Privacy Policy DE
AUSTINSHIRE PARTNERS, LLC - UK DATENSCHUTZERKLÄRUNG
Letzte Aktualisierung: Januar 2024
Nächstes Überprüfungsdatum: Januar 2025
Geltungsbereich und Zweck dieser Richtlinie
Diese Richtlinie legt den Ansatz von Results Generation, B.V., Zekeringstraat 21B, 1014BM, Amsterdam, NL (das Unternehmen) zur Einhaltung seiner gesetzlichen Verpflichtungen gemäß dem Data Protection Act 1998, der EU-Datenschutz-Grundverordnung 2016/ 679) (die DSGVO), das Data Protection Act 2018, die Data Protection (Charges and Information) Regulations 2018 und die Privacy and Electronic (EC Directive) Regulations 2003 (in der jeweils geänderten oder ersetzten Fassung) und alle anderen anwendbaren Datenschutzbestimmungen Gesetzgebung (zusammen die Datenschutzgesetzgebung). Diese Richtlinie berücksichtigt auch die einschlägigen Leitlinien, die vom Information Commissioner's Office (ICO), der Datenschutzbehörde für England und Wales, veröffentlicht wurden.
Das Unternehmen nimmt den Schutz personenbezogener Daten von Einzelpersonen ernst und hat seine Praktiken und Richtlinien in Bezug auf die Datenschutzgrundsätze entwickelt, die in der Datenschutzgesetzgebung festgelegt sind.
Das Unternehmen fungiert unter Umständen als Datenverantwortlicher im Sinne der Datenschutzgesetzgebung und hat das ICO diesbezüglich benachrichtigt. Die Registrierungsnummer des Unternehmens im ICO-Register der Datenverantwortlichen lautet 67788254. Eine Kopie des Eintrags des Unternehmens im Register kann online unter http://ico.org.uk/esdwebpages/search oder in Anhang 1 dieser Richtlinie eingesehen werden.
Der vom Unternehmen ernannte Datenschutzbeauftragte. Der Datenschutzbeauftragte ist für die Überwachung des Datenschutzes innerhalb des Unternehmens verantwortlich, einschließlich dieser Richtlinie und der Verfahren, die unter oder in Bezug darauf entwickelt wurden. Der Datenschutzbeauftragte kann in Bezug auf alle Fragen zu dieser Richtlinie über die folgenden Kontaktdaten kontaktiert werden: abuse@resultsgeneration.com.
Schlüsselbegriffe und Definitionen
Zustimmung
Jede frei gegebene, spezifische, informierte und eindeutige Willensbekundung der betroffenen Person, durch die sie durch eine Erklärung oder durch eine eindeutige zustimmende Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden personenbezogenen Daten erklärt. Für die Verarbeitung besonderer Kategorien personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich.
Regler
Eine Person oder Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Prozessor
Eine Person oder Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
betroffene Person
Umfasst alle lebenden Personen, über die das Unternehmen personenbezogene Daten besitzt. Eine betroffene Person muss kein Staatsangehöriger oder Einwohner des Vereinigten Königreichs sein. Alle betroffenen Personen, die unsere Dienste in der Europäischen Union nutzen, haben gesetzliche Rechte in Bezug auf ihre personenbezogenen Daten.
der DPO
Die Person, die für die Überwachung des Ansatzes des Unternehmens zur Einhaltung der Datenschutzgesetze verantwortlich ist.
ICO
Das Information Commissioner's Office ist die für die Umsetzung und Überwachung der Datenschutzgesetzgebung zuständige Regulierungsbehörde.
Benachrichtigung
Benachrichtigung des ICO über die Datenverarbeitungsaktivitäten des Unternehmens, sodass das Unternehmen als Datenverantwortlicher registriert ist und im öffentlichen Register des ICO erscheint.
persönliche Daten
Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen körperlichen, physiologischen Merkmalen identifiziert werden kann , genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person. Personenbezogene Daten können Tatsachen oder eine Meinung über diese Person, ihre Handlungen und/oder ihr Verhalten sein, die sie direkt oder indirekt identifizieren.
wird bearbeitet
In Bezug auf Informationen oder Daten bedeutet die Verarbeitung jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. oder Veränderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitiges Zurverfügungstellen, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.
besondere Kategorien personenbezogener Daten
Personenbezogene Daten, die sich auf eine lebende Person beziehen:
- Rasse oder ethnische Herkunft;
- politische meinungen;
- Religion oder ähnliche Überzeugungen;
- Gewerkschaftszugehörigkeit;
- körperliche oder geistige Gesundheit;
- Sexualleben;
- genetische Daten;
- biometrische Daten; und
- Vorstrafen oder Verfahren.
Die Geschäftstätigkeit und Datenerhebung des Unternehmens
Das Unternehmen entwickelt, besitzt oder besitzt die Rechte an bestimmten Technologien im Zusammenhang mit der Verbreitung von kommerziellen E-Mails und führt kommerzielle Werbe- und Marketingaktivitäten durch, die sich per E-Mail an Verbraucher richten. Verbraucher können sich anmelden, um Marketinginformationen vom Unternehmen über eine der Websites des Unternehmens oder über die externen Marketingpartner des Unternehmens zu erhalten.
Im Rahmen seiner Geschäftstätigkeit sammelt und verwendet das Unternehmen bestimmte Arten von Informationen über:
- seine Mitarbeiter und die Mitarbeiter seiner Agenten, Mitarbeiter und Werbepartner;
- die Personen, die über seine Websites oder anderweitig mit dem Unternehmen in Kontakt kommen;
- Servicebenutzer, die sich anmelden, um Informationen direkt vom Unternehmen zu erhalten; und,
- Personen, die den Erhalt von Marketingmaterialien des Unternehmens über die externen Marketingpartner des Unternehmens abonniert haben.
Seine personenbezogenen Daten müssen erfasst und angemessen behandelt werden, unabhängig davon, ob sie auf Papier erfasst, in einer Computerdatenbank gespeichert oder auf anderem Material aufgezeichnet werden, und es gibt Sicherheitsvorkehrungen, um dies gemäß den Datenschutzgesetzen zu gewährleisten.
Als Datenverantwortlicher bestimmt das Unternehmen die Zwecke, für die diese Daten erhoben, gespeichert, verarbeitet und gelöscht werden.
Datensammlung
Die Geschäftstätigkeit des Unternehmens umfasst die Verarbeitung personenbezogener Daten, um Direktmarketing für betroffene Personen zu betreiben. In der Regel (aber nicht ausschließlich) kann das Unternehmen personenbezogene Daten für solche Zwecke von seinen externen Marketingpartnern erhalten und sich auf die Zustimmung verlassen, die die betroffenen Personen diesen Unternehmen erteilen.
Das Unternehmen ergreift die folgenden Maßnahmen, um die Gültigkeit der Zustimmung der betroffenen Personen gegenüber seinen Drittmarketingpartnern zum Erhalt von elektronischem Direktmarketing vom Unternehmen zu bewerten und sicherzustellen:
- verlangt von seinen Drittanbieter-Marketingpartnern, dass sie eine spezifische und informierte Zustimmung der betroffenen Personen einholen, einschließlich (sofern praktikabel) durch die ausdrückliche Nennung des Unternehmens in ihren jeweiligen Einwilligungserklärungen/Webformularen und Datenschutzrichtlinien, die für die beabsichtigte Datenverarbeitung durch das Unternehmen angemessen sind Daten der Probanden;
- verpflichtet sich, seine externen Marketingpartner und alle Datenbanken mit personenbezogenen Daten, die sie dem Unternehmen zur Verfügung stellen, mit der gebotenen Sorgfalt zu prüfen;
- stellt sicher, dass angemessene vertragliche Schutzmaßnahmen (einschließlich Garantien) vorhanden sind, um seine Drittmarketingpartner zu verpflichten, die Einwilligung auf konforme Weise einzuholen, einschließlich der Verpflichtung, Aufzeichnungen darüber zu führen und verfügbar zu machen, wann und wozu die Einwilligung von einer betroffenen Person eingeholt wurde Bedingungen; und
- verlangt von seinen Drittanbieter-Marketingpartnern, ihm Echtzeitzugriff auf ihre Unterdrückungsdaten zu gewähren.
Das Unternehmen verfügt über spezielle Verfahren, um zu überprüfen, ob die Einwilligung spezifisch genug für Marketingmaßnahmen ist, die das Unternehmen an betroffene Personen zu senden beabsichtigt, und ob eine solche Einwilligung gültig ist/bleibt. Insbesondere wird das Unternehmen vor Abschluss von Vereinbarungen mit der gebotenen Sorgfalt die Einhaltung seiner Dritt-Marketingpartner prüfen und diese nach Abschluss solcher Vereinbarungen fortlaufend überwachen.
Die Datenschutzgrundsätze
Das Unternehmen betrachtet den rechtmäßigen und korrekten Umgang mit personenbezogenen Daten als sehr wichtig für eine erfolgreiche Zusammenarbeit und für die Wahrung des Vertrauens unserer Gesprächspartner. Zu diesem Zweck hält sich das Unternehmen an die Grundsätze zur Verarbeitung personenbezogener Daten gemäß Artikel 5 der DSGVO.
Die Grundsätze verlangen, dass personenbezogene Daten:
- fair und rechtmäßig und in transparenter Weise verarbeitet werden und insbesondere nicht verarbeitet werden, es sei denn, bestimmte Bedingungen sind erfüllt;
- für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise verarbeitet werden, die mit diesen Zwecken unvereinbar ist;
- in Bezug auf die Zwecke, für die sie verarbeitet werden, angemessen, relevant und nicht übermäßig sein;
- genau sein und erforderlichenfalls auf dem neuesten Stand gehalten werden;
- nicht länger als nötig aufbewahrt werden;
- in Übereinstimmung mit den Rechten der betroffenen Personen gemäß den Datenschutzgesetzen verarbeitet werden; und
- vom Datenverantwortlichen sicher aufbewahrt werden, der geeignete technische und andere Maßnahmen ergreift, um eine unbefugte oder rechtswidrige Verarbeitung oder einen versehentlichen Verlust oder eine Zerstörung oder Beschädigung personenbezogener Daten zu verhindern.
Die Bedeutung der Einhaltung
Wenn ein Datenverantwortlicher die Grundsätze nicht einhält und dadurch gegen die Datenschutzgesetze verstößt, ist das ICO befugt:
- weitere Informationen vom für die Datenverarbeitung Verantwortlichen im Rahmen seiner Untersuchungsbefugnisse anfordern;
- eine Zusage des für die Datenverarbeitung Verantwortlichen in Bezug auf eine bestimmte Vorgehensweise verlangen (z. B. Schritte zur Einhaltung der Datenschutzgesetze);
- Durchsetzungsmitteilungen und „Jetzt stoppen“-Mitteilungen zustellen, um den Datenverantwortlichen aufzufordern, bestimmte Schritte zur Einhaltung zu unternehmen;
- Ausübung von Prüfungsrechten zum Zweck der Sicherstellung der Einhaltung; und
- In Bezug auf schwerwiegende Verstöße gegen die Datenschutzgesetzgebung ist das ICO auch befugt, eine Geldstrafe von bis zu 20 Mio. € oder 4 % des Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist.
Darüber hinaus können betroffene Personen Klage gegen das Unternehmen erheben, um Ersatz für Schäden und/oder Notlagen zu verlangen, die infolge einer Verletzung der Datenschutzgesetze durch das Unternehmen in Bezug auf ihre personenbezogenen Daten entstanden sind.
Compliance ist daher von entscheidender Bedeutung. Jeder Verstoß gegen die Unternehmensrichtlinien oder -verfahren durch einen Mitarbeiter des Unternehmens, der zu einem Verstoß gegen die Datenschutzgesetze führt oder führen könnte, sollte dem Datenschutzbeauftragten unverzüglich über die oben genannten Kontaktdaten gemeldet werden.
In Bezug auf seine externen Marketingpartner strebt das Unternehmen vertragliche Zusicherungen der Einhaltung an und behält sich außerdem Prüfungsrechte vor. Wenn das Unternehmen personenbezogene Daten von Dritten erhält, unterliegt eine solche Übertragung immer einer Art Listenverwaltungsvertrag, entweder zu den Standardbedingungen des Unternehmens oder wie zwischen den Parteien vereinbart.
Das Unternehmen wird nicht mit Unternehmen oder Personen zusammenarbeiten, deren Geschäftspraktiken nicht den Datenschutzgesetzen entsprechen.
Faire und rechtmäßige Verarbeitung
Die Datenschutzgesetzgebung soll die Verarbeitung personenbezogener Daten nicht verhindern, sondern sicherstellen, dass sie fair und ohne Beeinträchtigung der Rechte der betroffenen Person erfolgt. Der betroffenen Person muss mitgeteilt werden, wer der für die Datenverarbeitung Verantwortliche ist (in diesem Fall das Unternehmen), der/die Zweck(e), für den/die die Daten verarbeitet werden sollen, und die Identität aller Personen, denen die Daten offengelegt oder übermittelt werden können.
Damit personenbezogene Daten rechtmäßig verarbeitet werden können, müssen bestimmte Voraussetzungen erfüllt sein. Dazu können unter anderem Anforderungen gehören, dass die betroffene Person in die Verarbeitung eingewilligt hat oder dass die Verarbeitung für das berechtigte Interesse des Datenverantwortlichen oder der Partei, an die die Daten weitergegeben werden, erforderlich ist. Wenn besondere Kategorien personenbezogener Daten verarbeitet werden, muss mehr als eine Bedingung erfüllt sein. In den meisten Fällen ist die ausdrückliche Zustimmung der betroffenen Person zur Verarbeitung dieser Daten erforderlich.
Daten über Mitarbeiter können für rechtliche, personelle, administrative und Managementzwecke verarbeitet werden und um es dem Datenverantwortlichen zu ermöglichen, seinen gesetzlichen Verpflichtungen als Arbeitgeber nachzukommen, z. B. um Mitarbeiter zu bezahlen, ihre Leistung zu überwachen und damit verbundene Vorteile zu gewähren Beschäftigung.
Daten über Kunden, Lieferanten und andere Dritte können zu folgenden Zwecken verarbeitet werden:
- Bereitstellung von Marketing-, Werbe- und PR-Dienstleistungen für unsere Kunden;
- Pflege unserer Konten und Aufzeichnungen;
- Werbung für unsere Dienstleistungen;
- Durchführung von Forschungsarbeiten; und,
- Unterstützung und Führung unserer Mitarbeiter.
Verarbeitung für begrenzte Zwecke
Personenbezogene Daten werden nur für die spezifischen Zwecke verarbeitet, die der betroffenen Person bei der erstmaligen Erhebung der Daten mitgeteilt wurden, oder für andere Zwecke, die durch die Datenschutzgesetzgebung ausdrücklich zugelassen sind. Das bedeutet, dass personenbezogene Daten nicht für einen Zweck erhoben und dann für einen anderen verwendet werden. Wenn es notwendig wird, den Zweck der Datenverarbeitung zu ändern, wird die betroffene Person vor einer Verarbeitung über den neuen Zweck informiert.
Wenn die Einwilligung direkt von einer betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten eingeholt wird oder wenn ein externer Marketingpartner dies im Namen des Unternehmens vornimmt, wird das Unternehmen alle angemessenen Schritte unternehmen, um sicherzustellen, dass die Zwecke, für die diese Daten bestimmt sind, erfüllt werden verarbeitet werden, sind rechtmäßig und werden der betroffenen Person durch eines oder eine Kombination von Folgendem klar mitgeteilt:
- Einwilligungserklärungen/Formulare;
- die Datenschutzrichtlinie des Unternehmens (und gegebenenfalls der Hinweis zu Cookies);
- die Informationen, die in relevanten Formularen, Haftungsausschlüssen, Hinweisen und Richtlinien der externen Marketingpartner des Unternehmens enthalten sind; und,
- interne Richtliniendokumente in Bezug auf Mitarbeiter.
Angemessene, relevante und nicht übermäßige Verarbeitung
Personenbezogene Daten werden nur insoweit erhoben, als dies für den/die den betroffenen Personen mitgeteilten konkreten Zweck/Zwecke erforderlich ist. Daten, die hierfür nicht erforderlich sind, werden erst gar nicht erhoben. Personenbezogene Daten werden nur in Übereinstimmung mit den oben beschriebenen begrenzten Zwecken verarbeitet und nicht in übermäßiger Weise verarbeitet.
Das Unternehmen stellt sicher, dass dieses Prinzip bei der Gestaltung und Umsetzung seiner E-Mail-Marketingkampagnen für Verbraucher eingehalten wird.
Genaue und aktuelle Daten
Personenbezogene Daten werden korrekt und auf dem neuesten Stand gehalten. Falsche oder irreführende Informationen sind nicht korrekt, und es werden daher Maßnahmen ergriffen, um die Richtigkeit aller personenbezogenen Daten zum Zeitpunkt der Erhebung und danach in regelmäßigen Abständen zu überprüfen.
Im Rahmen seiner kommerziellen Marketingaktivitäten wird das Unternehmen mit seinen externen Marketingpartnern zusammenarbeiten, um sicherzustellen, dass personenbezogene Daten, die Teil einer Marketingdatenbank/Kontaktliste sind, regelmäßig überprüft und aktualisiert werden.
Daten, die als veraltet oder ungenau identifiziert werden, werden entweder aktualisiert oder unterdrückt und vernichtet.
Vorratsdatenspeicherung
Wir müssen sicherstellen, dass die von uns verarbeiteten personenbezogenen Daten angemessen und relevant sind und nicht länger als für den Zweck, für den sie verarbeitet wurden, erforderlich aufbewahrt werden. Das bedeutet, dass Daten archiviert und letztendlich vernichtet oder aus unseren Systemen gelöscht werden, wenn sie nicht mehr benötigt werden. Dies erfolgt in Übereinstimmung mit unseren Datenaufbewahrungsfristen, die in Anhang 2 dieser Richtlinie beschrieben sind.
Verarbeitung im Einklang mit den Rechten der betroffenen Person
Die Daten werden im Einklang mit den Rechten der betroffenen Personen verarbeitet. Betroffene Personen haben ein Recht auf:
1) Zugang zu allen Daten verlangen, die über sie bei einem für die Verarbeitung Verantwortlichen gespeichert sind (Artikel 15) – eine betroffene Person hat das Recht, informiert zu werden, wenn ihre personenbezogenen Daten verarbeitet werden, und, falls dies der Fall ist, eine Kopie zu erhalten der personenbezogenen Daten. Dies ist allgemein bekannt als das Einreichen eines „Datensubjekt-Zugriffsantrags“ oder „DSAR“. Es dürfen keine Gebühren erhoben werden, es sei denn, der Antrag ist offensichtlich unbegründet/übertrieben, in diesem Fall kann eine angemessene Gebühr fällig werden;
- verlangen, dass alle über sie gespeicherten Daten gelöscht werden (Artikel 17) – eine betroffene Person hat das Recht zu verlangen, dass alle über sie gespeicherten personenbezogenen Daten unverzüglich gelöscht werden. Das Unternehmen ist jedoch nicht verpflichtet, personenbezogene Daten zu löschen, wenn die Notwendigkeit besteht, sie aufzubewahren, oder wenn dies zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen, erforderlich ist;
- Widerspruch gegen die Verarbeitung – eine betroffene Person hat das Recht, Widerspruch gegen Direktmarketing, die Verarbeitung aufgrund berechtigter Interessen oder die Wahrnehmung einer Aufgabe von öffentlichem Interesse einzulegen, sofern sie Gründe hat, die sich aus ihrer besonderen Situation ergeben, und die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken ;
- verlangen, dass unrichtige oder unvollständige Daten geändert oder vervollständigt werden (Artikel 16) – eine betroffene Person hat das Recht zu verlangen, dass alle über sie gespeicherten personenbezogenen Daten, die unrichtig sind, berichtigt werden. Wenn personenbezogene Daten unvollständig sind, hat die betroffene Person das Recht auf Vervollständigung dieser Daten
- verlangen, dass alle über sie gespeicherten personenbezogenen Daten eingeschränkt (d. h. gesperrt oder unterdrückt) werden (Artikel 18) – eine betroffene Person kann die Einschränkung der Verarbeitung verlangen, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person widerspricht der Löschung und verlangt stattdessen die Einschränkung, wenn das Unternehmen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt und die betroffene Person Widerspruch gegen Vorschläge und das Unternehmen eingelegt hat erwägt, ob seine berechtigten Gründe Vorrang vor den Rechten des Einzelnen haben;
- zu verlangen, dass ihre personenbezogenen Daten an Dritte übermittelt werden (Artikel 20) – dieses Recht gilt nur für personenbezogene Daten, deren Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt. Da das Unternehmen keine automatisierte Verarbeitung durchführt, können Einzelpersonen dieses Recht in Bezug auf ihre vom Unternehmen verarbeiteten Daten nicht ausüben; und
- Einwände gegen Entscheidungen erheben, die sie erheblich betreffen und die ausschließlich durch einen Computer oder einen anderen automatisierten Prozess getroffen werden (Artikel 22) -- Das Unternehmen verwendet keine automatisierte Entscheidungssoftware.
Wenn betroffene Personen, deren personenbezogene Daten für kommerzielle Marketingzwecke des Unternehmens verarbeitet werden, ihre Einwilligung widerrufen oder sich anderweitig von der Vermarktung abmelden, werden ihre personenbezogenen Daten einer Unterdrückungsliste hinzugefügt und archiviert.
Datensicherheit
Das Unternehmen stellt sicher, dass angemessene technische und organisatorische Sicherheitsmaßnahmen gegen die rechtswidrige oder unbefugte Verarbeitung personenbezogener Daten und gegen den versehentlichen Verlust oder die Beschädigung personenbezogener Daten ergriffen werden. Personen, die durch eine solche Verarbeitung oder einen solchen Datenverlust einen Schaden erlitten haben, können gerichtlich Schadensersatz beantragen.
Die Datenschutzgesetze verlangen, dass wir Verfahren und Technologien einsetzen, um die Sicherheit aller personenbezogenen Daten vom Zeitpunkt der Erfassung bis zum Zeitpunkt der Vernichtung zu gewährleisten. Personenbezogene Daten dürfen nur dann an einen externen Datenverarbeiter übermittelt werden, wenn dieser sich bereit erklärt, diese Verfahren und Richtlinien einzuhalten, oder wenn er selbst angemessene Maßnahmen ergreift.
Die Wahrung der Datensicherheit bedeutet die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten, definiert wie folgt:
Vertraulichkeit bedeutet, dass nur berechtigte Personen auf die Daten zugreifen können.
Integrität bedeutet, dass personenbezogene Daten korrekt und für den Zweck geeignet sein sollten, für den sie verarbeitet werden.
Verfügbarkeit bedeutet, dass autorisierte Benutzer in der Lage sein sollten, auf die Daten zuzugreifen, wenn sie diese für autorisierte Zwecke benötigen. Personenbezogene Daten sollten daher nicht auf einzelnen PCs, sondern auf unserem zentralen Computersystem gespeichert werden.
Das Unternehmen unterhält verschiedene Verfahren in Bezug auf die Datensicherheit, einschließlich (aber nicht beschränkt auf):
Technische Maßnahmen
- Verschlüsselung;
- Schutz vor bösartiger Software/Viren einschließlich Firewalls;
- Benutzerzugriffskontrollen wie Passwörter;
- Daten sichern;
- sichere Vernichtung oder Löschung von Daten und sichere Entsorgung von Computerausrüstung und Wechselmedien;
- regelmäßige technische Audits; und
- Schwachstellenbewertungen.
Organisatorische Maßnahmen
- Zugangskontrolle zu Räumlichkeiten;
- Ausrüstung – Wenn Sie Ihren PC unbeaufsichtigt lassen, vergewissern Sie sich, dass Sie den Bildschirm gesperrt haben;
- sicheres abschließbares Papierablagesystem, Schreibtische und Schränke; und
- geeignete Entsorgungsmethoden – gedruckte und elektronische Dokumente werden bereinigt, entfernt und vernichtet.
Verletzung der Datensicherheit
Im Falle einer Verletzung oder vermuteten, drohenden oder potenziellen Verletzung der Sicherheit in Bezug auf personenbezogene Daten oder andere vertrauliche Dokumente müssen Sie dies unverzüglich dem Datenschutzbeauftragten melden.
Beispiele für Datenschutzverletzungen sind:
- personenbezogene Daten, die versehentlich an jemanden (entweder intern oder extern) gesendet werden, der keinen legitimen Bedarf hat, sie zu sehen;
- Datenbanken mit personenbezogenen Daten, die kompromittiert wurden, beispielsweise als Folge einer Cybersicherheitsverletzung oder eines „Hackings“ des Unternehmens;
- Verlust oder Diebstahl von Laptops, Mobilgeräten oder Papierunterlagen mit personenbezogenen Daten;
- Papiere, die nicht ordnungsgemäß in sicheren Entsorgungsbehältern entsorgt werden, die von anderen eingesehen oder entnommen werden können;
- Mitarbeiter, die auf personenbezogene Daten zugreifen oder diese offenlegen, außerhalb der Anforderungen oder der Berechtigung ihrer Arbeit;
- von einem Dritten dazu verleitet werden, die personenbezogenen Daten einer anderen Person unrechtmäßig herauszugeben; und
- der Verlust personenbezogener Daten aufgrund unvorhergesehener Umstände wie Feuer oder Überschwemmung.
Es ist die Richtlinie des Unternehmens, dass alle Mitarbeiter erkannte oder vermutete Verstöße gegen diese Richtlinie unverzüglich nach ihrer Entdeckung und spätestens 24 Stunden nach dem Auftreten dem Datenschutzbeauftragten melden müssen.
Der Datenschutzbeauftragte wird alle Verstöße protokollieren und alle weiteren erforderlichen Maßnahmen ergreifen, einschließlich:
- Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde (ICO) innerhalb von 72 Stunden nach Bekanntwerden einer solchen Verletzung, es sei denn, es ist unwahrscheinlich, dass dies zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt; und
- Unverzügliche Mitteilung der Verletzung an die betroffene(n) betroffene(n) Person(en), es sei denn, die Daten sind verschlüsselt oder anderweitig für Unbefugte unverständlich, Maßnahmen wurden ergriffen, sodass das Risiko für die Rechte und Freiheiten wahrscheinlich nicht eintreten wird oder es einen unverhältnismäßigen Aufwand erfordern würde ( in diesem Fall kann eine öffentliche Mitteilung erfolgen).
Datentransfer
Das Unternehmen wird personenbezogene Daten aus dem Europäischen Wirtschaftsraum in die Vereinigten Staaten übertragen. Um den achten Datenschutzgrundsatz einzuhalten und ein angemessenes Schutzniveau für die personenbezogenen Daten der betroffenen Personen gemäß den Datenschutzgesetzen zu gewährleisten, werden wir, wenn wir Informationen an Dritte weitergeben, geeignete Verträge mit Musterverträgen abschließen Klauseln, die von der Europäischen Kommission und dem ICO genehmigt wurden, um ein angemessenes Schutzniveau für diese Daten zu gewährleisten.
Offenlegung
Das Unternehmen kann Daten mit bestimmten angegebenen Dritten teilen. In den meisten Fällen werden betroffene Personen darüber informiert, wie und mit wem ihre Informationen geteilt werden. Es gibt jedoch Fälle, in denen das Gesetz es dem Unternehmen erlaubt, Daten (einschließlich besonderer Datenkategorien) ohne Zustimmung der betroffenen Person offenzulegen.
Die Umstände, unter denen das Unternehmen die Informationen einer betroffenen Person an Dritte weitergeben kann, werden den betroffenen Personen in der Datenschutzrichtlinie des Unternehmens klar umrissen.
Nichteinhaltung dieser Richtlinie
Die Einhaltung unserer Datenschutzverfahren ist von entscheidender Bedeutung und wird genau überwacht und durchgesetzt. Jeder Verstoß gegen diese Richtlinie wird ernst genommen und im Rahmen des formellen Disziplinarverfahrens des Unternehmens behandelt und kann in schwerwiegenden Fällen als grobes Fehlverhalten behandelt werden, das zu einer fristlosen Entlassung führt [oder (im Zusammenhang mit selbstständigen Vertretern) als potenzieller Vertrag Bruch].
Bei Straftaten, z. B. Unredlichkeit oder Betrug, Strafverfahren, die mit einer Geld- oder Freiheitsstrafe geahndet werden können. Manager und Direktoren können auch strafrechtlich verfolgt werden, wenn die Straftat mit ihrer Zustimmung oder Absprache oder aufgrund ihrer Fahrlässigkeit begangen wurde.
Zusätzlich zu den Einschränkungen der Datennutzung, die in den Datenschutzgesetzen enthalten sind, sollten sich Mitarbeiter auch darüber im Klaren sein, dass eine Person eine Straftat nach dem Computer Misuse Act 1990 begehen kann, wenn sie ohne entsprechende Genehmigung auf Computerprogramme oder Daten zugreift oder sie ändert den Inhalt eines beliebigen Computers.
Überprüfung dieser Richtlinie
Der Datenschutzansatz des Unternehmens wird regelmäßig durch das umfassendere Compliance-Überwachungsprogramm des Unternehmens überprüft, und der Ansatz des Unternehmens wird auf der Grundlage dieser Überwachung angepasst und optimiert.
Diese Richtlinie (und die ihr zugrunde liegenden Verfahren) werden mindestens jährlich oder regelmäßiger in Bezug auf regulatorische Entwicklungen oder bestimmte Probleme, die durch unsere Überwachung identifiziert werden, überprüft.
Verpflichtungen des Personals
Alle Mitarbeiter werden durch angemessene Schulung und verantwortungsbewusstes Management:
- alle Formen von Anleitungen, Verhaltenskodizes und Verfahren zur Erfassung und Verwendung personenbezogener Daten einhalten;
- die Zwecke, für die das Unternehmen personenbezogene Daten verwendet, vollständig verstehen;
- Erhebung und Verarbeitung personenbezogener Daten nur in Übereinstimmung mit den Zwecken, für die sie vom Unternehmen verarbeitet werden sollen, um seine geschäftlichen Anforderungen oder gesetzlichen Anforderungen zu erfüllen;
- nur auf personenbezogene Daten zugreifen, die sie zur ordnungsgemäßen Ausübung ihrer Tätigkeit benötigen;
- sicherzustellen, dass die personenbezogenen Daten, die das Unternehmen in Bezug auf sie besitzt, korrekt, vollständig und aktuell sind;
- sicherzustellen, dass personenbezogene Daten korrekt in die Systeme des Unternehmens eingegeben werden, indem unsere Standardverfahren befolgt werden;
- sicherzustellen, dass personenbezogene Daten gemäß den in ANHANG 2 beschriebenen Datenaufbewahrungsfristen sicher vernichtet werden, wenn sie nicht mehr benötigt werden;
- den Datenschutzbeauftragten unverzüglich benachrichtigen, wenn eine Person dies verlangt, um ihre Rechte gemäß dieser Richtlinie auszuüben;
- Umgang mit allen personenbezogenen Daten gemäß den Sicherheitsverfahren des Unternehmens;
- sicherzustellen, dass keine personenbezogenen Daten oder besondere Kategorien personenbezogener Daten über einen Kollegen oder Kunden oder Lieferanten auf Websites sozialer Netzwerke oder anderswo online offengelegt werden, einschließlich, aber nicht beschränkt auf Facebook, Twitter und andere Online-Foren und Websites sozialer Medien (eine solche Offenlegung kann einen Verstoß gegen die Datenschutzgesetze und diese Richtlinie darstellen); und
- für die Einhaltung dieser Richtlinie verantwortlich sind.
Die Verpflichtungen des Unternehmens
Das Unternehmen wird:
- für die Einhaltung dieser Richtlinie verantwortlich sein;
- Stellen Sie sicher, dass es immer eine Person gibt, die die Gesamtverantwortung für die Einhaltung der Datenschutzgesetze und dieser Richtlinie trägt. Dies ist der DSB, dessen Einzelheiten oben aufgeführt sind;
- Bereitstellung von Schulungen für alle Mitarbeiter, die mit personenbezogenen Daten umgehen (wenn ein Mitarbeiter sich seiner Verantwortlichkeiten nicht sicher ist, sollte er sich an den Datenschutzbeauftragten wenden, der prüfen wird, ob weitere Schulungen erforderlich sind);
- Bereitstellung klarer Berichts- und Überwachungslinien für die Einhaltung der Datenschutzgesetze und dieser Richtlinie;
- seine Aufzeichnungen über die Verarbeitungstätigkeiten in seiner Verantwortung führen und aktualisieren und diese Aufzeichnungen dem ICO auf Anfrage zur Verfügung stellen, wie in Artikel 30 der DSGVO vorgeschrieben;
- eine angemessene und ausreichende Überwachung, einschließlich unangekündigter Stichproben, durchführen, um sicherzustellen, dass die Datenschutzgesetze und diese Richtlinie vom Unternehmen und allen Mitarbeitern eingehalten werden;
- geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der vom Unternehmen verarbeiteten personenbezogenen Daten zu gewährleisten; und
- Best Practices in Bezug auf die Verpflichtungen übernehmen, die dem Unternehmen als Datenverantwortlicher auferlegt werden, insbesondere wird es alle relevanten Verhaltenskodizes, Vorschriften und Richtlinien einhalten, die vom ICO in Bezug auf die Verarbeitung personenbezogener Daten herausgegeben werden.
Zusammenfassung des Ansatzes des Unternehmens
- Der Datenschutzbeauftragte trägt die besondere Verantwortung für die Überwachung der Einhaltung der Datenschutzgesetze durch das Unternehmen.
- Jeder, der personenbezogene Daten verarbeitet, versteht, dass er vertraglich für die Einhaltung guter Datenschutzpraktiken verantwortlich ist.
- Jeder, der personenbezogene Daten verarbeitet, ist entsprechend geschult.
- Jeder, der personenbezogene Daten verarbeitet, wird angemessen überwacht.
- Wer sich über den Umgang mit personenbezogenen Daten erkundigen möchte, weiß, wie das geht.
- Das Unternehmen bearbeitet alle Anfragen zum Umgang mit personenbezogenen Daten umgehend und höflich.
- Das Unternehmen beschreibt klar, wie es mit personenbezogenen Daten umgeht, insbesondere in seiner öffentlich zugänglichen Datenschutzrichtlinie.
- Das Unternehmen überprüft und prüft regelmäßig, wie es personenbezogene Daten speichert, verwaltet und verwendet.
- Es bewertet und bewertet regelmäßig seine Methoden und Leistungen in Bezug auf den Umgang mit personenbezogenen Daten.
- Alle Mitarbeiter sind sich bewusst, dass ein Verstoß gegen die in dieser Richtlinie festgelegten Regeln und Verfahren zu Disziplinarmaßnahmen gegen sie führen kann.
Diese Richtlinie wird bei Bedarf aktualisiert, um bewährte Verfahren in Bezug auf Datenverwaltung, -sicherheit und -kontrolle widerzuspiegeln und die Einhaltung aller Änderungen oder Ergänzungen der Datenschutzgesetze sicherzustellen.
ANHANG 1: Die ICO-Registrierung des Unternehmens
Registrierungsdatum: 15. Januar 2024
Registrierung läuft ab: 14. Januar 2025
Datenverarbeiter: Results Generation, B.V.
Registrationsnummer: 67788254
Die Anschrift:
Zekeringstraat 21B, 1014BM, Amsterdam, NL
Datencontroller: Results Generation, B.V.
Entitätsnummer: 32041941462
Repräsentative Adresse: Zekeringstraat 21B, 1014BM, Amsterdam, NL
Dieser Registereintrag beschreibt ganz allgemein die personenbezogenen Daten, die verarbeitet werden von:
Results Generation, B.V.
Art der Arbeit - Marketing-/Werbeagentur
Beschreibung der Verarbeitung
Im Folgenden finden Sie eine umfassende Beschreibung der Art und Weise, wie diese Organisation/der Datenverantwortliche personenbezogene Daten verarbeitet. Um zu verstehen, wie Ihre eigenen personenbezogenen Daten verarbeitet werden, müssen Sie möglicherweise auf persönliche Mitteilungen zurückgreifen, die Sie erhalten haben, die von der Organisation bereitgestellten Datenschutzhinweise überprüfen oder sich an die Organisation wenden, um sich nach Ihren persönlichen Umständen zu erkundigen.
Gründe/Zwecke für die Verarbeitung von Informationen
Wir verarbeiten personenbezogene Daten, um Folgendes zu ermöglichen:
- Bereitstellung von Marketing-, Werbe- und PR-Dienstleistungen für unsere Kunden
- unsere Konten und Aufzeichnungen pflegen
- werben Sie für unsere Dienstleistungen
- Forschung betreiben
- Unterstützung und Führung unserer Mitarbeiter
Art/Klassen der verarbeiteten Informationen
Wir verarbeiten Informationen im Zusammenhang mit den oben genannten Gründen/Zwecken. Diese Informationen können Folgendes umfassen:
- persönliche Daten
- Mitgliedsdaten
- Waren und Dienstleistungen
- Familien Details
- Lebensstil und soziale Umstände
- finanzielle Details
- Ausbildungs- und Beschäftigungsdetails
Wir verarbeiten auch sensible Arten von Informationen, die Folgendes beinhalten können:
- Angaben zur körperlichen oder geistigen Gesundheit
- Rasse oder ethnische Herkunft
- religiöse oder andere Überzeugungen ähnlicher Natur
- Straftaten und mutmaßliche Straftaten
- Gewerkschaftszugehörigkeit
Über wen die Informationen verarbeitet werden
Wir verarbeiten personenbezogene Daten über unsere:
- Kunden und Klienten
- Angestellte
- Lieferanten
- Anfragen und Beschwerden
- Umfrageteilnehmer
- professionelle Berater und Berater
Mit wem die Informationen geteilt werden können
Manchmal müssen wir die von uns verarbeiteten personenbezogenen Daten mit der Person selbst und auch mit anderen Organisationen teilen. Wo dies erforderlich ist, sind wir verpflichtet, alle Aspekte des Datenschutzgesetzes (Gesetz) einzuhalten. Im Folgenden finden Sie eine Beschreibung der Arten von Organisationen, mit denen wir möglicherweise einige der von uns verarbeiteten personenbezogenen Daten aus einem oder mehreren Gründen teilen müssen.
Bei Bedarf oder Bedarf teilen wir Informationen mit:
- aktuelle, frühere oder potenzielle Arbeitgeber
- Lieferanten und Dienstleister
- finanzielle Organisationen
- Familie, Mitarbeiter und Vertreter der Person, deren personenbezogene Daten wir verarbeiten
- Wirtschaftsverbände und Körperschaften
- professionelle Berater und Berater
- Zentralregierung
- Beschäftigungs- und Personalagenturen
- Geschäftspartner
- Umfrage- und Forschungsorganisationen
- Kreditauskunfteien
- Inkassobüros
Trading and Sharing Personal Information
Personenbezogene Daten werden als primäre Geschäftsfunktion gehandelt und geteilt. Aus diesem Grund können die verarbeiteten Informationen Name, Kontaktdaten, Familiendaten, Finanzdaten, Beschäftigungsdaten sowie Waren und Dienstleistungen umfassen. Diese Informationen können sich auf Kunden und Klienten beziehen. Die Informationen können mit Geschäftspartnern und professionellen Beratern, Vertretern, Dienstleistern, Kunden und Auftraggebern sowie Händlern personenbezogener Daten gehandelt oder geteilt werden.
Überweisungen
Es kann manchmal erforderlich sein, personenbezogene Daten ins Ausland zu übermitteln. Wenn dies erforderlich ist, können Informationen in Länder oder Gebiete auf der ganzen Welt übertragen werden. Alle durchgeführten Übertragungen erfolgen in voller Übereinstimmung mit allen Aspekten des Datenschutzgesetzes.
ANHANG 2: Vorratsdatenspeicherung
In Übereinstimmung mit den Datenschutzgrundsätzen der Datenschutzgesetzgebung (und in dieser Richtlinie dargelegt) müssen die vom Unternehmen verarbeiteten personenbezogenen Daten angemessen, relevant, auf das Notwendige beschränkt und nicht länger als erforderlich aufbewahrt werden notwendig.
Um diese Grundsätze einzuhalten, hat das Unternehmen festgelegte Zeiträume, für die es verschiedene Arten von Informationen aufbewahrt, die in jedem Fall angemessen und verhältnismäßig sind (z. B. wird die Aufbewahrungsfrist durch gesetzliche Anforderungen definiert oder spiegelt die Verjährungsfrist für potenzielle Rechtsstreitigkeiten wider ). Sobald eine Aufbewahrungsfrist abgelaufen ist, sollten sie sicher gelöscht werden, es sei denn, es besteht ein vernünftiger und gerechtfertigter Bedarf, solche Informationen aufzubewahren (z. B. laufende Rechtsstreitigkeiten).
Gesetzliche Bücher und Register
Gründungsurkunde: Dauerhaft
Namensänderungsbescheinigungen: Dauerhaft
Aktienregister und andere gesetzlich vorgeschriebene Register: Dauerhaft
Vorstandsprotokoll: Dauerhaft
Protokolle der Gesellschafterversammlungen: Dauerhaft
Zentrale Geschäftsunterlagen
Kontenunterlagen: 6 Jahre
Reklamationsaufzeichnungen: 6 Jahre ab Abschluss der Reklamation
Wichtige Vereinbarungen von historischer Bedeutung: Dauerhaft