Transparency Document

Page 1 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
A. Identity and the contact details of the controller (Art. 13 I lit. a, 14 I lit. a DS-GVO)
PsycApps LTD
Health Foundry, 1 Royal Street
SE1 7LL London
United Kingdom
Email: [email protected]
Website: https://www.equoogame.com
B. Contact details of the Data Protection Officer (Art. 13 I lit. b, 14 I lit. b DS-GVO)
Prof. Dr. h.c. Heiko Jonny Maniero, LL.B., LL.M. mult., M.L.E.*
DGD Deutsche Gesellschaft für Datenschutz GmbH**
Fraunhoferring 3
85238 Petershausen
Phone: +49 (0) 8131-77987-0
FAX: +49 (0) 8131-77987-99
Email: [email protected]
Website: https://dg-datenschutz.de/
*Obligatory information, please see: https://dg-datenschutz.de/the-data-protection-team/heiko-jonny-maniero/?lang=en
**Obligatory information, please see: https://dg-datenschutz.de/imprint/?lang=en
Page 2 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Table of Contents
GERMAN: Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO) ……………………………………………… 3
GERMAN: Mitarbeiter- und Bewerberinformation über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO) ……… 16
ENGLISH: Information about the Processing of Personal Data (Article 13, 14 GDPR) ……………………………………………………………….. 28
ENGLISH: Information about the Processing of Personal Data for Employees and Applicants (Article 13, 14 GDPR) ……………………. 39
SPANISH: Información sobre el tratamiento de datos personales (Artículos 13, 14 RGPD) ……………………………………………………….. 50
SPANISH: Información sobre el tratamiento de datos personales de los empleados y solicitantes (artículo 13, 14 del RGPD) ………. 63
FRENCH: Information sur le traitement des données à caractère personnel (Articles 13 et 14 RGPD) ……………………………………….. 75
FRENCH: Information sur le traitement des données à caractère personnel des employés et des candidates (Articles 13 et 14 RGPD)
……………………………………………………………………………………………………………………………………………………………………………………. 87
ITALIAN: Informazioni sul trattamento dei dati personali (articolo 13, 14 GDPR) ……………………………………………………………………. 99
ITALIAN: Informazioni sul trattamento dei dati personali per dipendenti e richiedenti (articolo 13, 14 GDPR) …………………………. 111
DUTCH: Informatie over de verwerking van persoonsgegevens (Artikel 13, 14 AVG) …………………………………………………………….. 122
DUTCH: Informatie over de verwerking van persoonsgegevens voor werknemers en sollicitanten (artikel 13, 14 AVG) …………….. 135
GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (Άρθρα 13, 14 ΓΚΠΔ) ………………………….. 147
GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα Εργαζομένων και Υποψηφίων (Άρθρα 13, 14
ΓΚΠΔ) …………………………………………………………………………………………………………………………………………………………………………. 160
POLISH: Informacja o przetwarzaniu danych osobowych (Artykuł 13 i 14 RODO) ………………………………………………………………….. 172
POLISH: Informacja o przetwarzaniu danych osobowych pracowników i kandydatów (art. 13 i 14 RODO) ………………………………… 184
HUNGARIAN: Információk személyes adatok kezeléséről (GDPR 13., 14. cikk) ………………………………………………………………………. 196
HUNGARIAN: A munkavállalók és pályázók személyes adatainak feldolgozásáról szóló információk (GDPR, 13. és 14. cikk) ……….. 208
ROMANIAN: Informații despre prelucrarea datelor cu caracter personal (Articolul 13, 14 GDPR) ……………………………………………. 220
ROMANIAN: Informații privind prelucrarea datelor cu caracter personal pentru angajați și solicitanți (articolul 13, 14 GDPR) …… 233
CROATIAN: Informacije o obradi osobnih podataka (članak 13, 14 GDPR) ……………………………………………………………………………. 245
CROATIAN: Informacije o obradi osobnih podataka za zaposlenike i podnositelje zahtjeva (članak 13, 14 GDPR) ……………………… 256
SERBIAN: Информације о обради личних података (члан 13, 14 ГДПР) ……………………………………………………………………………. 267
SERBIAN: Информације о обради личних података за запослене и подносиоце захтева (члан 13, 14 ГДПР) ………………………. 279
RUSSIAN: Информация об обработке персональных данных (статья 13, 14 Общий Регламент по Защите Данных, ОРЗД (GDPR))
………………………………………………………………………………………………………………………………………………………………………………….. 290
RUSSIAN: Информация об обработке персональных данных для сотрудников и заявителей (статья 13, 14 Общий Регламент по
Защите Данных, ОРЗД (GDPR)) ……………………………………………………………………………………………………………………………………… 301
Page 3 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
GERMAN: Information über die Verarbeitung
personenbezogener Daten (Artikel 13, 14 DS-GVO)
Sehr geehrte Damen und Herren,
die personenbezogenen Daten jedes Einzelnen, der in einer vertraglichen, vorvertraglichen oder
anderweitigen Beziehung zu unserem Unternehmen steht, verdienen besonderen Schutz. Wir haben das
Ziel, unser Datenschutzniveau auf einem hohen Standard zu halten. Deswegen setzen wir auf eine
kontinuierliche Weiterentwicklung unserer Datenschutz- und Datensicherheitskonzepte.
Selbstverständlich halten wir die gesetzlichen Vorschriften zum Datenschutz ein. Nach Art. 13, 14 DSGVO
treffen Verantwortliche besondere Informationspflichten, wenn sie personenbezogene Daten
erheben. Durch dieses Dokument erfüllen wir diese Verpflichtungen.
Die Terminologie gesetzlicher Vorschriften ist kompliziert. Bei der Ausarbeitung dieses Dokuments
konnte leider nicht auf die Verwendung von juristischen Begriffen verzichtet werden. Daher möchten wir
darauf hinweisen, dass Sie sich bei allen Fragen zu diesem Dokument, zu den verwendeten
Fachbegriffen oder Formulierungen gerne an uns wenden dürfen.
I. Erfüllung der Informationspflichten im Falle der Erhebung von
personenbezogenen Daten bei der betroffenen Person (Art. 13 DS-GVO)
A. Name und Kontaktdaten des Verantwortlichen (Art. 13 I lit. a DS-GVO)
Siehe oben
B. Kontaktdaten des Datenschutzbeauftragten (Art. 13 I lit. b DS-GVO)
Siehe oben
C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung (Art. 13 I lit. c DS-GVO)
Zweck der Verarbeitung personenbezogener Daten ist die Abwicklung sämtlicher Vorgänge, die den
Verantwortlichen, Kunden, Interessenten, Geschäftspartner oder sonstige vertragliche oder
Page 4 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
vorvertragliche Beziehungen zwischen den genannten Gruppen (im weitesten Sinne) oder gesetzliche
Pflichten des Verantwortlichen betreffen.
Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei
denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung
personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von
Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die
Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur
Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren
Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche
eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung
steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO.
In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um
lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und
daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen
an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die
Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen.
Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage
basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden,
wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines
Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht
überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den
Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein
berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des
Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).
D. Wenn die Verarbeitung auf Artikel 6 I lit. f DS-GVO beruht, die berechtigten
Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (Art. 13 I
lit. d DS-GVO)
Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes
Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer
Mitarbeiter und unserer Anteilseigner.
Page 5 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 I lit. e DSGVO)
Öffentliche Stellen
Externe Stellen
Weitere externe Stellen
Interne Verarbeitung
Konzerninterne Verarbeitung
Sonstige Stellen
F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und
die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
(Art. 13 I lit. f, 46 I, II lit. c DS-GVO)
Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend
Konzerngesellschaften genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können
zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften
oder Empfänger kann bei uns angefordert werden.
Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann
personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der
Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen
durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können,
ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch
Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO.
Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten
die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist
sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien,
durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie
der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch
im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar.
Page 6 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 13 II lit. a DS-GVO)
Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche
Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht,
sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.
H. Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der
Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts
auf Datenübertragbarkeit (Art. 13 II lit. b DS-GVO)
Alle Betroffenen haben die folgenden Rechte:
Auskunftsrecht
Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das
Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in
angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer
personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können
(Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des
Auskunftsrechts kann sich der Betroffene an uns wenden.
Recht auf Berichtigung
Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, von unserem Unternehmen unverzüglich
die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch
Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke
das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer
ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder
Betroffene an uns wenden.
Recht auf Löschung (Recht auf Vergessenwerden)
Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu.
Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle
erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung
einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO.
Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist
genehmigen können.
Einschränkung der Verarbeitung
Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine
Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit.
Page 7 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht
werden.
Recht auf Widerspruch
Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann
über uns geltend gemacht werden.
Recht auf Datenübertragbarkeit
Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift
hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die
sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen
Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann
das Recht auf Datenübertragbarkeit über uns ausüben.
I. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung
berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a DS-GVO oder Art. 9 II lit. a DSGVO
beruht (Art. 13 II lit. c DS-GVO)
Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die
betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für
einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO,
der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten
regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit
zu widerrufen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung
muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der
Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jede
andere Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen
Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple
E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine
einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen
anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen.
Page 8 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 II lit. d, 77 I DS-GVO)
Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei
einer Aufsichtsbehörde mitzuteilen, Art. 13 II lit. d DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO
geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer
Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das
Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt,
dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141
Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche
betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird
deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren.
K. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der
personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung
der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche
Folgen der Nichtbereitstellung (Art. 13 II lit. e DS-GVO)
Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich
vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben
zum Vertragspartner) ergeben kann.
Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns
personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen.
Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn
unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen
Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte.
Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an
uns wenden. Wir klären den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der
personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss
erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche
Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.
Page 9 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 II lit. f
DS-GVO)
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung
oder ein Profiling.
II. Erfüllung der Informationspflichten für die Fälle, bei denen die
personenbezogenen Daten nicht bei der betroffenen Person erhoben
wurden (Art. 14 DS-GVO)
A. Name und Kontaktdaten des Verantwortlichen (Art. 14 I lit. a DS-GVO)
Siehe oben
B. Kontaktdaten des Datenschutzbeauftragten (Art. 14 I lit. b DS-GVO)
Siehe oben
C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung (Art. 14 I lit. c DS-GVO)
Zweck der Verarbeitung personenbezogener Daten ist die Abwicklung sämtlicher Vorgänge, die das
Unternehmen, Kunden, Interessenten, Geschäftspartner oder sonstige vertragliche oder vorvertragliche
Beziehungen zwischen den genannten Beteiligtengruppen (im weitesten Sinne) oder gesetzliche
Pflichten des Verantwortlichen betreffen.
Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die
betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die
für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung
notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche
Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in
Fällen von Anfragen zu unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer
rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich
Page 10 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c
DS-GVO.
In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um
lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und
daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen
an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die
Verarbeitung auf Art. 6 I lit. d DS-GVO basieren.
Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage
basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden,
wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines
Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht
überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den
Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein
berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des
Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).
D. Kategorien personenbezogener Daten, die verarbeitet werden (Art. 14 I lit. d DSGVO)
Kundendaten
Interessentendaten
Beschäftigtendaten
Lieferantendaten
E. Kategorien von Empfängern der personenbezogenen Daten (Art. 14 I lit. e DSGVO)
Öffentliche Stellen
Externe Stellen
Weitere externe Stellen
Page 11 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Interne Verarbeitung
Konzerninterne Verarbeitung
Sonstige Stellen
F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und
die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind (Art. 14 I
lit. f, 46 I, II lit. c DS-GVO)
Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend
“Konzerngesellschaften” genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können
zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften
oder Empfänger kann bei uns angefordert werden.
Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann
personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der
Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen
durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können,
ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch
Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO.
Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten
die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist
sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien,
durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie
der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch
im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar.
G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 14 II lit. a DS-GVO)
Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche
Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht,
sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.
Page 12 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Mitteilung der berechtigten Interessen, die vom Verantwortlichen oder einem
Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 I lit. f DS-GVO beruht (Art. 14
II lit. b DS-GVO)
Gemäß Art. 6 I lit. f DS-GVO ist eine Verarbeitung nur rechtmäßig, wenn sie zur Wahrung der
berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 Satz 2 DS-GVO kann ein
berechtigtes Interesse vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der
betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des
Verantwortlichen ist. In allen Fällen in denen unser Unternehmen die Verarbeitung von
personenbezogenen Daten auf Art. 6 I lit. f DS-GVO stützt, liegt unser berechtigtes Interesse in der
Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und
unserer Anteilseigner.
I. Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der
Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts
auf Datenübertragbarkeit (Art. 14 II lit. c DS-GVO)
Alle Betroffenen haben die folgenden Rechte:
Auskunftsrecht
Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das
Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in
angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer
personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können
(Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des
Auskunftsrechts kann sich der Betroffene an uns wenden.
Recht auf Berichtigung
Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, von unserem Unternehmen unverzüglich
die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch
Art. 16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke
das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer
ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder
Betroffene an uns wenden.
Recht auf Löschung (Recht auf Vergessenwerden)
Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu.
Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle
Page 13 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung
einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO.
Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist
genehmigen können.
Einschränkung der Verarbeitung
Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine
Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit.
a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht
werden.
Recht auf Widerspruch
Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann
über uns geltend gemacht werden.
Recht auf Datenübertragbarkeit
Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift
hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die
sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen
Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann
das Recht auf Datenübertragbarkeit über uns ausüben.
J. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung
berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a oder Art. 9 II lit. a DS-GVO beruht
(Art. 14 II lit. d DS-GVO)
Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die
betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für
einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO,
der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten
regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit
zu widerrufen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung
muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der
Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jeder
anderen Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen
Page 14 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple
E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine
einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen
anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen.
K. Beschwerderecht bei einer Aufsichtsbehörde (Art. 14 II lit. e, 77 I DS-GVO)
Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei
einer Aufsichtsbehörde mitzuteilen, Art. 14 II lit. e DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO
geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer
Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das
Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt,
dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141
Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche
betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird
deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren.
L. Quelle aus der die personenbezogenen Daten stammen und gegebenenfalls ob
sie aus öffentlich zugänglichen Quellen stammen (Art. 14 II lit. f DS-GVO)
Grundsätzlich werden personenbezogene Daten direkt beim Betroffenen oder im Zusammenwirken mit
einer Behörde erhoben (z.B. Auslesen von Daten eines behördlichen Registers). Andere Daten über
Betroffene stammen aus Übermittlungen von Konzerngesellschaften. Im Rahmen dieser allgemein zu
haltenden Information ist eine Mitteilung der exakten Quellen aus denen die personenbezogenen Daten
stammen entweder unmöglich oder verursacht unverhältnismäßigen Aufwand im Sinne von Art. 14 V lit.
b DS-GVO. Wir erheben grundsätzlich keine personenbezogenen Daten aus öffentlich zugänglichen
Quellen.
Jeder Betroffene kann sich jederzeit an uns wenden, um genauere Informationen über exakte Quellen
der sie betreffenden personenbezogenen Daten zu erhalten. Kann der betroffenen Person nicht exakt
mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt
wurden, so wird die individuelle Unterrichtung allgemein gehalten (Erwägungsgrund 61 Satz 4 DS-GVO).
Page 15 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 14 II lit. g
DS-GVO)
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung
oder ein Profiling.
Page 16 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
GERMAN: Mitarbeiter- und Bewerberinformation über die
Verarbeitung personenbezogener Daten (Artikel 13, 14 DSGVO)
Sehr geehrte Damen und Herren,
personenbezogene Daten von Mitarbeitern und Bewerbern verdienen besonderen Schutz. Wir haben
uns zum Ziel gesetzt, unser Datenschutzniveau auf einem hohen Standard zu halten. Deswegen setzen
wir auf eine kontinuierliche Weiterentwicklung unserer Datenschutz- und Datensicherheitskonzepte.
Selbstverständlich halten wir die gesetzlichen Vorschriften zum Datenschutz ein. Nach Art. 13, 14 DSGVO
treffen Verantwortliche besondere Informationspflichten, wenn sie personenbezogene Daten
verarbeiten. Durch dieses Dokument erfüllen wir diese Verpflichtungen.
Die Terminologie gesetzlicher Vorschriften ist kompliziert. Bei der Ausarbeitung dieses Dokuments
konnte leider nicht auf die Verwendung von juristischen Begriffen verzichtet werden. Daher möchten wir
darauf hinweisen, dass Sie sich bei allen Fragen zu diesem Dokument, zu den verwendeten
Fachbegriffen oder Formulierungen gerne an uns wenden dürfen.
I. Erfüllung der Informationspflichten im Falle der Erhebung von
personenbezogenen Daten bei der betroffenen Person (Art. 13 DS-GVO)
A. Name und Kontaktdaten des Verantwortlichen (Art. 13 I lit. a DS-GVO)
Siehe oben
B. Kontaktdaten des Datenschutzbeauftragten (Art. 13 I lit. b DS-GVO)
Siehe oben
C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung (Art. 13 I lit. c DS-GVO)
Für Bewerberdaten ist der Zweck der Datenverarbeitung, eine Prüfung der Bewerbung im
Bewerbungsverfahren durchzuführen. Für diesen Zweck verarbeiten wir alle von Ihnen zur Verfügung
gestellten Daten. Auf Basis der im Rahmen der Bewerbung übermittelten Daten prüfen wir, ob Sie zu
einem Vorstellungsgespräch (Teil des Auswahlverfahrens) eingeladen werden. Sodann verarbeiten wir
Page 17 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
im Falle von grundsätzlich geeigneten Bewerberinnen und Bewerbern, insbesondere im Rahmen des
Bewerbungsgesprächs, bestimmte weitere von Ihnen zur Verfügung gestellte personenbezogene Daten,
die für unsere Auswahlentscheidung wesentlich sind. Werden Sie von uns eingestellt, wandeln sich
Bewerberdaten automatisch in Mitarbeiterdaten. Im Rahmen des Einstellungsverfahrens werden wir
sodann weitere personenbezogene Daten von Ihnen verarbeiten, die wir von Ihnen abfragen und die zur
Vertragsanbahnung oder Vertragserfüllung erforderlich sind (z.B. Personenidentifikationsnummern oder
Steuernummern). Für Mitarbeiterdaten ist der Zweck der Datenverarbeitung, die Erfüllung des
Arbeitsvertrages, sonstiger gesetzlicher Vorschriften die auf das Arbeitsverhältnis anwendbar sind (z.B.
aus dem Steuerrecht), sowie der Einsatz Ihrer Person zur Durchführung des mit Ihnen abgeschlossenen
Arbeitsvertrages (z.B. Veröffentlichung Ihres Namens und der Kontaktdaten innerhalb des
Unternehmens oder gegenüber Kunden). Mitarbeiterdaten werden nach Beendigung des
Arbeitsverhältnisses zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert.
Rechtsgrundlagen für die Datenverarbeitung sind Art. 6 Abs. 1 Buchst. b DS-GVO, Art. 9 Abs. 2 Buchst.
b und h DS-GVO, Art. 88 Abs. 1 DS-GVO sowie nationale Rechtsvorschriften, wie etwa für Deutschland
§ 26 BDSG.
D. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 I lit. e DSGVO)
Öffentliche Stellen
Externe Stellen
Weitere externe Stellen
Interne Verarbeitung
Konzerninterne Verarbeitung
Sonstige Stellen
E. Empfänger in einem Drittland und geeignete oder angemessene Garantien und
die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
(Art. 13 I lit. f, 46 I, II lit. c DS-GVO)
Alle Unternehmen und Niederlassungen, die unserer Unternehmensgruppe angehören (nachfolgend
Konzerngesellschaften genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können
Page 18 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften
oder Empfänger kann bei uns angefordert werden.
Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann
personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der
Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen
durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können,
ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch
Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO.
Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten
die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist
sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien,
durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie
der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch
im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar.
F. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 13 II lit. a DS-GVO)
Die Dauer der Speicherung personenbezogener Daten von Bewerbern beträgt 6 Monate. Für
Mitarbeiterdaten gilt die gesetzliche Aufbewahrungspflicht. Nach Ablauf der Frist werden die
entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder
Vertragsanbahnung erforderlich sind.
G. Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der
Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts
auf Datenübertragbarkeit (Art. 13 II lit. b DS-GVO)
Alle Betroffenen haben die folgenden Rechte:
Auskunftsrecht
Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das
Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in
angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer
personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können
(Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des
Auskunftsrechts kann sich der Betroffene an uns wenden.
Page 19 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Recht auf Berichtigung
Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, vom Verantwortlichen unverzüglich die
Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art.
16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke
das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer
ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder
Betroffene an uns wenden.
Recht auf Löschung (Recht auf Vergessenwerden)
Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu.
Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle
erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung
einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO.
Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist
genehmigen können.
Einschränkung der Verarbeitung
Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine
Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit.
a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann über uns geltend gemacht
werden.
Recht auf Widerspruch
Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann
über uns geltend gemacht werden.
Recht auf Datenübertragbarkeit
Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift
hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die
sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen
Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann
das Recht auf Datenübertragbarkeit über uns ausüben.
Page 20 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung
berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a DS-GVO oder Art. 9 II lit. a DSGVO
beruht (Art. 13 II lit. c DS-GVO)
Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die
betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für
einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO,
der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten
regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit
zu widerrufen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung
muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der
Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jede
andere Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen
Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple
E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine
einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen
anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen.
I. Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 II lit. d, 77 I DS-GVO)
Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei
einer Aufsichtsbehörde mitzuteilen, Art. 13 II lit. d DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO
geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer
Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das
Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt,
dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141
Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche
betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird
deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren.
Page 21 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der
personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung
der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche
Folgen der Nichtbereitstellung (Art. 13 II lit. e DS-GVO)
Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich
vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben
zum Vertragspartner) ergeben kann.
Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns
personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen.
Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn
unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen
Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte.
Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an
uns wenden. Wir klären den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der
personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss
erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche
Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.
K. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 II lit. f
DS-GVO)
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung
oder ein Profiling.
II. Erfüllung der Informationspflichten für die Fälle, bei denen die
personenbezogenen Daten nicht bei der betroffenen Person erhoben
wurden (Art. 14 DS-GVO)
A. Name und Kontaktdaten des Verantwortlichen (Art. 14 I lit. a DS-GVO)
Siehe oben
Page 22 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
B. Kontaktdaten des Datenschutzbeauftragten (Art. 14 I lit. b DS-GVO)
Siehe oben
C. Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung (Art. 14 I lit. c DS-GVO)
Für Bewerberdaten die nicht bei der betroffenen Person erhoben wurden, ist der Zweck der
Datenverarbeitung, eine Prüfung der Bewerbung im Bewerbungsverfahren durchzuführen. Für diesen
Zweck verarbeiten wir alle von uns nicht bei Ihnen erhobenen Daten. Auf Basis der im Rahmen der
Bewerbung verarbeiteten Daten prüfen wir, ob Sie zu einem Vorstellungsgespräch (Teil des
Auswahlverfahrens) eingeladen werden. Werden Sie von uns eingestellt, wandeln sich nicht bei Ihnen
erhobene Bewerberdaten automatisch in Mitarbeiterdaten. Für solche Mitarbeiterdaten ist der Zweck der
Datenverarbeitung, die Erfüllung des Arbeitsvertrages und sonstiger gesetzlicher Vorschriften die auf das
Arbeitsverhältnis anwendbar sind. Mitarbeiterdaten werden nach Beendigung des Arbeitsverhältnisses
zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert.
Rechtsgrundlagen für die Datenverarbeitung sind Art. 6 Abs. 1 Buchst. b und f DS-GVO, Art. 9 Abs. 2
Buchst. b und h DS-GVO, Art. 88 Abs. 1 DS-GVO sowie nationale Rechtsvorschriften, wie etwa für
Deutschland § 26 BDSG.
D. Kategorien personenbezogener Daten, die verarbeitet werden (Art. 14 I lit. d DSGVO)
Bewerberdaten
Mitarbeiterdaten
E. Kategorien von Empfängern der personenbezogenen Daten (Art. 14 I lit. e DSGVO)
Öffentliche Stellen
Externe Stellen
Page 23 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Weitere externe Stellen
Interne Verarbeitung
Konzerninterne Verarbeitung
Sonstige Stellen
F. Empfänger in einem Drittland und geeignete oder angemessene Garantien und
die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind (Art. 14 I
lit. f, 46 I, II lit. c DS-GVO)
Alle Unternehmen und Niederlassungen, die unserem Konzern angehören (nachfolgend
“Konzerngesellschaften” genannt) und ihren oder einen Geschäftssitz in einem Drittland haben, können
zu den Empfängern von personenbezogenen Daten gehören. Eine Liste aller Konzerngesellschaften
oder Empfänger kann bei uns angefordert werden.
Gemäß Art. 46 I DS-GVO darf der Verantwortliche oder ein Auftragsverarbeiter nur dann
personenbezogene Daten an ein Drittland übermitteln, wenn der Verantwortliche oder der
Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen
durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können,
ohne dass es hierzu einer besonderen Genehmigung einer Aufsichtsbehörde bedarf, durch
Standarddatenschutzklauseln abgebildet werden, Art. 46 II lit. c DS-GVO.
Mit allen Empfängern aus Drittländern werden vor der ersten Übermittlung personenbezogener Daten
die EU-Standarddatenschutzklauseln oder andere geeignete Garantien vereinbart. Folglich ist
sichergestellt, dass für sämtliche Verarbeitungen von personenbezogenen Daten geeignete Garantien,
durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sind. Jeder Betroffene kann eine Kopie
der Standarddatenschutzklauseln von uns erhalten. Zudem sind die Standarddatenschutzklauseln auch
im Amtsblatt der Europäischen Union (ABl. 2010 / L 39, Seite 5-18) verfügbar.
G. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies
nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 14 II lit. a DS-GVO)
Die Dauer der Speicherung personenbezogener Daten von Bewerbern beträgt 6 Monate. Für
Mitarbeiterdaten gilt die gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die
entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder
Vertragsanbahnung erforderlich sind.
Page 24 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Mitteilung der berechtigten Interessen, die vom Verantwortlichen oder einem
Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 I lit. f DS-GVO beruht (Art. 14
II lit. b DS-GVO)
Gemäß Art. 6 I lit. f DS-GVO ist eine Verarbeitung nur rechtmäßig, wenn sie zur Wahrung der
berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 Satz 2 DS-GVO kann ein
berechtigtes Interesse vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der
betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des
Verantwortlichen ist. In allen Fällen in denen unser Unternehmen die Verarbeitung von
personenbezogenen Bewerberdaten und Mitarbeiterdaten auf Art. 6 I lit. f DS-GVO stützt, liegt unser
berechtigtes Interesse in der Beschäftigung von geeignetem Personal und Fachkräften.
I. Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der
Verarbeitung und des Widerspruchsrechts gegen die Verarbeitung sowie des Rechts
auf Datenübertragbarkeit (Art. 14 II lit. c DS-GVO)
Alle Betroffenen haben die folgenden Rechte:
Auskunftsrecht
Jeder Betroffene hat ein Auskunftsrecht über die ihn betreffenden personenbezogenen Daten. Das
Auskunftsrecht erstreckt sich auf alle von uns verarbeiteten Daten. Das Recht kann problemlos und in
angemessenen Abständen wahrgenommen werden, damit sich alle Betroffenen der Verarbeitung ihrer
personenbezogenen Daten stets bewusst sind und deren Rechtmäßigkeit überprüfen können
(Erwägungsgrund 63 DS-GVO). Dieses Recht ergibt sich aus Art. 15 DS-GVO. Zur Ausübung des
Auskunftsrechts kann sich der Betroffene an uns wenden.
Recht auf Berichtigung
Nach Art. 16 Satz 1 DS-GVO haben alle Betroffenen das Recht, vom Verantwortlichen unverzüglich die
Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem wird durch Art.
16 Satz 2 DS-GVO normiert, dass dem Betroffenen unter Berücksichtigung der Verarbeitungszwecke
das Recht zusteht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer
ergänzenden Erklärung – zu verlangen. Zur Ausübung des Berichtigungsrechts kann sich jeder
Betroffene an uns wenden.
Recht auf Löschung (Recht auf Vergessenwerden)
Im Übrigen steht Betroffenen ein Recht auf Löschung und Vergessenwerden nach Art. 17 DS-GVO zu.
Auch dieses Recht kann über eine Kontaktaufnahme zu uns geltend gemacht werden. An dieser Stelle
erlauben wir uns jedoch den Hinweis, dass dieses Recht nicht gilt, soweit die Verarbeitung zur Erfüllung
Page 25 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
einer rechtlichen Verpflichtung, dem unser Unternehmen unterliegt, erforderlich ist, Art. 17 III lit. b DSGVO.
Dies bedeutet, dass wir einen Löschantrag erst nach Ablauf der gesetzlichen Aufbewahrungsfrist
genehmigen können.
Einschränkung der Verarbeitung
Gemäß Art. 18 DS-GVO steht jedem Betroffenen ein Recht auf Einschränkung der Verarbeitung zu. Eine
Einschränkung der Verarbeitung kann verlangt werden, wenn eine der Voraussetzungen aus Art. 18 I lit.
a-d DS-GVO zutrifft. Das Recht auf Einschränkung der Verarbeitung kann uns geltend gemacht werden.
Recht auf Widerspruch
Des Weiteren garantiert Art. 21 DS-GVO das Recht auf Widerspruch. Das Recht auf Wiederspruch kann
über uns geltend gemacht werden.
Recht auf Datenübertragbarkeit
Art. 20 DS-GVO gewährt dem Betroffenen ein Recht auf Datenübertragbarkeit. Nach dieser Vorschrift
hat die betroffene Person unter den Voraussetzungen des Art. 20 I lit. a und b DS-GVO das Recht, die
sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen
Verantwortlichen ohne Behinderung durch den Verantwortlichen, zu übermitteln. Der Betroffene kann
das Recht auf Datenübertragbarkeit über uns ausüben.
J. Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung
berührt wird, sofern die Verarbeitung auf Art. 6 I lit. a oder Art. 9 II lit. a DS-GVO beruht
(Art. 14 II lit. d DS-GVO)
Beruht eine Verarbeitung personenbezogener Daten auf Art. 6 I lit. a DS-GVO, was der Fall ist, wenn die
betroffene Person eine Einwilligung in eine Verarbeitung sie betreffender personenbezogener Daten für
einen oder mehrere bestimmte Zwecke erteilt hat oder beruht die Verarbeitung auf Art. 9 II lit. a DS-GVO,
der die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten
regelt, so hat die betroffene Person nach Art. 7 III Satz 1 DS-GVO das Recht, ihre Einwilligung jederzeit
zu widerrufen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht berührt, Art. 7 III Satz 2 DS-GVO. Der Widerruf der Einwilligung
muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 III Satz 4 DS-GVO. Daher kann der
Widerruf der Einwilligung stets auf demselben Weg erfolgen, wie die Einwilligung erfolgte oder auf jeder
anderen Art, die von der betroffenen Person als einfacher betrachtet wird. In der heutigen
Informationsgesellschaft dürfte der wohl einfachste Weg für den Widerruf einer Einwilligung eine simple
E-Mail sein. Sofern der Betroffene eine gegenüber uns erteilte Einwilligung widerrufen möchte, so ist eine
Page 26 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
einfache E-Mail an uns hierfür ausreichend. Alternativ kann die betroffene Person einen beliebigen
anderen Weg wählen, um uns den Widerruf der Einwilligung mitzuteilen.
K. Beschwerderecht bei einer Aufsichtsbehörde (Art. 14 II lit. e, 77 I DS-GVO)
Als Verantwortlicher sind wir verpflichtet, dem Betroffenen das Bestehen eines Beschwerderechts bei
einer Aufsichtsbehörde mitzuteilen, Art. 14 II lit. e DS-GVO. Das Beschwerderecht wird in Art. 77 I DSGVO
geregelt. Nach dieser Vorschrift hat jede betroffene Person unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer
Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Das
Beschwerderecht wurde durch den unionalen Gesetzgeber ausschließlich dahingehend beschränkt,
dass es nur gegenüber einer einzigen Aufsichtsbehörde ausgeübt werden kann (Erwägungsgrund 141
Satz 1 DS-GVO). Diese Regelung soll Doppelbeschwerden in gleicher Sache durch die gleiche
betroffene Person vermeiden. Sofern sich eine betroffene Person über uns beschweren möchte, wird
deshalb darum gebeten, nur eine einzige Aufsichtsbehörde zu kontaktieren.
L. Quelle aus der die personenbezogenen Daten stammen und gegebenenfalls ob
sie aus öffentlich zugänglichen Quellen stammen (Art. 14 II lit. f DS-GVO)
Grundsätzlich werden personenbezogene Daten direkt beim Betroffenen oder im Zusammenwirken mit
einer Behörde erhoben (z.B. Auslesen von Daten eines behördlichen Registers). Andere Daten über
Betroffene stammen aus Übermittlungen von Konzerngesellschaften. Im Rahmen dieser allgemein zu
haltenden Information ist eine Mitteilung der exakten Quellen aus denen die personenbezogenen Daten
stammen entweder unmöglich oder verursacht unverhältnismäßigen Aufwand im Sinne von Art. 14 V lit.
b DS-GVO. Wir erheben grundsätzlich keine personenbezogenen Daten aus öffentlich zugänglichen
Quellen.
Jeder Betroffene kann sich jederzeit an uns wenden, um genauere Informationen über exakte Quellen
der sie betreffenden personenbezogenen Daten zu erhalten. Kann der betroffenen Person nicht exakt
mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt
wurden, so wird die individuelle Unterrichtung allgemein gehalten (Erwägungsgrund 61 Satz 4 DS-GVO).
Page 27 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gem. Art. 22 I, IV DS-GVO und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 14 II lit. g
DS-GVO)
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung
oder ein Profiling.
Page 28 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ENGLISH: Information about the Processing of Personal Data
(Article 13, 14 GDPR)
Dear Sir or Madam,
The personal data of every individual who is in a contractual, pre-contractual or other relationship with
our company deserve special protection. Our goal is to keep our data protection level to a high standard.
Therefore, we are constantly developing our data protection and data security concepts.
Of course, we comply with the statutory provisions on data protection. According to Article 13, 14 GDPR,
controllers meet specific information requirements when collecting personal data. This document fulfills
these obligations.
The terminology of legal regulations is complicated. Unfortunately, the use of legal terms could not be
dispensed with in the preparation of this document. Therefore, we would like to point out that you are
always welcome to contact us for all questions concerning this document, the used terms or formulations.
I. Compliance with the information requirements when personal data is
collected from the data subject (Article 13 GDPR)
A. Identity and the contact details of the controller (Article 13(1) lit. a GDPR)
See above
B. Contact details of the Data Protection Officer (Article 13(1) lit. b GDPR)
See above
C. Purposes of the processing for which the personal data are intended as well as
the legal basis for the processing (Article 13(1) lit. c GDPR)
The purpose of the processing of personal data is the handling of all operations which concern the
controller, customers, prospective customers, business partners or other contractual or pre-contractual
relations between the named groups (in the broadest sense) or legal obligations of the controller.
Art. 6(1) lit. a GDPR serves as the legal basis for processing operations for which we obtain consent for
a specific processing purpose. If the processing of personal data is necessary for the performance of a
Page 29 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
contract to which the data subject is party, as is the case, for example, when processing operations are
necessary for the supply of goods or to provide any other service, the processing is based on Article 6(1)
lit. b GDPR. The same applies to such processing operations which are necessary for carrying out precontractual
measures, for example in the case of inquiries concerning our products or services. Is our
company subject to a legal obligation by which processing of personal data is required, such as for the
fulfillment of tax obligations, the processing is based on Art. 6(1) lit. c GDPR.
In rare cases, the processing of personal data may be necessary to protect the vital interests of the data
subject or of another natural person. This would be the case, for example, if a visitor were injured in our
company and his name, age, health insurance data or other vital information would have to be passed
on to a doctor, hospital or other third party. Then the processing would be based on Art. 6(1) lit. d GDPR.
Finally, processing operations could be based on Article 6(1) lit. f GDPR. This legal basis is used for
processing operations which are not covered by any of the abovementioned legal grounds, if processing
is necessary for the purposes of the legitimate interests pursued by our company or by a third party,
except where such interests are overridden by the interests or fundamental rights and freedoms of the
data subject which require protection of personal data. Such processing operations are particularly
permissible because they have been specifically mentioned by the European legislator. He considered
that a legitimate interest could be assumed if the data subject is a client of the controller (Recital 47
Sentence 2 GDPR).
D. Where the processing is based on Article 6(1) lit. f GDPR the legitimate interests
pursued by the controller or by a third party (Article 13(1) lit. d GDPR)
Where the processing of personal data is based on Article 6(1) lit. f GDPR our legitimate interest is to
carry out our business in favor of the well-being of all our employees and the shareholders.
E. Categories of recipients of the personal data (Article 13(1) lit. e GDPR)
Public authorities
External bodies
Further external bodies
Internal processing
Intragroup processing
Page 30 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Other bodies
F. Recipients in a third country and appropriate or suitable safeguards and the
means by which to obtain a copy of them or where they have been made available
(Article 13(1) lit. f, 46(1), 46 (2) lit. c GDPR)
All companies and branches that are part of our group (hereinafter referred to as “group companies”) that
have their place of business or an office in a third country may belong to the recipients of personal data.
A list of all group companies or recipients can be requested from us.
According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third
country if the controller or processor has provided appropriate safeguards, and on condition that
enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate
safeguards may be provided without requiring any specific authorisation from a supervisory authority by
means of standard contractual clauses, Article 46(2) lit. c GDPR.
The standard contractual clauses of the European Union or other appropriate safeguards are agreed on
with all recipients from third countries before the first transmission of personal data. Consequently, it is
ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for
data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses
from us. The standard contractual clauses are also available in the Official Journal of the European Union
(OJ 2010 / L 39, page 5-18).
G. Period for which the personal data will be stored, or if that is not possible, the
criteria used to determine that period (Article 13(2) lit. a GDPR)
The criteria used to determine the period of storage of personal data is the respective statutory retention
period. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer
necessary for the fulfillment of the contract or the initiation of a contract.
H. Existence of the right to request from the controller access to and rectification or
erasure of personal data or restriction of processing concerning the data subject or to
object to processing as well as the right to data portability (Article 13(2) lit. b GDPR)
All data subjects have the following rights:
Page 31 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Right to access
Each data subject has a right to access the personal data concerning him or her. The right to access
extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in
order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results
from Art. 15 GDPR. The data subject may contact us to exercise the right to access.
Right to rectification
According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller
without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article
16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the
processing, to have incomplete personal data completed, including by means of providing a
supplementary statement. The data subject may contact us to exercise the right of rectification.
Right to erasure (right to be forgotten)
In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This
right can also be exercised by contacting us. At this point, however, we would like to point out that this
right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company
is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after
the expiration of the statutory retention period.
Right to restriction of processing
According to Article 18 GDPR any data subject is entitled to a restriction of processing. The restriction of
processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The
data subject may contact us to exercise the right to restriction of processing.
Right to object
Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise
the right to object.
Right to data portability
Art. 20 GDPR grants the data subject the right to data portability. Under this provision, the data subject
has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal
data concerning him or her, which he or she has provided to a controller, in a structured, commonly used
and machine-readable format and have the right to transmit those data to another controller without
hindrance from the controller to which the personal data have been provided. The data subject may
contact us to exercise the right to data portability.
Page 32 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. The existence of the right to withdraw consent at any time, without affecting the
lawfulness of processing based on consent before its withdrawal, where the processing
is based on Article 6(1) lit. a GDPR or Article 9(2) lit. a GDPR (Article 13(2) lit. c GDPR)
If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has
given consent to the processing of personal data for one or more specific purposes or is it based on
Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of
personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his
or her consent at any time.
Withdraw of consent shall not affect the lawfulness of processing based on consent before its withdrawal,
Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3) Sentence 4
GDPR. Therefore, the withdrawal of consent can always take place in the same way as consent has been
given or in any other way, that is considered by the data subject to be simpler. In todays information
society, probably the simplest way to withdraw consent is a simple email. If the data subject wishes to
withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the data subject
may choose any other way to communicate his or her withdraw of consent to us.
J. Right to lodge a complaint with a supervisory authority (Article 13(2) lit. d, 77(1)
GDPR)
As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a
supervisory authority, Article 13(2) lit. d GDPR. The right to lodge a complaint with a supervisory authority
is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other
administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a
supervisory authority, in particular in the Member State of his or her habitual residence, place of work or
place of the alleged infringement if the data subject considers that the processing of personal data relating
to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a
supervisory authority was only limited by the law of the Union in such way, that it can only be exercised
before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid
double complaints of the same data subject in the same matter. If a data subject wants to lodge a
complaint about us, we therefore asked to contact only a single supervisory authority.
K. Provision of personal data as statutory or contractual requirement; Requirement
necessary to enter into a contract; Obligation of the data subject to provide the personal
data; possible consequences of failure to provide such data (Art. 13(2) lit. e GDPR)
We clarify that the provision of personal data is partly required by law (e.g. tax regulations) or can also
result from contractual provisions (e.g. information on the contractual partner).
Page 33 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Sometimes it may be necessary to conclude a contract that the data subject provides us with personal
data, which must subsequently be processed by us. The data subject is, for example, obliged to provide
us with personal data when our company signs a contract with him or her. The non-provision of the
personal data would have the consequence that the contract with the data subject could not be
concluded.
Before personal data is provided by the data subject, the data subject must contact us. We clarify to the
data subject whether the provision of the personal data is required by law or contract or is necessary for
the conclusion of the contract, whether there is an obligation to provide the personal data and the
consequences of non-provision of the personal data.
L. Existence of automated decision-making, including profiling, referred to in Article
22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic
involved, as well as the significance and the envisaged consequences of such
processing for the data subject (Article 13 (2) lit. f GDPR)
As a responsible company, we do not use automatic decision-making or profiling.
II. Compliance with the information requirements when personal data is not
collected from the data subject (Article 14 GDPR)
A. Identity and the contact details of the controller (Article 14(1) lit. a GDPR)
See above
B. Contact details of the Data Protection Officer (Article 14(1) lit. b GDPR)
See above
C. Purposes of the processing for which the personal data are intended as well as
the legal basis for the processing (Article 14(1) lit. c GDPR)
The purpose of the processing of personal data is the handling of all operations which concern the
controller, customers, prospective customers, business partners or other contractual or pre-contractual
relations between the named groups (in the broadest sense) or legal obligations of the controller.
Page 34 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
If the processing of personal data is necessary for the performance of a contract to which the data subject
is party, as is the case, for example, when processing operations are necessary for the supply of goods
or to provide any other service, the processing is based on Article 6(1) lit. b GDPR. The same applies to
such processing operations which are necessary for carrying out pre-contractual measures, for example
in the case of inquiries concerning our products or services. Is our company subject to a legal obligation
by which processing of personal data is required, such as for the fulfillment of tax obligations, the
processing is based on Art. 6(1) lit. c GDPR.
In rare cases, the processing of personal data may be necessary to protect the vital interests of the data
subject or of another natural person. This would be the case, for example, if a visitor were injured in our
company and his name, age, health insurance data or other vital information would have to be passed
on to a doctor, hospital or other third party. Then the processing would be based on Art. 6(1) lit. d GDPR.
Finally, processing operations could be based on Article 6(1) lit. f GDPR. This legal basis is used for
processing operations which are not covered by any of the abovementioned legal grounds, if processing
is necessary for the purposes of the legitimate interests pursued by our company or by a third party,
except where such interests are overridden by the interests or fundamental rights and freedoms of the
data subject which require protection of personal data. Such processing operations are particularly
permissible because they have been specifically mentioned by the European legislator. He considered
that a legitimate interest could be assumed if the data subject is a client of the controller (Recital 47
Sentence 2 GDPR).
D. Categories of personal data concerned (Article 14(1) lit. d GDPR)
Customer data
Data of potential customers
Data of employees
Data of suppliers
E. Categories of recipients of the personal data (Article 14(1) lit. e GDPR)
Public authorities
External bodies
Page 35 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Further external bodies
Internal processing
Intragroup processing
Other bodies
F. Recipients in a third country and appropriate or suitable safeguards and the
means by which to obtain a copy of them or where they have been made available
(Article 14(1) lit. f, 46(1), 46(2) lit. c GDPR)
All companies and branches that are part of our group (hereinafter referred to as “group companies”) that
have their place of business or an office in a third country may belong to the recipients of personal data.
A list of all group companies can be requested from us.
According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third
country if the controller or processor has provided appropriate safeguards, and on condition that
enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate
safeguards may be provided without requiring any specific authorisation from a supervisory authority by
means of standard data protection clauses, Article 46(2) lit. c GDPR.
The standard contractual clauses of the European Union or other appropriate safeguards are agreed on
with all recipients from third countries before the first transmission of personal data. Consequently, it is
ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for
data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses
from us. The standard contractual clauses are also available in the Official Journal of the European Union
(OJ 2010 / L 39, page 5-18).
G. Period for which the personal data will be stored, or if that is not possible, the
criteria used to determine that period (Article 14(2) lit. a GDPR)
The criteria used to determine the period of storage of personal data is the respective statutory retention
period. After expiration of that period, the corresponding data is routinely deleted, as long as it is no longer
necessary for the fulfillment of the contract or the initiation of a contract.
Page 36 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Notification of the legitimate interests pursued by the controller or by a third party
if the processing is based on Article 6(1) lit. f GDPR (Art. 14(2) lit. b GDPR)
According to Article 6(1) lit. f GDPR, processing shall be lawful only if the processing is necessary for the
purposes of legitimate interests pursued by the controller or by a third party, except where such interests
are overridden by the interests or fundamental rights and freedoms of the data subject which require
protection of personal data. According to Recital 47 Sentence 2 GDPR a legitimate interest could exist
where there is a relevant and appropriate relationship between the data subject and the controller, e.g.
in situations where the data subject is a client of the controller. In all cases in which our company
processes personal data based on Article 6(1) lit. f GDPR, our legitimate interest is in carrying out our
business in favor of the well-being of all our employees and the shareholders.
I. Existence of the right to request from the controller access to and rectification or
erasure of personal data or restriction of processing concerning the data subject and to
object to processing as well as the right to data portability (Article 14(2) lit. c GDPR)
All data subjects have the following rights:
Right to access
Each data subject has a right to access the personal data concerning him or her. The right to access
extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in
order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results
from Art. 15 GDPR. The data subject may contact us to exercise the right to access.
Right to rectification
According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller
without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article
16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the
processing, to have incomplete personal data completed, including by means of providing a
supplementary statement. The data subject may contact us to exercise the right of rectification.
Right to erasure (right to be forgotten)
In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This
right can also be exercised by contacting us. At this point, however, we would like to point out that this
right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company
is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after
the expiration of the statutory retention period.
Page 37 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Right to restriction of processing
According to Article 18 GDPR any data subject is entitled to restriction of processing. The restriction of
processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The
data subject may contact us to exercise the right to restriction of processing.
Right to object
Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise
the right to object.
Right to data portability
Art. 20 GDPR grants the data subject the right to data portability. According to this provision the data
subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the
personal data concerning him or her, which he or she has provided to a controller, in a structured,
commonly used and machine-readable format and have the right to transmit those data to another
controller without hindrance from the controller to which the personal data have been provided. The data
subject may contact us to exercise the right to data portability.
J. The existence of the right to withdraw consent at any time, without affecting the
lawfulness of processing based on consent before its withdrawal, where the processing
is based on Article 6(1) lit. a or Article 9(2) lit. a GDPR (Art. 14(2) lit. d GDPR)
If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has
given consent to the processing of personal data for one or more specific purposes or is it based on
Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of
personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his
or her consent at any time.
Withdrawal of consent shall not affect the lawfulness of processing based on consent before its
withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3)
Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as
consent has been given or in any other way, that is considered by the data subject to be simpler. In todays
information society, probably the simplest way to withdraw consent is a simple email. If the data subject
wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively, the
data subject may choose any other way to communicate his or her withdraw of consent to us.
Page 38 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Right to lodge a complaint with a supervisory authority (Article 14(2) lit. e, 77(1)
GDPR)
As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a
supervisory authority, Article 14(2) lit. e GDPR. The right to lodge a complaint with a supervisory authority
is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other
administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a
supervisory authority, in particular in the Member State of his or her habitual residence, place of work or
place of the alleged infringement if the data subject considers that the processing of personal data relating
to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a
supervisory authority was only limited by the law of the Union in such way, that it can only be exercised
before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid
double complaints of the same data subject in the same matter. If a data subject wants to lodge a
complaint about us, we therefore asked to contact only a single supervisory authority.
L. Source the personal data originate, and if applicable, whether it came from
publicly accessible sources (Article 14(2) lit. f GDPR)
In principle, personal data is collected directly from the data subject or in cooperation with an authority
(e.g. retrieval of data from an official register). Other data on data subjects are derived from transfers of
group companies. In the context of this general information, the naming of the exact sources from which
personal data is originated is either impossible or would involve a disproportionate effort within the
meaning of Art. 14(5) lit. b GDPR. In principle, we do not collect personal data from publicly accessible
sources.
Any data subject can contact us at any time to obtain more detailed information about the exact sources
of the personal data concerning him or her. Where the origin of the personal data cannot be provided to
the data subject because various sources have been used, general information should be provided
(Recital 61 Sentence 4 GDPR).
M. Existence of automated decision-making, including profiling, referred to in Article
22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic
involved, as well as the significance and the envisaged consequences of such
processing for the data subject (Article 14(2) lit. g GDPR)
As a responsible company, we do not use automatic decision-making or profiling.
Page 39 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ENGLISH: Information about the Processing of Personal Data
for Employees and Applicants (Article 13, 14 GDPR)
Dear Sir or Madam,
Personal data of employees and applicants deserves special protection. Our goal is to keep our data
protection level to a high standard. Therefore, we are constantly developing our data protection and data
security concepts.
Of course, we comply with the statutory provisions on data protection. According to Article 13, 14 GDPR,
controllers meet specific information requirements when processing personal data. This document fulfills
these obligations.
The terminology of legal regulation is complicated. Unfortunately, the use of legal terms could not be
dispensed with in the preparation of this document. Therefore, we would like to point out that you are
always welcome to contact us for all questions concerning this document, the terms used or formulations.
I. Compliance with the information requirements when personal data is
collected from the data subject (Article 13 GDPR)
A. Identity and the contact details of the controller (Article 13(1) lit. a GDPR)
See above
B. Contact details of the Data Protection Officer (Article 13(1) lit. b GDPR)
See above
C. Purposes of the processing for which the personal data are intended as well as
the legal basis for the processing (Article 13(1) lit. c GDPR)
For applicant’s data, the purpose of data processing is to conduct an examination of the application during
the recruitment process. For this purpose, we process all data provided by you. Based on the data
submitted during the recruitment process, we will check whether you are invited to a job interview (part
of the selection process). In case of generally suitable candidates, in particular in the context of the job
interview, we process certain other personal data provided by you, which is essential for our selection
Page 40 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
decision. If you are hired by us, applicant’s data will automatically change into employee data. As part of
the recruitment process, we will process other personal data about you that we request from you and that
is required to initiate or fulfill your contract (such as personal identification numbers or tax numbers). For
employee data, the purpose of data processing is the performance of the employment contract or
compliance with other legal provisions applicable to the employment relationship (e.g. tax law) as well as
the use of your personal data to carry out the employment contract concluded with you (e.g. publication
of your name and the contact information within the company or to customers). Employee data is stored
after termination of the employment relationship to fulfill legal retention periods.
The legal basis for data processing is Article 6(1) lit. b GDPR, Article 9(2) lit. b and h GDPR, Article 88
(1) GDPR and national legislation, such as for Germany Section 26 BDSG (Federal Data Protection Act).
D. Categories of recipients of the personal data (Article 13(1) lit. e GDPR)
Public authorities
External bodies
Further external bodies
Internal processing
Intragroup processing
Other bodies
E. Recipients in a third country and appropriate or suitable safeguards and the
means by which to obtain a copy of them or where they have been made available
(Article 13(1) lit. f, 46(1), 46 (2) lit. c GDPR)
All companies and branches that are part of our group (hereinafter referred to as “group companies”) that
have their place of business or an office in a third country may belong to the recipients of personal data.
A list of all group companies or recipients can be requested from us.
According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third
country if the controller or processor has provided appropriate safeguards, and on condition that
enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate
safeguards may be provided without requiring any specific authorisation from a supervisory authority by
means of standard contractual clauses, Article 46(2) lit. c GDPR.
Page 41 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
The standard contractual clauses of the European Union or other appropriate safeguards are agreed on
with all recipients from third countries before the first transmission of personal data. Consequently, it is
ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for
data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses
from us. The standard contractual clauses are also available in the Official Journal of the European Union
(OJ 2010 / L 39, page 5-18).
F. Period for which the personal data will be stored, or if that is not possible, the
criteria used to determine that period (Article 13(2) lit. a GDPR)
The duration of storage of personal data of applicants is 6 months. For employee data the respective
statutory retention period applies. After expiration of that period, the corresponding data is routinely
deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract.
G. Existence of the right to request from the controller access to and rectification or
erasure of personal data or restriction of processing concerning the data subject or to
object to processing as well as the right to data portability (Article 13(2) lit. b GDPR)
All data subjects have the following rights:
Right to access
Each data subject has a right to access the personal data concerning him or her. The right to access
extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in
order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results
from Art. 15 GDPR. The data subject may contact us to exercise the right to access.
Right to rectification
According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller
without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article
16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the
processing, to have incomplete personal data completed, including by means of providing a
supplementary statement. The data subject may contact us to exercise the right of rectification.
Right to erasure (right to be forgotten)
In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This
right can also be exercised by contacting us. At this point, however, we would like to point out that this
right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company
is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after
the expiration of the statutory retention period.
Page 42 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Right to restriction of processing
According to Article 18 GDPR any data subject is entitled to a restriction of processing. The restriction of
processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The
data subject may contact us to exercise the right to restriction of processing.
Right to object
Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise
the right to object.
Right to data portability
Art. 20 GDPR grants the data subject the right to data portability. Under this provision, the data subject
has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the personal
data concerning him or her, which he or she has provided to a controller, in a structured, commonly used
and machine-readable format and have the right to transmit those data to another controller without
hindrance from the controller to which the personal data have been provided. The data subject may
contact us to exercise the right to data portability.
H. The existence of the right to withdraw consent at any time, without affecting the
lawfulness of processing based on consent before its withdrawal, where the processing
is based on Article 6(1) lit. a GDPR or Article 9(2) lit. a GDPR (Article 13(2) lit. c GDPR)
If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has
given consent to the processing of personal data for one or more specific purposes or is it based on
Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of
personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his
or her consent at any time.
Withdrawal of consent shall not affect the lawfulness of processing based on consent before its
withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3)
Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as
consent has been given or in any other way, that is considered by the data subject to be simpler. In
today’s information society, probably the simplest way to withdraw consent is a simple email. If the data
subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively,
the data subject may choose any other way to communicate his or her withdraw of consent to us.
Page 43 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Right to lodge a complaint with a supervisory authority (Article 13(2) lit. d, 77(1)
GDPR)
As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a
supervisory authority, Article 13(2) lit. d GDPR. The right to lodge a complaint with a supervisory authority
is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other
administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a
supervisory authority, in particular in the Member State of his or her habitual residence, place of work or
place of the alleged infringement if the data subject considers that the processing of personal data relating
to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a
supervisory authority was only limited by the law of the Union in such way, that it can only be exercised
before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid
double complaints of the same data subject in the same matter. If a data subject wants to lodge a
complaint about us, we therefore asked to contact only a single supervisory authority.
J. Provision of personal data as statutory or contractual requirement; Requirement
necessary to enter into a contract; Obligation of the data subject to provide the personal
data; possible consequences of failure to provide such data (Art. 13(2) lit. e GDPR)
We clarify that the provision of personal data is partly required by law (e.g. tax regulations) or can also
result from contractual provisions (e.g. information on the contractual partner).
Sometimes it may be necessary to conclude a contract that the data subject provides us with personal
data, which must subsequently be processed by us. The data subject is, for example, obliged to provide
us with personal data when our company signs a contract with him or her. The non-provision of the
personal data would have the consequence that the contract with the data subject could not be
concluded.
Before personal data is provided by the data subject, the data subject must contact us. We clarify to the
data subject whether the provision of the personal data is required by law or contract or is necessary for
the conclusion of the contract, whether there is an obligation to provide the personal data and the
consequences of non-provision of the personal data.
K. Existence of automated decision-making, including profiling, referred to in Article
22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic
involved, as well as the significance and the envisaged consequences of such
processing for the data subject (Article 13 (2) lit. f GDPR)
As a responsible company, we do not use automatic decision-making or profiling.
Page 44 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Compliance with the information requirements when personal data is not
collected from the data subject (Article 14 GDPR)
A. Identity and the contact details of the controller (Article 14(1) lit. a GDPR)
See above
B. Contact details of the Data Protection Officer (Article 14(1) lit. b GDPR)
See above
C. Purposes of the processing for which the personal data are intended as well as
the legal basis for the processing (Article 14(1) lit. c GDPR)
For applicant’s data not collected from the data subject, the purpose of data processing is to conduct an
examination of the application during the recruitment process. For this purpose, we may process data
not collected from you. Based on the data processed during the recruitment process, we will check
whether you are invited to a job interview (part of the selection process). If you are hired by us, applicant’s
data will automatically convert into employee data. For employee data, the purpose of data processing is
the performance of the employment contract or compliance with other legal provisions applicable to the
employment relationship. Employee data is stored after termination of the employment relationship to
fulfill legal retention periods.
The legal basis for data processing is Article 6(1) lit. b and f GDPR, Article 9(2) lit. b and h GDPR, Article
88 (1) GDPR and national legislation, such as for Germany Section 26 BDSG (Federal Data Protection
Act).
D. Categories of personal data concerned (Article 14(1) lit. d GDPR)
Applicant’s data
Employee data
Page 45 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categories of recipients of the personal data (Article 14(1) lit. e GDPR)
Public authorities
External bodies
Further external bodies
Internal processing
Intragroup processing
Other bodies
F. Recipients in a third country and appropriate or suitable safeguards and the
means by which to obtain a copy of them or where they have been made available
(Article 14(1) lit. f, 46(1), 46(2) lit. c GDPR)
All companies and branches that are part of our group (hereinafter referred to as “group companies”) that
have their place of business or an office in a third country may belong to the recipients of personal data.
A list of all group companies or recipients can be requested from us.
According to Article 46(1) GDPR a controller or processor may transfer personal data only to a third
country if the controller or processor has provided appropriate safeguards, and on condition that
enforceable data subject rights and effective legal remedies for data subjects are available. Appropriate
safeguards may be provided without requiring any specific authorisation from a supervisory authority by
means of standard data protection clauses, Article 46(2) lit. c GDPR.
The standard contractual clauses of the European Union or other appropriate safeguards are agreed on
with all recipients from third countries before the first transmission of personal data. Consequently, it is
ensured that appropriate safeguards, enforceable data subject rights and effective legal remedies for
data subjects are guaranteed. Every data subject can obtain a copy of the standard contractual clauses
from us. The standard contractual clauses are also available in the Official Journal of the European Union
(OJ 2010 / L 39, page 5-18).
Page 46 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Period for which the personal data will be stored, or if that is not possible, the
criteria used to determine that period (Article 14(2) lit. a GDPR)
The duration of storage of personal data of applicants is 6 months. For employee data the respective
statutory retention period applies. After expiration of that period, the corresponding data is routinely
deleted, as long as it is no longer necessary for the fulfillment of the contract or the initiation of a contract.
H. Notification of the legitimate interests pursued by the controller or by a third party
if the processing is based on Article 6(1) lit. f GDPR (Art. 14(2) lit. b GDPR)
According to Article 6(1) lit. f GDPR, processing shall be lawful only if the processing is necessary for the
purposes of legitimate interests pursued by the controller or by a third party, except where such interests
are overridden by the interests or fundamental rights and freedoms of the data subject which require
protection of personal data. According to Recital 47 Sentence 2 GDPR a legitimate interest could exist
where there is a relevant and appropriate relationship between the data subject and the controller, e.g.
in situations where the data subject is a client of the controller. In all cases in which our company
processes applicant’s data based on Article 6(1) lit. f GDPR, our legitimate interest is the employment of
suitable personnel and professionals.
I. Existence of the right to request from the controller access to and rectification or
erasure of personal data or restriction of processing concerning the data subject and to
object to processing as well as the right to data portability (Article 14(2) lit. c GDPR)
All data subjects have the following rights:
Right to access
Each data subject has a right to access the personal data concerning him or her. The right to access
extends to all data processed by us. The right can be exercised easily and at reasonable intervals, in
order to be aware of, and verify, the lawfulness of the processing (Recital 63 GDPR). This right results
from Art. 15 GDPR. The data subject may contact us to exercise the right to access.
Right to rectification
According to Article 16 Sentence 1 GDPR the data subject has the right to obtain from the controller
without undue delay the rectification of inaccurate personal data concerning him or her. Moreover, Article
16 Sentence 2 GDPR provides that the data subject is entitled, taking into account the purposes of the
processing, to have incomplete personal data completed, including by means of providing a
supplementary statement. The data subject may contact us to exercise the right of rectification.
Page 47 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Right to erasure (right to be forgotten)
In addition, data subjects are entitled to a right to erasure and to be forgotten under Art. 17 GDPR. This
right can also be exercised by contacting us. At this point, however, we would like to point out that this
right does not apply insofar as the processing is necessary to fulfill a legal obligation to which our company
is subject to, Article 17(3) lit. b GDPR. This means that we can approve an application to erase only after
the expiration of the statutory retention period.
Right to restriction of processing
According to Article 18 GDPR any data subject is entitled to restriction of processing. The restriction of
processing may be demanded if one of the conditions set out in Article 18(1) lit. a-d GDPR is fulfilled. The
data subject may contact us to exercise the right to restriction of processing.
Right to object
Furthermore, Art. 21 GDPR guarantees the right to object. The data subject may contact us to exercise
the right to object.
Right to data portability
Art. 20 GDPR grants the data subject the right to data portability. According to this provision the data
subject has under the conditions laid down in Article 20(1) lit. a and b GDPR the right to receive the
personal data concerning him or her, which he or she has provided to a controller, in a structured,
commonly used and machine-readable format and have the right to transmit those data to another
controller without hindrance from the controller to which the personal data have been provided. The data
subject may contact us to exercise the right to data portability.
J. The existence of the right to withdraw consent at any time, without affecting the
lawfulness of processing based on consent before its withdrawal, where the processing
is based on Article 6(1) lit. a or Article 9(2) lit. a GDPR (Art. 14(2) lit. d GDPR)
If processing of personal data is based on Art. 6(1) lit. a GDPR, which is the case, if the data subject has
given consent to the processing of personal data for one or more specific purposes or is it based on
Article 9(2) lit. a GDPR, which regulates the explicit consent to the processing of special categories of
personal data, the data subject has according to Article 7(3) Sentence 1 GDPR the right to withdraw his
or her consent at any time.
Withdrawal of consent shall not affect the lawfulness of processing based on consent before its
withdrawal, Article 7(3) Sentence 2 GDPR. It shall be as easy to withdraw as to give consent, Art. 7(3)
Sentence 4 GDPR. Therefore, the withdrawal of consent can always take place in the same way as
consent has been given or in any other way, that is considered by the data subject to be simpler. In
today’s information society, probably the simplest way to withdraw consent is a simple email. If the data
Page 48 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
subject wishes to withdraw his or her consent granted to us, a simple email to us is sufficient. Alternatively,
the data subject may choose any other way to communicate his or her withdraw of consent to us.
K. Right to lodge a complaint with a supervisory authority (Article 14(2) lit. e, 77(1)
GDPR)
As the controller, we are obliged to notify the data subject of the right to lodge a complaint with a
supervisory authority, Article 14(2) lit. e GDPR. The right to lodge a complaint with a supervisory authority
is regulated by Article 77(1) GDPR. According to this provision, without prejudice to any other
administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a
supervisory authority, in particular in the Member State of his or her habitual residence, place of work or
place of the alleged infringement if the data subject considers that the processing of personal data relating
to him or her infringes the General Data Protection Regulation. The right to lodge a complaint with a
supervisory authority was only limited by the law of the Union in such way, that it can only be exercised
before a single supervisory authority (Recital 141 Sentence 1 GDPR). This rule is intended to avoid
double complaints of the same data subject in the same matter. If a data subject wants to lodge a
complaint about us, we therefore asked to contact only a single supervisory authority.
L. Source the personal data originate, and if applicable, whether it came from
publicly accessible sources (Article 14(2) lit. f GDPR)
In principle, personal data is collected directly from the data subject or in cooperation with an authority
(e.g. retrieval of data from an official register). Other data on data subjects are derived from transfers of
group companies. In the context of this general information, the naming of the exact sources from which
personal data is originated is either impossible or would involve a disproportionate effort within the
meaning of Art. 14(5) lit. b GDPR. In principle, we do not collect personal data from publicly accessible
sources.
Any data subject can contact us at any time to obtain more detailed information about the exact sources
of the personal data concerning him or her. Where the origin of the personal data cannot be provided to
the data subject because various sources have been used, general information should be provided
(Recital 61 Sentence 4 GDPR).
Page 49 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Existence of automated decision-making, including profiling, referred to in Article
22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic
involved, as well as the significance and the envisaged consequences of such
processing for the data subject (Article 14(2) lit. g GDPR)
As a responsible company, we do not use automatic decision-making or profiling.
Page 50 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
SPANISH: Información sobre el tratamiento de datos
personales (Artículos 13, 14 RGPD)
Estimado señor o señora:
Los datos personales de toda persona que se encuentre en una relación contractual, precontractual o
de otro tipo con nuestra empresa merecen una protección especial. Nuestro objetivo es mantener
nuestro nivel de protección de datos a un alto nivel. Por lo tanto, estamos desarrollando constantemente
nuestros conceptos de protección y seguridad de datos.
Por supuesto, cumplimos con las disposiciones legales sobre protección de datos. De acuerdo con los
artículos 13 y 14 del RGPD, las empresas cumplen requisitos específicos de información al recoger datos
personales. Este documento cumple con estas obligaciones.
La terminología de las normas legales es complicada. Desafortunadamente, no se pudo prescindir del
uso de términos legales en la preparación de este documento. Por lo tanto, nos gustaría señalar que
usted es siempre bienvenido a ponerse en contacto con nuestro delegado de protección de datos para
todas las preguntas relativas a este documento, los términos utilizados o formulaciones.
I. Cumplimiento de los requisitos de información cuando se recogen
datos personales del interesado (artículo 13 del RGPD)
A. Identidad y datos de contacto del responsable (artículo 13.1 lit. a RGPD)
Véase arriba
B. Datos de contacto del delegado de protección de datos (artículo 13(1) lit. b
RGPD)
Véase arriba
C. Fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento (artículo 13(1) lit. c RGPD)
Page 51 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
La finalidad del tratamiento de datos personales es el tratamiento de todas las operaciones que afecten
al responsable del tratamiento, a los clientes, a los posibles clientes, a los socios comerciales o a otras
relaciones contractuales o precontractuales entre los grupos mencionados (en el sentido más amplio) o
a las obligaciones legales del responsable del tratamiento.
Art. 6(1) lit. a RGPD sirve como base legal para operaciones de tratamiento para las cuales obtenemos
el consentimiento para un propósito específico de tratamiento. Si el tratamiento de datos personales es
necesario para la ejecución de un contrato en el que el interesado es parte, como es el caso, por ejemplo,
cuando las operaciones de tratamiento son necesarias para el suministro de bienes o para prestar
cualquier otro servicio, el tratamiento se basa en el artículo 6(1) lit. b RGPD. Lo mismo se aplica a los
tratamientos necesarios para la realización de medidas precontractuales, por ejemplo, en el caso de
consultas sobre nuestros productos o servicios. Nuestra empresa está sujeta a una obligación legal por
la que se requiere el tratamiento de datos personales, como por ejemplo para el cumplimiento de
obligaciones fiscales, el tratamiento se basa en el Art. 6(1) lit. c RGPD.
En raras ocasiones, el tratamiento de datos personales puede ser necesario para proteger los intereses
vitales del interesado o de otra persona física. Este sería el caso, por ejemplo, si un visitante sufriera
una lesión en nuestra empresa y su nombre, edad, datos del seguro médico u otra información vital
tuviera que ser transmitida a un médico, hospital u otro tercero. Entonces el tratamiento se basaría en el
Art. 6(1) lit. d RGPD.
Por último, las operaciones de tratamiento podrían basarse en el artículo 6(1) lit. f del RGPD. Este
fundamento jurídico se utiliza para operaciones de tratamiento que no están cubiertas por ninguno de
los fundamentos jurídicos antes mencionados, si el tratamiento es necesario para los fines de los
intereses legítimos perseguidos por nuestra empresa o por un tercero, excepto cuando dichos intereses
estén superados por los intereses o los derechos y libertades fundamentales del interesado que
requieren la protección de los datos personales. Estos tratamientos son especialmente admisibles
porque el legislador europeo los ha mencionado expresamente. Consideraba que se podía presumir un
interés legítimo si el interesado era cliente del responsable del tratamiento (segunda frase del
considerando 47 del RGPD).
D. Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero (artículo 13, apartado 1, letra d), del RGPD)
Cuando el tratamiento de datos personales se basa en el artículo 6(1) lit. f RGPD, nuestro interés legítimo
es llevar a cabo nuestro negocio en favor del bienestar de todos nuestros empleados y accionistas.
Page 52 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categorías de destinatarios de los datos personales (artículo 13, apartado 1, lit.
e RGPD)
Autoridades públicas
Organismos externos
Otros organismos externos
Tratamiento interno
Tratamiento dentro del grupo
Otros organismos
F. Destinatarios en un tercer país y las garantías adecuadas o apropiadas y los
medios para obtener una copia de estas o al hecho de que se hayan prestado (artículo
13, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD)
Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas
“empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los
destinatarios de los datos personales.
De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un
responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un
tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías
adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso
efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna
autorización específica de una autoridad de control por medio de cláusulas contractuales estándar,
artículo 46(2) lit. c RGPD.
Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros
países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías
adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados
que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden
obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de
datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea
(DO 2010 / L 39, pp. 5-18).
Page 53 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo (artículo 13(2) lit. a RGPD)
El criterio utilizado para determinar el plazo de portabilidad de los datos personales es el plazo de
conservación legal respectivo. Una vez transcurrido dicho plazo, los datos correspondientes se borran
de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación
de un contrato.
H. La existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos (artículo 13, apartado 2, letra b), del RGPD)
Todos los interesados tienen los siguientes derechos:
Derecho de acceso
Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de
acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y
a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD).
Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado
de protección de datos para ejercer el derecho de acceso.
Derecho a rectificación
De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del
responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos
que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene
derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales
incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en
contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación.
Derecho a la supresión (derecho al olvido)
Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este
derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos.
En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el
tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el
artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar
sólo después de la expiración del plazo de retención legal.
Page 54 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Derecho a la limitación de tratamiento
De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de
tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas
en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro
delegado de protección de datos para ejercer el derecho a la limitación de tratamiento.
Derecho de oposición
Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto
con nuestro delegado de protección de datos para ejercer el derecho de oposición.
Derecho a la portabilidad de datos
El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta
disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b),
del RGPD, tiene derecho a recibir los datos personales que le conciernan a él o ella, que él o ella haya
facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible
por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte
del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede
ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la
portabilidad de datos.
I. La existencia del derecho a retirar el consentimiento en cualquier momento, sin
que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su
retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a) (artículo 13, apartado 2, letra c), del RGPD)
Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado
ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se
basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías
especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD,
el derecho de retirar su consentimiento en cualquier momento.
La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento
antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento,
Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar
de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado
considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla
de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el
consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de
Page 55 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de
comunicarnos la revocación de su consentimiento.
J. Derecho a presentar una reclamación ante una autoridad de control (letra d) del
apartado 2 del artículo 13 y apartado 1 del artículo 77 del RGPD)
Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar
una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una
reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con
arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado
tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado
miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado
considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General
de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo
estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única
autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar
la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una
reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control.
K. La comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no facilitar
tales datos (Art. 13(2) lit. e RGPD)
Aclaramos que el suministro de datos personales es requerido en parte por la ley (p.ej. regulaciones
fiscales) o también puede resultar de disposiciones contractuales (p.ej. información sobre la parte
contratante).
A veces puede ser necesario celebrar un contrato en el que el interesado nos proporciona datos
personales, que deben ser procesados posteriormente por nosotros. Por ejemplo, el interesado está
obligado a facilitarnos datos personales cuando nuestra empresa firma un contrato con él. La no
comunicación de los datos personales tendría como consecuencia que no se pudiera celebrar el contrato
con el interesado.
Antes de que el interesado facilite datos personales, el interesado deberá ponerse en contacto con
nuestro delegado de protección de datos. Nuestro delegado de protección de datos aclara al interesado
si el suministro de los datos personales es requerido por la ley o el contrato o si es necesario para la
Page 56 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
conclusión del contrato, si existe una obligación de proporcionar los datos personales y las
consecuencias de la no entrega de los datos personales.
L. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado (artículo 13, apartado 2, letra f), del
RGPD)
Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles
automáticos.
II. Cumplimiento de los requisitos de información cuando no se reciben datos
personales del interesado (artículo 14 del RGPD)
A. La identidad y los datos de contacto del responsable y, en su caso, de su
representante (artículo 14.1 lit. a RGPD)
Véase arriba
B. Datos de contacto del delegado de protección de datos, en su caso (artículo
14(1) lit. b RGPD)
Véase arriba
C. Los fines del tratamiento a que se destinan los datos personales, así como la
base jurídica del tratamiento (artículo 14(1) lit. c RGPD)
La finalidad del tratamiento de datos personales es el tratamiento de todas las operaciones que afecten
al responsable del tratamiento, a los clientes, a los posibles clientes, a los socios comerciales o a otras
relaciones contractuales o precontractuales entre los grupos mencionados (en el sentido más amplio) o
a las obligaciones legales del responsable del tratamiento.
Si el tratamiento de datos personales es necesario para la ejecución de un contrato en el que el
interesado es parte, como es el caso, por ejemplo, cuando las operaciones de tratamiento son
necesarias para el suministro de bienes o para prestar cualquier otro servicio, el tratamiento se basa en
el artículo 6(1) lit. b RGPD. Lo mismo se aplica a los tratamientos necesarios para la realización de
Page 57 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
medidas precontractuales, por ejemplo, en el caso de consultas sobre nuestros productos o servicios.
Nuestra empresa está sujeta a una obligación legal por la que se requiere el tratamiento de datos
personales, como por ejemplo para el cumplimiento de obligaciones fiscales, el tratamiento se basa en
el Art. 6(1) lit. c RGPD.
En raras ocasiones, el tratamiento de datos personales puede ser necesario para proteger los intereses
vitales del interesado o de otra persona física. Este sería el caso, por ejemplo, si un visitante sufriera
una lesión en nuestra empresa y su nombre, edad, datos del seguro médico u otra información vital
tuviera que ser transmitida a un médico, hospital u otro tercero. Entonces el tratamiento se basaría en el
Art. 6(1) lit. d RGPD.
Por último, las operaciones de tratamiento podrían basarse en el artículo 6(1) lit. f del RGPD. Este
fundamento jurídico se utiliza para operaciones de tratamiento que no están cubiertas por ninguno de
los fundamentos jurídicos antes mencionados, si el tratamiento es necesario para los fines de los
intereses legítimos perseguidos por nuestra empresa o por un tercero, excepto cuando dichos intereses
estén superados por los intereses o los derechos y libertades fundamentales del interesado que
requieren la protección de los datos personales. Estos tratamientos son especialmente admisibles
porque el legislador europeo los ha mencionado expresamente. Consideraba que se podía presumir un
interés legítimo si el interesado era cliente del responsable del tratamiento (segunda frase del
considerando 47 del RGPD).
D. Categorías de datos personales de que se trate (artículo 14, apartado 1, letra d),
del RGPD)
Datos del cliente
Datos de clientes potenciales
Datos de los empleados
Datos de los proveedores
E. Destinatarios o las categorías de destinatarios de los datos personales, en su
caso (artículo 14.1 lit. e RGPD)
Autoridades públicas
Page 58 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Organismos externos
Otros organismos externos
Tratamiento interno
Tratamiento dentro del grupo
Otros organismos
F. Destinatarios en un tercer país u organización internacional y las garantías
adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de
que se hayan prestado (artículo 14, apartado 1, letra f), artículo 46, apartados 1 y 2,
letra c), del RGPD)
Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas
“empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los
destinatarios de los datos personales.
De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un
responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un
tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías
adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso
efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna
autorización específica de una autoridad de control por medio de cláusulas contractuales estándar,
artículo 46(2) lit. c RGPD.
Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros
países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías
adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados
que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden
obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de
datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea
(DO 2010 / L 39, pp. 5-18).
G. Plazo durante el cual se conservarán los datos personales o, cuando eso no sea
posible, los criterios utilizados para determinar este plazo (artículo 14(2) lit. a RGPD)
El criterio utilizado para determinar el plazo de portabilidad de los datos personales es el plazo de
conservación legal respectivo. Una vez transcurrido dicho plazo, los datos correspondientes se borran
Page 59 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
de forma rutinaria, siempre que ya no sean necesarios para el cumplimiento del contrato o la iniciación
de un contrato.
H. Notificación de los intereses legítimos del responsable del tratamiento o de un
tercero si el tratamiento se basa en el artículo 6, apartado 1, letra f), del RGPD (Art.
14(2) lit. b RGPD)
De conformidad con el artículo 6, apartado 1, letra f), del RGPD, el tratamiento sólo será lícito si el
tratamiento es necesario para satisfacer intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, salvo cuando los intereses o los derechos y libertades fundamentales del
interesado prevalezcan sobre los intereses o libertades fundamentales del interesado que requieran la
protección de datos personales. Según la segunda frase del considerando 47 del RGPD, podría existir
un interés legítimo cuando exista una relación pertinente y adecuada entre el interesado y el responsable
del tratamiento, por ejemplo, en situaciones en las que el interesado sea cliente del responsable del
tratamiento. En todos los casos en los que nuestra empresa trata datos personales basados en el artículo
6(1) lit. f del RGPD, nuestro interés legítimo es llevar a cabo nuestro negocio a favor del bienestar de
todos nuestros empleados y accionistas.
I. La existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos (artículo 14, apartado 2, letra c), del RGPD)
Todos los interesados tienen los siguientes derechos:
Derecho de acceso
Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de
acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y
a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD).
Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado
de protección de datos para ejercer el derecho de acceso.
Derecho a rectificación
De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del
responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos
que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene
derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales
Page 60 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en
contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación.
Derecho a la supresión (derecho al olvido)
Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este
derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos.
En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el
tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el
artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar
sólo después de la expiración del plazo de retención legal.
Derecho a la limitación de tratamiento
De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de
tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas
en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro
delegado de protección de datos para ejercer el derecho a la limitación de tratamiento.
Derecho de oposición
Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto
con nuestro delegado de protección de datos para ejercer el derecho de oposición.
Derecho a la portabilidad de datos
El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta
disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b),
del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya
facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible
por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte
del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede
ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la
portabilidad de datos.
J. La existencia del derecho a retirar el consentimiento en cualquier momento, sin
que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su
retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a) (Art. 14(2) lit. d RGPD)
Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado
ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se
basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías
Page 61 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD,
el derecho de retirar su consentimiento en cualquier momento.
La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento
antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento,
Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar
de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado
considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla
de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el
consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de
protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de
comunicarnos la revocación de su consentimiento.
K. Derecho a presentar una reclamación ante una autoridad de control (artículo 14,
apartado 2, letra e), y artículo 77, apartado 1, del RGPD)
Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar
una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una
reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con
arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado
tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado
miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado
considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General
de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo
estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única
autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar
la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una
reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control.
L. Fuente de la que proceden los datos personales y, en su caso, si proceden de
fuentes de acceso público (artículo 14(2) lit. f RGPD)
En principio, los datos personales se recogen directamente del interesado o en cooperación con una
autoridad (por ejemplo, extracción de datos de un registro oficial). Otros datos sobre los interesados se
derivan de las transmisiones de empresas del grupo. En el contexto de esta información general, la
indicación de las fuentes exactas de las que proceden los datos personales es imposible o supondría un
esfuerzo desproporcionado en el sentido del artículo. 14(5) lit. b RGPD. En principio, no recogemos datos
personales de fuentes de acceso público.
Page 62 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Cualquier interesado puede ponerse en contacto con nuestro delegado de protección de datos en
cualquier momento para obtener información más detallada sobre las fuentes exactas de los datos
personales que le conciernen. En los casos en que no pueda facilitarse al interesado el origen de los
datos personales porque se hayan utilizado varias fuentes, deberá facilitarse información general (cuarta
frase del considerando 61 del RGPD).
M. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado (artículo 14, apartado 2, letra g), del
RGPD)
Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles
automáticos.
Page 63 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
SPANISH: Información sobre el tratamiento de datos
personales de los empleados y solicitantes (artículo 13, 14
del RGPD)
Estimado señor o señora:
Los datos personales de empleados y solicitantes merecen una protección especial. Nuestro objetivo es
mantener nuestro nivel de protección de datos en los más altos estándares. Por lo tanto, estamos
desarrollando constantemente nuestros conceptos de protección y seguridad de datos.
Por supuesto, cumplimos con las disposiciones legales sobre protección de datos. De acuerdo con los
artículos 13 y 14 del RGPD, los responsables del tratamiento cumplen requisitos específicos de
información al tratar datos personales. Este documento cumple con estas obligaciones.
La terminología de las normas legales es complicada. Desafortunadamente, no se pudo prescindir del
uso de términos legales en la preparación de este documento. Por lo tanto, nos gustaría señalar que
usted es siempre bienvenido a ponerse en contacto con nosotros para todas las preguntas relativas a
este documento, los términos utilizados o formulaciones.
I. Cumplimiento de los requisitos de información cuando se recogen
datos personales de el interesado (artículo 13 del RGPD)
A. Identidad y datos de contacto del responsable (artículo 13.1 lit. a RGPD)
Véase arriba
B. Datos de contacto del delegado de protección de datos (artículo 13(1) lit. b
RGPD)
Véase arriba
C. Finalidades del tratamiento al que se destinan los datos personales, así como el
fundamento jurídico del tratamiento (artículo 13, apartado 1, letra c), del RGPD)
Para los datos de solicitantes, el fin del tratamiento de datos es realizar un examen de la solicitud durante
el proceso de selección. Por este motivo, tratamos todos los datos que nos proporcione. Basándonos en
Page 64 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
los datos suministrados durante el proceso de selección, comprobaremos si se le invita a una entrevista
de trabajo (parte del proceso de selección). En caso de candidatos generalmente aptos, en particular en
el contexto de la entrevista de trabajo, trataremos otro tipo determinado de datos personales que usted
nos proporcione, algo esencial para tomar una decisión en el proceso de selección. Si nosotros le
contratamos, los datos de solicitante cambiarán automáticamente a datos de empleado. Como parte del
proceso de selección, trataremos otros datos personales de usted que le solicitemos y que son
necesarios para iniciar o cumplir con su contrato (como números de identidad personal o números
fiscales). En relación a los datos de empleados, el fin del tratamiento de datos es la ejecución del contrato
de trabajo o el cumplimiento de otras obligaciones legales aplicables a la relación laboral (p. ej.,
legislación tributaria) así como el uso de sus datos personales para llevar a cabo el contrato de trabajo
celebrado con usted (p. ej., la publicación de su nombre e información de contacto en la empresa o a
disposición de los usuarios). Los datos de empleados se almacenan una vez concluida la relación laboral
para cumplir con los periodos legales de conservación.
La base jurídica para el tratamiento de datos es el artículo 6, apartado 1, letra b), del RGPD, artículo 9,
apartado 2, letras b) y h), del RGPD, artículo 88, apartado 1 del RGPD y la legislación nacional, tal como
el artículo 26 de la BDSG (Ley Federal sobre Protección de Datos alemana).
D. Categorías de destinatarios de los datos personales (artículo 13, apartado 1, lit.
e RGPD)
Autoridades públicas
Organismos externos
Otros organismos externos
Tratamiento interno
Tratamiento dentro del grupo
Otros organismos
Page 65 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Destinatarios en un tercer país y las garantías adecuadas o apropiadas y los
medios para obtener una copia de estas o al hecho de que se hayan prestado (artículo
13, apartado 1, letra f), artículo 46, apartados 1 y 2, letra c), del RGPD)
Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas
“empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los
destinatarios de los datos personales.
De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un
responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un
tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías
adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso
efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna
autorización específica de una autoridad de control por medio de cláusulas contractuales estándar,
artículo 46(2) lit. c RGPD.
Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros
países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías
adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados
que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden
obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de
datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea
(DO 2010 / L 39, pp. 5-18).
F. Plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo (artículo 13, apartado 2, letra
a), del RGPD).
La duración del almacenamiento de datos personales de los solicitantes es de 6 meses. Se aplica el
correspondiente periodo legal de conservación para los datos de empleados. Una vez transcurrido dicho
plazo, los datos correspondientes se borran de forma rutinaria, siempre que ya no sean necesarios para
el cumplimiento del contrato o la iniciación de un contrato.
G. La existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos (artículo 13, apartado 2, letra b), del RGPD)
Todos los interesados tienen los siguientes derechos:
Page 66 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Derecho de acceso
Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de
acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y
a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD).
Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado
de protección de datos para ejercer el derecho de acceso.
Derecho a rectificación
De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del
responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos
que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene
derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales
incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en
contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación.
Derecho a la supresión (derecho al olvido)
Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este
derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos.
En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el
tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el
artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar
sólo después de la expiración del plazo de retención legal.
Derecho a la limitación de tratamiento
De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de
tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas
en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro
delegado de protección de datos para ejercer el derecho a la limitación de tratamiento.
Derecho de oposición
Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto
con nuestro delegado de protección de datos para ejercer el derecho de oposición.
Derecho a la portabilidad de datos
El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta
disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b),
del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya
facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible
por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte
del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede
Page 67 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la
portabilidad de datos.
H. La existencia del derecho a retirar el consentimiento en cualquier momento, sin
que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su
retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a) (artículo 13, apartado 2, letra c), del RGPD)
Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado
ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se
basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías
especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD,
el derecho de retirar su consentimiento en cualquier momento.
La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento
antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento,
Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar
de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado
considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla
de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el
consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de
protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de
comunicarnos la revocación de su consentimiento.
I. Derecho a presentar una reclamación ante una autoridad de control (letra d) del
apartado 2 del artículo 13 y apartado 1 del artículo 77 del RGPD)
Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar
una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una
reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con
arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado
tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado
miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado
considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General
de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo
estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única
Page 68 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar
la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una
reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control.
J. La comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no facilitar
tales datos (Art. 13(2) lit. e RGPD)
Aclaramos que el suministro de datos personales es requerido en parte por la ley (p.ej. regulaciones
fiscales) o también puede resultar de disposiciones contractuales (p.ej. información sobre la parte
contratante).
A veces puede ser necesario celebrar un contrato en el que el interesado nos proporciona datos
personales, que deben ser procesados posteriormente por nosotros. Por ejemplo, el interesado está
obligado a facilitarnos datos personales cuando nuestra empresa firma un contrato con él. La no
comunicación de los datos personales tendría como consecuencia que no se pudiera celebrar el contrato
con el interesado.
Antes de que el interesado facilite datos personales, el interesado deberá ponerse en contacto con
nuestro delegado de protección de datos. Nuestro delegado de protección de datos aclara al interesado
si el suministro de los datos personales es requerido por la ley o el contrato o si es necesario para la
conclusión del contrato, si existe una obligación de proporcionar los datos personales y las
consecuencias de la no entrega de los datos personales.
K. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado (artículo 13, apartado 2, letra f), del
RGPD)
Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles
automáticos.
Page 69 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Cumplimiento de los requisitos de información cuando no se reciben datos
personales del interesado (artículo 14 del RGPD)
A. La identidad y los datos de contacto del responsable y, en su caso, de su
representante (artículo 14.1 lit. a RGPD)
Véase arriba
B. Datos de contacto del delegado de protección de datos, en su caso (artículo
14(1) lit. b RGPD)
Véase arriba
C. Finalidades del tratamiento al que se destinan los datos personales, así como el
fundamento jurídico del tratamiento (artículo 14, apartado 1, letra c), del RGPD)
Si los datos de los solicitantes no se obtienen de los interesados, el fin del tratamiento de datos es
realizar un examen de la solicitud durante el proceso de selección. Para tal fin, podremos tratar datos no
obtenidos de usted. Basándonos en los datos tratados durante el proceso de selección, comprobaremos
si se le invita a una entrevista de trabajo (parte del proceso de selección). Si nosotros le contratamos,
los datos de solicitante se convertirán automáticamente en datos de empleado. Para los datos de
empleados, el fin del tratamiento de los datos es la ejecución del contrato de empleo o el cumplimiento
de otras obligaciones legales aplicables a la relación laboral. Los datos de empleados se almacenan una
vez concluida la relación laboral para cumplir con los periodos legales de conservación.
La base jurídica para el tratamiento de datos es el artículo 6, apartado 1, letra b) y f), del RGPD, artículo
9, apartado 2, letras b) y h), del RGPD, artículo 88, apartado 1 del RGPD y la legislación nacional, tal
como el artículo 26 de la BDSG (Ley Federal sobre Protección de Datos alemana).
D. Categorías de datos personales de que se trate (artículo 14, apartado 1, letra d),
del RGPD)
Datos de solicitantes
Datos de empleados
Page 70 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categorías de destinatarios de los datos personales (artículo 14, apartado 1, lit.
e RGPD)
Autoridades públicas
Organismos externos
Otros organismos externos
Tratamiento interno
Tratamiento dentro del grupo
Otros organismos
F. Destinatarios en un tercer país u organización internacional y las garantías
adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de
que se hayan prestado (artículo 14, apartado 1, letra f), artículo 46, apartados 1 y 2,
letra c), del RGPD)
Todas las empresas y sucursales que forman parte de nuestro grupo (en lo sucesivo denominadas
“empresas del grupo”) que tienen su sede o una oficina en un tercer país pueden pertenecer a los
destinatarios de los datos personales.
De conformidad con el artículo 46, apartado 1, del Reglamento de protección de datos (RGPD), un
responsable del tratamiento o un encargado del tratamiento sólo puede transferir datos personales a un
tercer país si el responsable del tratamiento o el encargado del tratamiento ha ofrecido las garantías
adecuadas, y a condición de que se disponga de derechos exigibles a los interesados de vías de recurso
efectivas para los interesados. Se pueden proporcionar garantías apropiadas sin requerir ninguna
autorización específica de una autoridad de control por medio de cláusulas contractuales estándar,
artículo 46(2) lit. c RGPD.
Las cláusulas contractuales de la Unión Europea se acuerdan con todos los destinatarios de terceros
países antes de la primera transmisión de datos personales. En consecuencia, se aseguran las garantías
adecuadas, los derechos exigibles de los interesados los recursos legales efectivos para los interesados
que se derivan de las cláusulas contractuales estándares de la UE. Todos los interesados pueden
obtener una copia de las cláusulas contractuales tipo a través de nuestro delegado de protección de
datos. Las cláusulas contractuales tipo también están disponibles en el Diario Oficial de la Unión Europea
(DO 2010 / L 39, pp. 5-18).
Page 71 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Plazo durante el cual se conservarán los datos personales o, cuando eso no sea
posible, los criterios utilizados para determinar este plazo (artículo 14, apartado 2, letra
a), del RGPD)
La duración del almacenamiento de datos personales de los solicitantes es de 6 meses. Se aplica el
correspondiente periodo legal de conservación para los datos de empleados. Una vez transcurrido dicho
plazo, los datos correspondientes se borran de forma rutinaria, siempre que ya no sean necesarios para
el cumplimiento del contrato o la iniciación de un contrato.
H. Notificación de los intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero si el tratamiento se basa en el artículo 6, apartado 1, letra
f), del RGPD (artículo 14, apartado 2, letra b), del RGPD)
De conformidad con el artículo 6, apartado 1, letra f), del RGPD, el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño. Según la segunda frase del considerando 47 del RGPD, podría existir un interés
legítimo cuando exista una relación pertinente y adecuada entre el interesado y el responsable del
tratamiento, por ejemplo, en situaciones en las que el interesado sea cliente del responsable del
tratamiento. En todos los casos en los que nuestra empresa trate datos de solicitantes en base al artículo
6, apartado 1, letra f), del RGPD, nuestro interés legítimo es el empleo de profesionales y personal aptos.
I. La existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos (artículo 14, apartado 2, letra c), del RGPD)
Todos los interesados tienen los siguientes derechos:
Derecho de acceso
Cada interesado tiene derecho a acceder a los datos personales que le conciernen. El derecho de
acceso se extiende a todos los datos procesados por nosotros. El derecho puede ejercerse fácilmente y
a intervalos razonables para conocer y verificar la legalidad del tratamiento (considerando 63 del RGPD).
Este derecho resulta del Art. 15 RGPD. El interesado puede ponerse en contacto con nuestro delegado
de protección de datos para ejercer el derecho de acceso.
Page 72 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Derecho a rectificación
De conformidad con la primera frase del artículo 16 del RGPD, el interesado tiene derecho a obtener del
responsable del tratamiento, sin demora injustificada, la rectificación de los datos personales inexactos
que le conciernan. Además, la segunda frase del artículo 16 del RGPD establece que el interesado tiene
derecho, teniendo en cuenta los fines del tratamiento, a que se completen los datos personales
incompletos, incluso mediante una declaración complementaria. El interesado puede ponerse en
contacto con nuestro delegado de protección de datos para ejercer el derecho de rectificación.
Derecho a la supresión (derecho al olvido)
Además, los interesados tienen derecho a ser borrados y olvidados en virtud del Art. 17 RGPD. Este
derecho también puede ejercerse poniéndose en contacto con nuestro delegado de protección de datos.
En este punto, sin embargo, nos gustaría señalar que este derecho no se aplica en la medida en que el
tratamiento es necesario para cumplir con una obligación legal a la que nuestra empresa está sujeta, el
artículo 17, apartado 3, letra b). RGPD. Esto significa que podemos aprobar una solicitud para borrar
sólo después de la expiración del plazo de retención legal.
Derecho a la limitación de tratamiento
De conformidad con el artículo 18 del RGPD, todo interesado tiene derecho a una limitación de
tratamiento. La limitación de tratamiento podrá exigirse si se cumple una de las condiciones establecidas
en el artículo 18, apartado 1, letra a-d, del RGPD. El interesado puede ponerse en contacto con nuestro
delegado de protección de datos para ejercer el derecho a la limitación de tratamiento.
Derecho de oposición
Además, el Art. 21 del RGPD garantiza el derecho a objetar. El interesado puede ponerse en contacto
con nuestro delegado de protección de datos para ejercer el derecho de oposición.
Derecho a la portabilidad de datos
El Art. 20 del RGPD concede al interesado el derecho a la portabilidad de datos. En virtud de esta
disposición, el interesado, en las condiciones establecidas en el artículo 20, apartado 1, letras a) y b),
del RGPD, tiene derecho a recibir los datos personales que le conciernan a el o ella, que el o ella haya
facilitado a un responsable del tratamiento, en un formato estructurado, comúnmente utilizado y legible
por máquinas, y tiene derecho a transmitirlos a otro responsable del tratamiento sin obstáculos por parte
del responsable del tratamiento al que se hayan facilitado los datos personales. El interesado puede
ponerse en contacto con nuestro delegado de protección de datos para ejercer el derecho a la
portabilidad de datos.
Page 73 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. La existencia del derecho a retirar el consentimiento en cualquier momento, sin
que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su
retirada, cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a) (Art. 14(2) lit. d RGPD)
Si el tratamiento de datos personales se basa en el Art. 6(1) lit. del RGPD, que es el caso, si el interesado
ha dado su consentimiento al tratamiento de datos personales para uno o más fines específicos o si se
basa en el artículo 9(2) lit. del RGPD, que regula el consentimiento explícito al tratamiento de categorías
especiales de datos personales, el interesado tiene, de acuerdo con el artículo 7(3) frase 1 del RGPD,
el derecho de retirar su consentimiento en cualquier momento.
La revocación del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento
antes de su revocación, artículo 7(3) frase 2 RGPD. Se reserva el derecho de retirar su consentimiento,
Art. 7(3) Sentencia 4 RGPD. Por lo tanto, la revocación del consentimiento siempre puede tener lugar
de la misma forma en que se ha dado el consentimiento o de cualquier otra forma que el interesado
considere más sencilla. En la sociedad de la información actual, probablemente la forma más sencilla
de retirar el consentimiento es un simple correo electrónico. Si el interesado desea revocar el
consentimiento que nos ha dado, basta con enviarle un simple correo electrónico a nuestro delegado de
protección de datos. De forma alternativa, el interesado puede elegir cualquier otra forma de
comunicarnos la revocación de su consentimiento.
K. Derecho a presentar una reclamación ante una autoridad de control (artículo 14,
apartado 2, letra e), y artículo 77, apartado 1, del RGPD)
Como responsable del tratamiento, estamos obligados a notificar al interesado su derecho a presentar
una reclamación ante una autoridad de control, artículo 13(2) lit. d RGPD El derecho a presentar una
reclamación ante una autoridad de control está regulado por el artículo 77, apartado 1, del RGPD. Con
arreglo a esta disposición, sin perjuicio de cualquier otro recurso administrativo o judicial, todo interesado
tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado
miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si el interesado
considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General
de Protección de Datos. El derecho a presentar una reclamación ante una autoridad de control sólo
estaba limitado por la legislación de la Unión de tal manera que sólo puede ejercerse ante una única
autoridad de control (primera frase del considerando 141 del RGPD). Esta norma tiene por objeto evitar
la doble reclamación del mismo interesado en la misma materia. Si un interesado desea presentar una
reclamación sobre nosotros, le pedimos que se ponga en contacto con una única autoridad de control.
Page 74 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Fuente de la que proceden los datos personales y, en su caso, si proceden de
fuentes de acceso público (artículo 14(2) lit. f RGPD)
En principio, los datos personales se recogen directamente del interesado o en cooperación con una
autoridad (por ejemplo, extracción de datos de un registro oficial). Otros datos sobre los interesados se
derivan de las transmisiones de empresas del grupo. En el contexto de esta información general, la
indicación de las fuentes exactas de las que proceden los datos personales es imposible o supondría un
esfuerzo desproporcionado en el sentido del artículo. 14(5) lit. b RGPD. En principio, no recogemos datos
personales de fuentes de acceso público.
Cualquier interesado puede ponerse en contacto con nuestro delegado de protección de datos en
cualquier momento para obtener información más detallada sobre las fuentes exactas de los datos
personales que le conciernen. En los casos en que no pueda facilitarse al interesado el origen de los
datos personales porque se hayan utilizado varias fuentes, deberá facilitarse información general (cuarta
frase del considerando 61 del RGPD).
M. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado (artículo 14, apartado 2, letra g), del
RGPD)
Como empresa responsable, no utilizamos la toma de decisiones ni la elaboración de perfiles
automáticos.
Page 75 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
FRENCH: Information sur le traitement des données à
caractère personnel (Articles 13 et 14 RGPD)
Madame ou Monsieur,
Les données à caractère personnel de chaque personne qui est à une relation contractuelle,
précontractuelle ou une autre relation avec note entreprise méritent une protection particulière. Notre but
est de maintenir la protection des données à un niveau élevé. Nous développons constamment nos
concepts de protection et de sécurité des données.
Bien entendu, nous respectons les dispositions statutaires sur la protection des données. Selon les
articles 13 et 14 RGPD, les responsables du traitement respectent des exigences des informations
spécifiques quand ils traitement des données à caractère personnel. Ce document remplit ces conditions.
La terminologie des réglementslégales est compliquée. Malheureusement, l’utilisation de termes
juridiques ne pouvait pas être évitée dans la préparation de ce document. Par conséquent, nous voulons
souligner que vous êtes toujours bienvenues pour nous contacter de toutes questions concernant ce
document, les termes utilisés ou les formulations.
I. Informations à fournir lorsque des données à caractère personnel sont
collectées auprès de la personne concernée (Article 13 RGPD)
A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD)
Voir au-dessus
B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD)
Voir au-dessus
C. Finalités du traitement auquel sont destinées les données à caractère personnel
ainsi que la base juridique du traitement (art. 13(1) lit. c RGPD)
La finalité du traitement des données à caractère personnelles le traitement de toutes opérations
concernant le responsable du traitement, les clients, les clientes potentiels, les partenaires commerciaux
ou d’autres relations contractuelles ou précontractuelles entre les équipes désignés (au sens le plus
large) ou des obligations légales du responsable du traitement.
Page 76 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L’article 6(1) lit. a RGPD sert comme la base légale des opérations du traitement pour lesquels nous
obtenons le consentement à une finalité spécifique du traitement. Si le traitement des données a
caractère personnel est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie,
le cas échéant, pour exemple, quand le traitement est nécessaire à la fourniture de biens ou à la
fourniture de tout autre service, la base du traitement est l’article 6(1) lit. B RGPD.
Dans de rares cas, le traitement de données à caractère personnel peut être nécessaire pour protéger
les intérêts vitaux de la personne concernée ou d’une autre personne physique. Ce serait le cas, par
exemple, si un visiteur était blessé dans notre entreprise et que son nom, son âge, ses données
d’assurance maladie ou d’autres informations vitales devraient être transmises à un médecin, à un hôpital
ou à une autre tierce partie. Le traitement serait fondé sur l’art. 6 (1) lit. d GDPR.
Finalement, les opérations de traitement peuvent être fondes sur l’article 6(1) lit. f RGPD. Cette base
légale est utilisée pour les opérations de traitement qui ne sont pas couvertes par l’une des bases légales
susmentionnés, si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par notre
entreprise ou par un tiers, sauf si ces intérêts sont outrepassés par des libertés et droits fondamentaux
de la personne concernée qui nécessitent la protection de données à caractère personnel. De tels
opérations du traitement sont particulièrement autorisées car ils ont été spécifiquement mentionnés par
le législateur européen. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation
pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations
telles que celles où la personne concernée est un client du responsable du traitement ou est à son
service.
D. Lorsque le traitement est fondé sur l’article 6(1) lit. f, les intérêts légitimes
poursuivis par le responsable du traitement ou par un tiers (article 13(1) lit. d RGPD)
Lorsque le traitement des données à caractère personnel est fondé sur l’article 6(1) point f RGPD notre
intérêt légitime est de mener nos activités en faveur du bien-être de tous nos employés et de nos
actionnaires.
E. Catégories des destinataires des données à caractère personnel (art. 13(1) lit. e
RGPD)
Autorités publiques
Organisations externes
Page 77 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Autres organisations externes
Traitement interne
Traitement intragroupe
Autres organisations
F. Destinataires dans un pays tiers et garanties appropriées ou appropriées et
moyens permettant d’en obtenir une copie ou lorsqu’ils ont été mis à disposition (Article
13(1) lit. f, 46(2) lit. c RGPD)
Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du
groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des
données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires
peut nous être demandée.
Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données
caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place
les garanties appropriées, et à condition que des droits applicables des personnes concernées et des
recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans
autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2)
lit. c RGPD).
Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont
convenues avec tous les destinataires de pays tiers avant la première transmission de données à
caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits
applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées
sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par
nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union
Européenne (OJ 2010 / L 39, page 5-18).
G. Durée de conservation des données à caractère personnel ou, lorsque ce n’est
pas possible, critères pour déterminer cette durée (Article 13(2) lit. a RGPD)
Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la
durée de conservation statutaire respective. Apres l’expiration de cette durée, les données
correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires
à l’exécution du contrat ou à la conclusion d’un contrat.
Page 78 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Existence du droit de demander au responsable du traitement l’accès aux
données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une
limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au
traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD)
Toutes les personnes concernées ont les droits suivants:
Droit d’accès
La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère
personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement
à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du
traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous
contacter afin d’exercer le droit d’accès.
Droit de rectification
Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui
sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que
les données à caractère personnel incomplètes soient complétées, y compris en fournissant une
déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de
rectification.
Droit à l’effacement («droit à l’oubli»)
En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce
droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner
que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une
obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD).
Droit à la limitation du traitement
Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la
limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article
18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation
du traitement.
Droit d’opposition
En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour
exercer le droit d’opposition.
Page 79 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Droit à la portabilité des données
L’article 20 RGPD garantit le droit a la portabilité des données de la personne concernée. En vertu de
cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit
de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du
traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de
transmettre ces données à un autre responsable du traitement sans que le responsable du traitement
auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne
concernée peut nous contacter afin d’exercer le droit à la portabilité de données.
I. Existence du droit de retirer son consentement à tout moment, sans porter
atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de
celui-ci, lorsque le traitement est fondé sur l’article 6(1)(a), ou sur l’article 9(2)(a)(Article
13(3) lit. c RGPD)
Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le
cas, si la personne concernée a donné son consentement pour le traitement des données à caractère
personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui
régit le consentement explicite au traitement de catégories particulières de données à caractère
personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son
consentement à tout moment.
Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué
avant ce retrait (art. 7(3) phrase 2 RGPD). Il est aussi simple de retirer que de donner son consentement)
art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la
même manière que le consentement ou de toute autre manière, considérée par la personne concernée
comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son
consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite
retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée
peut choisir par tout autre moyen de communiquer son retrait de consentement.
J. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 13(2)
lit. d, 77(1) RGPD)
Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit
d’introduire une réclamation auprès d’une autorité de contrôle (art. 13(2) lit. d RGPD). Le droit d’introduire
une réclamation auprès une autorité de contrôle est régi par l’article 77(1) RGPD. Selon cette disposition,
sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit
d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans
Page 80 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise,
si elle considère que le traitement de données à caractère personnel la concernant constitue une violation
du présent règlement. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite
que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant
une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes
de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire
une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle.
K. Fourniture de données à caractère personnel contractuel; Obligation pour la
conclusion d’un contrat; Obligation de la personne concernée de fournir les données à
caractère personnel; Conséquences éventuelles de la non-fourniture des données
(article 13(2) lit. e RGPD)
Nous clarifions que la que la fourniture de données à caractère personnel est en partie requise par la loi
(par exemple, la réglementation fiscale) ou peut également résulter de dispositions contractuelles (par
exemple, des informations sur le partenaire contractuel).
Quelques fois, il peut être nécessaire de conclure un contrat prévoyant que la personne concernée nous
fournisse des données à caractère personnel, qui doivent ensuite être traitées par nous. La personne
concernée est par exemple obligée de nous fournir des données à caractère personnel lorsque notre
société signe un contrat avec elle. La non-communication des données à caractère personnel aurait pour
conséquence que le contrat avec la personne concernée ne pourrait pas être conclu.
L. Existence d’une prise de décision automatisée, y compris profilage, visée à
l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant
la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce
traitement pour la personne concernée (art. 13(2) lit. f RGPD)
En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage.
II. Informations à fournir lorsque les données à caractère personnel n’ont
pas été collectées auprès de la personne concernée (Article 14 RGPD)
A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD)
Voir au-dessus
Page 81 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD)
Voir au-dessus
C. Les finalités du traitement auquel sont destinées les données à caractère
personnel ainsi que la base juridique du traitement (article 14(1) lit. c RGPD)
La finalité du traitement des données à caractère personnelles le traitement de toutes opérations
concernant le responsable du traitement, les clients, les clientes potentiels, les partenaires commerciaux
ou d’autres relations contractuelles ou précontractuelles entre les équipes désignés (au sens le plus
large) ou des obligations légales du responsable du traitement.
Si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie comme
par exemple lorsque des opérations de traitement sont nécessaires à la fourniture de biens ou à la
fourniture de tout autre service, le traitement est fondé sur l’article 6(1) lit. b RGPD. La même s’applique
lorsque le traitement est nécessaire à l’exécution de mesures précontractuelles prises comme par
exemple en cas des demandes concernant nos produits ou services. Si notre société est soumise à une
obligation légale imposant le traitement de données à caractère personnel, notamment pour le respect
des obligations fiscales, le traitement est fondé sur l’article 6(1) lit. c RGPD.
Dans de rares cas, le traitement de données à caractère personnel peut être nécessaire pour protéger
les intérêts vitaux de la personne concernée ou d’une autre personne physique. Ce serait le cas, par
exemple, si un visiteur était blessé dans notre entreprise et que son nom, son âge, ses données
d’assurance maladie ou d’autres informations vitales devraient être transmises à un médecin, à un hôpital
ou à une autre tierce partie. Le traitement serait fondé sur l’art. 6 (1) lit. d GDPR.
Finalement, les opérations de traitement peuvent être fondes sur l’article 6(1) lit. f RGPD. Cette base
légale est utilisée pour les opérations de traitement qui ne sont pas couvertes par l’une des bases légales
susmentionnés, si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par notre
entreprise ou par un tiers, sauf si ces intérêts sont outrepassés par des libertés et droits fondamentaux
de la personne concernée qui nécessitent la protection de données à caractère personnel. De tels
opérations du traitement sont particulièrement autorisés car ils ont été spécifiquement mentionnés par le
législateur européen. Il a considéré qu’un tel intérêt légitime pourrait exister lorsqu’il existe où la personne
concernée est un client du responsable du traitement (Récital 47 phrase 2 RGPD).
D. Les catégories de données à caractère personnel concernées (art. 14(1) lit. d
RGPD)
Page 82 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Données des clientes
Données des clientes potentielles
Données des employés
Données des fournisseurs
E. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e
RGPD)
Autorités publiques
Organisations externes
Autres organisations externes
Traitement interne
Traitement intragroupe
Autres organisations
F. Destinataires dans pays tiers ou une organisation internationale, et garanties
appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont
été mises à disposition (art. 14(1) lit. f RGPD, 46(1), 46(2) lit. c RGPD)
Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du
groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des
données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires
peut nous être demandée.
Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à
caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place
les garanties appropriées, et à condition que des droits applicables des personnes concernées et des
recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans
autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2)
lit. c RGPD).
Page 83 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont
convenues avec tous les destinataires de pays tiers avant la première transmission de données à
caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits
applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées
sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par
nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union
Européenne (OJ 2010 / L 39, page 5-18).
G. Durée pendant laquelle les données à caractère personnel seront conservées
ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (art.
14(1) lit. a RGPD)
Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la
durée de conservation statutaire respective. Apres l’expiration de cette durée, les données
correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires
à l’exécution du contrat ou à la conclusion d’un contrat.
H. Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers,
lorsque le traitement est fondé sur l’article 6(1) lit. f RGPD (art. 14(2) lit. b RGPD)
Selon l’article 6(1) lit. f RGPD, le traitement n’est licite que le traitement est nécessaire aux fins
des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que
ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui
exigent une protection des données à caractère personnel. Selon le récital 47 phrase 2 RGPD,
un tel intérêt légitime pourrait exister lorsqu’il existe une relation pertinente et appropriée entre
la personne concernée et le responsable du traitement, par exemple où la personne concernée
est un client du responsable du traitement. Dans tous les cas où notre société traite des
données à caractère personnel sur la base de l’article 6(1) lit. f RGPD, notre intérêt légitime
est de mener nos activités en faveur du bien-être de tous nos employés et de nos actionnaires.
I. Existence du droit de demander au responsable du traitement l’accès aux
données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une
limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au
traitement et du droit à la portabilité des données (Article 13(2) lit.b RGPD)
Toutes les personnes concernées ont les droits suivants:
Page 84 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Droit d’accès
La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère
personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement
à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du
traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous
contacter afin d’exercer le droit d’accès.
Droit de rectification
Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui
sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que
les données à caractère personnel incomplètes soient complétées, y compris en fournissant une
déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de
rectification.
Droit à l’effacement («droit à l’oubli»)
En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce
droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner
que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une
obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD).
Droit à la limitation du traitement
Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la
limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article
18(1) lit. a-d s’appliquent. La personne concernée peut nous contacter afin d’exercer le droit à la limitation
du traitement.
Droit d’opposition
En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour
exercer le droit d’opposition.
Droit à la portabilité des données
L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de
cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit
de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du
traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de
transmettre ces données à un autre responsable du traitement sans que le responsable du traitement
auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne
concernée peut nous contacter afin d’exercer le droit à la portabilité de données.
Page 85 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Existence du droit de retirer le consentement à tout moment, sans porter atteinte
à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci,
lorsque le traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit. a RGPD (art.
14 (2) lit. d RGPD)
Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le
cas, si la personne concernée a donné son consentement pour le traitement des données à caractère
personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui
régit le consentement explicite au traitement de catégories particulières de données à caractère
personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son
consentement à tout moment.
Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué
avant ce retrait (art. 7(3) phrase 2 RGPD).Il est aussi simple de retirer que de donner son consentement)
art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la
même manière que le consentement ou de toute autre manière, considérée par la personne concernée
comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son
consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite
retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée
peut choisir par tout autre moyen de communiquer son retrait de consentement.
K. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 13(2)
lit. d, 77(1) RGPD)
Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit
d’introduire une réclamation auprès d’une autorité de contrôle (art. 14(2) lit. e RGPD). Le droit d’introduire
une réclamation auprès une autorité de contrôle est régi par l’article 77(1) RGPD. Selon cette disposition,
sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit
d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans
lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise,
si elle considère que le traitement de données à caractère personnel la concernant constitue une violation
du présent règlement. Le droit d’introduire une réclamation auprès une autorité de contrôle n’était limite
que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse être exercé que devant
une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes
de la même personne concernée dans la même affaire. Si une personne concernée souhaite introduire
une réclamation nous concernant, nous demandons que vous contactiez une seule autorité de contrôle.
Page 86 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. La source d’où proviennent les données à caractère personnel et, le cas
échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au
public (art. 14(2) lit. f RGPD)
En principe, les données à caractère personnel sont collectées directement auprès de la personne
concernée ou en coopération avec une autorité (par exemple, la récupération de données à partir d’un
registre officiel). Les autres données relatives aux personnes concernées proviennent de transferts des
entreprises du groupe. Dans le contexte de ces informations générales, la désignation des sources
exactes à l’origine des données à caractère personnel est impossible ou impliquerait un effort
disproportionné au sens de l’art. 14 (5) lit. b GDPR. En principe, nous ne collectons pas de données à
caractère personnel à partir de sources accessibles au public.
Toute personne concernée peut nous contacter à tout moment pour obtenir des informations plus
détaillées sur les sources exactes des données à caractère personnel la concernant. Lorsque l’origine
des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que
plusieurs sources ont été utilisées, des informations générales devraient être fournies (récital 61 phrase
4 RGPD).
M. Existence d’une prise de décision automatisée, y compris profilage, visée à
l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant
la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce
traitement pour la personne concernée (art. 14(2) lit. g RGPD)
En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage.
Page 87 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
FRENCH: Information sur le traitement des données à
caractère personnel des employés et des candidates (Articles
13 et 14 RGPD)
Madame ou Monsieur,
Les données à caractère personnel des employés et des candidats méritent une protection particulière.
Notre objectif est de maintenir la protection de nos données à un niveau élevé. Par conséquent, nous
développons constamment nos concepts de protection et de sécurité des données.
Bien entendu, nous respectons les dispositions légales en matière de protection des données. Selon les
articles 13 et 14 RGPD, les responsables du traitement répondent à des exigences d’information
spécifiques lors du traitement de données à caractère personnel. Ce document remplit ces obligations.
La terminologie de la réglementation légale est compliquée. Malheureusement, l’utilisation de termes
juridiques n’a pas pu être abandonnée lors de la préparation de ce document. Toutefois, nous tenons à
souligner que vous êtes toujours le bienvenu pour nous contacter pour toutes questions concernant ce
document, les termes utilisés ou les formulations.
I. Informations à fournir lorsque des données à caractère personnel sont
collectées auprès de la personne concernée (Article 13 RGPD)
A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD)
Voir au-dessus
B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD)
Voir au-dessus
C. Finalités du traitement auquel sont destinées les données à caractère personnel
ainsi que la base juridique du traitement (art. 13(1) lit. c RGPD)
Pour les données du candidat, le traitement des données a pour objet de procéder à un examen de la
candidature au cours du processus de recrutement. À cette fin, nous traitons toutes les données que
vous avez fournies. Fonde sur des données soumises lors du processus de recrutement, nous vérifierons
si vous êtes invité à un entretien d’embauche (élément du processus de sélection).Dans le cas de
Page 88 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
candidats généralement qualifiés, en particulier dans le cadre de l’entretien d’embauche, nous traitons
certaines autres données à caractère personnel que vous nous avez fournies, ce qui est essentiel pour
notre décision de sélection. Si vous êtes embauché par nous, les données du demandeur seront
automatiquement converties en données relatives aux employés. Dans le cadre du processus de
recrutement, nous traiterons les autres données à caractère personnel vous concernant que nous vous
demandons et qui sont nécessaires pour initier ou exécuter votre contrat (telles que du numéro
d’identification personnel ou du numéro d’identification fiscale).Pour les données relatives aux employés,
le traitement des données a pour objet l’exécution du contrat de travail ou le respect d’autres dispositions
légales applicables à la relation de travail (droit fiscal, par exemple), ainsi que l’utilisation de vos données
à caractère personnel pour exécuter le contrat de travail conclu avec vous.
La base légale pour le traitement de données est l’article 6 (1) lit. b RGPD, article 9(2) lit. b et h RGPD,
l’article 88(1) RGPD et de la législation nationale.
D. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e
RGPD)
Autorités publiques
Organisations externes
Autres organisations externes
Traitement interne
Traitement intragroupe
Autres organisations
E. Destinataires dans un pays tiers et garanties appropriées ou appropriées et
moyens permettant d’en obtenir une copie ou lorsqu’ils ont été mis à disposition (Article
13(1) lit. f, 46(2) lit. c RGPD)
Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du
groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des
données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires
peut nous être demandée.
Page 89 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à
caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place
les garanties appropriées, et à condition que des droits applicables des personnes concernées et des
recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans
autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2)
lit. c RGPD).
Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont
convenues avec tous les destinataires de pays tiers avant la première transmission de données à
caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits
applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées
sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par
nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union
Européenne (OJ 2010 / L 39, page 5-18).
F. Durée de conservation des données à caractère personnel ou, lorsque ce n’est
pas possible, critères pour déterminer cette durée (Article 13(2) lit. a RGPD)
Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la
durée de conservation statutaire respective. Apres l’expiration de cette durée, les données
correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires
à l’exécution du contrat ou à la conclusion d’un contrat.
G. Existence du droit de demander au responsable du traitement l’accès aux
données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une
limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au
traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD)
Toutes les personnes concernées ont les droits suivants:
Droit d’accès
La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère
personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement
à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du
traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous
contacter afin d’exercer le droit d’accès.
Page 90 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Droit de rectification
Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui
sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que
les données à caractère personnel incomplètes soient complétées, y compris en fournissant une
déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de
rectification.
Droit à l’effacement («droit à l’oubli»)
En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce
droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner
que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une
obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD).
Droit à la limitation du traitement
Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la
limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article
18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation
du traitement.
Droit d’opposition
En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour
exercer le droit d’opposition.
Droit à la portabilité des données
L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de
cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit
de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du
traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de
transmettre ces données à un autre responsable du traitement sans que le responsable du traitement
auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne
concernée peut nous contacter afin d’exercer le droit à la portabilité de données.
H. Droit de retirer son consentement à tout moment, sans porter atteinte à la licéité
du traitement fondé sur le consentement effectué avant le retrait de celui-ci, lorsque le
traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit a RGPD
Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le
cas, si la personne concernée a donné son consentement pour le traitement des données à caractère
personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui
Page 91 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
régit le consentement explicite au traitement de catégories particulières de données à caractère
personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son
consentement à tout moment.
Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué
avant ce retrait (art. 7(3) phrase 2 RGPD). Il est aussi simple de retirer que de donner son consentement
(art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la
même manière que le consentement ou de toute autre manière, considérée par la personne concernée
comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son
consentement consiste à utiliser un courrier électronique. Si la personne concernée souhaite retirer son
consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée peut
choisir par tout autre moyen de communiquer son retrait de consentement.
I. Droit d’introduire une réclamation auprès d’une autorité de contrôle (art.13(2) lit.
d, 77(1) RGPD)
Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit
d’introduire une réclamation auprès d’une autorité de contrôle (art. 13(2) lit. d RGPD). Le droit d’introduire
une réclamation auprès une autorité de contrôle est régie par l’article 77(1) RGPD. Selon cette
disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne
concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans
l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation
aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant
constitue une violation du règlement général sur la protection des données. Le droit d’introduire une
réclamation auprès une autorité de contrôle n’était limite que seulement par le droit de l’Union
Européenne de manière à ce qu’il ne puisse être exercé que devant une seule autorité de contrôle
(Récital 141 phrase 1 RGPD). Cette règle vise à éviter les doubles plaintes de la même personne
concernée dans la même affaire. Si une personne concernée souhaite introduire une réclamation nous
concernant, nous demandons que vous contactiez une seule autorité de contrôle.
J. Fourniture de données à caractère personnel contractuel; Obligation pour la
conclusion d’un contrat; Obligation de la personne concernée de fournir les données à
caractère personnel; Conséquences éventuelles de la non-fourniture des données
(article 13(2) lit. e RGPD)
Nous clarifions que la que la fourniture de données à caractère personnel est en partie requise par la loi
(par exemple, la réglementation fiscale) ou peut également résulter de dispositions contractuelles (par
exemple, des informations sur le partenaire contractuel).
Page 92 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Quelques fois, il peut être nécessaire de conclure un contrat prévoyant que la personne concernée nous
fournisse des données à caractère personnel, qui doivent ensuite être traitées par nous. La personne
concernée est par exemple obligée de nous fournir des données à caractère personnel lorsque notre
société signe un contrat avec elle. La non-communication des données à caractère personnel aurait pour
conséquence que le contrat avec la personne concernée ne pourrait pas être conclu.
Avant que les données personnelles soient fournies par la personne concernée, celle-ci doit nous
contacter. Nous précisons à la personne concernée si la fourniture des données à caractère personnel
est requise par la loi ou par un contrat ou si elle est nécessaire à la conclusion du contrat, s’il existe une
obligation de fournir des données à caractère personnel et les conséquences de la non-fourniture des
données à caractère personnel.
K. Existence d’une prise de décision automatisée, y compris profilage, visée à
l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant
la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce
traitement pour la personne concernée (art. 13(2) lit. f RGPD)
En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage.
II. Informations à fournir lorsque les données à caractère personnel n’ont
pas été collectées auprès de la personne concernée (Article 14 RGPD)
A. Identité et coordonnées du responsable du traitement (art. 13(1) lit. a RGPD)
Voir au-dessus
B. Coordonnées du délégué à la protection des données (art. 13(1) lit. b RGPD)
Voir au-dessus
C. Finalités du traitement auquel sont destinées les données à caractère personnel
ainsi que la base juridique du traitement (art. 14(1) lit. c RGPD)
Pour les données du candidat, le traitement des données a pour objet de procéder à un examen de la
candidature au cours du processus de recrutement. À cette fin, nous traitons toutes les données que
vous avez fournies. Fonde sur des données soumises lors du processus de recrutement, nous vérifierons
Page 93 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
si vous êtes invité à un entretien d’embauche (élément du processus de sélection). Si vous êtes
embauché par nous, les données du demandeur seront automatiquement converties en données
relatives aux employés. Pour les données relatives aux employés, le traitement des données a pour objet
l’exécution du contrat de travail ou le respect d’autres dispositions légales applicables à la relation de
travail, ainsi que l’utilisation de vos données à caractère personnel pour exécuter le contrat de travail
conclu avec vous. Les données relatives aux employés sont conservées après la fin de la relation de
travail afin de respecter les délais de conservation légaux.
La base légale pour le traitement de données est les articles 6 (1) lit. b RGPD, 9(2) lit. b et h RGPD, 88(1)
RGPD et de la législation nationale.
D. Les catégories de données à caractère personnel concernées (art. 14(1) lit. d
RGPD)
Données des candidats
Données des employés
E. Catégories des destinataires des données à caractère personnel (art. 14(1) lit. e
RGPD)
Autorités publiques
Organisations externes
Autres organisations externes
Traitement interne
Traitement intragroupe
Autres organisations
Page 94 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
F. Destinataires dans pays tiers ou une organisation internationale, et garanties
appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont
été mises à disposition (art. 14(1) lit. f RGPD, 46(1), 46(2) lit. c RGPD)
Toutes les entreprises et filiales faisant partie de notre groupe (ci-après dénommées “entreprises du
groupe”) ayant leur siège ou un bureau dans un pays tiers peuvent appartenir aux destinataires des
données à caractère personnel. Une liste des toutes les entreprises du groupe ou de tous destinataires
peut nous être demandée.
Selon l’article 46(1) RGPD, un responsable du traitement or sous-traitant peut transférer des données à
caractère personnel vers un pays tiers si le responsable du traitement ou le sous-traitant a mis en place
les garanties appropriées, et à condition que des droits applicables des personnes concernées et des
recours légaux efficaces soient disponibles. Des garanties appropriées peuvent être fournies sans
autorisation spécifique d’une autorité de surveillance au moyen de clauses contractuelles types (art. 46(2)
lit. c RGPD).
Les clauses contractuelles types de l’Union Européenne ou d’autres garanties appropriées sont
convenues avec tous les destinataires de pays tiers avant la première transmission de données à
caractère personnel. Par conséquence, il est garanti que des garanties appropriées, des droits
applicables des personnes concernées et des recours légaux efficaces pour les personnes concernées
sont garantis. Chaque personne concernée peut obtenir une copie des clauses contractuelles types par
nous. Les clauses contractuelles types sont aussi disponibles dans le Journal Official de l’Union
Européenne (OJ 2010 / L 39, page 5-18).
G. Durée de conservation des données à caractère personnel ou, lorsque ce n’est
pas possible, critères pour déterminer cette durée (Article 14(2) lit. a RGPD)
Le critère utilisé pour déterminer la durée de conservation des données à caractère personnel est la
durée de conservation statutaire respective. Apres l’expiration de cette durée, les données
correspondantes sont systématiquement supprimées, dans la mesure où elles ne sont plus nécessaires
à l’exécution du contrat ou à la conclusion d’un contrat.
H. Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers,
lorsque le traitement est fondé sur l’article 6(1) lit. f RGPD (art. 14(2) lit. b RGPD)
Selon l’article 6(1) lit. f RGPD, le traitement n’est licite que le traitement est nécessaire aux fins
des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que
ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui
exigent une protection des données à caractère personnel. Selon le récital 47 phrase 2 RGPD,
Page 95 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
un tel intérêt légitime pourrait exister lorsqu’il existe une relation pertinente et appropriée entre
la personne concernée et le responsable du traitement, par exemple où la personne concernée
est un client du responsable du traitement. Dans tous les cas où notre société traite des
données à caractère personnel sur la base de l’article 6(1) lit. f RGPD, notre intérêt légitime
est de mener nos activités en faveur du bien-être de tous nos employés et de nos actionnaires.
I. Existence du droit de demander au responsable du traitement l’accès aux
données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une
limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au
traitement et du droit à la portabilité des données (Article 13(2) lit. b RGPD)
Toutes les personnes concernées ont les droits suivants:
Droit d’accès
La personne concernée a le droit d’obtenir du responsable du traitement l’accès aux données à caractère
personnel. Il est possible d’accéder aux données traitées par nous. Le droit peut être exercé facilement
à des intervalles raisonnables, sans connaissance préalable et sans justification, de la légalité du
traitement (Récital 63 RGPD). Ce droit résulte de l’article 15 RGPD. La personne concernée peut nous
contacter afin d’exercer le droit d’accès.
Droit de rectification
Selon l’article 16 phrase 1 RGPD, la personne concernée a le droit d’obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui
sont inexactes. En outre, selon l’article 16 phase 2 RGPD la personne concernée a le droit d’obtenir que
les données à caractère personnel incomplètes soient complétées, y compris en fournissant une
déclaration complémentaire. La personne concernée peut nous contacter afin d’exercer le droit de
rectification.
Droit à l’effacement («droit à l’oubli»)
En outre, les personnes concernées ont le droit à l’effacement et à l’oubli en vertu de l’art. 17 GDPR. Ce
droit peut également être exercé en nous contactant. À ce stade, cependant, nous tenons à souligner
que ce droit ne s’applique pas dans la mesure où le traitement est nécessaire pour respecter une
obligation légale à laquelle notre entreprise est soumise (article 17(3) lit. b RGPD).
Droit à la limitation du traitement
Selon l’article 18 RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la
limitation du traitement. La limitation du traitement peut être demande si l’un des éléments de l’article
18(1) lit. a-d s’applique. La personne concernée peut nous contacter afin d’exercer le droit à la limitation
du traitement.
Page 96 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Droit d’opposition
En outre, l’art. 21 GDPR garantit le droit d’opposition. La personne concernée peut nous contacter pour
exercer le droit d’opposition.
Droit à la portabilité des données
L’article 20 RGPD garantit le droit à la portabilité des données de la personne concernée. En vertu de
cette disposition, la personne concernée a dans les conditions de l’article 20(1) lit. a et b RGPD le droit
de recevoir les données à caractère personnel le concernant, qu’elles ont fournies à un responsable du
traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de
transmettre ces données à un autre responsable du traitement sans que le responsable du traitement
auquel les données à caractère personnel ont été communiquées y fasse obstacle. La personne
concernée peut nous contacter afin d’exercer le droit à la portabilité de données.
J. Existence du droit de retirer le consentement à tout moment, sans porter atteinte
à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci,
lorsque le traitement est fondé sur l’article 6(1) lit. a, ou sur l’article 9(2) lit. a RGPD (art.
14(2) lit. d RGPD)
Si le traitement des données à caractère personnel est fondé sur l’article 6(1) lit. a RGPD, quel soit le
cas, si la personne concernée a donné son consentement pour le traitement des données à caractère
personnel pour une ou plusieurs finalités spécifiques ou si il est fonde sur l’article 9(2) lit. a RGPD, qui
régit le consentement explicite au traitement de catégories particulières de données à caractère
personnel, la personne concernée a selon l’article 7(3) phrase 1 RGPD le droit de retirer son
consentement à tout moment.
Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué
avant ce retrait (art. 7(3) phrase 2 RGPD).Il est aussi simple de retirer que de donner son consentement)
art. 7(3) phrase 4 RGPD). Par conséquent, le retrait du consentement peut toujours se dérouler de la
même manière que le consentement ou de toute autre manière, considérée par la personne concernée
comme plus simple. Dans la société de l’information d’aujourd’hui, le moyen le plus simple de retirer son
consentement consiste à utiliser un simple courrier électronique. Si la personne concernée souhaite
retirer son consentement, un simple courrier électronique nous suffit. Par ailleurs, la personne concernée
peut choisir par tout autre moyen de communiquer son retrait de consentement.
Page 97 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Droit d’introduire une réclamation auprès d’une autorité de contrôle (Article 14(2)
lit. e, 77(1) RGPD)
Comme le responsable du traitement, nous sommes obligés d’informer la personne concernée du droit
d’introduire une réclamation auprès d’une autorité de contrôle (art. 14(2) lit. e RGPD). Le droit d’introduire
une réclamation auprès une autorité de contrôle est régie par l’article 77(1) RGPD. Selon cette
disposition, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne
concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans
l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation
aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant
constitue une violation du présent règlement. Le droit d’introduire une réclamation auprès une autorité
de contrôle n’était limite que seulement par le droit de l’Union Européenne de manière à ce qu’il ne puisse
être exercé que devant une seule autorité de contrôle (Récital 141 phrase 1 RGPD). Cette règle vise à
éviter les doubles plaintes de la même personne concernée dans la même affaire. Si une personne
concernée souhaite introduire une réclamation nous concernant, nous demandons que vous contactiez
une seule autorité de contrôle.
L. La source d’où proviennent les données à caractère personnel et, le cas
échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au
public (art. 14(2) lit. f RGPD)
En principe, les données à caractère personnel sont collectées directement auprès de la personne
concernée ou en coopération avec une autorité (par exemple, la récupération de données à partir d’un
registre officiel). Les autres données relatives aux personnes concernées proviennent de transferts des
entreprises du groupe. Dans le contexte de ces informations générales, la désignation des sources
exactes à l’origine des données à caractère personnel est impossible ou impliquerait un effort
disproportionné au sens de l’art. 14 (5) lit. b GDPR. En principe, nous ne collectons pas de données à
caractère personnel à partir de sources accessibles au public.
Toute personne concernée peut nous contacter à tout moment pour obtenir des informations plus
détaillées sur les sources exactes des données à caractère personnel la concernant. Lorsque l’origine
des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que
plusieurs sources ont été utilisées, des informations générales devraient être fournies (récital 61 phrase
4 RGPD).
Page 98 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Existence d’une prise de décision automatisée, y compris profilage, visée à
l’article 22 (1) et (4) RGPD, et, au moins en pareils cas, informations utiles concernant
la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce
traitement pour la personne concernée (art. 14(2) lit. g RGPD)
En tant qu’entreprise responsable, nous n’utilisons pas de prise de décision automatisée ni de profilage.
Page 99 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ITALIAN: Informazioni sul trattamento dei dati personali
(articolo 13, 14 GDPR)
Gentile signore o signora,
I dati personali di ogni individuo che abbia un rapporto contrattuale, precontrattuale o di altro tipo con la
nostra azienda merita una protezione speciale. Il nostro obiettivo è di mantenere il nostro livello di
protezione dei dati ad un alto livello. Pertanto, sviluppiamo costantemente i nostri concetti di protezione
dei dati e sicurezza dei dati.
Ovviamente, rispettiamo le disposizioni legali sulla protezione dei dati. Ai sensi dell’articolo 13, 14 GDPR,
i titolari del trattamento soddisfano specifici requisiti di informazione nella raccolta di dati personali.
Questo documento soddisfa questi obblighi.
La terminologia delle normative legali è complicata. Sfortunatamente, l’uso di termini legali non può
essere evitato nella preparazione di questo documento. Pertanto, vorremmo sottolineare che siete
sempre i benvenuti a contattarci per tutte le domande riguardanti questo documento, i termini usati o le
formulazioni.
I. Rispetto dei requisiti in materia di informazione quando i dati personali
sono raccolti dall’interessato (articolo 13 del GDPR)
A. Identità e recapiti del titolare del trattamento (articolo 13, paragrafo 1, lett. a) del
GDPR)
Vedi sopra
B. Dati di contatto del responsabile della protezione dei dati (articolo 13, paragrafo
1, lett. b) del GDPR)
Vedi sopra
Page 100 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Finalità del trattamento al quale sono destinati i dati personali nonché base
legale per il trattamento (articolo 13, paragrafo 1, lett. c) GDPR)
Lo scopo del trattamento dei dati personali è la gestione di tutte le operazioni che riguardano il titolare
del trattamento, i clienti, i potenziali clienti, i partner commerciali o altre relazioni contrattuali o
precontrattuali tra i gruppi nominati (nel senso più ampio) o gli obblighi legali del titolare del trattamento.
Art. 6 (1) lett. c GDPR funge da base legale per le operazioni di elaborazione per le quali otteniamo il
consenso per uno scopo di elaborazione specifico. Se il trattamento di dati personali è necessario per
l’esecuzione di un contratto a cui l’interessato è parte, come ad esempio quando le operazioni di
trattamento sono necessarie per la fornitura di beni o per fornire qualsiasi altro servizio, il trattamento è
basato sull’articolo 6, paragrafo 1, lett. b) GDPR. Lo stesso vale per le operazioni di trattamento
necessarie per l’esecuzione di misure precontrattuali, ad esempio nel caso di richieste relative ai nostri
prodotti o servizi. La nostra azienda è soggetta all’obbligo legale in base al quale è richiesto il trattamento
dei dati personali, ad esempio per l’adempimento di obblighi fiscali, il trattamento è basato sull’art. 6 (1)
lett. c) GDPR.
In rari casi, il trattamento di dati personali può essere necessario per proteggere gli interessi vitali
dell’interessato o di un’altra persona fisica. Questo sarebbe il caso, ad esempio, se un visitatore fosse
ferito nella nostra azienda e il suo nome, età, dati di assicurazione sanitaria o altre informazioni vitali
dovrebbero essere trasmessi a un medico, ospedale o altra terza parte. Quindi l’elaborazione si
baserebbe sull’art. 6 (1) lett. d) GDPR.
Infine, le operazioni di trattamento potrebbero essere basate sull’articolo 6, paragrafo 1, lett. f) GDPR.
Questa base giuridica viene utilizzata per le operazioni di trattamento che non sono coperte da nessuno
dei summenzionati motivi legali, se il trattamento è necessario ai fini degli interessi legittimi perseguiti
dalla nostra azienda o da una terza parte, eccetto laddove tali interessi siano superati dagli interessi o
diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Tali operazioni
di trattamento sono particolarmente ammissibili in quanto sono state espressamente menzionate dal
legislatore europeo. Riteneva che potesse essere assunto un interesse legittimo se l’interessato fosse
un cliente del titolare del trattamento (considerando 47, frase 2, GDPR).
D. Se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR gli interessi
legittimi perseguiti dal titolare del trattamento o da un terzo (articolo 13,
paragrafo 1, lett. d) del GDPR)
Se il trattamento dei dati personali si basa sull’articolo 6, paragrafo 1, lett. f) GDPR il nostro legittimo
interesse è di svolgere la nostra attività in favore del benessere di tutti i nostri dipendenti e azionisti.
Page 101 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categorie di destinatari dei dati personali (articolo 13, paragrafo 1, lettere e)
GDPR)
Autorità pubbliche
Entità esterne
Ulteriori entità esterne
Elaborazione interna
Elaborazione intragruppo
Altre entità
F. Destinatari in un paese terzo e garanzie appropriate o adeguate e i mezzi con
cui ottenerne una copia o quando sono stati resi disponibili (articolo 13,
paragrafo 1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR)
Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”)
che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei
dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi.
Ai sensi dell’articolo 46, paragrafo 1 del GDPR, un titolare del trattamento o un responsabile del
trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il
responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti
soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite
appropriate misure di salvaguardia senza richiedere un’autorizzazione specifica da parte di un’autorità di
vigilanza mediante clausole contrattuali standard, articolo 46, paragrafo 2, lett. c) GDPR.
Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con
tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito
che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli
interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard.
Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU
2010 / L 39, pagina 5-18).
Page 102 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse
possibile, i criteri utilizzati per determinare tale periodo (articolo 13, paragrafo 2,
lett. a) GDPR)
I criteri utilizzati per determinare il periodo di conservazione dei dati personali sono i rispettivi periodi di
conservazione previsti dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono
regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o
l’inizio di un contratto.
H. Esistenza del diritto di richiedere al titolare del trattamento l’accesso e la rettifica
o cancellazione di dati personali o la limitazione del trattamento della persona
interessata o di opporsi al trattamento nonché il diritto alla portabilità dei dati
(articolo 13, paragrafo 2, lett. b) del GDPR).
Tutte le persone interessate hanno i seguenti diritti:
Diritto di accesso
Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso
si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli,
al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo
diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso.
Diritto di rettifica
Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del
trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo
16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del
trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione
integrativa. L’interessato può contattarci per esercitare il diritto di rettifica.
Diritto alla cancellazione (diritto di essere dimenticato)
Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può
essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto
non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è
soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare
un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge.
Diritto alla restrizione dell’elaborazione
Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La
restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1,
Page 103 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
lettere a) – d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del
trattamento.
Diritto di obiettare
Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto
di obiettare.
Diritto alla portabilità dei dati
L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa
disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR
il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento,
in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere
tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati
personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati.
I. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza
pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro,
qualora il trattamento si basi sull’articolo 6, paragrafo 1, lett. a) GDPR o l’Articolo
9 (2) lett. a) GDPR (articolo 13, paragrafo 2, lett. c) del GDPR)
Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha
acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9,
paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati
personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso
in qualsiasi momento.
Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro,
articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR.
Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o
in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società
dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice
email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa,
l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi.
J. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2,
lett. d), 77, paragrafo 1 del GDPR)
Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un
reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo
Page 104 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale
disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di
presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza
abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati
personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare
una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva
essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR).
Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia.
Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di
contattare solo una singola autorità di controllo.
K. Fornitura di dati personali come requisito legale o contrattuale; Requisito
necessario per stipulare un contratto; Obbligo dell’interessato di fornire i dati
personali; possibili conseguenze del mancato conferimento di tali dati (articolo
13, paragrafo 2, lett. e) GDPR)
Chiariamo che la fornitura di dati personali è in parte richiesta dalla legge (ad es. Regolamenti fiscali) o
può anche derivare da disposizioni contrattuali (ad esempio informazioni sul partner contrattuale).
A volte può essere necessario concludere un contratto che l’interessato fornisca dati personali, che
devono successivamente essere elaborati da noi. L’interessato è, per esempio, obbligato a fornire dati
personali quando la nostra azienda firma un contratto con lui o lei. La mancata fornitura dei dati personali
avrebbe come conseguenza che il contratto con l’interessato non poteva essere concluso.
Prima che i dati personali siano forniti dall’interessato, l’interessato deve contattarci. Chiariamo
all’interessato se la fornitura dei dati personali è richiesta dalla legge o dal contratto o è necessaria per
la conclusione del contratto, se esiste l’obbligo di fornire i dati personali e le conseguenze della mancata
fornitura dei dati personali.
L. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui
all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni
significative sulla logica in questione, nonché sulla significatività e le
conseguenze previste di tale trattamento per l’interessato (articolo 13, paragrafo
2, lett. f) GDPR)
In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica.
Page 105 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Rispetto dei requisiti di informazione quando i dati personali non sono
raccolti dall’interessato (articolo 14 del GDPR)
A. Identità e recapiti del titolare del trattamento (articolo 14, paragrafo 1, lett. a), del
GDPR)
Vedi sopra
B. Dati di contatto del responsabile della protezione dei dati (articolo 14, paragrafo
1, lett. b) del GDPR)
Vedi sopra
C. Finalità del trattamento per il quale sono destinati i dati personali nonché base
legale per il trattamento (articolo 14, paragrafo 1, lett. c) GDPR)
Lo scopo del trattamento dei dati personali è la gestione di tutte le operazioni che riguardano il titolare
del trattamento, i clienti, i potenziali clienti, i partner commerciali o altre relazioni contrattuali o
precontrattuali tra i gruppi nominati (nel senso più ampio) o gli obblighi legali del titolare del trattamento.
Se il trattamento di dati personali è necessario per l’esecuzione di un contratto a cui l’interessato è parte,
come ad esempio quando le operazioni di trattamento sono necessarie per la fornitura di beni o per
fornire qualsiasi altro servizio, il trattamento è basato sull’articolo 6, paragrafo 1, lett. b) GDPR. Lo stesso
vale per le operazioni di trattamento necessarie per l’esecuzione di misure precontrattuali, ad esempio
nel caso di richieste relative ai nostri prodotti o servizi. La nostra azienda è soggetta all’obbligo legale in
base al quale è richiesto il trattamento dei dati personali, ad esempio per l’adempimento di obblighi fiscali,
il trattamento è basato sull’art. 6 (1) lett. c) GDPR.
In rari casi, il trattamento di dati personali può essere necessario per proteggere gli interessi vitali
dell’interessato o di un’altra persona fisica. Questo sarebbe il caso, ad esempio, se un visitatore fosse
ferito nella nostra azienda e il suo nome, età, dati di assicurazione sanitaria o altre informazioni vitali
dovrebbero essere trasmessi a un medico, ospedale o altra terza parte. Quindi l’elaborazione si
baserebbe sull’art. 6 (1) lett. d) GDPR.
Infine, le operazioni di trattamento potrebbero essere basate sull’articolo 6, paragrafo 1, lett. f) GDPR.
Questa base giuridica viene utilizzata per le operazioni di trattamento che non sono coperte da nessuno
dei summenzionati motivi legali, se il trattamento è necessario ai fini degli interessi legittimi perseguiti
dalla nostra azienda o da una terza parte, eccetto laddove tali interessi siano superati dagli interessi o
diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Tali operazioni
Page 106 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
di trattamento sono particolarmente ammissibili in quanto sono state espressamente menzionate dal
legislatore europeo. Riteneva che potesse essere assunto un interesse legittimo se l’interessato fosse
un cliente del titolare del trattamento (considerando 47, frase 2, GDPR).
D. Categorie di dati personali interessati (articolo 14, paragrafo 1, lett. d) GDPR)
Dati dei clienti
Dati di potenziali clienti
Dati dei dipendenti
Dati dei fornitori
E. Categorie di destinatari dei dati personali (articolo 14, paragrafo 1, lett. e) GDPR)
Autorità pubbliche
Entità esterne
Ulteriori entità esterne
Elaborazione interna
Elaborazione intragruppo
Altre entità
F. Destinatari in un paese terzo e garanzie appropriate o adeguate e mezzi per
ottenerne una copia o quando sono stati resi disponibili (articolo 14, paragrafo
1, lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR)
Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”)
che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei
dati personali. Un elenco di tutte le società del gruppo può essere richiesto a noi.
Ai sensi dell’articolo 46, paragrafo 1, del GDPR, un titolare del trattamento o un responsabile del
trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il
Page 107 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti
soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite
opportune salvaguardie senza richiedere un’autorizzazione specifica da parte di un’autorità di vigilanza
mediante clausole standard di protezione dei dati, articolo 46, paragrafo 2, lett. c) GDPR.
Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con
tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito
che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli
interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard.
Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU
2010 / L 39, pagina 5-18).
G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse
possibile, i criteri utilizzati per determinare tale periodo (articolo 14, paragrafo 2,
lett. a), GDPR)
I criteri utilizzati per determinare il periodo di conservazione dei dati personali sono i rispettivi periodi di
conservazione previsti dalla legge. Dopo la scadenza di tale periodo, i dati corrispondenti vengono
regolarmente cancellati, a condizione che non siano più necessari per l’adempimento del contratto o
l’inizio di un contratto.
H. Notifica degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo
se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR (Art. 14 (2) lett.
b) GDPR)
Ai sensi dell’articolo 6, paragrafo 1, lett. f) GDPR, il trattamento è lecito solo se il trattamento è necessario
ai fini di interessi legittimi perseguiti dal titolare del trattamento o da un terzo, eccetto laddove tali interessi
siano superati dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono
protezione di dati personali. Secondo il considerando 47, frase 2, GDPR, potrebbe esistere un interesse
legittimo qualora esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento,
ad es. in situazioni in cui l’interessato è un cliente del controllore. In tutti i casi in cui la nostra azienda
elabora i dati personali in base all’articolo 6, paragrafo 1, lett. f) GDPR, il nostro interesse legittimo è nello
svolgere la nostra attività a favore del benessere di tutti i nostri dipendenti e azionisti.
Page 108 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Esistenza del diritto di richiedere al titolare del trattamento accesso e rettifica o
cancellazione di dati personali o restrizione del trattamento in relazione all’interessato
e di opporsi al trattamento nonché al diritto alla portabilità dei dati (articolo 14, paragrafo
2, lett. c) del GDPR)
Tutte le persone interessate hanno i seguenti diritti:
Diritto di accesso
Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso
si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli,
al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo
diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso.
Diritto di rettifica
Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del
trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo
16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del
trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione
integrativa. L’interessato può contattarci per esercitare il diritto di rettifica.
Diritto alla cancellazione (diritto di essere dimenticato)
Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può
essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto
non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è
soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare
un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge.
Diritto alla restrizione dell’elaborazione
Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La
restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1,
lettere a) – d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del
trattamento.
Diritto di obiettare
Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto
di obiettare.
Diritto alla portabilità dei dati
L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa
disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR
il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento,
in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere
Page 109 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati
personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati.
J. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza
pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora
il trattamento si basi sull’articolo 6, paragrafo 1, lett. a), l’articolo 9, paragrafo 2, lett. a)
GDPR (articolo 14, paragrafo 2, lett. d) GDPR)
Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha
acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9,
paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati
personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso
in qualsiasi momento.
Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro,
articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR.
Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o
in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società
dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice
email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa,
l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi.
K. Diritto di presentare un reclamo all’autorità di controllo (articolo 14, paragrafo 2,
lett. e), 77, paragrafo 1 del GDPR)
Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un
reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo
presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale
disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di
presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza
abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati
personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare
una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva
essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR).
Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia.
Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di
contattare solo una singola autorità di controllo.
Page 110 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Fonte: i dati personali provengono e, se del caso, se provengono da fonti
accessibili al pubblico (articolo 14, paragrafo 2, lett. f) GDPR)
In linea di principio, i dati personali vengono raccolti direttamente dall’interessato o in collaborazione con
un’autorità (ad esempio, il recupero di dati da un registro ufficiale). Altri dati sugli interessati sono derivati
da trasferimenti di società del gruppo. Nel contesto di queste informazioni generali, la denominazione
delle fonti esatte da cui provengono i dati personali è impossibile o comporterebbe uno sforzo
sproporzionato ai sensi dell’Art. 14 (5) lett. b) GDPR. In linea di principio, non raccogliamo dati personali
da fonti accessibili pubblicamente.
Qualsiasi soggetto interessato può contattarci in qualsiasi momento per ottenere informazioni più
dettagliate sulle esatte fonti dei dati personali che lo riguardano. Qualora l’origine dei dati personali non
possa essere fornita all’interessato in quanto sono state utilizzate varie fonti, è opportuno fornire
informazioni generali (considerando 61, frase 4, GDPR).
M. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui
all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative
sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale
trattamento per l’interessato (articolo 14, paragrafo 2, lett. g) GDPR)
In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica.
Page 111 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ITALIAN: Informazioni sul trattamento dei dati personali per
dipendenti e richiedenti (articolo 13, 14 GDPR)
Gentile signore o signora,
I dati personali di dipendenti e candidati meritano una protezione speciale. Il nostro obiettivo è di
mantenere il nostro livello di protezione dei dati ad un alto livello. Pertanto, sviluppiamo costantemente i
nostri concetti di protezione dei dati e sicurezza dei dati.
Ovviamente, rispettiamo le disposizioni legali sulla protezione dei dati. Ai sensi dell’articolo 13, 14 GDPR,
i titolari del trattamento soddisfano specifici requisiti di informazione nel trattamento dei dati personali.
Questo documento soddisfa questi obblighi.
La terminologia della regolamentazione legale è complicata. Sfortunatamente, l’uso di termini legali non
può essere evitato nella preparazione di questo documento. Pertanto, vorremmo sottolineare che siete
sempre i benvenuti a contattarci per tutte le domande riguardanti questo documento, i termini usati o le
formulazioni.
I. Rispetto dei requisiti in materia di informazione quando i dati personali
sono raccolti dall’interessato (articolo 13 del GDPR)
A. Identità e recapiti del titolare del trattamento (articolo 13, paragrafo 1, lett. a) del
GDPR)
Vedi sopra
B. Dati di contatto del responsabile della protezione dei dati (articolo 13, paragrafo 1,
lett. b) del GDPR)
Vedi sopra
C. Finalità del trattamento al quale sono destinati i dati personali nonché base
legale per il trattamento (articolo 13, paragrafo 1, lett. c) GDPR)
Per i dati del richiedente, lo scopo del trattamento dei dati è di condurre un esame dell’applicazione
durante il processo di assunzione. A tale scopo, elaboriamo tutti i dati forniti dall’utente. Sulla base dei
Page 112 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
dati presentati durante il processo di assunzione, verificheremo se sei stato invitato a un colloquio di
lavoro (parte del processo di selezione). Nel caso di candidati generalmente idonei, in particolare nel
contesto del colloquio di lavoro, elaboriamo alcuni altri dati personali forniti da voi, che è essenziale per
la nostra decisione di selezione. Se sei assunto da noi, i dati del candidato cambieranno
automaticamente in dati dei dipendenti. Come parte del processo di reclutamento, elaboreremo altri dati
personali che ti richiediamo e che sono necessari per avviare o soddisfare il tuo contratto (come numeri
di identificazione personale o numeri di imposta). Per i dati dei dipendenti, lo scopo del trattamento dei
dati è l’esecuzione del contratto di lavoro o l’adempimento ad altre disposizioni legali applicabili al
rapporto di lavoro (es. Diritto tributario), nonché l’uso dei dati personali per eseguire il contratto di lavoro
concluso con voi (es. pubblicazione del tuo nome e delle informazioni di contatto all’interno dell’azienda
o ai clienti). I dati dei dipendenti vengono archiviati dopo la cessazione del rapporto di lavoro per rispettare
i periodi di conservazione legale.
La base giuridica per l’elaborazione dei dati è l’articolo 6, paragrafo 1, lett. b) GDPR, articolo 9, paragrafo
2, lett. b) e h) GDPR, articolo 88 (1) del GDPR e legislazione nazionale, come per la Germania Sezione
26 BDSG (Legge federale sulla protezione dei dati).
D. Categorie di destinatari dei dati personali (articolo 13, paragrafo 1, lett. e) GDPR)
Autorità pubbliche
Entità esterne
Ulteriori entità esterne
Elaborazione interna
Elaborazione intragruppo
Altre entità
E. Destinatari in un paese terzo e garanzie appropriate o adeguate e i mezzi con
cui ottenerne una copia o quando sono stati resi disponibili (articolo 13, paragrafo 1,
lett. f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR)
Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”)
che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei
dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi.
Page 113 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Ai sensi dell’articolo 46, paragrafo 1, del GDPR, un titolare del trattamento o un responsabile del
trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il
responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti
soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite
appropriate misure di salvaguardia senza richiedere un’autorizzazione specifica da parte di un’autorità di
controllo mediante clausole contrattuali standard, articolo 46, paragrafo 2, lett. c) GDPR.
Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con
tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito
che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli
interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard.
Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU
2010 / L 39, pagina 5-18).
F. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse
possibile, i criteri utilizzati per determinare tale periodo (articolo 13, paragrafo 2, lett. a),
GDPR)
La durata della conservazione dei dati personali dei candidati è di 6 mesi. Per i dati dei dipendenti si
applica il rispettivo periodo di conservazione previsto dalla legge. Dopo la scadenza di tale periodo, i dati
corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per
l’adempimento del contratto o l’inizio di un contratto.
G. Esistenza del diritto di richiedere al titolare del trattamento l’accesso e la rettifica
o cancellazione di dati personali o la limitazione del trattamento della persona
interessata o di opporsi al trattamento nonché il diritto alla portabilità dei dati (articolo
13, paragrafo 2, lett. b) del GDPR)
Tutte le persone interessate hanno i seguenti diritti:
Diritto di accesso
Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso
si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli,
al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo
diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso.
Diritto di rettifica
Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del
trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo
Page 114 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del
trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione
integrativa. L’interessato può contattarci per esercitare il diritto di rettifica.
Diritto alla cancellazione (diritto di essere dimenticato)
Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può
essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto
non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è
soggetta la nostra società, articolo 17, paragrafo 3, lett. b) GDPR. Ciò significa che possiamo approvare
un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge.
Diritto alla restrizione dell’elaborazione
Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La
restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1,
lettere a)-d) GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del
trattamento.
Diritto di obiettare
Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto
di obiettare.
Diritto alla portabilità dei dati
L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa
disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a) e b) GDPR
il diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento,
in un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere
tali dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati
personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati.
H. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza
pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora
il trattamento si basi sull’articolo 6, paragrafo 1, lett. a) GDPR o l’Articolo 9 (2) lett. a)
GDPR (articolo 13, paragrafo 2, lett. c) del GDPR)
Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a) GDPR, che è il caso, se l’interessato ha
acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9,
paragrafo 2, lett. a) GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati
personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso
in qualsiasi momento.
Page 115 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro,
articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR.
Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o
in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società
dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice
email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa,
l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi.
I. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2, lett.
d), 77, paragrafo 1 del GDPR)
Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un
reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d) GDPR. Il diritto di presentare un reclamo
presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale
disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di
presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza
abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati
personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare
una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva
essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR).
Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia.
Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di
contattare solo una singola autorità di controllo.
J. Fornitura di dati personali come requisito legale o contrattuale; Requisito
necessario per stipulare un contratto; Obbligo dell’interessato di fornire i dati personali;
possibili conseguenze del mancato conferimento di tali dati (articolo 13, paragrafo 2,
lett. e) GDPR)
Chiariamo che la fornitura di dati personali è in parte richiesta dalla legge (ad es. Regolamenti fiscali) o
può anche derivare da disposizioni contrattuali (ad esempio informazioni sul partner contrattuale).
A volte può essere necessario concludere un contratto che l’interessato fornisca dati personali, che
devono successivamente essere elaborati da noi. L’interessato è, per esempio, obbligato a fornire dati
personali quando la nostra azienda firma un contratto con lui o lei. La mancata fornitura dei dati personali
avrebbe come conseguenza che il contratto con l’interessato non poteva essere concluso.
Page 116 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Prima che i dati personali siano forniti dall’interessato, l’interessato deve contattarci. Chiariamo
all’interessato se la fornitura dei dati personali è richiesta dalla legge o dal contratto o è necessaria per
la conclusione del contratto, se esiste l’obbligo di fornire i dati personali e le conseguenze della mancata
fornitura dei dati personali.
K. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui
all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative
sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale
trattamento per l’interessato (articolo 13, paragrafo 2, lett. f) GDPR)
In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica.
II. Rispetto dei requisiti di informazione quando i dati personali non sono
raccolti dall’interessato (articolo 14 del GDPR)
A. Identità e recapiti del titolare del trattamento (articolo 14, paragrafo 1, lett. a), del
GDPR)
Vedi sopra
B. Dati di contatto del responsabile della protezione dei dati (articolo 14, paragrafo
1, lett. b) del GDPR)
Vedi sopra
C. Finalità del trattamento per il quale sono destinati i dati personali nonché base
legale per il trattamento (articolo 14, paragrafo 1, lett. c) GDPR)
Per i dati del richiedente non raccolti dall’interessato, lo scopo del trattamento dei dati è di condurre un
esame dell’applicazione durante il processo di assunzione. A tal fine, potremmo elaborare dati non
raccolti da te. Sulla base dei dati elaborati durante il processo di assunzione, verificheremo se sei stato
invitato a un colloquio di lavoro (parte del processo di selezione). Se sei assunto da noi, i dati del
candidato si convertiranno automaticamente in dati dei dipendenti. Per i dati dei dipendenti, lo scopo del
trattamento dei dati è l’esecuzione del contratto di lavoro o l’osservanza di altre disposizioni legali
Page 117 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
applicabili al rapporto di lavoro. I dati dei dipendenti vengono archiviati dopo la cessazione del rapporto
di lavoro per rispettare i periodi di conservazione legale.
La base giuridica per l’elaborazione dei dati è l’articolo 6, paragrafo 1, lett. b) e f) GDPR, articolo 9,
paragrafo 2, lett. b) e h) GDPR, articolo 88 (1) del GDPR e legislazione nazionale, come per la Germania
Sezione 26 BDSG (Legge federale sulla protezione dei dati).
D. Categorie di dati personali interessati (articolo 14, paragrafo 1, lett. d) GDPR)
Dati del richiedente
Dati dei dipendenti
E. Categorie di destinatari dei dati personali (articolo 14, paragrafo 1, lett. e) GDPR)
Autorità pubbliche
Entità esterne
Ulteriori entità esterne
Elaborazione interna
Elaborazione intragruppo
Altre entità
F. Destinatari in un paese terzo e garanzie appropriate o adeguate e mezzi per
ottenerne una copia o quando sono stati resi disponibili (articolo 14, paragrafo 1, lett.
f), 46, paragrafo 1, articolo 46, paragrafo 2, lett. c) GDPR)
Tutte le società e le filiali che fanno parte del nostro gruppo (in seguito denominate “società del gruppo”)
che hanno la loro sede di attività o un ufficio in un paese terzo possono appartenere ai destinatari dei
dati personali. Un elenco di tutte le società del gruppo o dei destinatari può essere richiesto a noi.
Ai sensi dell’articolo 46, paragrafo 1 del GDPR, un titolare del trattamento o un responsabile del
trattamento può trasferire dati personali solo a un paese terzo se il titolare del trattamento o il
responsabile del trattamento ha fornito garanzie appropriate e a condizione che siano disponibili diritti
Page 118 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
soggetti a diritti esecutivi e rimedi giuridici efficaci per le persone interessate. Possono essere fornite
opportune salvaguardie senza richiedere un’autorizzazione specifica da parte di un’autorità di controllo
mediante clausole standard di protezione dei dati, articolo 46, paragrafo 2, lett. c) GDPR.
Le clausole contrattuali standard dell’Unione europea o altre garanzie appropriate sono concordate con
tutti i beneficiari di paesi terzi prima della prima trasmissione di dati personali. Di conseguenza, è garantito
che siano garantite garanzie appropriate, diritti soggetti a diritti esecutivi e rimedi giuridici efficaci per gli
interessati. Ogni persona interessata può ottenere da noi una copia delle clausole contrattuali standard.
Le clausole contrattuali standard sono inoltre disponibili nella Gazzetta ufficiale dell’Unione europea (GU
2010 / L 39, pagina 5-18).
G. Periodo per il quale saranno conservati i dati personali o, se ciò non fosse
possibile, i criteri utilizzati per determinare tale periodo (articolo 14, paragrafo 2, lett. a)
GDPR)
La durata della conservazione dei dati personali dei candidati è di 6 mesi. Per i dati dei dipendenti si
applica il rispettivo periodo di conservazione previsto dalla legge. Dopo la scadenza di tale periodo, i dati
corrispondenti vengono regolarmente cancellati, a condizione che non siano più necessari per
l’adempimento del contratto o l’inizio di un contratto.
H. Notifica degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo
se il trattamento si basa sull’articolo 6, paragrafo 1, lett. f) GDPR (Art. 14 (2) lett. b)
GDPR)
Ai sensi dell’articolo 6, paragrafo 1, lett. f) GDPR, il trattamento è lecito solo se il trattamento è necessario
ai fini di interessi legittimi perseguiti dal titolare del trattamento o da un terzo, eccetto laddove tali interessi
siano superati dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato che richiedono
protezione di dati personali. Secondo il considerando 47, frase 2, GDPR, potrebbe esistere un interesse
legittimo qualora esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento,
ad es. in situazioni in cui l’interessato è un cliente del titolare del trattamento. In tutti i casi in cui la nostra
società elabora i dati del richiedente in base all’articolo 6, paragrafo 1, lett. a). Per GDPR, il nostro
legittimo interesse è l’impiego di personale e professionisti adatti.
Page 119 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Esistenza del diritto di richiedere al titolare del trattamento accesso e rettifica o
cancellazione di dati personali o restrizione del trattamento in relazione all’interessato
e di opporsi al trattamento nonché al diritto alla portabilità dei dati (articolo 14, paragrafo
2, lett. c) del GDPR)
Tutte le persone interessate hanno i seguenti diritti:
Diritto di accesso
Ogni soggetto interessato ha il diritto di accedere ai dati personali che lo riguardano. Il diritto di accesso
si estende a tutti i dati elaborati da noi. Il diritto può essere esercitato facilmente e ad intervalli ragionevoli,
al fine di essere a conoscenza e verificare la liceità del trattamento (Considerando 63 GDPR). Questo
diritto deriva dall’art. 15 GDPR. L’interessato può contattarci per esercitare il diritto di accesso.
Diritto di rettifica
Ai sensi dell’articolo 16, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere dal titolare del
trattamento, senza indebito ritardo, la rettifica di dati personali inesatti che lo riguardano. Inoltre, l’articolo
16, paragrafo 2 del GDPR prevede che l’interessato abbia diritto, in considerazione delle finalità del
trattamento, a che i dati personali siano incompleti, anche mediante la presentazione di una dichiarazione
integrativa. L’interessato può contattarci per esercitare il diritto di rettifica.
Diritto alla cancellazione (diritto di essere dimenticato)
Inoltre, l’interessato ha il diritto alla cancellazione e all’oblio ai sensi dell’art. 17 GDPR. Questo diritto può
essere esercitato anche contattandoci. A questo punto, tuttavia, vorremmo sottolineare che questo diritto
non si applica nella misura in cui il trattamento è necessario per adempiere a un obbligo legale a cui è
soggetta la nostra società, articolo 17, paragrafo 3, lett. b GDPR. Ciò significa che possiamo approvare
un’applicazione da cancellare solo dopo la scadenza del periodo di conservazione previsto dalla legge.
Diritto alla restrizione dell’elaborazione
Ai sensi dell’articolo 18 del GDPR, ogni interessato ha diritto a una restrizione del trattamento. La
restrizione del trattamento può essere richiesta se una delle condizioni di cui all’articolo 18, paragrafo 1,
lettere a-d GDPR è soddisfatto. L’interessato può contattarci per esercitare il diritto alla restrizione del
trattamento.
Diritto di obiettare
Inoltre, l’art. 21 GDPR garantisce il diritto di obiettare. L’interessato può contattarci per esercitare il diritto
di obiettare.
Diritto alla portabilità dei dati
L’articolo 20 del GDPR conferisce all’interessato il diritto alla portabilità dei dati. Ai sensi di questa
disposizione, la persona interessata ha le condizioni di cui all’articolo 20, paragrafo 1, lett. a e b GDPR il
diritto di ricevere i dati personali che lo riguardano, che lui o lei ha fornito a un titolare del trattamento, in
un formato strutturato, comunemente usato e leggibile da una macchina e ha il diritto di trasmettere tali
Page 120 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
dati a un altro titolare del trattamento senza impedimenti dal controllore a cui sono stati forniti i dati
personali. L’interessato può contattarci per esercitare il diritto alla portabilità dei dati.
J. L’esistenza del diritto di revocare il consenso in qualsiasi momento, senza
pregiudizio della liceità del trattamento basato sul consenso prima del suo ritiro, qualora
il trattamento si basi sull’articolo 6, paragrafo 1, lett. a o l’articolo 9, paragrafo 2, lett. a
GDPR (articolo 14, paragrafo 2, lett. d GDPR)
Se il trattamento dei dati personali è basato sull’art. 6 (1) lett. a GDPR, che è il caso, se l’interessato ha
acconsentito al trattamento dei dati personali per uno o più scopi specifici o è basato sull’articolo 9,
paragrafo 2, lett. la GDPR, che regola il consenso esplicito al trattamento di categorie speciali di dati
personali, l’interessato ha in base all’articolo 7 (3) Frase 1 GDPR il diritto di revocare il proprio consenso
in qualsiasi momento.
Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prima del suo ritiro,
articolo 7, paragrafo 3, frase 2 GDPR. Deve essere facile ritirare il consenso, art. 7 (3) Frase 4 GDPR.
Pertanto, il ritiro del consenso può sempre avvenire nello stesso modo in cui è stato dato il consenso o
in qualsiasi altro modo, che è considerato dall’interessato essere più semplice. Nella società
dell’informazione di oggi, probabilmente il modo più semplice per ritirare il consenso è una semplice
email. Se l’interessato desidera ritirare il suo consenso, ci è sufficiente una semplice email. In alternativa,
l’interessato può scegliere qualsiasi altro modo per comunicare il suo ritiro del consenso a noi.
K. Diritto di presentare un reclamo all’autorità di controllo (articolo 13, paragrafo 2,
lett. d), 77, paragrafo 1 del GDPR)
Come titolare del trattamento, siamo obbligati a comunicare all’interessato il diritto di presentare un
reclamo all’autorità di controllo, articolo 13, paragrafo 2, lett. d GDPR. Il diritto di presentare un reclamo
presso un’autorità di controllo è regolato dall’articolo 77, paragrafo 1 del GDPR. In base a tale
disposizione, fatto salvo ogni altro rimedio amministrativo o giudiziario, ogni interessato ha il diritto di
presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza
abituale, luogo di lavoro o luogo di la presunta violazione se l’interessato ritiene che il trattamento di dati
personali che lo riguardano violino il regolamento generale sulla protezione dei dati. Il diritto di presentare
una denuncia presso un’autorità di controllo era limitato dal diritto dell’Unione solo in tal modo, che poteva
essere esercitato solo dinanzi a un’unica autorità di vigilanza (Considerando 141, frase 1, del GDPR).
Questa regola è intesa ad evitare i doppi reclami della stessa persona interessata nella stessa materia.
Se una persona interessata desidera presentare un reclamo su di noi, abbiamo quindi chiesto di
contattare solo una singola autorità di controllo.
Page 121 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. I dati personali provengono e, se del caso, provengono da fonti accessibili al
pubblico (articolo 14, paragrafo 2, lett. g) del GDPR)
In linea di principio, i dati personali vengono raccolti direttamente dall’interessato o in collaborazione con
un’autorità (ad esempio, il recupero di dati da un registro ufficiale). Altri dati sugli interessati sono derivati
da trasferimenti di società del gruppo. Nel contesto di queste informazioni generali, la denominazione
delle fonti esatte da cui provengono i dati personali è impossibile o comporterebbe uno sforzo
sproporzionato ai sensi dell’Art. 14 (5) lett. b_ GDPR. In linea di principio, non raccogliamo dati personali
da fonti accessibili pubblicamente.
Qualsiasi soggetto interessato può contattarci in qualsiasi momento per ottenere informazioni più
dettagliate sulle esatte fonti dei dati personali che lo riguardano. Qualora l’origine dei dati personali non
possa essere fornita all’interessato in quanto sono state utilizzate varie fonti, è opportuno fornire
informazioni generali (considerando 61, frase 4, GDPR).
M. Esistenza di processi decisionali automatizzati, inclusa la profilazione, di cui
all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative
sulla logica in questione, nonché sulla significatività e le conseguenze previste di tale
trattamento per l’interessato (articolo 14, paragrafo 2, lett. g) GDPR)
In quanto società responsabile, non usiamo il processo decisionale o la profilazione automatica.
Page 122 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
DUTCH: Informatie over de verwerking van
persoonsgegevens (Artikel 13, 14 AVG)
Geachte heer, geachte mevrouw,
De persoonsgegevens van elke persoon die een contractuele, precontractuele of andere relatie met ons
bedrijf heeft, verdienen speciale bescherming. Ons doel is ons gegevensbeschermingsniveau aan een
hoge standaard te laten voldoen. Daarom zorgen wij voor een voortdurende ontwikkeling van onze
concepten voor gegevensbescherming en gegevensbeveiliging.
Uiteraard voldoen wij aan de wettelijke bepalingen inzake gegevensbescherming. Volgens de artikelen
13 en 14 van de AVG moeten bedrijven aan specifieke informatievereisten voldoen bij het verzamelen
van persoonsgegevens. Dit document voldoet aan deze verplichtingen.
De terminologie van wettelijke regelgeving is gecompliceerd. Helaas kon het gebruik van wettelijke
termen niet worden voorkomen bij de voorbereiding van dit document. Daarom willen we u er graag op
wijzen dat u altijd contact kunt opnemen met onze functionaris voor gegevensbescherming voor alle
vragen die u hebt over dit document en de gebruikte termen of formuleringen.
I. Te verstrekken informatie wanneer persoonsgegevens bij de
betrokkene worden verzameld (artikel 13 AVG)
A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 13,
lid 1, punt a AVG)
Zie bovenstaande
B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 13, lid
1, punt b AVG)
Zie bovenstaande
Page 123 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de
rechtsgrond voor de verwerking (artikel 13, lid 1, punt c AVG)
Het doel van het verwerken van persoonsgegevens is de uitvoer van alle activiteiten die
verwerkingsverantwoordelijke, klanten, prospecten, zakelijke partners of andere contractuele of
precontractuele relaties tussen de genoemde groepen (in de breedste zin van het woord) betreffen of
wettelijke verplichtingen van de verwerkingsverantwoordelijke.
Artikel 6, lid 1, punt a AVG dient als de wettelijke basis voor verwerkingsactiviteiten waarvoor wij
toestemming vragen voor een specifiek verwerkingsdoel. Als de verwerking van persoonsgegevens
nodig is voor het uitvoeren van een contract waarvan de betrokkene partij is, zoals het geval bijvoorbeeld
bij verwerkingsactiviteiten die nodig zijn voor de levering van goederen of van enige andere dienst, is de
verwerking gebaseerd op artikel 6, lid 1, punt b AVG. Hetzelfde is van toepassing bij
verwerkingsactiviteiten die noodzakelijk zijn voor het uitvoeren van precontractuele maatregelen,
bijvoorbeeld in het geval van vragen over onze producten of diensten. Als ons bedrijf onderworpen is aan
een wettelijke verplichting die de verwerking van persoonsgegevens vereist, zoals voor het uitvoeren van
belastingverplichtingen, is de verwerking gebaseerd op artikel 6, lid 1, punt c AVG.
In zeldzame gevallen kan de verwerking van persoonsgegevens nodig zijn om de vitale belangen van
betrokkene of van een andere natuurlijke persoon te beschermen. Dit zou het geval zijn als bijvoorbeeld
een bezoeker gewond zou raken in ons bedrijf en zijn naam, leeftijd, verzekeringsnummer of andere
belangrijke informatie doorgegeven zouden moeten worden doorgegeven aan een arts, ziekenhuis of
andere derde. De verwerking zou dan gebaseerd zijn op artikel 6, lid 1, punt d AVG.
En verder kunnen verwerkingsactiviteiten gebaseerd zijn op artikel 6, lid 1, punt f AVG. Deze wettelijke
basis wordt gebruikt voor verwerkingsactiviteiten die niet worden gedekt door enige bovengenoemde
wettelijke reden, als de verwerking nodig is voor de gerechtvaardigde belangen die ons bedrijf of een
derde nastreeft, behalve wanneer dergelijke belangen worden overschreven door de belangen van
fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens
vereisen. Dergelijke verwerkingsactiviteiten zijn met name toegestaan omdat ze specifiek worden
genoemd door de Europese wetgever. Deze overwoog dat een legitiem belang kon worden aangenomen
indien betrokkene een klant van de verwerkingsverantwoordelijke is (Overweging 47 zin 2 AVG).
D. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een
derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd
Waar het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt f AVG is het legitiem
belang om ons bedrijf uit te voeren in het belang van het welzijn van al onze medewerkers en
aandeelhouders.
Page 124 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categorieën ontvangers van de persoonsgegevens (artikel 13, lid 1, punt e AVG)
Overheidsinstanties
Externe instanties
Andere externe instanties
Interne verwerking
Verwerking binnen een groep
Andere instanties
F. Ontvangers in een derde land en passende of geschikte waarborgen en de
manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn
gemaakt (artikel 13, lid 1, punt e, 46, lid 1, 46, lid 2, punt c AVG)
Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun
bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van
persoonsgegevens.
Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens
uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker
passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en
doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat
hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules,
artikel 46 lid 2, punt c AVG.
De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit
derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat
passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor
betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke
betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor
gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van
de Europese Unie (PB 2010 / L 39, blz. 5-18).
Page 125 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien
dat niet nodig is de criteria die worden gebruikt om die periode te bepalen (artikel 13,
lid 2, punt a AVG)
De criteria die worden gebruikt om de periode van opslag van persoonsgegevens te bepalen is de
respectievelijke bewaarperiode. Na verloop van die periode worden de betreffende gegevens
routinematig verwijderd, zo lang ze niet langer nodig zijn voor het voldoen aan het contract of het initiëren
van een contract.
H. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om
inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de
hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar
te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG)
Alle betrokkenen hebben de volgende rechten:
Recht op toegang
Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op
toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met
redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze
te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact
opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen.
Recht op rectificatie
Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de
verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te
verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming
van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door
een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris
voor gegevensverwerking om het recht op rectificatie uit te oefenen.
Recht op wissing (recht op vergetelheid)
Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan
ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit
punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is
om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3,
punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen
van de wettelijke bewaartermijn.
Page 126 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Recht op beperking van verwerking
Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking
van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid
1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking
om het recht op beperking van de verwerking uit te oefenen.
Recht van bezwaar
Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze
functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen.
Recht op overdraagbaarheid van gegevens
Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze
voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en
b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke
heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft
het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te
worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt
De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op
overdraagbaarheid van gegevens uit te oefenen.
I. Het bestaan van het recht om de toestemming te allen tijde in te trekken, zonder
dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, waar de verwerking is gebaseerd op
artikel 6, lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 13, lid 2, punt c AVG)
Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is,
als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere
specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming
voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7,
lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken.
Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de
toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken
van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere
manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag
is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn
aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor
Page 127 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken
van zijn toestemming aan ons te communiceren.
J. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel
13, lid 2, punt d, 77, lid 1 AVG)
Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het
recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht
om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere
natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit
van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of
plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens
inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij
een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het
uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1
AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te
voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact
op te nemen met slechts één toezichthoudende autoriteit.
K. De verstrekking van persoonsgegevens als wettelijke of contractuele
verplichting; Noodzakelijke voorwaarde om een overeenkomst te sluiten; Verplichting
van de betrokkene de persoonsgegevens te verstrekken; Mogelijke gevolgen wanneer
deze gegevens niet worden verstrekt (artikel
13, lid 2, punt e AVG)
Wij lichten toe dat de voorziening van persoonsgegevens deels voor de wet vereist is (bijvoorbeeld
belastingregels) of ook het resultaat kan zijn van contractuele voorzieningen (bijvoorbeeld informatie over
de contractpartner).
Soms kan het nodig zijn om een contract te sluiten waarvoor de betrokkene ons persoonsgegevens
verstrekt, die vervolgens door ons verwerkt moeten worden. De betrokkene is, bijvoorbeeld, verplicht ons
persoonsgegevens toe te sturen wanneer ons bedrijf een contract met hem of haar tekent. Het niet
verstrekken van persoonsgegevens zou tot gevolg hebben dat het contract met de betrokkene niet
getekend zou kunnen worden.
Voordat persoonsgegevens worden verstrekt door de betrokkene, moet de betrokkene contact opnemen
met onze functionaris gegevensbescherming. Onze functionaris gegevensbescherming licht aan de
Page 128 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
betrokkene toe of het verstrekken van de persoonsgegevens wettelijk vereist is, of voor het tekenen van
een contract nodig is, of er een verplichting bestaat de persoonsgegevens te verstrekken en wat de
gevolgen zijn van het niet verstrekken van de persoonsgegevens.
L. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals
opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke
informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van
dergelijke verwerking voor betrokkene (artikel 13, lid 2, punt f AVG)
Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering.
II. Voldoen aan de informatievereisten bij het niet verzamelen van
persoonsgegevens van de betrokkene (artikel 14 AVG)
A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 14,
lid 1, punt a AVG)
Zie bovenstaande
B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 14, lid
1, punt b AVG)
Zie bovenstaande
C. Verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de
rechtsgrond voor de verwerking (artikel 14, lid 1, punt c AVG)
Het doel van het verwerken van persoonsgegevens is de uitvoer van alle activiteiten die
verwerkingsverantwoordelijke, klanten, prospecten, zakelijke partners of andere contractuele of
precontractuele relaties tussen de genoemde groepen (in de breedste zin van het woord) betreffen of
wettelijke verplichtingen van de verwerkingsverantwoordelijke.
Als de verwerking van persoonsgegevens nodig is voor het uitvoeren van een contract waarvan de
betrokkene partij is, zoals het geval bijvoorbeeld bij verwerkingsactiviteiten die nodig zijn voor de levering
van goederen of van enige andere dienst, is de verwerking gebaseerd op artikel 6, lid 1, punt b AVG.
Hetzelfde is van toepassing bij verwerkingsactiviteiten die noodzakelijk zijn voor het uitvoeren van prePage
129 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
contractuele maatregelen, bijvoorbeeld in het geval van vragen over onze producten of diensten. Als ons
bedrijf onderworpen is aan een wettelijke verplichting die de verwerking van persoonsgegevens vereist,
zoals voor het uitvoeren van belastingverplichtingen, is de verwerking gebaseerd op artikel 6, lid 1, punt
c AVG.
In zeldzame gevallen kan de verwerking van persoonsgegevens nodig zijn om de vitale belangen van
betrokkene of van een andere natuurlijke persoon te beschermen. Dit zou het geval zijn als bijvoorbeeld
een bezoeker gewond zou raken in ons bedrijf en zijn naam, leeftijd, verzekeringsnummer of andere
belangrijke informatie doorgegeven zouden moeten worden doorgegeven aan een arts, ziekenhuis of
andere derde. De verwerking zou dan gebaseerd zijn op artikel 6, lid 1, punt d AVG.
En verder kunnen verwerkingsactiviteiten gebaseerd zijn op artikel 6, lid 1, punt f AVG. Deze wettelijke
basis wordt gebruikt voor verwerkingsactiviteiten die niet worden gedekt door enige bovengenoemde
wettelijke reden, als de verwerking nodig is voor de gerechtvaardigde belangen die ons bedrijf of een
derde nastreeft, behalve wanneer dergelijke belangen worden overschreven door de belangen van
fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens
vereisen. Dergelijke verwerkingsactiviteiten zijn met name toegestaan omdat ze specifiek worden
genoemd door de Europese wetgever. Deze overwoog dat een legitiem belang kon worden aangenomen
indien betrokkene een klant van de verwerkingsverantwoordelijke is (Overweging 47 zin 2 AVG).
D. Betrokken categorieën van persoonsgegevens (artikel 14(, lid 1, punt d AVG)
Klantgegevens
Gegevens van mogelijke klanten
Gegevens van medewerkers
Gegevens van leveranciers
E. Categorieën ontvangers van de persoonsgegevens (artikel 14, lid 1, punt e AVG)
Overheidsinstanties
Externe instanties
Andere externe instanties
Interne verwerking
Page 130 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Verwerking binnen een groep
Andere instanties
F. Ontvangers in een derde land en passende of geschikte waarborgen en de
manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn
gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG)
Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun
bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van
persoonsgegevens.
Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens
uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker
passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en
doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat
hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules,
artikel 46 lid 2, punt c AVG.
De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit
derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat
passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor
betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke
betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor
gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van
de Europese Unie (PB 2010 / L 39, blz. 5-18).
G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien
dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen (artikel
14, lid 2, punt a AVG)
De criteria die worden gebruikt om de periode van opslag van persoonsgegevens te bepalen is de
respectievelijke bewaarperiode. Na verloop van die periode worden de betreffende gegevens
routinematig verwijderd, zo lang ze niet langer nodig zijn voor het voldoen aan het contract of het initiëren
van een contract.
Page 131 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Melding van de legitieme belangen nagestreefd door de
verwerkingsverantwoordelijke of door een derde is gebaseerd op (artikel 6, lid 1, punt f
AVG) (artikel 14, lid 2, punt b AVG)
Volgens artikel 6, lid 1, punt f AVG, is de verwerking alleen gewettigd als de verwerking nodig is voor de
gerechtvaardigde belangen die de verwerkingsverantwoordelijke of een derde nastreeft, behalve
wanneer dergelijke belangen worden overschreven door de belangen van fundamentele rechten en
vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen. Volgens Overweging
47 zin 2 AVG kan een legitiem belang bestaan wanneer er een relevante en passende relatie bestaat
tussen de betrokkene en de verwerkingsverantwoordelijke, bijvoorbeeld in situaties waar de betrokkene
een klant is van de verwerkingsverantwoordelijke. Waar het verwerken van persoonsgegevens is
gebaseerd op artikel 6, lid 1, punt f AVG is ons legitiem belang om ons bedrijf uit te voeren in het belang
van het welzijn van al onze medewerkers en aandeelhouders.
I. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om
inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de
hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar
te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG)
Alle betrokkenen hebben de volgende rechten:
Recht op toegang
Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op
toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met
redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze
te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact
opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen.
Recht op rectificatie
Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de
verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te
verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming
van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door
een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris
voor gegevensverwerking om het recht op rectificatie uit te oefenen.
Recht op wissing (recht op vergetelheid)
Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan
ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit
punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is
Page 132 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3,
punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen
van de wettelijke bewaartermijn.
Recht op beperking van verwerking
Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking
van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid
1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking
om het recht op beperking van de verwerking uit te oefenen.
Recht van bezwaar
Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze
functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen.
Recht op overdraagbaarheid van gegevens
Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze
voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en
b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke
heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft
het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te
worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt
De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op
overdraagbaarheid van gegevens uit te oefenen.
J. Het bestaan van het recht om toestemming in te trekken op elk moment, zonder
de wettigheid van de verwerking op basis van toestemming voordat deze werd
ingetrokken, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid
2, punt a AVG (artikel 14, lid 2, punt d AVG)
Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is,
als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere
specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming
voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7,
lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken.
Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de
toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken
van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere
manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag
Page 133 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn
aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor
gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken
van zijn toestemming aan ons te communiceren.
K. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel
14, lid 2, punt e, 77, lid 1 AVG)
Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het
recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht
om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere
natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit
van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of
plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens
inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij
een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het
uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1
AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te
voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact
op te nemen met slechts één toezichthoudende autoriteit.
L. De bron waar de persoonsgegevens vandaan komen, en in voorkomend geval,
of zij afkomstig zijn van openbare bronnen (artikel 14, lid 2, punt f AVG)
In principe worden de persoonsgegevens rechtstreeks verzameld van de betrokkene of in samenwerking
met een autoriteit (bijvoorbeeld het opzoeken van gegevens in een officieel register). Andere gegevens
over betrokkenen worden afgeleid van overschrijvingen van groepsbedrijven. In de context van deze
algemene informatie, is het noemen van de exacte bronnen waarvan de persoonsgegevens afkomstig
zijn ofwel onmogelijk of zou dit onevenredig veel inspanning vergen binnen de betekenis van artikel 14,
lid 5, punt b AVG. In principe verzamelen wij geen persoonsgegevens van openbaar toegankelijke
diensten.
Elke betrokkene kan te allen tijde contact opnemen met onze functionaris gegevensbescherming om
meer gedetailleerde informatie te krijgen over de exacte bronnen van de persoonsgegevens die hem of
haar betreffen. Waar de oorsprong van de persoonsgegevens niet kan worden verstrekt aan de
betrokkene omdat verschillende bronnen gebruikt zijn, moet algemene informatie worden verstrekt
(Overweging 61, zin 4 AVG).
Page 134 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals
opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke
informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van
dergelijke verwerking voor betrokkene (artikel 14, lid 2, punt g AVG)
Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering.
Page 135 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
DUTCH: Informatie over de verwerking van
persoonsgegevens voor werknemers en sollicitanten (artikel
13, 14 AVG)
Geachte heer, geachte mevrouw,
Persoonsgegevens van werknemers en sollicitanten verdienen speciale bescherming. Ons doel is om
gegevensbescherming aan een hoge standaard te laten voldoen. Daarom scherpen wij onze visie op
gegevensbescherming en gegevensbeveiliging constant aan.
Uiteraard voldoen wij aan de wettelijke bepalingen inzake gegevensbescherming. Volgens de artikelen
13 en 14 van de AVG moeten verwerkingsverantwoordelijken aan specifieke informatievereisten voldoen
bij het verzamelen van persoonsgegevens. Dit document voldoet aan deze verplichtingen.
De terminologie van wettelijke regelgeving is ingewikkeld. Helaas kon het gebruik van wettelijke termen
niet worden voorkomen bij de voorbereiding van dit document. Daarom willen we u er graag op wijzen
dat u altijd contact kunt opnemen met ons voor alle vragen die u hebt over dit document en de gebruikte
termen of formuleringen.
I. Te verstrekken informatie wanneer persoonsgegevens bij de
betrokkene worden verzameld (artikel 13 AVG)
A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 13,
lid 1, punt a AVG)
Zie bovenstaande
B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 13, lid
1, punt b AVG)
Zie bovenstaande
Page 136 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook
de rechtsgrond voor de verwerking (artikel 13, lid 1, punt c AVG)
Voor de gegevens van de sollicitant is het doel van gegevensverwerking het onderzoeken van de
sollicitatie tijdens het wervingsproces. Voor dit doel verwerken wij alle gegevens die door u zijn verstrekt.
Op basis van de gegevens die tijdens het wervingsproces zijn verstrekt, gaan we na of we u al dan niet
uitnodigen voor een sollicitatiegesprek (onderdeel van de selectieprocedure). In het geval van algemeen
geschikte kandidaten, in het bijzonder in de context van het sollicitatiegesprek, verwerken wij bepaalde
andere persoonsgegevens die door u zijn verstrekt, wat essentieel is voor de beslissing die wij voor de
selectie nemen. Als u door ons wordt aangenomen, worden de gegevens die u als sollicitant opgaf
automatisch omgezet in werknemersgegevens. Als onderdeel van het rekruteringsproces zullen wij
andere persoonsgegevens vragen en die vervolgens verwerken. Deze gegevens zijn nodig om uw
contract op te stellen of uit te voeren (zoals persoonlijk identificatienummer of belastingnummer). Voor
werknemersgegevens is het doel van gegevensverwerking de uitvoering van de arbeidsovereenkomst of
de naleving van andere wettelijke bepalingen die van toepassing zijn op de arbeidsrelatie (bijvoorbeeld
belastingwetgeving). Uw persoonsgegevens zullen dus eveneens gebruikt worden voor het uitvoeren
van de met u gesloten arbeidsovereenkomst (bijv. publicatie van uw naam en de contactinformatie binnen
het bedrijf of aan klanten). Werknemer gegevens worden na beëindiging van de arbeidsrelatie
opgeslagen om te voldoen aan wettelijke bewaartermijnen.
De rechtsgrondslag voor gegevensverwerking is artikel 6(1) punt b AVG, artikel 9(2) punt. b en h AVG,
artikel 88 (1) AVG en nationale wetgeving, zoals voor Duitsland, artikel 26 BDSG (Federale Wet
Bescherming Persoonsgegevens).
D. Categorieën ontvangers van de persoonsgegevens (artikel 13, lid 1, punt e AVG)
Overheidsinstanties
Externe instanties
Andere externe instanties
Interne verwerking
Verwerking binnen een groep
Andere instanties
Page 137 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Ontvangers in een derde land en passende of geschikte waarborgen en de
manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn
gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG)
Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun
bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van
persoonsgegevens.
Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens
uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker
passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en
doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat
hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules,
artikel 46 lid 2, punt c AVG.
De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit
derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat
passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor
betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke
betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor
gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van
de Europese Unie (PB 2010 / L 39, blz. 5-18).
F. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien
dat niet nodig, is de criteria die worden gebruikt om die periode te bepalen (artikel 13(2)
sub a AVG)
De duur van de opslag van persoonsgegevens van sollicitanten is 6 maanden. Voor
werknemersgegevens is de respectieve wettelijke bewaartermijn van toepassing. Na verloop van die
periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn om
aan de overeenkomst of aan de opstelling daarvan te voldoen.
G. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om
inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de
hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar
te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG)
Alle betrokkenen hebben de volgende rechten:
Page 138 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Recht op toegang
Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op
toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met
redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze
te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact
opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen.
Recht op rectificatie
Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de
verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te
verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming
van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door
een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris
voor gegevensverwerking om het recht op rectificatie uit te oefenen.
Recht op wissing (recht op vergetelheid)
Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan
ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit
punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is
om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3,
punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen
van de wettelijke bewaartermijn.
Recht op beperking van verwerking
Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking
van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid
1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking
om het recht op beperking van de verwerking uit te oefenen.
Recht van bezwaar
Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze
functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen.
Recht op overdraagbaarheid van gegevens
Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze
voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en
b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke
heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft
het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te
worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt
Page 139 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op
overdraagbaarheid van gegevens uit te oefenen.
H. Het bestaan van het recht om de toestemming te allen tijde in te trekken, zonder
dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, waar de verwerking is gebaseerd op artikel 6,
lid 1, punt a of artikel 9, lid 2, punt a AVG (artikel 13, lid 2, punt c AVG)
Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is,
als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere
specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming
voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7,
lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken.
Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de
toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken
van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere
manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag
is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn
aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor
gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken
van zijn toestemming aan ons te communiceren.
I. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel
13, lid 2, punt d, 77, lid 1 AVG)
Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het
recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht
om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere
natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit
van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of
plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens
inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij
een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het
uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1
AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te
Page 140 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact
op te nemen met slechts één toezichthoudende autoriteit.
J. De verstrekking van persoonsgegevens als wettelijke of contractuele
verplichting; Noodzakelijke voorwaarde om een overeenkomst te sluiten; Verplichting
van de betrokkene de persoonsgegevens te verstrekken; Mogelijke gevolgen wanneer
deze gegevens niet worden verstrekt (artikel
13, lid 2, punt e AVG)
Wij lichten toe dat de voorziening van persoonsgegevens deels voor de wet vereist is (bijvoorbeeld
belastingregels) of ook het resultaat kan zijn van contractuele voorzieningen (bijvoorbeeld informatie over
de contractpartner).
Soms kan het nodig zijn om een contract te sluiten waarvoor de betrokkene ons persoonsgegevens
verstrekt, die vervolgens door ons verwerkt moeten worden. De betrokkene is, bijvoorbeeld, verplicht ons
persoonsgegevens toe te sturen wanneer ons bedrijf een contract met hem of haar tekent. Het niet
verstrekken van persoonsgegevens zou tot gevolg hebben dat het contract met de betrokkene niet
getekend zou kunnen worden.
Voordat persoonsgegevens worden verstrekt door de betrokkene, moet de betrokkene contact opnemen
met onze functionaris gegevensbescherming. Onze functionaris gegevensbescherming licht aan de
betrokkene toe of het verstrekken van de persoonsgegevens wettelijk vereist is, of voor het tekenen van
een contract nodig is, of er een verplichting bestaat de persoonsgegevens te verstrekken en wat de
gevolgen zijn van het niet verstrekken van de persoonsgegevens.
K. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals
opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke
informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van
dergelijke verwerking voor betrokkene (artikel 13, lid 2, punt f AVG)
Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering.
II. Voldoen aan de informatievereisten bij het niet verzamelen van
persoonsgegevens van de betrokkene (artikel 14 AVG)
Page 141 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
A. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (artikel 14,
lid 1, punt a AVG)
Zie bovenstaande
B. Contactgegevens van de functionaris voor gegevensbescherming (artikel 14, lid
1, punt b AVG)
Zie bovenstaande
C. Doelen van het verwerken waarvoor de persoonsgegevens zijn bedoeld en de
wettelijke basis voor het verwerken (artikel 14, lid 1, punt c AVG)
Voor sollicitantgegevens die niet door de betrokkene zelf zijn verstrekt, is het doel van de
gegevensverwerking het onderzoek van de sollicitatie tijdens het wervingsproces. Voor dit doel kunnen
we gegevens verwerken die niet door uzelf verstrekt zijn. Op basis van de gegevens die tijdens het
wervingsproces zijn verwerkt, gaan we na of we u al dan niet uitnodigen voor een sollicitatiegesprek
(onderdeel van de selectieprocedure). Als u door ons wordt aangenomen, worden de gegevens die u als
sollicitant opgaf automatisch omgezet in werknemersgegevens. Voor werknemersgegevens is het doel
van gegevensverwerking de uitvoering van de arbeidsovereenkomst of de naleving van andere wettelijke
bepalingen die van toepassing zijn op de arbeidsrelatie. Werknemer gegevens worden na beëindiging
van de arbeidsrelatie opgeslagen om te voldoen aan wettelijke bewaartermijnen.
De rechtsgrondslag voor gegevensverwerking is artikel 6(1) punt b en f AVG, artikel 9(2) punt. b en h
AVG, artikel 88 (1) AVG en nationale wetgeving, zoals voor Duitsland, artikel 26 BDSG (Federale Wet
Bescherming Persoonsgegevens).
D. Betrokken categorieën van persoonsgegevens (artikel 14(, lid 1, punt d AVG)
Sollicitantgegevens
Werknemer gegevens
E. Categorieën ontvangers van de persoonsgegevens (artikel 14, lid 1, punt e AVG)
Overheidsinstanties
Page 142 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Externe instanties
Andere externe instanties
Interne verwerking
Verwerking binnen een groep
Andere instanties
F. Ontvangers in een derde land en passende of geschikte waarborgen en de
manieren waarop een kopie hiervan kan worden verkregen of waar ze beschikbaar zijn
gemaakt (artikel 14, lid 1, punt f, 46, lid 1, 46, lid 2, punt c AVG)
Alle bedrijven en organisaties die onderdeel zijn van onze groep (hierna “groepsbedrijven”) die hun
bedrijfslocatie voeren of een kantoor hebben in een derde land kunnen behoren tot de ontvangers van
persoonsgegevens.
Volgens artikel 46, lid 1 AVG kan een verwerkingsverantwoordelijke of verwerker persoonsgegevens
uitsluitend naar een derde land doorgeven wanneer de verwerkingsverantwoordelijke of verwerker
passende waarborgen heeft ingesteld en op voorwaarde dat betrokkenen over afdwingbare rechten en
doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen worden geleverd zonder dat
hier een specifieke autorisatie van een toezichthoudende autoriteit door standaard contractclausules,
artikel 46 lid 2, punt c AVG.
De standaard contractclausules van de Europese Unie worden overeengekomen met alle ontvangers uit
derde landen vóór de eerste overdracht van persoonlijke gegevens. Bijgevolg is gewaarborgd dat
passende garanties, afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor
betrokkenen die voortvloeien uit de standaard contractclausules van de EU worden gewaarborgd. Elke
betrokkene kan een exemplaar van de standaard contractclausules verkrijgen van onze functionaris voor
gegevensbescherming. De standaard contractclausules zijn ook beschikbaar in het Publicatieblad van
de Europese Unie (PB 2010 / L 39, blz. 5-18).
G. Periode gedurende welke de persoonsgegevens worden opgeslagen, of indien
dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen (artikel
14(2), punt a AVG)
De duur van de opslag van persoonsgegevens van sollicitanten is 6 maanden. Voor
werknemersgegevens is de respectieve wettelijke bewaartermijn van toepassing. Na verloop van die
Page 143 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
periode worden de betreffende gegevens routinematig verwijderd, zo lang ze niet langer nodig zijn om
aan de overeenkomst of aan de opstelling daarvan te voldoen.
H. Melding van de gerechtvaardigde belangen die door een
verwerkingsverantwoordelijke of door een derde wordt behartigd, is gebaseerd op
(artikel 6(1) sub f AVG) (artikel 14(2) sub b AVG)
Volgens artikel 6(1) sub f AVG, is de verwerking alleen rechtmatig indien voor de behartiging van de
gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de
belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van
persoonsgegevens nopen, zwaarder wegen dan die belangen. Volgens Overweging 47 zin 2 AVG kan
een dergelijk gerechtvaardigd belang aanwezig zijn wanneer sprake is van een relevante en passende
verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, bijvoorbeeld in situaties waarin
de betrokkene een klant is van de verwerkingsverantwoordelijke. In alle gevallen waarin ons bedrijf de
gegevens van de sollicitant verwerkt op basis van artikel 6(1) punt f AVG, is ons gerechtvaardigd belang
het tewerkstellen van geschikt personeel en professionals.
I. Het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om
inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de
hem of haar betreffende verwerking, alsmede het recht tegen de verwerking bezwaar
te maken en het recht op gegevensoverdraagbaarheid (artikel 13, lid 2, punt b AVG)
Alle betrokkenen hebben de volgende rechten:
Recht op toegang
Elke betrokkene heeft het recht tot toegang tot de hem betreffende persoonsgegevens. Het recht op
toegang geldt voor alle gegevens die door ons worden verwerkt. Het recht kan gemakkelijk en met
redelijke intervallen worden uitgeoefend om bewust te zijn van de rechtmatigheid van de werking en deze
te controleren (Overweging 63 AVG). Dit recht resulteert uit artikel 15 GDPR. De betrokkene mag contact
opnemen met onze verwerkingsverantwoordelijke om het recht op toegang uit te oefenen.
Recht op rectificatie
Volgens artikel 16 zin 1 AVG heeft de betrokkene het recht zonder onnodige vertraging van de
verwerkingsverantwoordelijke de rectificatie van incorrecte persoonsgegevens hemzelf betreffende te
verkrijgen. Bovendien heeft, volgens artikel 16 zin 2 AVG, de betrokkene het recht, met inachtneming
van de doelen van de verwerking, op vervolledigen van onvolledige persoonsgegevens, inclusief door
een aanvullende verklaring te verstrekken. De betrokkene mag contact opnemen met onze functionaris
voor gegevensverwerking om het recht op rectificatie uit te oefenen.
Page 144 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Recht op wissing (recht op vergetelheid)
Daarnaast hebben betrokkenen het recht op wissing en vergetelheid onder artikel 17 AVG. Dit recht kan
ook worden uitgeoefend door contact op te nemen met de functionaris voor gegevensverwerking. Bij dit
punt willen wij er echter op wijzen dat dit recht niet van toepassing is als de verwerking noodzakelijk is
om te voldoen aan een wettelijke verplichting waar ons bedrijf zich aan moet houden, artikel 17, lid 3,
punt b AVG. Dit betekent dat we een verzoek om wissing alleen kunnen goedkeuren na het vervallen
van de wettelijke bewaartermijn.
Recht op beperking van verwerking
Volgens artikel 18 AVG heeft elke betrokkene het recht op beperking van de verwerking. De beperking
van de verwerking kan worden gevraagd als wordt voldaan aan een van de voorwaarden in artikel 18, lid
1, punt a – d AVG. De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking
om het recht op beperking van de verwerking uit te oefenen.
Recht van bezwaar
Verder garandeert artikel 21 AVG het recht van bezwaar. De betrokkene mag contact opnemen met onze
functionaris voor gegevensverwerking om het recht van bezwaar uit te oefenen.
Recht op overdraagbaarheid van gegevens
Artikel 20 AVG garandeert de betrokkene het recht op overdraagbaarheid van gegevens. Onder deze
voorziening heeft de betrokkene onder de voorwaarden die zijn vastgelegd in artikel 20, lid 1, punt a en
b AVG het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke
heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft
het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te
worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt
De betrokkene mag contact opnemen met onze functionaris voor gegevensverwerking om het recht op
overdraagbaarheid van gegevens uit te oefenen.
J. Het bestaan van het recht om toestemming in te trekken op elk moment, zonder
de wettigheid van de verwerking op basis van toestemming voordat deze werd
ingetrokken, waar de verwerking is gebaseerd op artikel 6, lid 1, punt a of artikel 9, lid
2, punt a AVG (artikel 14, lid 2, punt d AVG)
Als het verwerken van persoonsgegevens is gebaseerd op artikel 6, lid 1, punt a AVG, wat het geval is,
als de betrokkene heeft ingestemd met de verwerking van persoonsgegevens voor één of meerdere
specifieke doelen of als het is gebaseerd op artikel 9, lid 2, punt a AVG, die de expliciete toestemming
voor het verwerken van speciale categorieën persoonsgegevens, heeft de betrokkene volgens artikel 7,
lid 3, zin 1 AVG het recht om zijn toestemming te allen tijde in te trekken.
Page 145 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de
toestemming vóór de intrekking daarvan, onverlet, artikel 7, lid 3, zin 2 AVG. Het intrekken van de
toestemming is even eenvoudig als het geven ervan, artikel 7, lid 3, zin 4 AVG. Daarom kan het intrekken
van toestemming altijd op dezelfde manier gebeuren als de toestemming is gegeven, of op enig andere
manier die de betrokkene als eenvoudiger beschouwt. In de informatiemaatschappij van vandaag de dag
is een eenvoudige e-mail de eenvoudigste manier om toestemming in te trekken. Als de betrokkene zijn
aan ons verleende toestemming wil intrekken, is een eenvoudige e-mail naar onze functionaris voor
gegevensverwerking voldoende. Het is de betrokkene vrij elke andere manier te kiezen om het intrekken
van zijn toestemming aan ons te communiceren.
K. Het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel
14, lid 2, punt e, 77, lid 1 AVG)
Als verwerkingsverantwoordelijke zijn wij verplicht de betrokkene te informeren dat de betrokkene het
recht heeft klacht in te dienen bij een toezichthoudende autoriteit, artikel 13, lid 2, punt d AVG. Het recht
om een klacht in te dienen bij een toezichthoudende autoriteit is geregeld in artikel 77, lid 1 AVG.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere
natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit
van een toezichthoudende autoriteit, met name in de lidstaat van zijn of haar woonplaats, werkplaats of
plaats van de vermoede inbreuk, als de betrokkene vindt dat de verwerking van zijn persoonsgegevens
inbreuk maakt op de Algemene verordening gegevensbescherming. Het recht een klacht in te dienen bij
een toezichthoudende autoriteit was enkel als zodanig beperkt door de wet van de Unie, dat het
uitsluitend kan worden uitgeoefend voor een enkele toezichthoudende autoriteit (Overweging 141, zin 1
AVG. Deze regel is bedoeld om dubbele klachten van dezelfde betrokkene op dezelfde manier te
voorkomen. Als de betrokkene een klacht over ons wil indienen, hebben wij daarom gevraagd om contact
op te nemen met slechts één toezichthoudende autoriteit.
L. De bron waar de persoonsgegevens vandaan komen, en in voorkomend geval,
of zij afkomstig zijn van openbare bronnen (artikel 14, lid 2, punt f AVG)
In principe worden de persoonsgegevens rechtstreeks verzameld van de betrokkene of in samenwerking
met een autoriteit (bijvoorbeeld het opzoeken van gegevens in een officieel register). Andere gegevens
over betrokkenen worden afgeleid van overschrijvingen van groepsbedrijven. In de context van deze
algemene informatie, is het noemen van de exacte bronnen waarvan de persoonsgegevens afkomstig
zijn ofwel onmogelijk of zou dit onevenredig veel inspanning vergen binnen de betekenis van artikel 14,
lid 5, punt b AVG. In principe verzamelen wij geen persoonsgegevens van openbaar toegankelijke
diensten.
Page 146 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Elke betrokkene kan te allen tijde contact opnemen met onze functionaris gegevensbescherming om
meer gedetailleerde informatie te krijgen over de exacte bronnen van de persoonsgegevens die hem of
haar betreffen. Waar de oorsprong van de persoonsgegevens niet kan worden verstrekt aan de
betrokkene omdat verschillende bronnen gebruikt zijn, moet algemene informatie worden verstrekt
(Overweging 61, zin 4 AVG).
M. Het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals
opgenomen in artikel 22, lid 1 en 4 AVG en, in ieder geval in deze situaties, belangrijke
informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van
dergelijke verwerking voor betrokkene (artikel 14, lid 2, punt g AVG)
Als verantwoordelijk bedrijf maken wij geen gebruik van geautomatiseerde besluitvorming of profilering.
Page 147 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων
προσωπικού χαρακτήρα (Άρθρα 13, 14 ΓΚΠΔ)
Αγαπητέ κύριε, κυρία,
Τα δεδομένα προσωπικού χαρακτήρα κάθε ιδιώτη που είναι σε συμβατική, προσυμβατική ή άλλη σχέση
με την εταιρεία μας χαίρει ειδικής προστασίας. Σκοπός μας είναι να διατηρήσουμε το υψηλό επίπεδο
προστασίας δεδομένων μας. Για το σκοπό αυτό, αναπτύσσουμε διαρκώς τους μηχανισμούς προστασίας
και ασφάλειας δεδομένων.
Ασφαλώς τηρούμε τις νόμιμες διατάξεις προστασίας δεδομένων. Σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ,
οι υπεύθυνοι επεξεργασίας θα πρέπει να πληρούν ειδικές προϋποθέσεις κατά τη συλλογή δεδομένων
προσωπικού χαρακτήρα. Το έγγραφο αυτό πληρεί αυτές τις προϋποθέσεις.
Η ορολογία των νομικών ρυθμίσεων είναι περίπλοκη. Δυστυχώς, η χρήση νομικών εννοιών δεν
μπορούσε να αποφευχθεί κατά τη σύνταξη του παρόντος εγγράφου. Για το λόγο αυτό, θα θέλαμε να
τονίσουμε ότι μπορείτε ανά πάσα στιγμή να επικοινωνήσετε μαζί μας για κάθε ερώτηση σχετικά με το
παρόν έγγραφο, τους χρησιμοποιούμενους όρους και τη διατύπωση.
I. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα
συλλέγονται από το υποκείμενο των δεδομένων (Άρθρο 13 ΓΚΠΔ)
Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (aρ. 13 παρ.
1 περ. α΄ ΓΚΠΔ)
Βλέπε ανωτέρω
B. Στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων(aρ. 13 παρ. 1
περ. β’ ΓΚΠΔ)
Βλέπε ανωτέρω
Page 148 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Σκοπός της επιχειρούμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα
και νόμιμη βάση επεξεργασίας (αρ. 13 (1) περ. γ’ ΓΚΠΔ)
Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η διαχείριση όλων των εργασιών
που αφορούν τον υπεύθυνο επεξεργασίας, τους πελάτες, τους πιθανούς πελάτες, εμπορικούς
συνεργάτες ή άλλες συμβατικές ή μη συμβατικές σχέσεις μεταξύ των αναφερόμενων μερών (εν ευρεία
έννοια) ή άλλη νόμιμη υποχρέωση του υπεύθυνου επεξεργασίας.
Το αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ λειτουργεί ως η νόμιμη βάση για τις εργασίες επεξεργασίας για τις οποίες
λαμβάνουμε τη συναίνεση επεξεργασίας. Σε περίπτωση που η επεξεργασία των δεδομένων προσωπικού
χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το
υποκείμενο των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για την παροχή
προϊόντων ή υπηρεσιών, η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 περ. β’ ΓΚΠΔ. Το ίδιο ισχύει για
την επεξεργασία που είναι απαραίτητη για τη λήψη μέτρων πριν τη σύναψη σύμβασης, όπως για
παράδειγμα στην περίπτωση παροχής πληροφοριών που αφορούν τα προϊόντα ή τις υπηρεσίες μας.
Στην περίπτωση που η εταιρεία μας υπέχει νόμιμη υποχρέωση επεξεργασίας δεδομένων προσωπικού
χαρακτήρα, όπως για την εκπλήρωση φορολογικών υποχρεώσεων, η επεξεργασία βασίζεται στο αρ. 6
παρ. 1 περ. γ’ ΓΚΠΔ.
Σε σπάνιες περιπτώσεις, η επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί να είναι
απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού
προσώπου. Τέτοια είναι η περίπτωση, για παράδειγμα, όταν επισκέπτης τραυματίζεται στην εταιρεία μας
και το όνομα, η ηλικία του, δεδομένα ασφάλειας υγείας ή άλλα ζωτικές πληροφορίες διαβιβάζονται σε
ιατρό, νοσοκομείο ή τρίτο πρόσωπο. Τότε η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. δ’ ΓΚΠΔ.
Τέλος, οι εργασίες επεξεργασίας μπορούν να έχουν τη βάση τους στο αρ. 6 παρ. 1 ΓΚΠΔ. Λειτουργεί ως
νόμιμη βάση για τις εργασίες επεξεργασίας που δεν καλύπτονται από τις προαναφερθείσες βάσεις,
εφόσον η επεξεργασία είναι απαραίτητη για το σκοπό της εξυπηρέτησης των εννόμων συμφερόντων της
εταιρείας μας ή τρίτου μέρους, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών
δικαιωμάτων και ελευθεριών του υποκειμένου του οποίου τα δεδομένα προσωπικού χαρακτήρα
υπόκεινται σε προστασία. Τέτοιες εργασίες επεξεργασίας επιτρέπονται ιδίως στις περιπτώσεις που
αναφέρονται από τον ευρωπαίο νομοθέτη. Σύμφωνα με αυτόν, τέτοιο έννομο συμφέρον θα μπορούσε
να υπάρχει όταν το υποκείμενο των δεδομένων είναι πελάτης του υπεύθυνου επεξεργασίας (Προοίμιο
παρ. 47 εδ. β’ ΓΚΠΔ).
Page 149 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
D. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον
υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία
βασίζεται στο αρ.6 παρ.1 περ. στ’ ΓΚΠΔ
Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ.
ε’ ΓΚΠΔ)
Δημόσιες αρχές
Εξωτερικά όργανα
Εσωτερική επεξεργασία
Ενδοομιλική επεξεργασία
Άλλα όργανα κι οργανισμοί
F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη
λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 13 παρ. 1 περ.
στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ)
Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως
«όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν
αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή
των αποδεκτών από εμάς.
Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να
διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο
εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται
εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι
κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω
τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ).
Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις
συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού
χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και
Σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ.
1 περ. στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των δραστηριοτήτων μας υπέρ της
ευημερίας όλων των εργαζομένων και των μετόχων μας.
Page 150 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί
να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες
συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010
/ L 39, σελίδες 5-18).
G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό
είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ)
Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η
νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται,
στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη
σύναψή της.
Η. Δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και
διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό
της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή αντίταξης στην
επεξεργασία και φορητότητα των δεδομένων (αρ. 13 παρ. 2 περ. β’ ΓΚΠΔ)
Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα:
Δικαίωμα πρόσβασης
Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το
αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το
δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των
δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το
δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί
μαζί μας για την άσκηση του δικαιώματός του.
Δικαίωμα διόρθωσης
Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από
τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων
προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη
τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη
συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής
δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του
δικαιώματός του για διόρθωση.
Page 151 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη
λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο
σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο
που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η
εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση
διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης.
Δικαίωμα περιορισμού της επεξεργασίας
Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της
επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις
προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της
επεξεργασίας.
Δικαίωμα εναντίωσης
Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να
επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση.
Δικαίωμα στη φορητότητα των δεδομένων
Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων.
Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20
παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς
χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει
τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο
επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των
δεδομένων.
I. Το δικαίωμα ανάκλησης της συγκατάθεσης οποτεδήποτε, χωρίς να θιγεί η
νομιμότητα της επεξεργασίας επί τη βάσει προηγούμενης συγκατάθεσης, όταν η
επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ ή στο αρ. 9 παρ. 2 περ. α’
ΓΚΠΔ (αρ. 13 παρ. 2 περ. γ’ ΓΚΠΔ)
Εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. γ’ ΓΚΠΔ,
δηλαδή το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του στην επεξεργασία των δεδομένων
για έναν ή περισσότερους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή
συναίνεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο
Page 152 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσής του ανά πάσα
στιγμή.
Η ανάκληση της συναίνεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση
πριν την ανάκλησή της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη
με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον
ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί
ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης
είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή
του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων
μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της ανάκλησής του προς εμάς.
J. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’, 77
παρ. 1 ΓΚΠΔ)
Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων
σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’ ΓΚΠΔ). Το
δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με
αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο
των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο
οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν
το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που
το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας
έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας
εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής
διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που
υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως
επικοινωνήσει μόνο με μία εποπτική αρχή.
K. Παροχή δεδομένων προσωπικού χαρακτήρα στη βάση νομικής ή συμβατικής
υποχρέωσης ή απαίτησης για τη σύναψη σύμβασης, υποχρέωση του
υποκειμένου των δεδομένων να παρέχει τα δεδομένα προσωπικού χαρακτήρα
και ενδεχόμενες συνέπειες της μη παροχή των δεδομένων (αρ. 13 παρ. 2 περ.
ε’ ΓΚΠΔ)
Θα θέλαμε να διευκρινίσουμε ότι η παροχή δεδομένων προσωπικού χαρακτήρα απαιτείται εν μέρει από
το νόμο (πχ. από φορολογικές διατάξεις), αλλά μπορεί να προκύπτει και από συμβατικές διατάξεις (π.χ.
πληροφορίες σχετικά με το άλλο συμβαλλόμενο μέρος).
Page 153 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Μερικές φορές θα είναι ίσως απαραίτητη η σύναψη σύμβασης μέσω της οποίας το υποκείμενο των
δεδομένων μας παρέχει δεδομένα προσωπικού χαρακτήρα, τα οποία θα επεξεργαστούμε εμείς στη
συνέχεια. Το υποκείμενο των δεδομένων υποχρεούται, για παράδειγμα, να μας παρέχει δεδομένα
προσωπικού χαρακτήρα όταν συνάπτουμε σύμβαση μαζί του. Η μη παροχή αυτών των δεδομένων
μπορεί να έχει ως συνέπεια την αδυναμία σύναψης της σύμβασης.
Πριν την παροχή των δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, το
υποκείμενο οφείλει να επικοινωνήσει μαζί μας. Με τον τρόπο αυτό, διευκρινίζουμε στο υποκείμενο αν η
παροχή των δεδομένων είναι υποχρεωτική από το νόμο ή τη σύμβαση ή είναι απαραίτητη για τη σύναψη
της σύμβασης, καθώς και αν υπάρχει υποχρέωση παροχής τους και συνέπειες από τη μη παροχή.
L. Αυτοματοποιημένη λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης
προφίλ, σύμφωνα με το αρ. 22 παρ. 1 και 4 ΓΚΠΔ και, τουλάχιστον στις
περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που
ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν
λόγω επεξεργασίας για το υποκείμενο των δεδομένων
Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ.
II. Συμμόρφωση με τις προϋποθέσεις για την περίπτωση που τα δεδομένα
προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των
δεδομένων (αρ.14 ΓΚΠΔ)
Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (αρ. 14 παρ.
1 περ. α΄ ΓΚΠΔ)
Βλέπε ανωτέρω
Β. Στοιχεία επικοινωνία του Υπεύθυνου Προστασίας Δεδομένων (αρ. 14 παρ. 1
περ. β’ ΓΚΠΔ)
Βλέπε ανωτέρω
Page 154 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και
νόμιμη βάση επεξεργασίας (αρ. 14 παρ. 1 περ. γ’ ΓΚΠΔ)
Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η διαχείριση όλων των εργασιών
που αφορούν τον υπεύθυνο επεξεργασίας, τους πελάτες, τους πιθανούς πελάτες, εμπορικούς
συνεργάτες ή άλλες συμβατικές ή μη συμβατικές σχέσεις μεταξύ των αναφερόμενων μερών (εν ευρεία
έννοια) ή άλλη νόμιμη υποχρέωση του υπεύθυνου επεξεργασίας.
Το αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ λειτουργεί ως η νόμιμη βάση για τις εργασίες επεξεργασίας για τις οποίες
λαμβάνουμε τη συναίνεση επεξεργασίας. Σε περίπτωση που η επεξεργασία των δεδομένων προσωπικού
χαρακτήρα είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το
υποκείμενο των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για την παροχή
προϊόντων ή υπηρεσιών, η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 περ. β’ ΓΚΠΔ. Το ίδιο ισχύει για
την επεξεργασία που είναι απαραίτητη για τη λήψη μέτρων πριν τη σύναψη σύμβασης, όπως για
παράδειγμα στην περίπτωση παροχής πληροφοριών που αφορούν τα προϊόντα ή τις υπηρεσίες μας.
Στην περίπτωση που η εταιρεία μας υπέχει νόμιμη υποχρέωση επεξεργασίας δεδομένων προσωπικού
χαρακτήρα, όπως για την εκπλήρωση φορολογικών υποχρεώσεων, η επεξεργασία βασίζεται στο αρ. 6
παρ. 1 περ. γ’ ΓΚΠΔ.
Σε σπάνιες περιπτώσεις, η επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί να είναι
απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού
προσώπου. Τέτοια είναι η περίπτωση, για παράδειγμα, όταν επισκέπτης τραυματίζεται στην εταιρεία μας
και το όνομα, η ηλικία του, δεδομένα ασφάλειας υγείας ή άλλα ζωτικές πληροφορίες διαβιβάζονται σε
ιατρό, νοσοκομείο ή τρίτο πρόσωπο. Τότε η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. δ’ ΓΚΠΔ.
Τέλος, οι εργασίες επεξεργασίας μπορούν να έχουν τη βάση τους στο αρ. 6 παρ. 1 ΓΚΠΔ. Λειτουργεί ως
νόμιμη βάση για τις εργασίες επεξεργασίας που δεν καλύπτονται από τις προαναφερθείσες βάσεις,
εφόσον η επεξεργασία είναι απαραίτητη για το σκοπό της εξυπηρέτησης των εννόμων συμφερόντων της
εταιρείας μας ή τρίτου μέρους, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών
δικαιωμάτων και ελευθεριών του υποκειμένου του οποίου τα δεδομένα προσωπικού χαρακτήρα
υπόκεινται σε προστασία. Τέτοιες εργασίες επεξεργασίας επιτρέπονται ιδίως στις περιπτώσεις που
αναφέρονται από τον ευρωπαίο νομοθέτη. Σύμφωνα με αυτόν, τέτοιο έννομο συμφέρον θα μπορούσε
να υπάρχει όταν το υποκείμενο των δεδομένων είναι πελάτης του υπεύθυνου επεξεργασίας (Προοίμιο
παρ. 47 εδ. β’ ΓΚΠΔ).
D. Κατηγορίες δεδομένων προσωπικού χαρακτήρα (αρ. 14 παρ. 1 περ. δ’ ΓΚΠΔ)
Δεδομένα πελατών
Page 155 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Δεδομένα δυνητικών πελατών
Δεδομένα εργαζομένων
Δεδομένα προμηθευτών
Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ.
ε’ ΓΚΠΔ)
Δημόσιες αρχές
Εξωτερικά όργανα
Εσωτερική επεξεργασία
Ενδοομιλική επεξεργασία
Άλλα όργανα κι οργανισμοί
F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη
λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 14 παρ. 1 περ. στ’, 46
παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ)
Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως
«όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν
αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή
των αποδεκτών από εμάς.
Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να
διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο
εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται
εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι
κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω
τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ).
Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις
συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού
χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και
αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί
να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες
Page 156 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010
/ L 39, σελίδες 5-18).
G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό
είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ)
Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η
νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται,
στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη
σύναψή της.
Η. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον
υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία
βασίζεται στο αρ.6 παρ.1 περ. στ’ ΓΚΠΔ (Αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ)
Σε περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ.
στ’ ΓΚΠΔ, η επεξεργασία είναι νόμιμη μόνο όταν είναι απαραίτητη για τους σκοπούς των έννομων
συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων
αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των
δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με την
παράγραφο 47 εδ. β’ του Προοιμίου, τέτοιο έννομο συμφέρον μπορεί να υπάρχει όταν υφίσταται σχετική
και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως
π.χ. αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας. Σε κάθε περίπτωση
επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την εταιρεία μας στη βάση του αρ. 6 παρ. 1 περ.
στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των δραστηριοτήτων μας υπέρ της ευημερίας όλων
των εργαζομένων και των μετόχων μας.
I. ‘Υπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για
πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα
ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και
δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη
φορητότητα των δεδομένων (αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ)
Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα:
Page 157 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Δικαίωμα πρόσβασης
Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το
αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το
δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των
δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το
δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί
μαζί μας για την άσκηση του δικαιώματός του.
Δικαίωμα διόρθωσης
Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από
τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων
προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη
τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη
συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής
δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του
δικαιώματός του για διόρθωση.
Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη
λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο
σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο
που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η
εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση
διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης.
Δικαίωμα περιορισμού της επεξεργασίας
Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της
επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις
προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της
επεξεργασίας.
Δικαίωμα εναντίωσης
Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να
επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση.
Δικαίωμα στη φορητότητα των δεδομένων
Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων.
Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20
παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς
Page 158 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει
τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο
επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των
δεδομένων.
J. Ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσής του οποτεδήποτε,
χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη
συγκατάθεση πριν από την ανάκλησή της, όταν η επεξεργασία βασίζεται στ ααρ.
6 παρ. 1 περ. α’ ή αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 14 παρ. 2 περ. δ’ ΓΚΠΔ)
Εάν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει
συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους
συγκεκριμένους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή ρητής
συγκατάθεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το
υποκείμενο των δεδομένων έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της
συγκατάθεσης του ανά πάσα στιγμή.
Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη
συγκατάθεση προ της ανάκλησής της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι
εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να
γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των
δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος
ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να
ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το
υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της
ανάκλησής του προς εμάς.
K. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’, 77
παρ. 1 ΓΚΠΔ)
Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων
σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’ ΓΚΠΔ). Το
δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με
αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο
των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο
οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν
το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που
Page 159 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας
έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας
εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής
διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που
υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως
επικοινωνήσει μόνο με μία εποπτική αρχή.
L. Πηγή των δεδομένων προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση,
προέλευση των δεδομένων από πηγές στις οποίες έχει πρόσβαση το κοινό (αρ.
14 παρ. 2 εδ. στ’ ΓΚΠΔ)
Κατά κανόνα, τα δεδομένα προσωπικού χαρακτήρα συλλέγονται άμεσα από το υποκείμενο των
δεδομένων ή σε συνδυασμό με ορισμένη αρχή (π.χ. ανάκτηση δεδομένων από επίσημο μητρώο). Άλλα
δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων προέρτχονται από διαβιβάσεις
μεταξύ ομίλων εταιρειών. Στο πλαίσιο αυτών των γενικών πληροφοριών, η ακριβής καταγραφή των
πηγών από τις οποίες προέρχονται τα δεδομένα προσωπικού χαρακτήρα είτε είναι αδύνατη είτε
συνεπάγεται δυσανάλογη προσπάθεια σσύμφωνα με την έννοια του αρ. 14 παρ. 5 περ. β’ ΓΚΠΔ. Κατά
κανόνα, δεν συλλέγουμαι δεδομένα προσωπικού χαρακτήρα από δημόσια διαθέσιμες πηγές.
Κάθε υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας ανά πάσα στιγμή για να λάβει
περισσότερες, λεπτομερείς πληροφορίες σχετικά με τις ακριβείς πηγές των δεδομένων προσωπικού
χαρακτήρα που το αφορούν. Σε περιπτώσει που δεν μπορούν να παρασχεθούν πληροφορίες σχετικά με
την προέλευση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων καθώς έχουν
χρησιμοποιηθεί περισσότερες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες (Παράγραφο 61 εδ.
δ’ Προοίμιο ΓΚΠΔ).
M. Αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης
προφίλ, σύμφωνα με το άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις
περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που
ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν
λόγω επεξεργασίας για το υποκείμενο των δεδομένων (αρ. 14 παρ. 2 εδ. ζ’
ΓΚΠΔ)
Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ.
Page 160 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
GREEK: Πληροφορίες σχετικά με την επεξεργασία δεδομένων
προσωπικού χαρακτήρα Εργαζομένων και Υποψηφίων
(Άρθρα 13, 14 ΓΚΠΔ)
Αγαπητέ κύριε, κυρία,
Τα δεδομένα προσωπικού χαρακτήρα εργαζομένων και υποψηφίων χαίρουν ειδικής προστασίας.
Σκοπός μας είναι να διατηρήσουμε το υψηλό επίπεδο προστασίας δεδομένων μας. Για το σκοπό αυτό,
αναπτύσσουμε διαρκώς τους μηχανισμούς προστασίας και ασφάλειας δεδομένων.
Ασφαλώς τηρούμε τις νόμιμες διατάξεις προστασίας δεδομένων. Σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ,
οι υπεύθυνοι επεξεργασίας θα πρέπει να πληρούν ειδικές προϋποθέσεις κατά την επεξεργασία
δεδομένων προσωπικού χαρακτήρα. Το έγγραφο αυτό πληρεί τις σχετικές προϋποθέσεις.
Η ορολογία των νομικών ρυθμίσεων είναι περίπλοκη. Δυστυχώς, η χρήση νομικών εννοιών δεν
μπορούσε να αποφευχθεί κατά τη σύνταξη του παρόντος εγγράφου. Για το λόγο αυτό, θα θέλαμε να
τονίσουμε ότι μπορείτε ανά πάσα στιγμή να επικοινωνήσετε μαζί μας για κάθε ερώτηση σχετικά με το
παρόν έγγραφο, τους χρησιμοποιούμενους όρους και τη διατύπωση.
I. Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα
συλλέγονται από το υποκείμενο των δεδομένων (Άρθρο 13 ΓΚΠΔ)
Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (Αρ. 13 παρ.
1 περ. α΄ ΓΚΠΔ)
Βλέπε ανωτέρω
Β. Στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (Αρ. 13 παρ. 1
περ. β’ ΓΚΠΔ)
Βλέπε ανωτέρω
Page 161 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Σκοπός της επιχειρούμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα
και νόμιμη βάση επεξεργασίας (αρ. 13 (1) περ. γ’ ΓΚΠΔ)
Σε ό,τι αφορά τα δεδομένα των υποψηφίων, σκοπός της επεξεργασίας δεδομένων είναι η διενέργεια
ελέγχου της αίτησης κατά τη διάρκεια της διαδικασίας πρόσληψης. Για το σκοπό αυτό, επεξεργαζόμαστε
όλα τα δεδομένα που μας παρέχετε. Με βάση τα δεδομένα που παρέχετε κατά τη διάρκεια της
διαδικασίας πρόσληψης, εξετάζουμε αν θα κληθείτε σε συνέντευξη εργασίας (μλερος της διαδικασίας
επιλογής). Στην περίπτωση υποψηφίων που πληρούν τις γενικές προϋποθέσεις, συγκεκριμένα στο
πλαίσιο της συνέντευξης, επεξεργαζόμαστε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που μας
παρέχετε και είναι απαραίτητα για την επιλογή. Αν προσληφθείτε, τα δεδομένα υποψηφίου μετατρέπονται
αυτόματα σε δεδομένα εργαζόμενου. Ως μέρος της διαδικασίας πρόσληψης, επεξεργαζόμαστε και άλλα
δεδομένα προσωπικού χαρακτήρα σχετικά με εσάς που σας ζητούμε και είναι απαραίτητα για τη σύναψη
ή την εκτέλεση της σύμβασής μας (όπως δεδομένα τυατοποίησης ή αριθμό φορολογικού μητρώου).
Σχετικά με τα δεδομένα εργαζομένων, σκοπός της επεξεργασίας είναι η εκτέλεση της σύμβασης εργασίας
ή η συμμόρφωση με άλλες διατάξεις εφαρμοστέες στην εργασιακή σχέση (π.χ. φορολογικό δίκαιο),
καθώς και για την εκτέλεση της σύμβασης εργασίας (π.χ. δημοσιοποίηση του ονόματος και των στοιχείων
επικοινωνίας στην εταιρεία ή τους πελάτες). Τα δεδομένα εργαζομένων διατηρούνται μετά τη λύση της
εργασιακής σχέσης σύμφωνα με τις νόμιμες διατάξεις σχετικά με την περίοδο διακράτησής τους.
Νόμιμη βάση για την επεξεργασία των δεδομένων είναι το αρ. 6 παρ. 1 περ. β’ ΓΚΠΔ, το αρ. 9 παρ. 2
περ. β’ και η΄ΓΚΠΔ, το αρ. 88 παρ. 1 ΓΚΠΔ και η εθνική νομοθεσία.
D. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ.
ε’ ΓΚΠΔ)
Δημόσιες αρχές
Εξωτερικά όργανα
Εσωτερική επεξεργασία
Ενδοομιλική επεξεργασία
Άλλα όργανα κι οργανισμοί
Page 162 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Ε. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη
λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 13 παρ. 1 περ.
στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ)
Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως
«όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν
αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή
των αποδεκτών από εμάς.
Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να
διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο
εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται
εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι
κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω
τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ).
Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις
συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού
χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και
αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί
να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες
συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010
/ L 39, σελίδες 5-18).
F. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό
είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ)
Κριτήριο για τον καθορισμό της περιόδου αποθήκευσης των δεδομένων προσωπικού χαρακτήρα είναι η
νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα σχετικά δεδομένα διαγράφονται,
στην έκταση που δεν είναι πλέον αναγκαία η διατήρησή τους για την εκπλήρωση της σύμβασης ή τη
σύναψή της.
G. Δικαίωμα υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και
διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό
της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή αντίταξης στην
επεξεργασία και φορητότητα των δεδομένων (αρ. 13 παρ. 2 περ. β’ ΓΚΠΔ)
Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα:
Page 163 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Δικαίωμα πρόσβασης
Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το
αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το
δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των
δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το
δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί
μαζί μας για την άσκηση του δικαιώματός του.
Δικαίωμα διόρθωσης
Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από
τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων
προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη
τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη
συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής
δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του
δικαιώματός του για διόρθωση.
Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη
λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο
σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο
που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η
εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση
διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης.
Δικαίωμα περιορισμού της επεξεργασίας
Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της
επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις
προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της
επεξεργασίας.
Δικαίωμα εναντίωσης
Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να
επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση.
Δικαίωμα στη φορητότητα των δεδομένων
Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων.
Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20
παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς
Page 164 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει
τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο
επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των
δεδομένων.
Η. Το δικαίωμα ανάκλησης της συγκατάθεσης οποτεδήποτε, χωρίς να θιγεί η
νομιμότητα της επεξεργασίας επί τη βάσει προηγούμενης συγκατάθεσης, όταν η
επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ ή στο αρ. 9 παρ. 2 περ. α’
ΓΚΠΔ (αρ. 13 παρ. 2 περ. γ’ ΓΚΠΔ)
Εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ,
δηλαδή το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του στην επεξεργασία των δεδομένων
για έναν ή περισσότερους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή
συναίνεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το υποκείμενο
έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της συγκατάθεσής του ανά πάσα
στιγμή.
Η ανάκληση της συναίνεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίζεται στη συγκατάθεση
πριν την ανάκλησή της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη
με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να γίνει με τον
ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των δεδομένων θεωρεί
ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος ανάκλησης της συναίνεσης
είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να ανακαλέσει τη συγκατάθεσή
του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το υποκείμενο των δεδομένων
μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της ανάκλησής του προς εμάς.
I. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’,
77 παρ. 1 ΓΚΠΔ)
Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων
σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 13 παρ. 2 περ. δ’ ΓΚΠΔ). Το
δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με
αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο
των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο
οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν
το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που
το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας
Page 165 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας
εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής
διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που
υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως
επικοινωνήσει μόνο με μία εποπτική αρχή.
J. Παροχή δεδομένων προσωπικού χαρακτήρα στη βάση νομικής ή συμβατικής
υποχρέωσης ή απαίτησης για τη σύναψη σύμβασης, υποχρέωση του
υποκειμένου των δεδομένων να παρέχει τα δεδομένα προσωπικού χαρακτήρα
και ενδεχόμενες συνέπειες της μη παροχή των δεδομένων (αρ. 13 παρ. 2 περ.
ε’ ΓΚΠΔ)
Θα θέλαμε να διευκρινίσουμε ότι η παροχή δεδομένων προσωπικού χαρακτήρα απαιτείται εν μέρει από
το νόμο (π.χ. από φορολογικές διατάξεις), αλλά μπορεί να προκύπτει και από συμβατικές διατάξεις (π.χ.
πληροφορίες σχετικά με το άλλο συμβαλλόμενο μέρος).
Μερικές φορές είναι ίσως απαραίτητη η σύναψη σύμβασης μέσω της οποίας το υποκείμενο των
δεδομένων μας παρέχει δεδομένα προσωπικού χαρακτήρα, τα οποία θα επεξεργαστούμε εμείς στη
συνέχεια. Το υποκείμενο των δεδομένων υποχρεούται, για παράδειγμα, να μας παρέχει δεδομένα
προσωπικού χαρακτήρα όταν συνάπτουμε σύμβαση μαζί του. Η μη παροχή αυτών των δεδομένων
μπορεί να έχει ως συνέπεια την αδυναμία σύναψης της σύμβασης.
Πριν την παροχή των δεδομένων προσωπικού χαρακτήρα από το υποκείμενο των δεδομένων, το
υποκείμενο οφείλει να επικοινωνήσει μαζί μας. Με τον τρόπο αυτό, διευκρινίζουμε στο υποκείμενο αν η
παροχή των δεδομένων είναι υποχρεωτική από το νόμο ή τη σύμβαση ή είναι απαραίτητη για τη σύναψη
της σύμβασης, καθώς και αν υπάρχει υποχρέωση παροχής τους και συνέπειες από τη μη παροχή.
K. Αυτοματοποιημένη λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης
προφίλ, σύμφωνα με το αρ. 22 παρ. 1 και 4 ΓΚΠΔ και, τουλάχιστον στις
περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που
ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν
λόγω επεξεργασίας για το υποκείμενο των δεδομένων
Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ.
Page 166 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Συμμόρφωση με τις προϋποθέσεις για την περίπτωση που τα δεδομένα
προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των
δεδομένων (αρ.14 ΓΚΠΔ)
Α. Ταυτότητα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (αρ. 14 παρ.
1 περ. α΄ ΓΚΠΔ)
Βλέπε ανωτέρω
Β. Στοιχεία επικοινωνία του Υπεύθυνου Προστασίας Δεδομένων (αρ. 14 παρ. 1
περ. β’ ΓΚΠΔ)
Βλέπε ανωτέρω
C. Σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και
νόμιμη βάση επεξεργασίας (αρ. 14 παρ. 1 περ. γ’ ΓΚΠΔ)
Σε ό,τι αφορά τα δεδομένα των υποψηφίων που δεν συλλέγησαν μέσω του υποκειμένου των δεδομένων,
σκοπός της επεξεργασίας είναι η διενέργεια ελέγχου της αίτησης κατά τη διάρκεια της διαδικασίας
πρόσληψης. Για το σκοπό αυτό, ενδέχεται να επεξεργαζόμαστε δεδομένα που δεν έχουμε συλλέξει από
εσάς. Με βάση τα δεδομένα που επεξεργαζόμαστε κατά τη διάρκεια της διαδικασίας πρόσληψης,
εξετάζουμε αν θα κληθείτε σε συνέντευξη εργασίας (μέρος της διαδικασίας επιλογής). Αν προσληφθείτε,
τα δεδομένα υποψηφίου μετατρέπονται αυτόματα σε δεδομένα εργαζόμενου. Σχετικά με τα δεδομένα
εργαζομένων, σκοπός της επεξεργασίας είναι η εκτέλεση της σύμβασης εργασίας ή η συμμόρφωση με
άλλες διατάξεις εφαρμοστέες στην εργασιακή σχέση. Τα δεδομένα εργαζομένων διατηρούνται μετά τη
λύση της εργασιακής σχέσης σύμφωνα με τις νόμιμες διατάξεις σχετικά με την περίοδο διακράτησης..
Νόμιμη βάση για την επεξεργασία των δεδομένων είναι το αρ. 6 παρ. 1 περ. β’ ΓΚΠΔ, το αρ. 9 παρ. 2
περ. β’ και η’ ΓΚΠΔ, το αρ. 88 παρ. 1 ΓΚΠΔ και η εθνική νομοθεσία.
D. Κατηγορίες δεδομένων προσωπικού χαρακτήρα (αρ. 14 παρ. 1 περ. δ’ ΓΚΠΔ)
Δεδομένα υποψηδίων
Δεδομένα εργαζομένων
Page 167 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Ε. Κατηγορίες αποδεκτών δεδομένων προσωπικού χαρακτήρα (αρ. 13 παρ. 1 περ.
ε’ ΓΚΠΔ)
Δημόσιες αρχές
Εξωτερικά όργανα
Εσωτερική επεξεργασία
Ενδοομιλική επεξεργασία
Άλλα όργανα κι οργανισμοί
F. Αποδέκτες σε τρίτες χώρες και κατάλληλα μέτρα προστασίας και μέσα για τη
λήψη αντιγράφων των δεδομένων ή των αποδεκτών τους (αρ. 14 παρ. 1 περ.
στ’, 46 παρ. 1, 46 παρ. 2 περ. γ’ ΓΚΔΠ)
Όλες οι εταιρείες και τα υποκαταστήματα που είναι μέρος του ομίλου μας (στο εξής αναφερόμενες ως
«όμιλος εταιρειών») και έχουν τη δική τους έδρα ή γραφείο σε τρίτη χώρα μπορεί να αποτελούν
αποδέκτες δεδομένων προσωπικού χαρακτήρα. Μπορείτε να ζητήσετε λίστα των εταιρειών του ομίλου ή
των αποδεκτών από εμάς.
Σύμφωνα με το αρ. 46 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να
διαβιβάζει δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν ο υπεύθυνος επεξεργασίας ή ο
εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται
εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα διαθέσιμα για το υποκείμενο των δεδομένων. Οι
κατάλληλες εγγυήσεις μπορούν να προβλέπονται χωρίς να απαιτείται ειδική άδεια εποπτικής αρχής μέσω
τυποποιημένων συμβατικών ρητρών (αρ. 46 παρ. 2 περ. γ’ ΓΚΠΔ).
Οι τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Ένωσης ή άλλες κατάλληλες εγγυήσεις
συμφωνούνται με κάθε αποδέκτη σε τρίτη χώρα πριν την πρώτη διαβίβαση δεδομένων προσωπικού
χαρακτήρα. Συνεπώς, διασφαλίζονται κατάλληλες εγγυήσεις, αλλά και εκτελεστά δικαιώματα και
αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Κάθε υποκείμενο των δεδομένων μπορεί
να παραλαμβάνει αντίγραφο των τυποποιημένων συμβατικών ρητρών από εμάς. Οι τυποποιημένες
συμβατικές ρήτρες είναι επίσης διαθέσιμες στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (OJ 2010
/ L 39, σελίδες 5-18).
Page 168 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Περίοδος αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό
είναι αδύνατο, κριτήρια καθορισμού της περιόδου (αρ. 14 παρ. 2 περ. α’ ΓΚΠΔ)
Η περίοδος διατήρησης των δεδομένων των υποψηφίων είναι 6 μήνες. Για τα δεδομένα εργαζομένων
εφαρμόζεται η αντίστοιχη νόμιμη περίοδος διακράτησης. Μετά το πέρας της περιόδου αυτής, τα
αντίστοιχα δεδομένα διαγράφονται, εφόσον δεν είναι πλέον απαραίτητα για την εκτέλεση της σύμβασης
ή για τη σύναψή της.
Η. Ενημέρωση σχετικά με τα έννομα συμφέροντα που επιδιώκονται από τον
υπεύθυνο επεξεργασίας ή από τρίτο, σε περίπτωση που η επεξεργασία
βασίζεται στο αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ (Αρ. 14 παρ. 2 περ. β’ ΓΚΠΔ)
Σύμφωνα με το αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, η επεξεργασία είναι νόμιμη μόνο όταν είναι απαραίτητη για
τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν
έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες
του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού
χαρακτήρα. Σύμφωνα με την παράγραφο 47 εδ. β’ του Προοιμίου, τέτοιο έννομο συμφέρον μπορεί να
υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του
υπευθύνου επεξεργασίας, όπως π.χ. αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου
επεξεργασίας. Σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την εταιρεία
μας στη βάση του αρ. 6 παρ. 1 περ. στ’ ΓΚΠΔ, το έννομο συμφέρον μας είναι η άσκηση των
δραστηριοτήτων μας υπέρ της ευημερίας όλων των εργαζομένων και των μετόχων μας.
I. Ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για
πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα
ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και
δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη
φορητότητα των δεδομένων (αρ. 14 παρ. 2 περ. γ’ ΓΚΠΔ)
Κάθε υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα:
Δικαίωμα πρόσβασης
Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το
αφορούν. Το δικαίωμα πρόσβασης εκτείνεται σε όλα τα δεδομένα που επεξεργάζονται από εμάς. Το
δικαίωμα ασκείται ευχερώς και σε εύλογα τακτά χρονικά διαστήματα, προκειμένου το υποκείμενο των
δεδομένων να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας (Προοίμιο 63 ΓΚΠΔ). Το
δικαίωμα αυτό απορρέει από το άρθρο 15 ΓΚΠΔ. Το υποκείμενο των δεδομένων μπορεί να επικοινωνεί
μαζί μας για την άσκηση του δικαιώματός του.
Page 169 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Δικαίωμα διόρθωσης
Σύμφωνα με το αρ. 16 εδ. α’ ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από
τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων
προσωπικού χαρακτήρα που το αφορούν. Επιπλέον το αρ. 16 εδ. β’ ΓΚΠΔ τονίζει ότι, έχοντας υπόψη
τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη
συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής
δήλωσης. Το υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του
δικαιώματός του για διόρθωση.
Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
Επιπλέον, το υποκείμενο των δεδομένων έχει δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη
λήθη») σύμφωνα με το αρ. 17 ΓΚΠΔ. Και το δικαίωμα αυτό ασκείται μετά από επικοινωνία μαζί μας. Στο
σημείο αυτό, ωστόσο, θα θέλαμε να σημειώσουμε ότι το δικαίωμα αυτό δεν μπορεί να ασκηθεί στο βαθμο
που η επεξεργασία είναι απαραίτητη για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται η
εταιρεία μας (αρ. 17 παρ. 3 περ. β’ ΓΚΠΔ). Αυτό σημαίνει ότι μπορούμε να κάνουμε δεκτή αίτηση
διαγραφής μόνο μετά το πέρας της νόμιμης περιόδου διατήρησης.
Δικαίωμα περιορισμού της επεξεργασίας
Σύμφωνα με το αρ. 18 ΓΚΠΔ, το υποκείμενο των δεδομένων μπορεί να ζητήσει τον περιορισμό της
επεξεργασίας. Ο περιορισμός της επεξεργασίας μπορεί να ζητηθεί αν πληρείται μία από τις
προϋποθέσεις που ορίζει το αρ. 18 παρ. 1 στις περιπτώσεις α’ έως δ’ ΓΚΠΔ. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για περιορισμό της
επεξεργασίας.
Δικαίωμα εναντίωσης
Επιπλέον, το αρ. 21 ΓΚΠΔ παρέχει το δικαίωμα εναντίωσης. Το υποκείμενο των δεδομένων μπορεί να
επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του για εναντίωση.
Δικαίωμα στη φορητότητα των δεδομένων
Το αρ. 20 ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων το δικαίωμα στη φορητότητα των δεδομένων.
Σύμφωνα με την παρούσα διάταξη, το υποκείμενο των δεδομένων έχει υπό τις προϋποθέσεις του αρ. 20
παρ. 1 περ. α’ και β’ ΓΚΠΔ το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς
χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει
τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο
επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των
δεδομένων μπορεί να επικοινωνήσει μαζί μας για την άσκηση του δικαιώματός του στη φορητότητα των
δεδομένων.
Page 170 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσής του οποτεδήποτε,
χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη
συγκατάθεση πριν από την ανάκλησή της, όταν η επεξεργασία βασίζεται στ ααρ.
6 παρ. 1 περ. α’ ή αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ (αρ. 14 παρ. 2 περ. δ’ ΓΚΠΔ)
Εάν η επεξεργασία βασίζεται στο αρ. 6 παρ. 1 περ. α’ ΓΚΠΔ, δηλαδή το υποκείμενο των δεδομένων έχει
συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους
συγκεκριμένους σκοπούς, ή στο αρ. 9 παρ. 2 περ. α’ ΓΚΠΔ, που ρυθμίζει την παροχή ρητής
συγκατάθεσης για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το
υποκείμενο των δεδομένων έχει σύμφωνα με το αρ. 7 παρ. 3 εδ. α’ ΓΚΠΔ το δικαίωμα ανάκλησης της
συγκατάθεσης του ανά πάσα στιγμή.
Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη
συγκατάθεση προ της ανάκλησής της (αρ. 7 παρ. 3 εδ. β’ ΓΚΠΔ). Η ανάκληση της συγκατάθεσης είναι
εξίσου εύκολη με την παροχή της (αρ. 7 παρ. 3 εδ. δ’ ΓΚΠΔ). Έτσι, η άρση της συγκατάθεσης μπορεί να
γίνει με τον ίδιο τρόπο όπως η χορήγησή της ή με οποιονδήποτε άλλο τρόπο το υποκείμενο των
δεδομένων θεωρεί ευκολότερο. Στη σημερινή κοινότητα της πληροφορίας, ο πιο εύκολος τρόπος
ανάκλησης της συναίνεσης είναι πιθανότατα μέσω email. Αν το υποκείμενο των δεδομένων επιθυμεί να
ανακαλέσει τη συγκατάθεσή του προς εμάς, ένα απλό email θα ήταν αποτελεσματικό. Εναλλακτικά, το
υποκείμενο των δεδομένων μπορεί να επιλέξει οποιονδήποτε άλλο τρόπο γνωστοποίησης της πρόθεσης
ανάκλησης προς εμάς.
K. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’, 77
παρ. 1 ΓΚΠΔ)
Ως υπεύθυνος επεξεργασίας, είμαστε υποχρεωμένοι να ενημερώνουμε το υποκείμενο των δεδομένων
σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (αρ. 14 παρ. 2 περ. ε’ ΓΚΠΔ). Το
δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή ρυθμίζεται από το αρ. 77 παρ. 1 ΓΚΠΔ. Σύμφωνα με
αυτή τη διάταξη, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο
των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο
οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν
το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που
το αφορά παραβαίνει το Γενικό Κανονισμό Προστασίας Δεδομένων. Το δικαίωμα υποβολής καταγγελίας
έχει περιοριστεί από το ενωσιακό δίκαιο με τέτοιο τρόπο ώστε να μπορεί να ασκηθεί μόνο ενώπιον μίας
εποπτικής αρχής (Προοίμιο 141 εδ. α’ ΓΚΠΔ). Σκοπός του κανόνα αυτού είναι η αποφυγή υποβολής
διπλών καταγγελιών από το ίδιο υποκείμενο δεδομένων και για το ίδιο αντικείμενο. Σε περίπτωση που
υποκείμενο των δεδομένων επιθυμεί να υποβάλει καταγγελία εναντίον μας, παρακαλούμε όπως
επικοινωνήσει μόνο με μία εποπτική αρχή.
Page 171 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Πηγή των δεδομένων προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση,
προέλευση των δεδομένων από πηγές στις οποίες έχει πρόσβαση το κοινό (αρ.
14 παρ. 2 εδ. στ’ ΓΚΠΔ)
Κατά κανόνα, τα δεδομένα προσωπικού χαρακτήρα συλλέγονται άμεσα από το υποκείμενο των
δεδομένων ή σε συνδυασμό με ορισμένη αρχή (π.χ. ανάκτηση δεδομένων από επίσημο μητρώο). Άλλα
δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων προέρτχονται από διαβιβάσεις
μεταξύ ομίλων εταιρειών. Στο πλαίσιο αυτών των γενικών πληροφοριών, η ακριβής καταγραφή των
πηγών από τις οποίες προέρχονται τα δεδομένα προσωπικού χαρακτήρα είτε είναι αδύνατη είτε
συνεπάγεται δυσανάλογη προσπάθεια σσύμφωνα με την έννοια του αρ. 14 παρ. 5 περ. β’ ΓΚΠΔ. Κατά
κανόνα, δεν συλλέγουμαι δεδομένα προσωπικού χαρακτήρα από δημόσια διαθέσιμες πηγές.
Κάθε υποκείμενο των δεδομένων μπορεί να επικοινωνήσει μαζί μας ανά πάσα στιγμή για να λάβει
περισσότερες, λεπτομερείς πληροφορίες σχετικά με τις ακριβείς πηγές των δεδομένων προσωπικού
χαρακτήρα που το αφορούν. Σε περιπτώσει που δεν μπορούν να παρασχεθούν πληροφορίες σχετικά με
την προέλευση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων καθώς έχουν
χρησιμοποιηθεί περισσότερες πηγές, θα πρέπει να παρέχονται γενικές πληροφορίες (Παράγραφο 61 εδ.
δ’ Προοίμιο ΓΚΠΔ).
M. Αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης
προφίλ, σύμφωνα με το άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις
περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που
ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν
λόγω επεξεργασίας για το υποκείμενο των δεδομένων (αρ. 14 παρ. 2 εδ. ζ’
ΓΚΠΔ)
Ως υπεύθυνη εταιρεία, δεν προχωράμε σε αυτοματοποιημένη λήψη αποφάσεων – κατάρτιση προφίλ.
Page 172 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
POLISH: Informacja o przetwarzaniu danych osobowych
(Artykuł 13 i 14 RODO)
Szanowni Państwo,
Dane osobowe każdej osoby fizycznej pozostającej w relacji związanej z umową, która została lub będzie
zawarta lub w innej relacji z naszą firmą, zasługują na szczególną ochronę. Naszym celem jest
utrzymanie wysokiego poziomu ochrony danych. Dlatego stale rozwijamy nasze koncepcje ochrony i
bezpieczeństwa danych.
Oczywiście przestrzegamy ustawowych przepisów dotyczących ochrony danych. Zgodnie z art. 13 i 14
RODO firmy gromadząc dane osobowe muszą spełniać określone wymogi informacyjne. Niniejszy
dokument spełnia te obowiązki.
Słownictwo stosowane w przepisach prawnych jest skomplikowane. Niestety, przy opracowywaniu tego
dokumentu nie można było uniknąć stosowania terminów prawnych. Dlatego pragniemy zwrócić uwagę,
że zawsze mogą Państwo skontaktować się z naszym inspektorem ochrony danych w przypadku
jakichkolwiek pytań dotyczących niniejszego dokumentu, używanych terminów lub sformułowań.
I. Zgodność z wymogami informacyjnymi w przypadku zbierania danych
osobowych od osoby, której dane dotyczą (art. 13 RODO)
A. Tożsamość i dane kontaktowe administratora (art. 13 ust. 1 lit. a) RODO)
Patrz wyżej
B. Dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b) RODO)
Patrz wyżej
C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania
(art. 13 ust. 1 lit. c RODO)
Celem przetwarzania danych osobowych jest obsługa wszystkich operacji dotyczących administratora,
klientów, potencjalnych klientów, partnerów biznesowych lub innych relacji związanych z umową już
Page 173 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
zawartą lub zawieraną między wymienionymi grupami (w najszerszym tego słowa znaczeniu) lub
prawnych obowiązków administratora danych.
Art. 6 ust. 1 lit. a RODO służy jako podstawa prawna przeprowadzania operacji przetwarzania, dla których
uzyskujemy zgodę na konkretny cel przetwarzania. Jeżeli przetwarzanie danych osobowych jest
konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą, jak ma to miejsce na
przykład w przypadku, gdy operacje przetwarzania są niezbędne do dostarczania towarów lub
świadczenia jakiejkolwiek innej usługi, przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b RODO.
To samo dotyczy operacji przetwarzania, które są niezbędne do realizacji czynności przed zawarciem
umowy, na przykład w przypadku zapytań dotyczących naszych produktów lub usług. Jeśli nasza firma
podlega prawnemu obowiązkowi, zgodnie z którym wymagane jest przetwarzanie danych osobowych,
np. w celu wypełnienia obowiązków podatkowych, podstawą przetwarzania jest art. 6 ust. 1 lit. c RODO.
W rzadkich przypadkach przetwarzanie danych osobowych może być konieczne do ochrony żywotnych
interesów osoby, których dane dotyczą, lub innej osoby fizycznej. Taka sytuacja wystąpiłaby na przykład
wtedy, gdyby odwiedzający naszą firmę został ranny, a jego imię i nazwisko, wiek, dane dotyczące
ubezpieczenia zdrowotnego lub inne istotne informacje musiałyby zostać przekazane lekarzowi,
szpitalowi lub innej stronie trzeciej. Wówczas podstawą przetwarzania byłby art. 6 ust. 1 lit. d RODO.
Podstawą operacji przetwarzania mógłby również być art. 6 ust. 1 lit. f RODO. Tę podstawę prawną
stosuje się do operacji przetwarzania nieuwzględnionych w powyżej wymienionych podstawach
prawnych, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez naszą firmę lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny
charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane
dotyczą, wymagające ochrony danych osobowych. Takie operacje przetwarzania są szczególnie
dopuszczalne, ponieważ zostały wyraźnie wymienione przez europejskiego prawodawcę, który uznał, że
można założyć uzasadniony interes, jeżeli osoba, której dane dotyczą, jest klientem administratora (ust.
47 zdanie 2 preambuły RODO).
D. Uzasadnione interesy administratora lub strony trzeciej, jeżeli podstawą
przetwarzania jest art. 6 ust. 1 lit. f RODO, (art. 13 ust. 1 lit. d) RODO)
Jeżeli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. f RODO, naszym uzasadnionym
interesem jest prowadzenie naszej działalności na rzecz dobra wszystkich naszych pracowników i
udziałowców.
E. Kategorie odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO)
Page 174 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Władze publiczne
Organy zewnętrzne
Dalsze organy zewnętrzne
Przetwarzanie wewnętrzne
Przetwarzanie wewnątrzgrupowe
Inne organy
F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe
zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia
danych (art. 13 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO)
Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje
miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych
osobowych.
Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe
do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że
obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia
organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO).
Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw
trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że
zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane
dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych
klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul
umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne
w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18).
G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a RODO)
Kryteriami stosowanymi do określenia okresu przechowywania danych osobowych są odpowiednie
ustawowe okresy zatrzymywania. Po upływie tego okresu odpowiednie dane są rutynowo usuwane, o ile
nie są już konieczne do wypełnienia umowy lub rozpoczęcia umowy.
Page 175 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Informacje o prawie do żądania od administratora dostępu do danych
osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia
przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także
o prawie do przenoszenia danych (art. 13 ust. 2 lit. b RODO)
Wszystkie osoby, których dane dotyczą, mają następujące prawa:
Prawo dostępu
Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo
dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego
wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc
zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15
RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby
skorzystać z prawa dostępu.
Prawo do sprostowania
Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora
niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Ponadto
zgodnie z art. 16 zdanie 2 RODO osoba, której dane dotyczą, ma prawo, biorąc pod uwagę cele
przetwarzania, żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie
dodatkowego oświadczenia. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem
ochrony danych, aby skorzystać z prawa do sprostowania.
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na
mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem
ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania,
o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma
(art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po
upływie ustawowego okresu zatrzymywania.
Prawo do ograniczenia przetwarzania danych
Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania
danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków
określonych w art. 18 ust. 1 lit. a-d RODO. Osoba, której dane dotyczą, może skontaktować się z naszym
inspektorem ochrony danych, aby skorzystać z prawa ograniczenia przetwarzania..
Prawo do sprzeciwu
Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować
się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu.
Page 176 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Prawo do przenoszenia danych
Art. Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z
tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1
lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do
odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo
przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu
dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym
inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych.
I. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na
zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej
cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2
lit. a RODO (art. 13 ust. 2 lit. c) RODO)
Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w
sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego
lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie
szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1
RODO, ma prawo do wycofania swojej zgody w dowolnym czasie.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak
jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze
nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez
osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym
najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli
osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail
wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać
inny sposób powiadomienia nas o wycofaniu swojej zgody.
J. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit.
d, art. 77 ust. 1 RODO)
Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia
skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu
nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych
administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma
prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego
Page 177 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli
sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne
rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało
ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem
nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg
niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane
dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym.
K. Udostępnianie danych osobowych jako wymóg ustawowy lub umowny; warunek
zawarcia umowy; obowiązek osoby, której dane dotyczą, do podania danych
osobowych; ewentualne konsekwencje niepodania danych (art. art. 13 ust. 2 lit. e
RODO)
Wyjaśniamy, że udostępnianie danych osobowych jest częściowo wymagane przez prawo (np. przepisy
podatkowe) lub może wynikać z postanowień umownych (np. informacje o partnerze umownym).
Czasami może być konieczne do zawarcia umowy podanie przez osobę, której dane dotyczą, danych
osobowych, które następnie muszą zostać przez nas przetwarzane. Osoba, której dane dotyczą jest na
przykład zobowiązana do przekazania nam danych osobowych podczas zawierania z nami umowy.
Konsekwencją niedostarczenia danych osobowych byłby brak możliwości zawarcia umowy z osobą,
której dane dotyczą.
Zanim dane osobowe zostaną przekazane przez osobę, której dane dotyczą, osoba ta musi
skontaktować się z naszym inspektorem ochrony danych. Nasz inspektor ochrony danych wyjaśnia
osobie, której dane dotyczą, czy podanie danych osobowych jest wymagane przez prawo lub umowę lub
jest konieczne do zawarcia umowy, czy istnieje obowiązek dostarczenia danych osobowych i
konsekwencje niedostarczenia danych osobowych.
L. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach –
istotne informacje o zasadach ich podejmowania, a także o znaczeniu
i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane
dotyczą (art. 13 ust. 2 lit. f RODO)
Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania.
Page 178 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Zgodność z wymogami informacyjnymi w przypadku niezbierania danych
osobowych od osoby, której dane dotyczą (art. 14 RODO)
A. Tożsamość i dane kontaktowe administratora (art. 14 ust. 1 lit. a) RODO)
Patrz wyżej
B. Dane kontaktowe inspektora ochrony danych (art. 14 ust. 1 lit. b) RODO)
Patrz wyżej
C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania
(art. 14 ust. 1 lit. c RODO)
Celem przetwarzania danych osobowych jest obsługa wszystkich operacji dotyczących administratora,
klientów, potencjalnych klientów, partnerów biznesowych lub innych relacji związanych z umową już
zawartą lub zawieraną między wymienionymi grupami (w najszerszym tego słowa znaczeniu) lub
prawnych obowiązków administratora danych.
Jeżeli przetwarzanie danych osobowych jest konieczne do wykonania umowy, której stroną jest osoba,
której dane dotyczą, jak ma to miejsce na przykład w przypadku, gdy operacje przetwarzania są
niezbędne do dostarczania towarów lub świadczenia jakiejkolwiek innej usługi, przetwarzanie odbywa
się na podstawie art. 6 ust. 1 lit. b RODO. To samo dotyczy operacji przetwarzania, które są niezbędne
do realizacji czynności przed zawarciem umowy, na przykład w przypadku zapytań dotyczących naszych
produktów lub usług. Jeśli nasza firma podlega prawnemu obowiązkowi, zgodnie z którym wymagane
jest przetwarzanie danych osobowych, np. w celu wypełnienia obowiązków podatkowych, podstawą
przetwarzania jest art. 6 ust. 1 lit. c RODO.
W rzadkich przypadkach przetwarzanie danych osobowych może być konieczne do ochrony żywotnych
interesów osoby, których dane dotyczą, lub innej osoby fizycznej. Taka sytuacja wystąpiłaby na przykład
wtedy, gdyby odwiedzający naszą firmę został ranny, a jego imię i nazwisko, wiek, dane dotyczące
ubezpieczenia zdrowotnego lub inne istotne informacje musiałyby zostać przekazane lekarzowi,
szpitalowi lub innej stronie trzeciej. Wówczas podstawą przetwarzania byłby art. 6 ust. 1 lit. d RODO.
Podstawą operacji przetwarzania mógłby również być art. 6 ust. 1 lit. f RODO. Tę podstawę prawną
stosuje się do operacji przetwarzania nieuwzględnionych w powyżej wymienionych podstawach
prawnych, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych
interesów realizowanych przez naszą firmę lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny
charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osób, których dane
Page 179 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
dotyczą, wymagające ochrony danych osobowych. Takie operacje przetwarzania są szczególnie
dopuszczalne, ponieważ zostały wyraźnie wymienione przez europejskiego prawodawcę, który uznał, że
można założyć prawnie uzasadniony interes, jeżeli osoba, której dane dotyczą, jest klientem
administratora (ust. 47 zdanie 2 preambuły RODO).
D. Kategorie odnośnych danych osobowych (art. 14 ust. 1 lit. d RODO)
Dane klienta
Dane potencjalnych klientów
Dane pracowników
Dane dostawców
E. Kategorie odbiorców danych (art. 14 ust. 1 lit. e RODO)
Władze publiczne
Organy zewnętrzne
Dalsze organy zewnętrzne
Przetwarzanie wewnętrzne
Przetwarzanie wewnątrzgrupowe
Inne organy
F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe
zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia
danych (art. 14 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO)
Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje
miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych
osobowych.
Page 180 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe
do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że
obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia
organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO).
Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw
trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że
zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane
dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych
klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul
umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne
w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18).
G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu (art. 14 ust. 2 lit. a RODO)
Kryteriami stosowanymi do określenia okresu przechowywania danych osobowych są odpowiednie
ustawowe okresy zatrzymywania. Po upływie tego okresu odpowiednie dane są rutynowo usuwane, o ile
nie są już konieczne do wypełnienia umowy lub rozpoczęcia umowy.
H. Powiadomienie o prawnie uzasadnionych interesach realizowanych przez
administratora lub przez stronę trzecią, jeżeli podstawą przetwarzania jest art. 6 ust. 1
lit. f RODO (art. 14 ust. 2. b RODO)
Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem tylko wtedy, gdy jest niezbędne
do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub
stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy
lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych.
Zgodnie z ust. 47 zdanie 2 preambuły RODO uzasadniony interes może istnieć wtedy, gdy występuje
odpowiedni i właściwy związek między osobą, której dane dotyczą, a administratorem, np. w sytuacjach,
w których osoba, której dane dotyczą, jest klientem administratora. We wszystkich przypadkach, w
których nasza firma przetwarza dane na podstawie art. 6 ust. 1 lit. f RODO, naszym uzasadnionym
interesem jest prowadzenie naszej działalności na rzecz dobra wszystkich naszych pracowników i
udziałowców.
Page 181 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Informacje o prawie do żądania od administratora dostępu do danych
osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub
ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec
przetwarzania, a także o prawie do przenoszenia danych (art. 14 ust. 2 lit. c RODO)
Wszystkie osoby, których dane dotyczą, mają następujące prawa:
Prawo dostępu
Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo
dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego
wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc
zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15
RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby
skorzystać z prawa dostępu.
Prawo do sprostowania
Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora
niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Osoba, której
dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa
do sprostowania. Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od
administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na
mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem
ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania,
o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma
(art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po
upływie ustawowego okresu zatrzymywania.
Prawo do ograniczenia przetwarzania danych
Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania
danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków
określonych w art. 18 ust. 1 lit. a-d RODO. Można domagać się ograniczenia przetwarzania, jeżeli
spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO.
Prawo do sprzeciwu
Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować
się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu.
Page 182 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Prawo do przenoszenia danych
Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym
postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a
i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu
maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać
te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono
te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony
danych, aby skorzystać z prawa do przenoszenia danych.
J. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na
zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej
cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a
RODO (art. 14 ust. 2 lit. d RODO)
Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w
sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego
lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie
szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1
RODO, ma prawo do wycofania swojej zgody w dowolnym czasie.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak
jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze
nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez
osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym
najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli
osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail
wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać
inny sposób powiadomienia nas o wycofaniu swojej zgody.
K. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 14 ust. 2 lit.
e, art. 77 ust. 1 RODO)
Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia
skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu
nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych
administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma
prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego
Page 183 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli
sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne
rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało
ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem
nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg
niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane
dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym.
L. Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy
pochodzą one ze źródeł publicznie dostępnych (art. 14 ust. 2 lit. f RODO)
Zasadniczo dane osobowe są gromadzone bezpośrednio od osoby, której dane dotyczą lub we
współpracy z organem (np. pobieranie danych z rejestru urzędowego). Inne dane osób, których dane
dotyczą, pochodzą z przeniesień w ramach spółek grupy. W kontekście tych ogólnych informacji
wskazanie z nazwy dokładnych źródeł pochodzenia danych osobowych jest niemożliwe lub wymagałoby
nieproporcjonalnego wysiłku w rozumieniu art. 14 ust. 5 lit. b RODO. Co do zasady nie zbieramy danych
osobowych z publicznie dostępnych źródeł.
Każda osoba, której dane dotyczą, może w każdej chwili skontaktować się z naszym inspektorem
ochrony danych w celu uzyskania bardziej szczegółowych informacji na temat dokładnych źródeł danych
osobowych, które jej dotyczą. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych
osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (ust.
61 zdanie 4 preambuły RODO).
M. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o
którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne
informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 14 ust. 2 lit.
g RODO)
Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania.
Page 184 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
POLISH: Informacja o przetwarzaniu danych osobowych
pracowników i kandydatów (art. 13 i 14 RODO)
Szanowni Państwo!
Dane osobowe pracowników i kandydatów zasługują na szczególną ochronę. Naszym celem jest
utrzymanie wysokiego poziomu ochrony danych osobowych. Dlatego stale rozwijamy nasze koncepcje
ochrony i bezpieczeństwa danych.
Oczywiście przestrzegamy ustawowych przepisów w zakresie ochrony danych. Zgodnie z art. 13 i art.
14 RODO przetwarzając dane osobowe, administratorzy muszą spełnić określone wymogi udzielania
informacji. Ten dokument spełnia ten obowiązek.
Terminologia regulacji prawnych jest skomplikowana. Niestety przygotowanie tego dokumentu nie obyło
się bez użycia konkretnych terminów prawnych. Chcielibyśmy zatem podkreślić, że zawsze mogą się
Państwo z nami skontaktować, aby zapytać o ten dokument, terminy lub sformułowania w nim użyte.
I. Zgodność z wymogami informacyjnymi w przypadku zbierania danych
osobowych od osoby, której dane dotyczą (art. 13 RODO)
A. Tożsamość i dane kontaktowe administratora (art. 13 ust. 1 lit. a) RODO)
Patrz wyżej
B. Dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b) RODO)
Patrz wyżej
C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania
(art. 13 ust. 1 lit. c RODO)
W przypadku danych kandydatów są one przetwarzane w celu weryfikacji zgłoszenia w procesie
rekrutacji. W tym celu przetwarzamy wszystkie dane podane przez kandydata. Na podstawie danych
przekazanych w trakcie procesu rekrutacji sprawdzimy, czy dana osoba została zaproszona na rozmowę
kwalifikacyjną (jest to część procesu selekcji). W przypadku osób, które spełniają ogólne kryteria, w
szczególności w kontekście rozmowy kwalifikacyjnej, przetwarzamy określone inne dane osobowe
Page 185 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
podane przez kandydata niezbędne do podjęcia przez nas decyzji o wyborze. W przypadku zatrudnienia
kandydata jego dane zmienią się automatycznie na dane pracownika. W ramach procesu rekrutacji
będziemy przetwarzać inne dane osobowe pracownika, których od niego zażądamy, a które są
niezbędne do zawarcia lub realizacji umowy (np. osobiste numery identyfikacyjne lub numery identyfikacji
podatkowej). W przypadku danych pracowników są one przetwarzane w celu realizacji umowy zawartej
z pracownikiem lub spełnienia innych wymogów prawnych w zakresie stosunku pracy (np. przepisów
podatkowych); dane osobowe pracownika są również wykorzystane w celu realizacji jego umowy o pracę
(np. publikacja imienia i nazwiska oraz danych kontaktowych pracownika w spółce lub przekazanie ich
klientom). Dane pracownika przechowywane są po rozwiązaniu jego stosunku pracy przez okres
wymagany prawem.
Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b RODO, art. 9 ust. 2 lit. b i lit. h RODO, art.
88 ust. 1 RODO oraz ustawodawstwo krajowe, w tym art. 26 niemieckiej ustawy BDSG (federalnej ustawy
o ochronie danych osobowych).
E. Kategorie odbiorców danych osobowych (art. 13 ust. 1 lit. e RODO)
Władze publiczne
Organy zewnętrzne
Dalsze organy zewnętrzne
Przetwarzanie wewnętrzne
Przetwarzanie wewnątrzgrupowe
Inne organy
F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe
zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia
danych (art. 13 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO)
Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje
miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych
osobowych.
Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe
do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że
Page 186 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia
organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO).
Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw
trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że
zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane
dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych
klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul
umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne
w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18).
F. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu (art. 13 ust. 2 lit. a RODO)
Okres przechowywania danych osobowych kandydatów wynosi 6 miesięcy. Do danych osobowych
pracowników stosuje się odpowiednie ustawowe okresy przechowywania danych. Po upływie tego
okresu odpowiednie dane są standardowo usuwane, o ile nie będę jeszcze potrzebne do realizacji lub
zawarcia umowy.
G. Informacje o prawie do żądania od administratora dostępu do danych
osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia
przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także
o prawie do przenoszenia danych (art. 13 ust. 2 lit. b RODO)
Wszystkie osoby, których dane dotyczą, mają następujące prawa:
Prawo dostępu
Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo
dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego
wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc
zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15
RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby
skorzystać z prawa dostępu.
Prawo do sprostowania
Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora
niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Ponadto
zgodnie z art. 16 zdanie 2 RODO osoba, której dane dotyczą, ma prawo, biorąc pod uwagę cele
Page 187 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
przetwarzania, żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie
dodatkowego oświadczenia. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem
ochrony danych, aby skorzystać z prawa do sprostowania.
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na
mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem
ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania,
o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma
(art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po
upływie ustawowego okresu zatrzymywania.
Prawo do ograniczenia przetwarzania danych
Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania
danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków
określonych w art. 18 ust. 1 lit. a-d RODO. Osoba, której dane dotyczą, może skontaktować się z naszym
inspektorem ochrony danych, aby skorzystać z prawa ograniczenia przetwarzania..
Prawo do sprzeciwu
Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować
się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu.
Prawo do przenoszenia danych
Art. Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z
tym postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1
lit. a i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do
odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo
przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu
dostarczono te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym
inspektorem ochrony danych, aby skorzystać z prawa do przenoszenia danych.
H. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na
zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej
cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2
lit. a RODO (art. 13 ust. 2 lit. c) RODO)
Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w
sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego
lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie
Page 188 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1
RODO, ma prawo do wycofania swojej zgody w dowolnym czasie.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak
jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze
nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez
osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym
najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli
osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail
wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać
inny sposób powiadomienia nas o wycofaniu swojej zgody.
I. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit.
d, art. 77 ust. 1 RODO)
Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia
skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu
nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych
administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma
prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego
zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli
sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne
rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało
ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem
nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg
niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane
dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym.
J. Udostępnianie danych osobowych jako wymóg ustawowy lub umowny; warunek
zawarcia umowy; obowiązek osoby, której dane dotyczą, do podania danych
osobowych; ewentualne konsekwencje niepodania danych (art. art. 13 ust. 2 lit. e
RODO)
Wyjaśniamy, że udostępnianie danych osobowych jest częściowo wymagane przez prawo (np. przepisy
podatkowe) lub może wynikać z postanowień umownych (np. informacje o partnerze umownym).
Page 189 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Czasami może być konieczne do zawarcia umowy podanie przez osobę, której dane dotyczą, danych
osobowych, które następnie muszą zostać przez nas przetwarzane. Osoba, której dane dotyczą jest na
przykład zobowiązana do przekazania nam danych osobowych podczas zawierania z nami umowy.
Konsekwencją niedostarczenia danych osobowych byłby brak możliwości zawarcia umowy z osobą,
której dane dotyczą.
Zanim dane osobowe zostaną przekazane przez osobę, której dane dotyczą, osoba ta musi
skontaktować się z naszym inspektorem ochrony danych. Nasz inspektor ochrony danych wyjaśnia
osobie, której dane dotyczą, czy podanie danych osobowych jest wymagane przez prawo lub umowę lub
jest konieczne do zawarcia umowy, czy istnieje obowiązek dostarczenia danych osobowych i
konsekwencje niedostarczenia danych osobowych.
K. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach –
istotne informacje o zasadach ich podejmowania, a także o znaczeniu
i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane
dotyczą (art. 13 ust. 2 lit. f RODO)
Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania.
II. Zgodność z wymogami informacyjnymi w przypadku niezbierania danych
osobowych od osoby, której dane dotyczą (art. 14 RODO)
A. Tożsamość i dane kontaktowe administratora (art. 14 ust. 1 lit. a) RODO)
Patrz wyżej
B. Dane kontaktowe inspektora ochrony danych (art. 14 ust. 1 lit. b) RODO)
Patrz wyżej
C. Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania
(art. 14 ust. 1 lit. c RODO)
Dane kandydatów pozyskane z innych źródeł, niż od osoby, których dane dotyczą, są przetwarzane w
celu weryfikacji zgłoszenia w procesie rekrutacji. W tym celu możemy przetwarzać dane zgromadzone z
Page 190 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
innych źródeł niż od kandydata. Na podstawie danych przetwarzanych w trakcie procesu rekrutacji
sprawdzimy, czy dana osoba została zaproszona na rozmowę kwalifikacyjną (jest to część procesu
selekcji). W przypadku zatrudnienia kandydata jego dane zostaną zamienione automatycznie na dane
pracownika. W przypadku danych pracowników są one przetwarzane w celu realizacji umowy zawartej z
pracownikiem lub spełnienia innych wymogów prawnych w zakresie stosunku pracy. Dane pracownika
przechowywane są po rozwiązaniu jego stosunku pracy przez okres wymagany prawem.
Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b i lit. f RODO, art. 9 ust. 2 lit. b i lit. h RODO,
art. 88 ust. 1 RODO oraz ustawodawstwo krajowe, w tym art. 26 niemieckiej ustawy BDSG (federalnej
ustawy o ochronie danych osobowych).
D. Kategorie danych osobowych (art. 14 ust. 1 lit. d RODO)
Dane kandydatów
Dane pracowników
E. Kategorie odbiorców danych (art. 14 ust. 1 lit. e RODO)
Władze publiczne
Organy zewnętrzne
Dalsze organy zewnętrzne
Przetwarzanie wewnętrzne
Przetwarzanie wewnątrzgrupowe
Inne organy
Page 191 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
F. Odbiorcy w państwie trzecim, jak również odpowiednie lub właściwe
zabezpieczenia oraz możliwości uzyskania kopii danych lub miejsca udostępnienia
danych (art. 14 ust. 1 lit. f, art. 46 ust. 1, art. 46 ust. 2 lit. c RODO)
Wszystkie firmy i oddziały należące do naszej grupy (zwane dalej „spółkami grupy”), które mają swoje
miejsce prowadzenia działalności lub biuro w państwie trzecim, mogą być odbiorcami danych
osobowych.
Na mocy art. 46 ust. 1 RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe
do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że
obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia
organu nadzorczego za pomocą standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO).
Przed pierwszym przekazaniem danych osobowych uzgadniane są z wszystkimi odbiorcami z państw
trzecich standardowe klauzule umowne Unii Europejskiej. W związku z tym zapewniono, że
zagwarantowane zostaną odpowiednie zabezpieczenia, egzekwowalne prawa osób, których dane
dotyczą, oraz skuteczne środki prawne dla osób, których dane dotyczą, wynikające ze standardowych
klauzul umownych UE. Każda osoba, której dane dotyczą, może uzyskać kopię standardowych klauzul
umownych od naszego inspektora ochrony danych. Standardowe klauzule umowne są również dostępne
w Dzienniku Urzędowym Unii Europejskiej (Dz.U. 2010 / L 39, str. 5-18).
G. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalania tego okresu (art. 14 ust. 2 lit. a RODO)
Okres przechowywania danych osobowych kandydatów wynosi 6 miesięcy. Do danych osobowych
pracowników stosuje się odpowiednie ustawowe okresy przechowywania danych. Po upływie tego
okresu odpowiednie dane są standardowo usuwane, o ile nie będę jeszcze potrzebne do realizacji lub
zawarcia umowy.
H. Powiadomienie o uzasadnionych interesach administratora lub strony trzeciej,
jeżeli podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO (art. 14 ust. 2. b RODO)
Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem tylko wtedy, gdy jest niezbędne
do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub
stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy
lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych.
Zgodnie z ust. 47 zdanie 2 preambuły RODO uzasadniony interes może istnieć wtedy, gdy występuje
odpowiedni i właściwy związek między osobą, której dane dotyczą, a administratorem, np. w sytuacjach,
Page 192 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
w których osoba, której dane dotyczą, jest klientem administratora. We wszystkich przypadkach, w
których nasza firma przetwarza dane na podstawie art. 6 ust. 1 lit (f) RODO, naszym uzasadnionym
interesem jest zatrudnienie odpowiedniego personelu i specjalistów.
I. Informacje o prawie do żądania od administratora dostępu do danych
osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub
ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec
przetwarzania, a także o prawie do przenoszenia danych (art. 14 ust. 2 lit. c RODO)
Wszystkie osoby, których dane dotyczą, mają następujące prawa:
Prawo dostępu
Każda osoba, której dane dotyczą, ma prawo dostępu do danych osobowych, które jej dotyczą. Prawo
dostępu obejmuje wszystkie przetwarzane przez nas dane. Istnieje możliwość łatwego
wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc
zweryfikować zgodność przetwarzania z prawem (ust. 63 preambuły RODO). To prawo wynika z art. 15
RODO. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby
skorzystać z prawa dostępu.
Prawo do sprostowania
Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora
niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Osoba, której
dane dotyczą, może skontaktować się z naszym inspektorem ochrony danych, aby skorzystać z prawa
do sprostowania. Zgodnie z art. 16 zdanie 1 RODO osoba, której dane dotyczą, ma prawo żądania od
administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Ponadto osoby, których dane dotyczą, mają prawo do usunięcia danych i do bycia zapomnianym na
mocy art. 17 RODO. Z tego prawa można również skorzystać, kontaktując się z naszym inspektorem
ochrony danych. W tym miejscu chcielibyśmy jednak zwrócić uwagę, że to prawo nie ma zastosowania,
o ile przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, któremu podlega nasza firma
(art. 17 ust. 3 lit. b RODO). Oznacza to, że możemy zaakceptować wniosek o usunięcie danych tylko po
upływie ustawowego okresu zatrzymywania.
Prawo do ograniczenia przetwarzania danych
Zgodnie z art. 18 RODO osoba, której dane dotyczą, jest uprawniona do ograniczenia przetwarzania
danych. Można domagać się ograniczenia przetwarzania, jeżeli spełniony jest jeden z warunków
określonych w art. 18 ust. 1 lit. a-d RODO. Można domagać się ograniczenia przetwarzania, jeżeli
spełniony jest jeden z warunków określonych w art. 18 ust. 1 lit. a-d RODO.
Page 193 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Prawo do sprzeciwu
Ponadto art. 21 RODO gwarantuje prawo do sprzeciwu. Osoba, której dane dotyczą, może skontaktować
się z naszym inspektorem ochrony danych, aby skorzystać z prawa do sprzeciwu.
Prawo do przenoszenia danych
Art. 20 RODO gwarantuje osobie, której dane dotyczą, prawo do przenoszenia danych. Zgodnie z tym
postanowieniem, osoba, której dane dotyczą, ma prawo na warunkach określonych w art. 20 ust. 1 lit. a
i b RODO otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu
maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać
te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono
te dane osobowe. Osoba, której dane dotyczą, może skontaktować się z naszym inspektorem ochrony
danych, aby skorzystać z prawa do przenoszenia danych.
J. Informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na
zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej
cofnięciem, jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a
RODO (art. 14 ust. 2 lit. d RODO)
Jeśli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO, jak ma to miejsce w
sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych dla jednego
lub więcej konkretnych celów, lub art. 9 ust. 2 lit. a RODO, który reguluje wyraźną zgodę na przetwarzanie
szczególnych kategorii danych osobowych, osoba, której dane dotyczą, zgodnie z art. 7 ust. 3 zdanie 1
RODO, ma prawo do wycofania swojej zgody w dowolnym czasie.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie
zgody przed jej wycofaniem (art. 7 ust. 3 zdanie 2 RODO). Wycofanie zgody musi być równie łatwe jak
jej wyrażenie (art. 7 ust. 3 zdanie 4 RODO. W związku z powyższym wycofanie zgody może zawsze
nastąpić w taki sam sposób, jak udzielono zgody lub w jakikolwiek inny sposób, który jest uważany przez
osobę, której dane dotyczą, za prostszy. W dzisiejszym społeczeństwie informacyjnym
najprawdopodobniej najprostszym sposobem na wycofanie zgody jest zwykła wiadomość e-mail. Jeżeli
osoba, której dane dotyczą, pragnie wycofać udzieloną nam zgodę, wystarczy zwykła wiadomość e-mail
wysłana do naszego inspektora ochrony danych. Alternatywnie osoba, której dane dotyczą, może wybrać
inny sposób powiadomienia nas o wycofaniu swojej zgody.
Page 194 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Informacje o prawie wniesienia skargi do organu nadzorczego (art. 14 ust. 2 lit.
e, art. 77 ust. 1 RODO)
Jako administrator jesteśmy zobowiązani powiadomić osobę, której dane dotyczą, o prawie do wniesienia
skargi do organu nadzorczego (art. 13 ust. 2. lit. d RODO). Prawo do wniesienia skargi do organu
nadzorczego reguluje art. 77 ust. 1 RODO. Zgodnie z jego treścią, bez uszczerbku dla innych
administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma
prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego
zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli
sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie ogólne
rozporządzenie o ochronie danych. Prawo do wniesienia skargi do organu nadzorczego zostało
ograniczone prawem Unii w taki sposób, że może ono być wykonywane tylko przed jednym organem
nadzorującym (ust. 141 zdanie 1 preambuły RODO). Ta reguła ma na celu uniknięcie podwójnych skarg
niniejszej samej osoby, której dane dotyczą, w niniejszej samej sprawie. Jeżeli osoba, której dane
dotyczą, chce złożyć na nas skargę, prosimy o kontakt tylko z jednym organem nadzorczym.
L. Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy
pochodzą one ze źródeł publicznie dostępnych (art. 14 ust. 2 lit. f RODO)
Zasadniczo dane osobowe są gromadzone bezpośrednio od osoby, której dane dotyczą lub we
współpracy z organem (np. pobieranie danych z rejestru urzędowego). Inne dane osób, których dane
dotyczą, pochodzą z przeniesień w ramach spółek grupy. W kontekście tych ogólnych informacji
wskazanie z nazwy dokładnych źródeł pochodzenia danych osobowych jest niemożliwe lub wymagałoby
nieproporcjonalnego wysiłku w rozumieniu art. 14 ust. 5 lit. b RODO. Co do zasady nie zbieramy danych
osobowych z publicznie dostępnych źródeł.
Każda osoba, której dane dotyczą, może w każdej chwili skontaktować się z naszym inspektorem
ochrony danych w celu uzyskania bardziej szczegółowych informacji na temat dokładnych źródeł danych
osobowych, które jej dotyczą. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych
osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny (ust.
61 zdanie 4 preambuły RODO).
Page 195 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o
którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne
informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 14 ust. 2 lit.
g RODO)
Jako odpowiedzialna firma nie używamy automatycznego podejmowania decyzji ani profilowania.
Page 196 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
HUNGARIAN: Információk személyes adatok kezeléséről
(GDPR 13., 14. cikk)
Kedves Hölgyem/Uram!
Minden olyan személy személyes adata, aki szerződéses, szerződésen kívüli vagy egyéb kapcsolatban
áll vállalatunkkal, különleges védelmet érdemel. A célunk az, hogy magas szintű adatvédelmet
biztosítsunk. Ezért folyamatosan fejlesztjük adatvédelmi és adatbiztonsági elveinket.
Természetesen megfelelünk az adatvédelemre vonatkozó jogszabályi előírásoknak. A GDPR 13., 14.
cikke értelmében a vállatok specifikus tájékoztatási követelményeket teljesítenek személyes adatok
gyűjtésekor. Ez a dokumentum teljesíti ezt a kötelezettséget.
A jogszabályok terminológiája bonyolult. Sajnos a jogi szakkifejezések használata elengedhetetlen jelen
dokumentum elkészítésekor. Ezért szeretnénk felhívni a figyelmet arra, hogy mindig bátran lépjen
kapcsolatba az adatvédelmi tisztviselővel a jelen dokumentummal, a használt kifejezésekkel vagy
megfogalmazásokkal kapcsolatos minden kérdésben.
I. Az adatszolgáltatási követelményeknek való megfelelés, ha a
személyes adatokat az érintettől gyűjtik (a GDPR 13. cikke)
A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 13. cikk (1)
bekezdés a) pont)
Lásd feljebb
B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés
b) pont)
Lásd feljebb
C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az
adatkezelés jogalapja (a GDPR 13. cikk (1) bekezdésének c) pontja)
A személyes adatok kezelésének célja minden olyan művelet, amely az adatkezelőre, az ügyfelekre, a
leendő ügyfelekre, az üzleti partnerekre, a (legtágabb értelemben vett) csoportok között létrejövő más
Page 197 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
szerződéses vagy szerződésen kívüli kapcsolatokra, vagy az adatkezelő jogi kötelezettségeire
vonatkozik.
A GDPR 6. cikkének (1) bekezdése szolgál jogalapként az adatkezelési műveletekhez, amelyekhez az
adott adatkezelési cél vonatkozásában hozzájárulást kaptunk. Ha a személyes adatok feldolgozása
szükséges a szerződés teljesítéséhez, amelynek az érintett is részese, például az adatkezelés az áruk
kiszállításához vagy más szolgáltatásnyújtáshoz szükséges, akkor az adatkezelés alapja a GDPR 6.
cikkének (1) bekezdése. Ugyanez vonatkozik a szerződést megelőző intézkedések biztosításához
szükséges adatkezelési műveletekre is, például a termékeinket vagy szolgáltatásainkat érintő érdeklődés
esetén. Vállalatunkra vonatkozó jogi kötelezettség miatt a személyes adatok kezelése kötelező, például
adózási kötelezettségeink teljesítéséhez, az adatkezelés jogalapja ebben az esetben a GDPR 6. cikk (1)
bekezdés c) pontja.
Ritka esetekben a személyes adatok feldolgozása az érintett vagy más természetes személy
létfontosságú érdekeinek védelme érdekében szükséges. Ez állna fenn például akkor, ha egy látogató
megsérülne a vállalatunknál, és nevét, életkorát, egészségbiztosítási adatait vagy egyéb fontos
információkat továbbítanánk az orvosnak, kórháznak vagy más harmadik félnek. Majd az adatkezelés a
GDPR 6. cikk (1) bekezdés d) pontja alapján történne.
Végül az adatkezelési műveletek a GDPR 6. cikk (1) bekezdés f) pontjában foglaltakon alapulnának. Ez
a jogalap azon adatkezelési műveletekre vonatkozik, amelyekre a fent említett jogalapok egyike sem,
amennyiben az adatkezelés vállalatunk vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha
azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek
személyes adatait meg kell védeni. Az ilyen adatkezelési műveletek különösen megengedhetők, mivel
azokat az európai jogalkotó kifejezetten említi. Úgy ítéli meg, hogy jogos érdeket feltételezhet, ha az
érintett az adatkezelő ügyfele (GDPR bevezetés 47. pont 2. mondat).
D. Ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul az
adatkezelő vagy harmadik fél jogos érdekei alapján (GDPR 13. cikk (1) bekezdés d)
pont)
Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés f) pontján alapul, a mi jogos érdekünk az
üzleti tevékenység folytatása alkalmazottaink és részvényeseink jóléte érdekében.
E. Személyes adatok címzettjeinek kategóriái (GDPR 13. cikk (1) bekezdés e) pont)
Közhatalmi szervek
Page 198 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Külső szervek
További külső szervek
Belső adatkezelés
Csoportok közötti adatkezelés
Egyéb szervek
F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és
eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre
bocsájtották őket (GDPR 13. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c)
pont)
Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely
harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes
adatoknak.
A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat
személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat
nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek
részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is
szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont).
Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött
megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében
megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek
biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az
érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A
szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal
2010/L 39 5-18. oldal).
G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az
időtartam meghatározására szolgáló kritériumok (GDPR 13. cikk (2) bek. a) pont)
A személyes adatok tárolási időtartamának megadására vonatkozó kritériumokat a törvény által előírt
megőrzési idő határozza meg. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek,
amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez.
Page 199 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését,
azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen,
illetve az adathordozhatósághoz való jog (GDPR 13. cikk (2) bek. b) pont)
Minden érintett az alábbi jogokkal rendelkezik:
Hozzáféréshez való jog
Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed
minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés
megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a
GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne
élni a hozzáférés jogával.
Helyesbítés joga
A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy
indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR
16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a
hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti
a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával.
Törléshez való jog („elfeledtetéshez való jog”)
Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17.
cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel.
Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az
adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont.
Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak
lejáratát követően tudjuk jóváhagyni.
Adatkezelés korlátozásához való jog
A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés
korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek
valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni
az adatkezelés korlátozásának jogával.
Tiltakozáshoz való jog
Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az
adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával.
Page 200 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Adathordozhatóság joga
A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az
érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga
van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált,
általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy
másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat
megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az
adathordozhatóság jogával.
I. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló
adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés
a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján
(GDPR 13. cikk (2) bek. c) pontja) alapul
Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az
érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk
(2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való
kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat
értelmében bármikor visszavonni a hozzájárulását.
A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés
törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan
egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás
visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az
érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás
visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk
megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek.
De az érintett választhat más módot is a hozzájárulása visszavonásához.
J. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 13. cikk (2)
bekezdés d) pont, 77. cikk (1) bekezdés)
Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a
felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való
benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely
más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt
benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos
jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok
Page 201 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való
benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti
hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja,
hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az
érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti
hatóságnál tegye meg.
K. Személyes adatok biztosítása törvényi vagy szerződéses követelményként; A
szerződés megkötéséhez szükséges követelmény; Az érintett kötelezettsége a
személyes adatok biztosítása érdekében; az ilyen adatok nem teljesítésének
lehetséges következményei (GDPR 13. cikk (2) bekezdés e) pontja).
Tisztázzuk, hogy a személyes adatok megadása részben törvényi okokból (pl.: adószabályok), vagy
részben szerződéses rendelkezések miatt szükséges (pl.: a szerződő fél adatai).
Néha szükséges lehet szerződés kötésére, hogy az érintett személyes adatokat adjon át nekünk,
amelyeket később mi kezelünk. Az érintett például személyes adatokat ad át vállalatunknak, amikor
aláírunk vele egy szerződést. Ha az érintett nem adna át személyes adatokat, akkor a szerződést nem
tudnánk megkötni.
Mielőtt az érintett személyes adatokat adna meg, az érintettnek fel kell vennie a kapcsolatot az
adatvédelmi tisztviselővel. Adatvédelmi tisztviselőnk tisztázza az érintettel, hogy a személyes adatok
megadására törvényi vagy szerződéses okokból van szükség, vagy a szerződés megkötéséhez
szükséges, illetve, hogy kötelezettsége van a személyes adatok megadására, és milyen
következményekkel jár a személyes adatok megadásának megtagadása.
L. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált
döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az
értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen
adatkezelés megvalósításának jelentősége és tervezett következményei az érintett
számára (GDPR 13. cikk (2) bekezdés f) pont).
Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást.
Page 202 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
II. Az adatszolgáltatási követelményeknek való megfelelés, ha a
személyes adatokat nem az érintettől gyűjtik (a GDPR 14. cikke)
A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 14. cikk
(1) bekezdés a) pont)
Lásd feljebb
B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés
b) pont)
Lásd feljebb
C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az
adatkezelés jogalapja (a GDPR 14. cikk (1) bekezdésének c) pontja)
A személyes adatok kezelésének célja minden olyan művelet, amely az adatkezelőre, az ügyfelekre, a
leendő ügyfelekre, az üzleti partnerekre, a (legtágabb értelemben vett) csoportok között létrejövő más
szerződéses vagy szerződésen kívüli kapcsolatokra, vagy az adatkezelő jogi kötelezettségeire
vonatkozik.
Ha a személyes adatok feldolgozása szükséges a szerződés teljesítéséhez, amelynek az érintett is
részese, például az adatkezelés az áruk kiszállításához vagy más szolgáltatásnyújtáshoz szükséges,
akkor az adatkezelés alapja a GDPR 6. cikkének (1) bekezdése. Ugyanez vonatkozik a szerződést
megelőző intézkedések biztosításához szükséges adatkezelési műveletekre is, például a termékeinket
vagy szolgáltatásainkat érintő érdeklődés esetén. Vállalatunkra vonatkozó jogi kötelezettség miatt a
személyes adatok kezelése kötelező, például adózási kötelezettségeink teljesítéséhez, az adatkezelés
jogalapja ebben az esetben a GDPR 6. cikk (1) bekezdés c) pontja.
Ritka esetekben a személyes adatok feldolgozása az érintett vagy más természetes személy
létfontosságú érdekeinek védelme érdekében szükséges. Ez állna fenn például akkor, ha egy látogató
megsérülne a vállalatunknál, és nevét, életkorát, egészségbiztosítási adatait vagy egyéb fontos
információkat továbbítanánk az orvosnak, kórháznak vagy más harmadik félnek. Majd az adatkezelés a
GDPR 6. cikk (1) bekezdés d) pontja alapján történne.
Végül az adatkezelési műveletek a GDPR 6. cikk (1) bekezdés f) pontjában foglaltakon alapulnának. Ez
a jogalap azon adatkezelési műveletekre vonatkozik, amelyekre a fent említett jogalapok egyike sem,
amennyiben az adatkezelés vállalatunk vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha
azok az érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek
Page 203 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
személyes adatait meg kell védeni. Az ilyen adatkezelési műveletek különösen megengedhetők, mivel
azokat az európai jogalkotó kifejezetten említi. Úgy ítéli meg, hogy jogos érdeket feltételezhet, ha az
érintett az adatkezelő ügyfele (GDPR bevezetés 47. pont 2. mondat).
D. Érintett személyes adatok kategóriái (GDPR 14. cikk (1) bekezdés d) pont)
Ügyfél adatai
Potenciális ügyfelek adatai
Alkalmazottak adatai
Beszállítók adatai
E. Személyes adatok címzettjeinek kategóriái (GDPR 14. cikk (1) bekezdés e) pont)
Közhatalmi szervek
Külső szervek
További külső szervek
Belső adatkezelés
Csoportok közötti adatkezelés
Egyéb szervek
F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és
eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre
bocsájtották őket (GDPR 14. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c)
pont)
Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely
harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes
adatoknak. Minden csoportvállalat címe megtalálható a weboldalunkon www.osigroup.com.
Page 204 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat
személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat
nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek
részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is
szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont).
Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött
megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében
megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek
biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az
érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A
szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal
2010/L 39 5-18. oldal).
G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az
időtartam meghatározására szolgáló kritériumok (GDPR 14. cikk (2) bek. a) pont)
A személyes adatok tárolási időtartamának megadására vonatkozó kritériumokat a törvény által előírt
megőrzési idő határozza meg. Az adott időtartamot követően az adatok rutinszerűen törlésre kerülnek,
amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés megkötéséhez.
H. Értesítés az adatkezelő vagy harmadik jogos érdekeiről, amennyiben az
adatkezelés a GDPR 6. cikk (1) bekezdés f) pontja alapján történik (GDPR 14. cikk (2)
bekezdés b) pontja).
A GDPR 6. cikk (1) bekezdés f) pontja szerinti adatkezelés csak akkor lehet törvényes, amennyiben az
adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az
érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek személyes
adatait meg kell védeni. A GDPR Bevezetés 47. pontjának 2. mondata szerint a jogos érdek fennállhat,
ha az érintett és az adatkezelő között releváns és megfelelő kapcsolat van, például ha az érintett az
adatkezelő ügyfele. Minden esetben, amikor vállaltunk a személyes adatokat a GDPR 6. cikk (1)
bekezdés f) pontja szerint kezeli, a mi jogos érdekünk az üzleti tevékenység folytatása alkalmazottaink
és részvényeseink jóléte érdekében.
Page 205 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését,
azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen,
illetve az adathordozhatósághoz való jogát gyakorolni (GDPR 14. cikk (2) bek. c) pont)
Minden érintett az alábbi jogokkal rendelkezik:
Hozzáféréshez való jog
Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed
minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés
megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a
GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne
élni a hozzáférés jogával.
Helyesbítés joga
A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy
indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR
16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a
hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti
a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával.
Törléshez való jog („elfeledtetéshez való jog”)
Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17.
cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel.
Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az
adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont.
Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak
lejáratát követően tudjuk jóváhagyni.
Adatkezelés korlátozásához való jog
A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés
korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek
valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni
az adatkezelés korlátozásának jogával.
Tiltakozáshoz való jog
Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az
adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával.
Adathordozhatóság joga
A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az
érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga
van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált,
Page 206 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy
másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat
megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az
adathordozhatóság jogával.
J. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló
adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés
a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján
alapul (GDPR 14. cikk (2) bekezdés d) pontja)
Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az
érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk
(2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való
kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat
értelmében bármikor visszavonni a hozzájárulását.
A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés
törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan
egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás
visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az
érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás
visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk
megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek.
De az érintett választhat más módot is a hozzájárulása visszavonásához.
K. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 14. cikk (2)
bekezdés e) pont, 77. cikk (1) bekezdés)
Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a
felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való
benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely
más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt
benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos
jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok
feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való
benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti
hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja,
hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az
Page 207 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti
hatóságnál tegye meg.
L. Forrás ahonnan a személyes adatok származnak, és adott esetben a nyilvános
elérhető források (ha az adatok onnan származnak) (GDPR 14. cikk (2) bekezdés f)
pont)
Elviekben a személyes adatokat közvetlenül az érintettől vagy egy hatósággal együttműködésben gyűjtik
(pl.: adatok kinyerése egy hivatalos nyilvántartásból) Az érintettek egyéb adatai a csoportvállalatoktól
adattovábbítással érkeznek. Ezen általános információkkal összefüggésben a pontos források
megnevezése, amelyekből a személyes adatok származnak, lehetetlen vagy aránytalan erőfeszítéssel
járna a GDPR 14. cikk (5) bekezdés b) pontja értelmében. Elméletileg nem gyűjtünk személyes adatokat
nyilvánosan hozzáférhető forrásokból.
Az érintettek bármikor felvehetik a kapcsolatot az adatvédelmi tisztviselőnkkel, hogy további információt
kapjanak az őket érintő személyes adatok pontos forrásáról. Ha a személyes adatok eredetét nem tudjuk
megmondani az érintettnek, mivel több forrásból származnak, akkor általános tájékoztatást kell adnunk
(GDPR Bevezetés 61. pont 4. mondat).
M. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált
döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az
értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen
adatkezelés megvalósításának jelentősége és tervezett következményei az érintett
számára (GDPR 14. cikk (2) bekezdés g) pont).
Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást.
Page 208 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
HUNGARIAN: A munkavállalók és pályázók személyes
adatainak feldolgozásáról szóló információk (GDPR, 13. és
14. cikk)
Tisztelt Hölgyem/Uram!
A munkavállalók és pályázók személyes adatai fokozott védelmet érdemelnek. A célunk az, hogy magas
szintű adatvédelmet biztosítsunk. Ezért folyamatosan fejlesztjük az adatvédelmi és adatbiztonsági
gyakorlatainkat.
Természetesen megfelelünk az adatvédelemre vonatkozó jogszabályi előírásoknak. A GDPR 13. és 14.
cikke szerint az adatkezelőknek a személyes adatok feldolgozása során speciális tájékoztatási
követelményeknek kell megfelelniük. Ez a dokumentum teljesíti az ilyen jellegű kötelezettségeket.
A jogi szabályozás terminológiája meglehetősen bonyolult. Sajnos a jogi szakkifejezések használata
elengedhetetlen a jelen dokumentum elkészítésekor. Ezért szeretnénk felhívni a figyelmét arra, hogy
mindig szívesen vesszük, ha felkeres bennünket bármilyen, a jelen dokumentummal, a fogalmakkal vagy
a megfogalmazással kapcsolatos kérdéssel.
I. Az adatszolgáltatási követelményeknek való megfelelés, ha a
személyes adatokat az érintettől gyűjtik (a GDPR 13. cikke)
A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 13. cikk (1)
bekezdés a) pont)
Lásd feljebb
B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 13. cikk (1) bekezdés
b) pont)
Lásd feljebb
Page 209 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az
adatkezelés jogalapja (a GDPR 13. cikk (1) bekezdésének c) pontja)
A pályázó adataira vonatkozóan az adatfeldolgozás célja a jelentkezés vizsgálatának lefolytatása a
munkaerő-felvételi folyamat során. Ezen célból az összes, Ön által biztosított adatot feldolgozzuk. A
munkaerő-felvételi folyamat során benyújtott adatok alapján eldöntjük, hogy behívjuk-e állásinterjúra (ez
része a kiválasztási folyamatnak). Az általánosságban véve alkalmas pályázók esetében, főként az
állásinterjú kapcsán feldolgozunk bizonyos egyéb, Ön által biztosított személyes adatokat, mely
létfontosságú a választási döntésünk meghozatalában. Ha felvesszük Önt, a pályázói adatok
automatikusan munkavállalói adatokká válnak. A munkaerő-felvételi folyamat részeként feldolgozunk
egyéb, Önhöz kapcsolódó, általunk bekért személyes adatokat is, amelyek a szerződés megkötéséhez
vagy teljesítéséhez szükségesek (például személyazonosító okmány száma vagy adószám). A
munkavállaló adataira vonatkozóan az adatfeldolgozás célja a munkaszerződés teljesítése, illetve az
egyéb, munkaviszony szempontjából alkalmazandó, jogi rendelkezéseknek (pl. adótörvény) való
megfelelés, valamint az Ön személyes adatainak felhasználása az Önnel kötött munkaszerződés
teljesítése céljából (pl. az Ön nevének és elérhetőségének közzététele a vállalaton belül vagy az ügyfelek
számára). A munkavállalói adatok tárolása a munkaviszony megszűnését követően a jogilag előírt
adatmegőrzési időszak teljesítésével történik.
Az adatfeldolgozás jogalapja a GDPR 6. cikk (1) bekezdés b) pontja, a GDPR 9. cikk (2) bekezdés b) és
h) pontja, a GDPR 88. cikk (1) bekezdése, valamint az olyan nemzeti jogszabályok, mint a német
szövetségi adatvédelmi törvény (BDSG) 26. szakasza.
D. Személyes adatok címzettjeinek kategóriái (GDPR 13. cikk (1) bekezdés e) pont)
Közhatalmi szervek
Külső szervek
További külső szervek
Belső adatkezelés
Csoportok közötti adatkezelés
Egyéb szervek
Page 210 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és
eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre
bocsájtották őket (GDPR 13. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c)
pont)
Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely
harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes
adatoknak.
A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat
személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat
nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek
részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is
szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont).
Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött
megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében
megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek
biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az
érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A
szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal
2010/L 39 5-18. oldal).
F. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az
időtartam meghatározására szolgáló kritériumok (GDPR 13. cikk (2) bek. a) pont)
A pályázók személyes adatainak tárolási időtartama 6 hónap. A munkavállalók adataira a törvény által
előírt adatmegőrzési időszak érvényes. Az adott időtartamot követően az adatok rutinszerűen törlésre
kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés
megkötéséhez.
G. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését,
azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen,
illetve az adathordozhatósághoz való jog (GDPR 13. cikk (2) bek. b) pont)
Minden érintett az alábbi jogokkal rendelkezik:
Page 211 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Hozzáféréshez való jog
Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed
minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés
megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a
GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne
élni a hozzáférés jogával.
Helyesbítés joga
A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy
indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR
16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a
hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti
a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával.
Törléshez való jog („elfeledtetéshez való jog”)
Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17.
cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel.
Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az
adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont.
Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak
lejáratát követően tudjuk jóváhagyni.
Adatkezelés korlátozásához való jog
A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés
korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek
valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni
az adatkezelés korlátozásának jogával.
Tiltakozáshoz való jog
Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az
adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával.
Adathordozhatóság joga
A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az
érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga
van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált,
általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy
másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat
megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az
adathordozhatóság jogával.
Page 212 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló
adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés
a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján
(GDPR 13. cikk (2) bek. c) pontja) alapul
Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az
érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk
(2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való
kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat
értelmében bármikor visszavonni a hozzájárulását.
A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés
törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan
egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás
visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az
érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás
visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk
megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek.
De az érintett választhat más módot is a hozzájárulása visszavonásához.
I. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 13. cikk (2)
bekezdés d) pont, 77. cikk (1) bekezdés)
Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a
felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való
benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely
más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt
benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos
jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok
feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való
benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti
hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja,
hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az
érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti
hatóságnál tegye meg.
Page 213 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Személyes adatok biztosítása törvényi vagy szerződéses követelményként; A
szerződés megkötéséhez szükséges követelmény; Az érintett kötelezettsége a
személyes adatok biztosítása érdekében; az ilyen adatok nem teljesítésének
lehetséges következményei (GDPR 13. cikk (2) bekezdés e) pontja).
Tisztázzuk, hogy a személyes adatok megadása részben törvényi okokból (pl.: adószabályok), vagy
részben szerződéses rendelkezések miatt szükséges (pl.: a szerződő fél adatai).
Néha szükséges lehet szerződés kötésére, hogy az érintett személyes adatokat adjon át nekünk,
amelyeket később mi kezelünk. Az érintett például személyes adatokat ad át vállalatunknak, amikor
aláírunk vele egy szerződést. Ha az érintett nem adna át személyes adatokat, akkor a szerződést nem
tudnánk megkötni.
Mielőtt az érintett személyes adatokat adna meg, az érintettnek fel kell vennie a kapcsolatot az
adatvédelmi tisztviselővel. Adatvédelmi tisztviselőnk tisztázza az érintettel, hogy a személyes adatok
megadására törvényi vagy szerződéses okokból van szükség, vagy a szerződés megkötéséhez
szükséges, illetve, hogy kötelezettsége van a személyes adatok megadására, és milyen
következményekkel jár a személyes adatok megadásának megtagadása.
K. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált
döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az
értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen
adatkezelés megvalósításának jelentősége és tervezett következményei az érintett
számára (GDPR 13. cikk (2) bekezdés f) pont).
Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást.
II. Az adatszolgáltatási követelményeknek való megfelelés, ha a
személyes adatokat nem az érintettől gyűjtik (a GDPR 14. cikke)
A. Az adatkezelő személyazonossága és kapcsolattartási adatai (GDPR 14. cikk (1)
bekezdés a) pont)
Lásd feljebb
Page 214 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
B. Az adatvédelmi tisztviselő kapcsolattartási adatai (GDPR 14. cikk (1) bekezdés
b) pont)
Lásd feljebb
C. Az adatkezelés célja, amelyre a személyes adatok szolgálnak, valamint az
adatkezelés jogalapja (a GDPR 14. cikk (1) bekezdésének c) pontja)
A nem az érintett felektől begyűjtött pályázói adatokra vonatkozóan az adatfeldolgozás célja a jelentkezés
vizsgálatának lefolytatása a munkaerő-felvételi folyamat során. Ebből a célból feldolgozhatunk nem Öntől
begyűjtött adatokat is. A munkaerő-felvételi folyamat során feldolgozott adatok alapján eldöntjük, hogy
behívjuk-e állásinterjúra (ez része a kiválasztási folyamatnak). Ha felvesszük Önt, a pályázói adatok
automatikusan munkavállalói adatokká változnak. A munkavállalók adataira vonatkozóan az
adatfeldolgozás célja a munkaszerződés teljesítése, illetve az egyéb, munkaviszony szempontjából
alkalmazandó, jogi rendelkezéseknek való megfelelés A munkavállalói adatok tárolása a munkaviszony
megszűnését követően a jogilag előírt adatmegőrzési időszak teljesítésével történik.
Az adatfeldolgozás jogalapja a GDPR 6. cikk (1) bekezdés b) és f) pontja, a GDPR 9. cikk (2) bekezdés
b) és h) pontja, a GDPR 88. cikk (1) bekezdése, valamint az olyan nemzeti jogszabályok, mint a német
szövetségi adatvédelmi törvény (BDSG) 26. szakasza.
D. Érintett személyes adatok kategóriái (GDPR 14. cikk (1) bekezdés d) pont)
Pályázói adatok
Munkavállalói adatok
E. Személyes adatok címzettjeinek kategóriái (GDPR 14. cikk (1) bekezdés e) pont)
Közhatalmi szervek
Külső szervek
További külső szervek
Belső adatkezelés
Csoportok közötti adatkezelés
Page 215 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Egyéb szervek
F. Harmadik országban lévő címzettek és megfelelő vagy alkalmas biztosítékok és
eszközök, amelyekkel másolatot lehet szerezni róluk, vagy ahol rendelkezésre
bocsájtották őket (GDPR 14. cikk (1) bek. f) pont, 46. cikk (1) bek., 46. cikk (2) bek. c)
pont)
Minden olyan csoportunkat alkotó vállalat és fiókiroda (továbbiakban „csoportvállalatok”), amely
harmadik országban folytat üzleti tevékenységet vagy ott tart fenn irodát, lehet címzettje a személyes
adatoknak. Minden csoportvállalat címe megtalálható a weboldalunkon www.osigroup.com.
A GDPR 46. cikk (1) bekezdése szerint az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat
személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő biztosítékokat
nyújt, ha az érintett jogai kikényszeríthetők és rendelkezésre állnak jogorvoslati lehetőségek az érintettek
részére. Megfelelő biztosítékokat lehet nyújtani a felügyeleti hatóság külön engedélye nélkül is
szabványos szerződéses záradékok segítségével (GDPR 46. cikk (2) bek. c) pont).
Az Európai Unió szabványos szerződéses záradékait a személyes adatok első továbbítása előtt kötött
megállapodás biztosítja minden harmadik országban tartózkodó címzett esetén. Ennek következtében
megfelelő biztosítékok, az érintett kikényszeríthető jogai és hatályos jogorvoslati lehetőségek
biztosíthatók az érintett számára, amelyeket az EU szabványos szerződéses záradékai garantálnak. Az
érintettek a szabványos szerződéses záradékokról másolatot kaphatnak az adatvédelmi tisztviselőtől. A
szabványos szerződéses záradékok elérhetők az Európai Unió hivatalos lapjában (Official Journal
2010/L 39 5-18. oldal).
G. A személyes adatok tárolásának időtartama, vagy ha az nem lehetséges, az
időtartam meghatározására szolgáló kritériumok (GDPR 14. cikk (2) bek. a) pont)
A pályázók személyes adatainak tárolási időtartama 6 hónap. A munkavállalók adataira a törvény által
előírt adatmegőrzési időszak érvényes. Az adott időtartamot követően az adatok rutinszerűen törlésre
kerülnek, amennyiben azok már nem szükségesek a szerződés teljesítéséhez vagy a szerződés
megkötéséhez.
Page 216 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Értesítés az adatkezelő vagy harmadik jogos érdekeiről, amennyiben az
adatkezelés a GDPR 6. cikk (1) bekezdés f) pontja alapján történik (GDPR 14. cikk (2)
bekezdés b) pontja).
A GDPR 6. cikk (1) bekezdés f) pontja szerinti adatkezelés csak akkor lehet törvényes, amennyiben az
adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekében szükséges, kivéve, ha azok az
érdekek felülírják annak az érintettnek az érdekeit, alapvető jogait és szabadságát, akinek személyes
adatait meg kell védeni. A GDPR Bevezetés 47. pontjának 2. mondata szerint a jogos érdek fennállhat,
ha az érintett és az adatkezelő között releváns és megfelelő kapcsolat van, például ha az érintett az
adatkezelő ügyfele. Minden esetben, melynek során vállalatunk a GDPR 6. cikk (1) bekezdés f) pontja
alapján dolgozza fel a pályázói adatokat, a jogos érdekünk a megfelelő személyzet és szakemberek
alkalmazása.
I. Az érintett joga a személyes adatok hozzáférését, helyesbítését vagy törlését,
azok korlátozott feldolgozását kérni az adatkezelőtől, tiltakozni az adatkezelés ellen,
illetve az adathordozhatósághoz való jogát gyakorolni (GDPR 14. cikk (2) bek. c) pont)
Minden érintett az alábbi jogokkal rendelkezik:
Hozzáféréshez való jog
Minden érintettnek joga van hozzáférni az őt érintő személyes adatokhoz. A hozzáférés joga kiterjed
minden általunk kezelt adatra. Ez a jog könnyen és ésszerű időközönként gyakorolható az adatkezelés
megismerése, és törvényességének ellenőrzése érdekében (GDPR Bevezetés 63. pont) Ezt a jogot a
GDPR 15. cikke biztosítja. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne
élni a hozzáférés jogával.
Helyesbítés joga
A GDPR 16. cikk 1. mondata értelmében az érintettnek joga van, hogy kérje az adatkezelőt, hogy
indokolatlan késedelem nélkül helyesbítse az őt érintő pontatlan személyes adatokat. Ezen kívül a GDPR
16. cikk 2. mondata biztosítja, hogy az érintett jogosult – figyelembe véve az adatkezelés céljait – a
hiányos adatok pótlását kérni beleértve a kiegészítő nyilatkozattal való biztosítást is. Az érintett felveheti
a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni a helyesbítés jogával.
Törléshez való jog („elfeledtetéshez való jog”)
Ezen kívül az érintettek jogosultak a törléshez és elfeledtetéshez való jog gyakorlására a a GDPR 17.
cikke értelmében. Az érintett élhet ezzel a jogával, ha felveszi a kapcsolatot adatvédelmi tisztviselőnkkel.
Ezen a ponton azonban szeretnénk rámutatni arra, hogy ez a jog nem alkalmazandó, amennyiben az
adatkezelés ránk vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 17. cikk (3) bek. b) pont.
Ez azt jelenti, hogy a törlésre vonatkozó kérelmet csak a törvényi előírás szerinti megőrzési időszak
lejáratát követően tudjuk jóváhagyni.
Page 217 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Adatkezelés korlátozásához való jog
A GDPR 18. cikke szerint minden érintett jogosult az adatkezelés korlátozására. Ha az adatkezelés
korlátozását akkor lehet kérni, ha a GDPR 18. cikk (1) bek. a-d) pontjában meghatározott feltételek
valamelyike teljesül. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni
az adatkezelés korlátozásának jogával.
Tiltakozáshoz való jog
Továbbá a GDPR 21. cikke biztosítja a tiltakozáshoz való jogot. Az érintett felveheti a kapcsolatot az
adatvédelmi tisztviselőnkkel, ha szeretne élni a tiltakozáshoz való jogával.
Adathordozhatóság joga
A GDPR 20. cikke biztosítja az adathordozhatóság jogát az érintettnek. E rendelkezés értelmében az
érintettnek a GDPR 20. cikk (1) bekezdésének a) és b) pontjában meghatározott feltételek szerint joga
van, hogy megkapja az őt érintő, adatkezelő részére átadott személyes adatokat egy strukturált,
általánosan használt és gépileg olvasható formában, és joga van arra, hogy ezeket az adatokat egy
másik adatkezelőnek akadály nélkül továbbítsa attól az adatkezelőtől, akinek a személyes adatokat
megadta. Az érintett felveheti a kapcsolatot az adatvédelmi tisztviselőnkkel, ha szeretne élni az
adathordozhatóság jogával.
J. A hozzájárulás bármikor történő visszavonásának joga a hozzájáruláson alapuló
adatfeldolgozás törvényességét a visszavonás előtt nem érintve, ahol az adatkezelés
a GDPR 6. cikk (1) bekezdés a) pontján vagy a GDPR 9. cikk (2) bekezdés a) pontján
alapul (GDPR 14. cikk (2) bekezdés d) pontja)
Ha a személyes adatok kezelése a GDPR 6. cikk (1) bekezdés a) pontja szerint történik, amennyiben az
érintett hozzájárulását adta a személyes adatok kezeléséhez egy vagy több célból, vagy a GDPR 9. cikk
(2) bekezdés a) pontján alapul, amely a személyes adatok speciális kategóriáinak kezeléséhez való
kifejezett hozzájárulást szabályozza, akkor az érintettnek joga van a GDPR 7. cikk (3) bek. 1. mondat
értelmében bármikor visszavonni a hozzájárulását.
A hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés
törvényességét a GDPR 7. cikk (3) bek. 2. mondat értelmében. A hozzájárulás visszavonása olyan
egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bekezdés 4. mondat). Ezért a hozzájárulás
visszavonása mindig a hozzájárulás megadásával megegyező módon történik, vagy más módon, ha az
érintett számára az egyszerűbb. Napjaink információs társadalmában talán a hozzájárulás
visszavonásának legegyszerűbb módja az e-mail küldés. Ha az érintett szeretné visszavonni a nekünk
megadott hozzájárulását, akkor elegendő, ha küld egy e-mail üzenetet az adatvédelmi tisztviselőnknek.
De az érintett választhat más módot is a hozzájárulása visszavonásához.
Page 218 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Panasz felügyeleti hatósághoz való benyújtásának joga (GDPR 14. cikk (2)
bekezdés e) pont, 77. cikk (1) bekezdés)
Adatkezelőként kötelesek vagyunk értesíteni az érintettet arról, hogy joga van panaszt benyújtani a
felügyeleti hatósághoz (GDPR 13. cikk (2) bek. d) pont). A panasz felügyeleti hatósághoz való
benyújtásának jogát a GDPR 77. cikk (1) bekezdése szabályozza. E rendelkezés értelmében bármely
más közigazgatási vagy bírósági jogorvoslat sérelme nélkül minden érintettnek joga van panaszt
benyújtani egy felügyeleti hatósághoz, a szokásos tartózkodási helye, munkahelye vagy az állítólagos
jogsértés helye szerinti tagállamban, ha az érintett úgy ítéli meg, hogy az őt érintő személyes adatok
feldolgozása sérti az Általános adatvédelmi szabályozást. A panasz felügyeleti hatósághoz való
benyújtásának jogát az Unió törvénye szabályozza olyan módon, hogy az kizárólag egyetlen felügyeleti
hatósággal szemben gyakorolható (GDPR Bevezetés 141. pont, 1. mondat). Ennek a szabálynak a célja,
hogy kizárja, hogy az ugyanaz az érintett ugyanabban az ügyben dupla panaszt nyújtson be. Ha az
érintett panaszt szeretne benyújtani velünk szemben, kérjük, hogy azt csak egyetlen felügyeleti
hatóságnál tegye meg.
L. Forrás ahonnan a személyes adatok származnak, és adott esetben a nyilvános
elérhető források (ha az adatok onnan származnak) (GDPR 14. cikk (2) bekezdés f)
pont)
Elviekben a személyes adatokat közvetlenül az érintettől vagy egy hatósággal együttműködésben gyűjtik
(pl.: adatok kinyerése egy hivatalos nyilvántartásból) Az érintettek egyéb adatai a csoportvállalatoktól
adattovábbítással érkeznek. Ezen általános információkkal összefüggésben a pontos források
megnevezése, amelyekből a személyes adatok származnak, lehetetlen vagy aránytalan erőfeszítéssel
járna a GDPR 14. cikk (5) bekezdés b) pontja értelmében. Elméletileg nem gyűjtünk személyes adatokat
nyilvánosan hozzáférhető forrásokból.
Az érintettek bármikor felvehetik a kapcsolatot az adatvédelmi tisztviselőnkkel, hogy további információt
kapjanak az őket érintő személyes adatok pontos forrásáról. Ha a személyes adatok eredetét nem tudjuk
megmondani az érintettnek, mivel több forrásból származnak, akkor általános tájékoztatást kell adnunk
(GDPR Bevezetés 61. pont 4. mondat).
Page 219 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. A GDPR 22. cikkének (1) és (4) bekezdésében említett automatizált
döntéshozatal, ideértve a profilalkotást is, és legalábbis ezekben az esetekben az
értelmezhető logikával kapcsolatos lényeges információk, valamint az ilyen
adatkezelés megvalósításának jelentősége és tervezett következményei az érintett
számára (GDPR 14. cikk (2) bekezdés g) pont).
Felelős vállalatként nem alkalmazunk automatikus döntéshozatalt vagy profilalkotást.
Page 220 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ROMANIAN: Informații despre prelucrarea datelor cu caracter
personal (Articolul 13, 14 GDPR)
Stimate domnule sau doamnă,
Datele personale ale fiecărei persoane care are o relație contractuală, precontractuală sau de altă natură
cu compania noastră merită o protecție specială. Scopul nostru este să păstrăm nivelul de protecție a
datelor la un nivel înalt. Prin urmare, dezvoltăm în mod constant conceptele noastre privind protecția
datelor și securitatea datelor.
Desigur, respectăm prevederile legale privind protecția datelor. În conformitate cu articolul 13, 14 GDPR,
operatorii îndeplinesc cerințele specifice privind informațiile atunci când colectează date cu caracter
personal. Acest document îndeplinește aceste obligații.
Terminologia privind reglementările legale este complicată. Din păcate, utilizarea termenilor legali nu a
putut fi eliminată în pregătirea acestui document. Prin urmare, am dori să subliniem că sunteți întotdeauna
bineveniți să ne contactați pentru toate întrebările referitoare la acest document, termenii sau formulările
folosite.
I. Respectarea cerințelor de informare în cazul în care datele cu caracter
personal sunt colectate de la persoana vizată (articolul 13 GDPR)
A. Identitatea și datele de contact ale operatorului (articolul 13 alineatul (1) lit. a
GDPR)
Vezi deasupra
B. Datele de contact ale responsabilului cu protecția datelor (articolul 13 alineatul
(1) lit. b. GDPR)
Vezi deasupra
Page 221 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal,
precum și temeiul juridic al prelucrării (articolul 13 alineatul (1) lit. c din GDPR)
Scopul prelucrării datelor cu caracter personal este gestionarea tuturor operațiunilor care privesc
operatorul, clienții, potențialii clienți, partenerii de afaceri sau alte relații contractuale sau precontractuale
dintre grupurile numite (în sensul cel mai larg) sau obligațiile legale ale operatorului .
Art. 6 (1) lit. a GDPR servește ca bază legală pentru operațiunile de procesare pentru care obținem
consimțământul pentru un anumit scop al prelucrării. Dacă prelucrarea datelor cu caracter personal este
necesară pentru executarea unui contract la care este parte persoana vizată, cum este cazul, de
exemplu, atunci când operațiunile de prelucrare sunt necesare pentru furnizarea de bunuri sau pentru
furnizarea oricărui alt serviciu, prelucrarea este în temeiul articolului 6 alineatul (1) lit. b GDPR. Același
lucru este valabil și pentru operațiunile de prelucrare care sunt necesare pentru efectuarea măsurilor
precontractuale, de exemplu în cazul anchetelor referitoare la produsele sau serviciile noastre. Compania
noastră este supusă obligației legale prin care este necesară prelucrarea datelor cu caracter personal,
cum ar fi îndeplinirea obligațiilor fiscale, prelucrarea se face pe baza art. 6 (1) lit. c GDPR.
În cazuri rare, prelucrarea datelor cu caracter personal poate fi necesară pentru a proteja interesele vitale
ale persoanei vizate sau ale unei alte persoane fizice. Acesta ar fi cazul, de exemplu, în cazul în care un
vizitator a fost rănit în compania noastră și numele, vârsta, datele de asigurare de sănătate sau alte
informații vitale ar trebui să fie transmise unui medic, spital sau unei alte terțe părți. Apoi, prelucrarea se
va baza pe Art. 6 (1) lit. d GDPR.
În cele din urmă, operațiunile de prelucrare s-ar putea baza pe articolul 6 alineatul (1) lit. f GDPR. Acest
temei juridic este utilizat pentru operațiunile de prelucrare care nu sunt acoperite de niciunul dintre
motivele juridice menționate mai sus, dacă prelucrarea este necesară pentru interesele legitime urmărite
de compania noastră sau de o terță parte, cu excepția cazului în care aceste interese sunt în contradicție
cu alte drepturi și libertăți fundamentale ale persoanei vizate care necesită protecție a datelor cu caracter
personal. Astfel de operațiuni de prelucrare sunt în mod special permise deoarece au fost menționate în
mod specific de legiuitorul european. El a considerat că ar putea fi asumat un interes legitim dacă
persoana vizată este clientul operatorului (Considerentul 47 din propoziția 2 GDPR).
D. În cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR
interesele legitime urmărite de operator sau de o terță parte (Articolul 13 (1) lit.
d GDPR)
În cazul în care prelucrarea datelor cu caracter personal se bazează pe articolul 6 alineatul (1) lit. f GDPR
interesul nostru legitim este să ne desfășurăm afacerea în favoarea bunăstării tuturor angajaților și
acționarilor noștri.
Page 222 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Categorii de destinatari ai datelor cu caracter personal (Articolul 13 (1) lit. e
GDPR)
Autoritățile publice
Organismele externe
Alte organisme externe
Procesare internă
Procesare în cadrul grupului
Alte organisme
F. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele
prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse
la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46
alineatul (2) lit. c GDPR)
Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”)
care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O
listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi.
În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de
operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau
persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor
vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate
garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin
intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR.
Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți
beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se
asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru
persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale
standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii
Europene (JO 2010 / L 39, pag 5-18).
Page 223 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade (articolul
13 alineatul (2) lit. a GDPR)
Criteriile utilizate pentru a determina perioada de stocare a datelor cu caracter personal sunt perioada de
păstrare legală respectivă. După expirarea perioadei respective, datele corespunzătoare sunt șterse în
mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract.
H. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea
datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată
sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul
13 alineatul (2) lit. b GDPR)
Toate persoanele vizate au următoarele drepturi:
Dreptul de acces
Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces
se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile,
pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din
Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces.
Dreptul la rectificare
În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la
operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult,
articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a
avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare.
Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare.
Dreptul de ștergere (dreptul de a fi uitat)
În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest
drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am
dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a
îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR.
Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de
păstrare.
Dreptul la restricționarea prelucrării
Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea
prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR
este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării.
Page 224 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Dreptul de a obiecta
Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și
exercita dreptul de a prezenta obiecții.
Dreptul la portabilitatea datelor
Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această
dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul
de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format
structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator
fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne
poate contacta pentru a-și exercita dreptul la transferabilitatea datelor.
I. Existența dreptului de retragere a consimțământului în orice moment, fără a
afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa,
în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a GDPR
sau articolul 9 alineatul (2) lit. a GDPR (articolul 13 alineatul (2) lit. c GDPR)
Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care
persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe
scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează
consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana
vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul
(3) punctul 1 GDPR.
Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de
retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea
consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc
întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este
considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil
cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată
dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod
alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului.
J. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 13
alineatul (2) lit. d, articolul 77 alineatul (1) din GDPR)
În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la
o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o
Page 225 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei
dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană
vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în
care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa
încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o
privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o
autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în
fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă
vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de
date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o
singură autoritate de supraveghere.
K. Furnizarea de date cu caracter personal ca cerință statutară sau contractuală;
Cerința necesară pentru a încheia un contract; Obligația persoanei vizate de a
furniza datele cu caracter personal; consecințele posibile ale neîndeplinirii
furnizării cestor date [articolul 13 alineatul (2) lit. e din GDPR]
Clarificăm că furnizarea de date cu caracter personal este cerută parțial de lege (de ex. Reglementări
fiscale) sau poate rezulta și din dispoziții contractuale (de exemplu, informații despre partenerul
contractual).
Uneori poate fi necesar să se încheie un contract conform căruia persoana vizată ne furnizează date cu
caracter personal, care trebuie prelucrate ulterior de noi. Persoana vizată este, de exemplu, obligată să
ne furnizeze date cu caracter personal atunci când compania noastră semnează un contract cu el sau
ea. Nefurnizarea datelor cu caracter personal ar avea drept consecință faptul că persoana vizată nu a
putut încheia contractul respectiv.
Înainte de a furniza date cu caracter personal către persoana vizată, aceasta trebuie să ne contacteze.
Vom clarifica persoanei vizate dacă furnizarea datelor cu caracter personal este prevăzută de lege sau
contract sau este necesară pentru încheierea contractului, dacă există o obligație de a furniza datele cu
caracter personal, precum și consecințele nefurnizării datelor cu caracter personal.
Page 226 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Existența unui proces automat de luare a deciziilor, inclusiv profilarea, menționat
la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri,
informațiile semnificative cu privire la logica implicată, precum și semnificația și
consecințele preconizate ale unei astfel de procesări pentru persoana vizată
(articolul 13 alineatul (2) lit. f GDPR)
Ca o companie responsabilă, nu luăm decizii automate sau legate de profilare.
II. Respectarea cerințelor privind informațiile în cazul în care datele cu
caracter personal nu sunt colectate de la persoana vizată (articolul 14 din
GDPR)
A. Identitatea și datele de contact ale operatorului (articolul 14 alineatul (1) lit. a
GDPR)
Vezi deasupra
B. Datele de contact ale responsabilului cu protecția datelor (articolul 14 alineatul
(1) lit. b GDPR)
Vezi deasupra
C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal,
precum și temeiul juridic al prelucrării (articolul 14 alineatul (1) lit. c din GDPR)
Scopul prelucrării datelor cu caracter personal este gestionarea tuturor operațiunilor care privesc
operatorul, clienții, potențialii clienți, partenerii de afaceri sau alte relații contractuale sau precontractuale
dintre grupurile numite (în sensul cel mai larg) sau obligațiile legale ale operatorului.
Dacă prelucrarea datelor cu caracter personal este necesară pentru executarea unui contract la care
este parte persoana vizată, cum este cazul, de exemplu, atunci când operațiunile de prelucrare sunt
necesare pentru furnizarea de bunuri sau pentru furnizarea oricărui alt serviciu, prelucrarea este în
temeiul articolului 6 alineatul (1) lit. b GDPR. Același lucru este valabil și pentru operațiunile de prelucrare
care sunt necesare pentru efectuarea măsurilor precontractuale, de exemplu în cazul anchetelor
referitoare la produsele sau serviciile noastre. Compania noastră este supusă obligației legale care se
Page 227 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
referă la necesitatea prelucrării datelor cu caracter personal, cum ar fi îndeplinirea obligațiilor fiscale;
prelucrarea se face pe baza art. 6 (1) lit. c GDPR.
În cazuri rare, prelucrarea datelor cu caracter personal poate fi necesară pentru a proteja interesele vitale
ale persoanei vizate sau ale unei alte persoane fizice. Acesta ar fi cazul, de exemplu, în cazul în care un
vizitator a fost rănit în compania noastră și numele, vârsta, datele de asigurare de sănătate sau alte
informații vitale ar trebui să fie transmise unui medic, spital sau unei alte terțe părți. Apoi, prelucrarea se
va baza pe Art. 6 (1) lit. d GDPR.
În cele din urmă, operațiunile de prelucrare s-ar putea baza pe articolul 6 alineatul (1) lit. f GDPR. Acest
temei juridic este utilizat pentru operațiunile de prelucrare care nu sunt acoperite de niciunul dintre
motivele juridice menționate mai sus, dacă prelucrarea este necesară pentru interesele legitime urmărite
de compania noastră sau de o terță parte, cu excepția cazului în care aceste interese sunt înlăturate de
interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor
cu caracter personal. Astfel de operațiuni de prelucrare sunt în mod special permise deoarece au fost
menționate în mod specific de legiuitorul european. El a considerat că ar putea fi asumat un interes legitim
dacă persoana vizată este clientul operatorului (Considerentul 47 din propoziția 2 GDPR).
D. Categoriile de date cu caracter personal vizate (articolul 14 alineatul (1) lit. d
GDPR)
Datele despre consumator
Datele potențialilor clienți
Datele furnizorilor
E. Categorii de destinatari ai datelor cu caracter personal (Articolul 14 (1) lit. e
GDPR)
Autorități publice
Organismele externe
Alte organisme externe
Procesare internă
Page 228 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Procesare în cadrul grupului
Alte organisme
F. Beneficiarii dintr-o țară terță și garanțiile adecvate precum și mijloacele prin care
să se obțină o copie a acestora sau în cazul în care acestea au fost puse la
dispoziție [articolul 14 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46
alineatul (2) lit. c GDPR)
Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți de
grup”) care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter
personal. O listă a tuturor companiilor din grup poate fi solicitată de la noi.
În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoană împuternicită de
operator poate transfera datele cu caracter personal numai unei țări terțe, în cazul în care operatorul sau
persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor
vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate
garanții adecvate fără a solicita o autorizare specifică din partea unei autorități de supraveghere prin
intermediul unor clauze standard de protecție a datelor, articolul 46 alineatul (2) lit. c GDPR.
Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți
beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se
asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru
persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale
standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii
Europene (JO 2010 / L 39, pag 5-18).
G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru a determina acea perioadă
(Articolul 14 (2) lit. a GDPR)
Criteriile utilizate pentru a determina perioada de stocare a datelor cu caracter personal sunt perioada de
păstrare legală respectivă. După expirarea perioadei respective, datele corespunzătoare sunt șterse în
mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea unui contract.
Page 229 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Notificarea intereselor legitime urmărite de operator sau de o terță parte în cazul
în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR (articolul
14 alineatul (2) lit. b GDPR)
În conformitate cu articolul 6 alineatul (1) lit. f, prelucrarea este legală numai dacă aceasta este necesară
în scopul îndeplinirii intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în
care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale
persoanei vizate care necesită protecția datelor cu caracter personal. În conformitate cu Considerentul
47 din propunerea 2 GDPR, ar putea exista un interes legitim în cazul în care există o relație relevantă
și adecvată între persoana vizată și operator, de ex. în situațiile în care persoana vizată este clientul
operatorului. În toate cazurile în care societatea noastră procesează date personale în baza articolului 6
alineatul (1) lit. f GDPR, interesul nostru legitim este să ne desfășurăm afacerea în favoarea bunăstării
tuturor angajaților și a acționarilor.
I. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea
datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată
sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul
13 alineatul (2) lit. b GDPR)
Toate persoanele vizate au următoarele drepturi:
Dreptul de acces
Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces
se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile,
pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din
Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces.
Dreptul la rectificare
În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la
operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult,
articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a
avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare.
Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare.
Dreptul de ștergere (dreptul de a fi uitat)
În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest
drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am
dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a
îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR.
Page 230 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de
păstrare.
Dreptul la restricționarea prelucrării
Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea
prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR
este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării.
Dreptul de a obiecta
Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și
exercita dreptul de a prezenta obiecții.
Dreptul la portabilitatea datelor
Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această
dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul
de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format
structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator
fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne
poate contacta pentru a-și exercita dreptul la transferabilitatea datelor.
J. Existența dreptului de retragere a consimțământului în orice moment, fără a
afecta legalitatea prelucrării pe baza consimțământului înainte de retragerea
acestuia, în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a
sau articolul 9 alineatul (2) lit. a GDPR (articolul 14 alineatul (2) lit. d GDPR)
Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care
persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe
scopuri specifice sau se bazează pe articolul 9 alineatul (2) litera a GDPR care reglementează
consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana
vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul
(3) punctul 1. GDPR.
Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de
retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea
consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc
întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este
considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil
cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată
dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod
alternativ, persoana vizată poate alege orice alt mod de a ne comunica retragerea consimțământului.
Page 231 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Dreptul de a depune o plângere la o autoritate de supraveghere [articolul 14
alineatul (2) lit. e, articolul 77 alineatul (1) din GDPR]
În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la
o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o
autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei
dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană
vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în
care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa
încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o
privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o
autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în
fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă
vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de
date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o
singură autoritate de supraveghere.
L. Sursa datelor cu caracter personal provine din surse accesibile publicului
[articolul 14 alineatul (2) lit. f GDPR]
În principiu, datele cu caracter personal sunt colectate direct de la persoana vizată sau în cooperare cu
o autoritate (de exemplu, recuperarea datelor dintr-un registru oficial). Alte date privind persoanele vizate
provin din transferurile companiilor din grup. În contextul acestor informații generale, denumirea surselor
exacte din care provin datele personale este fie imposibilă, fie ar implica un efort disproporționat în sensul
art. 14 (5) lit. b GDPR. În principiu, nu colectăm date cu caracter personal din surse accesibile publicului.
Orice persoană vizată ne poate contacta în orice moment pentru a obține informații mai detaliate despre
sursele exacte privind datele cu caracter personal care o privesc. În cazul în care originea datelor cu
caracter personal nu poate fi furnizată persoanei vizate deoarece s-au folosit diverse surse, ar trebui să
se furnizeze informații generale (considerentul 61 din propunerea 4 din GDPR).
Page 232 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Existența unui proces automat de luare a deciziilor, inclusiv profilare, menționat
la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informații
semnificative cu privire la logica implicată, precum și semnificația și consecințele
preconizate ale unei astfel de procesări pentru persoana vizată (articolul 14
alineatul (2) lit. g GDPR)
Ca companie responsabilă, nu luăm decizii automate sau legate de profilare.
Page 233 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ROMANIAN: Informații privind prelucrarea datelor cu caracter
personal pentru angajați și solicitanți (articolul 13, 14 GDPR)
Stimate domnule sau doamnă,
Datele personale ale angajaților și ale solicitanților merită o protecție specială. Scopul nostru este să
păstrăm protecția datelor la un nivel înalt. Prin urmare, dezvoltăm în mod constant conceptele noastre
privind protecția datelor și securitatea datelor.
Desigur, respectăm prevederile legale privind protecția datelor. În conformitate cu articolul 13, 14 GDPR,
operatori îndeplinesc cerințele specifice de informare atunci când procesează date cu caracter personal.
Acest document îndeplinește aceste obligații.
Terminologia privind reglementările juridice este complicată. Din păcate, utilizarea termenilor legali nu a
putut fi eliminată în pregătirea acestui document. Prin urmare, am dori să subliniem că sunteți întotdeauna
bineveniți să ne contactați pentru toate întrebările referitoare la acest document, termenii utilizați sau
formulările.
I. Respectarea cerințelor de informare în cazul în care datele cu caracter
personal sunt colectate de la persoana vizată (articolul 13 GDPR)
A. Identitatea și datele de contact ale operatorului (articolul 13 alineatul (1) lit. a
GDPR)
Vezi deasupra
B. Datele de contact ale responsabilului cu protecția datelor (articolul 13 alineatul
(1) lit. b GDPR)
Vezi deasupra
C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal,
precum și temeiul juridic al prelucrării (articolul 13 alineatul (1) lit. c din GDPR)
Pentru datele solicitantului, scopul prelucrării datelor este de a efectua o examinare a cererii în timpul
procesului de recrutare. În acest scop, procesăm toate datele furnizate de dvs. Pe baza datelor furnizate
Page 234 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
în timpul procesului de recrutare, vom verifica dacă sunteți invitat la un interviu de angajare (parte a
procesului de selecție). În cazul candidaților în general potriviți, în special în contextul interviului de
angajare, procesăm anumite date personale furnizate de dvs., ceea ce este esențial pentru decizia
noastră de selecție. Dacă sunteți angajat de noi, datele solicitantului se vor schimba automat în datele
angajaților. Ca parte a procesului de recrutare, vom procesa alte date personale despre dvs. pe care le
cerem de la dvs. și care trebuie să inițieze sau să vă îndeplinească contractul (cum ar fi numerele de
identificare personale). În ceea ce privește datele angajaților, scopul prelucrării datelor este executarea
contractului de muncă sau respectarea altor dispoziții legale aplicabile relației de muncă (de exemplu,
dreptul fiscal), precum și utilizarea datelor dvs. personale pentru a încheia un contract de muncă (de
exemplu, publicarea numelui dvs. și a informațiilor de contact din cadrul companiei sau clienților). Datele
angajatului sunt stocate după încetarea raportului de muncă pentru a îndeplini perioadele de păstrare
legală.
Temeiul juridic pentru prelucrarea datelor este articolul 6 alineatul (1) lit. b și f GDPR, articolul 9 alineatul
(2) lit. b și h GDPR, articolul 88 (1) GDPR și legislația națională, cum ar fi pentru Germania Secțiunea 26
BDSG (Legea federală privind protecția datelor).
D. Categorii de destinatari ai datelor cu caracter personal (Articolul 13 (1) lit. e
GDPR)
Autorități publice
Organismele externe
Alte organisme externe
Procesare internă
Procesare în cadrul grupului
Alte organisme
Page 235 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
E. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele
prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse
la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46
alineatul (2) lit. c GDPR)
Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”)
care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O
listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi.
În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de
operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau
persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor
vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate
garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin
intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR.
Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți
beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se
asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru
persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale
standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii
Europene (JO 2010 / L 39, pag 5-18).
F. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade (articolul
13 alineatul (2) lit. a GDPR)
Durata păstrării datelor personale ale solicitanților este de 6 luni. Pentru datele despre salariați, se aplică
respectiva perioadă de păstrare legală. După expirarea perioadei respective, datele corespunzătoare
sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea
unui contract.
G. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea
datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată
sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul
13 alineatul (2) lit. b GDPR)
Toate persoanele vizate au următoarele drepturi:
Page 236 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Dreptul de acces
Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces
se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile,
pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din
Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces.
Dreptul la rectificare
În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la
operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult,
articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a
avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare.
Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare.
Dreptul de ștergere (dreptul de a fi uitat)
În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest
drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am
dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a
îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR.
Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de
păstrare.
Dreptul la restricționarea prelucrării
Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea
prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a- d GDPR
este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării.
Dreptul de a obiecta
Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și
exercita dreptul de a prezenta obiecții.
Dreptul la portabilitatea datelor
Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această
dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul
de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format
structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator
fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne
poate contacta pentru a-și exercita dreptul la transferabilitatea datelor.
Page 237 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Existența dreptului de retragere a consimțământului în orice moment, fără a
afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa,
în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a GDPR
sau articolul 9 alineatul (2) lit. a GDPR (articolul 13 alineatul (2) lit. c GDPR)
Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care
persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe
scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează
consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana
vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul
(3) punctul 1 GDPR.
Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de
retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea
consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc
întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este
considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil
cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată
dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod
alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului.
I. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 13
alineatul (2) lit. d, articolul 77 alineatul (1) din GDPR)
În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la
o autoritate de supraveghere, articolul 13 alineatul (2) lit. d GDPR. Dreptul de a depune o plângere la o
autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei
dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană
vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în
care își are reședința obișnuită, locul de muncă sau locul de muncă unde s-a desfășurat presupusa
încălcare în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o
privesc încalcă regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o
autoritate de supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în
fața unei autorități unice de supraveghere (considerentul 141 din propunerea 1 GDPR). Această regulă
vizează evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de
date dorește să depună o plângere în legătură cu noi, am solicitat, prin urmare, să contactați numai o
singură autoritate de supraveghere.
Page 238 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Furnizarea de date cu caracter personal ca cerință statutară sau contractuală;
Cerința necesară pentru a încheia un contract; Obligația persoanei vizate de a
furniza datele cu caracter personal; consecințele posibile ale neîndeplinirii
furnizării cestor date [articolul 13 alineatul (2) lit. e din GDPR]
Clarificăm că furnizarea de date cu caracter personal este cerută parțial de lege (de ex. Reglementări
fiscale) sau poate rezulta și din dispoziții contractuale (de exemplu, informații despre partenerul
contractual).
Uneori poate fi necesar să se încheie un contract conform căruia persoana vizată ne furnizează date cu
caracter personal, care trebuie prelucrate ulterior de noi. Persoana vizată este, de exemplu, obligată să
ne furnizeze date cu caracter personal atunci când compania noastră semnează un contract cu el sau
ea. Nefurnizarea datelor cu caracter personal ar avea drept consecință faptul că persoana vizată nu a
putut încheia contractul respectiv. .
Înainte de a furniza date cu caracter personal către persoana vizată, aceasta trebuie să ne contacteze.
Vom clarifica persoanei vizate dacă furnizarea datelor cu caracter personal este prevăzută de lege sau
contract sau este necesară pentru încheierea contractului, dacă există o obligație de a furniza datele cu
caracter personal, precum și consecințele nefurnizării datelor cu caracter personal.
K. Existența unui proces automat de luare a deciziilor, inclusiv profilarea, menționat
la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri,
informațiile semnificative cu privire la logica implicată, precum și semnificația și
consecințele preconizate ale unei astfel de procesări pentru persoana vizată
(articolul 13 alineatul (2) lit. f GDPR)
Ca o companie responsabilă, nu luăm decizii automate sau legate de profilare.
II. Respectarea cerințelor privind informațiile în cazul în care datele cu
caracter personal nu sunt colectate de la persoana vizată (articolul 14 din
GDPR)
A. Identitatea și datele de contact ale operatorului (articolul 14 alineatul (1) lit. a
GDPR)
Vezi deasupra
Page 239 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
B. Datele de contact ale responsabilului cu protecția datelor (articolul 14 alineatul
(1) lit. b GDPR)
Vezi deasupra
C. Scopurile prelucrării pentru care sunt destinate datele cu caracter personal,
precum și temeiul juridic al prelucrării (articolul 14 alineatul (1) lit. c din GDPR)
Pentru datele solicitantului care nu au fost colectate de la persoana vizată, scopul prelucrării datelor este
de a efectua o examinare a cererii în timpul procesului de recrutare. În acest scop, este posibil să
procesăm date care nu au fost colectate de la dvs. Pe baza datelor procesate în timpul procesului de
recrutare, vom verifica dacă sunteți invitat la un interviu de angajare (parte a procesului de selecție). Dacă
sunteți angajat de noi, datele solicitantului vor fi convertite automat în datele angajaților. Pentru datele
furnizate de angajați, scopul prelucrării datelor este executarea contractului de muncă sau respectarea
altor dispoziții legale aplicabile relației de muncă. Datele angajatului sunt stocate după încetarea
raportului de muncă pentru a îndeplini perioadele de păstrare legală.
Temeiul juridic pentru prelucrarea datelor este articolul 6 alineatul (1) lit. b și f GDPR, articolul 9 alineatul
(2) lit. b și h GDPR, articolul 88 (1) GDPR și legislația națională, cum ar fi pentru Germania Secțiunea 26
BDSG (Legea federală privind protecția datelor).
D. Categoriile de date cu caracter personal vizate (articolul 14 alineatul (1) lit. d
GDPR)
Datele solicitantului
Datele angajatului
E. Categorii de destinatari ai datelor cu caracter personal (Articolul 14 (1) lit. e
GDPR)
Autorități publice
Organismele externe
Page 240 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Alte organisme externe
Procesare internă
Procesare în cadrul grupului
Alte organisme
F. Destinatarii dintr-o țară terță și garanțiile corespunzătoare adecvate și mijloacele
prin care se obțin o copie a acestora sau în cazul în care acestea au fost puse
la dispoziție [articolul 13 alineatul (1) lit. f, articolul 46 alineatul (1), articolul 46
alineatul (2) lit. c GDPR)
Toate companiile și sucursalele care fac parte din grupul nostru (denumite în continuare “societăți grup”)
care își au sediul sau un birou într-o țară terță pot aparține destinatarilor datelor cu caracter personal. O
listă a tuturor companiilor din grup sau a destinatarilor poate fi solicitată de la noi.
În conformitate cu articolul 46 alineatul (1) din GDPR, un operator sau o persoana împuternicită de
operator poate transfera date cu caracter personal numai unei țări terțe, în cazul în care operatorul sau
persoana împuternicită de operator a furnizat garanții adecvate și cu condiția ca drepturile persoanelor
vizate aplicabile și căile de atac efective să fie disponibile pentru persoanele vizate. Pot fi furnizate
garanții adecvate fără a necesita o autorizare specifică din partea unei autorități de supraveghere prin
intermediul unor clauze contractuale standard, articolul 46 alineatul (2) lit. c GDPR.
Clauzele contractuale standard ale Uniunii Europene sau alte garanții adecvate sunt convenite cu toți
beneficiarii din țările terțe înainte de prima transmitere a datelor cu caracter personal. În consecință, se
asigură garanțiile adecvate, drepturile aplicabile ale persoanelor vizate și căile de atac eficiente pentru
persoanele vizate. Fiecare persoană vizată poate obține de la noi o copie a clauzelor contractuale
standard. Clauzele contractuale standard sunt, de asemenea, disponibile în Jurnalul Oficial al Uniunii
Europene (JO 2010 / L 39, pag 5-18).
G. Perioada pentru care datele cu caracter personal vor fi stocate sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru a determina acea perioadă
(Articolul 14 (2) lit. a GDPR)
Durata păstrării datelor personale ale solicitanților este de 6 luni. Pentru datele despre salariați, se aplică
respectiva perioadă de păstrare legală. După expirarea perioadei respective, datele corespunzătoare
sunt șterse în mod curent, atât timp cât nu mai sunt necesare pentru îndeplinirea contractului sau inițierea
unui contract.
Page 241 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Notificarea intereselor legitime urmărite de operator sau de o terță parte în cazul
în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. f GDPR (articolul
14 alineatul (2) lit. b GDPR)
În conformitate cu articolul 6 alineatul (1) lit. f, prelucrarea este legală numai dacă prelucrarea este
necesară în scopul intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în
care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale
persoanei vizate care necesită protecția datele cu caracter personal. În conformitate cu considerentul 47
din propunerea 2 GDPR, ar putea exista un interes legitim în cazul în care există o relație relevantă și
adecvată între persoana vizată și operator, de ex. în situațiile în care persoana vizată este clientul
operatorului. În toate cazurile în care societatea noastră procesează datele solicitantului în baza
articolului 6 alineatul (1) lit. f GDPR, interesul nostru legitim este angajarea personalului și a
profesioniștilor adecvați.
I. Existența dreptului de a solicita operatorului accesul la rectificarea sau ștergerea
datelor cu caracter personal sau limitarea prelucrării cu privire la persoana vizată
sau de a se opune prelucrării, precum și dreptul la portabilitatea datelor (articolul
13 alineatul (2) lit. b GDPR)
Toate persoanele vizate au următoarele drepturi:
Dreptul de acces
Fiecare persoană vizată are dreptul de a accesa datele personale pe care o privesc. Dreptul de acces
se extinde la toate datele procesate de noi. Dreptul poate fi exercitat cu ușurință și la intervale rezonabile,
pentru a cunoaște și verifica legalitatea procesării (Considerentul 63 din GDPR). Acest drept rezultă din
Art. 15 GDPR. Persoana vizată ne poate contacta pentru a-și exercita dreptul de acces.
Dreptul la rectificare
În conformitate cu articolul 16 alineatul (1) din GDPR, persoana vizată are dreptul de a obține de la
operator, fără întârzieri nejustificate, rectificarea datelor personale inexacte cu privire la acesta. Mai mult,
articolul 16 din GDPR prevede că persoana vizată are dreptul, ținând cont de scopurile prelucrării, de a
avea aceste date personale incomplete completate, inclusiv prin furnizarea unei declarații suplimentare.
Persoana vizată ne poate contacta pentru a-și exercita dreptul de rectificare.
Dreptul de ștergere (dreptul de a fi uitat)
În plus, persoanele vizate au dreptul la ștergerea datelor și de a fi uitate conform art. 17 GDPR. Acest
drept poate fi, de asemenea, exercitat prin contactarea noastră. Cu toate acestea, în acest moment, am
Page 242 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
dori să subliniem că acest drept nu se aplică în măsura în care prelucrarea este necesară pentru a
îndeplini o obligație legală la care se supune societatea noastră, articolul 17 alineatul (3) lit. b GDPR.
Aceasta înseamnă că putem aproba o cerere de ștergere numai după expirarea perioadei legale de
păstrare.
Dreptul la restricționarea prelucrării
Conform articolului 18 GDPR, orice persoană vizată are dreptul la o restricționare a prelucrării. Limitarea
prelucrării poate fi cerută dacă una dintre condițiile prevăzute la articolul 18 alineatul (1) lit. a – d GDPR
este îndeplinită. Persoana vizată ne poate contacta pentru a exercita dreptul la restricționarea prelucrării.
Dreptul de a obiecta
Mai mult, art. 21 GDPR garantează dreptul de a obiecta. Persoana vizată ne poate contacta pentru a-și
exercita dreptul de a prezenta obiecții.
Dreptul la portabilitatea datelor
Art. 20 GDPR acordă persoanei vizate dreptul la portabilitatea datelor. În conformitate cu această
dispoziție, persoana vizată are, în condițiile prevăzute la articolul 20 alineatul (1) litera a și b GDPR dreptul
de a primi datele personale cu privire la el sau ea, pe care le-a furnizat unui operator, într-un format
structurat, utilizat în mod obișnuit și care poate fi citit și are dreptul să transmită aceste date altui operator
fără să împiedice operatorul la care au fost furnizate datele cu caracter personal. Persoana vizată ne
poate contacta pentru a-și exercita dreptul la transferabilitatea datelor.
J. Existența dreptului de retragere a consimțământului în orice moment, fără a
afecta legalitatea prelucrării bazate pe consimțământ înainte de retragerea sa,
în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) lit. a sau
articolul 9 alineatul (2) lit. a GDPR (articolul 14 alineatul (2) lit. d GDPR)
Dacă prelucrarea datelor cu caracter personal se bazează pe Art. 6 (1) lit. a GDPR, în cazul în care
persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal în unul sau mai multe
scopuri specifice sau se bazează pe articolul 9 alineatul (2) lit. a GDPR care reglementează
consimțământul explicit pentru prelucrarea categoriilor speciale de date cu caracter personal, persoana
vizată are dreptul de a-și retrage consimțământul în orice moment în conformitate cu articolul 7 alineatul
(3) punctul 1 GDPR.
Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de
retragerea sa, articolul 7 alineatul (3) din propoziția 2 GDPR. Este la fel de ușor să se retragă și să dea
consimțământul, Art. 7 (3) Propoziția 4 GDPR. Prin urmare, retragerea consimțământului poate avea loc
întotdeauna în același mod în care a fost acordat consimțământul sau în orice alt mod, care este
considerat de către persoana vizată ca fiind mai simplu. În societatea informațională de astăzi, probabil
cea mai simplă modalitate de retragere a consimțământului este un simplu e-mail. Dacă persoana vizată
Page 243 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
dorește să-și retragă consimțământul acordat nouă, este suficient să ne trimiteți un e-mail. În mod
alternativ, persoana vizată poate alege orice alt mod de a comunica retragerea consimțământului.
K. Dreptul de a depune o plângere la o autoritate de supraveghere (articolul 14
alineatul (2) lit. e, articolul 77 alineatul (1) din GDPR)
În calitate de operator, suntem obligați să notificăm persoanei vizate dreptul de a depune o plângere la
o autoritate de supraveghere, articolul 14 alineatul (2) lit. e GDPR. Dreptul de a depune o plângere la o
autoritate de supraveghere este reglementat de articolul 77 alineatul (1) din GDPR. Conform acestei
dispoziții, fără a aduce atingere oricărei alte căi de atac administrative sau judiciare, fiecare persoană
vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în
care își are reședința obișnuită, locul de muncă sau locul de muncă unde presupusa încălcare în cazul
în care persoana vizată consideră că prelucrarea datelor cu caracter personal pe care o privesc încalcă
regulamentul general privind protecția datelor. Dreptul de a depune o plângere la o autoritate de
supraveghere a fost limitat doar de legea Uniunii astfel încât să poată fi exercitat numai în fața unei
autorități unice de supraveghere (Considerentul 141 din propunerea 1 GDPR). Această regulă vizează
evitarea plângerilor duble ale aceluiași subiect de date în aceeași chestiune. Dacă un subiect de date
dorește să depună o plângere, am solicitat contactarea numai unei singure autorități de supraveghere.
L. Sursa datelor cu caracter personal provine din surse accesibile publicului
(articolul 14 alineatul (2) lit. f GDPR)
În principiu, datele cu caracter personal sunt colectate direct de la persoana vizată sau în cooperare cu
o autoritate (de exemplu, recuperarea datelor dintr-un registru oficial). Alte date privind persoanele vizate
provin din transferurile companiilor din grup. În contextul acestor informații generale, denumirea surselor
exacte din care provin datele personale este fie imposibilă, fie ar implica un efort disproporționat în sensul
art. 14 (5) lit. b GDPR. În principiu, nu colectăm date cu caracter personal din surse accesibile publicului.
Orice persoană vizată ne poate contacta în orice moment pentru a obține informații mai detaliate despre
sursele exacte de date cu caracter personal pe care o privesc. În cazul în care originea datelor cu caracter
personal nu poate fi furnizată persoanei vizate deoarece s-au folosit diverse surse, ar trebui să se
furnizeze informații generale (Considerentul 61 din propunerea 4 din GDPR).
Page 244 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Existența unui proces automat de luare a deciziilor, inclusiv a profilării, menționat
la articolul 22 alineatele (1) și (4) din GDPR și, cel puțin în acele cazuri, informații
semnificative cu privire la logica implicată, precum și semnificația și consecințele
preconizate ale unei astfel de procesări pentru persoana vizată (articolul 14
alineatul (2) lit. g GDPR)
Ca companie responsabilă, nu luăm decizii automate sau legate de profilare.
Page 245 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
CROATIAN: Informacije o obradi osobnih podataka (članak
13, 14 GDPR)
Poštovani,
Osobni podaci svakog pojedinca koji je u ugovornom, pred-ugovornom ili drugom odnosu s našom
tvrtkom zaslužuje posebnu zaštitu. Naš je cilj zadržati razinu zaštite podataka na visokom nivou. Stoga
stalno razvijamo koncepte zaštite podataka i sigurnosti podataka.
Naravno, poštujemo zakonske odredbe o zaštiti podataka. Prema člancima 13, 14. GDPR, kontrolori
ispunjavaju posebne zahtjeve obavješćivanja pri prikupljanju osobnih podataka. Ovaj dokument
ispunjava te obveze.
Terminologija pravnih propisa je složena. Nažalost, korištenje pravnih izraza nije se moglo izostaviti u
pripremi ovog dokumenta. Stoga želimo naglasiti da nas uvijek možete kontaktirati za sva pitanja koja se
tiču ovog dokumenta, korištenih termina ili formulacija.
I. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci
prikupljaju od nositelja podataka (članak 13. GDPR)
A. Identitet i kontaktni podaci kontrolora (članak 13. stavak 1. točka (a) GDPR)
Vidi gore
B. Kontaktni podaci službenika za zaštitu podataka (članak 13. stavak 1. točka (b)
GDPR)
Vidi gore
C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za
obradu (članak 13. stavak 1. točka (c) GDPR)
Svrha obrade osobnih podataka je rukovanje svim operacijama koje se tiču kontrolora, klijenata,
potencijalnih klijenata, poslovnih partnera ili drugih ugovornih ili predugovornih odnosa između navedenih
skupina (u najširem smislu) ili zakonskih obveza kontrolora.
Page 246 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Članak 6 (1) točka (a) GDPR služi kao pravna osnova za operacije obrade za koje dobivamo pristanak
za određenu svrhu obrade. Ako je obrada osobnih podataka nužna za izvršenje ugovora u kojem je
subjekt podataka stranka, kao što je, na primjer, kada su operacije obrade potrebne za isporuku robe ili
pružanje bilo koje druge usluge, obrada je na temelju članka 6. stavka 1 točka (b) GDPR. Isto se odnosi
i na postupke obrade koji su potrebni za provedbu predugovornih mjera, primjerice u slučaju upita o
našim proizvodima ili uslugama. Kada je naša tvrtka podložna zakonskoj obavezi kojom se traži obrada
osobnih podataka, kao što je ispunjenje poreznih obveza, obrada se temelji na čl. 6 (1) točka (c) GDPR.
U rijetkim slučajevima, obrada osobnih podataka može biti potrebna za zaštitu vitalnih interesa nositelja
podataka ili druge fizičke osobe. To bi bio slučaj, na primjer, ako bi se posjetitelj ozlijedio u našoj tvrtki i
njegovo ime, dob, podaci o zdravstvenom osiguranju ili druge vitalne informacije trebali bi se prenijeti
liječniku, bolnici ili drugoj trećoj osobi. Tada bi se obrada temeljila na čl. 6 (1) točka (d) GDPR.
Konačno, postupci obrade mogu se temeljiti na članku 6. stavku 1. točka (f) GDPR. Ova se pravna osnova
koristi za postupke obrade koji nisu obuhvaćeni ni jednom od gore navedenih pravnih osnova, ako je
obrada potrebna u svrhu legitimnih interesa koje naša tvrtka ili treća strana nastoje ostvariti, osim ako su
interesi nadjačani interesima ili pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih
podataka. Takvi postupci obrade posebno su dopušteni jer ih je europski zakonodavac posebno
spomenuo. Smatrao je da se legitimni interes može pretpostaviti ako je subjekt podataka klijent kontrolora
(uvodna izjava 47, rečenica 2 GDPR).
D. Kada se obrada temelji na članku 6 (1) točka (f) GDPR, legitimni interesi koje
provodi kontrolor ili treća strana (članak 13. stavak 1. točka (d) GDPR)
Kada se obrada osobnih podataka temelji na članku 6. stavku 1. točka (f) GDPR, naš legitimni interes je
obavljanje našeg poslovanja u korist dobrobiti svih naših zaposlenika i dioničara.
E. Kategorije primatelja osobnih podataka (članak 13. stavak 1. točka (e) GDPR)
Javne vlasti
Vanjska tijela
Daljnja vanjska tijela
Interna obrada
Obrada unutar grupe
Page 247 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Ostala tijela
F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za
njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 13 (1) točka (f); 46(1),
46 (2) točka (c) GDPR)
Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured
u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki
ili primatelja grupe.
U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo
trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na
raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka.
Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela
putem standardnih ugovornih klauzula, članak 46 (2) točka (c) GDPR.
Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa
svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je
da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni
pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih
ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske
unije (SL 2010 / L 39, str. 5-18).
G. Razdoblje za koje će osobni podaci biti pohranjeni, ili ako to nije moguće odrediti,
kriteriji koji se koriste za određivanje tog razdoblja (članak 13. stavak 2. točka (a) GDPR)
Kriterij koji se koristi za određivanje razdoblja čuvanja osobnih podataka je odgovarajuće zakonsko
razdoblje čuvanja podataka. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok
više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora.
H. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih
podataka ili ograničenje obrade u odnosu na nositelja podataka ili da se uloži prigovor
na obradu, kao i pravo na prenosivost podataka (članak 13. stavak 2. točka (b) GDPR)
Svi subjekti podataka imaju sljedeća prava:
Page 248 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Pravo na pristup
Svaki nosilac podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup
proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti jednostavno i u razumnim
vremenskim intervalima kako bi se zadovoljili i provjerili zakonitost obrade (uvodna izjava 63 GDPR-a).
Ovo pravo proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo
pristupa.
Pravo na ispravak
U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez
nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje,
člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu
obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ispravak.
Pravo na brisanje (pravo na zaborav)
Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na
temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo
naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska
obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti
zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja.
Pravo na ograničenje obrade
Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade
može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1 točke a-d GDPR je ispunjen. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade.
Pravo na prigovor
Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario
pravo na prigovor.
Pravo na prenosivost podataka
Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt
podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka
koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom
i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od
kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja
prava na prenosivost podataka.
Page 249 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
I. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na
zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada
temelji na članku 6. stavku 1. točka (a) GDPR ili članak 9 (2) točka (a) GDPR (članak
13. stavak 2. točka c GDPR)
Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka
dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2)
točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt
podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR-a pravo povući svoj pristanak u bilo
kojem trenutku.
Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njezina povlačenja,
članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3)
rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak
dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom
društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt
podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt
podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka.
J. Pravo na podnošenje pritužbe nadzornom tijelu (članak 13. stavak 2. točka (d),
članak 77. stavak 1. GDPR)
Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu na podnošenje pritužbe nadzornom tijelu,
članak 13 (2) točka (d) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77.
stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili
pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi
članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da
obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na
podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može
ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je
izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi
podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo.
Page 250 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Pružanje osobnih podataka kao zakonski ili ugovorni zahtjev; Zahtjev potreban
za sklapanje ugovora; Obveza nositelja podataka da dostavi osobne podatke; moguće
posljedice nepružanja takvih podataka (čl. 13. stavak 2. točka (e) GDPR)
Pojašnjavamo da je davanje osobnih podataka djelomično zahtijevano zakonom (npr. Porezni propisi) ili
također može proizaći iz ugovornih odredbi (npr. Informacija o ugovornom partneru).
Ponekad može biti potrebno sklopiti ugovor kojim nam subjekt podataka daje osobne podatke, koje
moramo naknadno obraditi. Subjekt podataka je, primjerice, dužan da nam dostavi osobne podatke kada
naša tvrtka s njim ili njom potpiše ugovor. Nepružanje osobnih podataka imalo bi za posljedicu da se
ugovor s subjektom podataka ne može zaključiti.
Prije davanja osobnih podataka od strane nositelja podataka, osoba na koju se podaci odnose mora nas
kontaktirati. Obavjestićemo osobu na koju se podaci odnose je li pružanje osobnih podataka obvezno po
zakonu ili ugovoru ili je potrebno za sklapanje ugovora, postoji li obveza pružanja osobnih podataka i
posljedica nepružanja osobnih podataka.
L. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1)
i (4) GDPR i barem u tim slučajevima, značajne informacije o logici koja je uključena,
kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju
(članak 13. stavak 2. točka (f) GDPR)
Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje.
II. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci ne
prikupljaju od nositelja podataka (članak 14.GDPR)
A. Identitet i kontaktni podaci kontrolora (članak 14. stavak 1. točka (a) GDPR)
Vidi gore
B. Kontaktni podaci službenika za zaštitu podataka (članak 14. stavak 1. točka (b)
GDPR)
Vidi gore
Page 251 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za
obradu (članak 14 (1) točka (c) GDPR)
Svrha obrade osobnih podataka je rukovanje svim operacijama koje se tiču kontrolora, kupaca,
potencijalnih kupaca, poslovnih partnera ili drugih ugovornih ili predugovornih odnosa između navedenih
skupina (u najširem smislu) ili zakonskih obaveza kontrolora.
Ako je obrada osobnih podataka nužna za izvršenje ugovora u kojem je subjekt podataka stranka, kao
što je, na primjer, kada su operacije obrade potrebne za isporuku robe ili pružanje bilo koje druge usluge,
obrada je na temelju članka 6. stavka 1. točka (b) GDPR. Isto se odnosi i na postupke obrade koji su
potrebni za provedbu predugovornih mjera, primjerice u slučaju upita o našim proizvodima ili uslugama.
Da li je naša tvrtka podložna zakonskoj obavezi kojom se traži obrada osobnih podataka, kao što je
ispunjenje poreznih obveza, obrada se temelji na čl. 6 (1) točka (c) GDPR.
U rijetkim slučajevima, obrada osobnih podataka može biti potrebna za zaštitu vitalnih interesa nositelja
podataka ili druge fizičke osobe. To bi bio slučaj, na primjer, ako bi se posjetitelj ozlijedio u našoj tvrtki i
njegovo ime, dob, podaci o zdravstvenom osiguranju ili druge vitalne informacije trebali bi se prenijeti
liječniku, bolnici ili drugoj trećoj osobi. Tada bi se obrada temeljila na čl. 6 (1) točka (d) GDPR.
Konačno, postupci obrade mogu se temeljiti na članku 6. stavku 1. točka (f) GDPR. Ova se pravna osnova
koristi za postupke obrade koji nisu obuhvaćeni ni jednom od gore navedenih pravnih osnova, ako je
obrada potrebna u svrhu legitimnih interesa koje naša tvrtka ili treća strana nastoje ostvariti, osim ako su
interesi nadjačani interesima ili temeljna prava i slobode nositelja podataka koji zahtijevaju zaštitu
osobnih podataka. Takvi postupci obrade posebno su dopušteni jer ih je europski zakonodavac posebno
spomenuo. Smatrao je da se legitimni interes može pretpostaviti ako je subjekt podataka klijent kontrolora
(uvodna izjava 47, rečenica 2 GDPR).
D. Kategorije dotičnih osobnih podataka (članak 14. stavak 1. točka (d) GDPR)
Korisnički podaci
Podaci potencijalnih kupaca
Podaci zaposlenika
Podaci dobavljača
E. Kategorije primatelja osobnih podataka (članak 14. stavak 1. točka (e) GDPR)
Page 252 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Javne vlasti
Vanjska tijela
Daljnja vanjska tijela
Interna obrada
Obrada unutar grupe
Ostala tijela
F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za
njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 14. stavak 1. točka (f),
46 (1), 46 (2) točka (c) GDPR)
Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured
u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki
iz grupe.
U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo
trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na
raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka.
Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela
pomoću standardnih klauzula o zaštiti podataka, članak 46 (2) točka (c) GDPR.
Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa
svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je
da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni
pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih
ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske
unije (SL 2010 / L 39, str. 5-18).
G. Razdoblje za koje će osobni podaci biti pohranjeni ili, ako to nije moguće odrediti,
kriteriji koji se koriste za određivanje tog razdoblja (članak 14. stavak 2. točka (a) GDPR)
Kriterij koji se koristi za određivanje razdoblja čuvanja osobnih podataka je odgovarajuće zakonsko
razdoblje čuvanja podataka. Nakon isteka tog razdoblja, odgovarajući podaci se rutinski brišu, sve dok
više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora.
Page 253 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
H. Obavijest o legitimnim interesima koje provodi kontrolor ili treća strana ako se
obrada temelji na članku 6 (1) točka (f) GDPR (čl. 14 (2) točka (b) GDPR)
Prema članku 6 (1) točka (f) GDPR, obrada će biti zakonita samo ako je obrada potrebna u svrhe
legitimnih interesa koje ostvaruje kontrolor ili treća strana, osim ako su ti interesi nadjačani interesima ili
temeljnim pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih podataka. U skladu s
uvodnom izjavom 47. stavka 2. GDPR legitiman interes može postojati tamo gdje postoji relevantan i
odgovarajući odnos između ispitanika i kontrolora, npr. u situacijama u kojima je subjekt podataka klijent
kontrolora. U svim slučajevima u kojima naša tvrtka obrađuje osobne podatke na temelju članka 6 (1)
točka (f) GDPR, naš legitimni interes je u obavljanju našeg poslovanja u korist dobrobiti svih naših
zaposlenika i dioničara.
I. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih
podataka ili ograničenje obrade u vezi s nositeljem podataka te da se uloži prigovor na
obradu, kao i pravo na prenosivost podataka (članak 14. stavak 2. točka (c) GDPR)
Svi subjekti podataka imaju sljedeća prava:
Pravo na pristup
Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup
proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim
razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo
proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa.
Pravo na ispravak
U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez
nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje,
člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu
obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ispravak.
Pravo na brisanje (pravo na zaborav)
Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na
temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo
naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska
obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti
zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja.
Page 254 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Pravo na ograničenje obrade
Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade
može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1. točke a-d GDPR je ispunjen. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade.
Pravo na prigovor
Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario
pravo na prigovor.
Pravo na prenosivost podataka
Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt
podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka
koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom
i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od
kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja
prava na prenosivost podataka.
J. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na
zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada
temelji na članku 6. stavku 1. točka (a) ili članak 9. (2) točka (a) GDPR (čl. 14 (2) točka
(d) GDPR)
Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka
dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2)
točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt
podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR pravo povući svoj pristanak u bilo
kojem trenutku.
Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njenog povlačenja,
članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3)
rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak
dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom
društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt
podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt
podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka.
Page 255 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Pravo na podnošenje pritužbe nadzornom tijelu (članak 14. stavak 2. točka (e),
članak 77. stavak 1. GDPR)
Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu podnošenja pritužbe nadzornom tijelu,
članak 14 (2) točka (e) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77.
stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili
pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi
članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da
obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na
podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može
ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je
izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi
podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo.
L. Izvor iz kog osobni podatci potječu, i ako je primjenjivo, jesu li došli iz javno
dostupnih izvora (članak 14. stavak 2. točka (f) GDPR)
U načelu, osobni se podaci prikupljaju izravno od nositelja podataka ili u suradnji s nadležnim tijelom (npr.
Dohvat podataka iz službenog registra). Ostali podaci o subjektima podataka proizlaze iz transfera
društava grupe. U kontekstu ove opće informacije, imenovanje točnih izvora iz kojih su osobni podaci
nastali ili je nemoguće ili bi uključivalo nerazmjerne napore u smislu čl. 14 (5) točka (b) GDPR. U načelu,
ne prikupljamo osobne podatke iz javno dostupnih izvora.
Svaki subjekt podataka može nas kontaktirati u bilo koje vrijeme kako bi dobili detaljnije informacije o
točnim izvorima osobnih podataka koji se odnose na njega. Ako se podrijetlo osobnih podataka ne može
dati subjektu podataka jer su korišteni različiti izvori, potrebno je dostaviti opće informacije (uvodna izjava
61, rečenica 4 GDPR).
M. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1)
i (4) GDPR, i barem u tim slučajevima, značajne informacije o logici koja je uključena,
kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju
(članak 14. stavak 2. točka g)
Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje.
Page 256 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
CROATIAN: Informacije o obradi osobnih
podataka za zaposlenike i podnositelje
zahtjeva (članak 13, 14 GDPR)
Poštovani,
Osobni podaci zaposlenika i podnositelja zahtjeva zaslužuju posebnu zaštitu. Naš je cilj zadržati razinu
zaštite podataka na visokom nivou. Stoga stalno razvijamo koncepte zaštite podataka i sigurnosti
podataka.
Naravno, poštujemo zakonske odredbe o zaštiti podataka. Prema člancima 13, 14 GDPR, kontroleri
ispunjavaju posebne zahtjeve obavješćivanja pri obradi osobnih podataka. Ovaj dokument ispunjava te
obveze.
Terminologija pravne regulacije je složena. Nažalost, korištenje pravnih izraza nije se moglo izostaviti u
pripremi ovog dokumenta. Stoga želimo naglasiti da nas uvijek možete kontaktirati za sva pitanja vezana
uz ovaj dokument, korištene pojmove ili formulacije.
I. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci
prikupljaju od nositelja podataka (članak 13. GDPR)
A. Identitet i kontaktni podaci kontrolora (članak 13. stavak 1. točka (a) GDPR)
Vidi gore
B. Kontaktni podaci službenika za zaštitu podataka (članak 13. stavak 1. točka (b)
GDPR)
Vidi gore
C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za
obradu (članak 13. stavak 1. točka (c) GDPR)
Za podatke podnositelja zahtjeva, svrha obrade podataka je provesti ispitivanje zahtjeva tijekom procesa
zapošljavanja. U tu svrhu obrađujemo sve vaše podatke. Na temelju podataka dostavljenih tijekom
Page 257 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
procesa zapošljavanja, provjerit ćemo da li ste pozvani na razgovor za posao (dio postupka odabira). U
slučaju općenito prikladnih kandidata, posebno u kontekstu intervjua za posao, obrađujemo i neke druge
osobne podatke koje ste dali, što je ključno za našu odluku o odabiru. Ako nas unajmite, podaci
podnositelja zahtjeva automatski će se promijeniti u podatke zaposlenika. Kao dio procesa zapošljavanja,
obradit ćemo druge osobne podatke o vama koje tražimo od vas i koji su potrebni za pokretanje ili
ispunjenje vašeg ugovora (kao što su osobni identifikacijski brojevi ili porezni brojevi). Za podatke
zaposlenika, svrha obrade podataka je izvršenje ugovora o radu ili poštivanje drugih zakonskih odredbi
koje se primjenjuju na radni odnos (npr. Porezni zakon), kao i korištenje vaših osobnih podataka za
izvršenje ugovora o radu sklopljenog s vama (npr. objavljivanje vašeg imena i kontaktne informacije
unutar tvrtke ili klijentima). Podaci o zaposlenicima pohranjuju se nakon prestanka radnog odnosa radi
ispunjenja zakonskog razdoblja zadržavanja.
Pravna osnova za obradu podataka je članak 6. stavak 1. točka (b) GDPR, članak 9 (2) točke (b) i (h)
GDPR, članak 88 (1) GDPR i nacionalno zakonodavstvo, kao što je za Njemačku Odjeljak 26 BDSG
(Savezni zakon o zaštiti podataka).
D. Kategorije primatelja osobnih podataka (članak 13. stavak 1. točka (e) GDPR)
Javne vlasti
Vanjska tijela
Daljnja vanjska tijela
Interna obrada
Obrada unutar grupe
Ostala tijela
E. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za
njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 13 (1) točka (f); 46(1),
46 (2) točka (c) GDPR)
Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured
u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki
ili primatelja grupe.
Page 258 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo
trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na
raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka.
Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela
putem standardnih ugovornih klauzula, članak 46 (2) točka (c) GDPR.
Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa
svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je
da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni
pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih
ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske
unije (SL 2010 / L 39, str. 5-18).
F. Razdoblje za koje će osobni podaci biti pohranjeni, ili ako to nije moguće odrediti,
kriteriji koji se koriste za određivanje tog razdoblja (članak 13. stavak 2. točka (a) GDPR)
Trajanje pohrane osobnih podataka podnositelja zahtjeva je 6 mjeseci. Za podatke zaposlenika
primjenjuje se odgovarajuće razdoblje zadržavanja. Nakon isteka tog razdoblja, odgovarajući podaci se
rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora.
G. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih
podataka ili ograničenje obrade u odnosu na nositelja podataka ili da se uloži prigovor
na obradu, kao i pravo na prenosivost podataka (članak 13. stavak 2. točka (b) GDPR)
Svi subjekti podataka imaju sljedeća prava:
Pravo na pristup
Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup
proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim
razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo
proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa.
Pravo na ispravak
U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez
nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje,
člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu
obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ispravak.
Page 259 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Pravo na brisanje (pravo na zaborav)
Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na
temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo
naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska
obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti
zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja.
Pravo na ograničenje obrade
Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade
može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1 točke a-d GDPR je ispunjen. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade.
Pravo na prigovor
Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario
pravo na prigovor.
Pravo na prenosivost podataka
Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt
podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka
koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom
i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od
kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja
prava na prenosivost podataka.
H. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na
zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada
temelji na članku 6. stavku 1. točka (a) GDPR ili članak 9 (2) točka (a) GDPR (članak
13. stavak 2. točka c GDPR)
Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka
dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2)
točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt
podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR-a pravo povući svoj pristanak u bilo
kojem trenutku.
Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njezina povlačenja,
članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3)
rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak
dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom
društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt
Page 260 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt
podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka.
I. Pravo na podnošenje pritužbe nadzornom tijelu (članak 13. stavak 2. točka (d),
članak 77. stavak 1. GDPR)
Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu na podnošenje pritužbe nadzornom tijelu,
članak 13 (2) točka (d) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77.
stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili
pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi
članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da
obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na
podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može
ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je
izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi
podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo.
J. Pružanje osobnih podataka kao zakonski ili ugovorni zahtjev; Zahtjev potreban
za sklapanje ugovora; Obveza nositelja podataka da dostavi osobne podatke; moguće
posljedice nepružanja takvih podataka (čl. 13. stavak 2. točka (e) GDPR)
Pojašnjavamo da je davanje osobnih podataka djelomično zahtijevano zakonom (npr. Porezni propisi) ili
također može proizaći iz ugovornih odredbi (npr. Informacija o ugovornom partneru).
Ponekad može biti potrebno sklopiti ugovor kojim nam subjekt podataka daje osobne podatke, koje
moramo naknadno obraditi. Subjekt podataka je, primjerice, dužan da nam dostavi osobne podatke kada
naša tvrtka s njim ili njom potpiše ugovor. Nepružanje osobnih podataka imalo bi za posljedicu da se
ugovor s subjektom podataka ne može zaključiti.
Prije davanja osobnih podataka od strane nositelja podataka, osoba na koju se podaci odnose mora nas
kontaktirati. Obavjestićemo osobu na koju se podaci odnose je li pružanje osobnih podataka obvezno po
zakonu ili ugovoru ili je potrebno za sklapanje ugovora, postoji li obaveza pružanja osobnih podataka i
posljedica nepružanja osobnih podataka.
Page 261 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
K. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1)
i (4) GDPR i barem u tim slučajevima, značajne informacije o logici koja je uključena,
kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju
(članak 13. stavak 2. točka (f) GDPR)
Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje.
II. Usklađenost sa zahtjevima obavješćivanja kada se osobni podaci
ne prikupljaju od nositelja podataka (članak 14.GDPR)
A. Identitet i kontaktni podaci kontrolora (članak 14. stavak 1. točka (a) GDPR)
Vidi gore
B. Kontaktni podaci službenika za zaštitu podataka (članak 14. stavak 1. točka (b)
GDPR)
Vidi gore
C. Svrha obrade za koju su osobni podaci namijenjeni, kao i pravna osnova za
obradu (članak 14 (1) točka (c) GDPR)
Za podatke podnositelja zahtjeva koji nisu prikupljeni od nositelja podataka, svrha obrade podataka je
provesti ispitivanje zahtjeva tijekom postupka zapošljavanja. U tu svrhu možemo obrađivati podatke koji
nisu prikupljeni od vas. Na temelju podataka obrađenih tijekom procesa zapošljavanja, provjerit ćemo da
li ste pozvani na razgovor za posao (dio postupka odabira). Ako vas unajmimo, podaci podnositelja
zahtjeva automatski će se pretvoriti u podatke zaposlenika. Za podatke zaposlenika, svrha obrade
podataka je izvršenje ugovora o radu ili poštivanje drugih zakonskih odredbi koje se primjenjuju na radni
odnos. Podaci o zaposlenicima pohranjuju se nakon prestanka radnog odnosa radi ispunjenja zakonskog
razdoblja zadržavanja.
Pravna osnova za obradu podataka je članak 6. stavak 1. točke b i f GDPR, članak 9 (2) točke b i h
GDPR, članak 88 (1) GDPR i nacionalno zakonodavstvo, kao što je za Njemačku Odjeljak 26 BDSG
(Savezni zakon o zaštiti podataka).
Page 262 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
D. Kategorije dotičnih osobnih podataka (članak 14. stavak 1. točka (d) GDPR)
Podaci podnositelja zahtjeva
Podaci o zaposlenicima
E. Kategorije primatelja osobnih podataka (članak 14. stavak 1. točka (e) GDPR)
Javne vlasti
Vanjska tijela
Daljnja vanjska tijela
Interna obrada
Obrada unutar grupe
Ostala tijela
F. Primatelji u trećoj zemlji i odgovarajuće ili prikladne mjere zaštite i sredstva za
njihovo pribavljanje ili njihovo stavljanje na raspolaganje (članak 14. stavak 1. točka (f),
46 (1), 46 (2) točka (c) GDPR)
Sve tvrtke i podružnice koje su dio naše grupe (u daljnjem tekstu: tvrtke grupe) koje imaju sjedište ili ured
u trećoj zemlji mogu pripadati primateljima osobnih podataka. Od nas se može zatražiti popis svih tvrtki
ili primatelja grupe.
U skladu s člankom 46. stavkom 1. GDPR, kontrolor ili obrađivač može prenijeti osobne podatke samo
trećoj zemlji ako je kontrolor ili obrađivač osigurao odgovarajuće zaštitne mjere i pod uvjetom da su na
raspolaganju provediva prava subjekta podataka i učinkoviti pravni lijekovi za subjekte podataka.
Odgovarajuće zaštitne mjere mogu se pružiti bez potrebe za posebnim odobrenjem nadzornog tijela
pomoću standardnih klauzula o zaštiti podataka, članak 46 (2) točka (c) GDPR.
Standardne ugovorne klauzule Europske unije ili druge odgovarajuće mjere zaštite dogovorene su sa
svim primateljima iz trećih zemalja prije prvog prijenosa osobnih podataka. Slijedom toga, osigurano je
da su zajamčeni odgovarajući zaštitni mehanizmi, primjenjiva prava subjekata podataka i djelotvorni
pravni lijekovi za subjekte podataka. Svaki subjekt podataka može od nas dobiti kopiju standardnih
Page 263 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
ugovornih klauzula. Standardne ugovorne klauzule također su dostupne u Službenom listu Europske
unije (SL 2010 / L 39, str. 5-18).
G. Razdoblje za koje će osobni podaci biti pohranjeni ili, ako to nije moguće odrediti,
kriteriji koji se koriste za određivanje tog razdoblja (članak 14. stavak 2. točka (a) GDPR)
Trajanje pohrane osobnih podataka podnositelja zahtjeva je 6 mjeseci. Za podatke zaposlenika
primjenjuje se odgovarajuće razdoblje zadržavanja. Nakon isteka tog razdoblja, odgovarajući podaci se
rutinski brišu, sve dok više nisu potrebni za ispunjenje ugovora ili pokretanje ugovora.
H. Obavijest o legitimnim interesima koje provodi kontrolor ili treća strana ako se
obrada temelji na članku 6 (1) točka (f) GDPR (čl. 14 (2) točka (b) GDPR)
Prema članku 6 (1) točka (f) GDPR, obrada će biti zakonita samo ako je obrada potrebna u svrhe
legitimnih interesa koje ostvaruje kontrolor ili treća strana, osim ako su ti interesi nadjačani interesima ili
temeljnim pravima i slobodama nositelja podataka koji zahtijevaju zaštitu osobnih podataka. U skladu s
uvodnom izjavom 47. rečenica 2. GDPR legitiman interes može postojati tamo gdje postoji relevantan i
odgovarajući odnos između ispitanika i kontrolora, npr. u situacijama u kojima je subjekt podataka klijent
kontrolora. U svim slučajevima u kojima naša tvrtka obrađuje podatke podnositelja zahtjeva na temelju
članka 6 (1) točka (f) GDPR, naš legitimni interes je zapošljavanje odgovarajućeg osoblja i stručnjaka.
I. Postojanje prava da se od kontrolora zatraži pristup i ispravak ili brisanje osobnih
podataka ili ograničenje obrade u vezi s nositeljem podataka te da se uloži prigovor na
obradu, kao i pravo na prenosivost podataka (članak 14. stavak 2. točka (c) GDPR)
Svi subjekti podataka imaju sljedeća prava:
Pravo na pristup
Svaki subjekt podataka ima pravo pristupa osobnim podacima koji se odnose na njega. Pravo na pristup
proteže se na sve podatke koje obrađujemo. Pravo se može ostvariti lako i u razumnim vremenskim
razmacima, kako bi bio svjestan i provjerio zakonitost obrade (uvodna izjava 63 GDPR). Ovo pravo
proizlazi iz čl. 15 GDPR. Subjekt podataka može nas kontaktirati kako bi ostvario pravo pristupa.
Pravo na ispravak
U skladu s člankom 16. rečenica 1 GDPR, osoba čiji se podaci obrađuju ima pravo od kontrolora bez
nepotrebnog odgađanja dobiti ispravak netočnih osobnih podataka koji se odnose na njega. Nadalje,
člankom 16. rečenica 2 GDPR predviđeno je da subjekt podataka ima pravo, uzimajući u obzir svrhu
Page 264 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
obrade, imati dovršene nepotpune osobne podatke, uključujući i pružanje dodatne izjave. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ispravak.
Pravo na brisanje (pravo na zaborav)
Osim toga, osobe čiji se podaci obrađuju imaju pravo na brisanje i pravo da podaci budu zaboravljeni na
temelju čl. 17 GDPR. To se pravo može ostvariti ako nas kontaktirate. U ovom trenutku, međutim, želimo
naglasiti da se to pravo ne primjenjuje u onoj mjeri u kojoj je obrada potrebna kako bi se ispunila zakonska
obveza na koju je naša tvrtka podložna, članak 17 (3) točka (b) GDPR. To znači da možemo odobriti
zahtjev za brisanje samo nakon isteka zakonskog roka zadržavanja.
Pravo na ograničenje obrade
Prema članku 18. GDPR, svaki subjekt podataka ima pravo na ograničenje obrade. Ograničenje obrade
može se zahtijevati ako je jedan od uvjeta iz članka 18. stavka 1. točke a-d GDPR je ispunjen. Subjekt
podataka može nas kontaktirati kako bi ostvario pravo na ograničenje obrade.
Pravo na prigovor
Nadalje, čl. 21 GDPR jamči pravo na prigovor. Subjekt podataka može nas kontaktirati kako bi ostvario
pravo na prigovor.
Pravo na prenosivost podataka
Članak 20 GDPR daje subjektu podataka pravo na prenosivost podataka. Prema ovoj odredbi, subjekt
podataka pod uvjetima iz članka 20. stavka 1. točke a i b GDPR ima pravo na primanje osobnih podataka
koji se odnose na njega ili nju, koje je on ili ona pružio kontroloru, u strukturiranom, uobičajeno korištenom
i strojno čitljivom formatu i imaju pravo na nesmetani prijenos tih podataka drugom kontroloru od
kontrolora kojem su dostavljeni osobni podaci. Subjekt podataka može nas kontaktirati radi ostvarivanja
prava na prenosivost podataka.
J. Postojanje prava na povlačenje pristanka u bilo kojem trenutku, bez utjecaja na
zakonitost obrade na temelju suglasnosti prije njegovog povlačenja, ako se obrada
temelji na članku 6. stavku 1. točka (a) ili članak 9. (2) točka (a) GDPR (čl. 14 (2) točka
(d) GDPR)
Ako se obrada osobnih podataka temelji na čl. 6 (1) točka (a) GDPR, što je slučaj, ako je subjekt podataka
dao pristanak na obradu osobnih podataka za jednu ili više posebnih svrha ili se temelji na članku 9 (2)
točka (a) GDPR, koji regulira izričitu suglasnost za obradu posebnih kategorija osobnih podataka, subjekt
podataka ima u skladu s člankom 7. stavkom 3. rečenice 1 GDPR pravo povući svoj pristanak u bilo
kojem trenutku.
Povlačenje suglasnosti ne utječe na zakonitost obrade na temelju suglasnosti prije njenog povlačenja,
članak 7. stavak 3. rečenica 2 GDPR. Povlačenje je jednako lako kao i davanje pristanka, čl. 7 (3)
Page 265 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
rečenica 4 GDPR. Stoga se povlačenje suglasnosti uvijek može dogoditi na isti način kao što je pristanak
dan ili na bilo koji drugi način, što subjekt podataka smatra jednostavnijim. U današnjem informacijskom
društvu, vjerojatno je najjednostavniji način povlačenja pristanka jednostavna e-pošta. Ako subjekt
podataka želi povući svoj odobreni pristanak, dovoljan nam je jednostavan e-mail. Alternativno, subjekt
podataka može odabrati bilo koji drugi način da nam priopći svoje povlačenje pristanka.
K. Pravo na podnošenje pritužbe nadzornom tijelu (članak 14. stavak 2. točka (e),
članak 77. stavak 1. GDPR)
Kao kontrolor, dužni smo obavijestiti nositelja podataka o pravu podnošenja pritužbe nadzornom tijelu,
članak 14 (2) točka (e) GDPR. Pravo na podnošenje pritužbe nadzornom tijelu regulirano je člankom 77.
stavkom 1. GDPR. U skladu s ovom odredbom, pre ulaganja bilo kojeg drugog administrativnog ili
pravnog lijeka, svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu, posebno u državi
članici u kojoj ima prebivalište, radno mjesto ili mjesto navodne povrede ako subjekt podataka smatra da
obrada osobnih podataka koji se odnose na njega ili nju krši Opću uredbu o zaštiti podataka. Pravo na
podnošenje pritužbe nadzornom tijelu bilo je ograničeno samo pravom Unije na takav način, da se može
ostvariti samo pred jednim nadzornim tijelom (uvodna izjava 141, rečenica 1 GDPR). Cilj ovog pravila je
izbjegavanje dvostrukih pritužbi istog subjekta podataka u istom predmetu. Ako subjekt podataka želi
podnijeti pritužbu na nas, tražimo da kontaktira samo jedno nadzorno tijelo.
L. Izvor iz kog osobni podatci potječu, i ako je primjenjivo, jesu li došli iz javno
dostupnih izvora (članak 14. stavak 2. točka (f) GDPR)
U načelu, osobni se podaci prikupljaju izravno od nositelja podataka ili u suradnji s nadležnim tijelom (npr.
Dohvat podataka iz službenog registra). Ostali podaci o subjektima podataka proizlaze iz transfera
društava grupe. U kontekstu ove opće informacije, imenovanje točnih izvora iz kojih su osobni podaci
nastali ili je nemoguće ili bi uključivalo nerazmjerne napore u smislu čl. 14 (5) točka (b) GDPR. U načelu,
ne prikupljamo osobne podatke iz javno dostupnih izvora.
Svaki subjekt podataka može nas kontaktirati u bilo koje vrijeme kako bi dobili detaljnije informacije o
točnim izvorima osobnih podataka koji se odnose na njega. Ako se podrijetlo osobnih podataka ne može
dati subjektu podataka jer su korišteni različiti izvori, potrebno je dostaviti opće informacije (uvodna izjava
61, rečenica 4 GDPR).
Page 266 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
M. Postojanje automatiziranog odlučivanja, uključujući profiliranje, iz članka 22. (1)
i (4) GDPR, i barem u tim slučajevima, značajne informacije o logici koja je uključena,
kao i značaj i predviđene posljedice takve obrade za osobe čiji se podaci obrađuju
(članak 14. stavak 2. točka g)
Kao odgovorna tvrtka ne koristimo automatsko odlučivanje ili profiliranje.
Page 267 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
SERBIAN: Информације о обради личних
података (члан 13, 14 ГДПР)
Поштовани,
Лични подаци сваког појединца који је у уговорном, пред-уговорном или другом односу са нашом
компанијом заслужују посебну заштиту. Наш циљ је да одржимо ниво заштите података на
високом нивоу. С обзиром на то, константно развијамо концепте заштите података и сигурности
података.
Наравно, поштујемо законске одредбе о заштити података. Према члану 13 и 14 ГДПР, контролори
испуњавају специфичне захтеве приликом прикупљања личних података. Овај документ испуњава
те обавезе.
Терминологија правних прописа је компликована. Нажалост, употреба правних термина није се
могла изоставити у припреми овог документа. Стога, желимо да истакнемо да сте увек
добродошли да нас контактирате у вези са свим питањима која се тичу овог документа,
коришћеним терминима или формулацијама.
I. Усклађеност са захтевима за информације када се лични подаци
прикупљају од субјекта података (члан 13 ГДПР)
A. Идентитет и контакт подаци контролора (члан 13 (1) тачка (а) ГДПР)
Види горе
B. Контакт подаци службеника за заштиту података (члан 13 (1) тачка (б)
ГДПР)
Види горе
Page 268 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
C. Сврхе обраде за коју су лични подаци намењени, као и правни основ за
обраду (члан 13 (1) тачка (ц) ГДПР)
Сврха обраде личних података је руковање свим операцијама које се тичу контролора, купаца,
потенцијалних клијената, пословних партнера или других уговорних или предуговорних односа
између наведених група (у најширем смислу) или законских обавеза контролора.
Члан. 6 (1) тачка (а) ГДПР служи као правни основ за операције обраде за које добијамо сагласност
за одређену сврху обраде. Ако је обрада личних података неопходна за извршење уговора у којем
је субјекат података једна од страна, као што је случај, на пример, када су операције обраде
неопходне за испоруку робе или за пружање било које друге услуге, обрада је заснована на члану
6 (1) тачка (б) ГДПР. Исто се односи и на операције обраде које су неопходне за спровођење
предуговорних мера, на пример у случају захтева који се тичу наших производа или услуга. Када
је наша компанија подложна законској обавези према којој је потребна обрада личних података,
као што је испуњење пореских обавеза, обрада се заснива на члану 6 (1) тачка (ц) ГДПР.
У ретким случајевима, обрада личних података може бити неопходна за заштиту виталних
интереса субјекта података или другог физичког лица. То би био случај, на пример, ако би се
посетилац повредио у нашој компанији и његово име, године, подаци о здравственом осигурању
или друге виталне информације морају бити прослеђене лекару, болници или некој трећој страни.
Тада би обрада била заснована на члану 6 (1) тачка (д) ГДПР.
Коначно, операције обраде могу се заснивати на члану 6 (1) тачка (ф) ГДПР. Овај правни основ се
користи за операције обраде које нису обухваћене ниједним горе наведеним правним основима,
ако је обрада неопходна у сврху легитимних интереса које наша компанија или трећа страна
настоје остварити, осим ако су такви интереси надјачани интересима или основним правима и
слободама субјекта података који захтевају заштиту личних података. Такве операције обраде су
изузетно дозвољене јер их је нарочито поменуо европски законодавац. Сматрао је да се
легитимни интерес може претпоставити ако је субјект података и клијент контролора (уводна
изјава 47, реченица 2 ГДПР).
D. Када се обрада заснива на члану 6 (1) тачка (ф) ГДПР, легитимни интереси
захтевани од контролора или треће стране (члан 13 (1) тачка (д) ГДПР)
Када се обрада личних података заснива на члану 6 (1) тачка (ф) ГДПР, наш легитимни интерес
је да обављамо своје пословање у најбољем интересу свих наших запослених и акционара.
E. Категорије прималаца личних података (члан 13 (1) тачка (е) ГДПР)
Page 269 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Орган јавне власти
Спољни орган
Додатни спољни орган
Орган интерне обраде
Орган унутаргрупне обраде
Остала тела
F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни
механизми и средства за прибављање њихових копија или њихово
стављање на располагање (чланови 13 (1) тачка (ф), 46 (1), 46 (2) тачка (ц)
ГДПР)
Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају
своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних
података. Од нас се може затражити листа свих повезаних компанија или прималаца.
У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој
земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под
условом да су субјекту података на располагању његова права и ефикасни правни лекови.
Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним
овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка
(ц) ГДПР.
Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене
су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе,
гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни
правни лекови за субјекте података. Сваки субјект података може од нас добити копију
стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном
листу Европске уније (ОЈ 2010 / L 39, стр. 5-18).
Page 270 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није
могуће одредити, критеријуми који се користе за одређивање тог периода
(члан 13 (2) тачка (а) ГДПР)
Критеријум који се користи за одређивање периода чувања личних података је одговарајући
период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу, све док
више нису потребни за испуњење уговора или започињање уговарања.
H. Постојање права да се од контролора затражи приступ и исправка или
брисање личних података или ограничење обраде у вези са субјектом
података или да се уложи приговор на обраду, као и право на преносивост
података (члан 13 (2) тачка (б) ГДПР)
Сви субјекти података имају следећа права:
Право приступа подацима
Сваки субјекат података има право на приступ личним подацима који се односе на њега или њу.
Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и
у разумним временским интервалима, како би се упознала и проверила законитост обраде (уводна
изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да
би остварио право приступа.
Право на исправку података
Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног
одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише,
члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху
обраде, да попуни непотпуне личне податке, укључујући и достављање допунске изјаве. Субјект
података може да нас контактира да би остварио право на исправку.
Право на брисање података (право да подаци буду заборављени)
Додатно, субјекти података имају право на брисање и право да подаци буду заборављени на
основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку,
међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада
неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка
(б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока
задржавања.
Право на ограничење обраде података
Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података.
Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР
Page 271 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде
података.
Право на приговор
Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би
остварио право на приговор.
Право на преносивост података
Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби,
субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне
податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном,
уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом
контролору без сметњи од стране контролора коме су првобитно дати лични подаци. Субјект
података може нас контактирати како би остварио право на преносивост података.
I. Постојање права да се повуче сагласност у било ком тренутку, без утицаја
на законитост обраде на основу сагласности пре њеног повлачења, када се
обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР
(члан 13 (2) тачка (ц) ГДПР)
Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект
података дао сагласност за обраду личних података за једну или више специфичних сврха или је
заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних
категорија личних података, субјект података има право према члану 7 (3) реченица 1 ГДПР да
повуче своју сагласност у било које време.
Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног
повлачења, члан 7 (3) реченица 2 ГДПР. Повући сагласност би требало да буде једнако лако као
и дати сагласност, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може да
се деси на исти начин као што је дат пристанак или на било који други начин, који субјект података
сматра једноставнијим. У данашњем информатичком друштву, вероватно најједноставнији начин
да се повуче сагласност је путем е-маила. Ако субјект података жели повући свој пристанак дат
нама, довољан је да нам пошаље једноставан е-маил. Алтернативно, субјект података може
изабрати било који други начин да нам саопшти своје повлачење сагласности.
Page 272 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Право на подношење жалбе надзорном органу (члан 13 (2), тачка (д); члан
77 (1) ГДПР)
Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе
надзорном органу, према члану 13 (2), тачка (д) ГДПР. Право на подношење жалбе надзорном
органу регулисано је чланом 77 (1) ГДПР. Према овој одредби, пре улагања било којег другог
административног или правног лека, сваки субјект података има право да поднесе жалбу
надзорном органу, нарочито у држави чланици у којој се налази његово пребивалиште, радно
место или место наводног прекршаја, ако субјект података сматра да обрада личних података који
се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу
ограничено је само правом Уније на такав начин, да се може остварити само пред једним
надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да избегне
двоструке жалбе истог субјекта података поводом истог случаја. Стога, ако субјект података жели
да уложи жалбу против нас, тражимо да контактира само један надзорни орган.
K. Давање личних података као законска или уговорна одредба; Услов
потребан за склапање уговора; Обавеза субјекта података да достави
личне податке; могуће последице непружања таквих података (чл. 13 (2)
тачка (е) ГДПР)
Појаснили смо да давање личних података може бити обавезно на основу закона (нпр. Порески
прописи) а такође може произаћи из уговорних одредби (нпр. Информације о другој уговорној
страни).
Понекад може бити потребно закључити уговор којим нам субјект података даје личне податке,
које морамо накнадно обрадити. Субјект података је, на пример, обавезан да нам достави личне
податке када наша компанија потписује уговор са њим или њом. Недавање личних података би
имало за последицу да се уговор са субјектом података не може закључити.
Пре него што субјект података да личне податке, мора нас контактирати. Ми ћемо објаснити
субјекту података да ли је пружање личних података обавезно по закону или уговору или је
неопходно за закључивање уговора, да ли постоји обавеза давања личних података и последице
непружања личних података.
Page 273 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Постојање аутоматизованог одлучивања, укључујући профилисање, из
члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о
коришћеној логици, као и значај и предвиђене последице такве обраде за
субјекта података (члан 13 (2) тачка (ф) ГДПР)
Као одговорна компанија, ми не користимо аутоматско одлучивање или профилисање.
II. Усклађеност са захтевима за информације када се лични подаци не
прикупљају од субјекта података (члан 14 ГДПР)
A. Идентитет и контакт подаци контролора (члан 14 (1) тачка (а) ГДПР)
Види горе
B. Контакт подаци службеника за заштиту података (члан 14 (1) тачка (б)
ГДПР)
Види горе
C. Сврха обраде за коју су лични подаци намењени, као и правни основ за
обраду (члан 14 (1) тачка (ц) ГДПР)
Сврха обраде личних података је руковање свим операцијама које се тичу контролора, клијената,
потенцијалних клијената, пословних партнера или других уговорних или предуговорних односа
између наведених група (у најширем смислу) или законских обавеза контролора.
Ако је обрада личних података неопходна за извршење уговора у којој је субјекат података једна
од уговорних страна, као што је случај, на пример, када су операције обраде неопходне за
испоруку робе или за пружање било које друге услуге, обрада је заснована на основу члана 6 (1)
тачка (б) ГДПР. Исто се односи и на операције обраде које су неопходне за спровођење
предуговорних мера, на пример у случају питања везаних за наше производе или услуге. Када је
наша компанија подложна законској обавези по којој је потребна обрада личних података, као што
је испуњење пореских обавеза, обрада се заснива на члану 6 (1) тачка (ц) ГДПР.
У ретким случајевима, обрада личних података може бити неопходна за заштиту виталних
интереса субјекта података или другог физичког лица. То би био случај, на пример, ако би се
посетилац повредио у нашој компанији и његово име, године, подаци о здравственом осигурању
Page 274 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
или друге виталне информације би морали бити пренети лекару, болници или некој трећој страни.
Тада би обрада била заснована на члану 6 (1) тачка (д) ГДПР.
Коначно, операције обраде могу се заснивати на члану 6 (1) тачка (ф) ГДПР. Овај правни основ се
користи за операције обраде које нису обухваћене ниједним горе наведеним правним основима,
ако је обрада неопходна у сврху легитимних интереса које наша компанија или трећа страна
настоје остварити, осим ако су такви интереси надјачани интересима или основним правима и
слободама субјекта података који захтевају заштиту личних података. Такве операције обраде су
изричито дозвољене јер их је нарочито поменуо европски законодавац. Сматрао је да се
легитимни интерес може претпоставити ако је субјект података и клијент контролора (уводна
изјава 47, реченица 2 ГДПР).
D. Категорије личних података о којима је реч (члан 14 (1) тачка (д) ГДПР)
Подаци клијената
Подаци потенцијалних клијената
Подаци запослених
Подаци добављача
E. Категорије прималаца личних података (члан 14 (1) тачка (е) ГДПР)
Органи јавне власти
Спољни органи
Додатни спољни органи
Орган унутрашње обраде
Орган унутаргрупне обраде
Остала тела
Page 275 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни
механизми и средства за њихово прибављање или њихово стављање на
располагање (чланови 14 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР)
Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају
своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних
података. Од нас се може затражити листа свих повезаних компанија или прималаца.
У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој
земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под
условом да су субјекту података на располагању његова права и ефикасни правни лекови.
Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним
овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка
(ц) ГДПР.
Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене
су са свим примаоцима из трећих земаља пре првог преноса личних података. Стога, гарантују се
одговарајући заштитни механизми, извршива права субјеката података и ефикасни правни лекови
за субјекте података. Сваки субјект података може од нас добити копију стандардних уговорних
клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном листу Европске уније
(ОЈ 2010 / L 39, стр. 5-18).
G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није
могуће одредити, критеријуми који се користе за одређивање тог периода
(члан 14 (2) тачка (а) ГДПР)
Критеријум који се користи за одређивање периода чувања личних података је одговарајући,
законом прописан период задржавања. Након истека тог периода, одговарајући подаци се
рутински бришу, под условом да више нису потребни за испуњење уговора или започињање
уговарања.
H. Обавештавање о легитимним интересима које остварује контролор или
трећа страна ако се обрада заснива на члану 6 (1) тачка (ф) ГДПР (Чл. 14
(2) тачка (б) ГДПР)
Према члану 6 (1) тачка (ф) ГДПР, обрада ће бити законита само ако је обрада неопходна у сврхе
легитимних интереса које остварује контролор или трећа страна, осим ако су ти интереси
надјачани интересима или основним правима и слободама субјекта података који захтевају
заштиту личних података. Према уводној изјави 47 реченица 2 ГДПР, легитиман интерес може
Page 276 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
постојати тамо где постоји релевантан и одговарајући однос између субјекта података и
контролора, нпр. у ситуацијама када је субјект података клијент контролора. У свим случајевима у
којима наша компанија обрађује личне податке на основу члана 6 (1) тачка (ф) ГДПР, наш
легитимни интерес је да обављамо наше пословање у најбољем интересу свих наших запослених
и акционара.
I. Постојање права да се од контролора затражи приступ и исправка или
брисање личних података или ограничење обраде у вези са субјектом
података или да се уложи приговор на обраду, као и право на преносивост
података (члан 14 (2) тачка (ц) ГДПР)
Сви субјекти података имају следећа права:
Право приступа подацима
Сваки субјект података има право на приступ личним подацима који се односе на њега или њу.
Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и
у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна
изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да
би остварио право приступа.
Право на исправку података
Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног
одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише,
члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху
обраде, да попуни непотпуне личне податке, ту укључујући и достављање допунске изјаве. Субјект
података може да нас контактира да би остварио право на исправку.
Право на брисање података (право да подаци буду заборављени)
Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на
основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку,
међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада
неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка
(б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека предвиђеног рока
задржавања.
Право на ограничење обраде података
Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података.
Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР
испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде
података.
Page 277 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Право на приговор
Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би
остварио право на приговор.
Право на преносивост података
Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби,
субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне
податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном,
уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом
контролору без сметњи од стране контролора коме су већ дати лични подаци. Субјект података
може да нас контактира како би остварио право на преносивост података.
J. Постојање права да се повуче сагласност у било ком тренутку, без утицаја
на законитост обраде на основу сагласности пре њеног повлачења, када се
обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР
(члан 14 (2) тачка (д) ГДПР)
Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект
података дао сагласност за обраду личних података за једну или више специфичних сврха или је
заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних
категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да
повуче своју сагласност у било које време.
Повлачење сагласности не утиче на законитост обраде на основу сагласности пре њеног
повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан
начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може
да се деси на исти начин као што је дата или на било који други начин, који субјект података сматра
једноставнијим. У данашњем информатичком друштву, вероватно је најједноставнији начин да се
повуче сагласност путем е-маила. Ако субјект података жели повући свој пристанак, довољан је
једноставан е-маил. Алтернативно, субјект података може изабрати било који други начин да нам
саопшти своје повлачење сагласности.
K. Право на подношење жалбе надзорном органу (члан 14 (2), тачка (е); члан
77 (1) ГДПР)
Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе
надзорном органу, члан 14 (2), тачка (е) ГДПР. Право на подношење жалбе надзорном органу
регулисано је чланом 77 (1) ГДПР. Према овој одредби, без претходног улагања било ког другог
Page 278 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
административног или правног лека, сваки субјект података има право да поднесе жалбу
надзорном органу, посебно у држави чланици у којој се налази његово пребивалиште, радно место
или место наводног прекршаја, ако субјект података сматра да обрада личних података који се
односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу
ограничено је само правом Уније на такав начин, да се може остварити само пред једним
надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да се избегну
двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података жели да
уложи жалбу против нас, тражимо да контактира само један надзорни орган.
L. Извор личних података, и ако је примењиво, да ли долазе из јавно
доступних извора (члан 14 (2) тачка (ф) ГДПР)
У принципу, лични подаци се прикупљају директно од субјекта података или у сарадњи са органом
(нпр. Проналажење података из званичног регистра). Остали подаци о субјектима података су
изведени из трансфера групе компанија. У контексту ове опште информације, именовање тачних
извора из којих су лични подаци проистекли или је немогуће или би укључивало несразмерне
напоре у смислу чл. 14 (5) тачка (б) ГДПР. У принципу, ми не прикупљамо личне податке из јавно
доступних извора.
Сваки субјект података може нас контактирати у било које време како би добио детаљније
информације о тачним изворима личних података који га се тичу. Када се порекло личних података
не може предочити субјекту података јер су коришћени различити извори, треба дати опште
информације (уводна изјава 61, реченица 4 ГДПР).
M. Постојање аутоматизованог одлучивања, укључујући профилисање, из
члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о
томе о којој је логици реч, као и значај и предвиђених последица такве
обраде за субјекта података (члан 14 (2) тачка (г) ГДПР)
Као одговорна компанија, не користимо аутоматско одлучивање или профилисање.
Page 279 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
SERBIAN: Информације о обради личних података за
запослене и подносиоце захтева (члан 13, 14 ГДПР)
Поштовани,
Лични подаци запослених и подносиоца захтева заслужују посебну заштиту. Наш циљ је да
одржимо ниво заштите података на високом нивоу. Стога константно развијамо концепт заштите
података и сигурности података.
Наравно, поштујемо законске одредбе о заштити података. Према члану 13, 14 ГДПР, контролори
испуњавају специфичне захтеве приликом прикупљања личних података. Овај документ испуњава
те обавезе.
Терминологија правних прописа је компликована. Нажалост, употреба правних термина није се
могла изоставити у припреми овог документа. Стога, желимо да истакнемо да сте увек
добродошли да нас контактирате у вези свих питања која се тичу овог документа, коришћених
термина или формулација.
I. Усклађеност са захтевима за информације када се лични подаци
прикупљају од субјекта података (члан 13 ГДПР)
A. Идентитет и контакт подаци контролора (члан 13 (1) тачка (а) ГДПР)
Види горе
B. Контакт подаци службеника за заштиту података (члан 13 (1) тачка (б)
ГДПР)
Види горе
C. Сврха обраде за коју су лични подаци намењени, као и правни основ за
обраду (члан 13 (1) тачка (ц) ГДПР)
За податке подносиоца пријаве, сврха обраде података је да се спроведе испитивање пријаве
током процеса регрутације. У ту сврху обрађујемо све податке које сте нам доставили. На основу
података достављених током процеса регрутације, ми ћемо проверити да ли сте позвани на
Page 280 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
интервју за посао (део процеса селекције). У случају генерално прикладних кандидата, посебно у
контексту интервјуа за посао, обрађујемо неке друге личне податке које сте нам доставили, што је
од суштинске важности за нашу одлуку о одабиру. Ако вас запослимо, подаци о подносиоцима
захтева ће се аутоматски променити у податке о запосленима. Као део процеса регрутације, ми
ћемо обрадити друге личне податке о вама које тражимо од вас и које су потребни за склапање
или испуњење вашег уговора (као што су лични идентификациони бројеви или порески бројеви).
За податке о запосленима, сврха обраде података је извршење уговора о раду или поштовање
других законских одредби које се односе на радни однос (нпр. Порески закон), као и коришћење
ваших личних података за испуњавање уговора о раду закљученог с вама (нпр. објављивање
вашег имена и контактне информације унутар компаније или клијентима).
Подаци о запосленима чувају се након престанка радног односа ради испуњења законског
периода задржавања.
Правна основа за обраду података је члан 6 (1) тачка (б) ГДПР, члан 9 (2) тачке (б) и (х) ГДПР,
члан 88 (1) ГДПР и национално законодавство, као што је за Немачку Одељак 26 БДСГ (Савезни
закон о заштити података).
D. Категорије примаоца личних података (члан 13 (1) тачка (е) ГДПР)
Орган јавне власти
Спољни орган
Додатни спољни орган
Орган интерне обраде
Орган међугрупне обраде
Остала тела
E. Примаоци у трећој земљи и сврсисходни или прикладни заштитни
механизми и средства за њихово прибављање или њихово стављање на
располагање (чланови 13 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР)
Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају
своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних
података. Од нас се може затражити листа свих повезаних компанија или прималаца.
Page 281 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој
земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под
условом да су субјекту података на располагању његова права и ефикасни правни лекови.
Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним
овлашћењем од стране надзорног органа путем стандардних уговорних клаузула, члан 46 (2) тачка
(ц) ГДПР.
Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене
су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе,
гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни
правни лекови за субјекте података. Сваки субјект података може од нас добити копију
стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном
листу Европске уније (ОЈ 2010 / L 39, стр. 5-18).
F. Период у којем ће се чувати лични подаци, или ако то није могуће,
критеријуме који се користе за одређивање тог периода (члан 13(2) тачка А
ГДПР)
Период чувања личних података кандидата је 6 месеци. За податке о запосленима примењује се
односни период задржавања. Након истека тог периода, одговарајући подаци се рутински бришу,
све док више нису потребни за испуњење уговора или покретање уговора.
Е. Постојање права да се од контролора затражи приступ и исправка или
брисање личних података или ограничење обраде у вези са субјектом података
или да се уложи приговор на обраду, као и право на преносивост података (члан
13 (2) тачка (б) ГДПР)
Сви субјекти података имају следећа права:
Право приступа
Сваки субјект података има право на приступ личним подацима који се односе на њега или њу.
Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и
у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна
изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да
би остварио право приступа.
Page 282 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Право на исправку
Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног
одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише,
члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху
обраде, да допуни непотпуне личне податке, укључујући и достављање допунске изјаве. Субјект
података може да нас контактира да би остварио право на исправку.
Право на брисање (право да подаци буду заборављени)
Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на
основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку,
међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада
неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка
(б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока
задржавања.
Право на ограничење обраде података
Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података.
Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР
испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде
података.
Право на приговор
Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би
остварио право на приговор.
Право на преносивост података
Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби,
субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне
податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном,
уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом
контролору без сметњи од стране контролора коме су већ дати лични подаци. Субјект података
може да нас контактира како би остварио право на преносивост података.
F. Постојање права да се повуче сагласност у било ком тренутку, без утицаја
на законитост обраде на основу сагласности пре њеног повлачења, када се
обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР
(члан 14 (2) тачка (д) ГДПР)
Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект
података дао сагласност за обраду личних података за једну или више специфичних сврха или је
Page 283 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних
категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да
повуче своју сагласност у било које време.
Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног
повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан
начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може
да се деси на исти начин као што је дата или на било који други начин, који субјект података сматра
једноставнијим. У данашњем информатичком друштву, вероватно је најједноставнији начин да се
повуче сагласност путем е-маила. Ако субјект података жели повући свој пристанак који нам је
претходно дат, довољан је једноставан е-маил. Алтернативно, субјект података може изабрати
било који други начин да нам саопшти своје повлачење сагласности.
G. Право на подношење жалбе надзорном органу (члан 13 (2), тачка (д); члан
77 (1) ГДПР)
Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе
надзорном органу, члан 13 (2), тачка (д) ГДПР. Право на подношење жалбе надзорном органу
регулисано је чланом 77 (1) ГДПР. Према овој одредби, пре улагања било ког другог
административног или правног лека, сваки субјект података има право да поднесе жалбу
надзорном органу, нарочито у држави чланици у којој се налази његово или њено пребивалиште,
радно место или место наводног прекршаја, ако субјект података сматра да обрада личних
података који се односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе
надзорном органу ограничено је само правом Уније на такав начин, да се може остварити само
пред једним надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ
да избегне двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података
жели да уложи жалбу против нас, тражимо да контактира само један надзорни орган.
H. Пружање личних података као законских или уговорних захтева; Потреба
за склапање уговора; Обавеза субјекта података да достави личне податке;
могуће последице не пружања таквих података (члан 13, тачка (е) ГДПР)
Појаснили смо да је давање личних података делимично обавезно по закону (нпр. Порески
прописи) или може бити резултат уговорних одредби (нпр. Информације о уговорном партнеру).
Понекад може бити потребно закључити уговор којим нам субјект података даје личне податке,
које морамо накнадно обрадити. Субјект података је, на пример, обавезан да нам достави личне
податке када наша компанија потпише уговор са њим или њом. Непружање личних података
имало би за последицу да се уговор са субјектом података не може закључити.
Page 284 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Пре него што субјект података да личне податке, субјект података мора нас контактирати.
Објаснићемо субјекту података да ли је пружање личних података обавезно по закону или уговору
или је неопходно за закључивање уговора, да ли постоји обавеза давања личних података и
последица непружања личних података.
K. Постојање аутоматизованог одлучивања, укључујући профилисање, из
члана 22 (1) и (4) ГДПР и, бар у тим случајевима, значајне информације о
томе о којој је логици реч, као и значај и предвиђених последица такве
обраде за субјекта података (члан 13 (2) тачка (ф) ГДПР)
Као одговорна компанија, не користимо аутоматско одлучивање или профилисање.
II. Усклађеност са захтевима за информације када се лични подаци не
прикупљају од субјекта података (члан 14 ГДПР)
A. Идентитет и контакт подаци контролора (члан 14 (1) тачка (а) ГДПР)
Види горе
B. Контакт подаци службеника за заштиту података (члан 14 (1) тачка (б)
ГДПР)
Види горе
C. Сврха обраде за коју су лични подаци намењени, као и правни основ за
обраду (члан 14 (1) тачка (ц) ГДПР)
За податке подносиоца захтјева који нису прикупљени од субјекта података, сврха обраде
података је да се спроведе испитивање пријаве током процеса регрутације. У ту сврху можемо
обрађивати податке који нису прикупљени од вас. На основу података достављених током процеса
регрутације, ми ћемо проверити да ли сте позвани на интервју за посао (део процеса селекције).
Ако вас запослимо, подаци о подносиоцима захтева ће се аутоматски променити у податке о
запосленима. За податке о запосленима, сврха обраде података је извршење уговора о раду или
поштовање других законских одредби које се односе на радни однос. Подаци о запосленима чувају
се након престанка радног односа ради испуњења законског периода задржавања.
Page 285 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Правна основа за обраду података је члан 6 (1) тачка (б) и (ф) ГДПР, члан 9 (2) тачке (б) и (х)
ГДПР, члан 88 (1) ГДПР и национално законодавство, као што је за Немачку Одељак 26 БДСГ
(Савезни закон о заштити података).
D. Категорије личних података о којима је реч (члан 14 (1) тачка (д) ГДПР)
Подаци подносиоца захтева
Подаци о запосленима
E. Категорије примаоца личних података (члан 14 (1) тачка (е) ГДПР)
Орган јавне власти
Спољни орган
Додатни спољни орган
Орган интерне обраде
Орган међугрупне обраде
Остала тела
F. Примаоци у трећој земљи и сврсисходни или прикладни заштитни
механизми и средства за њихово прибављање или њихово стављање на
располагање (чланови 14 (1) тачка (ф), 46 (1), 46 (2) тачка (ц) ГДПР)
Све компаније и филијале које су део наше групе (у даљем тексту: Повезане компаније) које имају
своје место пословања или канцеларију у трећој земљи могу припадати примаоцима личних
података. Од нас се може затражити листа свих повезаних компанија или прималаца.
У складу са чланом 46 (1) ГДПР, контролор или обрађивач могу пренети личне податке трећој
земљи само ако је контролор или обрађивач обезбедио одговарајуће заштитне мере и под
условом да су субјекту података на располагању његова права и ефикасни правни лекови.
Одговарајуће заштитне мере могу се обезбедити без потребе за било каквим посебним
Page 286 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
овлашћењем од стране надзорног органа путем стандардних клаузула за заштиту података, члан
46 (2) тачка (ц) ГДПР.
Стандардне уговорне клаузуле Европске уније или друге одговарајуће мере заштите договорене
су са свим примаоцима из трећих земаља пре првог преноса личних података. Сходно томе,
гарантују се одговарајући заштитни механизми, извршива права субјеката података и ефикасни
правни лекови за субјекте података. Сваки субјект података може од нас добити копију
стандардних уговорних клаузула. Стандардне уговорне клаузуле су такође доступне у Службеном
листу Европске уније (ОЈ 2010 / L 39, стр. 5-18).
G. Временски период у оквиру кога ће се чувати лични подаци, или ако то није
могуће одредити, критеријуми који се користе за одређивање тог периода
(члан 14 (2) тачка (а) ГДПР)
Рок чувања личних података кандидата је 6 месеци. За податке о запосленима примењује се
прописани период задржавања. Након истека тог периода, одговарајући подаци се рутински
бришу, под условом да више нису потребни за испуњење уговора или започињање уговарања.
H. Обавештавање о легитимним интересима које остварује контролор или
трећа страна ако се обрада заснива на члану 6 (1) тачка (ф) ГДПР (Чл. 14
(2) тачка (б) ГДПР)
Према члану 6 (1) тачка (ф) ГДПР, обрада ће бити законита само ако је обрада неопходна у сврхе
легитимних интереса које остварује контролор или трећа страна, изузев ако су ти интереси
надјачани интересима или основним правима и слободама субјекта података који захтевају
заштиту личних података. Према уводној изјави 47 реченица 2 ГДПР, легитиман интерес може
постојати тамо где постоји релевантан и одговарајући однос између субјекта података и
контролора, нпр. у ситуацијама када је субјект података клијент контролора. У свим случајевима у
којима наша компанија обрађује податке подносиоца пријаве на основу члана 6 (1) тачка (ф) ГДПР,
наш легитимни интерес је запошљавање одговарајућег особља и професионалаца.
I. Постојање права да се од контролора затражи приступ и исправка или
брисање личних података или ограничење обраде у вези са субјектом
података или да се уложи приговор на обраду, као и право на преносивост
података (члан 14 (2) тачка (ц) ГДПР)
Сви субјекти података имају следећа права:
Page 287 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Право приступа подацима
Сваки субјект података има право на приступ личним подацима који се односе на њега или њу.
Право на приступ проширује се на све податке које обрађујемо. Право се може остварити лако и
у разумним временским интервалима, како би се упознали и проверили законитост обраде (уводна
изјава 63 ГДПР). Ово право произлази из чл. 15 ГДПР. Субјект података може нас контактирати да
би остварио право приступа.
Право на исправку података
Према члану 16, реченица 1 ГДПР, субјект података има право да од контролора, без непотребног
одлагања, оствари исправку нетачних личних података који се односе на њега или њу. Штавише,
члан 16, реченица 2 ГДПР предвиђа да субјект података има право, узимајући у обзир сврху
обраде, да попуни непотпуне личне податке, ту укључујући и достављање допунске изјаве. Субјект
података може да нас контактира да би остварио право на исправку.
Право на брисање података (право да подаци буду заборављени)
Поред тога, субјекти података имају право на брисање и право да подаци буду заборављени на
основу чл. 17 ГДПР. Ово право се такође може остварити контактирањем нас. У овом тренутку,
међутим, желимо да истакнемо да се ово право не примењује у случајевима у којима је обрада
неопходна да би се испунила законска обавеза која се односи на нашу компанију, члан 17 (3) тачка
(б) ГДПР. То значи да можемо одобрити захтев за брисање само након истека законског рока
задржавања.
Право на ограничење обраде података
Према члану 18 ГДПР, сваки субјект података има право на ограничење обраде података.
Ограничење обраде може се тражити ако је један од услова из члана 18 (1) тачка (а) до (д) ГДПР
испуњен. Субјект података може нас контактирати да би остварио право на ограничење обраде
података.
Право на приговор
Надаље, чл. 21 ГДПР гарантује право на приговор. Субјект података може нас контактирати да би
остварио право на приговор.
Право на преносивост података
Члан 20 ГДПР даје субјекту података право на преносивост података. Према овој одредби,
субјекти података под условима из члана 20 (1) тачка (а) и (б) ГДПР имају право да примају личне
податке који се односе на њега или њу, које су он или она доставили контролору, у структурираном,
уобичајеном и машински читљивом формату и имају право да те податке прослеђују другом
контролору без сметњи од стране контролора коме су првобитно дати лични подаци. Субјект
података може да нас контактира како би остварио право на преносивост података.
Page 288 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
J. Постојање права да се повуче сагласност у било ком тренутку, без утицаја
на законитост обраде на основу сагласности пре њеног повлачења, када се
обрада заснива на члану 6 (1) тачка (а) ГДПР или члан 9 (2) тачка (а) ГДПР
(члан 14 (2) тачка (д) ГДПР)
Ако се обрада личних података заснива на чл. 6 (1) тачка (а) ГДПР, што је случај ако је субјект
података дао сагласност за обраду личних података за једну или више специфичних сврха или је
заснован на члану 9 (2) тачка (а) ГДПР, који регулише изричиту сагласност за обраду посебних
категорија личних података, субјект података има према члану 7 (3) реченица 1 ГДПР право да
повуче своју сагласност у било које време.
Повлачење сагласности не утиче на законитост обраде на основу сагласности дате пре њеног
повлачења, члан 7 (3) реченица 2 ГДПР. Требало би бити лако повући сагласност на једноставан
начин као што се и даје, чл. 7 (3) реченица 4 ГДПР. Према томе, повлачење сагласности увек може
да се деси на исти начин као што је дат пристанак или на било који други начин, који субјект
података сматра једноставнијим. У данашњем информатичком друштву, вероватно је
најједноставнији начин да се повуче сагласност једноставним е-маилом. Ако субјект података
жели повући свој пристанак, довољан је једноставан е-маил. Алтернативно, субјект података може
изабрати било који други начин да нам саопшти своје повлачење сагласности.
K. Право на подношење жалбе надзорном органу (члан 14 (2), тачка (е); члан
77 (1) ГДПР)
Као контролор, дужни смо да обавестимо субјекта података о праву на подношење жалбе
надзорном органу, члан 14 (2), тачка (е) ГДПР. Право на подношење жалбе надзорном органу
регулисано је чланом 77 (1) ГДПР. Према овој одредби, без прејудицирања било ког другог
административног или правног лека, сваки субјект података има право да поднесе жалбу
надзорном органу, посебно у држави чланици у којој се налази његово пребивалиште, радно место
или место наводног прекршаја, ако субјект података сматра да обрада личних података који се
односе на њега или њу крши одредбе ГДПР. Право на подношење жалбе надзорном органу
ограничено је само правом Уније на такав начин, да се може остварити само пред једним
надзорним органом (уводна изјава 141, реченица 1 ГДПР). Ово правило има за циљ да избегне
двоструке жалбе истог субјекта података у истом предмету. Стога, ако субјект података жели да
уложи жалбу против нас, тражимо да контактира само један надзорни орган.
Page 289 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
L. Извор одакле лични подаци потичу, и ако је примењиво, да ли долазе из
јавно доступних извора (члан 14 (2) тачка (ф) ГДПР)
У принципу, лични подаци се прикупљају директно од субјекта података или у сарадњи са органом
(нпр. Проналажење података из званичног регистра). Остали подаци о субјектима података су
изведени из трансфера групе компанија. У контексту ове опште информације, именовање тачних
извора из којих су лични подаци проистекли или је немогуће или би укључивало несразмерне
напоре у смислу чл. 14 (5) тачка (б) ГДПР. У принципу, ми не прикупљамо личне податке из јавно
доступних извора.
Сваки субјект података може нас контактирати у било које време како би добио детаљније
информације о тачним изворима личних података који се односе на њега. Када се порекло личних
података не може предочити субјекту података јер су коришћени различити извори, треба дати
опште информације (уводна изјава 61, реченица 4 ГДПР).
M. Постојање аутоматизованог одлучивања, укључујући профилисање, из
члана 22 (1) и (4) ГДПР и, бар у тим случајевима, смислене информације о
томе о којој је логици реч, као и значај и предвиђених последица такве
обраде за субјекта података (члан 14 (2) тачка (г) ГДПР)
Као одговорна компанија, не користимо аутоматско одлучивање или профилисање.
Page 290 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
RUSSIAN: Информация об обработке персональных
данных (статья 13, 14 Общий Регламент по Защите
Данных, ОРЗД (GDPR))
Уважаемые дамы или господа,
Персональные данные каждого человека, который находится в договорных, преддоговорных или
иных отношениях с нашей компанией, заслуживают особой защиты. Наша цель – поддерживать
высокий уровень защиты данных. Поэтому мы постоянно развиваем наши концепции защиты
данных.
Разумеется, мы соблюдаем законодательные положения о защите данных. Согласно Статье 13,
14 ОРЗД, контролеры отвечают определенным информационным требованиям при сборе
персональных данных. Этот документ выполняет следующие обязательства.
Терминология правовых норм сложна. К сожалению, использование юридических терминов
нельзя было обойтись при подготовке этого документа. Поэтому мы хотели бы отметить, что вы
всегда можете связаться с нами по всем вопросам, касающимся этого документа, используемых
терминов или формулировок.
I. Соответствие требованиям в отношении информации, когда личные
данные собираются от субъекта данных (статья 13 ОРЗД)
А. Идентификационные данные и контактные данные контролера (статья 13
(1) букв. ОРЗД)
См. Выше
B. Контактные данные защиты данных Сотрудников (статья 13 (1) лит. B
ОРЗД)
См. Выше
C. Цели обработки, для которых предназначены личные данные, а также
правовая основа для их обработки (Статья 13 (1) лит. в ОРЗД)
Цель обработки персональных данных – это обработка всех операций, которые касаются
контролера, клиентов, потенциальных клиентов, деловых партнеров или других договорных или
преддоговорных отношений между названными группами (в широком смысле) или юридических
обязательств контролера.
Page 291 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Изобразительное искусство. 6 (1) лит. ОРЗД служит правовой основой для операций обработки,
на которые мы получаем согласие для конкретной цели обработки. Если обработка
персональных данных необходима для выполнения договора, участником которого является
субъект данных, как, например, в случае, когда операции обработки необходимы для поставки
товаров или для предоставления какой-либо другой услуги, обработка является на основании
статьи 6 (1) лит. б ОРЗД. То же самое относится к таким операциям обработки, которые
необходимы для выполнения преддоговорных мер, например, в случае запросов относительно
наших продуктов или услуг. Подлежит ли наша компания юридическому обязательству, при
котором требуется обработка персональных данных, например, для выполнения налоговых
обязательств, обработка основана на ст. 6 (1) в ОРЗД.
В редких случаях обработка персональных данных может быть необходима для защиты
жизненно важных интересов субъекта данных или другого физического лица. Это может иметь
место, например, если посетитель получил травму в нашей компании и его имя, возраст, данные
медицинского страхования или другая важная информация должны были быть переданы врачу,
больнице или другой третьей стороне. Тогда обработка будет основана на ст. 6 (1) лит. г ОРЗД.
Наконец, обработка может быть основана на Статье 6 (1) лит. е ОРЗД. Эта правовая основа
используется для операций обработки, которые не подпадают ни под одно из вышеупомянутых
правовых оснований, если обработка необходима для целей законных интересов, преследуемых
нашей компанией или третьей стороной, за исключением случаев, когда такие интересы
перекрываются интересами или фундаментальные права и свободы субъекта данных, которые
требуют защиты персональных данных. Такие операции обработки особенно допустимы, потому
что они были специально упомянуты европейским законодателем. Он считал, что законный
интерес может быть принят, если субъект данных является клиентом контролера (Декламация
47 Предложение 2 ОРЗД).
D. Если обработка основана на статье 6 (1) лит. е GDPR законные интересы,
преследуемые контролером или третьей стороной (Статья 13 (1) лит. г
ОРЗД)
Если обработка персональных данных основана на Статье 6 (1) лит. е ОРЗД наш законный
интерес состоит в том, чтобы вести наш бизнес в интересах благополучия всех наших
сотрудников и акционеров.
E. Категории получателей персональных данных (статья 13 (1) и т. д. ОРЗД)
Государственные органы
Внешние органы
Дополнительные внешние органы
Внутренняя обработка
Внутригрупповая обработка
Page 292 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Другие органы
F. Получатели в третьей стране и соответствующие или подходящие
гарантии и средства, с помощью которых получить их копию или там, где
они были предоставлены (статья 13 (1) лит. д, 46 (1), 46 (2) лит. в ОРЗД)
Все компании и филиалы, входящие в нашу группу (далее упоминается) к «групповым
компаниям»), которые имеют свое коммерческое предприятие или офис в третьей стране, могут
принадлежать получателям персональных данных. У нас можно запросить список всех компаний
или получателей группы.
Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные
только в третью страну, если контроллер или процессор предоставил соответствующие гарантии,
и при условии, что для субъектов данных доступны действующие права субъекта данных и
эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть
предоставлены без какого-либо специального разрешения от надзорного органа посредством
стандартных договорных положений, Статья 46 (2) лит. в ОРЗД.
Стандартные договорные положения Европейского Союза или другие соответствующие меры
предосторожности согласовываются со всеми получателями из третьих стран до первой
передачи персональных данных. Следовательно, гарантируется, что гарантируются надлежащие
меры защиты, осуществимые права субъекта данных и эффективные средства правовой защиты
для субъектов данных. Каждый субъект данных может получить у нас копию стандартных
договорных положений. Стандартные договорные положения также доступны в Официальном
журнале Европейского Союза (OЖ 2010 / Л 39, стр. 5-18).
G. Период, в течение которого будут храниться персональные данные, или,
если это невозможно, критерии, используемые для определения этого
периода (Статья 13 (2) лит. ОРЗД)
Критерии, используемые для определения периода хранения персональных данных,
соответствующий установленный законом срок хранения. По истечении этого периода
соответствующие данные обычно удаляются, если они больше не нужны для выполнения
контракта или для инициирования контракта.
H. Наличие права запрашивать у контролера доступ и исправление или
удаление персональных данных или ограничение обработки, касающейся
субъекта данных или объекта обработки, а также право на переносимость
данных (статья 13 (2) лит. В ОРЗД)
Все субъекты данных имеют следующие права:
Page 293 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Право на доступ
Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ
распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко
и через разумные промежутки времени, чтобы знать и проверять законность обработки
(Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с
нами, чтобы воспользоваться правом доступа.
Право на исправление
В соответствии со Статьей 16 Предложения 1 ОРЗД субъект данных имеет право без
промедления получить от контролера исправление неточных личных данных, касающихся его
или ее. Кроме того, Статья 16 Предложения 2 ОРЗД предусматривает, что субъект данных имеет
право, с учетом целей обработки, заполнять неполные персональные данные, в том числе
посредством предоставления дополнительного заявления. Субъект данных может связаться с
нами для осуществления права на исправление.
Право на удаление (право быть забытым)
Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст.
17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако,
мы хотели бы указать, что это право не применяется, поскольку обработка необходима для
выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3)
освещена. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после
истечения установленного законом срока хранения.
Право на ограничение обработки
Согласно статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки.
Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18
(1), объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы
воспользоваться правом на ограничение обработки.
Право на возражение
Кроме того, ст. 21 ОРЗД гарантирует право на возражение. Субъект данных может связаться с
нами, чтобы воспользоваться правом на возражение.
Право на переносимость данных
Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. В соответствии с
этим положением субъект данных в условиях, изложенных в Статье 20 (1), освещен. a и б ОРЗД
– право на получение относящихся к нему персональных данных, которые он или она
предоставил контроллеру, в структурированном, широко используемом и машиночитаемом
формате и имеет право передавать эти данные другому контроллеру без помех от контроллера,
которому были предоставлены персональные данные. Субъект данных может связаться с нами,
чтобы воспользоваться правом на переносимость данных.
I. Наличие права на отзыв согласия в любое время, не затрагивая законность
обработки, основанной на согласии до его отзыва, если обработка основана на
статье 6 (1) лит. ОРЗД или Статья 9 (2) лит. ОРЗД (Статья 13 (2) лит. в ОРЗД)
Если обработка персональных данных основана на ст. 6 (1) лит. ОРЗД, что имеет место, если
субъект данных дал согласие на обработку персональных данных для одной или нескольких
Page 294 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
конкретных целей или он основан на Статье 9 (2) освещен. ОРЗД, который регулирует явное
согласие на обработку специальных категорий персональных данных, субъект данных в
соответствии со Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое
время.
Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва,
Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3)
Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как
было дано согласие, или любым другим способом, который субъект данных считает более
простым. В современном информационном обществе, вероятно, самый простой способ отозвать
согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие,
нам достаточно простого электронного письма. В качестве альтернативы субъект данных может
выбрать любой другой способ сообщить о своем отзыве согласия.
J. Право подать жалобу в надзорный орган (статья 13 (2) лит. Г, 77 (1) ОРЗД)
Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в
надзорный орган, Статья 13 (2) лит. г ОРЗД. Право на подачу жалобы в надзорный орган
регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого
административного или судебного средства правовой защиты, каждый субъект данных имеет
право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места
жительства, места работы или места работы. предполагаемое нарушение, если субъект данных
считает, что обработка относящихся к нему персональных данных нарушает Общие положения
о защите данных. Право на подачу жалобы в надзорный орган ограничивалось
законодательством Союза только таким образом, что оно может быть реализовано только в
одном надзорном органе (Декламация 141 Предложение 1 ОРЗД). Это правило направлено на
то, чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос.
Если субъект данных хочет подать жалобу на нас, мы просим связаться только с одним
надзорным органом.
K. Предоставление персональных данных в качестве законодательного или
договорного требования; Требование, необходимое для заключения
договора; Обязательство субъекта данных предоставлять персональные
данные; возможные последствия непредоставления таких данных (ст. 13
(2) лит. e ОРЗД)
Мы разъясняем, что предоставление персональных данных частично требуется законом
(например, налоговые правила) или также может быть результатом договорных положений
(например, информация о договорный партнер).
Иногда может потребоваться заключить договор о том, что субъект данных предоставляет нам
персональные данные, которые впоследствии должны быть обработаны нами. Субъект данных,
например, обязан предоставить нам персональные данные, когда наша компания заключает с
ним договор. Непредоставление персональных данных приведет к тому, что договор с субъектом
данных не может быть заключен.
Page 295 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Прежде чем личные данные будут предоставлены субъект данных должен связаться с нами. Мы
уточняем субъекту данных, требуется ли предоставление персональных данных по закону или
договору или необходимо для заключения договора, есть ли обязательство предоставлять
персональные данные и последствия непредоставления персональных данных ,
L. Наличие автоматизированного процесса принятия решений, включая
профилирование, о котором говорится в статье 22 (1) и (4) ОРЗД, и, по
крайней мере, в этих случаях, содержательную информацию о
соответствующей логике, а также о значении и предполагаемых
последствиях такая обработка для субъекта данных (Статья 13 (2), лит. д
ОРЗД)
Как ответственная компания, мы не используем автоматическое принятие решений или
профилирование.
II. Соответствие требованиям в отношении информации, когда личные
данные не собираются от субъекта данных (Статья 14 ОРЗД)
А. Идентификационные данные и контактные данные контролера (Статья 14
(1) лит. ОРЗД)
См. Выше
B. Контактные данные данных Сотрудник по защите (Статья 14 (1), лит. B
ОРЗД)
См. Выше
C. Цели обработки, для которых предназначены персональные данные, а
также правовое основание для обработки (статья 14 (1), лит. в ОРЗД)
Цель обработка персональных данных – это обработка всех операций, которые касаются
контролера, клиентов, потенциальных клиентов, деловых партнеров или других договорных или
преддоговорных отношений между названными группами (в широком смысле) или юридических
обязательств контролера.
Если обработка персональных данных необходима для выполнения договора, участником
которого является субъект данных, как, например, в случае, когда операции обработки
необходимы для поставки товаров или для предоставления какой-либо другой услуги, обработка
является на основании Статьи 6 (1) лит. б ОРЗД. То же самое относится к таким операциям
Page 296 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
обработки, которые необходимы для выполнения преддоговорных мер, например, в случае
запросов относительно наших продуктов или услуг. Подлежит ли наша компания юридическому
обязательству, при котором требуется обработка персональных данных, например, для
выполнения налоговых обязательств, обработка основана на ст. 6 (1) горит c ОРЗД.
В редких случаях обработка персональных данных может быть необходима для защиты
жизненно важных интересов субъекта данных или другого физического лица. Это может иметь
место, например, если посетитель получил травму в нашей компании и его имя, возраст, данные
медицинского страхования или другая важная информация должны были быть переданы врачу,
больнице или другой третьей стороне. Тогда обработка будет основана на ст. 6 (1) г ОРЗД.
Наконец, обработка может быть основана на Статье 6 (1) лит. д ОРЗД. Эта правовая основа
используется для операций обработки, которые не подпадают ни под одно из вышеупомянутых
правовых оснований, если обработка необходима для целей законных интересов, преследуемых
нашей компанией или третьей стороной, за исключением случаев, когда такие интересы
перекрываются интересами или фундаментальные права и свободы субъекта данных, которые
требуют защиты персональных данных. Такие операции обработки особенно допустимы, потому
что они были специально упомянуты европейским законодателем. Он считал, что законный
интерес может быть принят, если субъект данных является клиентом контролера (Декламация
47 Предложения 2 ОРЗД).
Г. Категория персональных данныхсвязанных (Статья 14 (1) лит. г ОРЗД)
данные клиентов
Данныепотенциальных клиентов
данных работников
данных поставщиков
Д. категорий получателей персональных данных (Статья 14 (1) лит. г ОРЗД)
Государственные органы
Внешние органы
Другие внешние органы
Внутренняя обработка
Внутригрупповая обработка
Другие органы
Page 297 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Е. Получатели в третьей стране и соответствующие или подходящие
гарантии и средства, с помощью которых можно получить их копию или когда они
были предоставлены (Статья 14 (1) лит. д, 46 (1), 46 (2) лит. в ОРЗД)
Все компании и филиалы, входящие в нашу группу (далее именуемые «группы компаний»),
которые имеют коммерческие предприятия или офис в третьей стране. могут принадлежать
получателям персональных данных. Список всех компаний группы можно запросить у нас.
Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные
только в третью страну, если контроллер или процессор предоставил соответствующие гарантии,
и при условии, что для субъектов данных доступны действующие права субъекта данных и
эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть
предоставлены без какого-либо специального разрешения от надзорного органа посредством
стандартных положений о защите данных, статья 46 (2) освещена. c ОРЗД.
Стандартные договорные положения Европейского Союза или другие соответствующие меры
предосторожности согласовываются со всеми получателями из третьих стран до первой
передачи персональных данных. Следовательно, гарантируется, что гарантируются надлежащие
меры защиты, осуществимые права субъекта данных и эффективные средства правовой защиты
для субъектов данных. Каждый субъект данных может получить у нас копию стандартных
договорных положений. Стандартные договорные положения также доступны в Официальном
журнале Европейского Союза (OЖ 2010 / Л 39, стр. 5-18).
Ë. Период, в течение которого будут храниться персональные данные, или,
если это невозможно, критерии, используемые для определения этого периода
(Статья 14 (2) лит. ОРЗД)
Критерии, используемые для определения периода хранения персональных данных:
соответствующий установленный законом срок хранения. По истечении этого периода
соответствующие данные обычно удаляются, если они больше не нужны для выполнения
контракта или для инициирования контракта.
Ж. Уведомление о законных интересах, преследуемых контролером или
третьей стороной, если обработка основана на статье 6 (1) лит. г ОРЗД (ст. 14 (2)
лит. б ОРЗД)
В соответствии со Статьей 6 (1) лит. д ОРЗД, обработка должна быть законной, только если
обработка необходима для целей законных интересов, преследуемых контролером или третьей
стороной, за исключением случаев, когда такие интересы перекрываются интересами или
основными правами и свободами субъекта данных, которые требуют защиты. личных данных.
Согласно Декламации 47 Предложения 2 ОРЗД, законный интерес может существовать в тех
случаях, когда существует релевантная и надлежащая связь между субъектом данных и
контроллером, например, в ситуациях, когда субъект данных является клиентом контроллера. Во
всех случаях, когда наша компания обрабатывает персональные данные в соответствии со
статьей 6 (1) лит. г ОРЗД, наш законный интерес заключается в том, чтобы вести наш бизнес в
интересах благополучия всех наших сотрудников и акционеров.
Page 298 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
З. Наличие права запрашивать у контролера доступ и исправление или
стирание персональных данных или ограничение обработки, касающейся
субъекта данных и объекта обработки, а также право на переносимость данных
(Статья 14 (2) лит. В) ОРЗД)
Все субъекты данных имеют следующие права:
Право на доступ
Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ
распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко
и через разумные промежутки времени, чтобы знать и проверять законность обработки
(Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с
нами, чтобы воспользоваться правом доступа.
Право на исправление
В соответствии со Статьей 16 Предложения 1 ОРЗД субъект данных имеет право без
промедления получить от контролера исправление неточных личных данных, касающихся его
или ее. Кроме того, Статья 16 Предложения 2 ОРЗД предусматривает, что субъект данных имеет
право, с учетом целей обработки, заполнять неполные персональные данные, в том числе
посредством предоставления дополнительного заявления. Субъект данных может связаться с
нами для осуществления права на исправление.
Право на удаление (право быть забытым)
Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст.
17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако,
мы хотели бы указать, что это право не применяется, поскольку обработка необходима для
выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3)
освещена. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после
истечения установленного законом срока хранения.
Право на ограничение обработки
Согласно Статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки.
Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18
(1), лит. объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы
воспользоваться правом на ограничение обработки.
Право на возражение
Кроме того, ст. 21 ОРЗД гарантирует право на возражение. Субъект данных может связаться с
нами, чтобы воспользоваться правом на возражение.
Право на переносимость данных
Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. Согласно этому
положению субъект данных в условиях, изложенных в Статье 20 (1), освещен. a и б ОРЗД – право
на получение относящихся к нему персональных данных, которые он или она предоставил
контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет
право передавать эти данные другому контроллеру без помех от контроллера, которому были
Page 299 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
предоставлены персональные данные. Субъект данных может связаться с нами, чтобы
воспользоваться правом на переносимость данных.
Ы. Наличие права на отзыв согласия в любое время, не затрагивая законность
обработки, основанной на согласии до его отзыва, если обработка основана на
статье 6 (1) лит. или Статья 9 (2) лит. ОРЗД (ст. 14 (2) лит. г ОРЗД)
Если обработка персональных данных основана на ст. 6 (1) горит ОРЗД, что имеет место, если
субъект данных дал согласие на обработку персональных данных для одной или нескольких
конкретных целей или он основан на Статье 9 (2) лит. ОРЗД, который регулирует явное согласие
на обработку специальных категорий персональных данных, субъект данных в соответствии со
Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое время.
Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва,
Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3)
Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как
было дано согласие, или любым другим способом, который субъект данных считает более
простым. В современном информационном обществе, вероятно, самый простой способ отозвать
согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие,
нам достаточно простого электронного письма. В качестве альтернативы субъект данных может
выбрать любой другой способ сообщить о своем отзыве согласия.
Й. Право подать жалобу в надзорный орган (Статья 14 (2) и т. Д. 77 (1) ОРЗД)
Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в
надзорный орган , Статья 14 (2) лит. e ОРЗД. Право на подачу жалобы в надзорный орган
регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого
административного или судебного средства правовой защиты, каждый субъект данных имеет
право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места
жительства, места работы или места работы. предполагаемое нарушение, если субъект данных
считает, что обработка относящихся к нему персональных данных нарушает Общие положения
о защите данных. Право на подачу жалобы в надзорный орган ограничивалось
законодательством Союза только таким образом, что оно может быть реализовано только в
одном надзорном органе (Декламация 141 Предложения 1 ОРЗД). Это правило направлено на
то, чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос.
Если субъект данных хочет подать жалобу на нас, мы просим связаться только с одним
надзорным органом.
К. Источник, из которого происходят персональные данные, и, если
применимо, получены ли они из общедоступных источников (Статья 14 (2), лит. г
ОРЗД)
В принципе, личные данные собираются непосредственно от субъекта данных или в
сотрудничестве с органом (например, поиск данных из официального реестра). Другие данные
по темам данных получено из передач группы компаний. В контексте этой общей информации
наименование точных источников, из которых получены личные данные, либо невозможно, либо
Page 300 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
может привести к непропорциональным усилиям по смыслу ст. 14 (5) лит. б ОРЗД. В принципе,
мы не собираем личные данные из общедоступных источников.
Любой субъект данных может связаться с нами в любое время, чтобы получить более подробную
информацию о точных источниках персональных данных, касающихся его или ее. Если источник
личных данных не может быть предоставлен субъекту данных из-за того, что использовались
различные источники, должна быть предоставлена общая информация ( Декламация 61
Предложения 4 ОРЗД).
Л. Наличие автоматизированного процесса принятия решений, включая
профилирование, о котором говорится в статье 22 (1) и (4) ОРЗД, и, по крайней
мере, в этих случаях, содержательную информацию о соответствующей логике,
а также о значении и предполагаемых последствиях такая обработка для
субъекта данных (Статья 14 (2) лит. Ë ОРЗД)
Как ответственная компания, мы не используем автоматическое принятие решений или
профилирование.
Page 301 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
RUSSIAN: Информация об обработке персональных
данных для сотрудников и заявителей (статья 13, 14
Общий Регламент по Защите Данных, ОРЗД (GDPR))
Уважаемые дамы или господа,
Персональные данные сотрудников и заявителей заслуживают особой защиты. Наша цель –
поддерживать высокий уровень защиты данных. Поэтому мы постоянно развиваем наши
концепции защиты и защиты данных.
Разумеется, мы соблюдаем законодательные положения о защите данных. Согласно Статье 13,
14 ОРЗД, контролеры отвечают определенным информационным требованиям при обработке
персональных данных. Этот документ выполняет эти обязательства.
Терминология правового регулирования сложна. К сожалению, использование юридических
терминов нельзя было обойтись при подготовке этого документа. Поэтому мы хотели бы
отметить, что вы всегда можете связаться с нами по всем вопросам, касающимся этого
документа, используемых терминов или формулировок.
I. Соответствие требованиям в отношении информации, когда личные
данные собираются от субъекта данных (Статья 13 ОРЗД)
А. Идентификационные данные и контактные данные контролера (Статья 13
(1) лит. ОРЗД)
См. Выше
Б. Контактные данные защиты данных Сотрудник (Статья 13 (1), лит. B ОРЗД)
См. Выше
Б. Цели обработки, для которых предназначены персональные данные, а
также правовое основание для обработки (Статья 13 (1), лит. В ОРЗД)
Для данных заявителя Целью обработки данных является проведение экспертизы заявки в
процессе найма. Для этого мы обрабатываем все предоставленные вами данные. На основании
данных, представленных в процессе найма, мы проверим, приглашены ли вы на собеседование
(часть процесса отбора). В случае подходящих кандидатов, особенно в контексте собеседования,
мы обрабатываем некоторые другие личные данные, предоставленные вами, что важно для
нашего решения о выборе. Если вы наняты нами, данные заявителя автоматически изменятся
на данные сотрудника. В рамках процесса набора персонала мы будем обрабатывать другие
персональные данные о вас, которые мы запрашиваем у вас и которые необходимы для
Page 302 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
инициирования или выполнения вашего контракта (например, личные идентификационные
номера или налоговые номера). Для данных о сотрудниках целью обработки данных является
выполнение трудового договора или соблюдение других правовых норм, применимых к трудовым
отношениям (например, налоговое законодательство), а также использование ваших
персональных данных для выполнения трудового договора, заключенного с вами. (например,
публикация вашего имени и контактной информации внутри компании или для клиентов). Данные
о работниках хранятся после прекращения трудовых отношений для соблюдения законных
сроков хранения.
Правовой основой для обработки данных является Статья 6 (1) лит. б ОРЗД, Статья 9 (2) лит. б
и ж ОРЗД, Статья 88 (1) ОРЗД и национальное законодательство, например, для Германии
Раздел 26 ФЗЗД (Федеральный закон о защите данных).
Г. Категории получателей персональных данных (Статья 13 (1) и т. Д. ОРЗД)
Государственные органы
Внешние органы
Дополнительные внешние органы
Внутренняя обработка
Внутригрупповая обработка
Другие органы
Д. Получатели в третьей стране и соответствующие или подходящие
гарантии и средства, с помощью которых получить их копию или там, где они были
предоставлены (Статья 13 (1) лит. г, 46 (1), 46 (2) лит. в ОРЗД)
Все компании и филиалы, входящие в нашу группу (далее упоминается) к «групповым
компаниям»), которые имеют свое коммерческое предприятие или офис в третьей стране, могут
принадлежать получателям персональных данных. У нас можно запросить список всех компаний
или получателей группы.
Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные
только в третью страну, если контроллер или процессор предоставил соответствующие гарантии,
и при условии, что для субъектов данных доступны действующие права субъекта данных и
эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть
предоставлены без какого-либо специального разрешения от надзорного органа посредством
стандартных договорных положений, Статья 46 (2) лит. c ОРЗД.
Стандартные договорные положения Европейского Союза или другие соответствующие меры
предосторожности согласовываются со всеми получателями из третьих стран до первой
передачи персональных данных. , гарантируется, что гарантируются надлежащие меры защиты,
осуществимые права субъекта данных и эффективные средства правовой защиты для субъектов
данных. Каждый субъект данных может получить у нас копию стандартных договорных
Page 303 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
положений. Стандартные договорные положения также доступны в Официальном журнале
Европейского Союза (OЖ 2010 / Л 39, стр. 5-18).
Е. Период, в течение которого будут храниться личные данные, или, если это
невозможно, критерии, используемые для определения этого периода (Статья 13
(2) лит. ОРЗД)
Продолжительность хранения персональных данных заявителей составляет 6 месяцев. Для
данных о сотрудниках применяется соответствующий установленный законом срок хранения. По
истечении этого периода соответствующие данные обычно удаляются, если они больше не
нужны для выполнения контракта или для инициирования контракта.
Ë. Наличие права запрашивать у контролера доступ и исправление или
удаление персональных данных или ограничение обработки в отношении
субъекта данных или объекта обработки, а также право на переносимость данных
(Статья 13 (2) лит. B ОРЗД)
Все субъекты данных имеют следующие права:
Право на доступ
Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ
распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко
и через разумные промежутки времени, чтобы знать и проверять законность обработки
(Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с
нами, чтобы воспользоваться правом доступа.
Право на исправление В
соответствии со Статьей 16 Предложения 1 ОРЗД субъект данных имеет право без промедления
получить от контролера исправление неточных личных данных, касающихся его или ее. Кроме
того, Статья 16 Предложения 2 ОРЗД предусматривает, что субъект данных имеет право, с
учетом целей обработки, заполнять неполные персональные данные, в том числе посредством
предоставления дополнительного заявления. Субъект данных может связаться с нами для
осуществления права на исправление.
Право на удаление (право быть забытым)
Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст.
17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако,
мы хотели бы указать, что это право не применяется, поскольку обработка необходима для
выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3)
освещена. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после
истечения установленного законом срока хранения.
Право на ограничение обработки
Согласно Статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки.
Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18
Page 304 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
(1), объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы
воспользоваться правом на ограничение обработки.
Право на возражение
Кроме того, ст. 21 GDPR гарантирует право на возражение. Субъект данных может связаться с
нами, чтобы воспользоваться правом на возражение.
Право на переносимость данных
Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. В соответствии с
этим положением субъект данных в условиях, изложенных в Статье 20 (1), лит. a и б ОРЗД –
право на получение относящихся к нему персональных данных, которые он или она предоставил
контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет
право передавать эти данные другому контроллеру без помех от контроллера, которому были
предоставлены персональные данные. Субъект данных может связаться с нами, чтобы
воспользоваться правом на переносимость данных.
Ж. Наличие права на отзыв согласия в любое время без ущерба для
законности обработки, основанной на согласии до его отзыва, если обработка
основана на Статье 6 (1) лит. ОРЗД или Статья 9 (2) лит. ОРЗД(Статья 13 (2) лит.
в ОРЗД)
Если обработка персональных данных основана на ст. 6 (1) лит. ОРЗД, что имеет место, если
субъект данных дал согласие на обработку персональных данных для одной или нескольких
конкретных целей или он основан на Статье 9 (2) освещен. ОРЗД, который регулирует явное
согласие на обработку специальных категорий персональных данных, субъект данных в
соответствии со Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое
время.
Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва,
Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3)
Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как
было дано согласие, или любым другим способом, который субъект данных считает более
простым. В современном информационном обществе, вероятно, самый простой способ отозвать
согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие,
нам достаточно простого электронного письма. В качестве альтернативы субъект данных может
выбрать любой другой способ сообщить о своем отзыве согласия.
З. Право подать жалобу в надзорный орган (Статья 13 (2) лит. Г, 77 (1) ОРЗД)
Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в
надзорный орган, Статья 13 (2) лит. г ОРЗД. Право на подачу жалобы в надзорный орган
регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого
административного или судебного средства правовой защиты, каждый субъект данных имеет
право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места
жительства, места работы или места работы. предполагаемое нарушение, если субъект данных
считает, что обработка относящихся к нему персональных данных нарушает Общие положения
о защите данных. Право на подачу жалобы в надзорный орган ограничивалось
Page 305 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
законодательством Союза только таким образом, что оно может быть реализовано только в
одном надзорном органе (Декламация 141 Предложения 1 ОРЗД). Это правило направлено на
то, чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос.
Если субъект данных хочет подать жалобу на нас, мы просим связаться только с одним
надзорным органом.
Ы. Предоставление персональных данных в качестве законодательного или
договорного требования; Требование, необходимое для заключения договора;
Обязательство субъекта данных предоставлять персональные данные;
возможные последствия непредоставления таких данных (ст. 13 (2) лит. e ОРЗД)
Мы разъясняем, что предоставление персональных данных частично требуется законом
(например, налоговые правила) или также может быть результатом договорных положений
(например, информация о договорный партнер).
Иногда может потребоваться заключить договор о том, что субъект данных предоставляет нам
персональные данные, которые впоследствии должны быть обработаны нами. Субъект данных,
например, обязан предоставить нам персональные данные, когда наша компания заключает с
ним договор. Непредоставление персональных данных приведет к тому, что договор с субъектом
данных не может быть заключен.
Прежде чем личные данные будут предоставлены субъектом данных, субъект данных должен
связаться с нами. Мы уточняем субъекту данных, требуется ли предоставление персональных
данных по закону или договору или необходимо для заключения договора, есть ли обязательство
предоставлять персональные данные и последствия непредоставления персональных данных ,
Й. Наличие автоматизированного процесса принятия решений, включая
профилирование, о котором говорится в Статье 22 (1) и (4) ОРЗД, и, по крайней
мере, в этих случаях, содержательную информацию о соответствующей логике,
а также о значении и предполагаемых последствиях такая обработка для
субъекта данных (Статья 13 (2), лит. д ОРЗД)
Как ответственная компания, мы не используем автоматическое принятие решений или
профилирование.
II. Соответствие требованиям в отношении информации, когда личные
данные не собираются от субъекта данных (Статья 14 ОРЗД)
Page 306 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
A. Идентификационные данные и контактные данные контролера (Статья 14
(1) лит. ОРЗД
См. Выше
Б. Контактные данные данных Офицер по защите (Статья 14 (1), лит. б ОРЗД)
См. Выше
В. Цели обработки, для которых предназначены персональные данные, а
также правовое основание для обработки (Статья 14 (1), лит. в ОРЗД)
Для заявителя Данные, не собранные от субъекта данных, целью обработки данных является
проведение экспертизы заявки в процессе набора персонала. Для этой цели мы можем
обрабатывать данные, не полученные от вас. На основе данных, обработанных в процессе
найма, мы проверим, приглашены ли вы на собеседование (часть процесса отбора). Если вы
наняты нами, данные заявителя автоматически преобразуются в данные о сотрудниках. Для
данных о сотрудниках целью обработки данных является выполнение трудового договора или
соблюдение других правовых норм, применимых к трудовым отношениям. Данные о работниках
хранятся после прекращения трудовых отношений для соблюдения законных сроков хранения.
Правовой основой для обработки данных является статья 6 (1) лит. б и д ОРЗД, Статья 9 (2) лит.
б и ж ОРЗД, Статья 88 (1) ОРЗД и национальное законодательство, например, для Германии,
Раздел 26 ФЗЗД (Федеральный закон о защите данных).
Г. Категории соответствующих персональных данных (Статья 14 (1) лит. г
ОРЗД)
Данные заявителя Данные о сотрудниках
Д. Категории получателей персональных данных (Статья 14 (1) лит. д ОРЗД)
Государственные органы
Внешние органы
Другие внешние органы
Внутренние обработка
Внутригрупповая обработка
Другие органы
Page 307 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
Е. Получатели в третьей стране и соответствующие или подходящие
гарантии и средства, с помощью которых можно получить их копию или когда они
были предоставлены (Статья 14 (1), лит. д, 46 (1), 46 (2) лит. в ОРЗД)
Получатели персональных данных могут принадлежать всем компаниям и филиалам, входящим
в нашу группу (далее именуемым «компании группы»), которые имеют свои коммерческие
предприятия или офис в третьей стране. , У нас можно запросить список всех компаний или
получателей группы.
Согласно Статье 46 (1) ОРЗД, контроллер или процессор может передавать личные данные
только в третью страну, если контроллер или процессор предоставил соответствующие гарантии,
и при условии, что для субъектов данных доступны действующие права субъекта данных и
эффективные средства правовой защиты. Соответствующие меры предосторожности могут быть
предоставлены без какого-либо специального разрешения от надзорного органа посредством
стандартных положений о защите данных, Статья 46 (2) освещена. c ОРЗД.
Стандартные договорные положения Европейского Союза или другие соответствующие меры
предосторожности согласовываются со всеми получателями из третьих стран до первой
передачи персональных данных. Следовательно, гарантируется, что гарантируются надлежащие
меры защиты, осуществимые права субъекта данных и эффективные средства правовой защиты
для субъектов данных. Каждый субъект данных может получить у нас копию стандартных
договорных положений. Стандартные договорные положения также доступны в Официальном
журнале Европейского Союза (OJ 2010 / L 39, стр. 5-18).
Ë. Период, в течение которого будут храниться персональные данные, или,
если это невозможно, критерии, используемые для определения этого периода
(Статья 14 (2) лит. ОРЗД).
Срок хранения персональных данных заявителей составляет 6 месяцев. Для данных о
сотрудниках применяется соответствующий установленный законом срок хранения. По
истечении этого периода соответствующие данные обычно удаляются, если они больше не
нужны для выполнения контракта или для инициирования контракта.
Ж. Уведомление о законных интересах, преследуемых контролером или
третьей стороной, если обработка основана на Статье 6 (1) лит. Е ОРЗД (ст. 14
(2) лит. б ОРЗД) В
соответствии со Статьей 6 (1) лит. Е ОРЗД, обработка должна быть законной, только если
обработка необходима для целей законных интересов, преследуемых контролером или третьей
стороной, за исключением случаев, когда такие интересы перекрываются интересами или
основными правами и свободами субъекта данных, которые требуют защиты. личных данных.
Согласно Декламация 47 Предложения 2 ОРЗД, законный интерес может существовать в тех
случаях, когда существует релевантная и надлежащая связь между субъектом данных и
контроллером, например, в ситуациях, когда субъект данных является клиентом контроллера. Во
Page 308 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
всех случаях, когда наша компания обрабатывает данные заявителя на основании Статьи 6 (1),
освещается. е ОРЗД, наш законный интерес – это найм подходящего персонала и специалистов.
З. Наличие права запрашивать у контролера доступ и исправление или
стирание персональных данных или ограничение обработки, касающейся
субъекта данных и объекта обработки, а также право на переносимость данных
(Статья 14 (2) лит. в) ОРЗД)
Все субъекты данных имеют следующие права:
Право на доступ
Каждый субъект данных имеет право на доступ к своим персональным данным. Право на доступ
распространяется на все данные, обрабатываемые нами. Право может быть реализовано легко
и через разумные промежутки времени, чтобы знать и проверять законность обработки
(Декламация 63 ОРЗД). Это право вытекает из ст. 15 ОРЗД. Субъект данных может связаться с
нами, чтобы воспользоваться правом доступа.
Право на исправление
В соответствии со Статьей 16 предложения 1 ОРЗД субъект данных имеет право без
промедления получить от контролера исправление неточных личных данных, касающихся его
или ее. Кроме того, Статья 16 предложения 2 ОРЗД предусматривает, что субъект данных имеет
право, с учетом целей обработки, заполнять неполные персональные данные, в том числе
посредством предоставления дополнительного заявления. Субъект данных может связаться с
нами для осуществления права на исправление.
Право на удаление (право быть забытым)
Кроме того, субъекты данных имеют право на стирание и быть забытыми в соответствии со ст.
17 ОРЗД. Это право также может быть реализовано, связавшись с нами. На этом этапе, однако,
мы хотели бы указать, что это право не применяется, поскольку обработка необходима для
выполнения юридического обязательства, которому подчиняется наша компания, Статья 17 (3)
лит. б ОРЗД. Это означает, что мы можем одобрить заявку на удаление только после истечения
установленного законом срока хранения.
Право на ограничение обработки
Согласно Статье 18 ОРЗД любой субъект данных имеет право на ограничение обработки.
Ограничение обработки может потребоваться, если одно из условий, изложенных в Статье 18
(1), объявление ОРЗД выполнено. Субъект данных может связаться с нами, чтобы
воспользоваться правом на ограничение обработки.
Право на возражение
Кроме того, ст. 21 ОРЗД гарантирует право на возражение. Субъект данных может связаться с
нами, чтобы воспользоваться правом на возражение.
Право на переносимость данных
Ст. 20 ОРЗД предоставляет субъекту данных право на переносимость данных. Согласно этому
положению субъект данных в условиях, изложенных в Статье 20 (1), освещен. a и б ОРЗД – право
на получение относящихся к нему персональных данных, которые он или она предоставил
контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет
Page 309 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
право передавать эти данные другому контроллеру без помех от контроллера, которому были
предоставлены персональные данные. Субъект данных может связаться с нами, чтобы
воспользоваться правом на переносимость данных.
Ы. Наличие права на отзыв согласия в любое время, не затрагивая законность
обработки, основанной на согласии до его отзыва, если обработка основана на
Статье 6 (1) лит. или статья 9 (2) лит. ОРЗД (ст. 14 (2) лит. г ОРЗД)
Если обработка персональных данных основана на ст. 6 (1) ОРЗД, что имеет место, если субъект
данных дал согласие на обработку персональных данных для одной или нескольких конкретных
целей или он основан на Статье 9 (2) лит. ОРЗД, который регулирует явное согласие на
обработку специальных категорий персональных данных, субъект данных в соответствии со
Статьей 7 (3) Предложения 1 ОРЗД имеет право отозвать свое согласие в любое время.
Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва,
Статья 7 (3) Предложение 2 ОРЗД. Изъять его так же легко, как и дать согласие, ст. 7 (3)
Предложение 4 ОРЗД. Следовательно, отзыв согласия всегда может происходить так же, как
было дано согласие, или любым другим способом, который субъект данных считает более
простым. В современном информационном обществе, вероятно, самый простой способ отозвать
согласие – это простое электронное письмо. Если субъект данных хочет отозвать свое согласие,
нам достаточно простого электронного письма. В качестве альтернативы субъект данных может
выбрать любой другой способ сообщить о своем отзыве согласия.
Й. Право подать жалобу в надзорный орган (Статья 14 (2) и т. д. 77 (1) ОРЗД)
Как контролирующий, мы обязаны уведомить субъект данных о праве подать жалобу в
надзорный орган, Статья 14 (2) лит. д ОРЗД. Право на подачу жалобы в надзорный орган
регулируется Статьей 77 (1) ОРЗД. Согласно этому положению, без ущерба для любого другого
административного или судебного средства правовой защиты, каждый субъект данных имеет
право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места
жительства, места работы или места работы. предполагаемое нарушение, если субъект данных
считает, что обработка относящихся к нему персональных данных нарушает Общие положения
о защите данных. Право на подачу жалобы в надзорный орган ограничивалось только
законодательством Союза таким образом, что оно может быть реализовано только перед одним
надзорным органом (Декламация 141 Предложения 1 ОРЗД). Это правило направлено на то,
чтобы избежать двойных жалоб одного и того же субъекта данных на один и тот же вопрос. Если
субъект данных хочет подать жалобу на нас, мы просим связаться только с одним надзорным
органом.
К. Источник, из которого происходят персональные данные, и, если
применимо, получены ли они из общедоступных источников (Статья 14 (2), лит. Д
ОРЗД)
В принципе, личные данные собираются непосредственно от субъекта данных или в
сотрудничестве с органом (например, поиск данных из официального реестра). Другие данные
по темам данных получено из передач группы компаний. В контексте этой общей информации
Page 310 Version 1.0 Date: 18.11.2020 © Heiko Jonny Maniero. All rights reserved.
наименование точных источников, из которых получены личные данные, либо невозможно, либо
может привести к непропорциональным усилиям по смыслу ст. 14 (5) лит. б ОРЗД. В принципе,
мы не собираем личные данные из общедоступных источников.
Любой субъект данных может связаться с нами в любое время, чтобы получить более подробную
информацию о точных источниках персональных данных, касающихся его или ее. Если источник
личных данных не может быть предоставлен субъекту данных из-за того, что использовались
различные источники, должна быть предоставлена общая информация (Декламация 61
Предложения 4 ОРЗД).
Л. Наличие автоматизированного процесса принятия решений, включая
профилирование, о котором говорится в статье 22 (1) и (4) ОРЗД, и, по крайней
мере, в этих случаях, содержательную информацию о соответствующей логике,
а также о значении и предполагаемых последствиях такая обработка для
субъекта данных (Статья 14 (2) лит. Ë ОРЗД)
Как ответственная компания, мы не используем автоматическое принятие решений или
профилирование.