemming vragen voor een specifiek verwerkingsdoel. Als de verwerking van persoonsgegevens nodig is voor het uitvoeren van een contract waarvan de betrokkene partij is, zoals het geval bijvoorbeeld bij verwerkingsactiviteiten die nodig zijn voor de levering van goederen of van enige andere dienst, is de verwerking gebaseerd op artikel 6, lid 1, punt b AVG. Hetzelfde is van toepassing bij verwerkingsactiviteiten die noodzakelijk zijn voor het uitvoeren van precontractuele maatregelen, bijvoorbeeld in het geval van vragen over onze producten of diensten. Als ons bedrijf onderworpen is aan een wettelijke verplichting die de verwerking van persoonsgegevens vereist, zoals voor het uitvoeren van belastingverplichtingen, is de verwerking gebaseerd op artikel 6, lid 1, punt c AVG. In zeldzame gevallen kan de verwerking van persoonsgegevens nodig zijn om de vitale belangen van betrokkene of van een andere natuurlijke persoon te beschermen. Dit zou het geval zijn als bijvoorbeeld een bezoeker gewond zou raken in ons bedrijf en zijn naam, leeftijd, verzekeringsnummer of andere belangrijke informatie doorgegeven zouden moeten worden doorgegeven aan een arts, ziekenhuis of andere derde. De verwerking zou dan gebaseerd zijn op artikel 6, lid 1, punt d AVG. En verder kunnen verwerkingsactiviteiten gebaseerd zijn op artikel 6, lid 1, punt f AVG. Deze wettelijke basis wordt gebruikt voor verwerkingsactiviteiten die niet worden gedekt door enige bovengenoemde wettelijke reden, als de verwerking nodig is voor de gerechtvaardigde belangen die ons bedrijf of een derde nastreeft, behalve wanneer dergelijke belangen worden overschreven door de belangen van fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen. Dergelijke verwerkingsactiviteiten zijn met name toegestaan omdat ze specifiek worden genoemd door de Europese wetgever. Deze overwoog dat een legitiem belang kon worden aangenomen indien betrokkene een klant van de verwerkingsverantwoordelijke is (Overweging 47 zin 2 AVG). D. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd Waar het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt f AVG is het legitiem belang om ons bedrijf uit te voeren in het belang van het welzijn van al onze medewerkers en aandeelhouders. Page 124 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categorieën ontvangers van de persoonsgegevens (artikel 13, lid 1, punt e AVG) Overheidsinstanties Externe instanties Andere externe instanties Interne verwerking Verwerking binnen een groep Andere instanties F. Ontvangers in een derde land en passende of geschikte waarborgen en de manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn gemaakt (artikel 13, lid 1, punt e, 46, lid 1, 46, lid 2, punt c AVG) Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van persoonsgegevens. Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules, artikel 46 lid 2, punt c AVG. De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van de Europese Unie (PB 2010 / L 39, blz. 5-18). Page 125 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet nodig is de criteria die worden gebruikt om die periode te bepalen (artikel 13, lid 2, punt a AVG) De criteria die worden gebruikt om de periode van opslag van persoonsgegevens te bepalen is de respectievelijke bewaarperiode. Na verloop van die periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn voor het voldoen aan het contract of het initiëren van een contract. H. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG) Alle betrokkenen hebben de volgende rechten: Recht op toegang Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen. Recht op rectificatie Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op rectificatie uit te oefenen. Recht op wissing (recht op vergetelheid) Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3, punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen van de wettelijke bewaartermijn. Page 126 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Recht op beperking van verwerking Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid 1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op beperking van de verwerking uit te oefenen. Recht van bezwaar Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen. Recht op overdraagbaarheid van gegevens Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op overdraagbaarheid van gegevens uit te oefenen. I. Het bestaan van het recht om de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 13, lid 2, punt c AVG) Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is, als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7, lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor Page 127 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken van zijn toestemming aan ons te communiceren. J. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 13, lid 2, punt d, 77, lid 1 AVG) Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1 AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact op te nemen met slechts één toezichthoudende autoriteit. K. De verstrekking van persoonsgegevens als wettelijke of contractuele verplichting; Noodzakelijke voorwaarde om een overeenkomst te sluiten; Verplichting van de betrokkene de persoonsgegevens te verstrekken; Mogelijke gevolgen wanneer deze gegevens niet worden verstrekt (artikel 13, lid 2, punt e AVG) Wij lichten toe dat de voorziening van persoonsgegevens deels voor de wet vereist is (bijvoorbeeld belastingregels) of ook het resultaat kan zijn van contractuele voorzieningen (bijvoorbeeld informatie over de contractpartner). Soms kan het nodig zijn om een contract te sluiten waarvoor de betrokkene ons persoonsgegevens verstrekt, die vervolgens door ons verwerkt moeten worden. De betrokkene is, bijvoorbeeld, verplicht ons persoonsgegevens toe te sturen wanneer ons bedrijf een contract met hem of haar tekent. Het niet verstrekken van persoonsgegevens zou tot gevolg hebben dat het contract met de betrokkene niet getekend zou kunnen worden. Voordat persoonsgegevens worden verstrekt door de betrokkene, moet de betrokkene contact opnemen met onze functionaris gegevensbescherming. Onze functionaris gegevensbescherming licht aan de Page 128 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. betrokkene toe of het verstrekken van de persoonsgegevens wettelijk vereist is, of voor het tekenen van een contract nodig is, of er een verplichting bestaat de persoonsgegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van de persoonsgegevens. L. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van dergelijke verwerking voor betrokkene (artikel 13, lid 2, punt f AVG) Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering. II. Voldoen aan de informatievereisten bij het niet verzamelen van persoonsgegevens van de betrokkene (artikel 14 AVG) A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 14, lid 1, punt a AVG) Zie bovenstaande B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 14, lid 1, punt b AVG) Zie bovenstaande C. Verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking (artikel 14, lid 1, punt c AVG) Het doel van het verwerken van persoonsgegevens is de uitvoer van alle activiteiten die verwerkingsverantwoordelijke, klanten, prospecten, zakelijke partners of andere contractuele of precontractuele relaties tussen de genoemde groepen (in de breedste zin van het woord) betreffen of wettelijke verplichtingen van de verwerkingsverantwoordelijke. Als de verwerking van persoonsgegevens nodig is voor het uitvoeren van een contract waarvan de betrokkene partij is, zoals het geval bijvoorbeeld bij verwerkingsactiviteiten die nodig zijn voor de levering van goederen of van enige andere dienst, is de verwerking gebaseerd op artikel 6, lid 1, punt b AVG. Hetzelfde is van toepassing bij verwerkingsactiviteiten die noodzakelijk zijn voor het uitvoeren van prePage 129 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. contractuele maatregelen, bijvoorbeeld in het geval van vragen over onze producten of diensten. Als ons bedrijf onderworpen is aan een wettelijke verplichting die de verwerking van persoonsgegevens vereist, zoals voor het uitvoeren van belastingverplichtingen, is de verwerking gebaseerd op artikel 6, lid 1, punt c AVG. In zeldzame gevallen kan de verwerking van persoonsgegevens nodig zijn om de vitale belangen van betrokkene of van een andere natuurlijke persoon te beschermen. Dit zou het geval zijn als bijvoorbeeld een bezoeker gewond zou raken in ons bedrijf en zijn naam, leeftijd, verzekeringsnummer of andere belangrijke informatie doorgegeven zouden moeten worden doorgegeven aan een arts, ziekenhuis of andere derde. De verwerking zou dan gebaseerd zijn op artikel 6, lid 1, punt d AVG. En verder kunnen verwerkingsactiviteiten gebaseerd zijn op artikel 6, lid 1, punt f AVG. Deze wettelijke basis wordt gebruikt voor verwerkingsactiviteiten die niet worden gedekt door enige bovengenoemde wettelijke reden, als de verwerking nodig is voor de gerechtvaardigde belangen die ons bedrijf of een derde nastreeft, behalve wanneer dergelijke belangen worden overschreven door de belangen van fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen. Dergelijke verwerkingsactiviteiten zijn met name toegestaan omdat ze specifiek worden genoemd door de Europese wetgever. Deze overwoog dat een legitiem belang kon worden aangenomen indien betrokkene een klant van de verwerkingsverantwoordelijke is (Overweging 47 zin 2 AVG). D. Betrokken categorieën van persoonsgegevens (artikel 14(, lid 1, punt d AVG) Klantgegevens Gegevens van mogelijke klanten Gegevens van medewerkers Gegevens van leveranciers E. Categorieën ontvangers van de persoonsgegevens (artikel 14, lid 1, punt e AVG) Overheidsinstanties Externe instanties Andere externe instanties Interne verwerking Page 130 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Verwerking binnen een groep Andere instanties F. Ontvangers in een derde land en passende of geschikte waarborgen en de manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG) Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van persoonsgegevens. Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules, artikel 46 lid 2, punt c AVG. De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van de Europese Unie (PB 2010 / L 39, blz. 5-18). G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen (artikel 14, lid 2, punt a AVG) De criteria die worden gebruikt om de periode van opslag van persoonsgegevens te bepalen is de respectievelijke bewaarperiode. Na verloop van die periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn voor het voldoen aan het contract of het initiëren van een contract. Page 131 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Melding van de legitieme belangen nagestreefd door de verwerkingsverantwoordelijke of door een derde is gebaseerd op (artikel 6, lid 1, punt f AVG) (artikel 14, lid 2, punt b AVG) Volgens artikel 6, lid 1, punt f AVG, is de verwerking alleen gewettigd als de verwerking nodig is voor de gerechtvaardigde belangen die de verwerkingsverantwoordelijke of een derde nastreeft, behalve wanneer dergelijke belangen worden overschreven door de belangen van fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen. Volgens Overweging 47 zin 2 AVG kan een legitiem belang bestaan wanneer er een relevante en passende relatie bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, bijvoorbeeld in situaties waar de betrokkene een klant is van de verwerkingsverantwoordelijke. Waar het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt f AVG is ons legitiem belang om ons bedrijf uit te voeren in het belang van het welzijn van al onze medewerkers en aandeelhouders. I. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG) Alle betrokkenen hebben de volgende rechten: Recht op toegang Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen. Recht op rectificatie Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op rectificatie uit te oefenen. Recht op wissing (recht op vergetelheid) Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is Page 132 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3, punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen van de wettelijke bewaartermijn. Recht op beperking van verwerking Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid 1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op beperking van de verwerking uit te oefenen. Recht van bezwaar Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen. Recht op overdraagbaarheid van gegevens Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op overdraagbaarheid van gegevens uit te oefenen. J. Het bestaan van het recht om toestemming in te trekken op elk moment, zonder de wettigheid van de verwerking op basis van toestemming voordat deze werd ingetrokken, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 14, lid 2, punt d AVG) Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is, als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7, lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag Page 133 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken van zijn toestemming aan ons te communiceren. K. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 14, lid 2, punt e, 77, lid 1 AVG) Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1 AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact op te nemen met slechts één toezichthoudende autoriteit. L. De bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen (artikel 14, lid 2, punt f AVG) In principe worden de persoonsgegevens rechtstreeks verzameld van de betrokkene of in samenwerking met een autoriteit (bijvoorbeeld het opzoeken van gegevens in een officieel register). Andere gegevens over betrokkenen worden afgeleid van overschrijvingen van groepsbedrijven. In de context van deze algemene informatie, is het noemen van de exacte bronnen waarvan de persoonsgegevens afkomstig zijn ofwel onmogelijk of zou dit onevenredig veel inspanning vergen binnen de betekenis van artikel 14, lid 5, punt b AVG. In principe verzamelen wij geen persoonsgegevens van openbaar toegankelijke diensten. Elke betrokkene kan te allen tijde contact opnemen met onze functionaris gegevensbescherming om meer gedetailleerde informatie te krijgen over de exacte bronnen van de persoonsgegevens die hem of haar betreffen. Waar de oorsprong van de persoonsgegevens niet kan worden verstrekt aan de betrokkene omdat verschillende bronnen gebruikt zijn, moet algemene informatie worden verstrekt (Overweging 61, zin 4 AVG). Page 134 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van dergelijke verwerking voor betrokkene (artikel 14, lid 2, punt g AVG) Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering. Page 135 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. DUTCH: Informatie over de verwerking van persoonsgegevens voor werknemers en sollicitanten (artikel 13, 14 AVG) Geachte heer, geachte mevrouw, Persoonsgegevens van werknemers en sollicitanten verdienen speciale bescherming. Ons doel is om gegevensbescherming aan een hoge standaard te laten voldoen. Daarom scherpen wij onze visie op gegevensbescherming en gegevensbeveiliging constant aan. Uiteraard voldoen wij aan de wettelijke bepalingen inzake gegevensbescherming. Volgens de artikelen 13 en 14 van de AVG moeten verwerkingsverantwoordelijken aan specifieke informatievereisten voldoen bij het verzamelen van persoonsgegevens. Dit document voldoet aan deze verplichtingen. De terminologie van wettelijke regelgeving is ingewikkeld. Helaas kon het gebruik van wettelijke termen niet worden voorkomen bij de voorbereiding van dit document. Daarom willen we u er graag op wijzen dat u altijd contact kunt opnemen met ons voor alle vragen die u hebt over dit document en de gebruikte termen of formuleringen. I. Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld (artikel 13 AVG) A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 13, lid 1, punt a AVG) Zie bovenstaande B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 13, lid 1, punt b AVG) Zie bovenstaande Page 136 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking (artikel 13, lid 1, punt c AVG) Voor de gegevens van de sollicitant is het doel van gegevensverwerking het onderzoeken van de sollicitatie tijdens het wervingsproces. Voor dit doel verwerken wij alle gegevens die door u zijn verstrekt. Op basis van de gegevens die tijdens het wervingsproces zijn verstrekt, gaan we na of we u al dan niet uitnodigen voor een sollicitatiegesprek (onderdeel van de selectieprocedure). In het geval van algemeen geschikte kandidaten, in het bijzonder in de context van het sollicitatiegesprek, verwerken wij bepaalde andere persoonsgegevens die door u zijn verstrekt, wat essentieel is voor de beslissing die wij voor de selectie nemen. Als u door ons wordt aangenomen, worden de gegevens die u als sollicitant opgaf automatisch omgezet in werknemersgegevens. Als onderdeel van het rekruteringsproces zullen wij andere persoonsgegevens vragen en die vervolgens verwerken. Deze gegevens zijn nodig om uw contract op te stellen of uit te voeren (zoals persoonlijk identificatienummer of belastingnummer). Voor werknemersgegevens is het doel van gegevensverwerking de uitvoering van de arbeidsovereenkomst of de naleving van andere wettelijke bepalingen die van toepassing zijn op de arbeidsrelatie (bijvoorbeeld belastingwetgeving). Uw persoonsgegevens zullen dus eveneens gebruikt worden voor het uitvoeren van de met u gesloten arbeidsovereenkomst (bijv. publicatie van uw naam en de contactinformatie binnen het bedrijf of aan klanten). Werknemer gegevens worden na beëindiging van de arbeidsrelatie opgeslagen om te voldoen aan wettelijke bewaartermijnen. De rechtsgrondslag voor gegevensverwerking is artikel 6(1) punt b AVG, artikel 9(2) punt. b en h AVG, artikel 88 (1) AVG en nationale wetgeving, zoals voor Duitsland, artikel 26 BDSG (Federale Wet Bescherming Persoonsgegevens). D. Categorieën ontvangers van de persoonsgegevens (artikel 13, lid 1, punt e AVG) Overheidsinstanties Externe instanties Andere externe instanties Interne verwerking Verwerking binnen een groep Andere instanties Page 137 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Ontvangers in een derde land en passende of geschikte waarborgen en de manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG) Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van persoonsgegevens. Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules, artikel 46 lid 2, punt c AVG. De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van de Europese Unie (PB 2010 / L 39, blz. 5-18). F. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet nodig, is de criteria die worden gebruikt om die periode te bepalen (artikel 13(2) sub a AVG) De duur van de opslag van persoonsgegevens van sollicitanten is 6 maanden. Voor werknemersgegevens is de respectieve wettelijke bewaartermijn van toepassing. Na verloop van die periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn om aan de overeenkomst of aan de opstelling daarvan te voldoen. G. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG) Alle betrokkenen hebben de volgende rechten: Page 138 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Recht op toegang Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen. Recht op rectificatie Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op rectificatie uit te oefenen. Recht op wissing (recht op vergetelheid) Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3, punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen van de wettelijke bewaartermijn. Recht op beperking van verwerking Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid 1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op beperking van de verwerking uit te oefenen. Recht van bezwaar Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen. Recht op overdraagbaarheid van gegevens Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt Page 139 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op overdraagbaarheid van gegevens uit te oefenen. H. Het bestaan van het recht om de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 13, lid 2, punt c AVG) Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is, als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7, lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken van zijn toestemming aan ons te communiceren. I. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 13, lid 2, punt d, 77, lid 1 AVG) Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1 AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te Page 140 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact op te nemen met slechts één toezichthoudende autoriteit. J. De verstrekking van persoonsgegevens als wettelijke of contractuele verplichting; Noodzakelijke voorwaarde om een overeenkomst te sluiten; Verplichting van de betrokkene de persoonsgegevens te verstrekken; Mogelijke gevolgen wanneer deze gegevens niet worden verstrekt (artikel 13, lid 2, punt e AVG) Wij lichten toe dat de voorziening van persoonsgegevens deels voor de wet vereist is (bijvoorbeeld belastingregels) of ook het resultaat kan zijn van contractuele voorzieningen (bijvoorbeeld informatie over de contractpartner). Soms kan het nodig zijn om een contract te sluiten waarvoor de betrokkene ons persoonsgegevens verstrekt, die vervolgens door ons verwerkt moeten worden. De betrokkene is, bijvoorbeeld, verplicht ons persoonsgegevens toe te sturen wanneer ons bedrijf een contract met hem of haar tekent. Het niet verstrekken van persoonsgegevens zou tot gevolg hebben dat het contract met de betrokkene niet getekend zou kunnen worden. Voordat persoonsgegevens worden verstrekt door de betrokkene, moet de betrokkene contact opnemen met onze functionaris gegevensbescherming. Onze functionaris gegevensbescherming licht aan de betrokkene toe of het verstrekken van de persoonsgegevens wettelijk vereist is, of voor het tekenen van een contract nodig is, of er een verplichting bestaat de persoonsgegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van de persoonsgegevens. K. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van dergelijke verwerking voor betrokkene (artikel 13, lid 2, punt f AVG) Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering. II. Voldoen aan de informatievereisten bij het niet verzamelen van persoonsgegevens van de betrokkene (artikel 14 AVG) Page 141 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 14, lid 1, punt a AVG) Zie bovenstaande B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 14, lid 1, punt b AVG) Zie bovenstaande C. Doelen van het verwerken waarvoor de persoonsgegevens zijn bedoeld en de wettelijke basis voor het verwerken (artikel 14, lid 1, punt c AVG) Voor sollicitantgegevens die niet door de betrokkene zelf zijn verstrekt, is het doel van de gegevensverwerking het onderzoek van de sollicitatie tijdens het wervingsproces. Voor dit doel kunnen we gegevens verwerken die niet door uzelf verstrekt zijn. Op basis van de gegevens die tijdens het wervingsproces zijn verwerkt, gaan we na of we u al dan niet uitnodigen voor een sollicitatiegesprek (onderdeel van de selectieprocedure). Als u door ons wordt aangenomen, worden de gegevens die u als sollicitant opgaf automatisch omgezet in werknemersgegevens. Voor werknemersgegevens is het doel van gegevensverwerking de uitvoering van de arbeidsovereenkomst of de naleving van andere wettelijke bepalingen die van toepassing zijn op de arbeidsrelatie. Werknemer gegevens worden na beëindiging van de arbeidsrelatie opgeslagen om te voldoen aan wettelijke bewaartermijnen. De rechtsgrondslag voor gegevensverwerking is artikel 6(1) punt b en f AVG, artikel 9(2) punt. b en h AVG, artikel 88 (1) AVG en nationale wetgeving, zoals voor Duitsland, artikel 26 BDSG (Federale Wet Bescherming Persoonsgegevens). D. Betrokken categorieën van persoonsgegevens (artikel 14(, lid 1, punt d AVG) Sollicitantgegevens Werknemer gegevens E. Categorieën ontvangers van de persoonsgegevens (artikel 14, lid 1, punt e AVG) Overheidsinstanties Page 142 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Externe instanties Andere externe instanties Interne verwerking Verwerking binnen een groep Andere instanties F. Ontvangers in een derde land en passende of geschikte waarborgen en de manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG) Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van persoonsgegevens. Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules, artikel 46 lid 2, punt c AVG. De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van de Europese Unie (PB 2010 / L 39, blz. 5-18). G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen (artikel 14(2), punt a AVG) De duur van de opslag van persoonsgegevens van sollicitanten is 6 maanden. Voor werknemersgegevens is de respectieve wettelijke bewaartermijn van toepassing. Na verloop van die Page 143 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn om aan de overeenkomst of aan de opstelling daarvan te voldoen. H. Melding van de gerechtvaardigde belangen die door een verwerkingsverantwoordelijke of door een derde wordt behartigd, is gebaseerd op (artikel 6(1) sub f AVG) (artikel 14(2) sub b AVG) Volgens artikel 6(1) sub f AVG, is de verwerking alleen rechtmatig indien voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen. Volgens Overweging 47 zin 2 AVG kan een dergelijk gerechtvaardigd belang aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, bijvoorbeeld in situaties waarin de betrokkene een klant is van de verwerkingsverantwoordelijke. In alle gevallen waarin ons bedrijf de gegevens van de sollicitant verwerkt op basis van artikel 6(1) punt f AVG, is ons gerechtvaardigd belang het tewerkstellen van geschikt personeel en professionals. I. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG) Alle betrokkenen hebben de volgende rechten: Recht op toegang Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen. Recht op rectificatie Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op rectificatie uit te oefenen. Page 144 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Recht op wissing (recht op vergetelheid) Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3, punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen van de wettelijke bewaartermijn. Recht op beperking van verwerking Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid 1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op beperking van de verwerking uit te oefenen. Recht van bezwaar Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen. Recht op overdraagbaarheid van gegevens Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op overdraagbaarheid van gegevens uit te oefenen. J. Het bestaan van het recht om toestemming in te trekken op elk moment, zonder de wettigheid van de verwerking op basis van toestemming voordat deze werd ingetrokken, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 14, lid 2, punt d AVG) Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is, als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7, lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken. Page 145 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken van zijn toestemming aan ons te communiceren. K. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 14, lid 2, punt e, 77, lid 1 AVG) Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1 AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact op te nemen met slechts één toezichthoudende autoriteit. L. De bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen (artikel 14, lid 2, punt f AVG) In principe worden de persoonsgegevens rechtstreeks verzameld van de betrokkene of in samenwerking met een autoriteit (bijvoorbeeld het opzoeken van gegevens in een officieel register). Andere gegevens over betrokkenen worden afgeleid van overschrijvingen van groepsbedrijven. In de context van deze algemene informatie, is het noemen van de exacte bronnen waarvan de persoonsgegevens afkomstig zijn ofwel onmogelijk of zou dit onevenredig veel inspanning vergen binnen de betekenis van artikel 14, lid 5, punt b AVG. In principe verzamelen wij geen persoonsgegevens van openbaar toegankelijke diensten. Page 146 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Elke betrokkene kan te allen tijde contact opnemen met onze functionaris gegevensbescherming om meer gedetailleerde informatie te krijgen over de exacte bronnen van de persoonsgegevens die hem of haar betreffen. Waar de oorsprong van de persoonsgegevens niet kan worden verstrekt aan de betrokkene omdat verschillende bronnen gebruikt zijn, moet algemene informatie worden verstrekt (Overweging 61, zin 4 AVG). M. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van dergelijke verwerking voor betrokkene (artikel 14, lid 2, punt g AVG) Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering. Page 147 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (Άρθρα 13, 14 ΓΚΠΔ) Αγαπητέ κύριε, κυρία, Τα δεδομένα προσωπικού χαρακτήρα κάθε ιδιώτη που είναι σε συμβατική, προσυμβατική ή άλλη σχέση με την εταιρεία μας χαίρει ειδικής προστασίας. Σκοπός μας είναι να διατηρήσουμε το υψηλό επίπεδο προστασίας δεδομένων μας. Για το σκοπό αυτό, αναπτύσσουμε διαρκώς τους μηχανισμούς προστασίας και ασφάλειας δεδομένων. Ασφαλώς τηρούμε τις νόμιμες διατάξεις προστασίας δεδομένων. Σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας θα πρέπει να πληρούν ειδικές προϋποθέσεις κατά τη συλλογή δεδομένων προσωπικού χαρακτήρα. Το έγγραφο αυτό πληρεί αυτές τις προϋποθέσεις. Η ορολογία των νομικών ρυθμίσεων είναι περίπλοκη. Δυστυχώς, η χρήση νομικών εννοιών δεν μπορούσε να αποφευχθεί κατά τη σύνταξη του παρόντος εγγράφου. Για το λόγο αυτό, θα θέλαμε να τονίσουμε ότι μπορείτε ανά πάσα στιγμή να επικοινωνήσετε μαζί μας για κάθε ερώτηση σχετικά με το παρόν έγγραφο, τους χρησιμοποιούμενους όρους και τη διατύπωση. I. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων (Άρθρο 13 ΓΚΠΔ) Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (aρ. 13 παρ. 1 περ. α΄ ΓΚΠΔ) Βλέπε ανωτέρω B. Στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων(aρ. 13 παρ. 1 περ. β’ ΓΚΠΔ) Βλέπε ανωτέρω Page 148 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Σκοπός της επιχειρούμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και νόμιμη βάση επεξεργασίας (αρ. 13 (1) περ. γ’ ΓΚΠΔ) Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η διαχείριση όλων των εργασιών που αφορούν τον υπεύθυνο επεξεργασίας, τους πελάτες, τους πιθανούς πελάτες, εμπορικούς συνεργάτες ή άλλες συμβατικές ή μη συμβατικές σχέσεις μεταξύ των αναφερόμενων μερών (εν ευρεία έννοια) ή άλλη νόμιμη υποχρέωση του υπεύθυνου επεξεργασίας. Το αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ λειτουργεί ως η νόμιμη βάση για τις εργασίες επεξεργασίας για τις οποίες λαμβάνουμε τη συναίνεση επεξεργασίας. Σε περίπτωση που η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το υποκείμενο των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για την παροχή προϊόντων ή υπηρεσιών, η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 περ. β’ ΓΚΠΔ. Το ίδιο ισχύει για την επεξεργασία που είναι απαραίτητη για τη λήψη μέτρων πριν τη σύναψη σύμβασης, όπως για παράδειγμα στην περίπτωση παροχής πληροφοριών που αφορούν τα προϊόντα ή τις υπηρεσίες μας. Στην περίπτωση που η εταιρεία μας υπέχει νόμιμη υποχρέωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως για την εκπλήρωση φορολογικών υποχρεώσεων, η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. γ’ ΓΚΠΔ. Σε σπάνιες περιπτώσεις, η επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Τέτοια είναι η περίπτωση, για παράδειγμα, όταν επισκέπτης τραυματίζεται στην εταιρεία μας και το όνομα, η ηλικία του, δεδομένα ασφάλειας υγείας ή άλλα ζωτικές πληροφορίες διαβιβάζονται σε ιατρό, νοσοκομείο ή τρίτο πρόσωπο. Τότε η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. δ’ ΓΚΠΔ. Τέλος, οι εργασίες επεξεργασίας μπορούν να έχουν τη βάση τους στο αρ. 6 παρ. 1 ΓΚΠΔ. Λειτουργεί ως νόμιμη βάση για τις εργασίες επεξεργασίας που δεν καλύπτονται από τις προαναφερθείσες βάσεις, εφόσον η επεξεργασία είναι απαραίτητη για το σκοπό της εξυπηρέτησης των εννόμων συμφερόντων της εταιρείας μας ή τρίτου μέρους, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου του οποίου τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε προστασία. Τέτοιες εργασίες επεξεργασίας επιτρέπονται ιδίως στις περιπτώσεις που αναφέρονται από τον ευρωπαίο νομοθέτη. Σύμφωνα με αυτόν, τέτοιο έννομο συμφέρον θα μπορούσε να υπάρχει όταν το υποκείμενο των δεδομένων είναι πελάτης του υπεύθυνου επεξεργασίας (Προοίμιο παρ. 47 εδ. β’ ΓΚΠΔ). Page 149 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. D. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία βασίζεται στο αρ.6 παρ.1 περ. στ’ ΓΚΠΔ Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ. ε’ ΓΚΠΔ) Δημόσιες αρχές Εξωτερικά όργανα Εσωτερική επεξεργασία Ενδοομιλική επεξεργασία Άλλα όργανα κι οργανισμοί F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 13 παρ. 1 περ. στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ) Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως «όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή των αποδεκτών από εμάς. Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ). Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και Σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των δραστηριοτήτων μας υπέρ της ευημερίας όλων των εργαζομένων και των μετόχων μας. Page 150 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010 / L 39, σελίδες 5-18). G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ) Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται, στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη σύναψή της. Η. Δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή αντίταξης στην επεξεργασία και φορητότητα των δεδομένων (αρ. 13 παρ. 2 περ. β’ ΓΚΠΔ) Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα: Δικαίωμα πρόσβασης Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί μαζί μας για την άσκηση του δικαιώματός του. Δικαίωμα διόρθωσης Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για διόρθωση. Page 151 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης. Δικαίωμα περιορισμού της επεξεργασίας Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της επεξεργασίας. Δικαίωμα εναντίωσης Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση. Δικαίωμα στη φορητότητα των δεδομένων Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων. Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20 παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των δεδομένων. I. Το δικαίωμα ανάκλησης της συγκατάθεσης οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας επί τη βάσει προηγούμενης συγκατάθεσης, όταν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 13 παρ. 2 περ. γ’ ΓΚΠΔ) Εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. γ’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του στην επεξεργασία των δεδομένων για έναν ή περισσότερους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή συναίνεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο Page 152 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσής του ανά πάσα στιγμή. Η ανάκληση της συναίνεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση πριν την ανάκλησή της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της ανάκλησής του προς εμάς. J. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’, 77 παρ. 1 ΓΚΠΔ) Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’ ΓΚΠΔ). Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως επικοινωνήσει μόνο με μία εποπτική αρχή. K. Παροχή δεδομένων προσωπικού χαρακτήρα στη βάση νομικής ή συμβατικής υποχρέωσης ή απαίτησης για τη σύναψη σύμβασης, υποχρέωση του υποκειμένου των δεδομένων να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ενδεχόμενες συνέπειες της μη παροχή των δεδομένων (αρ. 13 παρ. 2 περ. ε’ ΓΚΠΔ) Θα θέλαμε να διευκρινίσουμε ότι η παροχή δεδομένων προσωπικού χαρακτήρα απαιτείται εν μέρει από το νόμο (πχ. από φορολογικές διατάξεις), αλλά μπορεί να προκύπτει και από συμβατικές διατάξεις (π.χ. πληροφορίες σχετικά με το άλλο συμβαλλόμενο μέρος). Page 153 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Μερικές φορές θα είναι ίσως απαραίτητη η σύναψη σύμβασης μέσω της οποίας το υποκείμενο των δεδομένων μας παρέχει δεδομένα προσωπικού χαρακτήρα, τα οποία θα επεξεργαστούμε εμείς στη συνέχεια. Το υποκείμενο των δεδομένων υποχρεούται, για παράδειγμα, να μας παρέχει δεδομένα προσωπικού χαρακτήρα όταν συνάπτουμε σύμβαση μαζί του. Η μη παροχή αυτών των δεδομένων μπορεί να έχει ως συνέπεια την αδυναμία σύναψης της σύμβασης. Πριν την παροχή των δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, το υποκείμενο οφείλει να επικοινωνήσει μαζί μας. Με τον τρόπο αυτό, διευκρινίζουμε στο υποκείμενο αν η παροχή των δεδομένων είναι υποχρεωτική από το νόμο ή τη σύμβαση ή είναι απαραίτητη για τη σύναψη της σύμβασης, καθώς και αν υπάρχει υποχρέωση παροχής τους και συνέπειες από τη μη παροχή. L. Αυτοματοποιημένη λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το αρ. 22 παρ. 1 και 4 ΓΚΠΔ και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ. II. Συμμόρφωση με τις προϋποθέσεις για την περίπτωση που τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων (αρ.14 ΓΚΠΔ) Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (αρ. 14 παρ. 1 περ. α΄ ΓΚΠΔ) Βλέπε ανωτέρω Β. Στοιχεία επικοινωνία του Υπεύθυνου Προστασίας Δεδομένων (αρ. 14 παρ. 1 περ. β’ ΓΚΠΔ) Βλέπε ανωτέρω Page 154 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και νόμιμη βάση επεξεργασίας (αρ. 14 παρ. 1 περ. γ’ ΓΚΠΔ) Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η διαχείριση όλων των εργασιών που αφορούν τον υπεύθυνο επεξεργασίας, τους πελάτες, τους πιθανούς πελάτες, εμπορικούς συνεργάτες ή άλλες συμβατικές ή μη συμβατικές σχέσεις μεταξύ των αναφερόμενων μερών (εν ευρεία έννοια) ή άλλη νόμιμη υποχρέωση του υπεύθυνου επεξεργασίας. Το αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ λειτουργεί ως η νόμιμη βάση για τις εργασίες επεξεργασίας για τις οποίες λαμβάνουμε τη συναίνεση επεξεργασίας. Σε περίπτωση που η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το υποκείμενο των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για την παροχή προϊόντων ή υπηρεσιών, η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 περ. β’ ΓΚΠΔ. Το ίδιο ισχύει για την επεξεργασία που είναι απαραίτητη για τη λήψη μέτρων πριν τη σύναψη σύμβασης, όπως για παράδειγμα στην περίπτωση παροχής πληροφοριών που αφορούν τα προϊόντα ή τις υπηρεσίες μας. Στην περίπτωση που η εταιρεία μας υπέχει νόμιμη υποχρέωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως για την εκπλήρωση φορολογικών υποχρεώσεων, η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. γ’ ΓΚΠΔ. Σε σπάνιες περιπτώσεις, η επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί να είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Τέτοια είναι η περίπτωση, για παράδειγμα, όταν επισκέπτης τραυματίζεται στην εταιρεία μας και το όνομα, η ηλικία του, δεδομένα ασφάλειας υγείας ή άλλα ζωτικές πληροφορίες διαβιβάζονται σε ιατρό, νοσοκομείο ή τρίτο πρόσωπο. Τότε η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. δ’ ΓΚΠΔ. Τέλος, οι εργασίες επεξεργασίας μπορούν να έχουν τη βάση τους στο αρ. 6 παρ. 1 ΓΚΠΔ. Λειτουργεί ως νόμιμη βάση για τις εργασίες επεξεργασίας που δεν καλύπτονται από τις προαναφερθείσες βάσεις, εφόσον η επεξεργασία είναι απαραίτητη για το σκοπό της εξυπηρέτησης των εννόμων συμφερόντων της εταιρείας μας ή τρίτου μέρους, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου του οποίου τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε προστασία. Τέτοιες εργασίες επεξεργασίας επιτρέπονται ιδίως στις περιπτώσεις που αναφέρονται από τον ευρωπαίο νομοθέτη. Σύμφωνα με αυτόν, τέτοιο έννομο συμφέρον θα μπορούσε να υπάρχει όταν το υποκείμενο των δεδομένων είναι πελάτης του υπεύθυνου επεξεργασίας (Προοίμιο παρ. 47 εδ. β’ ΓΚΠΔ). D. Κατηγορίες δεδομένων προσωπικού χαρακτήρα (αρ. 14 παρ. 1 περ. δ’ ΓΚΠΔ) Δεδομένα πελατών Page 155 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Δεδομένα δυνητικών πελατών Δεδομένα εργαζομένων Δεδομένα προμηθευτών Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ. ε’ ΓΚΠΔ) Δημόσιες αρχές Εξωτερικά όργανα Εσωτερική επεξεργασία Ενδοομιλική επεξεργασία Άλλα όργανα κι οργανισμοί F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 14 παρ. 1 περ. στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ) Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως «όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή των αποδεκτών από εμάς. Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ). Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες Page 156 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010 / L 39, σελίδες 5-18). G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ) Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται, στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη σύναψή της. Η. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία βασίζεται στο αρ.6 παρ.1 περ. στ’ ΓΚΠΔ (Αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ) Σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, η επεξεργασία είναι νόμιμη μόνο όταν είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με την παράγραφο 47 εδ. β’ του Προοιμίου, τέτοιο έννομο συμφέρον μπορεί να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως π.χ. αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας. Σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την εταιρεία μας στη βάση του αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των δραστηριοτήτων μας υπέρ της ευημερίας όλων των εργαζομένων και των μετόχων μας. I. ‘Υπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων (αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ) Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα: Page 157 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Δικαίωμα πρόσβασης Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί μαζί μας για την άσκηση του δικαιώματός του. Δικαίωμα διόρθωσης Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για διόρθωση. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης. Δικαίωμα περιορισμού της επεξεργασίας Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της επεξεργασίας. Δικαίωμα εναντίωσης Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση. Δικαίωμα στη φορητότητα των δεδομένων Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων. Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20 παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς Page 158 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των δεδομένων. J. Ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσής του οποτεδήποτε, χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, όταν η επεξεργασία βασίζεται στ ααρ. 6 παρ. 1 περ. α’ ή αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 14 παρ. 2 περ. δ’ ΓΚΠΔ) Εάν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή ρητής συγκατάθεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσης του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της ανάκλησής του προς εμάς. K. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’, 77 παρ. 1 ΓΚΠΔ) Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’ ΓΚΠΔ). Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που Page 159 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως επικοινωνήσει μόνο με μία εποπτική αρχή. L. Πηγή των δεδομένων προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, προέλευση των δεδομένων από πηγές στις οποίες έχει πρόσβαση το κοινό (αρ. 14 παρ. 2 εδ. στ’ ΓΚΠΔ) Κατά κανόνα, τα δεδομένα προσωπικού χαρακτήρα συλλέγονται άμεσα από το υποκείμενο των δεδομένων ή σε συνδυασμό με ορισμένη αρχή (π.χ. ανάκτηση δεδομένων από επίσημο μητρώο). Άλλα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων προέρτχονται από διαβιβάσεις μεταξύ ομίλων εταιρειών. Στο πλαίσιο αυτών των γενικών πληροφοριών, η ακριβής καταγραφή των πηγών από τις οποίες προέρχονται τα δεδομένα προσωπικού χαρακτήρα είτε είναι αδύνατη είτε συνεπάγεται δυσανάλογη προσπάθεια σσύμφωνα με την έννοια του αρ. 14 παρ. 5 περ. β’ ΓΚΠΔ. Κατά κανόνα, δεν συλλέγουμαι δεδομένα προσωπικού χαρακτήρα από δημόσια διαθέσιμες πηγές. Κάθε υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας ανά πάσα στιγμή για να λάβει περισσότερες, λεπτομερείς πληροφορίες σχετικά με τις ακριβείς πηγές των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Σε περιπτώσει που δεν μπορούν να παρασχεθούν πληροφορίες σχετικά με την προέλευση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων καθώς έχουν χρησιμοποιηθεί περισσότερες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες (Παράγραφο 61 εδ. δ’ Προοίμιο ΓΚΠΔ). M. Αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων (αρ. 14 παρ. 2 εδ. ζ’ ΓΚΠΔ) Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ. Page 160 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα Εργαζομένων και Υποψηφίων (Άρθρα 13, 14 ΓΚΠΔ) Αγαπητέ κύριε, κυρία, Τα δεδομένα προσωπικού χαρακτήρα εργαζομένων και υποψηφίων χαίρουν ειδικής προστασίας. Σκοπός μας είναι να διατηρήσουμε το υψηλό επίπεδο προστασίας δεδομένων μας. Για το σκοπό αυτό, αναπτύσσουμε διαρκώς τους μηχανισμούς προστασίας και ασφάλειας δεδομένων. Ασφαλώς τηρούμε τις νόμιμες διατάξεις προστασίας δεδομένων. Σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας θα πρέπει να πληρούν ειδικές προϋποθέσεις κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το έγγραφο αυτό πληρεί τις σχετικές προϋποθέσεις. Η ορολογία των νομικών ρυθμίσεων είναι περίπλοκη. Δυστυχώς, η χρήση νομικών εννοιών δεν μπορούσε να αποφευχθεί κατά τη σύνταξη του παρόντος εγγράφου. Για το λόγο αυτό, θα θέλαμε να τονίσουμε ότι μπορείτε ανά πάσα στιγμή να επικοινωνήσετε μαζί μας για κάθε ερώτηση σχετικά με το παρόν έγγραφο, τους χρησιμοποιούμενους όρους και τη διατύπωση. I. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων (Άρθρο 13 ΓΚΠΔ) Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (Αρ. 13 παρ. 1 περ. α΄ ΓΚΠΔ) Βλέπε ανωτέρω Β. Στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (Αρ. 13 παρ. 1 περ. β’ ΓΚΠΔ) Βλέπε ανωτέρω Page 161 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Σκοπός της επιχειρούμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και νόμιμη βάση επεξεργασίας (αρ. 13 (1) περ. γ’ ΓΚΠΔ) Σε ό,τι αφορά τα δεδομένα των υποψηφίων, σκοπός της επεξεργασίας δεδομένων είναι η διενέργεια ελέγχου της αίτησης κατά τη διάρκεια της διαδικασίας πρόσληψης. Για το σκοπό αυτό, επεξεργαζόμαστε όλα τα δεδομένα που μας παρέχετε. Με βάση τα δεδομένα που παρέχετε κατά τη διάρκεια της διαδικασίας πρόσληψης, εξετάζουμε αν θα κληθείτε σε συνέντευξη εργασίας (μλερος της διαδικασίας επιλογής). Στην περίπτωση υποψηφίων που πληρούν τις γενικές προϋποθέσεις, συγκεκριμένα στο πλαίσιο της συνέντευξης, επεξεργαζόμαστε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που μας παρέχετε και είναι απαραίτητα για την επιλογή. Αν προσληφθείτε, τα δεδομένα υποψηφίου μετατρέπονται αυτόματα σε δεδομένα εργαζόμενου. Ως μέρος της διαδικασίας πρόσληψης, επεξεργαζόμαστε και άλλα δεδομένα προσωπικού χαρακτήρα σχετικά με εσάς που σας ζητούμε και είναι απαραίτητα για τη σύναψη ή την εκτέλεση της σύμβασής μας (όπως δεδομένα τυατοποίησης ή αριθμό φορολογικού μητρώου). Σχετικά με τα δεδομένα εργαζομένων, σκοπός της επεξεργασίας είναι η εκτέλεση της σύμβασης εργασίας ή η συμμόρφωση με άλλες διατάξεις εφαρμοστέες στην εργασιακή σχέση (π.χ. φορολογικό δίκαιο), καθώς και για την εκτέλεση της σύμβασης εργασίας (π.χ. δημοσιοποίηση του ονόματος και των στοιχείων επικοινωνίας στην εταιρεία ή τους πελάτες). Τα δεδομένα εργαζομένων διατηρούνται μετά τη λύση της εργασιακής σχέσης σύμφωνα με τις νόμιμες διατάξεις σχετικά με την περίοδο διακράτησής τους. Νόμιμη βάση για την επεξεργασία των δεδομένων είναι το αρ. 6 παρ. 1 περ. β’ ΓΚΠΔ, το αρ. 9 παρ. 2 περ. β’ και η΄ΓΚΠΔ, το αρ. 88 παρ. 1 ΓΚΠΔ και η εθνική νομοθεσία. D. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ. ε’ ΓΚΠΔ) Δημόσιες αρχές Εξωτερικά όργανα Εσωτερική επεξεργασία Ενδοομιλική επεξεργασία Άλλα όργανα κι οργανισμοί Page 162 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Ε. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 13 παρ. 1 περ. στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ) Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως «όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή των αποδεκτών από εμάς. Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ). Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010 / L 39, σελίδες 5-18). F. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ) Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται, στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη σύναψή της. G. Δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή αντίταξης στην επεξεργασία και φορητότητα των δεδομένων (αρ. 13 παρ. 2 περ. β’ ΓΚΠΔ) Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα: Page 163 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Δικαίωμα πρόσβασης Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί μαζί μας για την άσκηση του δικαιώματός του. Δικαίωμα διόρθωσης Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για διόρθωση. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης. Δικαίωμα περιορισμού της επεξεργασίας Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της επεξεργασίας. Δικαίωμα εναντίωσης Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση. Δικαίωμα στη φορητότητα των δεδομένων Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων. Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20 παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς Page 164 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των δεδομένων. Η. Το δικαίωμα ανάκλησης της συγκατάθεσης οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας επί τη βάσει προηγούμενης συγκατάθεσης, όταν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 13 παρ. 2 περ. γ’ ΓΚΠΔ) Εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του στην επεξεργασία των δεδομένων για έναν ή περισσότερους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή συναίνεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσής του ανά πάσα στιγμή. Η ανάκληση της συναίνεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση πριν την ανάκλησή της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της ανάκλησής του προς εμάς. I. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’, 77 παρ. 1 ΓΚΠΔ) Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’ ΓΚΠΔ). Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας Page 165 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως επικοινωνήσει μόνο με μία εποπτική αρχή. J. Παροχή δεδομένων προσωπικού χαρακτήρα στη βάση νομικής ή συμβατικής υποχρέωσης ή απαίτησης για τη σύναψη σύμβασης, υποχρέωση του υποκειμένου των δεδομένων να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ενδεχόμενες συνέπειες της μη παροχή των δεδομένων (αρ. 13 παρ. 2 περ. ε’ ΓΚΠΔ) Θα θέλαμε να διευκρινίσουμε ότι η παροχή δεδομένων προσωπικού χαρακτήρα απαιτείται εν μέρει από το νόμο (π.χ. από φορολογικές διατάξεις), αλλά μπορεί να προκύπτει και από συμβατικές διατάξεις (π.χ. πληροφορίες σχετικά με το άλλο συμβαλλόμενο μέρος). Μερικές φορές είναι ίσως απαραίτητη η σύναψη σύμβασης μέσω της οποίας το υποκείμενο των δεδομένων μας παρέχει δεδομένα προσωπικού χαρακτήρα, τα οποία θα επεξεργαστούμε εμείς στη συνέχεια. Το υποκείμενο των δεδομένων υποχρεούται, για παράδειγμα, να μας παρέχει δεδομένα προσωπικού χαρακτήρα όταν συνάπτουμε σύμβαση μαζί του. Η μη παροχή αυτών των δεδομένων μπορεί να έχει ως συνέπεια την αδυναμία σύναψης της σύμβασης. Πριν την παροχή των δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, το υποκείμενο οφείλει να επικοινωνήσει μαζί μας. Με τον τρόπο αυτό, διευκρινίζουμε στο υποκείμενο αν η παροχή των δεδομένων είναι υποχρεωτική από το νόμο ή τη σύμβαση ή είναι απαραίτητη για τη σύναψη της σύμβασης, καθώς και αν υπάρχει υποχρέωση παροχής τους και συνέπειες από τη μη παροχή. K. Αυτοματοποιημένη λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το αρ. 22 παρ. 1 και 4 ΓΚΠΔ και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ. Page 166 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Συμμόρφωση με τις προϋποθέσεις για την περίπτωση που τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων (αρ.14 ΓΚΠΔ) Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (αρ. 14 παρ. 1 περ. α΄ ΓΚΠΔ) Βλέπε ανωτέρω Β. Στοιχεία επικοινωνία του Υπεύθυνου Προστασίας Δεδομένων (αρ. 14 παρ. 1 περ. β’ ΓΚΠΔ) Βλέπε ανωτέρω C. Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και νόμιμη βάση επεξεργασίας (αρ. 14 παρ. 1 περ. γ’ ΓΚΠΔ) Σε ό,τι αφορά τα δεδομένα των υποψηφίων που δεν συλλέγησαν μέσω του υποκειμένου των δεδομένων, σκοπός της επεξεργασίας είναι η διενέργεια ελέγχου της αίτησης κατά τη διάρκεια της διαδικασίας πρόσληψης. Για το σκοπό αυτό, ενδέχεται να επεξεργαζόμαστε δεδομένα που δεν έχουμε συλλέξει από εσάς. Με βάση τα δεδομένα που επεξεργαζόμαστε κατά τη διάρκεια της διαδικασίας πρόσληψης, εξετάζουμε αν θα κληθείτε σε συνέντευξη εργασίας (μέρος της διαδικασίας επιλογής). Αν προσληφθείτε, τα δεδομένα υποψηφίου μετατρέπονται αυτόματα σε δεδομένα εργαζόμενου. Σχετικά με τα δεδομένα εργαζομένων, σκοπός της επεξεργασίας είναι η εκτέλεση της σύμβασης εργασίας ή η συμμόρφωση με άλλες διατάξεις εφαρμοστέες στην εργασιακή σχέση. Τα δεδομένα εργαζομένων διατηρούνται μετά τη λύση της εργασιακής σχέσης σύμφωνα με τις νόμιμες διατάξεις σχετικά με την περίοδο διακράτησης.. Νόμιμη βάση για την επεξεργασία των δεδομένων είναι το αρ. 6 παρ. 1 περ. β’ ΓΚΠΔ, το αρ. 9 παρ. 2 περ. β’ και η’ ΓΚΠΔ, το αρ. 88 παρ. 1 ΓΚΠΔ και η εθνική νομοθεσία. D. Κατηγορίες δεδομένων προσωπικού χαρακτήρα (αρ. 14 παρ. 1 περ. δ’ ΓΚΠΔ) Δεδομένα υποψηδίων Δεδομένα εργαζομένων Page 167 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ. ε’ ΓΚΠΔ) Δημόσιες αρχές Εξωτερικά όργανα Εσωτερική επεξεργασία Ενδοομιλική επεξεργασία Άλλα όργανα κι οργανισμοί F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 14 παρ. 1 περ. στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ) Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως «όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή των αποδεκτών από εμάς. Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ). Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010 / L 39, σελίδες 5-18). Page 168 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ) Η περίοδος διατήρησης των δεδομένων των υποψηφίων είναι 6 μήνες. Για τα δεδομένα εργαζομένων εφαρμόζεται η αντίστοιχη νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα αντίστοιχα δεδομένα διαγράφονται, εφόσον δεν είναι πλέον απαραίτητα για την εκτέλεση της σύμβασης ή για τη σύναψή της. Η. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ (Αρ. 14 παρ. 2 περ. β’ ΓΚΠΔ) Σύμφωνα με το αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, η επεξεργασία είναι νόμιμη μόνο όταν είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με την παράγραφο 47 εδ. β’ του Προοιμίου, τέτοιο έννομο συμφέρον μπορεί να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως π.χ. αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας. Σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την εταιρεία μας στη βάση του αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των δραστηριοτήτων μας υπέρ της ευημερίας όλων των εργαζομένων και των μετόχων μας. I. Ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων (αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ) Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα: Δικαίωμα πρόσβασης Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί μαζί μας για την άσκηση του δικαιώματός του. Page 169 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Δικαίωμα διόρθωσης Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για διόρθωση. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης. Δικαίωμα περιορισμού της επεξεργασίας Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της επεξεργασίας. Δικαίωμα εναντίωσης Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση. Δικαίωμα στη φορητότητα των δεδομένων Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων. Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20 παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των δεδομένων. Page 170 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσής του οποτεδήποτε, χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, όταν η επεξεργασία βασίζεται στ ααρ. 6 παρ. 1 περ. α’ ή αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 14 παρ. 2 περ. δ’ ΓΚΠΔ) Εάν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή ρητής συγκατάθεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσης του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της πρόθεσης ανάκλησης προς εμάς. K. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’, 77 παρ. 1 ΓΚΠΔ) Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’ ΓΚΠΔ). Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως επικοινωνήσει μόνο με μία εποπτική αρχή. Page 171 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Πηγή των δεδομένων προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, προέλευση των δεδομένων από πηγές στις οποίες έχει πρόσβαση το κοινό (αρ. 14 παρ. 2 εδ. στ’ ΓΚΠΔ) Κατά κανόνα, τα δεδομένα προσωπικού χαρακτήρα συλλέγονται άμεσα από το υποκείμενο των δεδομένων ή σε συνδυασμό με ορισμένη αρχή (π.χ. ανάκτηση δεδομένων από επίσημο μητρώο). Άλλα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων προέρτχονται από διαβιβάσεις μεταξύ ομίλων εταιρειών. Στο πλαίσιο αυτών των γενικών πληροφοριών, η ακριβής καταγραφή των πηγών από τις οποίες προέρχονται τα δεδομένα προσωπικού χαρακτήρα είτε είναι αδύνατη είτε συνεπάγεται δυσανάλογη προσπάθεια σσύμφωνα με την έννοια του αρ. 14 παρ. 5 περ. β’ ΓΚΠΔ. Κατά κανόνα, δεν συλλέγουμαι δεδομένα προσωπικού χαρακτήρα από δημόσια διαθέσιμες πηγές. Κάθε υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας ανά πάσα στιγμή για να λάβει περισσότερες, λεπτομερείς πληροφορίες σχετικά με τις ακριβείς πηγές των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Σε περιπτώσει που δεν μπορούν να παρασχεθούν πληροφορίες σχετικά με την προέλευση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων καθώς έχουν χρησιμοποιηθεί περισσότερες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες (Παράγραφο 61 εδ. δ’ Προοίμιο ΓΚΠΔ). M. Αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, σύμφωνα με το άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων (αρ. 14 παρ. 2 εδ. ζ’ ΓΚΠΔ) Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ. Page 172 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. POLISH: Informacja o przetwarzaniu danych osobowych (Artykuł 13 i 14 RODO) Szanowni Państwo, Dane osobowe każdej osoby fizycznej pozostającej w relacji związanej z umową, która została lub będzie zawarta lub w innej relacji z naszą firmą, zasługują na szczególną ochronę. Naszym celem jest utrzymanie wysokiego poziomu ochrony danych. Dlatego stale rozwijamy nasze koncepcje ochrony i bezpieczeństwa danych. Oczywiście przestrzegamy ustawowych przepisów dotyczących ochrony danych. Zgodnie z art. 13 i 14 RODO firmy gromadząc dane osobowe muszą spełniać określone wymogi informacyjne. Niniejszy dokument spełnia te obowiązki. Słownictwo stosowane w przepisach prawnych jest skomplikowane. Niestety, przy opracowywaniu tego dokumentu nie można było uniknąć stosowania terminów prawnych. Dlatego pragniemy zwrócić uwagę, że zawsze mogą Państwo skontaktować się z naszym inspektorem ochrony danych w przypadku jakichkolwiek pytań dotyczących niniejszego dokumentu, używanych terminów lub sformułowań. I. Zgodność z wymogami informacyjnymi w przypadku zbierania danych osobowych od osoby, której dane dotyczą (art. 13 RODO) A. Tożsamość i dane kontaktowe administratora (art. 13 ust. 1 lit. a) RODO) Patrz wyżej B. Dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b) RODO) Patrz wyżej C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania (art. 13 ust. 1 lit. c RODO) Celem przetwarzania danych osobowych jest obsługa wszystkich operacji dotyczących administratora, klientów, potencjalnych klientów, partnerów biznesowych lub innych relacji związanych z umową już Page 173 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. zawartą lub zawieraną między wymienionymi grupami (w najszerszym tego słowa znaczeniu) lub prawnych obowiązków administratora danych. Art. 6 ust. 1 lit. a RODO służy jako podstawa prawna przeprowadzania operacji przetwarzania, dla których uzyskujemy zgodę na konkretny cel przetwarzania. Jeżeli przetwarzanie danych osobowych jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą, jak ma to miejsce na przykład w przypadku, gdy operacje przetwarzania są niezbędne do dostarczania towarów lub świadczenia jakiejkolwiek innej usługi, przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b RODO. To samo dotyczy operacji przetwarzania, które są niezbędne do realizacji czynności przed zawarciem umowy, na przykład w przypadku zapytań dotyczących naszych produktów lub usług. Jeśli nasza firma podlega prawnemu obowiązkowi, zgodnie z którym wymagane jest przetwarzanie danych osobowych, np. w celu wypełnienia obowiązków podatkowych, podstawą przetwarzania jest art. 6 ust. 1 lit. c RODO. W rzadkich przypadkach przetwarzanie danych osobowych może być konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innej osoby fizycznej. Taka sytuacja wystąpiłaby na przykład wtedy, gdyby odwiedzający naszą firmę został ranny, a jego imię i nazwisko, wiek, dane dotyczące ubezpieczenia zdrowotnego lub inne istotne informacje musiałyby zostać przekazane lekarzowi, szpitalowi lub innej stronie trzeciej. Wówczas podstawą przetwarzania byłby art. 6 ust. 1 lit. d RODO. Podstawą operacji przetwarzania mógłby również być art. 6 ust. 1 lit. f RODO. Tę podstawę prawną stosuje się do operacji przetwarzania nieuwzględnionych w powyżej wymienionych podstawach prawnych, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez naszą firmę lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych. Takie operacje przetwarzania są szczególnie dopuszczalne, ponieważ zostały wyraźnie wymienione przez europejskiego prawodawcę, który uznał, że można założyć uzasadniony interes, jeżeli osoba, której dane dotyczą, jest klientem administratora (ust. 47 zdanie 2 preambuły RODO). D. Uzasadnione interesy administratora lub strony trzeciej, jeżeli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO, (art. 13 ust. 1 lit. d) RODO) Jeżeli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. f RODO, naszym uzasadnionym interesem jest prowadzenie naszej działalności na rzecz dobra wszystkich naszych pracowników i udziałowców. E. Kategorie odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO) Page 174 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Władze publiczne Organy zewnętrzne Dalsze organy zewnętrzne Przetwarzanie wewnętrzne Przetwarzanie wewnątrzgrupowe Inne organy F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia danych (art. 13 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO) Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych osobowych. Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO). Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18). G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a RODO) Kryteriami stosowanymi do określenia okresu przechowywania danych osobowych są odpowiednie ustawowe okresy zatrzymywania. Po upływie tego okresu odpowiednie dane są rutynowo usuwane, o ile nie są już konieczne do wypełnienia umowy lub rozpoczęcia umowy. Page 175 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Informacje o prawie do żądania od administratora dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 13 ust. 2 lit. b RODO) Wszystkie osoby, których dane dotyczą, mają następujące prawa: Prawo dostępu Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15 RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa dostępu. Prawo do sprostowania Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Ponadto zgodnie z art. 16 zdanie 2 RODO osoba, której dane dotyczą, ma prawo, biorąc pod uwagę cele przetwarzania, żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprostowania. Prawo do usunięcia danych (prawo do bycia zapomnianym) Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania, o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma (art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po upływie ustawowego okresu zatrzymywania. Prawo do ograniczenia przetwarzania danych Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa ograniczenia przetwarzania.. Prawo do sprzeciwu Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu. Page 176 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Prawo do przenoszenia danych Art. Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych. I. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO (art. 13 ust. 2 lit. c) RODO) Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1 RODO, ma prawo do wycofania swojej zgody w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać inny sposób powiadomienia nas o wycofaniu swojej zgody. J. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d, art. 77 ust. 1 RODO) Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego Page 177 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym. K. Udostępnianie danych osobowych jako wymóg ustawowy lub umowny; warunek zawarcia umowy; obowiązek osoby, której dane dotyczą, do podania danych osobowych; ewentualne konsekwencje niepodania danych (art. art. 13 ust. 2 lit. e RODO) Wyjaśniamy, że udostępnianie danych osobowych jest częściowo wymagane przez prawo (np. przepisy podatkowe) lub może wynikać z postanowień umownych (np. informacje o partnerze umownym). Czasami może być konieczne do zawarcia umowy podanie przez osobę, której dane dotyczą, danych osobowych, które następnie muszą zostać przez nas przetwarzane. Osoba, której dane dotyczą jest na przykład zobowiązana do przekazania nam danych osobowych podczas zawierania z nami umowy. Konsekwencją niedostarczenia danych osobowych byłby brak możliwości zawarcia umowy z osobą, której dane dotyczą. Zanim dane osobowe zostaną przekazane przez osobę, której dane dotyczą, osoba ta musi skontaktować się z naszym inspektorem ochrony danych. Nasz inspektor ochrony danych wyjaśnia osobie, której dane dotyczą, czy podanie danych osobowych jest wymagane przez prawo lub umowę lub jest konieczne do zawarcia umowy, czy istnieje obowiązek dostarczenia danych osobowych i konsekwencje niedostarczenia danych osobowych. L. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 13 ust. 2 lit. f RODO) Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania. Page 178 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Zgodność z wymogami informacyjnymi w przypadku niezbierania danych osobowych od osoby, której dane dotyczą (art. 14 RODO) A. Tożsamość i dane kontaktowe administratora (art. 14 ust. 1 lit. a) RODO) Patrz wyżej B. Dane kontaktowe inspektora ochrony danych (art. 14 ust. 1 lit. b) RODO) Patrz wyżej C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania (art. 14 ust. 1 lit. c RODO) Celem przetwarzania danych osobowych jest obsługa wszystkich operacji dotyczących administratora, klientów, potencjalnych klientów, partnerów biznesowych lub innych relacji związanych z umową już zawartą lub zawieraną między wymienionymi grupami (w najszerszym tego słowa znaczeniu) lub prawnych obowiązków administratora danych. Jeżeli przetwarzanie danych osobowych jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą, jak ma to miejsce na przykład w przypadku, gdy operacje przetwarzania są niezbędne do dostarczania towarów lub świadczenia jakiejkolwiek innej usługi, przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b RODO. To samo dotyczy operacji przetwarzania, które są niezbędne do realizacji czynności przed zawarciem umowy, na przykład w przypadku zapytań dotyczących naszych produktów lub usług. Jeśli nasza firma podlega prawnemu obowiązkowi, zgodnie z którym wymagane jest przetwarzanie danych osobowych, np. w celu wypełnienia obowiązków podatkowych, podstawą przetwarzania jest art. 6 ust. 1 lit. c RODO. W rzadkich przypadkach przetwarzanie danych osobowych może być konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innej osoby fizycznej. Taka sytuacja wystąpiłaby na przykład wtedy, gdyby odwiedzający naszą firmę został ranny, a jego imię i nazwisko, wiek, dane dotyczące ubezpieczenia zdrowotnego lub inne istotne informacje musiałyby zostać przekazane lekarzowi, szpitalowi lub innej stronie trzeciej. Wówczas podstawą przetwarzania byłby art. 6 ust. 1 lit. d RODO. Podstawą operacji przetwarzania mógłby również być art. 6 ust. 1 lit. f RODO. Tę podstawę prawną stosuje się do operacji przetwarzania nieuwzględnionych w powyżej wymienionych podstawach prawnych, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez naszą firmę lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane Page 179 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. dotyczą, wymagające ochrony danych osobowych. Takie operacje przetwarzania są szczególnie dopuszczalne, ponieważ zostały wyraźnie wymienione przez europejskiego prawodawcę, który uznał, że można założyć prawnie uzasadniony interes, jeżeli osoba, której dane dotyczą, jest klientem administratora (ust. 47 zdanie 2 preambuły RODO). D. Kategorie odnośnych danych osobowych (art. 14 ust. 1 lit. d RODO) Dane klienta Dane potencjalnych klientów Dane pracowników Dane dostawców E. Kategorie odbiorców danych (art. 14 ust. 1 lit. e RODO) Władze publiczne Organy zewnętrzne Dalsze organy zewnętrzne Przetwarzanie wewnętrzne Przetwarzanie wewnątrzgrupowe Inne organy F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia danych (art. 14 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO) Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych osobowych. Page 180 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO). Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18). G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 14 ust. 2 lit. a RODO) Kryteriami stosowanymi do określenia okresu przechowywania danych osobowych są odpowiednie ustawowe okresy zatrzymywania. Po upływie tego okresu odpowiednie dane są rutynowo usuwane, o ile nie są już konieczne do wypełnienia umowy lub rozpoczęcia umowy. H. Powiadomienie o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeżeli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO (art. 14 ust. 2. b RODO) Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem tylko wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych. Zgodnie z ust. 47 zdanie 2 preambuły RODO uzasadniony interes może istnieć wtedy, gdy występuje odpowiedni i właściwy związek między osobą, której dane dotyczą, a administratorem, np. w sytuacjach, w których osoba, której dane dotyczą, jest klientem administratora. We wszystkich przypadkach, w których nasza firma przetwarza dane na podstawie art. 6 ust. 1 lit. f RODO, naszym uzasadnionym interesem jest prowadzenie naszej działalności na rzecz dobra wszystkich naszych pracowników i udziałowców. Page 181 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 14 ust. 2 lit. c RODO) Wszystkie osoby, których dane dotyczą, mają następujące prawa: Prawo dostępu Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15 RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa dostępu. Prawo do sprostowania Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprostowania. Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Prawo do usunięcia danych (prawo do bycia zapomnianym) Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania, o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma (art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po upływie ustawowego okresu zatrzymywania. Prawo do ograniczenia przetwarzania danych Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Prawo do sprzeciwu Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu. Page 182 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Prawo do przenoszenia danych Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych. J. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO (art. 14 ust. 2 lit. d RODO) Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1 RODO, ma prawo do wycofania swojej zgody w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać inny sposób powiadomienia nas o wycofaniu swojej zgody. K. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 14 ust. 2 lit. e, art. 77 ust. 1 RODO) Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego Page 183 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym. L. Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych (art. 14 ust. 2 lit. f RODO) Zasadniczo dane osobowe są gromadzone bezpośrednio od osoby, której dane dotyczą lub we współpracy z organem (np. pobieranie danych z rejestru urzędowego). Inne dane osób, których dane dotyczą, pochodzą z przeniesień w ramach spółek grupy. W kontekście tych ogólnych informacji wskazanie z nazwy dokładnych źródeł pochodzenia danych osobowych jest niemożliwe lub wymagałoby nieproporcjonalnego wysiłku w rozumieniu art. 14 ust. 5 lit. b RODO. Co do zasady nie zbieramy danych osobowych z publicznie dostępnych źródeł. Każda osoba, której dane dotyczą, może w każdej chwili skontaktować się z naszym inspektorem ochrony danych w celu uzyskania bardziej szczegółowych informacji na temat dokładnych źródeł danych osobowych, które jej dotyczą. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (ust. 61 zdanie 4 preambuły RODO). M. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 14 ust. 2 lit. g RODO) Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania. Page 184 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. POLISH: Informacja o przetwarzaniu danych osobowych pracowników i kandydatów (art. 13 i 14 RODO) Szanowni Państwo! Dane osobowe pracowników i kandydatów zasługują na szczególną ochronę. Naszym celem jest utrzymanie wysokiego poziomu ochrony danych osobowych. Dlatego stale rozwijamy nasze koncepcje ochrony i bezpieczeństwa danych. Oczywiście przestrzegamy ustawowych przepisów w zakresie ochrony danych. Zgodnie z art. 13 i art. 14 RODO przetwarzając dane osobowe, administratorzy muszą spełnić określone wymogi udzielania informacji. Ten dokument spełnia ten obowiązek. Terminologia regulacji prawnych jest skomplikowana. Niestety przygotowanie tego dokumentu nie obyło się bez użycia konkretnych terminów prawnych. Chcielibyśmy zatem podkreślić, że zawsze mogą się Państwo z nami skontaktować, aby zapytać o ten dokument, terminy lub sformułowania w nim użyte. I. Zgodność z wymogami informacyjnymi w przypadku zbierania danych osobowych od osoby, której dane dotyczą (art. 13 RODO) A. Tożsamość i dane kontaktowe administratora (art. 13 ust. 1 lit. a) RODO) Patrz wyżej B. Dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b) RODO) Patrz wyżej C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania (art. 13 ust. 1 lit. c RODO) W przypadku danych kandydatów są one przetwarzane w celu weryfikacji zgłoszenia w procesie rekrutacji. W tym celu przetwarzamy wszystkie dane podane przez kandydata. Na podstawie danych przekazanych w trakcie procesu rekrutacji sprawdzimy, czy dana osoba została zaproszona na rozmowę kwalifikacyjną (jest to część procesu selekcji). W przypadku osób, które spełniają ogólne kryteria, w szczególności w kontekście rozmowy kwalifikacyjnej, przetwarzamy określone inne dane osobowe Page 185 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. podane przez kandydata niezbędne do podjęcia przez nas decyzji o wyborze. W przypadku zatrudnienia kandydata jego dane zmienią się automatycznie na dane pracownika. W ramach procesu rekrutacji będziemy przetwarzać inne dane osobowe pracownika, których od niego zażądamy, a które są niezbędne do zawarcia lub realizacji umowy (np. osobiste numery identyfikacyjne lub numery identyfikacji podatkowej). W przypadku danych pracowników są one przetwarzane w celu realizacji umowy zawartej z pracownikiem lub spełnienia innych wymogów prawnych w zakresie stosunku pracy (np. przepisów podatkowych); dane osobowe pracownika są również wykorzystane w celu realizacji jego umowy o pracę (np. publikacja imienia i nazwiska oraz danych kontaktowych pracownika w spółce lub przekazanie ich klientom). Dane pracownika przechowywane są po rozwiązaniu jego stosunku pracy przez okres wymagany prawem. Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b RODO, art. 9 ust. 2 lit. b i lit. h RODO, art. 88 ust. 1 RODO oraz ustawodawstwo krajowe, w tym art. 26 niemieckiej ustawy BDSG (federalnej ustawy o ochronie danych osobowych). E. Kategorie odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO) Władze publiczne Organy zewnętrzne Dalsze organy zewnętrzne Przetwarzanie wewnętrzne Przetwarzanie wewnątrzgrupowe Inne organy F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia danych (art. 13 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO) Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych osobowych. Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że Page 186 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO). Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18). F. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a RODO) Okres przechowywania danych osobowych kandydatów wynosi 6 miesięcy. Do danych osobowych pracowników stosuje się odpowiednie ustawowe okresy przechowywania danych. Po upływie tego okresu odpowiednie dane są standardowo usuwane, o ile nie będę jeszcze potrzebne do realizacji lub zawarcia umowy. G. Informacje o prawie do żądania od administratora dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 13 ust. 2 lit. b RODO) Wszystkie osoby, których dane dotyczą, mają następujące prawa: Prawo dostępu Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15 RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa dostępu. Prawo do sprostowania Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Ponadto zgodnie z art. 16 zdanie 2 RODO osoba, której dane dotyczą, ma prawo, biorąc pod uwagę cele Page 187 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. przetwarzania, żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprostowania. Prawo do usunięcia danych (prawo do bycia zapomnianym) Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania, o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma (art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po upływie ustawowego okresu zatrzymywania. Prawo do ograniczenia przetwarzania danych Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa ograniczenia przetwarzania.. Prawo do sprzeciwu Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu. Prawo do przenoszenia danych Art. Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych. H. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO (art. 13 ust. 2 lit. c) RODO) Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie Page 188 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1 RODO, ma prawo do wycofania swojej zgody w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać inny sposób powiadomienia nas o wycofaniu swojej zgody. I. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d, art. 77 ust. 1 RODO) Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym. J. Udostępnianie danych osobowych jako wymóg ustawowy lub umowny; warunek zawarcia umowy; obowiązek osoby, której dane dotyczą, do podania danych osobowych; ewentualne konsekwencje niepodania danych (art. art. 13 ust. 2 lit. e RODO) Wyjaśniamy, że udostępnianie danych osobowych jest częściowo wymagane przez prawo (np. przepisy podatkowe) lub może wynikać z postanowień umownych (np. informacje o partnerze umownym). Page 189 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Czasami może być konieczne do zawarcia umowy podanie przez osobę, której dane dotyczą, danych osobowych, które następnie muszą zostać przez nas przetwarzane. Osoba, której dane dotyczą jest na przykład zobowiązana do przekazania nam danych osobowych podczas zawierania z nami umowy. Konsekwencją niedostarczenia danych osobowych byłby brak możliwości zawarcia umowy z osobą, której dane dotyczą. Zanim dane osobowe zostaną przekazane przez osobę, której dane dotyczą, osoba ta musi skontaktować się z naszym inspektorem ochrony danych. Nasz inspektor ochrony danych wyjaśnia osobie, której dane dotyczą, czy podanie danych osobowych jest wymagane przez prawo lub umowę lub jest konieczne do zawarcia umowy, czy istnieje obowiązek dostarczenia danych osobowych i konsekwencje niedostarczenia danych osobowych. K. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 13 ust. 2 lit. f RODO) Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania. II. Zgodność z wymogami informacyjnymi w przypadku niezbierania danych osobowych od osoby, której dane dotyczą (art. 14 RODO) A. Tożsamość i dane kontaktowe administratora (art. 14 ust. 1 lit. a) RODO) Patrz wyżej B. Dane kontaktowe inspektora ochrony danych (art. 14 ust. 1 lit. b) RODO) Patrz wyżej C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania (art. 14 ust. 1 lit. c RODO) Dane kandydatów pozyskane z innych źródeł, niż od osoby, których dane dotyczą, są przetwarzane w celu weryfikacji zgłoszenia w procesie rekrutacji. W tym celu możemy przetwarzać dane zgromadzone z Page 190 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. innych źródeł niż od kandydata. Na podstawie danych przetwarzanych w trakcie procesu rekrutacji sprawdzimy, czy dana osoba została zaproszona na rozmowę kwalifikacyjną (jest to część procesu selekcji). W przypadku zatrudnienia kandydata jego dane zostaną zamienione automatycznie na dane pracownika. W przypadku danych pracowników są one przetwarzane w celu realizacji umowy zawartej z pracownikiem lub spełnienia innych wymogów prawnych w zakresie stosunku pracy. Dane pracownika przechowywane są po rozwiązaniu jego stosunku pracy przez okres wymagany prawem. Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b i lit. f RODO, art. 9 ust. 2 lit. b i lit. h RODO, art. 88 ust. 1 RODO oraz ustawodawstwo krajowe, w tym art. 26 niemieckiej ustawy BDSG (federalnej ustawy o ochronie danych osobowych). D. Kategorie danych osobowych (art. 14 ust. 1 lit. d RODO) Dane kandydatów Dane pracowników E. Kategorie odbiorców danych (art. 14 ust. 1 lit. e RODO) Władze publiczne Organy zewnętrzne Dalsze organy zewnętrzne Przetwarzanie wewnętrzne Przetwarzanie wewnątrzgrupowe Inne organy Page 191 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia danych (art. 14 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO) Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych osobowych. Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO). Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18). G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 14 ust. 2 lit. a RODO) Okres przechowywania danych osobowych kandydatów wynosi 6 miesięcy. Do danych osobowych pracowników stosuje się odpowiednie ustawowe okresy przechowywania danych. Po upływie tego okresu odpowiednie dane są standardowo usuwane, o ile nie będę jeszcze potrzebne do realizacji lub zawarcia umowy. H. Powiadomienie o uzasadnionych interesach administratora lub strony trzeciej, jeżeli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO (art. 14 ust. 2. b RODO) Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem tylko wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych. Zgodnie z ust. 47 zdanie 2 preambuły RODO uzasadniony interes może istnieć wtedy, gdy występuje odpowiedni i właściwy związek między osobą, której dane dotyczą, a administratorem, np. w sytuacjach, Page 192 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. w których osoba, której dane dotyczą, jest klientem administratora. We wszystkich przypadkach, w których nasza firma przetwarza dane na podstawie art. 6 ust. 1 lit (f) RODO, naszym uzasadnionym interesem jest zatrudnienie odpowiedniego personelu i specjalistów. I. Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (art. 14 ust. 2 lit. c RODO) Wszystkie osoby, których dane dotyczą, mają następujące prawa: Prawo dostępu Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15 RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa dostępu. Prawo do sprostowania Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprostowania. Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Prawo do usunięcia danych (prawo do bycia zapomnianym) Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania, o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma (art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po upływie ustawowego okresu zatrzymywania. Prawo do ograniczenia przetwarzania danych Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO. Page 193 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Prawo do sprzeciwu Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu. Prawo do przenoszenia danych Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych. J. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO (art. 14 ust. 2 lit. d RODO) Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1 RODO, ma prawo do wycofania swojej zgody w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać inny sposób powiadomienia nas o wycofaniu swojej zgody. Page 194 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 14 ust. 2 lit. e, art. 77 ust. 1 RODO) Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym. L. Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych (art. 14 ust. 2 lit. f RODO) Zasadniczo dane osobowe są gromadzone bezpośrednio od osoby, której dane dotyczą lub we współpracy z organem (np. pobieranie danych z rejestru urzędowego). Inne dane osób, których dane dotyczą, pochodzą z przeniesień w ramach spółek grupy. W kontekście tych ogólnych informacji wskazanie z nazwy dokładnych źródeł pochodzenia danych osobowych jest niemożliwe lub wymagałoby nieproporcjonalnego wysiłku w rozumieniu art. 14 ust. 5 lit. b RODO. Co do zasady nie zbieramy danych osobowych z publicznie dostępnych źródeł. Każda osoba, której dane dotyczą, może w każdej chwili skontaktować się z naszym inspektorem ochrony danych w celu uzyskania bardziej szczegółowych informacji na temat dokładnych źródeł danych osobowych, które jej dotyczą. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (ust. 61 zdanie 4 preambuły RODO). Page 195 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 14 ust. 2 lit. g RODO) Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania. Page 196 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. HUNGARIAN: Információk személyes adatok kezeléséről (GDPR 13., 14. cikk) Kedves Hölgyem/Uram! Minden olyan személy személyes adata, aki szerződéses, szerződésen kívüli vagy egyéb kapcsolatban áll vállalatunkkal, különleges védelmet érdemel. A célunk az, hogy magas szintű adatvédelmet biztosítsunk. Ezért folyamatosan fejlesztjük adatvédelmi és adatbiztonsági elveinket. Természetesen megfelelünk az adatvédelemre vonatkozó jogszabályi előírásoknak. A GDPR 13., 14. cikke értelmében a vállatok specifikus tájékoztatási követelményeket teljesítenek személyes adatok gyűjtésekor. Ez a dokumentum teljesíti ezt a kötelezettséget. A jogszabályok terminológiája bonyolult. Sajnos a jogi szakkifejezések használata elengedhetetlen jelen dokumentum elkészítésekor. Ezért szeretnénk felhívni a figyelmet arra, hogy mindig bátran lépjen kapcsolatba az adatvédelmi tisztviselővel a jelen dokumentummal, a használt kifejezésekkel vagy megfogalmazásokkal kapcsolatos minden kérdésben. I. Az adatszolgáltatási követelményeknek való megfelelés, ha a személyes adatokat az érintettől gyűjtik (a GDPR 13. cikke) A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés a) pont) Lásd feljebb B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés b) pont) Lásd feljebb C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az adatkezelés jogalapja (a GDPR 13. cikk (1) bekezdésének c) pontja) A személyes adatok kezelésének célja minden olyan művelet, amely az adatkezelőre, az ügyfelekre, a leendő ügyfelekre, az üzleti partnerekre, a (legtágabb értelemben vett) csoportok között létrejövő más Page 197 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. szerződéses vagy szerződésen kívüli kapcsolatokra, vagy az adatkezelő jogi kötelezettségeire vonatkozik. A GDPR 6. cikkének (1) bekezdése szolgál jogalapként az adatkezelési műveletekhez, amelyekhez az adott adatkezelési cél vonatkozásában hozzájárulást kaptunk. Ha a személyes adatok feldolgozása szükséges a szerződés teljesítéséhez, amelynek az érintett is részese, például az adatkezelés az áruk kiszállításához vagy más szolgáltatásnyújtáshoz szükséges, akkor az adatkezelés alapja a GDPR 6. cikkének (1) bekezdése. Ugyanez vonatkozik a szerződést megelőző intézkedések biztosításához szükséges adatkezelési műveletekre is, például a termékeinket vagy szolgáltatásainkat érintő érdeklődés esetén. Vállalatunkra vonatkozó jogi kötelezettség miatt a személyes adatok kezelése kötelező, például adózási kötelezettségeink teljesítéséhez, az adatkezelés jogalapja ebben az esetben a GDPR 6. cikk (1) bekezdés c) pontja. Ritka esetekben a személyes adatok feldolgozása az érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében szükséges. Ez állna fenn például akkor, ha egy látogató megsérülne a vállalatunknál, és nevét, életkorát, egészségbiztosítási adatait vagy egyéb fontos információkat továbbítanánk az orvosnak, kórháznak vagy más harmadik félnek. Majd az adatkezelés a GDPR 6. cikk (1) bekezdés d) pontja alapján történne. Végül az adatkezelési műveletek a GDPR 6. cikk (1) bekezdés f) pontjában foglaltakon alapulnának. Ez a jogalap azon adatkezelési műveletekre vonatkozik, amelyekre a fent említett jogalapok egyike sem, amennyiben az adatkezelés vállalatunk vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek személyes adatait meg kell védeni. Az ilyen adatkezelési műveletek különösen megengedhetők, mivel azokat az európai jogalkotó kifejezetten említi. Úgy ítéli meg, hogy jogos érdeket feltételezhet, ha az érintett az adatkezelő ügyfele (GDPR bevezetés 47. pont 2. mondat). D. Ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul az adatkezelő vagy harmadik fél jogos érdekei alapján (GDPR 13. cikk (1) bekezdés d) pont) Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés f) pontján alapul, a mi jogos érdekünk az üzleti tevékenység folytatása alkalmazottaink és részvényeseink jóléte érdekében. E. Személyes adatok címzettjeinek kategóriái (GDPR 13. cikk (1) bekezdés e) pont) Közhatalmi szervek Page 198 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Külső szervek További külső szervek Belső adatkezelés Csoportok közötti adatkezelés Egyéb szervek F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre bocsájtották őket (GDPR 13. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c) pont) Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes adatoknak. A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont). Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal 2010/L 39 5-18. oldal). G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az időtartam meghatározására szolgáló kritériumok (GDPR 13. cikk (2) bek. a) pont) A személyes adatok tárolási időtartamának megadására vonatkozó kritériumokat a törvény által előírt megőrzési idő határozza meg. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez. Page 199 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését, azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen, illetve az adathordozhatósághoz való jog (GDPR 13. cikk (2) bek. b) pont) Minden érintett az alábbi jogokkal rendelkezik: Hozzáféréshez való jog Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a hozzáférés jogával. Helyesbítés joga A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR 16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával. Törléshez való jog („elfeledtetéshez való jog”) Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17. cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel. Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont. Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak lejáratát követően tudjuk jóváhagyni. Adatkezelés korlátozásához való jog A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adatkezelés korlátozásának jogával. Tiltakozáshoz való jog Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával. Page 200 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Adathordozhatóság joga A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált, általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adathordozhatóság jogával. I. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján (GDPR 13. cikk (2) bek. c) pontja) alapul Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat értelmében bármikor visszavonni a hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek. De az érintett választhat más módot is a hozzájárulása visszavonásához. J. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 13. cikk (2) bekezdés d) pont, 77. cikk (1) bekezdés) Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok Page 201 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja, hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti hatóságnál tegye meg. K. Személyes adatok biztosítása törvényi vagy szerződéses követelményként; A szerződés megkötéséhez szükséges követelmény; Az érintett kötelezettsége a személyes adatok biztosítása érdekében; az ilyen adatok nem teljesítésének lehetséges következményei (GDPR 13. cikk (2) bekezdés e) pontja). Tisztázzuk, hogy a személyes adatok megadása részben törvényi okokból (pl.: adószabályok), vagy részben szerződéses rendelkezések miatt szükséges (pl.: a szerződő fél adatai). Néha szükséges lehet szerződés kötésére, hogy az érintett személyes adatokat adjon át nekünk, amelyeket később mi kezelünk. Az érintett például személyes adatokat ad át vállalatunknak, amikor aláírunk vele egy szerződést. Ha az érintett nem adna át személyes adatokat, akkor a szerződést nem tudnánk megkötni. Mielőtt az érintett személyes adatokat adna meg, az érintettnek fel kell vennie a kapcsolatot az adatvédelmi tisztviselővel. Adatvédelmi tisztviselőnk tisztázza az érintettel, hogy a személyes adatok megadására törvényi vagy szerződéses okokból van szükség, vagy a szerződés megkötéséhez szükséges, illetve, hogy kötelezettsége van a személyes adatok megadására, és milyen következményekkel jár a személyes adatok megadásának megtagadása. L. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen adatkezelés megvalósításának jelentősége és tervezett következményei az érintett számára (GDPR 13. cikk (2) bekezdés f) pont). Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást. Page 202 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. II. Az adatszolgáltatási követelményeknek való megfelelés, ha a személyes adatokat nem az érintettől gyűjtik (a GDPR 14. cikke) A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés a) pont) Lásd feljebb B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés b) pont) Lásd feljebb C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az adatkezelés jogalapja (a GDPR 14. cikk (1) bekezdésének c) pontja) A személyes adatok kezelésének célja minden olyan művelet, amely az adatkezelőre, az ügyfelekre, a leendő ügyfelekre, az üzleti partnerekre, a (legtágabb értelemben vett) csoportok között létrejövő más szerződéses vagy szerződésen kívüli kapcsolatokra, vagy az adatkezelő jogi kötelezettségeire vonatkozik. Ha a személyes adatok feldolgozása szükséges a szerződés teljesítéséhez, amelynek az érintett is részese, például az adatkezelés az áruk kiszállításához vagy más szolgáltatásnyújtáshoz szükséges, akkor az adatkezelés alapja a GDPR 6. cikkének (1) bekezdése. Ugyanez vonatkozik a szerződést megelőző intézkedések biztosításához szükséges adatkezelési műveletekre is, például a termékeinket vagy szolgáltatásainkat érintő érdeklődés esetén. Vállalatunkra vonatkozó jogi kötelezettség miatt a személyes adatok kezelése kötelező, például adózási kötelezettségeink teljesítéséhez, az adatkezelés jogalapja ebben az esetben a GDPR 6. cikk (1) bekezdés c) pontja. Ritka esetekben a személyes adatok feldolgozása az érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében szükséges. Ez állna fenn például akkor, ha egy látogató megsérülne a vállalatunknál, és nevét, életkorát, egészségbiztosítási adatait vagy egyéb fontos információkat továbbítanánk az orvosnak, kórháznak vagy más harmadik félnek. Majd az adatkezelés a GDPR 6. cikk (1) bekezdés d) pontja alapján történne. Végül az adatkezelési műveletek a GDPR 6. cikk (1) bekezdés f) pontjában foglaltakon alapulnának. Ez a jogalap azon adatkezelési műveletekre vonatkozik, amelyekre a fent említett jogalapok egyike sem, amennyiben az adatkezelés vállalatunk vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek Page 203 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. személyes adatait meg kell védeni. Az ilyen adatkezelési műveletek különösen megengedhetők, mivel azokat az európai jogalkotó kifejezetten említi. Úgy ítéli meg, hogy jogos érdeket feltételezhet, ha az érintett az adatkezelő ügyfele (GDPR bevezetés 47. pont 2. mondat). D. Érintett személyes adatok kategóriái (GDPR 14. cikk (1) bekezdés d) pont) Ügyfél adatai Potenciális ügyfelek adatai Alkalmazottak adatai Beszállítók adatai E. Személyes adatok címzettjeinek kategóriái (GDPR 14. cikk (1) bekezdés e) pont) Közhatalmi szervek Külső szervek További külső szervek Belső adatkezelés Csoportok közötti adatkezelés Egyéb szervek F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre bocsájtották őket (GDPR 14. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c) pont) Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes adatoknak. Minden csoportvállalat címe megtalálható a weboldalunkon www.osigroup.com. Page 204 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont). Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal 2010/L 39 5-18. oldal). G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az időtartam meghatározására szolgáló kritériumok (GDPR 14. cikk (2) bek. a) pont) A személyes adatok tárolási időtartamának megadására vonatkozó kritériumokat a törvény által előírt megőrzési idő határozza meg. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez. H. Értesítés az adatkezelő vagy harmadik jogos érdekeiről, amennyiben az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontja alapján történik (GDPR 14. cikk (2) bekezdés b) pontja). A GDPR 6. cikk (1) bekezdés f) pontja szerinti adatkezelés csak akkor lehet törvényes, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek személyes adatait meg kell védeni. A GDPR Bevezetés 47. pontjának 2. mondata szerint a jogos érdek fennállhat, ha az érintett és az adatkezelő között releváns és megfelelő kapcsolat van, például ha az érintett az adatkezelő ügyfele. Minden esetben, amikor vállaltunk a személyes adatokat a GDPR 6. cikk (1) bekezdés f) pontja szerint kezeli, a mi jogos érdekünk az üzleti tevékenység folytatása alkalmazottaink és részvényeseink jóléte érdekében. Page 205 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését, azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen, illetve az adathordozhatósághoz való jogát gyakorolni (GDPR 14. cikk (2) bek. c) pont) Minden érintett az alábbi jogokkal rendelkezik: Hozzáféréshez való jog Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a hozzáférés jogával. Helyesbítés joga A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR 16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával. Törléshez való jog („elfeledtetéshez való jog”) Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17. cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel. Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont. Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak lejáratát követően tudjuk jóváhagyni. Adatkezelés korlátozásához való jog A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adatkezelés korlátozásának jogával. Tiltakozáshoz való jog Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával. Adathordozhatóság joga A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált, Page 206 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adathordozhatóság jogával. J. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul (GDPR 14. cikk (2) bekezdés d) pontja) Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat értelmében bármikor visszavonni a hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek. De az érintett választhat más módot is a hozzájárulása visszavonásához. K. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 14. cikk (2) bekezdés e) pont, 77. cikk (1) bekezdés) Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja, hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az Page 207 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti hatóságnál tegye meg. L. Forrás ahonnan a személyes adatok származnak, és adott esetben a nyilvános elérhető források (ha az adatok onnan származnak) (GDPR 14. cikk (2) bekezdés f) pont) Elviekben a személyes adatokat közvetlenül az érintettől vagy egy hatósággal együttműködésben gyűjtik (pl.: adatok kinyerése egy hivatalos nyilvántartásból) Az érintettek egyéb adatai a csoportvállalatoktól adattovábbítással érkeznek. Ezen általános információkkal összefüggésben a pontos források megnevezése, amelyekből a személyes adatok származnak, lehetetlen vagy aránytalan erőfeszítéssel járna a GDPR 14. cikk (5) bekezdés b) pontja értelmében. Elméletileg nem gyűjtünk személyes adatokat nyilvánosan hozzáférhető forrásokból. Az érintettek bármikor felvehetik a kapcsolatot az adatvédelmi tisztviselőnkkel, hogy további információt kapjanak az őket érintő személyes adatok pontos forrásáról. Ha a személyes adatok eredetét nem tudjuk megmondani az érintettnek, mivel több forrásból származnak, akkor általános tájékoztatást kell adnunk (GDPR Bevezetés 61. pont 4. mondat). M. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen adatkezelés megvalósításának jelentősége és tervezett következményei az érintett számára (GDPR 14. cikk (2) bekezdés g) pont). Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást. Page 208 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. HUNGARIAN: A munkavállalók és pályázók személyes adatainak feldolgozásáról szóló információk (GDPR, 13. és 14. cikk) Tisztelt Hölgyem/Uram! A munkavállalók és pályázók személyes adatai fokozott védelmet érdemelnek. A célunk az, hogy magas szintű adatvédelmet biztosítsunk. Ezért folyamatosan fejlesztjük az adatvédelmi és adatbiztonsági gyakorlatainkat. Természetesen megfelelünk az adatvédelemre vonatkozó jogszabályi előírásoknak. A GDPR 13. és 14. cikke szerint az adatkezelőknek a személyes adatok feldolgozása során speciális tájékoztatási követelményeknek kell megfelelniük. Ez a dokumentum teljesíti az ilyen jellegű kötelezettségeket. A jogi szabályozás terminológiája meglehetősen bonyolult. Sajnos a jogi szakkifejezések használata elengedhetetlen a jelen dokumentum elkészítésekor. Ezért szeretnénk felhívni a figyelmét arra, hogy mindig szívesen vesszük, ha felkeres bennünket bármilyen, a jelen dokumentummal, a fogalmakkal vagy a megfogalmazással kapcsolatos kérdéssel. I. Az adatszolgáltatási követelményeknek való megfelelés, ha a személyes adatokat az érintettől gyűjtik (a GDPR 13. cikke) A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés a) pont) Lásd feljebb B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés b) pont) Lásd feljebb Page 209 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az adatkezelés jogalapja (a GDPR 13. cikk (1) bekezdésének c) pontja) A pályázó adataira vonatkozóan az adatfeldolgozás célja a jelentkezés vizsgálatának lefolytatása a munkaerő-felvételi folyamat során. Ezen célból az összes, Ön által biztosított adatot feldolgozzuk. A munkaerő-felvételi folyamat során benyújtott adatok alapján eldöntjük, hogy behívjuk-e állásinterjúra (ez része a kiválasztási folyamatnak). Az általánosságban véve alkalmas pályázók esetében, főként az állásinterjú kapcsán feldolgozunk bizonyos egyéb, Ön által biztosított személyes adatokat, mely létfontosságú a választási döntésünk meghozatalában. Ha felvesszük Önt, a pályázói adatok automatikusan munkavállalói adatokká válnak. A munkaerő-felvételi folyamat részeként feldolgozunk egyéb, Önhöz kapcsolódó, általunk bekért személyes adatokat is, amelyek a szerződés megkötéséhez vagy teljesítéséhez szükségesek (például személyazonosító okmány száma vagy adószám). A munkavállaló adataira vonatkozóan az adatfeldolgozás célja a munkaszerződés teljesítése, illetve az egyéb, munkaviszony szempontjából alkalmazandó, jogi rendelkezéseknek (pl. adótörvény) való megfelelés, valamint az Ön személyes adatainak felhasználása az Önnel kötött munkaszerződés teljesítése céljából (pl. az Ön nevének és elérhetőségének közzététele a vállalaton belül vagy az ügyfelek számára). A munkavállalói adatok tárolása a munkaviszony megszűnését követően a jogilag előírt adatmegőrzési időszak teljesítésével történik. Az adatfeldolgozás jogalapja a GDPR 6. cikk (1) bekezdés b) pontja, a GDPR 9. cikk (2) bekezdés b) és h) pontja, a GDPR 88. cikk (1) bekezdése, valamint az olyan nemzeti jogszabályok, mint a német szövetségi adatvédelmi törvény (BDSG) 26. szakasza. D. Személyes adatok címzettjeinek kategóriái (GDPR 13. cikk (1) bekezdés e) pont) Közhatalmi szervek Külső szervek További külső szervek Belső adatkezelés Csoportok közötti adatkezelés Egyéb szervek Page 210 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre bocsájtották őket (GDPR 13. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c) pont) Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes adatoknak. A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont). Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal 2010/L 39 5-18. oldal). F. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az időtartam meghatározására szolgáló kritériumok (GDPR 13. cikk (2) bek. a) pont) A pályázók személyes adatainak tárolási időtartama 6 hónap. A munkavállalók adataira a törvény által előírt adatmegőrzési időszak érvényes. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez. G. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését, azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen, illetve az adathordozhatósághoz való jog (GDPR 13. cikk (2) bek. b) pont) Minden érintett az alábbi jogokkal rendelkezik: Page 211 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Hozzáféréshez való jog Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a hozzáférés jogával. Helyesbítés joga A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR 16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával. Törléshez való jog („elfeledtetéshez való jog”) Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17. cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel. Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont. Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak lejáratát követően tudjuk jóváhagyni. Adatkezelés korlátozásához való jog A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adatkezelés korlátozásának jogával. Tiltakozáshoz való jog Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával. Adathordozhatóság joga A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált, általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adathordozhatóság jogával. Page 212 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján (GDPR 13. cikk (2) bek. c) pontja) alapul Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat értelmében bármikor visszavonni a hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek. De az érintett választhat más módot is a hozzájárulása visszavonásához. I. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 13. cikk (2) bekezdés d) pont, 77. cikk (1) bekezdés) Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja, hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti hatóságnál tegye meg. Page 213 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Személyes adatok biztosítása törvényi vagy szerződéses követelményként; A szerződés megkötéséhez szükséges követelmény; Az érintett kötelezettsége a személyes adatok biztosítása érdekében; az ilyen adatok nem teljesítésének lehetséges következményei (GDPR 13. cikk (2) bekezdés e) pontja). Tisztázzuk, hogy a személyes adatok megadása részben törvényi okokból (pl.: adószabályok), vagy részben szerződéses rendelkezések miatt szükséges (pl.: a szerződő fél adatai). Néha szükséges lehet szerződés kötésére, hogy az érintett személyes adatokat adjon át nekünk, amelyeket később mi kezelünk. Az érintett például személyes adatokat ad át vállalatunknak, amikor aláírunk vele egy szerződést. Ha az érintett nem adna át személyes adatokat, akkor a szerződést nem tudnánk megkötni. Mielőtt az érintett személyes adatokat adna meg, az érintettnek fel kell vennie a kapcsolatot az adatvédelmi tisztviselővel. Adatvédelmi tisztviselőnk tisztázza az érintettel, hogy a személyes adatok megadására törvényi vagy szerződéses okokból van szükség, vagy a szerződés megkötéséhez szükséges, illetve, hogy kötelezettsége van a személyes adatok megadására, és milyen következményekkel jár a személyes adatok megadásának megtagadása. K. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen adatkezelés megvalósításának jelentősége és tervezett következményei az érintett számára (GDPR 13. cikk (2) bekezdés f) pont). Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást. II. Az adatszolgáltatási követelményeknek való megfelelés, ha a személyes adatokat nem az érintettől gyűjtik (a GDPR 14. cikke) A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés a) pont) Lásd feljebb Page 214 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés b) pont) Lásd feljebb C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az adatkezelés jogalapja (a GDPR 14. cikk (1) bekezdésének c) pontja) A nem az érintett felektől begyűjtött pályázói adatokra vonatkozóan az adatfeldolgozás célja a jelentkezés vizsgálatának lefolytatása a munkaerő-felvételi folyamat során. Ebből a célból feldolgozhatunk nem Öntől begyűjtött adatokat is. A munkaerő-felvételi folyamat során feldolgozott adatok alapján eldöntjük, hogy behívjuk-e állásinterjúra (ez része a kiválasztási folyamatnak). Ha felvesszük Önt, a pályázói adatok automatikusan munkavállalói adatokká változnak. A munkavállalók adataira vonatkozóan az adatfeldolgozás célja a munkaszerződés teljesítése, illetve az egyéb, munkaviszony szempontjából alkalmazandó, jogi rendelkezéseknek való megfelelés A munkavállalói adatok tárolása a munkaviszony megszűnését követően a jogilag előírt adatmegőrzési időszak teljesítésével történik. Az adatfeldolgozás jogalapja a GDPR 6. cikk (1) bekezdés b) és f) pontja, a GDPR 9. cikk (2) bekezdés b) és h) pontja, a GDPR 88. cikk (1) bekezdése, valamint az olyan nemzeti jogszabályok, mint a német szövetségi adatvédelmi törvény (BDSG) 26. szakasza. D. Érintett személyes adatok kategóriái (GDPR 14. cikk (1) bekezdés d) pont) Pályázói adatok Munkavállalói adatok E. Személyes adatok címzettjeinek kategóriái (GDPR 14. cikk (1) bekezdés e) pont) Közhatalmi szervek Külső szervek További külső szervek Belső adatkezelés Csoportok közötti adatkezelés Page 215 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Egyéb szervek F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre bocsájtották őket (GDPR 14. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c) pont) Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes adatoknak. Minden csoportvállalat címe megtalálható a weboldalunkon www.osigroup.com. A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont). Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal 2010/L 39 5-18. oldal). G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az időtartam meghatározására szolgáló kritériumok (GDPR 14. cikk (2) bek. a) pont) A pályázók személyes adatainak tárolási időtartama 6 hónap. A munkavállalók adataira a törvény által előírt adatmegőrzési időszak érvényes. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez. Page 216 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Értesítés az adatkezelő vagy harmadik jogos érdekeiről, amennyiben az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontja alapján történik (GDPR 14. cikk (2) bekezdés b) pontja). A GDPR 6. cikk (1) bekezdés f) pontja szerinti adatkezelés csak akkor lehet törvényes, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek személyes adatait meg kell védeni. A GDPR Bevezetés 47. pontjának 2. mondata szerint a jogos érdek fennállhat, ha az érintett és az adatkezelő között releváns és megfelelő kapcsolat van, például ha az érintett az adatkezelő ügyfele. Minden esetben, melynek során vállalatunk a GDPR 6. cikk (1) bekezdés f) pontja alapján dolgozza fel a pályázói adatokat, a jogos érdekünk a megfelelő személyzet és szakemberek alkalmazása. I. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését, azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen, illetve az adathordozhatósághoz való jogát gyakorolni (GDPR 14. cikk (2) bek. c) pont) Minden érintett az alábbi jogokkal rendelkezik: Hozzáféréshez való jog Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a hozzáférés jogával. Helyesbítés joga A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR 16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával. Törléshez való jog („elfeledtetéshez való jog”) Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17. cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel. Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont. Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak lejáratát követően tudjuk jóváhagyni. Page 217 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Adatkezelés korlátozásához való jog A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adatkezelés korlátozásának jogával. Tiltakozáshoz való jog Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával. Adathordozhatóság joga A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált, általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az adathordozhatóság jogával. J. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul (GDPR 14. cikk (2) bekezdés d) pontja) Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk (2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat értelmében bármikor visszavonni a hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek. De az érintett választhat más módot is a hozzájárulása visszavonásához. Page 218 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 14. cikk (2) bekezdés e) pont, 77. cikk (1) bekezdés) Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja, hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti hatóságnál tegye meg. L. Forrás ahonnan a személyes adatok származnak, és adott esetben a nyilvános elérhető források (ha az adatok onnan származnak) (GDPR 14. cikk (2) bekezdés f) pont) Elviekben a személyes adatokat közvetlenül az érintettől vagy egy hatósággal együttműködésben gyűjtik (pl.: adatok kinyerése egy hivatalos nyilvántartásból) Az érintettek egyéb adatai a csoportvállalatoktól adattovábbítással érkeznek. Ezen általános információkkal összefüggésben a pontos források megnevezése, amelyekből a személyes adatok származnak, lehetetlen vagy aránytalan erőfeszítéssel járna a GDPR 14. cikk (5) bekezdés b) pontja értelmében. Elméletileg nem gyűjtünk személyes adatokat nyilvánosan hozzáférhető forrásokból. Az érintettek bármikor felvehetik a kapcsolatot az adatvédelmi tisztviselőnkkel, hogy további információt kapjanak az őket érintő személyes adatok pontos forrásáról. Ha a személyes adatok eredetét nem tudjuk megmondani az érintettnek, mivel több forrásból származnak, akkor általános tájékoztatást kell adnunk (GDPR Bevezetés 61. pont 4. mondat). Page 219 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen adatkezelés megvalósításának jelentősége és tervezett következményei az érintett számára (GDPR 14. cikk (2) bekezdés g) pont). Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást. Page 220 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ROMANIAN: Informații despre prelucrarea datelor cu caracter personal (Articolul 13, 14 GDPR) Stimate domnule sau doamnă, Datele personale ale fiecărei persoane care are o relație contractuală, precontractuală sau de altă natură cu compania noastră merită o protecție specială. Scopul nostru este să păstrăm nivelul de protecție a datelor la un nivel înalt. Prin urmare, dezvoltăm în mod constant conceptele noastre privind protecția datelor și securitatea datelor. Desigur, respectăm prevederile legale privind protecția datelor. În conformitate cu articolul 13, 14 GDPR, operatorii îndeplinesc cerințele specifice privind informațiile atunci când colectează date cu caracter personal. Acest document îndeplinește aceste obligații. Terminologia privind reglementările legale este complicată. Din păcate, utilizarea termenilor legali nu a putut fi eliminată în pregătirea acestui document. Prin urmare, am dori să subliniem că sunteți întotdeauna bineveniți să ne contactați pentru toate întrebările referitoare la acest document, termenii sau formulările folosite. I. Respectarea cerințelor de informare în cazul în care datele cu caracter personal sunt colectate de la persoana vizată (articolul 13 GDPR) A. Identitatea și datele de contact ale operatorului (articolul 13 alineatul (1) lit. a GDPR) Vezi deasupra B. Datele de contact ale responsabilului cu protecția datelor (articolul 13 alineatul (1) lit. b. GDPR) Vezi deasupra Page 221 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării (articolul 13 alineatul (1) lit. c din GDPR) Scopul prelucrării datelor cu caracter personal este gestionarea tuturor operațiunilor care privesc operatorul, clienții, potențialii clienți, partenerii de afaceri sau alte relații contractuale sau precontractuale dintre grupurile numite (în sensul cel mai larg) sau obligațiile legale ale operatorului . Art. 6 (1) lit. a GDPR servește ca bază legală pentru operațiunile de procesare pentru care obținem consimțământul pentru un anumit scop al prelucrării. Dacă prelucrarea datelor cu caracter personal este necesară pentru executarea unui contract la care este parte persoana vizată, cum este cazul, de exemplu, atunci când operațiunile de prelucrare sunt necesare pentru furnizarea de bunuri sau pentru furnizarea oricărui alt serviciu, prelucrarea este în temeiul articolului 6 alineatul (1) lit. b GDPR. Același lucru este valabil și pentru operațiunile de prelucrare care sunt necesare pentru efectuarea măsurilor precontractuale, de exemplu în cazul anchetelor referitoare la produsele sau serviciile noastre. Compania noastră este supusă obligației legale prin care este necesară prelucrarea datelor cu caracter personal, cum ar fi îndeplinirea obligațiilor fiscale, prelucrarea se face pe baza art. 6 (1) lit. c GDPR. În cazuri rare, prelucrarea datelor cu caracter personal poate fi necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice. Acesta ar fi cazul, de exemplu, în cazul în care un vizitator a fost rănit în compania noastră și numele, vârsta, datele de asigurare de sănătate sau alte informații vitale ar trebui să fie transmise unui medic, spital sau unei alte terțe părți. Apoi, prelucrarea se va baza pe Art. 6 (1) lit. d GDPR. În cele din urmă, operațiunile de prelucrare s-ar putea baza pe articolul 6 alineatul (1) lit. f GDPR. Acest temei juridic este utilizat pentru operațiunile de prelucrare care nu sunt acoperite de niciunul dintre motivele juridice menționate mai sus, dacă prelucrarea este necesară pentru interesele legitime urmărite de compania noastră sau de o terță parte, cu excepția cazului în care aceste interese sunt în contradicție cu alte drepturi și libertăți fundamentale ale persoanei vizate care necesită protecție a datelor cu caracter personal. Astfel de operațiuni de prelucrare sunt în mod special permise deoarece au fost menționate în mod specific de legiuitorul european. El a considerat că ar putea fi asumat un interes legitim dacă persoana vizată este clientul operatorului (Considerentul 47 din propoziția 2 GDPR). D. În cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR interesele legitime urmărite de operator sau de o terță parte (Articolul 13 (1) lit. d GDPR) În cazul în care prelucrarea datelor cu caracter personal se bazează pe articolul 6 alineatul (1) lit. f GDPR interesul nostru legitim este să ne desfășurăm afacerea în favoarea bunăstării tuturor angajaților și acționarilor noștri. Page 222 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Categorii de destinatari ai datelor cu caracter personal (Articolul 13 (1) lit. e GDPR) Autoritățile publice Organismele externe Alte organisme externe Procesare internă Procesare în cadrul grupului Alte organisme F. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46 alineatul (2) lit. c GDPR) Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”) care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi. În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR. Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii Europene (JO 2010 / L 39, pag 5-18). Page 223 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade (articolul 13 alineatul (2) lit. a GDPR) Criteriile utilizate pentru a determina perioada de stocare a datelor cu caracter personal sunt perioada de păstrare legală respectivă. După expirarea perioadei respective, datele corespunzătoare sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract. H. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul 13 alineatul (2) lit. b GDPR) Toate persoanele vizate au următoarele drepturi: Dreptul de acces Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile, pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces. Dreptul la rectificare În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult, articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare. Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare. Dreptul de ștergere (dreptul de a fi uitat) În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR. Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de păstrare. Dreptul la restricționarea prelucrării Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării. Page 224 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Dreptul de a obiecta Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și exercita dreptul de a prezenta obiecții. Dreptul la portabilitatea datelor Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne poate contacta pentru a-și exercita dreptul la transferabilitatea datelor. I. Existența dreptului de retragere a consimțământului în orice moment, fără a afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa, în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a GDPR sau articolul 9 alineatul (2) lit. a GDPR (articolul 13 alineatul (2) lit. c GDPR) Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul (3) punctul 1 GDPR. Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului. J. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 13 alineatul (2) lit. d, articolul 77 alineatul (1) din GDPR) În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o Page 225 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o singură autoritate de supraveghere. K. Furnizarea de date cu caracter personal ca cerință statutară sau contractuală; Cerința necesară pentru a încheia un contract; Obligația persoanei vizate de a furniza datele cu caracter personal; consecințele posibile ale neîndeplinirii furnizării cestor date [articolul 13 alineatul (2) lit. e din GDPR] Clarificăm că furnizarea de date cu caracter personal este cerută parțial de lege (de ex. Reglementări fiscale) sau poate rezulta și din dispoziții contractuale (de exemplu, informații despre partenerul contractual). Uneori poate fi necesar să se încheie un contract conform căruia persoana vizată ne furnizează date cu caracter personal, care trebuie prelucrate ulterior de noi. Persoana vizată este, de exemplu, obligată să ne furnizeze date cu caracter personal atunci când compania noastră semnează un contract cu el sau ea. Nefurnizarea datelor cu caracter personal ar avea drept consecință faptul că persoana vizată nu a putut încheia contractul respectiv. Înainte de a furniza date cu caracter personal către persoana vizată, aceasta trebuie să ne contacteze. Vom clarifica persoanei vizate dacă furnizarea datelor cu caracter personal este prevăzută de lege sau contract sau este necesară pentru încheierea contractului, dacă există o obligație de a furniza datele cu caracter personal, precum și consecințele nefurnizării datelor cu caracter personal. Page 226 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Existența unui proces automat de luare a deciziilor, inclusiv profilarea, menționat la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informațiile semnificative cu privire la logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de procesări pentru persoana vizată (articolul 13 alineatul (2) lit. f GDPR) Ca o companie responsabilă, nu luăm decizii automate sau legate de profilare. II. Respectarea cerințelor privind informațiile în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată (articolul 14 din GDPR) A. Identitatea și datele de contact ale operatorului (articolul 14 alineatul (1) lit. a GDPR) Vezi deasupra B. Datele de contact ale responsabilului cu protecția datelor (articolul 14 alineatul (1) lit. b GDPR) Vezi deasupra C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării (articolul 14 alineatul (1) lit. c din GDPR) Scopul prelucrării datelor cu caracter personal este gestionarea tuturor operațiunilor care privesc operatorul, clienții, potențialii clienți, partenerii de afaceri sau alte relații contractuale sau precontractuale dintre grupurile numite (în sensul cel mai larg) sau obligațiile legale ale operatorului. Dacă prelucrarea datelor cu caracter personal este necesară pentru executarea unui contract la care este parte persoana vizată, cum este cazul, de exemplu, atunci când operațiunile de prelucrare sunt necesare pentru furnizarea de bunuri sau pentru furnizarea oricărui alt serviciu, prelucrarea este în temeiul articolului 6 alineatul (1) lit. b GDPR. Același lucru este valabil și pentru operațiunile de prelucrare care sunt necesare pentru efectuarea măsurilor precontractuale, de exemplu în cazul anchetelor referitoare la produsele sau serviciile noastre. Compania noastră este supusă obligației legale care se Page 227 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. referă la necesitatea prelucrării datelor cu caracter personal, cum ar fi îndeplinirea obligațiilor fiscale; prelucrarea se face pe baza art. 6 (1) lit. c GDPR. În cazuri rare, prelucrarea datelor cu caracter personal poate fi necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice. Acesta ar fi cazul, de exemplu, în cazul în care un vizitator a fost rănit în compania noastră și numele, vârsta, datele de asigurare de sănătate sau alte informații vitale ar trebui să fie transmise unui medic, spital sau unei alte terțe părți. Apoi, prelucrarea se va baza pe Art. 6 (1) lit. d GDPR. În cele din urmă, operațiunile de prelucrare s-ar putea baza pe articolul 6 alineatul (1) lit. f GDPR. Acest temei juridic este utilizat pentru operațiunile de prelucrare care nu sunt acoperite de niciunul dintre motivele juridice menționate mai sus, dacă prelucrarea este necesară pentru interesele legitime urmărite de compania noastră sau de o terță parte, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal. Astfel de operațiuni de prelucrare sunt în mod special permise deoarece au fost menționate în mod specific de legiuitorul european. El a considerat că ar putea fi asumat un interes legitim dacă persoana vizată este clientul operatorului (Considerentul 47 din propoziția 2 GDPR). D. Categoriile de date cu caracter personal vizate (articolul 14 alineatul (1) lit. d GDPR) Datele despre consumator Datele potențialilor clienți Datele furnizorilor E. Categorii de destinatari ai datelor cu caracter personal (Articolul 14 (1) lit. e GDPR) Autorități publice Organismele externe Alte organisme externe Procesare internă Page 228 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Procesare în cadrul grupului Alte organisme F. Beneficiarii dintr-o țară terță și garanțiile adecvate precum și mijloacele prin care să se obțină o copie a acestora sau în cazul în care acestea au fost puse la dispoziție [articolul 14 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46 alineatul (2) lit. c GDPR) Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți de grup”) care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O listă a tuturor companiilor din grup poate fi solicitată de la noi. În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoană împuternicită de operator poate transfera datele cu caracter personal numai unei țări terțe, în cazul în care operatorul sau persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate garanții adecvate fără a solicita o autorizare specifică din partea unei autorități de supraveghere prin intermediul unor clauze standard de protecție a datelor, articolul 46 alineatul (2) lit. c GDPR. Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii Europene (JO 2010 / L 39, pag 5-18). G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a determina acea perioadă (Articolul 14 (2) lit. a GDPR) Criteriile utilizate pentru a determina perioada de stocare a datelor cu caracter personal sunt perioada de păstrare legală respectivă. După expirarea perioadei respective, datele corespunzătoare sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract. Page 229 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Notificarea intereselor legitime urmărite de operator sau de o terță parte în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR (articolul 14 alineatul (2) lit. b GDPR) În conformitate cu articolul 6 alineatul (1) lit. f, prelucrarea este legală numai dacă aceasta este necesară în scopul îndeplinirii intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal. În conformitate cu Considerentul 47 din propunerea 2 GDPR, ar putea exista un interes legitim în cazul în care există o relație relevantă și adecvată între persoana vizată și operator, de ex. în situațiile în care persoana vizată este clientul operatorului. În toate cazurile în care societatea noastră procesează date personale în baza articolului 6 alineatul (1) lit. f GDPR, interesul nostru legitim este să ne desfășurăm afacerea în favoarea bunăstării tuturor angajaților și a acționarilor. I. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul 13 alineatul (2) lit. b GDPR) Toate persoanele vizate au următoarele drepturi: Dreptul de acces Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile, pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces. Dreptul la rectificare În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult, articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare. Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare. Dreptul de ștergere (dreptul de a fi uitat) În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR. Page 230 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de păstrare. Dreptul la restricționarea prelucrării Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării. Dreptul de a obiecta Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și exercita dreptul de a prezenta obiecții. Dreptul la portabilitatea datelor Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne poate contacta pentru a-și exercita dreptul la transferabilitatea datelor. J. Existența dreptului de retragere a consimțământului în orice moment, fără a afecta legalitatea prelucrării pe baza consimțământului înainte de retragerea acestuia, în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a sau articolul 9 alineatul (2) lit. a GDPR (articolul 14 alineatul (2) lit. d GDPR) Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe scopuri specifice sau se bazează pe articolul 9 alineatul (2) litera a GDPR care reglementează consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul (3) punctul 1. GDPR. Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod alternativ, persoana vizată poate alege orice alt mod de a ne comunica retragerea consimțământului. Page 231 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Dreptul de a depune o plângere la o autoritate de supraveghere [articolul 14 alineatul (2) lit. e, articolul 77 alineatul (1) din GDPR] În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o singură autoritate de supraveghere. L. Sursa datelor cu caracter personal provine din surse accesibile publicului [articolul 14 alineatul (2) lit. f GDPR] În principiu, datele cu caracter personal sunt colectate direct de la persoana vizată sau în cooperare cu o autoritate (de exemplu, recuperarea datelor dintr-un registru oficial). Alte date privind persoanele vizate provin din transferurile companiilor din grup. În contextul acestor informații generale, denumirea surselor exacte din care provin datele personale este fie imposibilă, fie ar implica un efort disproporționat în sensul art. 14 (5) lit. b GDPR. În principiu, nu colectăm date cu caracter personal din surse accesibile publicului. Orice persoană vizată ne poate contacta în orice moment pentru a obține informații mai detaliate despre sursele exacte privind datele cu caracter personal care o privesc. În cazul în care originea datelor cu caracter personal nu poate fi furnizată persoanei vizate deoarece s-au folosit diverse surse, ar trebui să se furnizeze informații generale (considerentul 61 din propunerea 4 din GDPR). Page 232 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Existența unui proces automat de luare a deciziilor, inclusiv profilare, menționat la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informații semnificative cu privire la logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de procesări pentru persoana vizată (articolul 14 alineatul (2) lit. g GDPR) Ca companie responsabilă, nu luăm decizii automate sau legate de profilare. Page 233 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ROMANIAN: Informații privind prelucrarea datelor cu caracter personal pentru angajați și solicitanți (articolul 13, 14 GDPR) Stimate domnule sau doamnă, Datele personale ale angajaților și ale solicitanților merită o protecție specială. Scopul nostru este să păstrăm protecția datelor la un nivel înalt. Prin urmare, dezvoltăm în mod constant conceptele noastre privind protecția datelor și securitatea datelor. Desigur, respectăm prevederile legale privind protecția datelor. În conformitate cu articolul 13, 14 GDPR, operatori îndeplinesc cerințele specifice de informare atunci când procesează date cu caracter personal. Acest document îndeplinește aceste obligații. Terminologia privind reglementările juridice este complicată. Din păcate, utilizarea termenilor legali nu a putut fi eliminată în pregătirea acestui document. Prin urmare, am dori să subliniem că sunteți întotdeauna bineveniți să ne contactați pentru toate întrebările referitoare la acest document, termenii utilizați sau formulările. I. Respectarea cerințelor de informare în cazul în care datele cu caracter personal sunt colectate de la persoana vizată (articolul 13 GDPR) A. Identitatea și datele de contact ale operatorului (articolul 13 alineatul (1) lit. a GDPR) Vezi deasupra B. Datele de contact ale responsabilului cu protecția datelor (articolul 13 alineatul (1) lit. b GDPR) Vezi deasupra C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării (articolul 13 alineatul (1) lit. c din GDPR) Pentru datele solicitantului, scopul prelucrării datelor este de a efectua o examinare a cererii în timpul procesului de recrutare. În acest scop, procesăm toate datele furnizate de dvs. Pe baza datelor furnizate Page 234 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. în timpul procesului de recrutare, vom verifica dacă sunteți invitat la un interviu de angajare (parte a procesului de selecție). În cazul candidaților în general potriviți, în special în contextul interviului de angajare, procesăm anumite date personale furnizate de dvs., ceea ce este esențial pentru decizia noastră de selecție. Dacă sunteți angajat de noi, datele solicitantului se vor schimba automat în datele angajaților. Ca parte a procesului de recrutare, vom procesa alte date personale despre dvs. pe care le cerem de la dvs. și care trebuie să inițieze sau să vă îndeplinească contractul (cum ar fi numerele de identificare personale). În ceea ce privește datele angajaților, scopul prelucrării datelor este executarea contractului de muncă sau respectarea altor dispoziții legale aplicabile relației de muncă (de exemplu, dreptul fiscal), precum și utilizarea datelor dvs. personale pentru a încheia un contract de muncă (de exemplu, publicarea numelui dvs. și a informațiilor de contact din cadrul companiei sau clienților). Datele angajatului sunt stocate după încetarea raportului de muncă pentru a îndeplini perioadele de păstrare legală. Temeiul juridic pentru prelucrarea datelor este articolul 6 alineatul (1) lit. b și f GDPR, articolul 9 alineatul (2) lit. b și h GDPR, articolul 88 (1) GDPR și legislația națională, cum ar fi pentru Germania Secțiunea 26 BDSG (Legea federală privind protecția datelor). D. Categorii de destinatari ai datelor cu caracter personal (Articolul 13 (1) lit. e GDPR) Autorități publice Organismele externe Alte organisme externe Procesare internă Procesare în cadrul grupului Alte organisme Page 235 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. E. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46 alineatul (2) lit. c GDPR) Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”) care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi. În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR. Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii Europene (JO 2010 / L 39, pag 5-18). F. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade (articolul 13 alineatul (2) lit. a GDPR) Durata păstrării datelor personale ale solicitanților este de 6 luni. Pentru datele despre salariați, se aplică respectiva perioadă de păstrare legală. După expirarea perioadei respective, datele corespunzătoare sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract. G. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul 13 alineatul (2) lit. b GDPR) Toate persoanele vizate au următoarele drepturi: Page 236 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Dreptul de acces Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile, pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces. Dreptul la rectificare În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult, articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare. Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare. Dreptul de ștergere (dreptul de a fi uitat) În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR. Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de păstrare. Dreptul la restricționarea prelucrării Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării. Dreptul de a obiecta Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și exercita dreptul de a prezenta obiecții. Dreptul la portabilitatea datelor Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne poate contacta pentru a-și exercita dreptul la transferabilitatea datelor. Page 237 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Existența dreptului de retragere a consimțământului în orice moment, fără a afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa, în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a GDPR sau articolul 9 alineatul (2) lit. a GDPR (articolul 13 alineatul (2) lit. c GDPR) Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul (3) punctul 1 GDPR. Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului. I. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 13 alineatul (2) lit. d, articolul 77 alineatul (1) din GDPR) În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o singură autoritate de supraveghere. Page 238 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Furnizarea de date cu caracter personal ca cerință statutară sau contractuală; Cerința necesară pentru a încheia un contract; Obligația persoanei vizate de a furniza datele cu caracter personal; consecințele posibile ale neîndeplinirii furnizării cestor date [articolul 13 alineatul (2) lit. e din GDPR] Clarificăm că furnizarea de date cu caracter personal este cerută parțial de lege (de ex. Reglementări fiscale) sau poate rezulta și din dispoziții contractuale (de exemplu, informații despre partenerul contractual). Uneori poate fi necesar să se încheie un contract conform căruia persoana vizată ne furnizează date cu caracter personal, care trebuie prelucrate ulterior de noi. Persoana vizată este, de exemplu, obligată să ne furnizeze date cu caracter personal atunci când compania noastră semnează un contract cu el sau ea. Nefurnizarea datelor cu caracter personal ar avea drept consecință faptul că persoana vizată nu a putut încheia contractul respectiv. . Înainte de a furniza date cu caracter personal către persoana vizată, aceasta trebuie să ne contacteze. Vom clarifica persoanei vizate dacă furnizarea datelor cu caracter personal este prevăzută de lege sau contract sau este necesară pentru încheierea contractului, dacă există o obligație de a furniza datele cu caracter personal, precum și consecințele nefurnizării datelor cu caracter personal. K. Existența unui proces automat de luare a deciziilor, inclusiv profilarea, menționat la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informațiile semnificative cu privire la logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de procesări pentru persoana vizată (articolul 13 alineatul (2) lit. f GDPR) Ca o companie responsabilă, nu luăm decizii automate sau legate de profilare. II. Respectarea cerințelor privind informațiile în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată (articolul 14 din GDPR) A. Identitatea și datele de contact ale operatorului (articolul 14 alineatul (1) lit. a GDPR) Vezi deasupra Page 239 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. B. Datele de contact ale responsabilului cu protecția datelor (articolul 14 alineatul (1) lit. b GDPR) Vezi deasupra C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării (articolul 14 alineatul (1) lit. c din GDPR) Pentru datele solicitantului care nu au fost colectate de la persoana vizată, scopul prelucrării datelor este de a efectua o examinare a cererii în timpul procesului de recrutare. În acest scop, este posibil să procesăm date care nu au fost colectate de la dvs. Pe baza datelor procesate în timpul procesului de recrutare, vom verifica dacă sunteți invitat la un interviu de angajare (parte a procesului de selecție). Dacă sunteți angajat de noi, datele solicitantului vor fi convertite automat în datele angajaților. Pentru datele furnizate de angajați, scopul prelucrării datelor este executarea contractului de muncă sau respectarea altor dispoziții legale aplicabile relației de muncă. Datele angajatului sunt stocate după încetarea raportului de muncă pentru a îndeplini perioadele de păstrare legală. Temeiul juridic pentru prelucrarea datelor este articolul 6 alineatul (1) lit. b și f GDPR, articolul 9 alineatul (2) lit. b și h GDPR, articolul 88 (1) GDPR și legislația națională, cum ar fi pentru Germania Secțiunea 26 BDSG (Legea federală privind protecția datelor). D. Categoriile de date cu caracter personal vizate (articolul 14 alineatul (1) lit. d GDPR) Datele solicitantului Datele angajatului E. Categorii de destinatari ai datelor cu caracter personal (Articolul 14 (1) lit. e GDPR) Autorități publice Organismele externe Page 240 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Alte organisme externe Procesare internă Procesare în cadrul grupului Alte organisme F. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46 alineatul (2) lit. c GDPR) Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”) care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi. În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR. Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii Europene (JO 2010 / L 39, pag 5-18). G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a determina acea perioadă (Articolul 14 (2) lit. a GDPR) Durata păstrării datelor personale ale solicitanților este de 6 luni. Pentru datele despre salariați, se aplică respectiva perioadă de păstrare legală. După expirarea perioadei respective, datele corespunzătoare sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract. Page 241 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Notificarea intereselor legitime urmărite de operator sau de o terță parte în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR (articolul 14 alineatul (2) lit. b GDPR) În conformitate cu articolul 6 alineatul (1) lit. f, prelucrarea este legală numai dacă prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datele cu caracter personal. În conformitate cu considerentul 47 din propunerea 2 GDPR, ar putea exista un interes legitim în cazul în care există o relație relevantă și adecvată între persoana vizată și operator, de ex. în situațiile în care persoana vizată este clientul operatorului. În toate cazurile în care societatea noastră procesează datele solicitantului în baza articolului 6 alineatul (1) lit. f GDPR, interesul nostru legitim este angajarea personalului și a profesioniștilor adecvați. I. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul 13 alineatul (2) lit. b GDPR) Toate persoanele vizate au următoarele drepturi: Dreptul de acces Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile, pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces. Dreptul la rectificare În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult, articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare. Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare. Dreptul de ștergere (dreptul de a fi uitat) În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am Page 242 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR. Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de păstrare. Dreptul la restricționarea prelucrării Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a – d GDPR este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării. Dreptul de a obiecta Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și exercita dreptul de a prezenta obiecții. Dreptul la portabilitatea datelor Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne poate contacta pentru a-și exercita dreptul la transferabilitatea datelor. J. Existența dreptului de retragere a consimțământului în orice moment, fără a afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa, în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a sau articolul 9 alineatul (2) lit. a GDPR (articolul 14 alineatul (2) lit. d GDPR) Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul (3) punctul 1 GDPR. Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată Page 243 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului. K. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 14 alineatul (2) lit. e, articolul 77 alineatul (1) din GDPR) În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la o autoritate de supraveghere, articolul 14 alineatul (2) lit. e GDPR. Dreptul de a depune o plângere la o autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, locul de muncă sau locul de muncă unde presupusa încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal pe care o privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în fața unei autorități unice de supraveghere (Considerentul 141 din propunerea 1 GDPR). Această regulă vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de date dorește să depună o plângere, am solicitat contactarea numai unei singure autorități de supraveghere. L. Sursa datelor cu caracter personal provine din surse accesibile publicului (articolul 14 alineatul (2) lit. f GDPR) În principiu, datele cu caracter personal sunt colectate direct de la persoana vizată sau în cooperare cu o autoritate (de exemplu, recuperarea datelor dintr-un registru oficial). Alte date privind persoanele vizate provin din transferurile companiilor din grup. În contextul acestor informații generale, denumirea surselor exacte din care provin datele personale este fie imposibilă, fie ar implica un efort disproporționat în sensul art. 14 (5) lit. b GDPR. În principiu, nu colectăm date cu caracter personal din surse accesibile publicului. Orice persoană vizată ne poate contacta în orice moment pentru a obține informații mai detaliate despre sursele exacte de date cu caracter personal pe care o privesc. În cazul în care originea datelor cu caracter personal nu poate fi furnizată persoanei vizate deoarece s-au folosit diverse surse, ar trebui să se furnizeze informații generale (Considerentul 61 din propunerea 4 din GDPR). Page 244 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Existența unui proces automat de luare a deciziilor, inclusiv a profilării, menționat la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informații semnificative cu privire la logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de procesări pentru persoana vizată (articolul 14 alineatul (2) lit. g GDPR) Ca companie responsabilă, nu luăm decizii automate sau legate de profilare. Page 245 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. CROATIAN: Informacije o obradi osobnih podataka (članak 13, 14 GDPR) Poštovani, Osobni podaci svakog pojedinca koji je u ugovornom, pred-ugovornom ili drugom odnosu s našom tvrtkom zaslužuje posebnu zaštitu. Naš je cilj zadržati razinu zaštite podataka na visokom nivou. Stoga stalno razvijamo koncepte zaštite podataka i sigurnosti podataka. Naravno, poštujemo zakonske odredbe o zaštiti podataka. Prema člancima 13, 14. GDPR, kontrolori ispunjavaju posebne zahtjeve obavješćivanja pri prikupljanju osobnih podataka. Ovaj dokument ispunjava te obveze. Terminologija pravnih propisa je složena. Nažalost, korištenje pravnih izraza nije se moglo izostaviti u pripremi ovog dokumenta. Stoga želimo naglasiti da nas uvijek možete kontaktirati za sva pitanja koja se tiču ovog dokumenta, korištenih termina ili formulacija. I. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci prikupljaju od nositelja podataka (članak 13. GDPR) A. Identitet i kontaktni podaci kontrolora (članak 13. stavak 1. točka (a) GDPR) Vidi gore B. Kontaktni podaci službenika za zaštitu podataka (članak 13. stavak 1. točka (b) GDPR) Vidi gore C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za obradu (članak 13. stavak 1. točka (c) GDPR) Svrha obrade osobnih podataka je rukovanje svim operacijama koje se tiču kontrolora, klijenata, potencijalnih klijenata, poslovnih partnera ili drugih ugovornih ili predugovornih odnosa između navedenih skupina (u najširem smislu) ili zakonskih obveza kontrolora. Page 246 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Članak 6 (1) točka (a) GDPR služi kao pravna osnova za operacije obrade za koje dobivamo pristanak za određenu svrhu obrade. Ako je obrada osobnih podataka nužna za izvršenje ugovora u kojem je subjekt podataka stranka, kao što je, na primjer, kada su operacije obrade potrebne za isporuku robe ili pružanje bilo koje druge usluge, obrada je na temelju članka 6. stavka 1 točka (b) GDPR. Isto se odnosi i na postupke obrade koji su potrebni za provedbu predugovornih mjera, primjerice u slučaju upita o našim proizvodima ili uslugama. Kada je naša tvrtka podložna zakonskoj obavezi kojom se traži obrada osobnih podataka, kao što je ispunjenje poreznih obveza, obrada se temelji na čl. 6 (1) točka (c) GDPR. U rijetkim slučajevima, obrada osobnih podataka može biti potrebna za zaštitu vitalnih interesa nositelja podataka ili druge fizičke osobe. To bi bio slučaj, na primjer, ako bi se posjetitelj ozlijedio u našoj tvrtki i njegovo ime, dob, podaci o zdravstvenom osiguranju ili druge vitalne informacije trebali bi se prenijeti liječniku, bolnici ili drugoj trećoj osobi. Tada bi se obrada temeljila na čl. 6 (1) točka (d) GDPR. Konačno, postupci obrade mogu se temeljiti na članku 6. stavku 1. točka (f) GDPR. Ova se pravna osnova koristi za postupke obrade koji nisu obuhvaćeni ni jednom od gore navedenih pravnih osnova, ako je obrada potrebna u svrhu legitimnih interesa koje naša tvrtka ili treća strana nastoje ostvariti, osim ako su interesi nadjačani interesima ili pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih podataka. Takvi postupci obrade posebno su dopušteni jer ih je europski zakonodavac posebno spomenuo. Smatrao je da se legitimni interes može pretpostaviti ako je subjekt podataka klijent kontrolora (uvodna izjava 47, rečenica 2 GDPR). D. Kada se obrada temelji na članku 6 (1) točka (f) GDPR, legitimni interesi koje provodi kontrolor ili treća strana (članak 13. stavak 1. točka (d) GDPR) Kada se obrada osobnih podataka temelji na članku 6. stavku 1. točka (f) GDPR, naš legitimni interes je obavljanje našeg poslovanja u korist dobrobiti svih naših zaposlenika i dioničara. E. Kategorije primatelja osobnih podataka (članak 13. stavak 1. točka (e) GDPR) Javne vlasti Vanjska tijela Daljnja vanjska tijela Interna obrada Obrada unutar grupe Page 247 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Ostala tijela F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 13 (1) točka (f); 46(1), 46 (2) točka (c) GDPR) Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki ili primatelja grupe. U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka. Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela putem standardnih ugovornih klauzula, članak 46 (2) točka (c) GDPR. Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske unije (SL 2010 / L 39, str. 5-18). G. Razdoblje za koje će osobni podaci biti pohranjeni, ili ako to nije moguće odrediti, kriteriji koji se koriste za određivanje tog razdoblja (članak 13. stavak 2. točka (a) GDPR) Kriterij koji se koristi za određivanje razdoblja čuvanja osobnih podataka je odgovarajuće zakonsko razdoblje čuvanja podataka. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora. H. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih podataka ili ograničenje obrade u odnosu na nositelja podataka ili da se uloži prigovor na obradu, kao i pravo na prenosivost podataka (članak 13. stavak 2. točka (b) GDPR) Svi subjekti podataka imaju sljedeća prava: Page 248 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Pravo na pristup Svaki nosilac podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti jednostavno i u razumnim vremenskim intervalima kako bi se zadovoljili i provjerili zakonitost obrade (uvodna izjava 63 GDPR-a). Ovo pravo proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa. Pravo na ispravak U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje, člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ispravak. Pravo na brisanje (pravo na zaborav) Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja. Pravo na ograničenje obrade Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1 točke a-d GDPR je ispunjen. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade. Pravo na prigovor Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na prigovor. Pravo na prenosivost podataka Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja prava na prenosivost podataka. Page 249 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. I. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada temelji na članku 6. stavku 1. točka (a) GDPR ili članak 9 (2) točka (a) GDPR (članak 13. stavak 2. točka c GDPR) Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2) točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR-a pravo povući svoj pristanak u bilo kojem trenutku. Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njezina povlačenja, članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3) rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka. J. Pravo na podnošenje pritužbe nadzornom tijelu (članak 13. stavak 2. točka (d), članak 77. stavak 1. GDPR) Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu na podnošenje pritužbe nadzornom tijelu, članak 13 (2) točka (d) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77. stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo. Page 250 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Pružanje osobnih podataka kao zakonski ili ugovorni zahtjev; Zahtjev potreban za sklapanje ugovora; Obveza nositelja podataka da dostavi osobne podatke; moguće posljedice nepružanja takvih podataka (čl. 13. stavak 2. točka (e) GDPR) Pojašnjavamo da je davanje osobnih podataka djelomično zahtijevano zakonom (npr. Porezni propisi) ili također može proizaći iz ugovornih odredbi (npr. Informacija o ugovornom partneru). Ponekad može biti potrebno sklopiti ugovor kojim nam subjekt podataka daje osobne podatke, koje moramo naknadno obraditi. Subjekt podataka je, primjerice, dužan da nam dostavi osobne podatke kada naša tvrtka s njim ili njom potpiše ugovor. Nepružanje osobnih podataka imalo bi za posljedicu da se ugovor s subjektom podataka ne može zaključiti. Prije davanja osobnih podataka od strane nositelja podataka, osoba na koju se podaci odnose mora nas kontaktirati. Obavjestićemo osobu na koju se podaci odnose je li pružanje osobnih podataka obvezno po zakonu ili ugovoru ili je potrebno za sklapanje ugovora, postoji li obveza pružanja osobnih podataka i posljedica nepružanja osobnih podataka. L. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1) i (4) GDPR i barem u tim slučajevima, značajne informacije o logici koja je uključena, kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju (članak 13. stavak 2. točka (f) GDPR) Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje. II. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci ne prikupljaju od nositelja podataka (članak 14.GDPR) A. Identitet i kontaktni podaci kontrolora (članak 14. stavak 1. točka (a) GDPR) Vidi gore B. Kontaktni podaci službenika za zaštitu podataka (članak 14. stavak 1. točka (b) GDPR) Vidi gore Page 251 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za obradu (članak 14 (1) točka (c) GDPR) Svrha obrade osobnih podataka je rukovanje svim operacijama koje se tiču kontrolora, kupaca, potencijalnih kupaca, poslovnih partnera ili drugih ugovornih ili predugovornih odnosa između navedenih skupina (u najširem smislu) ili zakonskih obaveza kontrolora. Ako je obrada osobnih podataka nužna za izvršenje ugovora u kojem je subjekt podataka stranka, kao što je, na primjer, kada su operacije obrade potrebne za isporuku robe ili pružanje bilo koje druge usluge, obrada je na temelju članka 6. stavka 1. točka (b) GDPR. Isto se odnosi i na postupke obrade koji su potrebni za provedbu predugovornih mjera, primjerice u slučaju upita o našim proizvodima ili uslugama. Da li je naša tvrtka podložna zakonskoj obavezi kojom se traži obrada osobnih podataka, kao što je ispunjenje poreznih obveza, obrada se temelji na čl. 6 (1) točka (c) GDPR. U rijetkim slučajevima, obrada osobnih podataka može biti potrebna za zaštitu vitalnih interesa nositelja podataka ili druge fizičke osobe. To bi bio slučaj, na primjer, ako bi se posjetitelj ozlijedio u našoj tvrtki i njegovo ime, dob, podaci o zdravstvenom osiguranju ili druge vitalne informacije trebali bi se prenijeti liječniku, bolnici ili drugoj trećoj osobi. Tada bi se obrada temeljila na čl. 6 (1) točka (d) GDPR. Konačno, postupci obrade mogu se temeljiti na članku 6. stavku 1. točka (f) GDPR. Ova se pravna osnova koristi za postupke obrade koji nisu obuhvaćeni ni jednom od gore navedenih pravnih osnova, ako je obrada potrebna u svrhu legitimnih interesa koje naša tvrtka ili treća strana nastoje ostvariti, osim ako su interesi nadjačani interesima ili temeljna prava i slobode nositelja podataka koji zahtijevaju zaštitu osobnih podataka. Takvi postupci obrade posebno su dopušteni jer ih je europski zakonodavac posebno spomenuo. Smatrao je da se legitimni interes može pretpostaviti ako je subjekt podataka klijent kontrolora (uvodna izjava 47, rečenica 2 GDPR). D. Kategorije dotičnih osobnih podataka (članak 14. stavak 1. točka (d) GDPR) Korisnički podaci Podaci potencijalnih kupaca Podaci zaposlenika Podaci dobavljača E. Kategorije primatelja osobnih podataka (članak 14. stavak 1. točka (e) GDPR) Page 252 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Javne vlasti Vanjska tijela Daljnja vanjska tijela Interna obrada Obrada unutar grupe Ostala tijela F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 14. stavak 1. točka (f), 46 (1), 46 (2) točka (c) GDPR) Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki iz grupe. U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka. Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela pomoću standardnih klauzula o zaštiti podataka, članak 46 (2) točka (c) GDPR. Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske unije (SL 2010 / L 39, str. 5-18). G. Razdoblje za koje će osobni podaci biti pohranjeni ili, ako to nije moguće odrediti, kriteriji koji se koriste za određivanje tog razdoblja (članak 14. stavak 2. točka (a) GDPR) Kriterij koji se koristi za određivanje razdoblja čuvanja osobnih podataka je odgovarajuće zakonsko razdoblje čuvanja podataka. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora. Page 253 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. H. Obavijest o legitimnim interesima koje provodi kontrolor ili treća strana ako se obrada temelji na članku 6 (1) točka (f) GDPR (čl. 14 (2) točka (b) GDPR) Prema članku 6 (1) točka (f) GDPR, obrada će biti zakonita samo ako je obrada potrebna u svrhe legitimnih interesa koje ostvaruje kontrolor ili treća strana, osim ako su ti interesi nadjačani interesima ili temeljnim pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih podataka. U skladu s uvodnom izjavom 47. stavka 2. GDPR legitiman interes može postojati tamo gdje postoji relevantan i odgovarajući odnos između ispitanika i kontrolora, npr. u situacijama u kojima je subjekt podataka klijent kontrolora. U svim slučajevima u kojima naša tvrtka obrađuje osobne podatke na temelju članka 6 (1) točka (f) GDPR, naš legitimni interes je u obavljanju našeg poslovanja u korist dobrobiti svih naših zaposlenika i dioničara. I. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih podataka ili ograničenje obrade u vezi s nositeljem podataka te da se uloži prigovor na obradu, kao i pravo na prenosivost podataka (članak 14. stavak 2. točka (c) GDPR) Svi subjekti podataka imaju sljedeća prava: Pravo na pristup Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa. Pravo na ispravak U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje, člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ispravak. Pravo na brisanje (pravo na zaborav) Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja. Page 254 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Pravo na ograničenje obrade Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1. točke a-d GDPR je ispunjen. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade. Pravo na prigovor Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na prigovor. Pravo na prenosivost podataka Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja prava na prenosivost podataka. J. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada temelji na članku 6. stavku 1. točka (a) ili članak 9. (2) točka (a) GDPR (čl. 14 (2) točka (d) GDPR) Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2) točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR pravo povući svoj pristanak u bilo kojem trenutku. Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njenog povlačenja, članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3) rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka. Page 255 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Pravo na podnošenje pritužbe nadzornom tijelu (članak 14. stavak 2. točka (e), članak 77. stavak 1. GDPR) Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu podnošenja pritužbe nadzornom tijelu, članak 14 (2) točka (e) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77. stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo. L. Izvor iz kog osobni podatci potječu, i ako je primjenjivo, jesu li došli iz javno dostupnih izvora (članak 14. stavak 2. točka (f) GDPR) U načelu, osobni se podaci prikupljaju izravno od nositelja podataka ili u suradnji s nadležnim tijelom (npr. Dohvat podataka iz službenog registra). Ostali podaci o subjektima podataka proizlaze iz transfera društava grupe. U kontekstu ove opće informacije, imenovanje točnih izvora iz kojih su osobni podaci nastali ili je nemoguće ili bi uključivalo nerazmjerne napore u smislu čl. 14 (5) točka (b) GDPR. U načelu, ne prikupljamo osobne podatke iz javno dostupnih izvora. Svaki subjekt podataka može nas kontaktirati u bilo koje vrijeme kako bi dobili detaljnije informacije o točnim izvorima osobnih podataka koji se odnose na njega. Ako se podrijetlo osobnih podataka ne može dati subjektu podataka jer su korišteni različiti izvori, potrebno je dostaviti opće informacije (uvodna izjava 61, rečenica 4 GDPR). M. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1) i (4) GDPR, i barem u tim slučajevima, značajne informacije o logici koja je uključena, kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju (članak 14. stavak 2. točka g) Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje. Page 256 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. CROATIAN: Informacije o obradi osobnih podataka za zaposlenike i podnositelje zahtjeva (članak 13, 14 GDPR) Poštovani, Osobni podaci zaposlenika i podnositelja zahtjeva zaslužuju posebnu zaštitu. Naš je cilj zadržati razinu zaštite podataka na visokom nivou. Stoga stalno razvijamo koncepte zaštite podataka i sigurnosti podataka. Naravno, poštujemo zakonske odredbe o zaštiti podataka. Prema člancima 13, 14 GDPR, kontroleri ispunjavaju posebne zahtjeve obavješćivanja pri obradi osobnih podataka. Ovaj dokument ispunjava te obveze. Terminologija pravne regulacije je složena. Nažalost, korištenje pravnih izraza nije se moglo izostaviti u pripremi ovog dokumenta. Stoga želimo naglasiti da nas uvijek možete kontaktirati za sva pitanja vezana uz ovaj dokument, korištene pojmove ili formulacije. I. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci prikupljaju od nositelja podataka (članak 13. GDPR) A. Identitet i kontaktni podaci kontrolora (članak 13. stavak 1. točka (a) GDPR) Vidi gore B. Kontaktni podaci službenika za zaštitu podataka (članak 13. stavak 1. točka (b) GDPR) Vidi gore C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za obradu (članak 13. stavak 1. točka (c) GDPR) Za podatke podnositelja zahtjeva, svrha obrade podataka je provesti ispitivanje zahtjeva tijekom procesa zapošljavanja. U tu svrhu obrađujemo sve vaše podatke. Na temelju podataka dostavljenih tijekom Page 257 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. procesa zapošljavanja, provjerit ćemo da li ste pozvani na razgovor za posao (dio postupka odabira). U slučaju općenito prikladnih kandidata, posebno u kontekstu intervjua za posao, obrađujemo i neke druge osobne podatke koje ste dali, što je ključno za našu odluku o odabiru. Ako nas unajmite, podaci podnositelja zahtjeva automatski će se promijeniti u podatke zaposlenika. Kao dio procesa zapošljavanja, obradit ćemo druge osobne podatke o vama koje tražimo od vas i koji su potrebni za pokretanje ili ispunjenje vašeg ugovora (kao što su osobni identifikacijski brojevi ili porezni brojevi). Za podatke zaposlenika, svrha obrade podataka je izvršenje ugovora o radu ili poštivanje drugih zakonskih odredbi koje se primjenjuju na radni odnos (npr. Porezni zakon), kao i korištenje vaših osobnih podataka za izvršenje ugovora o radu sklopljenog s vama (npr. objavljivanje vašeg imena i kontaktne informacije unutar tvrtke ili klijentima). Podaci o zaposlenicima pohranjuju se nakon prestanka radnog odnosa radi ispunjenja zakonskog razdoblja zadržavanja. Pravna osnova za obradu podataka je članak 6. stavak 1. točka (b) GDPR, članak 9 (2) točke (b) i (h) GDPR, članak 88 (1) GDPR i nacionalno zakonodavstvo, kao što je za Njemačku Odjeljak 26 BDSG (Savezni zakon o zaštiti podataka). D. Kategorije primatelja osobnih podataka (članak 13. stavak 1. točka (e) GDPR) Javne vlasti Vanjska tijela Daljnja vanjska tijela Interna obrada Obrada unutar grupe Ostala tijela E. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 13 (1) točka (f); 46(1), 46 (2) točka (c) GDPR) Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki ili primatelja grupe. Page 258 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka. Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela putem standardnih ugovornih klauzula, članak 46 (2) točka (c) GDPR. Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske unije (SL 2010 / L 39, str. 5-18). F. Razdoblje za koje će osobni podaci biti pohranjeni, ili ako to nije moguće odrediti, kriteriji koji se koriste za određivanje tog razdoblja (članak 13. stavak 2. točka (a) GDPR) Trajanje pohrane osobnih podataka podnositelja zahtjeva je 6 mjeseci. Za podatke zaposlenika primjenjuje se odgovarajuće razdoblje zadržavanja. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora. G. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih podataka ili ograničenje obrade u odnosu na nositelja podataka ili da se uloži prigovor na obradu, kao i pravo na prenosivost podataka (članak 13. stavak 2. točka (b) GDPR) Svi subjekti podataka imaju sljedeća prava: Pravo na pristup Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa. Pravo na ispravak U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje, člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ispravak. Page 259 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Pravo na brisanje (pravo na zaborav) Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja. Pravo na ograničenje obrade Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1 točke a-d GDPR je ispunjen. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade. Pravo na prigovor Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na prigovor. Pravo na prenosivost podataka Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja prava na prenosivost podataka. H. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada temelji na članku 6. stavku 1. točka (a) GDPR ili članak 9 (2) točka (a) GDPR (članak 13. stavak 2. točka c GDPR) Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2) točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR-a pravo povući svoj pristanak u bilo kojem trenutku. Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njezina povlačenja, članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3) rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt Page 260 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka. I. Pravo na podnošenje pritužbe nadzornom tijelu (članak 13. stavak 2. točka (d), članak 77. stavak 1. GDPR) Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu na podnošenje pritužbe nadzornom tijelu, članak 13 (2) točka (d) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77. stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo. J. Pružanje osobnih podataka kao zakonski ili ugovorni zahtjev; Zahtjev potreban za sklapanje ugovora; Obveza nositelja podataka da dostavi osobne podatke; moguće posljedice nepružanja takvih podataka (čl. 13. stavak 2. točka (e) GDPR) Pojašnjavamo da je davanje osobnih podataka djelomično zahtijevano zakonom (npr. Porezni propisi) ili također može proizaći iz ugovornih odredbi (npr. Informacija o ugovornom partneru). Ponekad može biti potrebno sklopiti ugovor kojim nam subjekt podataka daje osobne podatke, koje moramo naknadno obraditi. Subjekt podataka je, primjerice, dužan da nam dostavi osobne podatke kada naša tvrtka s njim ili njom potpiše ugovor. Nepružanje osobnih podataka imalo bi za posljedicu da se ugovor s subjektom podataka ne može zaključiti. Prije davanja osobnih podataka od strane nositelja podataka, osoba na koju se podaci odnose mora nas kontaktirati. Obavjestićemo osobu na koju se podaci odnose je li pružanje osobnih podataka obvezno po zakonu ili ugovoru ili je potrebno za sklapanje ugovora, postoji li obaveza pružanja osobnih podataka i posljedica nepružanja osobnih podataka. Page 261 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. K. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1) i (4) GDPR i barem u tim slučajevima, značajne informacije o logici koja je uključena, kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju (članak 13. stavak 2. točka (f) GDPR) Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje. II. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci ne prikupljaju od nositelja podataka (članak 14.GDPR) A. Identitet i kontaktni podaci kontrolora (članak 14. stavak 1. točka (a) GDPR) Vidi gore B. Kontaktni podaci službenika za zaštitu podataka (članak 14. stavak 1. točka (b) GDPR) Vidi gore C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za obradu (članak 14 (1) točka (c) GDPR) Za podatke podnositelja zahtjeva koji nisu prikupljeni od nositelja podataka, svrha obrade podataka je provesti ispitivanje zahtjeva tijekom postupka zapošljavanja. U tu svrhu možemo obrađivati podatke koji nisu prikupljeni od vas. Na temelju podataka obrađenih tijekom procesa zapošljavanja, provjerit ćemo da li ste pozvani na razgovor za posao (dio postupka odabira). Ako vas unajmimo, podaci podnositelja zahtjeva automatski će se pretvoriti u podatke zaposlenika. Za podatke zaposlenika, svrha obrade podataka je izvršenje ugovora o radu ili poštivanje drugih zakonskih odredbi koje se primjenjuju na radni odnos. Podaci o zaposlenicima pohranjuju se nakon prestanka radnog odnosa radi ispunjenja zakonskog razdoblja zadržavanja. Pravna osnova za obradu podataka je članak 6. stavak 1. točke b i f GDPR, članak 9 (2) točke b i h GDPR, članak 88 (1) GDPR i nacionalno zakonodavstvo, kao što je za Njemačku Odjeljak 26 BDSG (Savezni zakon o zaštiti podataka). Page 262 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. D. Kategorije dotičnih osobnih podataka (članak 14. stavak 1. točka (d) GDPR) Podaci podnositelja zahtjeva Podaci o zaposlenicima E. Kategorije primatelja osobnih podataka (članak 14. stavak 1. točka (e) GDPR) Javne vlasti Vanjska tijela Daljnja vanjska tijela Interna obrada Obrada unutar grupe Ostala tijela F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 14. stavak 1. točka (f), 46 (1), 46 (2) točka (c) GDPR) Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki ili primatelja grupe. U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka. Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela pomoću standardnih klauzula o zaštiti podataka, članak 46 (2) točka (c) GDPR. Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih Page 263 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske unije (SL 2010 / L 39, str. 5-18). G. Razdoblje za koje će osobni podaci biti pohranjeni ili, ako to nije moguće odrediti, kriteriji koji se koriste za određivanje tog razdoblja (članak 14. stavak 2. točka (a) GDPR) Trajanje pohrane osobnih podataka podnositelja zahtjeva je 6 mjeseci. Za podatke zaposlenika primjenjuje se odgovarajuće razdoblje zadržavanja. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora. H. Obavijest o legitimnim interesima koje provodi kontrolor ili treća strana ako se obrada temelji na članku 6 (1) točka (f) GDPR (čl. 14 (2) točka (b) GDPR) Prema članku 6 (1) točka (f) GDPR, obrada će biti zakonita samo ako je obrada potrebna u svrhe legitimnih interesa koje ostvaruje kontrolor ili treća strana, osim ako su ti interesi nadjačani interesima ili temeljnim pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih podataka. U skladu s uvodnom izjavom 47. rečenica 2. GDPR legitiman interes može postojati tamo gdje postoji relevantan i odgovarajući odnos između ispitanika i kontrolora, npr. u situacijama u kojima je subjekt podataka klijent kontrolora. U svim slučajevima u kojima naša tvrtka obrađuje podatke podnositelja zahtjeva na temelju članka 6 (1) točka (f) GDPR, naš legitimni interes je zapošljavanje odgovarajućeg osoblja i stručnjaka. I. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih podataka ili ograničenje obrade u vezi s nositeljem podataka te da se uloži prigovor na obradu, kao i pravo na prenosivost podataka (članak 14. stavak 2. točka (c) GDPR) Svi subjekti podataka imaju sljedeća prava: Pravo na pristup Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa. Pravo na ispravak U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje, člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu Page 264 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ispravak. Pravo na brisanje (pravo na zaborav) Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja. Pravo na ograničenje obrade Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1. točke a-d GDPR je ispunjen. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade. Pravo na prigovor Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario pravo na prigovor. Pravo na prenosivost podataka Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja prava na prenosivost podataka. J. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada temelji na članku 6. stavku 1. točka (a) ili članak 9. (2) točka (a) GDPR (čl. 14 (2) točka (d) GDPR) Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2) točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR pravo povući svoj pristanak u bilo kojem trenutku. Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njenog povlačenja, članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3) Page 265 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka. K. Pravo na podnošenje pritužbe nadzornom tijelu (članak 14. stavak 2. točka (e), članak 77. stavak 1. GDPR) Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu podnošenja pritužbe nadzornom tijelu, članak 14 (2) točka (e) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77. stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo. L. Izvor iz kog osobni podatci potječu, i ako je primjenjivo, jesu li došli iz javno dostupnih izvora (članak 14. stavak 2. točka (f) GDPR) U načelu, osobni se podaci prikupljaju izravno od nositelja podataka ili u suradnji s nadležnim tijelom (npr. Dohvat podataka iz službenog registra). Ostali podaci o subjektima podataka proizlaze iz transfera društava grupe. U kontekstu ove opće informacije, imenovanje točnih izvora iz kojih su osobni podaci nastali ili je nemoguće ili bi uključivalo nerazmjerne napore u smislu čl. 14 (5) točka (b) GDPR. U načelu, ne prikupljamo osobne podatke iz javno dostupnih izvora. Svaki subjekt podataka može nas kontaktirati u bilo koje vrijeme kako bi dobili detaljnije informacije o točnim izvorima osobnih podataka koji se odnose na njega. Ako se podrijetlo osobnih podataka ne može dati subjektu podataka jer su korišteni različiti izvori, potrebno je dostaviti opće informacije (uvodna izjava 61, rečenica 4 GDPR). Page 266 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. M. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1) i (4) GDPR, i barem u tim slučajevima, značajne informacije o logici koja je uključena, kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju (članak 14. stavak 2. točka g) Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje. Page 267 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. SERBIAN: Информације о обради личних података (члан 13, 14 ГДПР) Поштовани, Лични подаци сваког појединца који је у уговорном, пред-уговорном или другом односу са нашом компанијом заслужују посебну заштиту. Наш циљ је да одржимо ниво заштите података на високом нивоу. С обзиром на то, константно развијамо концепте заштите података и сигурности података. Наравно, поштујемо законске одредбе о заштити података. Према члану 13 и 14 ГДПР, контролори испуњавају специфичне захтеве приликом прикупљања личних података. Овај документ испуњава те обавезе. Терминологија правних прописа је компликована. Нажалост, употреба правних термина није се могла изоставити у припреми овог документа. Стога, желимо да истакнемо да сте увек добродошли да нас контактирате у вези са свим питањима која се тичу овог документа, коришћеним терминима или формулацијама. I. Усклађеност са захтевима за информације када се лични подаци прикупљају од субјекта података (члан 13 ГДПР) A. Идентитет и контакт подаци контролора (члан 13 (1) тачка (а) ГДПР) Види горе B. Контакт подаци службеника за заштиту података (члан 13 (1) тачка (б) ГДПР) Види горе Page 268 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. C. Сврхе обраде за коју су лични подаци намењени, као и правни основ за обраду (члан 13 (1) тачка (ц) ГДПР) Сврха обраде личних података је руковање свим операцијама које се тичу контролора, купаца, потенцијалних клијената, пословних партнера или других уговорних или предуговорних односа између наведених група (у најширем смислу) или законских обавеза контролора. Члан. 6 (1) тачка (а) ГДПР служи као правни основ за операције обраде за које добијамо сагласност за одређену сврху обраде. Ако је обрада личних података неопходна за извршење уговора у којем је субјекат података једна од страна, као што је случај, на пример, када су операције обраде неопходне за испоруку робе или за пружање било које друге услуге, обрада је заснована на члану 6 (1) тачка (б) ГДПР. Исто се односи и на операције обраде које су неопходне за спровођење предуговорних мера, на пример у случају захтева који се тичу наших производа или услуга. Када је наша компанија подложна законској обавези према којој је потребна обрада личних података, као што је испуњење пореских обавеза, обрада се заснива на члану 6 (1) тачка (ц) ГДПР. У ретким случајевима, обрада личних података може бити неопходна за заштиту виталних интереса субјекта података или другог физичког лица. То би био случај, на пример, ако би се посетилац повредио у нашој компанији и његово име, године, подаци о здравственом осигурању или друге виталне информације морају бити прослеђене лекару, болници или некој трећој страни. Тада би обрада била заснована на члану 6 (1) тачка (д) ГДПР. Коначно, операције обраде могу се заснивати на члану 6 (1) тачка (ф) ГДПР. Овај правни основ се користи за операције обраде које нису обухваћене ниједним горе наведеним правним основима, ако је обрада неопходна у сврху легитимних интереса које наша компанија или трећа страна настоје остварити, осим ако су такви интереси надјачани интересима или основним правима и слободама субјекта података који захтевају заштиту личних података. Такве операције обраде су изузетно дозвољене јер их је нарочито поменуо европски законодавац. Сматрао је да се легитимни интерес може претпоставити ако је субјект података и клијент контролора (уводна изјава 47, реченица 2 ГДПР). D. Када се обрада заснива на члану 6 (1) тачка (ф) ГДПР, легитимни интереси захтевани од контролора или треће стране (члан 13 (1) тачка (д) ГДПР) Када се обрада личних података заснива на члану 6 (1) тачка (ф) ГДПР, наш легитимни интерес је да обављамо своје пословање у најбољем интересу свих наших запослених и акционара. E. Категорије прималаца личних података (члан 13 (1) тачка (е) ГДПР) Page 269 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Орган јавне власти Спољни орган Додатни спољни орган Орган интерне обраде Орган унутаргрупне обраде Остала тела F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни механизми и средства за прибављање њихових копија или њихово стављање на располагање (чланови 13 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР) Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних података. Од нас се може затражити листа свих повезаних компанија или прималаца. У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под условом да су субјекту података на располагању његова права и ефикасни правни лекови. Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка (ц) ГДПР. Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе, гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни правни лекови за субјекте података. Сваки субјект података може од нас добити копију стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном листу Европске уније (ОЈ 2010 / L 39, стр. 5-18). Page 270 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није могуће одредити, критеријуми који се користе за одређивање тог периода (члан 13 (2) тачка (а) ГДПР) Критеријум који се користи за одређивање периода чувања личних података је одговарајући период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу, све док више нису потребни за испуњење уговора или започињање уговарања. H. Постојање права да се од контролора затражи приступ и исправка или брисање личних података или ограничење обраде у вези са субјектом података или да се уложи приговор на обраду, као и право на преносивост података (члан 13 (2) тачка (б) ГДПР) Сви субјекти података имају следећа права: Право приступа подацима Сваки субјекат података има право на приступ личним подацима који се односе на њега или њу. Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и у разумним временским интервалима, како би се упознала и проверила законитост обраде (уводна изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да би остварио право приступа. Право на исправку података Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише, члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху обраде, да попуни непотпуне личне податке, укључујући и достављање допунске изјаве. Субјект података може да нас контактира да би остварио право на исправку. Право на брисање података (право да подаци буду заборављени) Додатно, субјекти података имају право на брисање и право да подаци буду заборављени на основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку, међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка (б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока задржавања. Право на ограничење обраде података Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података. Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР Page 271 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде података. Право на приговор Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би остварио право на приговор. Право на преносивост података Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби, субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном, уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом контролору без сметњи од стране контролора коме су првобитно дати лични подаци. Субјект података може нас контактирати како би остварио право на преносивост података. I. Постојање права да се повуче сагласност у било ком тренутку, без утицаја на законитост обраде на основу сагласности пре њеног повлачења, када се обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР (члан 13 (2) тачка (ц) ГДПР) Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект података дао сагласност за обраду личних података за једну или више специфичних сврха или је заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних категорија личних података, субјект података има право према члану 7 (3) реченица 1 ГДПР да повуче своју сагласност у било које време. Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног повлачења, члан 7 (3) реченица 2 ГДПР. Повући сагласност би требало да буде једнако лако као и дати сагласност, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може да се деси на исти начин као што је дат пристанак или на било који други начин, који субјект података сматра једноставнијим. У данашњем информатичком друштву, вероватно најједноставнији начин да се повуче сагласност је путем е-маила. Ако субјект података жели повући свој пристанак дат нама, довољан је да нам пошаље једноставан е-маил. Алтернативно, субјект података може изабрати било који други начин да нам саопшти своје повлачење сагласности. Page 272 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Право на подношење жалбе надзорном органу (члан 13 (2), тачка (д); члан 77 (1) ГДПР) Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе надзорном органу, према члану 13 (2), тачка (д) ГДПР. Право на подношење жалбе надзорном органу регулисано је чланом 77 (1) ГДПР. Према овој одредби, пре улагања било којег другог административног или правног лека, сваки субјект података има право да поднесе жалбу надзорном органу, нарочито у држави чланици у којој се налази његово пребивалиште, радно место или место наводног прекршаја, ако субјект података сматра да обрада личних података који се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу ограничено је само правом Уније на такав начин, да се може остварити само пред једним надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да избегне двоструке жалбе истог субјекта података поводом истог случаја. Стога, ако субјект података жели да уложи жалбу против нас, тражимо да контактира само један надзорни орган. K. Давање личних података као законска или уговорна одредба; Услов потребан за склапање уговора; Обавеза субјекта података да достави личне податке; могуће последице непружања таквих података (чл. 13 (2) тачка (е) ГДПР) Појаснили смо да давање личних података може бити обавезно на основу закона (нпр. Порески прописи) а такође може произаћи из уговорних одредби (нпр. Информације о другој уговорној страни). Понекад може бити потребно закључити уговор којим нам субјект података даје личне податке, које морамо накнадно обрадити. Субјект података је, на пример, обавезан да нам достави личне податке када наша компанија потписује уговор са њим или њом. Недавање личних података би имало за последицу да се уговор са субјектом података не може закључити. Пре него што субјект података да личне податке, мора нас контактирати. Ми ћемо објаснити субјекту података да ли је пружање личних података обавезно по закону или уговору или је неопходно за закључивање уговора, да ли постоји обавеза давања личних података и последице непружања личних података. Page 273 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Постојање аутоматизованог одлучивања, укључујући профилисање, из члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о коришћеној логици, као и значај и предвиђене последице такве обраде за субјекта података (члан 13 (2) тачка (ф) ГДПР) Као одговорна компанија, ми не користимо аутоматско одлучивање или профилисање. II. Усклађеност са захтевима за информације када се лични подаци не прикупљају од субјекта података (члан 14 ГДПР) A. Идентитет и контакт подаци контролора (члан 14 (1) тачка (а) ГДПР) Види горе B. Контакт подаци службеника за заштиту података (члан 14 (1) тачка (б) ГДПР) Види горе C. Сврха обраде за коју су лични подаци намењени, као и правни основ за обраду (члан 14 (1) тачка (ц) ГДПР) Сврха обраде личних података је руковање свим операцијама које се тичу контролора, клијената, потенцијалних клијената, пословних партнера или других уговорних или предуговорних односа између наведених група (у најширем смислу) или законских обавеза контролора. Ако је обрада личних података неопходна за извршење уговора у којој је субјекат података једна од уговорних страна, као што је случај, на пример, када су операције обраде неопходне за испоруку робе или за пружање било које друге услуге, обрада је заснована на основу члана 6 (1) тачка (б) ГДПР. Исто се односи и на операције обраде које су неопходне за спровођење предуговорних мера, на пример у случају питања везаних за наше производе или услуге. Када је наша компанија подложна законској обавези по којој је потребна обрада личних података, као што је испуњење пореских обавеза, обрада се заснива на члану 6 (1) тачка (ц) ГДПР. У ретким случајевима, обрада личних података може бити неопходна за заштиту виталних интереса субјекта података или другог физичког лица. То би био случај, на пример, ако би се посетилац повредио у нашој компанији и његово име, године, подаци о здравственом осигурању Page 274 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. или друге виталне информације би морали бити пренети лекару, болници или некој трећој страни. Тада би обрада била заснована на члану 6 (1) тачка (д) ГДПР. Коначно, операције обраде могу се заснивати на члану 6 (1) тачка (ф) ГДПР. Овај правни основ се користи за операције обраде које нису обухваћене ниједним горе наведеним правним основима, ако је обрада неопходна у сврху легитимних интереса које наша компанија или трећа страна настоје остварити, осим ако су такви интереси надјачани интересима или основним правима и слободама субјекта података који захтевају заштиту личних података. Такве операције обраде су изричито дозвољене јер их је нарочито поменуо европски законодавац. Сматрао је да се легитимни интерес може претпоставити ако је субјект података и клијент контролора (уводна изјава 47, реченица 2 ГДПР). D. Категорије личних података о којима је реч (члан 14 (1) тачка (д) ГДПР) Подаци клијената Подаци потенцијалних клијената Подаци запослених Подаци добављача E. Категорије прималаца личних података (члан 14 (1) тачка (е) ГДПР) Органи јавне власти Спољни органи Додатни спољни органи Орган унутрашње обраде Орган унутаргрупне обраде Остала тела Page 275 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни механизми и средства за њихово прибављање или њихово стављање на располагање (чланови 14 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР) Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних података. Од нас се може затражити листа свих повезаних компанија или прималаца. У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под условом да су субјекту података на располагању његова права и ефикасни правни лекови. Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка (ц) ГДПР. Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене су са свим примаоцима из трећих земаља пре првог преноса личних података. Стога, гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни правни лекови за субјекте података. Сваки субјект података може од нас добити копију стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном листу Европске уније (ОЈ 2010 / L 39, стр. 5-18). G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није могуће одредити, критеријуми који се користе за одређивање тог периода (члан 14 (2) тачка (а) ГДПР) Критеријум који се користи за одређивање периода чувања личних података је одговарајући, законом прописан период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу, под условом да више нису потребни за испуњење уговора или започињање уговарања. H. Обавештавање о легитимним интересима које остварује контролор или трећа страна ако се обрада заснива на члану 6 (1) тачка (ф) ГДПР (Чл. 14 (2) тачка (б) ГДПР) Према члану 6 (1) тачка (ф) ГДПР, обрада ће бити законита само ако је обрада неопходна у сврхе легитимних интереса које остварује контролор или трећа страна, осим ако су ти интереси надјачани интересима или основним правима и слободама субјекта података који захтевају заштиту личних података. Према уводној изјави 47 реченица 2 ГДПР, легитиман интерес може Page 276 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. постојати тамо где постоји релевантан и одговарајући однос између субјекта података и контролора, нпр. у ситуацијама када је субјект података клијент контролора. У свим случајевима у којима наша компанија обрађује личне податке на основу члана 6 (1) тачка (ф) ГДПР, наш легитимни интерес је да обављамо наше пословање у најбољем интересу свих наших запослених и акционара. I. Постојање права да се од контролора затражи приступ и исправка или брисање личних података или ограничење обраде у вези са субјектом података или да се уложи приговор на обраду, као и право на преносивост података (члан 14 (2) тачка (ц) ГДПР) Сви субјекти података имају следећа права: Право приступа подацима Сваки субјект података има право на приступ личним подацима који се односе на њега или њу. Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да би остварио право приступа. Право на исправку података Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише, члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху обраде, да попуни непотпуне личне податке, ту укључујући и достављање допунске изјаве. Субјект података може да нас контактира да би остварио право на исправку. Право на брисање података (право да подаци буду заборављени) Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку, међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка (б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека предвиђеног рока задржавања. Право на ограничење обраде података Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података. Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде података. Page 277 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Право на приговор Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би остварио право на приговор. Право на преносивост података Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби, субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном, уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом контролору без сметњи од стране контролора коме су већ дати лични подаци. Субјект података може да нас контактира како би остварио право на преносивост података. J. Постојање права да се повуче сагласност у било ком тренутку, без утицаја на законитост обраде на основу сагласности пре њеног повлачења, када се обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР (члан 14 (2) тачка (д) ГДПР) Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект података дао сагласност за обраду личних података за једну или више специфичних сврха или је заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да повуче своју сагласност у било које време. Повлачење сагласности не утиче на законитост обраде на основу сагласности пре њеног повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може да се деси на исти начин као што је дата или на било који други начин, који субјект података сматра једноставнијим. У данашњем информатичком друштву, вероватно је најједноставнији начин да се повуче сагласност путем е-маила. Ако субјект података жели повући свој пристанак, довољан је једноставан е-маил. Алтернативно, субјект података може изабрати било који други начин да нам саопшти своје повлачење сагласности. K. Право на подношење жалбе надзорном органу (члан 14 (2), тачка (е); члан 77 (1) ГДПР) Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе надзорном органу, члан 14 (2), тачка (е) ГДПР. Право на подношење жалбе надзорном органу регулисано је чланом 77 (1) ГДПР. Према овој одредби, без претходног улагања било ког другог Page 278 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. административног или правног лека, сваки субјект података има право да поднесе жалбу надзорном органу, посебно у држави чланици у којој се налази његово пребивалиште, радно место или место наводног прекршаја, ако субјект података сматра да обрада личних података који се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу ограничено је само правом Уније на такав начин, да се може остварити само пред једним надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да се избегну двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података жели да уложи жалбу против нас, тражимо да контактира само један надзорни орган. L. Извор личних података, и ако је примењиво, да ли долазе из јавно доступних извора (члан 14 (2) тачка (ф) ГДПР) У принципу, лични подаци се прикупљају директно од субјекта података или у сарадњи са органом (нпр. Проналажење података из званичног регистра). Остали подаци о субјектима података су изведени из трансфера групе компанија. У контексту ове опште информације, именовање тачних извора из којих су лични подаци проистекли или је немогуће или би укључивало несразмерне напоре у смислу чл. 14 (5) тачка (б) ГДПР. У принципу, ми не прикупљамо личне податке из јавно доступних извора. Сваки субјект података може нас контактирати у било које време како би добио детаљније информације о тачним изворима личних података који га се тичу. Када се порекло личних података не може предочити субјекту података јер су коришћени различити извори, треба дати опште информације (уводна изјава 61, реченица 4 ГДПР). M. Постојање аутоматизованог одлучивања, укључујући профилисање, из члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о томе о којој је логици реч, као и значај и предвиђених последица такве обраде за субјекта података (члан 14 (2) тачка (г) ГДПР) Као одговорна компанија, не користимо аутоматско одлучивање или профилисање. Page 279 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. SERBIAN: Информације о обради личних података за запослене и подносиоце захтева (члан 13, 14 ГДПР) Поштовани, Лични подаци запослених и подносиоца захтева заслужују посебну заштиту. Наш циљ је да одржимо ниво заштите података на високом нивоу. Стога константно развијамо концепт заштите података и сигурности података. Наравно, поштујемо законске одредбе о заштити података. Према члану 13, 14 ГДПР, контролори испуњавају специфичне захтеве приликом прикупљања личних података. Овај документ испуњава те обавезе. Терминологија правних прописа је компликована. Нажалост, употреба правних термина није се могла изоставити у припреми овог документа. Стога, желимо да истакнемо да сте увек добродошли да нас контактирате у вези свих питања која се тичу овог документа, коришћених термина или формулација. I. Усклађеност са захтевима за информације када се лични подаци прикупљају од субјекта података (члан 13 ГДПР) A. Идентитет и контакт подаци контролора (члан 13 (1) тачка (а) ГДПР) Види горе B. Контакт подаци службеника за заштиту података (члан 13 (1) тачка (б) ГДПР) Види горе C. Сврха обраде за коју су лични подаци намењени, као и правни основ за обраду (члан 13 (1) тачка (ц) ГДПР) За податке подносиоца пријаве, сврха обраде података је да се спроведе испитивање пријаве током процеса регрутације. У ту сврху обрађујемо све податке које сте нам доставили. На основу података достављених током процеса регрутације, ми ћемо проверити да ли сте позвани на Page 280 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. интервју за посао (део процеса селекције). У случају генерално прикладних кандидата, посебно у контексту интервјуа за посао, обрађујемо неке друге личне податке које сте нам доставили, што је од суштинске важности за нашу одлуку о одабиру. Ако вас запослимо, подаци о подносиоцима захтева ће се аутоматски променити у податке о запосленима. Као део процеса регрутације, ми ћемо обрадити друге личне податке о вама које тражимо од вас и које су потребни за склапање или испуњење вашег уговора (као што су лични идентификациони бројеви или порески бројеви). За податке о запосленима, сврха обраде података је извршење уговора о раду или поштовање других законских одредби које се односе на радни однос (нпр. Порески закон), као и коришћење ваших личних података за испуњавање уговора о раду закљученог с вама (нпр. објављивање вашег имена и контактне информације унутар компаније или клијентима). Подаци о запосленима чувају се након престанка радног односа ради испуњења законског периода задржавања. Правна основа за обраду података је члан 6 (1) тачка (б) ГДПР, члан 9 (2) тачке (б) и (х) ГДПР, члан 88 (1) ГДПР и национално законодавство, као што је за Немачку Одељак 26 БДСГ (Савезни закон о заштити података). D. Категорије примаоца личних података (члан 13 (1) тачка (е) ГДПР) Орган јавне власти Спољни орган Додатни спољни орган Орган интерне обраде Орган међугрупне обраде Остала тела E. Примаоци у трећој земљи и сврсисходни или прикладни заштитни механизми и средства за њихово прибављање или њихово стављање на располагање (чланови 13 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР) Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних података. Од нас се може затражити листа свих повезаних компанија или прималаца. Page 281 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под условом да су субјекту података на располагању његова права и ефикасни правни лекови. Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка (ц) ГДПР. Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе, гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни правни лекови за субјекте података. Сваки субјект података може од нас добити копију стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном листу Европске уније (ОЈ 2010 / L 39, стр. 5-18). F. Период у којем ће се чувати лични подаци, или ако то није могуће, критеријуме који се користе за одређивање тог периода (члан 13(2) тачка А ГДПР) Период чувања личних података кандидата је 6 месеци. За податке о запосленима примењује се односни период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу, све док више нису потребни за испуњење уговора или покретање уговора. Е. Постојање права да се од контролора затражи приступ и исправка или брисање личних података или ограничење обраде у вези са субјектом података или да се уложи приговор на обраду, као и право на преносивост података (члан 13 (2) тачка (б) ГДПР) Сви субјекти података имају следећа права: Право приступа Сваки субјект података има право на приступ личним подацима који се односе на њега или њу. Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да би остварио право приступа. Page 282 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Право на исправку Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише, члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху обраде, да допуни непотпуне личне податке, укључујући и достављање допунске изјаве. Субјект података може да нас контактира да би остварио право на исправку. Право на брисање (право да подаци буду заборављени) Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку, међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка (б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока задржавања. Право на ограничење обраде података Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података. Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде података. Право на приговор Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би остварио право на приговор. Право на преносивост података Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби, субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном, уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом контролору без сметњи од стране контролора коме су већ дати лични подаци. Субјект података може да нас контактира како би остварио право на преносивост података. F. Постојање права да се повуче сагласност у било ком тренутку, без утицаја на законитост обраде на основу сагласности пре њеног повлачења, када се обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР (члан 14 (2) тачка (д) ГДПР) Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект података дао сагласност за обраду личних података за једну или више специфичних сврха или је Page 283 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да повуче своју сагласност у било које време. Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може да се деси на исти начин као што је дата или на било који други начин, који субјект података сматра једноставнијим. У данашњем информатичком друштву, вероватно је најједноставнији начин да се повуче сагласност путем е-маила. Ако субјект података жели повући свој пристанак који нам је претходно дат, довољан је једноставан е-маил. Алтернативно, субјект података може изабрати било који други начин да нам саопшти своје повлачење сагласности. G. Право на подношење жалбе надзорном органу (члан 13 (2), тачка (д); члан 77 (1) ГДПР) Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе надзорном органу, члан 13 (2), тачка (д) ГДПР. Право на подношење жалбе надзорном органу регулисано је чланом 77 (1) ГДПР. Према овој одредби, пре улагања било ког другог административног или правног лека, сваки субјект података има право да поднесе жалбу надзорном органу, нарочито у држави чланици у којој се налази његово или њено пребивалиште, радно место или место наводног прекршаја, ако субјект података сматра да обрада личних података који се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу ограничено је само правом Уније на такав начин, да се може остварити само пред једним надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да избегне двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података жели да уложи жалбу против нас, тражимо да контактира само један надзорни орган. H. Пружање личних података као законских или уговорних захтева; Потреба за склапање уговора; Обавеза субјекта података да достави личне податке; могуће последице не пружања таквих података (члан 13, тачка (е) ГДПР) Појаснили смо да је давање личних података делимично обавезно по закону (нпр. Порески прописи) или може бити резултат уговорних одредби (нпр. Информације о уговорном партнеру). Понекад може бити потребно закључити уговор којим нам субјект података даје личне податке, које морамо накнадно обрадити. Субјект података је, на пример, обавезан да нам достави личне податке када наша компанија потпише уговор са њим или њом. Непружање личних података имало би за последицу да се уговор са субјектом података не може закључити. Page 284 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Пре него што субјект података да личне податке, субјект података мора нас контактирати. Објаснићемо субјекту података да ли је пружање личних података обавезно по закону или уговору или је неопходно за закључивање уговора, да ли постоји обавеза давања личних података и последица непружања личних података. K. Постојање аутоматизованог одлучивања, укључујући профилисање, из члана 22 (1) и (4) ГДПР и, бар у тим случајевима, значајне информације о томе о којој је логици реч, као и значај и предвиђених последица такве обраде за субјекта података (члан 13 (2) тачка (ф) ГДПР) Као одговорна компанија, не користимо аутоматско одлучивање или профилисање. II. Усклађеност са захтевима за информације када се лични подаци не прикупљају од субјекта података (члан 14 ГДПР) A. Идентитет и контакт подаци контролора (члан 14 (1) тачка (а) ГДПР) Види горе B. Контакт подаци службеника за заштиту података (члан 14 (1) тачка (б) ГДПР) Види горе C. Сврха обраде за коју су лични подаци намењени, као и правни основ за обраду (члан 14 (1) тачка (ц) ГДПР) За податке подносиоца захтјева који нису прикупљени од субјекта података, сврха обраде података је да се спроведе испитивање пријаве током процеса регрутације. У ту сврху можемо обрађивати податке који нису прикупљени од вас. На основу података достављених током процеса регрутације, ми ћемо проверити да ли сте позвани на интервју за посао (део процеса селекције). Ако вас запослимо, подаци о подносиоцима захтева ће се аутоматски променити у податке о запосленима. За податке о запосленима, сврха обраде података је извршење уговора о раду или поштовање других законских одредби које се односе на радни однос. Подаци о запосленима чувају се након престанка радног односа ради испуњења законског периода задржавања. Page 285 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Правна основа за обраду података је члан 6 (1) тачка (б) и (ф) ГДПР, члан 9 (2) тачке (б) и (х) ГДПР, члан 88 (1) ГДПР и национално законодавство, као што је за Немачку Одељак 26 БДСГ (Савезни закон о заштити података). D. Категорије личних података о којима је реч (члан 14 (1) тачка (д) ГДПР) Подаци подносиоца захтева Подаци о запосленима E. Категорије примаоца личних података (члан 14 (1) тачка (е) ГДПР) Орган јавне власти Спољни орган Додатни спољни орган Орган интерне обраде Орган међугрупне обраде Остала тела F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни механизми и средства за њихово прибављање или њихово стављање на располагање (чланови 14 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР) Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних података. Од нас се може затражити листа свих повезаних компанија или прималаца. У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под условом да су субјекту података на располагању његова права и ефикасни правни лекови. Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним Page 286 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. овлашћењем од стране надзорног органа путем стандардних клаузула за заштиту података, члан 46 (2) тачка (ц) ГДПР. Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе, гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни правни лекови за субјекте података. Сваки субјект података може од нас добити копију стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном листу Европске уније (ОЈ 2010 / L 39, стр. 5-18). G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није могуће одредити, критеријуми који се користе за одређивање тог периода (члан 14 (2) тачка (а) ГДПР) Рок чувања личних података кандидата је 6 месеци. За податке о запосленима примењује се прописани период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу, под условом да више нису потребни за испуњење уговора или започињање уговарања. H. Обавештавање о легитимним интересима које остварује контролор или трећа страна ако се обрада заснива на члану 6 (1) тачка (ф) ГДПР (Чл. 14 (2) тачка (б) ГДПР) Према члану 6 (1) тачка (ф) ГДПР, обрада ће бити законита само ако је обрада неопходна у сврхе легитимних интереса које остварује контролор или трећа страна, изузев ако су ти интереси надјачани интересима или основним правима и слободама субјекта података који захтевају заштиту личних података. Према уводној изјави 47 реченица 2 ГДПР, легитиман интерес може постојати тамо где постоји релевантан и одговарајући однос између субјекта података и контролора, нпр. у ситуацијама када је субјект података клијент контролора. У свим случајевима у којима наша компанија обрађује податке подносиоца пријаве на основу члана 6 (1) тачка (ф) ГДПР, наш легитимни интерес је запошљавање одговарајућег особља и професионалаца. I. Постојање права да се од контролора затражи приступ и исправка или брисање личних података или ограничење обраде у вези са субјектом података или да се уложи приговор на обраду, као и право на преносивост података (члан 14 (2) тачка (ц) ГДПР) Сви субјекти података имају следећа права: Page 287 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Право приступа подацима Сваки субјект података има право на приступ личним подацима који се односе на њега или њу. Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да би остварио право приступа. Право на исправку података Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише, члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху обраде, да попуни непотпуне личне податке, ту укључујући и достављање допунске изјаве. Субјект података може да нас контактира да би остварио право на исправку. Право на брисање података (право да подаци буду заборављени) Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку, међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка (б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока задржавања. Право на ограничење обраде података Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података. Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде података. Право на приговор Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би остварио право на приговор. Право на преносивост података Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби, субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном, уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом контролору без сметњи од стране контролора коме су првобитно дати лични подаци. Субјект података може да нас контактира како би остварио право на преносивост података. Page 288 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. J. Постојање права да се повуче сагласност у било ком тренутку, без утицаја на законитост обраде на основу сагласности пре њеног повлачења, када се обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР (члан 14 (2) тачка (д) ГДПР) Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект података дао сагласност за обраду личних података за једну или више специфичних сврха или је заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да повуче своју сагласност у било које време. Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може да се деси на исти начин као што је дат пристанак или на било који други начин, који субјект података сматра једноставнијим. У данашњем информатичком друштву, вероватно је најједноставнији начин да се повуче сагласност једноставним е-маилом. Ако субјект података жели повући свој пристанак, довољан је једноставан е-маил. Алтернативно, субјект података може изабрати било који други начин да нам саопшти своје повлачење сагласности. K. Право на подношење жалбе надзорном органу (члан 14 (2), тачка (е); члан 77 (1) ГДПР) Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе надзорном органу, члан 14 (2), тачка (е) ГДПР. Право на подношење жалбе надзорном органу регулисано је чланом 77 (1) ГДПР. Према овој одредби, без прејудицирања било ког другог административног или правног лека, сваки субјект података има право да поднесе жалбу надзорном органу, посебно у држави чланици у којој се налази његово пребивалиште, радно место или место наводног прекршаја, ако субјект података сматра да обрада личних података који се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу ограничено је само правом Уније на такав начин, да се може остварити само пред једним надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да избегне двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података жели да уложи жалбу против нас, тражимо да контактира само један надзорни орган. Page 289 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. L. Извор одакле лични подаци потичу, и ако је примењиво, да ли долазе из јавно доступних извора (члан 14 (2) тачка (ф) ГДПР) У принципу, лични подаци се прикупљају директно од субјекта података или у сарадњи са органом (нпр. Проналажење података из званичног регистра). Остали подаци о субјектима података су изведени из трансфера групе компанија. У контексту ове опште информације, именовање тачних извора из којих су лични подаци проистекли или је немогуће или би укључивало несразмерне напоре у смислу чл. 14 (5) тачка (б) ГДПР. У принципу, ми не прикупљамо личне податке из јавно доступних извора. Сваки субјект података може нас контактирати у било које време како би добио детаљније информације о тачним изворима личних података који се односе на њега. Када се порекло личних података не може предочити субјекту података јер су коришћени различити извори, треба дати опште информације (уводна изјава 61, реченица 4 ГДПР). M. Постојање аутоматизованог одлучивања, укључујући профилисање, из члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о томе о којој је логици реч, као и значај и предвиђених последица такве обраде за субјекта података (члан 14 (2) тачка (г) ГДПР) Као одговорна компанија, не користимо аутоматско одлучивање или профилисање. Page 290 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. RUSSIAN: Информация об обработке персональных данных (статья 13, 14 Общий Регламент по Защите Данных, ОРЗД (GDPR)) Уважаемые дамы или господа, Персональные данные каждого человека, который находится в договорных, преддоговорных или иных отношениях с нашей компанией, заслуживают особой защиты. Наша цель – поддерживать высокий уровень защиты данных. Поэтому мы постоянно развиваем наши концепции защиты данных. Разумеется, мы соблюдаем законодательные положения о защите данных. Согласно Статье 13, 14 ОРЗД, контролеры отвечают определенным информационным требованиям при сборе персональных данных. Этот документ выполняет следующие обязательства. Терминология правовых норм сложна. К сожалению, использование юридических терминов нельзя было обойтись при подготовке этого документа. Поэтому мы хотели бы отметить, что вы всегда можете связаться с нами по всем вопросам, касающимся этого документа, используемых терминов или формулировок. I. Соответствие требованиям в отношении информации, когда личные данные собираются от субъекта данных (статья 13 ОРЗД) А. Идентификационные данные и контактные данные контролера (статья 13 (1) букв. ОРЗД) См. Выше B. Контактные данные защиты данных Сотрудников (статья 13 (1) лит. B ОРЗД) См. Выше C. Цели обработки, для которых предназначены личные данные, а также правовая основа для их обработки (Статья 13 (1) лит. в ОРЗД) Цель обработки персональных данных – это обработка всех операций, которые касаются контролера, клиентов, потенциальных клиентов, деловых партнеров или других договорных или преддоговорных отношений между названными группами (в широком смысле) или юридических обязательств контролера. Page 291 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Изобразительное искусство. 6 (1) лит. ОРЗД служит правовой основой для операций обработки, на которые мы получаем согласие для конкретной цели обработки. Если обработка персональных данных необходима для выполнения договора, участником которого является субъект данных, как, например, в случае, когда операции обработки необходимы для поставки товаров или для предоставления какой-либо другой услуги, обработка является на основании статьи 6 (1) лит. б ОРЗД. То же самое относится к таким операциям обработки, которые необходимы для выполнения преддоговорных мер, например, в случае запросов относительно наших продуктов или услуг. Подлежит ли наша компания юридическому обязательству, при котором требуется обработка персональных данных, например, для выполнения налоговых обязательств, обработка основана на ст. 6 (1) в ОРЗД. В редких случаях обработка персональных данных может быть необходима для защиты жизненно важных интересов субъекта данных или другого физического лица. Это может иметь место, например, если посетитель получил травму в нашей компании и его имя, возраст, данные медицинского страхования или другая важная информация должны были быть переданы врачу, больнице или другой третьей стороне. Тогда обработка будет основана на ст. 6 (1) лит. г ОРЗД. Наконец, обработка может быть основана на Статье 6 (1) лит. е ОРЗД. Эта правовая основа используется для операций обработки, которые не подпадают ни под одно из вышеупомянутых правовых оснований, если обработка необходима для целей законных интересов, преследуемых нашей компанией или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или фундаментальные права и свободы субъекта данных, которые требуют защиты персональных данных. Такие операции обработки особенно допустимы, потому что они были специально упомянуты европейским законодателем. Он считал, что законный интерес может быть принят, если субъект данных является клиентом контролера (Декламация 47 Предложение 2 ОРЗД). D. Если обработка основана на статье 6 (1) лит. е GDPR законные интересы, преследуемые контролером или третьей стороной (Статья 13 (1) лит. г ОРЗД) Если обработка персональных данных основана на Статье 6 (1) лит. е ОРЗД наш законный интерес состоит в том, чтобы вести наш бизнес в интересах благополучия всех наших сотрудников и акционеров. E. Категории получателей персональных данных (статья 13 (1) и т. д. ОРЗД) Государственные органы Внешние органы Дополнительные внешние органы Внутренняя обработка Внутригрупповая обработка Page 292 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Другие органы F. Получатели в третьей стране и соответствующие или подходящие гарантии и средства, с помощью которых получить их копию или там, где они были предоставлены (статья 13 (1) лит. д, 46 (1), 46 (2) лит. в ОРЗД) Все компании и филиалы, входящие в нашу группу (далее упоминается) к «групповым компаниям»), которые имеют свое коммерческое предприятие или офис в третьей стране, могут принадлежать получателям персональных данных. У нас можно запросить список всех компаний или получателей группы. Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные только в третью страну, если контроллер или процессор предоставил соответствующие гарантии, и при условии, что для субъектов данных доступны действующие права субъекта данных и эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть предоставлены без какого-либо специального разрешения от надзорного органа посредством стандартных договорных положений, Статья 46 (2) лит. в ОРЗД. Стандартные договорные положения Европейского Союза или другие соответствующие меры предосторожности согласовываются со всеми получателями из третьих стран до первой передачи персональных данных. Следовательно, гарантируется, что гарантируются надлежащие меры защиты, осуществимые права субъекта данных и эффективные средства правовой защиты для субъектов данных. Каждый субъект данных может получить у нас копию стандартных договорных положений. Стандартные договорные положения также доступны в Официальном журнале Европейского Союза (OЖ 2010 / Л 39, стр. 5-18). G. Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода (Статья 13 (2) лит. ОРЗД) Критерии, используемые для определения периода хранения персональных данных, соответствующий установленный законом срок хранения. По истечении этого периода соответствующие данные обычно удаляются, если они больше не нужны для выполнения контракта или для инициирования контракта. H. Наличие права запрашивать у контролера доступ и исправление или удаление персональных данных или ограничение обработки, касающейся субъекта данных или объекта обработки, а также право на переносимость данных (статья 13 (2) лит. В ОРЗД) Все субъекты данных имеют следующие права: Page 293 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Право на доступ Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко и через разумные промежутки времени, чтобы знать и проверять законность обработки (Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с нами, чтобы воспользоваться правом доступа. Право на исправление В соответствии со Статьей 16 Предложения 1 ОРЗД субъект данных имеет право без промедления получить от контролера исправление неточных личных данных, касающихся его или ее. Кроме того, Статья 16 Предложения 2 ОРЗД предусматривает, что субъект данных имеет право, с учетом целей обработки, заполнять неполные персональные данные, в том числе посредством предоставления дополнительного заявления. Субъект данных может связаться с нами для осуществления права на исправление. Право на удаление (право быть забытым) Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст. 17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако, мы хотели бы указать, что это право не применяется, поскольку обработка необходима для выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3) освещена. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после истечения установленного законом срока хранения. Право на ограничение обработки Согласно статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки. Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18 (1), объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы воспользоваться правом на ограничение обработки. Право на возражение Кроме того, ст. 21 ОРЗД гарантирует право на возражение. Субъект данных может связаться с нами, чтобы воспользоваться правом на возражение. Право на переносимость данных Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. В соответствии с этим положением субъект данных в условиях, изложенных в Статье 20 (1), освещен. a и б ОРЗД – право на получение относящихся к нему персональных данных, которые он или она предоставил контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет право передавать эти данные другому контроллеру без помех от контроллера, которому были предоставлены персональные данные. Субъект данных может связаться с нами, чтобы воспользоваться правом на переносимость данных. I. Наличие права на отзыв согласия в любое время, не затрагивая законность обработки, основанной на согласии до его отзыва, если обработка основана на статье 6 (1) лит. ОРЗД или Статья 9 (2) лит. ОРЗД (Статья 13 (2) лит. в ОРЗД) Если обработка персональных данных основана на ст. 6 (1) лит. ОРЗД, что имеет место, если субъект данных дал согласие на обработку персональных данных для одной или нескольких Page 294 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. конкретных целей или он основан на Статье 9 (2) освещен. ОРЗД, который регулирует явное согласие на обработку специальных категорий персональных данных, субъект данных в соответствии со Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва, Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3) Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как было дано согласие, или любым другим способом, который субъект данных считает более простым. В современном информационном обществе, вероятно, самый простой способ отозвать согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие, нам достаточно простого электронного письма. В качестве альтернативы субъект данных может выбрать любой другой способ сообщить о своем отзыве согласия. J. Право подать жалобу в надзорный орган (статья 13 (2) лит. Г, 77 (1) ОРЗД) Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в надзорный орган, Статья 13 (2) лит. г ОРЗД. Право на подачу жалобы в надзорный орган регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого административного или судебного средства правовой защиты, каждый субъект данных имеет право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места жительства, места работы или места работы. предполагаемое нарушение, если субъект данных считает, что обработка относящихся к нему персональных данных нарушает Общие положения о защите данных. Право на подачу жалобы в надзорный орган ограничивалось законодательством Союза только таким образом, что оно может быть реализовано только в одном надзорном органе (Декламация 141 Предложение 1 ОРЗД). Это правило направлено на то, чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос. Если субъект данных хочет подать жалобу на нас, мы просим связаться только с одним надзорным органом. K. Предоставление персональных данных в качестве законодательного или договорного требования; Требование, необходимое для заключения договора; Обязательство субъекта данных предоставлять персональные данные; возможные последствия непредоставления таких данных (ст. 13 (2) лит. e ОРЗД) Мы разъясняем, что предоставление персональных данных частично требуется законом (например, налоговые правила) или также может быть результатом договорных положений (например, информация о договорный партнер). Иногда может потребоваться заключить договор о том, что субъект данных предоставляет нам персональные данные, которые впоследствии должны быть обработаны нами. Субъект данных, например, обязан предоставить нам персональные данные, когда наша компания заключает с ним договор. Непредоставление персональных данных приведет к тому, что договор с субъектом данных не может быть заключен. Page 295 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Прежде чем личные данные будут предоставлены субъект данных должен связаться с нами. Мы уточняем субъекту данных, требуется ли предоставление персональных данных по закону или договору или необходимо для заключения договора, есть ли обязательство предоставлять персональные данные и последствия непредоставления персональных данных , L. Наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4) ОРЗД, и, по крайней мере, в этих случаях, содержательную информацию о соответствующей логике, а также о значении и предполагаемых последствиях такая обработка для субъекта данных (Статья 13 (2), лит. д ОРЗД) Как ответственная компания, мы не используем автоматическое принятие решений или профилирование. II. Соответствие требованиям в отношении информации, когда личные данные не собираются от субъекта данных (Статья 14 ОРЗД) А. Идентификационные данные и контактные данные контролера (Статья 14 (1) лит. ОРЗД) См. Выше B. Контактные данные данных Сотрудник по защите (Статья 14 (1), лит. B ОРЗД) См. Выше C. Цели обработки, для которых предназначены персональные данные, а также правовое основание для обработки (статья 14 (1), лит. в ОРЗД) Цель обработка персональных данных – это обработка всех операций, которые касаются контролера, клиентов, потенциальных клиентов, деловых партнеров или других договорных или преддоговорных отношений между названными группами (в широком смысле) или юридических обязательств контролера. Если обработка персональных данных необходима для выполнения договора, участником которого является субъект данных, как, например, в случае, когда операции обработки необходимы для поставки товаров или для предоставления какой-либо другой услуги, обработка является на основании Статьи 6 (1) лит. б ОРЗД. То же самое относится к таким операциям Page 296 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. обработки, которые необходимы для выполнения преддоговорных мер, например, в случае запросов относительно наших продуктов или услуг. Подлежит ли наша компания юридическому обязательству, при котором требуется обработка персональных данных, например, для выполнения налоговых обязательств, обработка основана на ст. 6 (1) горит c ОРЗД. В редких случаях обработка персональных данных может быть необходима для защиты жизненно важных интересов субъекта данных или другого физического лица. Это может иметь место, например, если посетитель получил травму в нашей компании и его имя, возраст, данные медицинского страхования или другая важная информация должны были быть переданы врачу, больнице или другой третьей стороне. Тогда обработка будет основана на ст. 6 (1) г ОРЗД. Наконец, обработка может быть основана на Статье 6 (1) лит. д ОРЗД. Эта правовая основа используется для операций обработки, которые не подпадают ни под одно из вышеупомянутых правовых оснований, если обработка необходима для целей законных интересов, преследуемых нашей компанией или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или фундаментальные права и свободы субъекта данных, которые требуют защиты персональных данных. Такие операции обработки особенно допустимы, потому что они были специально упомянуты европейским законодателем. Он считал, что законный интерес может быть принят, если субъект данных является клиентом контролера (Декламация 47 Предложения 2 ОРЗД). Г. Категория персональных данныхсвязанных (Статья 14 (1) лит. г ОРЗД) данные клиентов Данныепотенциальных клиентов данных работников данных поставщиков Д. категорий получателей персональных данных (Статья 14 (1) лит. г ОРЗД) Государственные органы Внешние органы Другие внешние органы Внутренняя обработка Внутригрупповая обработка Другие органы Page 297 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. Е. Получатели в третьей стране и соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или когда они были предоставлены (Статья 14 (1) лит. д, 46 (1), 46 (2) лит. в ОРЗД) Все компании и филиалы, входящие в нашу группу (далее именуемые «группы компаний»), которые имеют коммерческие предприятия или офис в третьей стране. могут принадлежать получателям персональных данных. Список всех компаний группы можно запросить у нас. Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные только в третью страну, если контроллер или процессор предоставил соответствующие гарантии, и при условии, что для субъектов данных доступны действующие права субъекта данных и эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть предоставлены без какого-либо специального разрешения от надзорного органа посредством стандартных положений о защите данных, статья 46 (2) освещена. c ОРЗД. Стандартные договорные положения Европейского Союза или другие соответствующие меры предосторожности согласовываются со всеми получателями из третьих стран до первой передачи персональных данных. Следовательно, гарантируется, что гарантируются надлежащие меры защиты, осуществимые права субъекта данных и эффективные средства правовой защиты для субъектов данных. Каждый субъект данных может получить у нас копию стандартных договорных положений. Стандартные договорные положения также доступны в Официальном журнале Европейского Союза (OЖ 2010 / Л 39, стр. 5-18). Ë. Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода (Статья 14 (2) лит. ОРЗД) Критерии, используемые для определения периода хранения персональных данных: соответствующий установленный законом срок хранения. По истечении этого периода соответствующие данные обычно удаляются, если они больше не нужны для выполнения контракта или для инициирования контракта. Ж. Уведомление о законных интересах, преследуемых контролером или третьей стороной, если обработка основана на статье 6 (1) лит. г ОРЗД (ст. 14 (2) лит. б ОРЗД) В соответствии со Статьей 6 (1) лит. д ОРЗД, обработка должна быть законной, только если обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты. личных данных. Согласно Декламации 47 Предложения 2 ОРЗД, законный интерес может существовать в тех случаях, когда существует релевантная и надлежащая связь между субъектом данных и контроллером, например, в ситуациях, когда субъект данных является клиентом контроллера. Во всех случаях, когда наша компания обрабатывает персональные данные в соответствии со статьей 6 (1) лит. г ОРЗД, наш законный интерес заключается в том, чтобы вести наш бизнес в интересах благополучия всех наших сотрудников и акционеров. Page 298 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. З. Наличие права запрашивать у контролера доступ и исправление или стирание персональных данных или ограничение обработки, касающейся субъекта данных и объекта обработки, а также право на переносимость данных (Статья 14 (2) лит. В) ОРЗД) Все субъекты данных имеют следующие права: Право на доступ Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко и через разумные промежутки времени, чтобы знать и проверять законность обработки (Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с нами, чтобы воспользоваться правом доступа. Право на исправление В соответствии со Статьей 16 Предложения 1 ОРЗД субъект данных имеет право без промедления получить от контролера исправление неточных личных данных, касающихся его или ее. Кроме того, Статья 16 Предложения 2 ОРЗД предусматривает, что субъект данных имеет право, с учетом целей обработки, заполнять неполные персональные данные, в том числе посредством предоставления дополнительного заявления. Субъект данных может связаться с нами для осуществления права на исправление. Право на удаление (право быть забытым) Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст. 17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако, мы хотели бы указать, что это право не применяется, поскольку обработка необходима для выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3) освещена. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после истечения установленного законом срока хранения. Право на ограничение обработки Согласно Статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки. Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18 (1), лит. объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы воспользоваться правом на ограничение обработки. Право на возражение Кроме того, ст. 21 ОРЗД гарантирует право на возражение. Субъект данных может связаться с нами, чтобы воспользоваться правом на возражение. Право на переносимость данных Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. Согласно этому положению субъект данных в условиях, изложенных в Статье 20 (1), освещен. a и б ОРЗД – право на получение относящихся к нему персональных данных, которые он или она предоставил контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет право передавать эти данные другому контроллеру без помех от контроллера, которому были Page 299 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. предоставлены персональные данные. Субъект данных может связаться с нами, чтобы воспользоваться правом на переносимость данных. Ы. Наличие права на отзыв согласия в любое время, не затрагивая законность обработки, основанной на согласии до его отзыва, если обработка основана на статье 6 (1) лит. или Статья 9 (2) лит. ОРЗД (ст. 14 (2) лит. г ОРЗД) Если обработка персональных данных основана на ст. 6 (1) горит ОРЗД, что имеет место, если субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей или он основан на Статье 9 (2) лит. ОРЗД, который регулирует явное согласие на обработку специальных категорий персональных данных, субъект данных в соответствии со Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва, Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3) Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как было дано согласие, или любым другим способом, который субъект данных считает более простым. В современном информационном обществе, вероятно, самый простой способ отозвать согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие, нам достаточно простого электронного письма. В качестве альтернативы субъект данных может выбрать любой другой способ сообщить о своем отзыве согласия. Й. Право подать жалобу в надзорный орган (Статья 14 (2) и т. Д. 77 (1) ОРЗД) Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в надзорный орган , Статья 14 (2) лит. e ОРЗД. Право на подачу жалобы в надзорный орган регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого административного или судебного средства правовой защиты, каждый субъект данных имеет право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места жительства, места работы или места работы. предполагаемое нарушение, если субъект данных считает, что обработка относящихся к нему персональных данных нарушает Общие положения о защите данных. Право на подачу жалобы в надзорный орган ограничивалось законодательством Союза только таким образом, что оно может быть реализовано только в одном надзорном органе (Декламация 141 Предложения 1 ОРЗД). Это правило направлено на то, чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос. Если субъект данных хочет подать жалобу на нас, мы просим связаться только с одним надзорным органом. К. Источник, из которого происходят персональные данные, и, если применимо, получены ли они из общедоступных источников (Статья 14 (2), лит. г ОРЗД) В принципе, личные данные собираются непосредственно от субъекта данных или в сотрудничестве с органом (например, поиск данных из официального реестра). Другие данные по темам данных получено из передач группы компаний. В контексте этой общей информации наименование точных источников, из которых получены личные данные, либо невозможно, либо Page 300 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. может привести к непропорциональным усилиям по смыслу ст. 14 (5) лит. б ОРЗД. В принципе, мы не собираем личные данные из общедоступных источников. Любой субъект данных может связаться с нами в любое время, чтобы получить более подробную информацию о точных источниках персональных данных, касающихся его или ее. Если источник личных данных не может быть предоставлен субъекту данных из-за того, что использовались различные источники, должна быть предоставлена общая информация ( Декламация 61 Предложения 4 ОРЗД). Л. Наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4) ОРЗД, и, по крайней мере, в этих случаях, содержательную информацию о соответствующей логике, а также о значении и предполагаемых последствиях такая обработка для субъекта данных (Статья 14 (2) лит. Ë ОРЗД) Как ответственная компания, мы не используем автоматическое принятие решений или профилирование. Page 301 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved. RUSSIAN: Информация об обработке персональных данных для сотрудников и заявителей (статья 13, 14 Общий Регламент по Защите Данных, ОРЗД (GDPR)) Уважаемые дамы или господа, Персональные данные сотрудников и заявителей заслуживают особой защиты. Наша цель – поддерживать высокий уровень защиты данных. Поэтому мы постоянно развиваем наши концепции защиты и защиты данных. Разумеется, мы соблюдаем законодательные положения о защите данных. Согласно Статье 13, 14 ОРЗД, контролеры отвечают определенным информационным требованиям при обработке персональных данных. Этот документ выполняет эти обязательства. Терминология правового регулирования сложна. К сожалению, использование юридических терминов нельзя было обойтись при подготовке этого документа. Поэтому мы хотели бы отметить, что вы всегда можете связаться с нами по всем вопросам, касающимся этого документа, используемых терминов или формули