Diese Seite unterstützt deinen Browser nur begrenzt. Wir empfehlen dir, zu Edge, Chrome, Safari oder Firefox zu wechseln.

Über 140.000 zufriedene Kunden

Kostenloser Versand bei Bestellungen über 60 BGN.

Professionelle innovative Formeln

100% Rückerstattung des Betrags
Diese Seite unterstützt deinen Browser nur begrenzt. Wir empfehlen dir, zu Edge, Chrome, Safari oder Firefox zu wechseln.

NIMM DAS GESCHENK SHAMPOO REGROW BEI JEDER BESTELLUNG ÜBER 100 BGN.

KOSTENLOSER VERSAND BEI BESTELLUNGEN ÜBER 60 LEV.

Warenkorb 0

Herzlichen Glückwunsch, du erhältst kostenlosen Versand! Es bleiben 60 лв bis zum kostenlosen Versand Herzlichen Glückwunsch, du erhältst ein kostenloses Geschenk!
1
2
Keine weiteren Produkte zum Kauf verfügbar

Kombinieren mit
Zwischensumme Kostenlos
Versand, Mehrwertsteuer und Rabattcodes werden an der Kasse berechnet
SICHERE BEZAHLUNG Den Promo-Code können Sie im nächsten Schritt hinzufügen

Dein Warenkorb ist derzeit leer.

Produkte
Sätze
Wirkstoffe
Für Mi Amante

Datenschutzrichtlinie

In „MI AMANTE“ Ltd.

  1. Einführung

1.1. Allgemeine Bestimmungen

Die vorliegende Datenschutzrichtlinie (im Folgenden „Richtlinie“ genannt) regelt die Verarbeitung personenbezogener Daten durch „Mi Amante“ OOD, USt-IdNr. 204519279, mit Sitz und Geschäftsadresse: Sofia 1408, Bezirk Lozenets, Straße "Sv. Osiy Kordobski", Wohnanlage „Südenpark“, Block 113, Büro 2, (im Folgenden „das Unternehmen“ genannt), mit dem Ziel, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, im Folgenden „Verordnung“ genannt) sowie aller anderen anwendbaren Datenschutzgesetze zu gewährleisten. Diese Richtlinie gilt für Datenschutzfragen, für die keine andere Regelung gemäß anderen Unternehmensakten besteht.

 

1.2. Die Richtlinie hat zum Ziel, insbesondere die folgenden Fragen zu regeln und abzudecken:

 

die Tätigkeiten der Verarbeitung personenbezogener Daten, die Kategorien der betroffenen Personen, auf die die Richtlinie Anwendung findet, die Grundsätze und Verantwortlichkeiten im Zusammenhang mit der Verarbeitung;

die Pflichten der Personen, die unter der Leitung des Unternehmens bei der Verarbeitung personenbezogener Daten handeln, und ihre Verantwortung bei Nichterfüllung;

Rechte der betroffenen Personen und Verfahren zu deren Ausübung;

Verfahren zur Verarbeitung personenbezogener Daten auf Grundlage der Einwilligung der betroffenen Personen;

Regeln für das Vorgehen bei Verletzungen der Sicherheit personenbezogener Daten;

angewandte technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

 

1.3. Informationen zum Unternehmen

 

Firma „Mi Amante“ OOD

Daten zur Eintragung im Handelsregister und im Register der juristischen Personen des nichtwirtschaftlichen Zwecks bei der Eintragungsagentur, mit der EIK 204519279

Sitz und Verwaltungsadresse: Stadt Sofia 1408, Bezirk Lozenets, Straße "Sv. Osiy Kordobski", Wohnanlage Südpark, Block 113, Apartment Büro 2,

Adresse für Kontakt: Stadt Sofia 1330, Bul. „Nikola Mushanov” 116, 2. Etage, Büro 8

 

Gegenstand der Tätigkeit: Herstellung und Handel mit Kosmetika, Parfümerie und damit verbundenen anderen chemischen Produkten, Außen- und Innenhandel mit Lebensmitteln und Industrieerzeugnissen, Handelsvertretung und Vermittlung sowie jede andere Art von wirtschaftlicher Tätigkeit, die nicht gesetzlich verboten ist.

E-Mail für Kontakte office@miamantehair.com

 

  1. Verwendete Begriffe und Abkürzungen

 

Alle Begriffe und Abkürzungen, die in der Richtlinie nicht ausdrücklich definiert sind, haben die Bedeutung, die in der Verordnung festgelegt ist.

 

  1. Tätigkeiten zur Verarbeitung personenbezogener Daten

 

3.1. Grundsätze der Verarbeitung personenbezogener Daten

 

Die Verarbeitung personenbezogener Daten durch das Unternehmen unterliegt den Grundsätzen der Rechtmäßigkeit, Treu und Glauben sowie Transparenz und der Datenminimierung. Die verarbeiteten personenbezogenen Daten sind auf das für die Zwecke, für die sie verarbeitet werden, notwendige Maß beschränkt. Die personenbezogenen Daten werden für konkrete, ausdrücklich angegebene und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist. Die personenbezogenen Daten sind genau und werden bei Bedarf auf dem neuesten Stand gehalten. Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Person für einen Zeitraum ermöglicht, der nicht länger ist als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich. Die personenbezogenen Daten werden auf eine Weise verarbeitet, die ein angemessenes Sicherheitsniveau der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Offenlegung, Zerstörung oder Beschädigung, indem geeignete technische oder organisatorische Maßnahmen unter Einhaltung der Grundsätze der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste für die Verarbeitung angewendet werden.

 

3.2. Kategorien von betroffenen Personen. Kategorien personenbezogener Daten und Verarbeitungszwecke.

 

3.2.1. Das Unternehmen hat das Recht, personenbezogene Daten über seine Kunden, Mitarbeiter und andere betroffene Personen wie folgt zu verarbeiten:

 

Kunden (natürliche Personen) des Unternehmens in seiner Haupttätigkeit im Angebot und Handel mit Kosmetikprodukten, hinsichtlich derer personenbezogene Daten wie IP-Adresse, E-Mail-Adresse, Telefonnummer, MAC-Adresse, Adresse (Post- und Lieferadresse), Rechnungsinformationen und Annahme von Bankzahlungen usw. verarbeitet werden können. Die Verarbeitungszwecke für diese Kategorie von Betroffenen umfassen: (i). Annahme, Verarbeitung und Ausführung von Bestellanfragen für die vom Unternehmen angebotenen Produkte und/oder Dienstleistungen, einschließlich der Nutzung der Website des Unternehmens; (II). Aufbewahrung von Steuer- und Buchhaltungsunterlagen; (III). Erfüllung gesetzlicher Anforderungen; (IV). Zwecke im Zusammenhang mit den berechtigten Interessen des Unternehmens; (v). Zwecke, für die die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten gegeben hat;

potenzielle, aktuelle und/oder ehemalige Mitarbeiter des Unternehmens sowie natürliche Personen, die sich in vertraglichen Rechtsverhältnissen mit dem Unternehmen auf Grundlage von zivilrechtlichen Verträgen befinden oder befanden; Bewerber für eine Anstellung oder den Abschluss eines zivilrechtlichen Vertrags als externe Auftragnehmer – natürliche Personen, die sich nicht in einem Arbeits- oder Vertragsverhältnis mit dem Unternehmen befinden, aber ein solches eingehen möchten, hinsichtlich derer personenbezogene Daten wie vollständiger Name, EGN/LNCH/Dienstnummer, Geburtsdatum; Adresse, Daten zu vorheriger beruflicher oder fachlicher Erfahrung, Ausbildung und Qualifikation, ausgeübte disziplinarische Verantwortung; Informationen zu Bankkonten (IBAN, bei Zahlung per Banküberweisung), Kontaktdaten: Telefonnummer; E-Mail-Adresse; weitere Daten, die gemäß geltendem Recht für den Abschluss und die Erfüllung eines Arbeits- oder zivilrechtlichen Vertrags erforderlich sind; Daten, die unmittelbar mit der Tätigkeit zur Erfüllung der mit diesen Personen geschlossenen Verträge zusammenhängen (z. B.: Daten aus Protokollen oder Aktivitäten der Personen in den vom Unternehmen betriebenen Systemen zur Erfüllung der ihnen übertragenen Aufgaben (z. B. Systeme zur Auftragserfassung), IP-Adresse usw. Die Zwecke der Verarbeitung in Bezug auf diese Kategorie von Betroffenen umfassen: (i) Prüfung der Möglichkeit, Abschluss und Erfüllung eines Arbeits- oder zivilrechtlichen Vertrags mit den betroffenen Personen; (ii) Aufbewahrung eines Steuer- und Buchhaltungsregisters; (iii) Erfüllung gesetzlicher Anforderungen; (iv) Zwecke, die mit den berechtigten Interessen des Unternehmens verbunden sind; (v) Zwecke, für die die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten gegeben hat.

 

Kontrahenten und Partner – natürliche Personen, im Rahmen von Verträgen für Werbung und Förderung der vom Unternehmen angebotenen Produkte, für die das Unternehmen personenbezogene Daten auch in Form von fotografischen Aufnahmen erheben kann. Die Zwecke der Verarbeitung in Bezug auf diese Kategorie von Betroffenen umfassen: (i) die Erfüllung von Verträgen für Werbung oder Förderung; (ii) Zwecke, die mit den berechtigten Interessen des Unternehmens verbunden sind; (iii) Zwecke, für die die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten gegeben hat;

 

andere natürliche Personen und natürliche Personen-Vertreter oder Kontaktpersonen von juristischen Personen, die Kontakt mit dem Unternehmen haben (einschließlich, aber nicht beschränkt auf Lieferanten, Geschäftskontakte, Subunternehmer, Geschäftspartner usw.) zum Zweck der Durchführung und/oder Verwaltung der Tätigkeit des Unternehmens;

 

andere natürliche Personen, gesetzliche Vertreter oder Bevollmächtigte natürlicher Personen – Kunden des Unternehmens.

 

3.2.2. Das Unternehmen bewahrt die personenbezogenen Daten für den längeren der beiden Zeiträume auf, die entweder zur Einhaltung der geltenden Gesetze und untergesetzlichen Vorschriften erforderlich sind oder für einen anderen Zeitraum gemäß den Anforderungen, die für die Geschäftstätigkeit des Unternehmens oder seine Tätigkeit als Arbeitgeber oder Auftraggeber im Rahmen von zivilrechtlichen Verträgen gelten. Die Verarbeitung der personenbezogenen Daten basiert auf dem Prinzip der Datenminimierung, abhängig von und zum Zweck der Erbringung der Dienstleistungen, die der jeweilige Kunde in Anspruch nimmt.

 

  1. Datenempfängerkategorien

 

Das Unternehmen kann personenbezogene Daten an folgende Personen weitergeben:

 

Dienstleister – Berater, Anwälte, Buchhalter, IT-Spezialisten usw., im Zusammenhang mit dem Abschluss von Verträgen aus der Haupttätigkeit des Unternehmens, der Erfüllung gesetzlicher Anforderungen, technischer Unterstützung usw.;

 

Subunternehmer – bei der Erbringung von Dienstleistungen im Namen des Unternehmens (Distributoren usw.) im Zusammenhang mit dem Abschluss und der Erfüllung von Verträgen über den Handel mit den vom Unternehmen angebotenen Produkten;

 

Personen, die Dienstleistungen zur Bereitstellung und Wartung von Ausrüstung, Software und Hardware erbringen, die für die Verarbeitung (einschließlich Speicherung) personenbezogener Daten, zur Abrechnung von Zahlungen usw. verwendet werden;

 

Banken, für die Abwicklung der Zahlungen seitens der betroffenen Personen;

 

öffentliche und/oder gerichtliche Behörden, in dem Umfang, der gesetzlich erlaubt und/oder erforderlich ist.

 

  1. Pflichten des Unternehmens

 

Das Unternehmen hat folgende Verpflichtungen:

 

definiert die Richtlinien und Verfahren zum Schutz der verarbeiteten personenbezogenen Daten gemäß der geltenden Gesetzgebung;

 

führt geeignete technische und organisatorische Maßnahmen ein, um die wirksame Umsetzung der Datenschutzgrundsätze sicherzustellen und um zu gewährleisten, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind;

 

gewährleistet die Ausübung der Rechte der Betroffenen im Datenschutz;

 

aktualisiert die unterstützten Datenbanken und überwacht die Einhaltung der Schutzanforderungen, stellt Umstände im Zusammenhang mit Verletzungen des Schutzes fest und ergreift Maßnahmen zu deren Beseitigung;

 

unterstützt die personenbezogenen Daten in einer Form, die die Identifizierung der jeweiligen Betroffenen für einen Zeitraum ermöglicht, der nicht länger ist als für die Zwecke, für die diese Daten verarbeitet werden, erforderlich;

 

informiert die Mitarbeiter über die Zweckmäßigkeit in Bezug auf den Datenschutz;

 

unterstützt bei der Ausübung der Kontrollfunktionen der Kommission zum Schutz personenbezogener Daten (im Folgenden „KZLD“ genannt);

 

Festlegung der Rechte der Mitarbeiter auf Zugriff auf personenbezogene Daten in den Informationssystemen entsprechend den Verarbeitungszwecken;

 

verwendet personenbezogene Datenverarbeiter, die durch die Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz ausreichende Garantien bieten;

 

hält bestimmte Regeln im Falle eines Verstoßes gegen die Sicherheit personenbezogener Daten ein;

 

dokumentiert Verstöße gegen die Sicherheit personenbezogener Daten gemäß der geltenden Gesetzgebung;

 

führt eine Risikobewertung gemäß den Anforderungen der Verordnung durch, beziehungsweise eine Folgenabschätzung, wenn gemäß der Verordnung die Voraussetzungen dafür vorliegen.

 

  1. Pflichten der Mitarbeiter des Unternehmens. Verantwortung. Vertraulichkeit

 

6.1. Die Mitarbeiter des Unternehmens beginnen mit der Verarbeitung personenbezogener Daten nach Kenntnisnahme von:

 

die Rechtsvorschriften im Bereich des Datenschutzes;

 

Die Richtlinie und andere interne Dokumente des Unternehmens, die den Schutz personenbezogener Daten betreffen;

 

die Gefahren für die personenbezogenen Daten, die vom Unternehmen verarbeitet werden.

 

Die Mitarbeiter des Unternehmens sind verpflichtet:

 

die Anforderungen der Verordnung, die sonstigen anwendbaren Datenschutzgesetze, die Richtlinie und die anderen internen Vorschriften des Unternehmens im Zusammenhang mit dem Schutz personenbezogener Daten einzuhalten;

 

personenbezogene Daten nur dann zu verarbeiten, wenn eine Bedingung für die rechtmäßige Verarbeitung vorliegt, nämlich: eine gesetzliche Grundlage für die Verarbeitung; oder eine Grundlage für die Verarbeitung, die sich aus den vertraglichen Beziehungen mit der Person ergibt oder für den möglichen Abschluss vertraglicher Beziehungen mit der Person erforderlich ist; oder eine Grundlage für die Verarbeitung, die sich aus der ausdrücklichen Einwilligung der Person ergibt; oder eine Grundlage für die Verarbeitung, die sich aus dem berechtigten Interesse des Unternehmens oder eines Dritten gemäß den Anforderungen der Verordnung ergibt;

 

die personenbezogenen Daten entsprechend den Zwecken, für die sie erhoben werden, zu verwenden und sie nicht in einer Weise weiterzuverarbeiten, die mit diesen Zwecken unvereinbar ist;

 

verwenden die persönlichen Daten, auf die sie als Mitarbeiter des Unternehmens Zugriff haben, nicht für irgendwelche persönlichen Zwecke;

 

das Gebot einzuhalten, die Möglichkeit eines unbefugten Zugriffs auf personenbezogene Daten zu vermeiden und personenbezogene Daten am jeweiligen Arbeitsplatz nicht unbeaufsichtigt zu lassen. In Räumen, zu denen externe Personen Zugang haben, sind die zuständigen Mitarbeiter verpflichtet, Maßnahmen zu ergreifen, damit externe Personen keinen unrechtmäßigen Zugriff auf Dokumente mit personenbezogenen Daten haben, einschließlich der Möglichkeit, diese mit technischen Mitteln einzusehen, zu kopieren oder zu fotografieren;

 

wenn die Ausführung der jeweiligen Tätigkeit es erlaubt, die verwendeten personenbezogenen Daten auf das höchstmögliche Maß zu beschränken;

 

um die Einhaltung der Rechte der Betroffenen im Zusammenhang mit der Verarbeitung personenbezogener Daten sicherzustellen und zu gewährleisten;

 

nicht zulassen, unterstützen oder Bedingungen schaffen, die Sicherheitsverletzungen bei der Verarbeitung personenbezogener Daten ermöglichen;

 

nicht miteinander oder an Dritte Informationen von wesentlicher Bedeutung für die Datensicherheit (Benutzernamen, Zugangspasswörter zu den Systemen usw.) weitergeben oder bereitstellen;

 

keine Dateien mit Unternehmensinformationen, die persönliche Daten enthalten, auf ein portables Speichermedium in unverschlüsselter (oder nicht passwortgeschützter) Form kopieren;

 

Sie dürfen keine Informationen, die erhebliche Mengen personenbezogener Daten enthalten, oder jegliche besonderen Kategorien personenbezogener Daten oder andere personenbezogene Daten, deren unbefugter Zugriff ein hohes Risiko für die Rechte und Interessen der betroffenen Personen darstellen könnte, per E-Mail an E-Mail-Adressen außerhalb des Unternehmens senden, wenn diese Informationen in nicht passwortgeschützten Dateien oder in unverschlüsselter oder anderweitig pseudonymisierter Form vorliegen.

 

veröffentlichen keine persönlichen Daten von Kunden oder Mitarbeitern des Unternehmens auf öffentlichen Websites usw., ohne eine angemessene rechtliche Grundlage dafür;

 

6.2. Verantwortung der Mitarbeiter

 

6.2.1. Alle Handlungen, die zu einer unbefugten Löschung, Vernichtung oder Veränderung von bei der Gesellschaft eingegangenen personenbezogenen Daten in elektronischer Form oder auf Papier führen oder führen können, sowie unbefugtes Teilen/Offenlegen personenbezogener Daten durch Mitarbeiter der Gesellschaft sind verboten und können zur Haftung des jeweiligen Mitarbeiters führen (disziplinarisch, verwaltungsrechtlich, strafrechtlich und/oder zivilrechtlich).

 

6.3. Das Unternehmen:

 

stellt sicher, dass alle Mitarbeiter, die personenbezogene Daten für ihn verarbeiten, eine Erklärung zur Vertraulichkeit und Nichtweitergabe personenbezogener Daten unterzeichnen.

 

informiert die Mitarbeiter, die personenbezogene Daten verarbeiten, über ihre Pflichten im Zusammenhang mit dieser Verarbeitung.

 

  1. Führung eines Verzeichnisses der Verarbeitungstätigkeiten personenbezogener Daten als Verantwortlicher

 

Gemäß den Anforderungen von Art. 30 Abs. 1 der Verordnung führt das Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten als Verantwortlicher, das den Namen und die Kontaktdaten des Unternehmens enthält. Das Verzeichnis umfasst eine detaillierte Beschreibung aller Verarbeitungstätigkeiten personenbezogener Daten gemäß Art. 30 Abs. 1 der Verordnung, einschließlich der folgenden Merkmale: Bezeichnung der Verarbeitungstätigkeit (Geschäftsprozess, Funktion); die Zwecke der Verarbeitung; die Kategorien der betroffenen Personen, deren personenbezogene Daten verarbeitet werden; die Kategorien personenbezogener Daten, die in der jeweiligen Tätigkeit verarbeitet werden; Dritte, die personenbezogene Daten in der jeweiligen Tätigkeit erhalten oder anderweitig an der Verarbeitung beteiligt sind; sofern zutreffend, die Übermittlung personenbezogener Daten an ein Drittland außerhalb der EU; die vorgesehenen Aufbewahrungs- und Löschfristen für die verschiedenen Kategorien personenbezogener Daten, soweit möglich; eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, soweit möglich.

 

  1. Führung eines Verzeichnisses der Verarbeitungstätigkeiten als Auftragsverarbeiter

 

Für den Fall, dass im Hinblick auf die Tätigkeiten des Unternehmens die Notwendigkeit zur Führung eines Registers der Verarbeitungstätigkeiten personenbezogener Daten als Auftragsverarbeiter im Sinne von Art. 30 Abs. 2 der Verordnung entsteht, wird das Unternehmen ein solches Register in der nach geltendem Recht erforderlichen Form, Umfang und Inhalt erstellen und führen.

 

  1. Datenschutzbeauftragter

 

Das Unternehmen wird eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten (im Folgenden „DSB“) benennen, falls eine solche Benennung gemäß den anwendbaren gesetzlichen Anforderungen zum Schutz personenbezogener Daten erforderlich wird oder ist.

 

  1. Rechte der betroffenen Personen

 

Das Unternehmen gewährleistet die Ausübung der folgenden Rechte der betroffenen Personen:

 

Recht auf Information bei der Erhebung personenbezogener Daten vom Betroffenen;

 

Recht auf Zugang zu den personenbezogenen Daten der betroffenen Person und insbesondere: (i) Bestätigung, ob personenbezogene Daten der betroffenen Person vom Unternehmen verarbeitet werden; (ii) Gewährung des Zugangs zu den Daten durch eine Kopie der verarbeiteten Daten sowie Informationen über die Zwecke der Verarbeitung; die Kategorien personenbezogener Daten; die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder werden; die Aufbewahrungsfristen für die personenbezogenen Daten; das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder auf Einschränkung der Verarbeitung personenbezogener Daten oder auf Widerspruch gegen die Verarbeitung; das Recht auf Beschwerde bei der KZLD; die Quellen der personenbezogenen Daten; das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

 

Recht auf Berichtigung - das Recht, die Berichtigung oder Vervollständigung seiner personenbezogenen Daten zu verlangen, wenn diese ungenau oder unvollständig sind;

 

das Recht auf Löschung personenbezogener Daten, wenn die im Regelwerk vorgesehenen Gründe vorliegen;

 

Recht auf Einschränkung der Verarbeitung;

 

Recht auf Datenübertragbarkeit;

 

Widerspruchsrecht;

 

das Recht der betroffenen Person, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruht und rechtliche Folgen hat oder sie in ähnlicher Weise erheblich beeinträchtigt;

 

Erteilung, Änderung oder Widerruf der Einwilligung zur Verarbeitung personenbezogener Daten, wenn die Grundlage für die Verarbeitung die Einwilligung der betroffenen Person ist.

 

Die betroffenen Personen können ihre Rechte durch Einreichung eines schriftlichen Antrags bei dem Unternehmen auf eine der folgenden Arten ausüben:

 

per E-Mail an die oben angegebene E-Mail-Adresse des Unternehmens mittels qualifizierter elektronischer Signatur gemäß dem Gesetz über elektronische Dokumente und elektronische Vertrauensdienste (im Folgenden „QES“ genannt);

 

per Post an die Kontaktadresse des Unternehmens mit der Übersendung eines notariell beglaubigten Antrags zur Sicherstellung der Identifikation des Antragstellers, und in Fällen, in denen der Antrag von einem gesetzlichen Vertreter des Antragstellers oder durch einen mit notariell beglaubigter Vollmacht bevollmächtigten Vertreter des Antragstellers gestellt wird, muss der Antrag ebenfalls die notariell beglaubigte Unterschrift der unterzeichnenden Person enthalten.

 

Anträge werden ohne unangemessene Verzögerung bearbeitet. Innerhalb eines Monats nach Einreichung des Antrags informiert das Unternehmen die betroffene Person über die ergriffenen Maßnahmen in Bezug auf den Antrag, gegebenenfalls über die Gründe für die Nichtdurchführung von Maßnahmen sowie über die Möglichkeit, eine Beschwerde bei der Aufsichtsbehörde einzureichen und gerichtlichen Schutz zu suchen. Werden Maßnahmen im Zusammenhang mit dem Antrag ergriffen, kann die Frist zur Benachrichtigung der betroffenen Person über diese Maßnahmen auf insgesamt drei Monate verlängert werden, wobei die Komplexität und die Anzahl der Anträge berücksichtigt werden. In diesem Fall informiert das Unternehmen die betroffene Person innerhalb der ursprünglichen einmonatigen Frist über die Verlängerung der Frist.

 

Die Informationen (die je nach ausgeübtem Recht der betroffenen Person variieren können) werden der betroffenen Person persönlich auf Papier oder ihrem gesetzlichen Vertreter oder einem ausdrücklich mit notariell beglaubigter Vollmacht Bevollmächtigten übergeben. Wenn der Antrag per E-Mail eingereicht wurde, werden die Informationen auch per E-Mail an die E-Mail-Adresse gesendet, von der der Antrag ausgeht, in passwortgeschützten Dateien.

  

  1. Einwilligung der betroffenen Person als Rechtsgrundlage für die Verarbeitung

 

11.1. Stiftung

 

In Fällen, in denen die Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Einwilligung im Sinne der Verordnung ist, muss die Einwilligung persönlich durch eine schriftliche Erklärung, in elektronischer Form oder auf eine andere vom Unternehmen festgelegte Weise erteilt werden, die gewährleistet, dass die Einwilligung frei, konkret, informiert und unmissverständlich gegeben wird.

 

11.2. Datenobjekte

 

Das Unternehmen kann Einwilligungen für alle Kategorien von betroffenen Personen einholen, für die eine Verarbeitung personenbezogener Daten erfolgt, einschließlich Kunden, Mitarbeiter und Personen, mit denen das Unternehmen zivilrechtliche Verträge über die Erbringung von Dienstleistungen oder Aufträgen abgeschlossen hat, und andere.

 

11.3. Rückzug

 

Das Unternehmen bietet den betroffenen Personen die Möglichkeit, ihre Einwilligung auf einfache Weise zu ändern oder zu widerrufen, ohne dass dies für sie nachteilige rechtliche Folgen hat, sofern objektiv die Möglichkeit dazu besteht. Änderungen oder der Widerruf der Einwilligung erfolgen durch die betroffenen Personen gemäß dem Verfahren zur Einholung von Einwilligungen. Im Falle eines teilweisen oder vollständigen Widerrufs der Einwilligung, wenn die Verarbeitung personenbezogener Daten auf dieser Grundlage erfolgt, kann es dem Unternehmen unmöglich sein, die vom Kunden angeforderte Dienstleistung zu erbringen oder die Tätigkeit auszuführen, für die die entsprechende Bereitstellung personenbezogener Daten erforderlich war. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf der bis zum Widerruf erteilten Einwilligung beruht.

 

11.4. Einholung von Zustimmungen

 

Zustimmungen werden auf eine der folgenden Arten eingeholt:

 

persönlich, im Kontaktbüro - für Kunden des Unternehmens;

 

per elektronische Dienst-E-Mail - für aktuelle Mitarbeiter;

 

durch einen lizenzierten Postdienstleister mit notarieller Beglaubigung der Einverständniserklärung; oder

 

mit einer qualifizierten elektronischen Signatur unterzeichnete Einverständniserklärung, die per E-Mail gesendet wurde.

 

11.5. Erteilung und Widerruf von Einwilligungen online

 

Im Falle von Situationen, in denen die Einholung der Zustimmung zur Verarbeitung personenbezogener Daten durch das Unternehmen im Hinblick auf vom Unternehmen angebotene Dienstleistungen erforderlich ist, die online beantragt werden, wird diese Zustimmung ebenfalls online eingeholt (bzw. widerrufen).

 

11.6. Lagerung

 

Einwilligungen zur Verarbeitung personenbezogener Daten werden vom Unternehmen in der jeweils möglichen Form und dem entsprechenden Umfang gespeichert und aufbewahrt.

 

  1. Verarbeitung personenbezogener Daten durch das Unternehmen mittels eines Auftragsverarbeiters

 

Für die Durchführung seiner Tätigkeit kann das Unternehmen Dritte (Unterauftragnehmer, Vertriebspartner, Kurierdienstleister usw.) einsetzen, die im Sinne von Art. 4 Abs. 8 der Verordnung als Auftragsverarbeiter personenbezogener Daten gelten. Solche Auftragsverarbeiter können sein:

 

Handelsgesellschaften;

 

natürliche Personen, die auf der Grundlage von Zivilverträgen beschäftigt sind.

 

Bei der Beauftragung der Verarbeitung personenbezogener Daten an einen Auftragsverarbeiter hält das Unternehmen die folgenden Anforderungen ein:

 

Es werden Auftragsverarbeiter ausgewählt, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten bieten;

 

Die Bedingungen für den Schutz personenbezogener Daten werden schriftlich zwischen dem Unternehmen und dem Auftragsverarbeiter geregelt.

 

Die Verträge/Vereinbarungen, die das Unternehmen mit den personenbezogenen Datenverarbeitern abschließt, legen fest und regeln: den Gegenstand und die Laufzeit, die Zwecke und die Art der Verarbeitung; die Kategorien der betroffenen Personen, deren personenbezogene Daten verarbeitet werden; die Art der personenbezogenen Daten, die der Verarbeiter im Namen des Unternehmens verarbeiten wird; die Rechte und Pflichten des Unternehmens und des Verarbeiters; die Anforderungen an die technischen und organisatorischen Schutzmaßnahmen, die der Verarbeiter anzuwenden hat (Abweichungen vom in dieser Richtlinie vorgesehenen sind gegenüber dem Verarbeiter nicht zulässig); die Verpflichtung des Verarbeiters zur Unterstützung gemäß Art. 31-36 der Verordnung; die Verpflichtung des Verarbeiters, das Unternehmen unverzüglich nach Kenntnisnahme einer Sicherheitsverletzung zu informieren; Anforderungen an den Verarbeiter und weitere zwingende Bedingungen gemäß Art. 28 Abs. 3 der Verordnung.

 

  1. Regeln für das Vorgehen bei Verletzungen der Sicherheit personenbezogener Daten

 

13.1. Entdeckung einer Sicherheitsverletzung durch einen Mitarbeiter

 

Im Falle einer von einem Mitarbeiter des Unternehmens entdeckten Sicherheitsverletzung meldet der Mitarbeiter dies unverzüglich der Unternehmensleitung oder der Datenschutzbeauftragten, falls eine solche benannt wurde, schriftlich (und wenn möglich auch mündlich) und stellt dabei auch die ihm vorliegenden Informationen zur Verfügung – über die Art der Verletzung, den vermuteten Zeitpunkt des Auftretens / der Durchführung der Verletzung und weitere Details.

 

13.2. Untersuchung der Sicherheitsverletzung und Maßnahmen

 

Ohne unangemessene Verzögerung sollte das Unternehmen die Fakten untersuchen, eine Analyse und Bewertung der Schwere des Verstoßes durchführen, unter Berücksichtigung des Risikos für die Rechte und Freiheiten der Betroffenen, der Anzahl der betroffenen Datenpersonen usw., und geeignete Maßnahmen zur Beseitigung vorschlagen, und wo dies nicht möglich ist – zur Minimierung der identifizierten Risiken und der möglichen nachteiligen Folgen.

 

13.3. Benachrichtigung der KZLD

 

Im Falle einer Sicherheitsverletzung informiert das Unternehmen die KZD innerhalb von 72 Stunden nach Feststellung, es sei denn, in dem konkreten Fall besteht keine Wahrscheinlichkeit, dass die Sicherheitsverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.

 

13.4. Benachrichtigung der betroffenen Personen

 

Wenn die Sicherheitsverletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann, meldet das Unternehmen die Verletzung der Sicherheit personenbezogener Daten der betroffenen betroffenen Personen unverzüglich. In der Mitteilung wird die Art der Sicherheitsverletzung beschrieben und mindestens Folgendes angegeben: der Name und die Kontaktdaten des Unternehmens; eine Beschreibung der möglichen Folgen der Verletzung; eine Beschreibung der vom Unternehmen ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung der Verletzung.

 

Das Unternehmen ist berechtigt, die betroffenen Personen nicht über die Verletzung zu informieren, wenn:

 

(I). hat im Voraus geeignete technische und organisatorische Maßnahmen zum Schutz ergriffen und diese Maßnahmen wurden angewendet (z. B. Verschlüsselung); und/oder

 

(II). hat anschließend Maßnahmen ergriffen, die gewährleisten, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nicht mehr eintreten kann; und/oder

 

(III). Eine solche Mitteilung würde zu unverhältnismäßigen Anstrengungen führen. In diesem Fall gibt das Unternehmen eine öffentliche Mitteilung auf seiner Website und/oder durch geeignete Bekanntmachung über die Massenmedien bezüglich des Verstoßes heraus.

  

13.5. Lagerung

 

Sicherheitsverletzungen im Bereich personenbezogener Daten werden vom Unternehmen registriert und gespeichert.

  

  1. Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten

 

14.1. Technische und organisatorische Maßnahmen des Unternehmens als Verantwortlicher

 

Im Tätigkeitsbereich des Unternehmens sind die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Vernichtung, zufälligem Verlust, unbefugtem Zugriff, Veränderung oder Verbreitung sowie vor anderen unrechtmäßigen Verarbeitungsformen vorgesehen. Die Schutzarten umfassen physischen, personellen, dokumentarischen Schutz, Schutz automatisierter Informationssysteme und/oder Netzwerke sowie kryptografischen Schutz. Die technischen und organisatorischen Maßnahmen, die das Unternehmen anwendet, sind ausführlich in Anhang 1 zu dieser Richtlinie aufgeführt und können Gegenstand periodischer Aktualisierungen sein.

 

14.2. Technische und organisatorische Maßnahmen des Unternehmens als Auftragsverarbeiter

 

Falls das Unternehmen personenbezogene Daten als Auftragsverarbeiter für andere Verantwortliche verarbeitet, werden die konkreten technischen und organisatorischen Maßnahmen, die das Unternehmen als Auftragsverarbeiter anwendet, in individuellen Vereinbarungen mit dem jeweiligen Verantwortlichen festgelegt. Fehlt eine solche Festlegung, hält sich das Unternehmen an die technischen und organisatorischen Maßnahmen, die es als Verantwortlicher anwendet.

 

  1. Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR)

Das Unternehmen kann internationale Datenübermittlungen aus dem Europäischen Wirtschaftsraum (EWR) durchführen, wenn die Europäische Kommission ein Land außerhalb des EWR als ein angemessenes Datenschutzniveau gewährleistend anerkannt hat. Für Übermittlungen in Länder außerhalb des EWR, deren Schutzniveau von der Europäischen Kommission nicht anerkannt wurde, beruft sich das Unternehmen entweder auf eine bestimmte Ausnahme, die auf die jeweilige Situation gemäß der Verordnung anwendbar ist, oder wendet eine der im geltenden Recht vorgesehenen Garantien an. In den übrigen Fällen erfolgt die Übermittlung personenbezogener Daten außerhalb des EWR auf der Grundlage einer ausdrücklichen Einwilligung der betroffenen Person für die vorgeschlagene Datenübermittlung, die unter Einhaltung der Anforderungen der Verordnung eingeholt wurde.