1. Einleitung

Diese Richtlinie legt die Verpflichtungen von Mike Lane Mods Limited („das Unternehmen“) in Bezug auf den Datenschutz und die Rechte der Kunden („betroffene Personen“) in Bezug auf ihre personenbezogenen Daten gemäß der EU-Verordnung 2016/679 der Allgemeinen Datenschutzverordnung („DSGVO“) fest “).

Die DSGVO definiert „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (eine „betroffene Person“) beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen identifiziert werden kann , genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person.

Diese Richtlinie legt die Verpflichtungen des Unternehmens in Bezug auf die Erhebung, Verarbeitung, Übertragung, Speicherung und Entsorgung personenbezogener Daten fest. Die hierin dargelegten Verfahren und Grundsätze müssen vom Unternehmen, seinen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Namen des Unternehmens arbeiten, jederzeit befolgt werden.

Das Unternehmen ist nicht nur dem Wortlaut des Gesetzes, sondern auch dem Geist des Gesetzes verpflichtet und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen personenbezogenen Daten unter Wahrung der gesetzlichen Rechte, der Privatsphäre und des Vertrauens aller Personen, mit denen es zu tun hat.

2. Die Datenschutzgrundsätze

Diese Richtlinie zielt darauf ab, die Einhaltung der DS-GVO sicherzustellen. In der DSGVO sind die folgenden Grundsätze festgelegt, denen alle Personen entsprechen müssen, die mit personenbezogenen Daten umgehen. Alle persönlichen Daten müssen sein:

2.1 Rechtmäßig, fair und transparent in Bezug auf die betroffene Person verarbeitet.
2.2 Für festgelegte, ausdrückliche und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken nicht vereinbar ist. Eine Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken bleibt mit den ursprünglichen Zwecken nicht vereinbar.
2.3 Angemessen, relevant und beschränkt auf das Notwendige in Bezug auf die Zwecke, für die sie verarbeitet werden.
2.4 Genau und gegebenenfalls auf dem neuesten Stand gehalten. Es müssen alle angemessenen Schritte unternommen werden, um sicherzustellen, dass personenbezogene Daten, die unter Berücksichtigung der Zwecke, für die sie verarbeitet werden, ungenau sind, unverzüglich gelöscht oder korrigiert werden.
2.5 In einer Form aufbewahrt, die eine Identifizierung der betroffenen Personen ermöglicht, nicht länger als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, sofern die personenbezogenen Daten vorbehaltlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die nach der DSGVO erforderlich sind, ausschließlich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verarbeitet werden um die Rechte und Freiheiten der betroffenen Person zu wahren.
2.6 Verarbeitet in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen.

3. Die Rechte der betroffenen Personen

In der DSGVO sind die folgenden Rechte für die betroffenen Personen festgelegt (weitere Einzelheiten entnehmen Sie bitte den Teilen dieser Richtlinie):

3.1 Das Recht auf Information (Teil 12).
3.2 Das Auskunftsrecht (Teil 13);
3.3 Das Recht auf Berichtigung (Teil 14);
3.4 Das Recht auf Löschung (auch als „Recht auf Vergessenwerden“ bezeichnet) (Teil 15);
3.5 Das Recht, die Verarbeitung einzuschränken (Teil 16);
3.6 Das Recht auf Datenübertragbarkeit (Teil 17);
3.7 Das Widerspruchsrecht (Teil 18); und
3.8 Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung (Teile 19 und 20).

4. Rechtmäßige, faire und transparente Datenverarbeitung

4.1 Die DSGVO möchte sicherstellen, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden, ohne die Rechte der betroffenen Person zu beeinträchtigen. Die DSGVO erklärt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
4.1.1 Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt.
4.1.2 Die Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist, oder um auf Antrag der betroffenen Person Schritte zu unternehmen, bevor sie einen Vertrag mit ihnen abschließt.
4.1.3 Die Verarbeitung ist erforderlich, um einer gesetzlichen Verpflichtung nachzukommen, der der für die Verarbeitung Verantwortliche unterliegt.
4.1.4 Die Verarbeitung ist erforderlich, um die vitalen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
4.1.5 Die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung der dem für die Verarbeitung Verantwortlichen übertragenen behördlichen Befugnis ausgeführt wird. oder
4.1.6 Die Verarbeitung ist zum Zwecke der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Grundrechte und -freiheiten der betroffenen Person außer Kraft gesetzt, die insbesondere den Schutz personenbezogener Daten erfordern wo die betroffene Person ein Kind ist.

5. Spezifizierte, explizite und legitime Zwecke

5.1 Das Unternehmen sammelt und verarbeitet die in Teil 22 dieser Richtlinie aufgeführten personenbezogenen Daten. Das beinhaltet:
5.1.1 Personenbezogene Daten, die direkt von den betroffenen Personen erhoben werden; und
5.1.2 Von Dritten erhaltene personenbezogene Daten.
5.2 Das Unternehmen sammelt, verarbeitet und speichert personenbezogene Daten nur für die in Teil 22 dieser Richtlinie genannten spezifischen Zwecke (oder für andere von der DSGVO ausdrücklich genehmigte Zwecke).
5.3 Die betroffenen Personen werden jederzeit über den Zweck oder die Zwecke informiert, für die das Unternehmen ihre personenbezogenen Daten verwendet. Weitere Informationen zum Informieren der betroffenen Personen finden Sie in Teil 12.

6. Angemessene, relevante und begrenzte Datenverarbeitung

Das Unternehmen erhebt und verarbeitet personenbezogene Daten nur für und in dem Umfang, der für den spezifischen Zweck oder die Zwecke erforderlich ist, über die die betroffenen Personen gemäß Abschnitt 5 oben und gemäß Abschnitt 21 unten informiert wurden (oder informiert werden). .

7. Genauigkeit der Daten und Aktualisierung der Daten

7.1 Das Unternehmen stellt sicher, dass alle von ihm gesammelten, verarbeiteten und gespeicherten personenbezogenen Daten korrekt und aktuell sind. Dies umfasst, ohne darauf beschränkt zu sein, die Berichtigung personenbezogener Daten auf Antrag einer betroffenen Person, wie in Teil 14 unten dargelegt.
7.2 Die Richtigkeit der personenbezogenen Daten wird bei der Erhebung und danach in regelmäßigen Abständen überprüft. Sollte sich herausstellen, dass personenbezogene Daten unrichtig oder veraltet sind, werden unverzüglich alle angemessenen Schritte unternommen, um diese Daten gegebenenfalls zu ändern oder zu löschen.

8. Vorratsdatenspeicherung

8.1 Das Unternehmen darf personenbezogene Daten nicht länger aufbewahren, als dies angesichts des Zwecks oder der Zwecke, für die diese personenbezogenen Daten ursprünglich erhoben, gespeichert und verarbeitet wurden, erforderlich ist.
8.2 Wenn keine personenbezogenen Daten mehr benötigt werden, werden alle angemessenen Schritte unternommen, um diese unverzüglich zu löschen oder anderweitig zu entsorgen.
8.3 Ausführliche Informationen zum Ansatz des Unternehmens zur Datenaufbewahrung, einschließlich der Aufbewahrungsfristen für bestimmte personenbezogene Datentypen, die vom Unternehmen gespeichert werden, finden Sie in unserer Richtlinie zur Datenaufbewahrung.

9. Sichere Verarbeitung

Das Unternehmen stellt sicher, dass alle gesammelten, gespeicherten und verarbeiteten personenbezogenen Daten sicher aufbewahrt und vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt sind. Weitere Einzelheiten zu den zu treffenden technischen und organisatorischen Maßnahmen sind in den Teilen 22 bis 27 dieser Richtlinie enthalten.

10. Rechenschaftspflicht und Aufzeichnungen

10.1 Das Unternehmen ist dafür verantwortlich, die Umsetzung dieser Richtlinie zu überwachen und die Einhaltung dieser Richtlinie, der anderen datenschutzbezogenen Richtlinien des Unternehmens sowie der DSGVO und anderer anwendbarer Datenschutzgesetze zu überwachen.

10.2 Das Unternehmen führt schriftliche interne Aufzeichnungen über die Erfassung, Speicherung und Verarbeitung personenbezogener Daten, die folgende Informationen enthalten:
10.2.1 Der Name und die Einzelheiten des Unternehmens und aller anwendbaren externen Datenverarbeiter;
10.2.2 Die Zwecke, für die das Unternehmen personenbezogene Daten sammelt, speichert und verarbeitet;
10.2.3 Einzelheiten zu den Kategorien personenbezogener Daten, die vom Unternehmen erhoben, gespeichert und verarbeitet werden, und zu den Kategorien von betroffenen Personen, auf die sich diese personenbezogenen Daten beziehen;
10.2.4 Einzelheiten zu allen Übermittlungen personenbezogener Daten in Nicht-EWR-Länder, einschließlich aller Mechanismen und Sicherheitsvorkehrungen;
10.2.5 Einzelheiten darüber, wie lange personenbezogene Daten vom Unternehmen gespeichert werden (siehe Richtlinien zur Vorratsdatenspeicherung des Unternehmens); und
10.2.6 Detaillierte Beschreibungen aller technischen und organisatorischen Maßnahmen des Unternehmens zum Schutz personenbezogener Daten.

11. Datenschutz-Folgenabschätzungen

11.1 Das Unternehmen führt Datenschutz-Folgenabschätzungen für jede neue Verwendung von personenbezogenen Daten durch, die den Einsatz neuer Technologien beinhaltet und die damit verbundene Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO führt.
11.2 Datenschutz-Folgenabschätzungen behandeln Folgendes:
11.2.1 Art (en) personenbezogener Daten, die gesammelt, gespeichert und verarbeitet werden;
11.2.2 Die Zwecke, für die personenbezogene Daten verwendet werden sollen;
11.2.3 Unternehmensziele;
11.2.4 Wie personenbezogene Daten zu verwenden sind;
11.2.5 Die Parteien (intern und/oder extern), die zu konsultieren sind;
11.2.6 Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck (die Zwecke), für den / die sie verarbeitet werden;
11.2.7 Risiken für betroffene Personen;
11.2.8 Risiken sowohl innerhalb als auch für das Unternehmen; und
11.2.9 Vorgeschlagene Maßnahmen zur Minimierung und Bewältigung der festgestellten Risiken.

12. Informieren der betroffenen Personen

12.1 Das Unternehmen stellt jeder betroffenen Person die in Teil 12.2 genannten Informationen zur Verfügung:
12.1.1 Werden personenbezogene Daten direkt von betroffenen Personen erhoben, werden diese betroffenen Personen zum Zeitpunkt der Erhebung über ihren Zweck informiert. und
12.1.2 Soweit personenbezogene Daten von Dritten bezogen werden, werden die betroffenen Personen über deren Zweck informiert:
a) wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, wenn die erste Kommunikation erfolgt; oder
b) wenn die personenbezogenen Daten vor dieser Übermittlung an eine andere Partei übertragen werden sollen; oder
c) so bald wie möglich und auf jeden Fall nicht länger als einen Monat nach Erhalt der personenbezogenen Daten.
12.2 Folgende Informationen sind bereitzustellen:
12.2.1 Angaben zum Unternehmen;
12.2.2 die Zwecke, für die die personenbezogenen Daten erhoben werden und verarbeitet werden (wie in Teil 21 dieser Richtlinie beschrieben), und die Rechtsgrundlage, die diese Erhebung und Verarbeitung rechtfertigt;
12.2.3 gegebenenfalls die berechtigten Interessen, mit denen das Unternehmen die Erhebung und Verarbeitung personenbezogener Daten rechtfertigt;
12.2.4 Werden die personenbezogenen Daten nicht direkt von der betroffenen Person bezogen, werden die Kategorien der personenbezogenen Daten erhoben und verarbeitet.
12.2.5 Wenn die personenbezogenen Daten an einen oder mehrere Dritte weitergegeben werden sollen, Angaben zu diesen Parteien;
12.2.6 Wenn die personenbezogenen Daten an einen Dritten außerhalb des Europäischen Wirtschaftsraums (der „EWR“) übermittelt werden sollen, Einzelheiten zu dieser Übermittlung, einschließlich, aber nicht beschränkt auf die geltenden Sicherheitsvorkehrungen (siehe Teil 28 von diese Richtlinie für weitere Details);
12.2.7 Einzelheiten zur Vorratsdatenspeicherung;
12.2.8 Einzelheiten zu den Rechten der betroffenen Person gemäß der DSGVO;
12.2.9 Einzelheiten zum Recht der betroffenen Person, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen jederzeit zu widerrufen;
12.2.10 Einzelheiten zum Recht der betroffenen Person, sich beim Büro des Informationskommissars (der „Aufsichtsbehörde“ gemäß der DSGVO) zu beschweren;
12.2.11 gegebenenfalls Einzelheiten zu rechtlichen oder vertraglichen Anforderungen oder Verpflichtungen, die die Erhebung und Verarbeitung der personenbezogenen Daten erforderlich machen, sowie Einzelheiten zu den Folgen einer Nichtbereitstellung; und
12.2.12 Einzelheiten zu automatisierten Entscheidungsfindungen oder Profilerstellung, die unter Verwendung der personenbezogenen Daten stattfinden, einschließlich Informationen darüber, wie Entscheidungen getroffen werden, die Bedeutung dieser Entscheidungen und etwaige Konsequenzen.

13. Zugriff auf die betroffene Person

13.1 Die betroffenen Personen können jederzeit Anträge auf Zugang zu bestimmten Personen („SARs“) stellen, um mehr über die personenbezogenen Daten zu erfahren, die das Unternehmen über sie gespeichert hat, was es mit diesen personenbezogenen Daten macht und warum.
13.2 Betroffene Personen, die einen Antrag auf Zugang zu Personen stellen möchten, können dies schriftlich per E-Mail an admin@mikelanemods.com tun.
13.3 Die Beantwortung von Verdachtsmeldungen erfolgt in der Regel innerhalb eines Monats nach Eingang, kann jedoch bei komplexen Meldungen und/oder zahlreichen Anfragen um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, wird die betroffene Person informiert.
13.4 Das Unternehmen erhebt keine Gebühr für den Umgang mit normalen SARs. Das Unternehmen behält sich das Recht vor, angemessene Gebühren für zusätzliche Kopien von Informationen zu erheben, die bereits an eine betroffene Person übermittelt wurden, sowie für Anfragen, die offensichtlich unbegründet oder übertrieben sind, insbesondere wenn sich solche Anfragen wiederholen.

14. Berichtigung personenbezogener Daten

14.1 Die betroffenen Personen haben das Recht, vom Unternehmen die Berichtigung ungenauer oder unvollständiger personenbezogener Daten zu verlangen.
14.2 Das Unternehmen hat die betreffenden personenbezogenen Daten zu korrigieren und die betroffene Person innerhalb eines Monats, nachdem die betroffene Person das Unternehmen über das Problem informiert hat, über diese Berichtigung zu informieren. Bei komplexen Anfragen kann die Frist um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, wird die betroffene Person informiert.
14.3 Falls betroffene personenbezogene Daten an Dritte weitergegeben wurden, werden diese Parteien über etwaige Berichtigungen dieser personenbezogenen Daten informiert.

15. Löschung personenbezogener Daten

15.1 Die betroffenen Personen haben das Recht, zu verlangen, dass das Unternehmen die über sie gespeicherten personenbezogenen Daten unter folgenden Umständen löscht:
15.1.1 Es ist nicht länger erforderlich, dass das Unternehmen diese personenbezogenen Daten in Bezug auf den Zweck (die Zwecke) speichert, für den sie ursprünglich gesammelt oder verarbeitet wurden.
15.1.2 Die betroffene Person möchte ihre Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen widerrufen.
15.1.3 Die betroffene Person widerspricht der Aufbewahrung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen (und es besteht kein zwingendes berechtigtes Interesse daran, dass das Unternehmen dies weiterhin tun kann) (weitere Einzelheiten zum Widerspruchsrecht siehe Teil 18 dieser Richtlinie).
15.1.4 Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
15.1.5 Die personenbezogenen Daten müssen gelöscht werden, damit das Unternehmen einer bestimmten gesetzlichen Verpflichtung nachkommen kann.
15.2 Sofern das Unternehmen keine triftigen Gründe hat, die Löschung personenbezogener Daten zu verweigern, müssen alle Löschanträge innerhalb eines Monats nach Eingang der Anfrage der betroffenen Person erfüllt und die betroffene Person über die Löschung informiert werden. Bei komplexen Anfragen kann die Frist um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, wird die betroffene Person informiert.
15.3 Für den Fall, dass personenbezogene Daten, die auf Anfrage einer betroffenen Person gelöscht werden sollen, an Dritte weitergegeben werden, werden diese Parteien über die Löschung informiert (es sei denn, dies ist unmöglich oder erfordert unverhältnismäßigen Aufwand).

16. Einschränkung der Verarbeitung personenbezogener Daten

16.1 Betroffene Personen können verlangen, dass das Unternehmen die Verarbeitung der über sie gespeicherten personenbezogenen Daten einstellt. Stellt eine betroffene Person einen solchen Antrag, speichert die Gesellschaft nur die Menge der sie betreffenden personenbezogenen Daten (sofern vorhanden), die erforderlich ist, um sicherzustellen, dass die betreffenden personenbezogenen Daten nicht weiterverarbeitet werden.
16.2 Falls betroffene personenbezogene Daten an Dritte weitergegeben wurden, werden diese Parteien über die geltenden Verarbeitungsbeschränkungen informiert (es sei denn, dies ist unmöglich oder erfordert unverhältnismäßige Anstrengungen).

17. Einwände gegen die Verarbeitung personenbezogener Daten

17.1 Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen aufgrund berechtigter Interessen, Direktmarketing (einschließlich Profiling) zu widersprechen.
17.2 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen aufgrund ihrer berechtigten Interessen, stellt das Unternehmen die Verarbeitung unverzüglich ein, es sei denn, es kann nachgewiesen werden, dass die berechtigten Gründe des Unternehmens für eine solche Verarbeitung die Interessen, Rechte und Freiheiten der betroffenen Person außer Kraft setzen oder dass die Verarbeitung für die Durchführung von Rechtsansprüchen erforderlich ist.
17.3 Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten für Direktmarketingzwecke durch das Unternehmen, wird das Unternehmen diese Verarbeitung unverzüglich einstellen

18. Erhobene, gespeicherte und verarbeitete personenbezogene Daten

Die folgenden personenbezogenen Daten werden vom Unternehmen erfasst, aufbewahrt und verarbeitet (Details zur Vorratsdatenspeicherung finden Sie in der Datenschutzerklärung des Unternehmens):

Art der Daten: Kundenkontaktdaten über Website-Anfrageformular – Name, E-Mail-Adresse und Nachricht
Zweck der Daten: Dient als Kontaktmethode für Kunden sowie als Methode zum Sammeln von Verkaufsanfragen über die Website des Unternehmens

Art der Daten: Kundendaten über den Website-Shop – Name, Firmenname (optional), Lieferadresse, Rechnungsadresse, Telefonnummer (optional), E-Mail-Adresse
Zweck der Daten: Unverzichtbar für die Verarbeitung, den Versand, die Verwaltung und Unterstützung bestehender und zukünftiger Bestellungen, Kundenkommunikation, Finanzen und Rechnungsstellung

Art der Daten: Kundendaten per Direktnachricht – Name, Adresse, E-Mail-Adresse
Zweck der Daten: Unverzichtbar für die Verarbeitung, den Versand, die Verwaltung und Unterstützung bestehender und zukünftiger Bestellungen, Kundenkommunikation, Finanzen und Rechnungsstellung

19. Datensicherheit - Übermittlung personenbezogener Daten und Mitteilungen

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf alle Mitteilungen und sonstigen Übermittlungen, die personenbezogene Daten betreffen, ergriffen werden:
19.1 Alle E-Mails mit persönlichen Daten müssen verschlüsselt sein.
19.2 Alle E-Mails mit personenbezogenen Daten müssen als „vertraulich“ gekennzeichnet werden;
19.3 Personenbezogene Daten dürfen nur über sichere Netze übertragen werden; eine Übertragung über ungesicherte Netze ist unter keinen Umständen zulässig;
19.4 Personenbezogene Daten dürfen nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine verkabelte Alternative gibt, die vernünftigerweise praktikabel ist.
19.5 Im Textkörper einer E-Mail enthaltene personenbezogene Daten, egal ob gesendet oder empfangen, sollten aus dem Textkörper dieser E-Mail kopiert und sicher gespeichert werden. Die E-Mail selbst sollte gelöscht werden. Alle damit verbundenen temporären Dateien sollten ebenfalls gelöscht werden;

20. Datensicherheit - Speicherung

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Speicherung personenbezogener Daten ergriffen werden:
20.1 Alle elektronischen Kopien personenbezogener Daten sollten unter Verwendung von Passwörtern und einer 256-Bit-Verschlüsselung nach dem Advanced Encryption Standard (AES) sicher gespeichert werden;
20.2 Alle Ausdrucke personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen Wechselmedien gespeichert sind, sollten sicher in einer verschlossenen Box, Schublade, einem Schrank oder ähnlichem aufbewahrt werden.
20.3 Alle elektronisch gespeicherten personenbezogenen Daten sollten in regelmäßigen Abständen mit Backups vor Ort und außerhalb gespeichert werden. Alle Backups sollten mit Advanced Encryption Standard (AES) 256-Bit-Verschlüsselung verschlüsselt werden. Die Wiederherstellung von Daten sollte im Falle einer lokalen Katastrophe oder einer anderen Störung der normalen Zugriffsverfahren aus der Ferne möglich sein;
20.4 Es dürfen keine personenbezogenen Daten auf einem mobilen Gerät (einschließlich, aber nicht beschränkt auf Laptops, Tablets und Smartphones) gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder anderweitig; und
20.5 Es sollten keine personenbezogenen Daten an Geräte übertragen werden, die einem Mitarbeiter persönlich gehören, und personenbezogene Daten dürfen nur an Geräte von Vertretern, Auftragnehmern oder anderen Parteien übertragen werden, die im Auftrag des Unternehmens arbeiten, wenn die betreffende Partei sich vollständig einverstanden erklärt hat dem Wortlaut und Geist dieser Richtlinie und der DSGVO (wozu auch der Nachweis gegenüber dem Unternehmen gehören kann, dass alle geeigneten technischen und organisatorischen Maßnahmen ergriffen wurden).
20.6 Bei der Entsorgung alter Computer oder anderer Geräte, die personenbezogene Daten enthalten, sollten gründliche Schritte unternommen werden, um die Daten vollständig zu entfernen. Dies sollte das Löschen aller Daten vom Gerät, das Zurücksetzen auf die Werkseinstellungen und gegebenenfalls die physische Zerstörung und sichere Entsorgung von Festplatten umfassen.

21. Datensicherheit - Entsorgung

Wenn personenbezogene Daten aus irgendeinem Grund gelöscht oder anderweitig entsorgt werden sollen (einschließlich wenn Kopien erstellt wurden und nicht mehr benötigt werden), sollten sie sicher gelöscht und entsorgt werden. In Papierform gespeicherte personenbezogene Daten werden gekreuzt und recycelt oder entsorgt. Weitere Informationen zur Löschung und Entsorgung personenbezogener Daten finden Sie in der Datenaufbewahrungsrichtlinie des Unternehmens.

22. Datensicherheit - Verwendung personenbezogener Daten

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Verwendung personenbezogener Daten ergriffen werden:
22.1 Es dürfen keine personenbezogenen Daten informell weitergegeben werden, und wenn ein Mitarbeiter, Vertreter, Subunternehmer oder eine andere Partei, die im Auftrag des Unternehmens arbeitet, Zugang zu personenbezogenen Daten benötigt, auf die er noch keinen Zugang hat, sollte dieser Zugang formell beantragt werden bei das Unternehmen;
22.2 Ohne die Genehmigung des Unternehmens dürfen keine personenbezogenen Daten an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien weitergegeben werden, unabhängig davon, ob diese Parteien im Auftrag des Unternehmens arbeiten oder nicht;
22.3 Personenbezogene Daten müssen jederzeit mit Sorgfalt behandelt werden und dürfen nicht unbeaufsichtigt oder zu keinem Zeitpunkt unbefugten Mitarbeitern, Vertretern, Subunternehmern oder anderen Parteien zugänglich gemacht werden;
22.4 Wenn personenbezogene Daten auf einem Computerbildschirm angezeigt werden und der betreffende Computer für einen bestimmten Zeitraum unbeaufsichtigt bleiben soll, muss der Benutzer den Computer und den Bildschirm vor dem Verlassen sperren; und
22.5 Wenn personenbezogene Daten des Unternehmens zu Marketingzwecken verwendet werden, liegt es in der Verantwortung des Unternehmens sicherzustellen, dass die entsprechende Zustimmung eingeholt wird und keine betroffenen Personen sich direkt oder über einen Drittanbieterdienst wie z die TPS.

23. Datensicherheit - IT-Sicherheit

Das Unternehmen stellt sicher, dass im Hinblick auf die IT- und Informationssicherheit folgende Maßnahmen getroffen werden:
23.1 Alle zum Schutz personenbezogener Daten verwendeten Passwörter sollten regelmäßig geändert werden und keine Wörter oder Ausdrücke verwenden, die leicht erraten oder auf andere Weise kompromittiert werden können. Alle Passwörter müssen eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten.
23.2 Unter keinen Umständen dürfen Passwörter aufgeschrieben oder zwischen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Namen des Unternehmens arbeiten, ungeachtet ihres Dienstalters oder ihrer Abteilung geteilt werden. Wenn ein Passwort vergessen wird, muss es mit der entsprechenden Methode zurückgesetzt werden. IT-Mitarbeiter haben keinen Zugriff auf Passwörter;
23.3 Die gesamte Software (einschließlich, aber nicht beschränkt auf Anwendungen und Betriebssysteme) muss auf dem neuesten Stand gehalten werden. Das IT-Personal des Unternehmens ist dafür verantwortlich, alle sicherheitsrelevanten Updates so schnell wie möglich und praktisch möglich zu installieren, es sei denn, es liegen triftige technische Gründe dagegen;

24. Organisatorische Maßnahmen

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ergriffen werden:
24.1 Alle Mitarbeiter, Vertreter, Auftragnehmer oder anderen Parteien, die im Namen des Unternehmens arbeiten, werden sowohl über ihre individuellen Verantwortlichkeiten als auch über die Verantwortlichkeiten des Unternehmens gemäß der DSGVO und dieser Richtlinie informiert und erhalten eine Kopie dieser Richtlinie;
24.2 Nur Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten, die Zugriff auf personenbezogene Daten und deren Verwendung benötigen, um ihre zugewiesenen Aufgaben ordnungsgemäß auszuführen, haben Zugriff auf personenbezogene Daten, die sich im Besitz des Unternehmens befinden;
24.3 Alle Mitarbeiter, Vertreter, Auftragnehmer oder sonstigen Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden entsprechend geschult;
24.4 Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden angemessen beaufsichtigt;
24.5 Alle Mitarbeiter, Agenten, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, müssen bei der Erörterung arbeitsbezogener Angelegenheiten, die sich auf personenbezogene Daten beziehen, um Sorgfalt, Vorsicht und Diskretion handeln, sei es am Arbeitsplatz oder ansonsten;
24.6 Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten werden regelmäßig evaluiert und überprüft;
24.7 Alle personenbezogenen Daten des Unternehmens werden regelmäßig überprüft, wie in der Richtlinie zur Vorratsdatenspeicherung des Unternehmens festgelegt.
24.8 Die Leistung der Mitarbeiter, Vertreter, Auftragnehmer oder sonstigen Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, wird regelmäßig bewertet und überprüft;
24.9 Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, sind vertraglich dazu verpflichtet, dies gemäß den Grundsätzen der DSGVO und dieser Richtlinie zu tun;
24.10 Alle Agenten, Auftragnehmer oder anderen Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass alle ihre Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, denselben Bedingungen unterliegen wie die entsprechenden Mitarbeiter des Unternehmens aus dieser Richtlinie und der DSGVO; und
24.11 Wenn ein Vertreter, Auftragnehmer oder eine andere Partei, die im Namen des Unternehmens mit personenbezogenen Daten arbeitet, ihren Verpflichtungen aus dieser Richtlinie nicht nachkommt, stellt diese Partei das Unternehmen schad- und klaglos von allen Kosten, Haftungen, Schäden, Verlusten, Ansprüchen oder Verfahren, die entstehen können aus diesem Versagen.

25. Übermittlung personenbezogener Daten an ein Land außerhalb des EWR

25.1 Das Unternehmen kann von Zeit zu Zeit personenbezogene Daten an Länder außerhalb des EWR übertragen („Übertragung“ umfasst die Bereitstellung aus der Ferne).
25.2 Die Übermittlung personenbezogener Daten in ein Land außerhalb des EWR erfolgt nur, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:
25.2.1 Die Übermittlung erfolgt an ein Land, ein Gebiet oder einen oder mehrere bestimmte Sektoren in diesem Land (oder an eine internationale Organisation), von denen die Europäische Kommission festgelegt hat, dass sie ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
25.2.2 Die Übertragung erfolgt in ein Land (oder eine internationale Organisation), das angemessene Schutzmaßnahmen in Form einer rechtsverbindlichen Vereinbarung zwischen Behörden oder Einrichtungen bietet. verbindliche Unternehmensregeln; von der Europäischen Kommission verabschiedete Standard-Datenschutzklauseln; Einhaltung eines genehmigten Verhaltenskodex, der von einer Aufsichtsbehörde (z. B. dem Büro des Informationskommissars) genehmigt wurde; Zertifizierung nach einem genehmigten Zertifizierungsmechanismus (wie in der DSGVO vorgesehen); von der zuständigen Aufsichtsbehörde vereinbarte und genehmigte Vertragsklauseln; oder Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder von der zuständigen Aufsichtsbehörde zugelassenen Stellen eingefügt wurden;
25.2.3 Die Übertragung erfolgt mit Einverständnis der betroffenen Person (en);
25.2.4 Die Übertragung ist erforderlich für die Erfüllung eines Vertrags zwischen der betroffenen Person und der Gesellschaft (oder für vorvertragliche Schritte, die auf Antrag der betroffenen Person unternommen werden).
25.2.5 Die Übertragung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich.
25.2.6 Die Übertragung ist für die Durchführung von Rechtsansprüchen erforderlich;
25.2.7 Die Übertragung ist erforderlich, um die vitalen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Zustimmung zu erteilen. oder
25.2.8 Die Übertragung erfolgt aus einem Register, das nach britischem oder EU-Recht Informationen für die Öffentlichkeit bereitstellen soll und das für die Öffentlichkeit allgemein oder auf andere Weise für diejenigen zugänglich ist, die ein berechtigtes Interesse an zeigen können Zugriff auf das Register.

26. Benachrichtigung über Datenverletzungen

26.1 Wenn eine Verletzung des Schutzes personenbezogener Daten auftritt und diese Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (z. B. finanzielle Verluste, Verletzung der Vertraulichkeit, Diskriminierung, Rufschädigung oder andere erhebliche soziale oder wirtschaftliche Schäden), wird das Unternehmen muss sicherstellen, dass das Büro des Information Commissioner unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden nach Kenntniserlangung, über den Verstoß informiert wird.
26.2 Für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko (d. h. ein höheres Risiko als das in Teil 29.2 beschriebene) für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss das Unternehmen sicherstellen, dass alle betroffenen betroffenen Personen unmittelbar und unverzüglich über den Verstoß informiert.
26.3 Benachrichtigungen über Datenschutzverletzungen müssen folgende Informationen enthalten:
26.3.1 Kategorien und ungefähre Anzahl der betroffenen Personen;
26.3.2 Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Daten;
26.3.3 Name und Kontaktdaten einer Kontaktstelle des Unternehmens, bei der weitere Informationen erhältlich sind;
26.3.4 Die wahrscheinlichen Folgen des Verstoßes;
26.3.5 Einzelheiten zu den Maßnahmen, die das Unternehmen ergriffen hat oder vorgeschlagen hat, um den Verstoß zu beheben, einschließlich gegebenenfalls Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen.

27. Umsetzung der Politik

Diese Richtlinie gilt ab dem 1. Mai 2018. Kein Teil dieser Richtlinie hat rückwirkende Wirkung und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum eintreten.