Datenschutzbestimmungen

Bedingungen der Dienstleistung
Cookie-Richtlinie
GPDR
SLA
MSA
Datenschutzbestimmungen

Zuletzt aktualisiert:

9/28/2023

01 Überblick und Umfang

Übersicht

Diese Richtlinie und die zugehörigen Verfahren sollen Primetric ein dokumentiertes und formalisiertes Verfahren zum Schutz der Privatsphäre von Personen an die Hand geben. Die Achtung der Privatsphäre persönlicher und anderer Informationen ist für Primetric von grundlegender Bedeutung. Diese Datenschutzrichtlinie beschreibt die Erhebung personenbezogener Daten (PII) durch Primetric von Nutzern der Primetric-Website ("Website" oder "Site"), der Primetric-Plattform und aller damit verbundenen Anwendungen, Widgets, Software, Tools und anderen Dienste, die von Primetric bereitgestellt werden und auf denen ein Link zu dieser Richtlinie angezeigt wird (zusammen mit der Website unser "Service"). Diese Richtlinie beschreibt auch die Verwendung und Offenlegung solcher Informationen durch Primetric. Durch die Nutzung des Dienstes von Primetric erklären Sie sich mit der Erfassung und Verwendung personenbezogener Daten in Übereinstimmung mit dieser Richtlinie einverstanden.

In Übereinstimmung mit den vorgeschriebenen organisatorischen Sicherheitsanforderungen, die von der Geschäftsleitung festgelegt und genehmigt wurden, hat Primetric eine formelle Datenschutzrichtlinie und Verfahren eingeführt. Dieses umfassende Grundsatzdokument wird zusammen mit allen relevanten und anwendbaren Verfahren sofort umgesetzt.

Der Richtlinienverantwortliche ist für diese Richtlinie verantwortlich und muss sie jährlich und nach jeder größeren Änderung der sensiblen Datenumgebung von Primetric überprüfen, um sicherzustellen, dass sie weiterhin den Unternehmenszielen entspricht. Der Richtlinienverantwortliche ist dafür verantwortlich, dass das Datenschutzverfahren jährlich und nach allen größeren Änderungen überprüft und aktualisiert wird. Die Einhaltung der Richtlinien und Verfahren wird regelmäßig überprüft. Bei der Überprüfung werden Verbesserungsmöglichkeiten und der Ansatz zur Bewältigung von Veränderungen im Umfeld der Organisation, der Geschäftsanforderungen und der gesetzlichen Anforderungen bewertet. Die Ergebnisse der Managementbewertung werden bei der Überprüfung der Richtlinien und Verfahren berücksichtigt. Änderungen der Richtlinien bedürfen der Zustimmung des Managements.

Die Richtlinien und Verfahren werden denjenigen Personen zugänglich gemacht, die für die Umsetzung der Richtlinie/des Verfahrens, auf die sich die Dokumentation bezieht, verantwortlich sind.

Rollen und Zuständigkeiten

Datenschutzbeauftragter (DSB) (Chief Privacy Officer)

Zu den Aufgaben des Datenschutzbeauftragten (DSB) (oder Chief Privacy Officer) gehören die allgemeine Leitung, Anleitung, Führung und Unterstützung bei Methoden und Instrumenten für die Umsetzung eines Datenschutzprogramms. Der Datenschutzbeauftragte ist für die Entwicklung und Umsetzung von Datenschutzrichtlinien und -verfahren verantwortlich. Der Datenschutzbeauftragte ist der designierte Ansprechpartner für alle datenschutzrelevanten Fragen, z. B. für die Entgegennahme von Einzelanträgen oder Datenschutzbeschwerden. Der Datenschutzbeauftragte ist auch für die Bereitstellung von datenschutzbezogenen Anleitungen für die Organisation und Dienstleister in Bezug auf datenschutzspezifische Verantwortlichkeiten zuständig. Der Datenschutzbeauftragte ist der designierte Ansprechpartner für Einzelpersonen in Bezug auf die Verarbeitung ihrer PII. Der Datenschutzbeauftragte ist für die Entwicklung, Umsetzung, Aufrechterhaltung und Überwachung eines organisationsweiten Governance- und Datenschutzprogramms verantwortlich, um die Einhaltung der geltenden Vorschriften für personenbezogene Daten zu gewährleisten. Der Datenschutzbeauftragte berücksichtigt bei der Erfüllung seiner Aufgaben die mit der Verarbeitung verbundenen Risiken unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung. Der Datenschutzbeauftragte kann für andere Aufgaben zuständig sein, sofern diese Aufgaben nicht zu einem Interessenkonflikt führen. Der Datenschutzbeauftragte führt eine Ressourcen- und Investitionsplanung durch, um die Management-, Betriebs-, Technik- und Datenschutzanforderungen des Programms umzusetzen.

Der DSB arbeitet mit dem CTO und dem CISO zusammen, um entsprechende Schulungen zum Thema Sicherheit und Datenschutz zu entwickeln, durchzuführen und zu dokumentieren. Der DSB muss:

  • unabhängig sein und direkt an die entsprechende Führungsebene der Organisation berichten, um ein wirksames Management der Datenschutzrisiken zu gewährleisten
  • Beteiligung an der Verwaltung aller Fragen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten
  • Experte für Datenschutzbestimmungen und -praktiken sein
  • Kontaktstelle für die Aufsichtsbehörden
  • Unterrichtung der obersten Führungsebene und der Mitarbeiter der Organisation über ihre Pflichten in Bezug auf die Verarbeitung von personenbezogenen Daten
  • Beratung in Bezug auf die durchgeführten Datenschutz-Folgenabschätzungen

Ausschuss für den Schutz der Privatsphäre

Zu seinen Aufgaben gehört es, die Einhaltung dieser Politik zu genehmigen und zu überwachen, das Umfeld der Organisation zu analysieren und die gesetzlichen Vorschriften einzuhalten. Weitere Aufgaben sind:

  • Durchführung der Datenschutzmaßnahmen des Unternehmens, einschließlich der Überwachung des Systems zur Einholung, Bewertung und Behebung von Beschwerden und Problemen im Zusammenhang mit dem Datenschutz
  • Bewertung der implementierten Datenschutzkontrollen
  • Bewertung bestehender Strategien und Verfahren, die den Datenschutz betreffen
  • Zusammenarbeit mit den zuständigen Abteilungen, um die Einhaltung der Datenschutzpolitik und -verfahren zu gewährleisten
  • Empfehlung und Überwachung der Entwicklung interner Systeme und Kontrollen zur Verwirklichung der Datenschutzziele der Organisation in Zusammenarbeit mit den zuständigen Abteilungen
  • Berichterstattung an den Datenschutzbeauftragten über die Wirksamkeit der Datenschutzkontrollen/des Datenschutzprogramms im Hinblick auf die Einhaltung der geltenden rechtlichen Anforderungen und Normen

Primetric muss die Datenschutzrichtlinien formell dokumentieren und für Einzelpersonen, internes Personal und Dritte, die sie benötigen, leicht zugänglich machen. Die Geschäftsleitung unterstützt die Einhaltung aller Datenschutzrichtlinien und der einschlägigen Datenschutzvorschriften durch eine formelle Organisationsstruktur und Kontrolle. Die Organisation hält sich an die gesetzlichen Vorschriften, in denen die Verantwortlichkeiten für den Umgang mit sensiblen Daten, einschließlich personenbezogener Daten, festgelegt sind, und stellt sicher, dass die Datenschutzgrundsätze beachtet werden. Die Datenschutzrichtlinien werden so dokumentiert, dass sie Sicherheitspraktiken für den Datenschutz enthalten, die die Implementierung technischer Sicherheitskontrollen wie Zugangskontrollen, Authentifizierung und Überwachung sowie die unten beschriebenen organisatorischen Maßnahmen zum Schutz sensibler Daten umfassen.

Die Organisation ernennt einen Datenschutzbeauftragten oder einen Beauftragten für den Schutz der Privatsphäre, der für das Datenschutzprogramm der Organisation verantwortlich ist. Die Organisation unterstützt den Datenschutzbeauftragten bei der Durchführung der erforderlichen Aufgaben und stellt die notwendigen Ressourcen zur Verfügung, um diese Aufgaben zu erfüllen, einschließlich der Gewährung des Zugangs zu personenbezogenen Daten oder Vorgängen. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten benannt, zu denen Fachwissen über Datenschutzgesetze und die Fähigkeit zur Durchführung der erforderlichen Aufgaben gehören. Die Organisation unterstützt den Datenschutzbeauftragten bei der Aufrechterhaltung seines Fachwissens, stellt seine Unabhängigkeit in Bezug auf alle Anweisungen zur Ausübung seiner Aufgaben sicher und verpflichtet ihn zur Vertraulichkeit bei der Erfüllung seiner Aufgaben gemäß den geltenden Gesetzen. Der Datenschutzbeauftragte wird für die Erfüllung seiner Aufgaben nicht bestraft.

Das Management wird die Datenschutzpolitik jährlich überprüfen und genehmigen.

GDPR - Auftragsverarbeiter

Primetric ist als Auftragsverarbeiter verpflichtet, ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte des Einzelnen gewährleistet.

Primetric als Auftragsverarbeiter wird ohne ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen keinen anderen Unterauftragsverarbeiter beauftragen. Der für die Verarbeitung Verantwortliche hat die Möglichkeit, gegen jede Änderung Einspruch zu erheben.

Die Verarbeitung durch die Organisation wird durch einen Vertrag geregelt, der die Organisation gegenüber dem für die Verarbeitung Verantwortlichen bindet und in dem der Gegenstand und die Dauer der Verarbeitung, die Art/Zweck der Verarbeitung, die Art der personenbezogenen Daten/Personenkategorien und die Pflichten/Rechte des für die Verarbeitung Verantwortlichen festgelegt sind. In dem Vertrag wird festgelegt, dass die Organisation verpflichtet ist:

  • Verarbeitung personenbezogener Daten nur nach schriftlicher Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen. Die Organisation unterrichtet den für die Verarbeitung Verantwortlichen über die gesetzlichen Anforderungen an die Verarbeitung, es sei denn, sie ist aus Gründen des öffentlichen Interesses gesetzlich verboten.
  • Sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen
  • Ergreifen Sie alle erforderlichen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
  • Einhaltung der Bedingungen für die Beauftragung eines anderen Unterauftragsverarbeiters
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen von Personen, die ihre Rechte ausüben, unter Berücksichtigung der Art der Verarbeitung und der möglichen geeigneten technischen und organisatorischen Maßnahmen
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Gewährleistung der Einhaltung der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, der Mitteilung von Datenschutzverletzungen an Einzelpersonen, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation des Datenschutzbeauftragten
  • nach Beendigung der Dienste personenbezogene Daten nach Wahl des für die Verarbeitung Verantwortlichen zu löschen oder zurückzugeben, sofern dies nicht gesetzlich vorgeschrieben ist
  • dem für die Verarbeitung Verantwortlichen die Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen nachzuweisen, und Audits, einschließlich Inspektionen durch den für die Verarbeitung Verantwortlichen, zu ermöglichen bzw. daran mitzuwirken
  • den für die Verarbeitung Verantwortlichen unverzüglich zu informieren, wenn eine Anweisung nach Ansicht der Organisation gegen die DSGVO oder andere Datenschutzbestimmungen verstößt

Primetric als Auftragsverarbeiter und alle Personen, die im Auftrag der Organisation handeln und Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen oder aufgrund gesetzlicher Bestimmungen verarbeiten.

02 Befugnis zur Verarbeitung personenbezogener Daten

Verarbeitungsbehörde

Primetric kann sensible Informationen, einschließlich personenbezogener Daten (PII), als Teil seiner Tätigkeiten über den gesamten Lebenszyklus von Informationen verarbeiten. Die Verarbeitung umfasst unter anderem die Erstellung, Sammlung, Verwendung, Verarbeitung, Speicherung, Pflege, Verbreitung, Offenlegung, den Empfang, die Übertragung und die Entsorgung von Informationen. Die Verarbeitung umfasst auch die Protokollierung, Erzeugung, Umwandlung und Analysetechniken wie Data Mining.

Primetric hält sich an die einschlägigen Gesetze, die seine Befugnisse oder Beschränkungen bei der Verarbeitung bestimmter Arten personenbezogener Daten festlegen, und legt die damit verbundenen Verarbeitungsanforderungen entsprechend den vertraglichen Verpflichtungen fest.Primetric berät sich mit dem Datenschutzbeauftragten und anderen Rechtsberatern über die Befugnis zur Verarbeitung von Daten in verschiedenen Rechtsordnungen. Primetric richtet sich nach seinen Datenschutzrichtlinien und -verfahren für die Verarbeitung, die alle Gesetze, Verträge und sonstigen datenschutzbezogenen Anforderungen berücksichtigen.

Primetric bestimmt und dokumentiert die Befugnis, die es der Organisation erlaubt, personenbezogene Daten zu verarbeiten, und schränkt die Verarbeitung nicht autorisierter personenbezogener Daten ein. Datenschutzrisiken können auch dann bestehen, wenn die Verarbeitung auf gesetzlicher Grundlage erfolgt. Es werden Datenschutzrisikobewertungen durchgeführt, um alle damit verbundenen Datenschutzrisiken zu ermitteln, und es werden Lösungen zur Bewältigung dieser Risiken festgelegt. Soweit möglich, versieht Primetric Elemente personenbezogener Daten mit Datenkennzeichnungen, die eine autorisierte Verarbeitung vorsehen.

Die Organisation wird ihre Mitarbeiter in der autorisierten Verarbeitung sensibler Daten, einschließlich personenbezogener Daten, schulen und die Verwendung dieser Daten überwachen/kontrollieren.

Individuelle Anfragen

Primetric muss ein Verfahren veröffentlichen, das die Einsichtnahme von Einzelpersonen in die von der Organisation geführten Unterlagen regelt. Die Organisation muss es Einzelpersonen ermöglichen, ihr Recht auf Einsichtnahme auszuüben und gegebenenfalls unzutreffende Informationen zu korrigieren. Die Organisation wird ein Verfahren einführen, mit dem Einzelpersonen Zugang zu ihren Daten beantragen, ihre Identität nachweisen und ihnen Mitteilungen über ihre persönlichen Daten zukommen lassen können, ähnlich wie bei der ursprünglichen Erfassung ihrer Daten (z. B. per Post oder E-Mail):

  • Innerhalb einer angemessenen Frist, wie in den einschlägigen Vorschriften vorgeschrieben
  • Zu angemessenen und zulässigen Kosten, falls vorhanden
  • In geeigneter Weise
  • In einer verständlichen Form

Primetric beantwortet Auskunftsersuchen in der gesetzlich vorgeschriebenen Weise oder wie in den Datenschutzhinweisen der Organisation angegeben. Wenn möglich, werden die Antworten in der von der Person gewünschten Form gegeben. Die Organisation stellt sicher, dass die Rechte des Einzelnen auf Auskunft ausgeübt werden können, außer wenn:

  • Die Kosten oder der Aufwand für die Organisation sind unangemessen oder stehen in keinem Verhältnis zu den Datenschutzrisiken.
  • Die sensiblen Informationen (persönlich identifizierbare Informationen (PII)) können aufgrund rechtlicher oder sicherheitsrelevanter Einschränkungen nicht offengelegt werden.
  • Die Privatsphäre einer anderen Person würde durch den Antrag auf Zugang verletzt

Primetric beschränkt den Zugang zu sensiblen Informationen (persönlich identifizierbare Informationen (PII)) auf die Personen, auf die sich die Informationen beziehen, oder auf eine autorisierte Person. Das Unternehmen authentifiziert die Identität eines Antragstellers gemäß den gesetzlichen Bestimmungen. Wenn eine Authentifizierung erforderlich ist, bestimmt die Organisation die geeignete Form der Authentifizierung, es sei denn, dies ist durch gesetzliche Vorschriften vorgeschrieben. Die Organisation fordert nur das Minimum an Informationen an, das zur Überprüfung der Identität erforderlich ist. Identifizierungs- und Authentifizierungsinformationen müssen gesichert und nur so lange wie nötig aufbewahrt werden.

Primetric muss sicherstellen, dass alle angeforderten Informationen zur Verfügung gestellt werden können, muss jedoch den Schutz der Rechte, Freiheiten und der Privatsphäre anderer Personen berücksichtigen, bevor es einer Person ihre sensiblen Informationen (personenbezogene Daten (PII)) zur Verfügung stellt. Die Organisation stellt sensible Informationen (persönlich identifizierbare Informationen (PII)) einer autorisierten Person auf sichere Weise zur Verfügung.

Primetric muss ein Verfahren entwickeln und einführen, mit dem Einzelpersonen über den Status ihrer Anfragen und die erforderliche Bearbeitung, z. B. per Post/E-Mail, informiert werden, und zwar unter Angabe des Datums, an dem die Anfrage gestellt wurde, und der Erwartung, dass die Anfrage erfüllt werden kann. Es kann sein, dass die Organisation zusätzliche Zeit benötigt, um Informationen aus den Archiven abzurufen, aber es kann dennoch erforderlich sein, dem Antragsteller diese Verzögerung mitzuteilen.

Primetric kann einen Antrag auf Zugang auf der Grundlage gesetzlicher Bestimmungen ablehnen; die Organisation wird der Person jedoch die Gründe für die Ablehnung mitteilen und ihr mitteilen, wie sie die Ablehnung rechtzeitig anfechten kann.

Wenn Primetric als Auftragsverarbeiter für einen anderen für die Verarbeitung Verantwortlichen tätig ist, unterstützt die Organisation die Verpflichtung des für die Verarbeitung Verantwortlichen in Bezug auf die Rechte einer Person auf Zugang, Berichtigung und Löschung ihrer sensiblen Daten (personenbezogene Daten) gemäß den gesetzlichen oder vertraglichen Anforderungen.

Primetric räumt dem Einzelnen das Recht ein, eine Bestätigung zu erhalten, dass die Organisation die personenbezogenen Daten des Einzelnen verarbeitet, und wenn dies der Fall ist, gewährt die Organisation Zugang zu den personenbezogenen Daten zusammen mit den folgenden Informationen:

  • Die Zwecke der Verarbeitung
  • Die betroffenen Kategorien von personenbezogenen Daten
  • die Empfänger (oder Kategorien von Empfängern), an die die personenbezogenen Daten weitergegeben wurden (oder werden), insbesondere die Empfänger in Drittländern (oder internationale Organisationen)
  • die voraussichtliche Dauer der Speicherung der personenbezogenen Daten, soweit möglich, oder die Kriterien, die zur Bestimmung der Dauer herangezogen werden
  • das Bestehen des Rechts auf Berichtigung, Löschung personenbezogener Daten, Einschränkung der Verarbeitung personenbezogener Daten, die die betreffende Person betreffen, oder auf Widerspruch gegen die Verarbeitung
  • Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
  • Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, so sind alle verfügbaren Informationen über die Quelle
  • das Vorhandensein einer automatisierten Entscheidungsfindung (einschließlich Profiling) und aussagekräftige Informationen über die zugrunde liegende Logik sowie über die voraussichtlichen erheblichen Folgen einer solchen Verarbeitung für die betroffene Person
  • Werden personenbezogene Daten an ein Drittland (oder eine internationale Organisation) übermittelt, hat die betroffene Person das Recht, über die geeigneten Garantien im Zusammenhang mit der Übermittlung informiert zu werden.

Primetric stellt eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung. Für zusätzliche Kopien, die von der Person angefordert werden, kann Primetric eine angemessene Gebühr auf der Grundlage der Verwaltungskosten erheben. Stellt der Betroffene den Antrag auf elektronischem Wege, werden die Informationen in einer gängigen elektronischen Form bereitgestellt, sofern der Betroffene nichts anderes verlangt. Das Recht, eine Kopie der personenbezogenen Daten zu erhalten, darf die Rechte und Freiheiten einer anderen Person nicht beeinträchtigen.

Zugang

Primetric ermöglicht es Einzelpersonen festzustellen, ob es personenbezogene Daten über sie speichert, und auf Anfrage kann die Einzelperson Zugang zu ihren personenbezogenen Daten erhalten. Primetric überprüft und authentifiziert die Identität von Personen, die Zugang zu ihren personenbezogenen Daten beantragen, bevor sie Zugang zu diesen Daten erhalten.

Primetric stellt der betroffenen Person persönlich identifizierbare Informationen in verständlicher Form, in einem angemessenen Zeitrahmen und zu angemessenen Kosten zur Verfügung.

Primetric kann einer Person den Zugang zu ihren personenbezogenen Daten oder einen Antrag auf Änderung dieser Daten auf der Grundlage gesetzlicher Bestimmungen verweigern und wird die Person zusammen mit dem Grund für die Verweigerung rechtzeitig darüber informieren, es sei denn, dies ist durch gesetzliche Bestimmungen verboten.

Übertragbarkeit von Daten

Primetric gewährt dem Einzelnen das Recht, seine personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten. Die Organisation wird das Recht vorsehen, die personenbezogenen Daten einer Person ungehindert an eine andere Organisation zu übermitteln, wenn:

  • Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
  • Die Verarbeitung erfolgt mit automatisierten Mitteln

Sofern dies technisch möglich ist, hat eine Person, die ihr Recht auf Datenübertragbarkeit wahrnimmt, das Recht, dass ihre personenbezogenen Daten direkt von einer Organisation an eine andere übermittelt werden. Dieses Recht gilt nicht für Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und die die Rechte/Freiheiten anderer Personen nicht beeinträchtigen.

Offenlegung

Primetric gibt personenbezogene Daten nur dann an Dritte weiter, wenn dafür eine rechtliche Grundlage besteht und die gesetzlichen Bestimmungen, insbesondere die GDPR, eingehalten werden.

Primetric verfolgt und protokolliert autorisierte und gemeldete unautorisierte Offenlegungen.

Berichtigung und Aktualisierung

Primetric ermöglicht es Einzelpersonen, im Besitz der Organisation befindliche personenbezogene Daten zu aktualisieren oder zu berichtigen, und stellt diese aktualisierten oder berichtigten Informationen Dritten zur Verfügung, die zuvor mit den personenbezogenen Daten der Einzelperson versorgt wurden. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen.

Primetric kann einer Person den Zugang zu ihren personenbezogenen Daten oder einen Antrag auf Änderung dieser Daten auf der Grundlage gesetzlicher Bestimmungen verweigern und wird die Person zusammen mit dem Grund für die Verweigerung rechtzeitig darüber informieren, es sei denn, dies ist durch gesetzliche Bestimmungen verboten.

Löschung

Primetric erfasst Anträge auf Löschung personenbezogener Daten, und die entsprechenden Informationen werden identifiziert und zur Vernichtung gekennzeichnet, um die Ziele der Organisation in Bezug auf den Datenschutz zu erfüllen. Primetric benachrichtigt Dritte, die zuvor die personenbezogenen Daten der betreffenden Person erhalten haben, im Einklang mit den Datenschutzzielen der Organisation über die Löschung dieser Daten.

Der Betroffene hat das Recht, von der Organisation die unverzügliche Löschung seiner personenbezogenen Daten zu verlangen. Primetric ist verpflichtet, personenbezogene Daten ohne unnötige Verzögerung zu löschen, wenn einer der folgenden Punkte zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben und/oder verarbeitet wurden, nicht mehr erforderlich;
  • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützt, und es gibt keinen anderen Rechtsgrund für die Verarbeitung;
  • Der Betroffene widerspricht der Verarbeitung und es gibt keine legitimen Gründe, um die Verarbeitung aufzuheben, oder der Betroffene widerspricht der Verarbeitung von Daten, für deren Verarbeitung keine zwingenden legitimen Gründe vorliegen;
  • Die personenbezogenen Daten sind unrechtmäßig verarbeitet worden;
  • Die personenbezogenen Daten müssen zur Erfüllung gesetzlicher Verpflichtungen gelöscht werden; oder
  • Die personenbezogenen Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft erhoben.

Wenn Primetric die personenbezogenen Daten veröffentlicht hat und zur Löschung der personenbezogenen Daten verpflichtet ist, unternimmt die Organisation angemessene Schritte (z. B. unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten), einschließlich technischer Maßnahmen, um andere Organisationen, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass die Person die Löschung ihrer personenbezogenen Daten beantragt hat.

Primetric kann den Antrag auf Löschung ablehnen, wenn die Verarbeitung personenbezogener Daten aus den folgenden Gründen erforderlich ist:

  • Für die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit
  • Zur Erfüllung rechtlicher Verpflichtungen
  • Aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
  • für im öffentlichen Interesse liegende Archivierungszwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, sofern das Recht auf Löschung die Erreichung der mit der Verarbeitung verfolgten Ziele wahrscheinlich unmöglich macht (oder ernsthaft beeinträchtigt)
  • Für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen

Einschränkung

Primetric räumt einer Person das Recht ein, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, wenn einer der folgenden Fälle vorliegt:

  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person während eines Zeitraums angefochten, der es der Organisation ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  • Die Verarbeitung ist unrechtmäßig und die betroffene Person widerspricht der Löschung der personenbezogenen Daten und beantragt stattdessen die Einschränkung ihrer Verwendung.
  • Die Organisation benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung, sondern wird von der betroffenen Person für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
  • Die betroffene Person hat der Verarbeitung aus legitimen Gründen widersprochen, solange nicht geprüft wurde, ob die legitimen Gründe der Organisation Vorrang vor denen der betroffenen Person haben.

In den Fällen, in denen die Verarbeitung mit Ausnahme der Speicherung eingeschränkt wurde, wird die Organisation personenbezogene Daten nur wie folgt verarbeiten:

  • Mit der Zustimmung der Person
  • Für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Für den Schutz der Rechte einer anderen natürlichen oder juristischen Person
  • Aus wichtigen Gründen des öffentlichen Interesses

Primetric wird die Person, die eine Einschränkung der Verarbeitung erhalten hat, informieren, bevor die Einschränkung der Verarbeitung aufgehoben wird.

Einwände

Primetric räumt dem Betroffenen das Recht ein, der Verarbeitung seiner personenbezogenen Daten zu widersprechen, einschließlich der Verarbeitung auf der Grundlage von Profiling. Primetric verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, die Organisation kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Die personenbezogenen Daten werden aufgrund des Widerspruchs der betroffenen Person nicht mehr zu Marketingzwecken verarbeitet.

Auf das Widerspruchsrecht wird die betroffene Person bei der ersten Kontaktaufnahme aufmerksam gemacht, und zwar in klarer und von allen anderen Informationen getrennter Form.

Im Rahmen der Nutzung von Diensten der Informationsgesellschaft kann der Einzelne sein Widerspruchsrecht mit Hilfe automatisierter Verfahren unter Verwendung technischer Spezifikationen ausüben.

Werden personenbezogene Daten zu wissenschaftlichen, historischen oder statistischen Forschungszwecken verarbeitet, so hat der Betroffene das Recht, der Verarbeitung seiner personenbezogenen Daten zu widersprechen, es sei denn, die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.

Automatisierung (Automatisierte Entscheidungen)

Die Organisation setzt die autorisierte Verarbeitung personenbezogener Daten durch, indem sie automatische Mechanismen einsetzt, die die Überprüfung ermöglichen, dass nur autorisierte Verarbeitungen stattfinden.

Die Organisation wahrt das Recht natürlicher Personen, nicht einer Entscheidung unterworfen zu werden, die allein aufgrund einer automatisierten Verarbeitung einschließlich Profiling rechtliche Wirkung entfaltet oder vergleichbare erhebliche Auswirkungen auf die betroffene Person hat. Die Organisation ergreift geeignete Maßnahmen zur Wahrung der Rechte/Freiheiten und des berechtigten Interesses der Person, indem sie das Recht auf menschliche Intervention seitens der Organisation, auf Darlegung des Standpunkts der Person und auf Anfechtung der Entscheidung vorsieht. Hinweis: Die Entscheidung darf nicht angewandt werden, wenn sie im Rahmen eines Vertrags zwischen der Organisation und der betroffenen Person erforderlich ist, gesetzlich zulässig ist oder auf der ausdrücklichen Zustimmung der betroffenen Person beruht.

03 Persönlich identifizierbare Informationen (PII) Verarbeitungszwecke

Primetric wird die Zwecke für die Verarbeitung personenbezogener Daten angeben und dokumentieren. Dies ermöglicht es dem Einzelnen, fundierte Entscheidungen zu treffen und seine Datenschutzinteressen zu wahren. Der Zweck der Verarbeitung wird in den öffentlichen Datenschutzhinweisen und den damit verbundenen Datenschutzverfahren beschrieben. Primetric wird die Verarbeitung personenbezogener Daten auf das Maß beschränken, das mit den angegebenen Zwecken vereinbar ist. Primetric überwacht Änderungen in der Verarbeitung und berät sich mit dem Datenschutzbeauftragten oder einem anderen Rechtsbeistand, um sicherzustellen, dass jede neue Verarbeitung weiterhin mit dem ursprünglichen Zweck vereinbar ist. Wenn zuvor erhobene Daten für Zwecke verwendet werden sollen, die zuvor nicht in der Datenschutzerklärung angegeben waren, wird Primetric den neuen Zweck dokumentieren, die betroffene Person benachrichtigen und vor der neuen Verwendung oder dem neuen Zweck die implizite oder ausdrückliche Zustimmung einholen.

Primetric überwacht Änderungen bei der Verarbeitung personenbezogener Daten und setzt Mechanismen ein, um sicherzustellen, dass alle Änderungen in Übereinstimmung mit den festgelegten Anforderungen vorgenommen werden.

Soweit möglich, fügt die Organisation den Elementen personenbezogener Daten für festgelegte Verarbeitungszwecke Datenkennzeichen hinzu, die den Verwendungszweck enthalten.

Die Organisation wird die Verarbeitung personenbezogener Daten mit Hilfe automatisierter Mechanismen verfolgen.

Die Organisation stellt sicher, dass die bestehenden Verträge zur Verarbeitung von PII die Rolle der Organisation bei der Unterstützung ihrer Kunden in Bezug auf deren Verpflichtungen bei der Verarbeitung regeln, wobei die Art der Verarbeitung und die der Organisation zur Verfügung stehenden Informationen berücksichtigt werden. Primetric verarbeitet PII im Auftrag eines Kunden nur für die Zwecke, die in den dokumentierten Anweisungen des Kunden angegeben sind.

Sammlung

Primetric beschränkt die Erhebung personenbezogener Daten auf das zur Erreichung der Ziele des Unternehmens erforderliche Maß. Die Methoden zur Erhebung von PII werden von der Geschäftsleitung vor der Umsetzung überprüft, um sicherzustellen, dass PII auf faire Weise und ohne Einschüchterung oder Täuschung sowie auf gesetzeskonforme Weise unter Einhaltung aller einschlägigen gesetzlichen Bestimmungen erhoben werden.

Primetric wird Personen informieren, wenn das Unternehmen zusätzliche Informationen über sie entwickelt oder erwirbt, um sie zu verwenden.

Verwendung und Offenlegung

Primetric verwendet personenbezogene Daten nur in dem Umfang, zu dem das Unternehmen berechtigt ist, und nur in dem Maße, wie es für die Erfüllung von Service-Level-Verpflichtungen, vertraglichen Verpflichtungen oder gesetzlichen Vorschriften erforderlich ist.

Vorratsspeicherung

Primetric bewahrt PII nur so lange auf, wie es erforderlich ist oder wie es der Aufbewahrungszeitplan der Organisation vorsieht, wie es die gesetzlichen oder vertraglichen Verpflichtungen erfordern.

Schutzmaßnahmen

Primetric muss festlegen und genehmigen, wo sensible Informationen (einschließlich personenbezogener Daten) gespeichert werden sollen. Sensible Informationen werden auf ein Minimum beschränkt, das für geschäftliche oder rechtliche Zwecke erforderlich ist, und nur so lange aufbewahrt, wie dies gemäß dem Datenaufbewahrungsplan erforderlich ist.

Primetric muss technische Maßnahmen ergreifen, um die Vertraulichkeit und Integrität sensibler Informationen zu schützen, die sich in Ruhe befinden oder an zugelassenen Orten gemäß den Vorschriften gespeichert werden. Diese sensiblen Informationen werden in jeder elektronischen Form, in der sie gespeichert sind, durch Anwendung einer dieser Techniken unbrauchbar, unlesbar oder unentzifferbar gemacht:

  • Durchsetzung der obligatorischen vollständigen Festplattenverschlüsselung auf Laptops oder anderen mobilen Geräten, sofern dies unterstützt wird

Anmerkung: Bei der Festplattenverschlüsselung muss der logische Zugriff unabhängig vom Betriebssystem verwaltet werden, und alle Entschlüsselungsschlüssel dürfen nicht an Benutzerkonten gebunden sein.

  • Verschlüsselung von virtuellen Festplatten
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von bestimmten Dateien oder Ordnern

Primetric verwendet starke Verschlüsselungstechnologien wie die Verwendung von Einweg-Hashes, Trunkierung oder andere starke Kryptografie mit Schlüsselverwaltung. Zu den zugelassenen Verschlüsselungsalgorithmen gehören solche, die den FIPS 140-2-Standards entsprechen, wie der Advanced Encryption Standard AES mit einer Schlüssellänge von mindestens 128 Bit und der Triple Data Encryption Algorithm (oder Triple DES). Die Organisation dokumentiert die Gründe und die Genehmigung des CISO für alle Fälle, in denen eine Verschlüsselung nicht angemessen oder geeignet ist.

GDPR

Die DSGVO regelt den Schutz natürlicher Personen (oder Einzelpersonen) bei der Verarbeitung ihrer personenbezogenen Daten sowie den freien Verkehr personenbezogener Daten.Die DSGVO schützt die Grundrechte und -freiheiten natürlicher Personen und ihr Recht auf Schutz ihrer personenbezogenen Daten. Der freie Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) wird nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten eingeschränkt oder verboten.

Die DSGVO gilt für die (vollständige oder teilweise) automatisierte Verarbeitung personenbezogener Daten und für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind (oder gespeichert werden sollen). Die DSGVO gilt nicht für Personen im Rahmen rein persönlicher oder häuslicher Tätigkeiten oder durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit.

Die DSGVO gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Organisation, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch eine Organisation, die nicht in der EU ansässig ist, wenn sich die Verarbeitung auf das Anbieten von Waren (oder Dienstleistungen) unabhängig von der Zahlung an diese betroffenen Personen in der EU oder auf die Überwachung ihres Verhaltens bezieht, soweit ihr Verhalten innerhalb der EU stattfindet.

Diese Richtlinie enthält die Definitionen von Begriffen gemäß GDPRArtikel 4 in Bezug auf die Einhaltung der GDPR.

Personenbezogene Daten müssen sein:

  • Rechtmäßigkeit, Fairness und Transparenz: Rechtmäßige, faire und transparente Verarbeitung in Bezug auf die betreffende Person
  • Zweckbeschränkung: Die Daten werden für einen bestimmten, eindeutigen und rechtmäßigen Zweck erhoben und nicht in einer Weise weiterverarbeitet, die mit diesem Zweck unvereinbar ist. Hinweis: Die Verarbeitung zum Zwecke der Archivierung im öffentlichen Interesse, der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken wird nicht als unvereinbar mit dem ursprünglichen Zweck betrachtet.
  • Minimierung der Daten: Angemessen, sachdienlich und begrenzt auf das, was im Zusammenhang mit dem Zweck der Verarbeitung erforderlich ist
  • Korrektheit: Genau und auf dem neuesten Stand halten sowie alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass alle Ungenauigkeiten in Bezug auf die zweckmäßigen Verfahren unverzüglich gelöscht oder berichtigt werden
  • Beschränkung der Speicherung: Nur so lange aufbewahren, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Hinweis: Personenbezogene Daten können länger gespeichert werden, wenn sie ausschließlich zu Archivierungszwecken im öffentlichen Interesse, für wissenschaftliche oder historische Forschungen oder für statistische Zwecke verarbeitet werden, sofern geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen getroffen werden.
  • Integrität und Vertraulichkeit: Verarbeitung personenbezogener Daten in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie des Schutzes vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen
  • Rechenschaftspflicht: Sie sind für die Einhaltung der DSGVO verantwortlich und weisen diese nach.

Rechtmäßigkeit

Die Verarbeitung muss rechtmäßig sein, und mindestens eine der folgenden Bedingungen muss erfüllt sein:

  • Die Person gibt ihre Zustimmung zur Verarbeitung für einen oder mehrere bestimmte Zwecke
  • Die Verarbeitung ist erforderlich, um eine vertragliche Verpflichtung gegenüber einer natürlichen Person, die Vertragspartei ist, zu erfüllen oder um auf Antrag einer natürlichen Person Maßnahmen zum Abschluss eines Vertrags zu ergreifen.
  • Einhaltung der rechtlichen Verpflichtungen
  • Notwendig, um die lebenswichtigen Interessen der Person oder einer anderen Person zu schützen
  • Erforderlich zur Erfüllung einer Aufgabe im öffentlichen Interesse oder zur Ausübung einer offiziellen Befugnis der Organisation
  • Verarbeitung aufgrund eines berechtigten Interesses, es sei denn, dieses Interesse wird durch die Grundrechte/Freiheiten einer Person, die den Schutz der personenbezogenen Daten erfordern, überlagert (z. B. bei personenbezogenen Daten von Kindern)

Wenn die Verarbeitung keine Identifizierung der Person erfordert, ist die Organisation nicht verpflichtet, zusätzliche Informationen zur Identifizierung der Person aufzubewahren, zu beschaffen oder zu verarbeiten. Die Organisation ist nur dann verpflichtet, die Identität der Person zu überprüfen, wenn dies gesetzlich vorgeschrieben ist, damit die Person ihre individuellen Datenschutzrechte ausüben kann.

04 Zustimmung

Einzelpersonen sind durch ihre Zustimmung an den Entscheidungen über die Verarbeitung beteiligt. Aus organisatorischer Sicht werden die Risiken der Verarbeitung personenbezogener Daten auf den Einzelnen übertragen, indem dieser seine Zustimmung zur Verarbeitung seiner Daten erteilt. Die Zustimmung kann auch durch Gesetze vorgeschrieben sein. Primetric berücksichtigt bei der Auswahl der Zustimmung zur Verarbeitung von Daten die angemessenen Erwartungen an die Akzeptanz und das Verständnis der Datenschutzrisiken, die sich aus der Genehmigung einer Person ergeben. Das Unternehmen berücksichtigt alle Maßnahmen zur wirksamen Minderung von Datenschutzrisiken sowie alle demografischen oder kontextbezogenen Faktoren, die das Verständnis/Verhalten von Personen in Bezug auf die Verarbeitung beeinflussen.

Primetric informiert Einzelpersonen über die Wahlmöglichkeiten, die ihnen in Bezug auf die Erhebung, Verwendung und Weitergabe ihrer personenbezogenen Daten zur Verfügung stehen. Primetric muss die implizite oder explizite Zustimmung zur Erhebung, Verwendung und Weitergabe personenbezogener Daten einholen oder die Zustimmung einer Person (oder eines bevollmächtigten Vertreters) vorlegen und einholen, wenn die Verarbeitung eine neue Verwendung/Weitergabe einführt, wie dies gesetzlich vorgeschrieben ist.

Primetric holt die implizite oder explizite Zustimmung von Einzelpersonen zum oder vor dem Zeitpunkt der Erhebung personenbezogener Daten (oder kurz danach) ein und dokumentiert diese. Wie gesetzlich vorgeschrieben, muss Primetric die Zustimmung einholen, bevor personenbezogene Daten per E-Mail, Fax, Post oder auf andere Weise an externe Parteien weitergegeben werden. Die in der Einwilligung geäußerten Präferenzen werden von der Person bestätigt und umgesetzt. Primetric muss einer Person die Möglichkeit geben, ihre Einwilligung zu ändern und auf diese Änderung zu reagieren oder die Verarbeitung rechtzeitig zu beenden. Primetric holt die Zustimmung ein, bevor personenbezogene Daten auf den Computer oder ein anderes ähnliches Gerät einer Person übertragen werden.

Primetric hält sich an die gesetzlichen Bestimmungen zur Einwilligung und holt eine informierte und transparente Einwilligung ein. Das Unternehmen nutzt alternative Lösungen, um die Einwilligung vor der Verarbeitung einzuholen, wenn der normale Weg der Einwilligung nicht möglich ist. Die Organisation muss Aufzeichnungen über die Einwilligung führen.

Primetric muss die Identität einer Person oder eines bevollmächtigten Vertreters bestätigen, die ihre Zustimmung zur Verarbeitung geben. Die Informationen zur Identitätsüberprüfung werden auf das erforderliche Minimum beschränkt und nur so lange wie nötig aufbewahrt. Die Informationen zur Identitätsüberprüfung werden sicher entsorgt, wenn sie nicht mehr benötigt werden. Die Organisation identifiziert potenzielle Risiken für den Datenschutz bei Genehmigungen.

Primetric wird geeignete Mechanismen zur Einholung der Einwilligung in Betracht ziehen, wie z. B. die Art der Einwilligung (z. B. Opt-in oder Opt-out), die Art der Authentifizierung oder Identifizierung von Personen und die Art der Einholung der Einwilligung auf elektronischem Wege. Die Organisation wird die Faktoren der Benutzerfreundlichkeit berücksichtigen, um dem Einzelnen zu helfen, die mit der Einwilligung verbundenen Risiken zu verstehen, und die Verwendung einfacher Sprache unter Vermeidung von Fachjargon vorsehen.

Primetric wird Instrumente oder Mechanismen einführen, die es Einzelpersonen ermöglichen, der Verarbeitung ihrer personenbezogenen Daten vor deren Erhebung zuzustimmen, um ihnen eine informierte Entscheidungsfindung zu erleichtern. Soweit möglich, wird das Unternehmen Mechanismen bereitstellen, die es Einzelpersonen ermöglichen, die Verarbeitungserlaubnis auf ausgewählte Elemente personenbezogener Daten zu beschränken. Die Organisation stellt den Personen zum Zeitpunkt der Verarbeitung Zustimmungsmechanismen zur Verfügung. Die Organisation wird einen Mechanismus einführen, mit dem Einzelpersonen ihre Zustimmung zur Verarbeitung widerrufen können.

Primetric muss einer Person die Möglichkeit geben, ihr Wahlrecht auszuüben, bevor sie ihre sensiblen Daten (personenbezogene Daten (PII)) verarbeitet. Eine Person kann ihre Zustimmung zurückziehen, indem sie die Organisation in angemessener Weise darüber informiert, wie es das Gesetz vorschreibt. Die Organisation kann einer Person eine angemessene Begründung geben, damit sie ihr Recht auf Widerspruch gegen die Verarbeitung ausüben kann. Primetric kann sich weigern, einem Antrag gemäß den gesetzlichen Bestimmungen nachzukommen, aber die Organisation wird der Person eine ausführliche Begründung für die Ablehnung der Rechtmäßigkeit des Widerspruchs geben.

Primetric kann, soweit möglich, einer Person gestatten, gegen bestimmte Aspekte der Verarbeitung und nicht gegen die gesamte Verarbeitung Widerspruch einzulegen. Primetric wird den Widerspruch einer Person innerhalb des gesetzlichen Zeitrahmens oder wie in den Datenschutzrichtlinien des Unternehmens festgelegt bestätigen.

Primetric macht seine Dienstleistungen nicht davon abhängig, dass eine Einzelperson ihre sensiblen Daten (personenbezogene Daten), die für die angebotenen Dienstleistungen nicht relevant sind, nicht zur Verfügung stellt.

Primetric muss die Identität einer Person oder eines bevollmächtigten Vertreters, die einen Einspruch einreichen, bestätigen. Die Informationen zur Identitätsüberprüfung werden auf das erforderliche Minimum beschränkt und nur so lange wie nötig aufbewahrt. Die Informationen zur Identitätsüberprüfung werden auf sichere Weise entsorgt, wenn sie nicht mehr benötigt werden.

Primetric ist verpflichtet, die anderen erforderlichen Stellen über alle eingereichten Einwände zu informieren und diese Stellen aufzufordern, sich an die geltenden Einwände zu halten.

Primetric wird die im Rahmen eines Vertrags verarbeiteten personenbezogenen Daten nicht für Marketing- oder Werbezwecke verwenden, ohne zuvor die Zustimmung der betreffenden Person eingeholt zu haben. Primetric darf die Erteilung der Zustimmung nicht zur Bedingung für den Erhalt von Dienstleistungen machen.

GDPR - Zustimmung

Primetric muss nachweisen, dass eine Person ihre Einwilligung zur Verarbeitung gegeben hat. Wird die Einwilligung der Person im Rahmen einer schriftlichen Einwilligung zu anderen Angelegenheiten erteilt, muss die Einwilligung in einer Weise dargestellt werden, die sich deutlich von anderen Angelegenheiten unterscheidet. Die Einwilligung muss verständlich und in einer leicht zugänglichen Form in klarer und einfacher Sprache abgefasst sein. Die betroffene Person behält das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung.

Bei der Beurteilung der Frage, ob die Einwilligung aus freien Stücken gegeben wurde, ist insbesondere zu berücksichtigen, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die Erfüllung dieses Vertrags nicht erforderlich ist.

Wenn es um die direkte Bereitstellung von Diensten der Informationsgesellschaft für Kinder geht, muss das Kind mindestens sechzehn (16) Jahre alt sein, um seine personenbezogenen Daten rechtmäßig verarbeiten zu können. Ist das Kind weniger als sechzehn (16) Jahre alt, muss die Erlaubnis der Eltern für die Verarbeitung der personenbezogenen Daten des Kindes eingeholt werden.

05 Datenschutzhinweis (Transparenz)

Primetric verarbeitet personenbezogene Daten auf rechtmäßige, faire und transparente Weise in Bezug auf die betreffende Person.

Organisationen verwenden Datenschutzhinweise, um Einzelpersonen darüber zu informieren, wie, unter wessen Aufsicht und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden, sowie über andere Informationen, wie z. B. die Wahlmöglichkeiten, die Einzelpersonen in Bezug auf diese Verarbeitung haben, und andere Parteien, mit denen Daten ausgetauscht werden. Gesetze, Durchführungsverordnungen, Direktiven, Verordnungen oder Richtlinien können verlangen, dass Datenschutzhinweise bestimmte Elemente enthalten oder in bestimmten Formaten bereitgestellt werden. Die Mitarbeiter der Bundesbehörden konsultieren den leitenden Beamten für den Datenschutz und den Rechtsbeistand, um zu erfahren, wann und wo sie Datenschutzhinweise bereitstellen müssen und welche Elemente in den Datenschutzhinweisen und den erforderlichen Formaten enthalten sein müssen. In Fällen, in denen Gesetze oder regierungsweite Richtlinien keine Datenschutzhinweise vorschreiben, können organisatorische Richtlinien und Bestimmungen Datenschutzhinweise vorschreiben und als Quelle für die in Datenschutzhinweise aufzunehmenden Elemente dienen.

Datenschutz-Risikobewertungen zeigen die mit der Verarbeitung personenbezogener Daten verbundenen Datenschutzrisiken auf und können Organisationen dabei helfen, geeignete Elemente zu bestimmen, die in einen Datenschutzhinweis aufgenommen werden sollten, um solche Risiken zu bewältigen. Damit Einzelpersonen verstehen können, wie ihre Daten verarbeitet werden, verfassen Organisationen Materialien in einfacher Sprache und vermeiden Fachjargon.

Primetric muss die neuesten Datenschutzrichtlinien der Organisation auf der Website der Organisation öffentlich zugänglich machen.

Primetric muss Einzelpersonen einen klaren und leicht zugänglichen Datenschutzhinweis in einfacher Sprache zur Verfügung stellen, der die Praktiken und Richtlinien der Organisation in Bezug auf sensible Daten (personenbezogene Daten) in der gesetzlich vorgeschriebenen Form und zum gesetzlich vorgeschriebenen Zeitpunkt bei der ersten Interaktion mit der Organisation und anschließend bei Änderungen des Hinweises erläutert. Der Datenschutzhinweis sollte auch für Personen, die nicht mit Informationstechnologien, juristischem Fachjargon oder dem Internet vertraut sind, leicht verständlich sein. Die Organisation informiert Einzelpersonen über die Verarbeitung personenbezogener Daten, wobei die Behörde, die die Verarbeitung personenbezogener Daten genehmigt, sowie der Zweck, zu dem die personenbezogenen Daten verarbeitet werden, angegeben werden und spezifische Informationen über die gesetzlichen oder vertraglichen Verpflichtungen der Organisation enthalten sind.

Primetric muss den Personen die Möglichkeiten und Mittel zur Einschränkung der Verarbeitung, zum Zugriff, zur Berichtigung und zur Löschung der sensiblen Daten der Person (personenbezogene Daten) mitteilen.

Primetric aktualisiert den Datenschutzhinweis bei Änderungen an den Datenschutzrichtlinien, -praktiken oder -aktivitäten der Organisation vor oder so bald wie möglich nach der Änderung. Die Benachrichtigung der Personen muss nach Möglichkeit vor oder zum Zeitpunkt der Erhebung sensibler Daten (personenbezogene Daten (PII)) erfolgen.

Primetric muss den Zweck eines engen Zusammenhangs zwischen einer allgemeinen Genehmigung und einer spezifischen Erfassung sensibler Daten (personenbezogener Daten) in der Dokumentation der Organisation zur Einhaltung der Datenschutzbestimmungen klar beschreiben, wenn der Gesetzestext zu weit gefasst ist. Primetric kann bei der Erhebung sensibler Daten (personenbezogener Daten (PII)) Echtzeit- oder mehrstufige Mitteilungen bereitstellen.

Primetric informiert Einzelpersonen über die Verarbeitung personenbezogener Daten zu einem Zeitpunkt und an einem Ort, an dem die Einzelperson personenbezogene Daten zur Verfügung stellt, oder in Verbindung mit einer Datenaktion, oder jährlich, wenn sich die Informationen ändern.

Primetric muss Einzelpersonen über Folgendes informieren:

● Tätigkeiten im Zusammenhang mit dem Datenschutz, einschließlich, aber nicht beschränkt auf die Erfassung, Verwendung, Weitergabe, Sicherung, Pflege und Entsorgung sensibler Daten (personenbezogene Daten)

Befugnis zur Erhebung sensibler Informationen (persönlich identifizierbare Informationen (PII))

● Die gesammelten sensiblen Daten (personenbezogene Daten (PII)), der Zweck der Sammlung und die zum Schutz der sensiblen Daten (personenbezogene Daten (PII)) getroffenen Vorkehrungen

Die Entscheidung des Einzelnen, wie die Organisation seine sensiblen Daten (persönlich identifizierbare Informationen (PII)) verwendet, und alle Konsequenzen, die der Einzelne haben kann, wenn er diese Entscheidung ausübt

● Recht auf Widerspruch gegen die Verarbeitung

● Gebühren im Zusammenhang mit dem Zugang, soweit dies gesetzlich zulässig ist

● Aufbewahrung sensibler Informationen (persönlich identifizierbare Informationen (PII))

Recht auf Zugang zu sensiblen Daten (personenbezogene Daten) und die Art und Weise, wie auf diese Daten zugegriffen werden kann, um sie gegebenenfalls zu korrigieren

ob die Organisation sensible Informationen (personenbezogene Daten) an andere Einrichtungen weitergibt und zu welchem Zweck dies geschieht

Ob die Organisation Daten verkauft oder weiterleitet, damit sie von Datenanalyseunternehmen verarbeitet werden, und Einzelheiten zu den Risiken, die mit dieser Verarbeitung verbunden sind

● Kontaktinformationen für den Datenschutzbeauftragten der Organisation, um Rückmeldungen, Beschwerden, Fragen oder andere relevante Themen im Zusammenhang mit den Datenschutzpraktiken der Organisation zu übermitteln.

Primetric informiert Dritte, mit denen es personenbezogene Daten austauscht, über Änderungen, Widerrufe oder Einwände in Bezug auf die ausgetauschten personenbezogenen Daten und setzt zu diesem Zweck geeignete Richtlinien, Verfahren und/oder Mechanismen ein.

Primetric wird den Kunden informieren, wenn seiner Meinung nach die Verarbeitungsanweisungen gegen geltendes Recht verstoßen.

Primetric benachrichtigt seine Kunden über alle rechtlich verbindlichen Anfragen zur Offenlegung von PII. Das Unternehmen wird den Kunden über jeden Einsatz von Unterauftragnehmern zur Verarbeitung von PII informieren, bevor es den Unterauftragnehmer einsetzt.

GDPR - Datenschutzhinweis

Primetric stellt der betroffenen Person Informationen und Mitteilungen über die Verarbeitung personenbezogener Daten in klarer, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer eindeutigen und einfachen Sprache zur Verfügung (insbesondere bei Kindern, falls zutreffend). Primetric wird diese Informationen in schriftlicher oder elektronischer Form zur Verfügung stellen. Wenn die Identität einer Person auf andere Weise nachgewiesen wird, können die von der Person gewünschten Informationen mündlich erteilt werden.

Primetric wird die Ausübung der Rechte des Einzelnen erleichtern und sich nicht weigern, einem Antrag einer Person auf Ausübung ihrer Rechte nachzukommen, es sei denn, die Organisation weist nach, dass sie nicht in der Lage ist, die Person zu identifizieren.

Primetric informiert ohne unnötige Verzögerung und in jedem Fall innerhalb eines (1) Monats nach Eingang des Antrags über die Maßnahmen, die im Zusammenhang mit dem Antrag einer Person ergriffen wurden; diese Frist kann erforderlichenfalls unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei (2) weitere Monate verlängert werden. Etwaige Verzögerungen sind dem Antragsteller innerhalb eines Monats mitzuteilen, wobei die Gründe für die Verzögerung und die erforderliche zusätzliche Fristverlängerung zu erläutern sind. Stellt der Antragsteller seinen Antrag auf elektronischem Wege, werden die Informationen auf elektronischem Wege bereitgestellt, sofern der Antragsteller nichts anderes wünscht.

Wenn Primetric dem Antrag einer Person nicht nachkommt, informiert die Organisation die Person innerhalb eines (1) Monats nach Eingang des Antrags über die Gründe, warum die Organisation nicht tätig wird, und darüber, wie eine Beschwerde bei einer Aufsichtsbehörde eingereicht werden kann, um einen Rechtsbehelf einzulegen.

Primetric stellt der betroffenen Person die Mitteilungen und alle getroffenen Maßnahmen kostenlos zur Verfügung. Bei offensichtlich unbegründeten oder übermäßigen Anfragen einer Einzelperson (aufgrund wiederholter Aktionen) kann die Organisation:

● eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen, die Mitteilung oder die Durchführung der beantragten Maßnahme zu erheben; oder

● Ablehnung des Ersuchens.

Hinweis: Die Organisation trägt die Beweislast für die offensichtliche Unbegründetheit oder Übermäßigkeit des Antrags.

Primetric wird bei Bedarf zusätzliche Informationen anfordern, um die Identität einer Person zu bestätigen, wenn die Organisation begründete Zweifel an der Identität der Person hat.

Die Informationen für Einzelpersonen können in Kombination mit standardisierten Symbolen bereitgestellt werden, um auf leicht sichtbare, verständliche und deutlich lesbare Weise einen aussagekräftigen Überblick über die vorgesehene Verarbeitung zu geben; werden die Symbole elektronisch dargestellt, sollten sie maschinenlesbar sein.

Primetric stellt der betroffenen Person zum Zeitpunkt der Erhebung personenbezogener Daten die folgenden Informationen zur Verfügung

● Identität und Kontaktdaten der Organisation und ggf. des Vertreters der Organisation

● Gegebenenfalls die Kontaktdaten der Datenschutzbeauftragten

● die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung

● Wenn die Verarbeitung auf berechtigten Interessen beruht, den berechtigten Interessen, die von der Organisation oder von einem Dritten verfolgt werden

● die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls vorhanden

● Gegebenenfalls die Tatsache, dass die Organisation beabsichtigt, personenbezogene Daten an ein Drittland (oder eine internationale Organisation) zu übermitteln, und das Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses, einen Hinweis auf die geeigneten oder angemessenen Garantien sowie die Mittel, um eine Kopie davon zu erhalten (oder wenn sie zur Verfügung gestellt worden sind)

Darüber hinaus stellt Primetric einer Person zum Zeitpunkt der Erhebung die folgenden weiteren Informationen zur Verfügung, die für eine faire/transparente Verarbeitung erforderlich sind:

Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder die Kriterien, nach denen dieser Zeitraum bestimmt wird, wenn keine Zeitspanne angegeben werden kann

● das Bestehen des Rechts, von der Organisation Auskunft, Berichtigung, Löschung, Einschränkung oder Widerspruch gegen die Verarbeitung zu verlangen, sowie das Recht auf Datenübertragbarkeit

● Wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor deren Widerruf berührt wird

● Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen

ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines Vertrags erforderlich ist und ob die Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung dieser Daten haben kann

● das Vorhandensein einer automatisierten Entscheidungsfindung (einschließlich Profiling) und zumindest in diesen Fällen aussagekräftige Informationen über die damit verbundene Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person

Beabsichtigt Primetric, personenbezogene Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, wird das Unternehmen der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck sowie gegebenenfalls weitere relevante Informationen zur Verfügung stellen.

Primetric muss die Informationen nicht noch einmal an die Einzelperson weitergeben, sofern diese bereits über die Informationen verfügt.

Wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben wurden, stellt Primetric der betroffenen Person folgende Informationen zur Verfügung:

● Identität und Kontaktdaten der Organisation und ggf. des Vertreters der Organisation

● Gegebenenfalls die Kontaktdaten der Datenschutzbeauftragten

● die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung

● Die Kategorien der betroffenen personenbezogenen Daten

● die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls vorhanden

● Gegebenenfalls die Tatsache, dass die Organisation beabsichtigt, personenbezogene Daten an ein Drittland (oder eine internationale Organisation) zu übermitteln, und das Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses, einen Hinweis auf die geeigneten oder angemessenen Garantien sowie die Mittel, um eine Kopie davon zu erhalten (oder wenn sie zur Verfügung gestellt worden sind)

Darüber hinaus stellt Primetric einer Person zum Zeitpunkt der Erhebung die folgenden weiteren Informationen zur Verfügung, die zur Gewährleistung einer fairen/transparenten Verarbeitung erforderlich sind:

Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder die Kriterien, nach denen dieser Zeitraum bestimmt wird, wenn keine Zeitspanne angegeben werden kann

● Wenn die Verarbeitung auf berechtigten Interessen beruht, den berechtigten Interessen, die von der Organisation oder einem Dritten verfolgt werden

● das Bestehen des Rechts, von der Organisation Auskunft, Berichtigung, Löschung, Einschränkung oder Widerspruch gegen die Verarbeitung zu verlangen, sowie das Recht auf Datenübertragbarkeit

● Wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor deren Widerruf berührt wird

● Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen

● Aus welcher Quelle die personenbezogenen Daten stammen, und ob sie gegebenenfalls aus öffentlich zugänglichen Quellen stammen

● das Vorhandensein einer automatisierten Entscheidungsfindung (einschließlich Profiling) und zumindest in diesen Fällen aussagekräftige Informationen über die damit verbundene Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person

Primetric wird diese Informationen zur Verfügung stellen:

● innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, jedoch innerhalb eines (1) Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet wurden

● Wenn die personenbezogenen Daten für die Kommunikation mit der Person verwendet werden sollen, zum Zeitpunkt der ersten Kommunikation mit dieser Person

● Wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, bei der ersten Weitergabe der personenbezogenen Daten

Beabsichtigt Primetric, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, wird Primetric der betroffenen Person vor der Verarbeitung Informationen über diesen anderen Zweck sowie gegebenenfalls weitere relevante Informationen zur Verfügung stellen.

Primetric muss die Informationen für den Einzelnen nicht wiederholen, wenn:

● Die Person verfügt bereits über die Informationen

● Die Bereitstellung der Informationen ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden, z. B. für Archivzwecke, wissenschaftliche/historische oder statistische Zwecke

● Die Einholung oder Weitergabe ist gesetzlich vorgesehen, und es werden geeignete Maßnahmen zum Schutz der berechtigten Interessen der Person ergriffen.

● wenn personenbezogene Daten aufgrund eines gesetzlich geregelten Berufsgeheimnisses vertraulich bleiben müssen

Primetric teilt die Berichtigung oder Löschung personenbezogener Daten sowie die Einschränkung der Verarbeitung jedem Empfänger mit, an den die personenbezogenen Daten weitergegeben wurden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Primetric informiert die betroffene Person über diese Empfänger, wenn die betroffene Person dies wünscht.

 

06 Besondere Kategorien personenbezogener Daten

Für bestimmte Kategorien personenbezogener Daten können besondere Bedingungen oder Schutzmaßnahmen gelten, zu deren Einhaltung die Organisation gesetzlich verpflichtet ist. Anforderungen können sich auch aus der Bewertung des Datenschutzrisikos ergeben, wenn das Unternehmen feststellt, dass eine bestimmte Kategorie sensibler Daten ein erhöhtes Datenschutzrisiko birgt. Primetric muss sich gegebenenfalls mit dem Datenschutzbeauftragten oder einem Rechtsbeistand über notwendige Schutzmaßnahmen beraten. Primetric wendet besondere Bedingungen für bestimmte Kategorien personenbezogener Daten an, wenn dies gesetzlich vorgeschrieben ist.

Primetric muss Richtlinien zur Verwendung und Offenlegung sensibler Daten (einschließlich personenbezogener Daten (PII)) erstellen und veröffentlichen. Die Organisation wird sensible Daten (personenbezogene Daten (PII)) nur so verwenden oder offenlegen, wie es in den Datenschutzbestimmungen der Organisation oder per Gesetz erlaubt ist. Bei jeder neuen Verwendung und Weitergabe muss die Organisation die Verwendung/Weitergabe bewerten, um sicherzustellen, dass sie genehmigt ist oder eine neue Zustimmung (oder einen aktualisierten Hinweis) erfordert.

 

Primetric gewährt nur denjenigen Zugang zu sensiblen Daten (einschließlich personenbezogener Daten), die für die Erfüllung ihrer Aufgaben erforderlich sind, und beschränkt deren Weitergabe (d. h. es gelten die Grundsätze "Kenntnis nur, wenn nötig" und "Mindestanforderungen").

Primetric wird nur sensible Daten (persönlich identifizierbare Daten (PII)) verwenden/weitergeben, für die eine Zustimmung erteilt wurde. Die Organisation wird sensible Daten (persönlich identifizierbare Informationen (PII)) nur dann verwenden, wenn dies mit dem ursprünglichen Zweck, zu dem sie gesammelt wurden, vereinbar ist.

Bei neuen Verwendungen von personenbezogenen Daten (PII) muss die Organisation eine formale Bewertung vornehmen, um sicherzustellen, dass die Organisation befugt ist, die personenbezogenen Daten (PII) zu verwenden.

GDPR - Besondere Kategorien von PII

Primetricis ist es untersagt, die folgenden personenbezogenen Daten zu verarbeiten:

Daten, aus denen die rassische oder ethnische Herkunft hervorgeht

● Politische Meinungen

● Religiöse oder philosophische Überzeugungen

● Mitgliedschaft in einer Gewerkschaft

● Genetische Daten

● Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

● Daten zur Gesundheit

Daten über das Sexualleben oder die sexuelle Ausrichtung einer Person

Außer:

● Ausdrückliche Zustimmung der Person zur Verarbeitung

● Außer durch Gesetz

● Die Verarbeitung ist erforderlich zur Erfüllung von Verpflichtungen zur Ausübung bestimmter Rechte im Bereich der Beschäftigung, der sozialen Sicherheit und des Sozialschutzes oder von Tarifverträgen, die die Grundrechte/Interessen des Einzelnen angemessen schützen

● Verarbeitung notwendig zum Schutz lebenswichtiger Interessen

Verarbeitung für rechtmäßige Tätigkeiten einer Stiftung, eines Vereins oder einer anderen gemeinnützigen Einrichtung im Zusammenhang mit der Mitgliedschaft einer Person in dieser Einrichtung

● Von der Person öffentlich gemachte Verarbeitung

● Verarbeitung zur Verteidigung von Rechtsansprüchen oder wenn Gerichte in ihrer gerichtlichen Eigenschaft tätig werden

● Verarbeitung im wesentlichen öffentlichen Interesse erforderlich

● Die Verarbeitung ist für die Zwecke der Präventiv-/Berufsmedizin, der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, der medizinischen Diagnose, der Bereitstellung von Gesundheits-/Sozialfürsorge/Behandlung oder der Verwaltung der Gesundheits-/Sozialfürsorge im Rahmen des Kontakts mit einem Angehörigen der Gesundheitsberufe erforderlich

● Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zum Schutz vor grenzüberschreitenden Gesundheitsbedrohungen oder zur Gewährleistung der Qualität/Sicherheit von Gesundheitsprodukten oder Medizinprodukten

● Verarbeitung zum Zwecke der Archivierung im öffentlichen Interesse, der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken

Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen wegen Straftaten darf nur im Rahmen einer behördlichen Befugnis zur gesetzlich zugelassenen Verarbeitung und unter angemessenen Garantien für die Rechte/Freiheiten der Personen erfolgen.

Lokale Gerichtsbarkeiten können den Umfang der Pflichten und Rechte von Einzelpersonen und Organisationen durch gesetzgeberische Maßnahmen einschränken, wenn solche Einschränkungen das Wesen der Grundrechte/Freiheiten von Einzelpersonen respektieren und notwendige/verhältnismäßige Maßnahmen zum Schutz einer demokratischen Gesellschaft sind:

● Nationale Sicherheit

● Verteidigung

● Öffentliche Sicherheit

Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

● Andere wichtige Ziele von allgemeinem öffentlichem Interesse, insbesondere wichtige wirtschaftliche oder finanzielle Interessen, einschließlich Währungs-, Haushalts- und Steuerfragen, öffentliche Gesundheit und soziale Sicherheit

● Schutz der richterlichen Unabhängigkeit und der Gerichtsverfahren

Vorbeugung, Untersuchung, Aufdeckung und strafrechtliche Verfolgung von Verstößen gegen die Berufsethik bei reglementierten Berufen

● Überwachungs-, Inspektions- oder Regulierungsfunktion, die, wenn auch nur gelegentlich, mit der Ausübung öffentlicher Gewalt verbunden ist

● Schutz des Einzelnen oder der Rechte/Freiheiten anderer

● Vollstreckung zivilrechtlicher Ansprüche

Die vorgenannten Rechtsetzungsmaßnahmen enthalten zumindest, soweit relevant, spezifische Bestimmungen über:

● Die Zwecke der Verarbeitung oder die Kategorien der Verarbeitung

● Die Kategorien der personenbezogenen Daten

● Der Umfang der eingeführten Beschränkungen

● Die Schutzmaßnahmen zur Verhinderung von Missbrauch oder unrechtmäßigem Zugriff auf die Übertragung

● Die Spezifikation des Controllers oder der Kategorien von Controllern

● die Aufbewahrungsfristen und die geltenden Garantien unter Berücksichtigung der Art, des Umfangs und der Zwecke der Verarbeitung oder der Verarbeitungskategorien

● Die Risiken für die Rechte/Freiheiten des Einzelnen;

● Das Recht des Einzelnen, über die Beschränkung informiert zu werden, es sei denn, dies könnte dem Zweck der Beschränkung abträglich sein

Primetric verarbeitet personenbezogene Daten zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unter Anwendung angemessener Garantien für die Rechte/Freiheiten der betroffenen Person. Die Organisation stellt sicher, dass technische und organisatorische Maßnahmen für diese Garantien vorhanden sind, die auch die Einhaltung des Grundsatzes der Datenminimierung gewährleisten. Zu den Schutzmaßnahmen kann die Pseudonymisierung gehören, sofern der Zweck mit dieser Methode erfüllt werden kann. Können die Zwecke durch eine Weiterverarbeitung erfüllt werden, die die Identifizierung der Person nicht oder nicht mehr zulässt, so sind diese Zwecke auf diese Weise zu erfüllen.

Verwandte Dokumente

● Verfahren zum Schutz der Privatsphäre

● Abschnitt "Sicherheits- und Datenschutzattribute" der Zugriffskontrollrichtlinie

● Richtlinie für Sicherheitsbewusstsein und Datenschutzschulung

● Abschnitte zu Kontrollbewertungen und Vereinbarungen mit Dritten in der Richtlinie zu Bewertung, Genehmigung und Überwachung

● Abschnitt "Plan zur Reaktion auf Vorfälle" der Richtlinie zur Reaktion auf Vorfälle

● Richtlinien für das Management des Informationssicherheitsprogramms, einschließlich Sicherheitsvorkehrungen (Vertraulichkeit), Führungsrolle im Datenschutzprogramm, Buchführung über Offenlegungen, Qualitätsmanagement für personenbezogene Daten und Beschwerdemanagement

● Abschnitt "Datenschutz-Folgenabschätzungen" der Risikobewertungspolitik

● Sicherheits- und Datenschutzprinzipien im Abschnitt des Systementwicklungslebenszyklus (SDLC)

● Handhabung, Aufbewahrung und Entsorgung von Daten und die Abschnitte zur De-Identifizierung im Rahmen der Systemintegritätspolitik

Sie möchten dieses Dokument ausdrucken?

Wir haben alle unsere Fallstudien im PDF-Format vorbereitet, damit Sie sie bei Besprechungen mit Ihren Teamkollegen teilen können.

PDF herunterladen

Primetric Sp. z o.o.
Legnicka 48A
54-202 Wroclaw
Polen
info@primetric.com
MwSt.-Nummer PL8992799334
ID Firmennummer KRS640027

Urheberrecht 2024 Primetric von BigTime
Produkt
ProduktübersichtRessourcenplanungRessourcen und Fähigkeiten
ManagementProjektportfolio-ManagementProjektbuchhaltungStundenzettel & Zeiterfassung
Business IntelligencePreisgestaltungIntegrationenKostenloser VersuchAnmeldung bei Primetric
Ressourcen
FallstudienBlogHilfe-CenterVollständige FunktionslisteÄnderungslisteDemo buchenEntwickler-APIInhaltsverzeichnis
Unternehmen
Über unsKarriereKontakt
Rechtliches
SicherheitCookie-RichtlinieBedingungen der DienstleistungGDPRSLAMSA
Erhalten Sie das Neueste von uns.
Erhalten Sie den Primetric-Newsletter mit den beliebtesten Inhalten, Plattform-Updates und Software-Anleitungen
Mit Stolz unterstützt
Vollständig gesichert

Das Capterra-Logo ist eine Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten. Die Bewertungen von Gartner Digital Markets werden über die verschiedenen Markenseiten geteilt und stellen die subjektiven Meinungen einzelner Endnutzer auf der Grundlage ihrer eigenen Erfahrungen dar und repräsentieren nicht die Ansichten von Gartner oder seiner Tochtergesellschaften.

Diese Website verwendet Cookies, um das beste Erlebnis zu gewährleisten. Cookie-Datenschutz

Cookies akzeptieren