Datenschutz- und Datenschutzbestimmungen

  • 20 Oct, 2020

1. Zweck

1.1: Die Expandigo-Datenschutzrichtlinie (im Folgenden „die Richtlinie“) definiert Anforderungen, um die Einhaltung der Gesetze und Vorschriften zu gewährleisten, die für die Erhebung, Verwendung, Verarbeitung und Übertragung personenbezogener Daten gelten.

2. Geltungsbereich

2.1: Die Richtlinie gilt für alle Voll- und Teilzeitbeschäftigten, Auftragnehmer und alle anderen Kategorien von Mitarbeitern, Lieferanten und Partnern des Unternehmens, die Zugriff auf personenbezogene Daten haben, die von gesammelt oder verarbeitet werden das Unternehmen, unabhängig vom geografischen Standort.

2.2: Das Unternehmen legt seinen Status für die gesamte Datenverarbeitung entweder als Datenverantwortlicher oder als Datenverarbeiter fest, der für einen anderen Datenverantwortlichen tätig ist.

3. Definitionen

Zustimmung: Einwilligung bedeutet "jede frei gegebene spezifische und informierte Angabe seiner Wünsche, durch die die betroffene Person die Zustimmung zu personenbezogenen Daten, die sie betreffen, verarbeitet." Die Zustimmung kann jedoch auf verschiedene Weise eingeholt werden. Dies können Klauseln in Arbeitsverträgen, Kontrollkästchen für Antworten auf den Antrag oder Kaufformulare sowie Kontrollkästchen für Online-Formulare sein, in denen personenbezogene Daten eingegeben werden. In den meisten Ländern der Europäischen Union muss die Zustimmung zur Verarbeitung sensibler personenbezogener Daten klar und eindeutig sein. Dies bedeutet im Allgemeinen, dass eine bestimmte aktive Einwilligung erforderlich ist.

Data: Daten (unabhängig davon, ob sie einen Anfangsbuchstaben haben oder nicht), wie sie in der Richtlinie verwendet werden, sind Informationen, die entweder:

  • wird mit Hilfe von Geräten verarbeitet, die automatisch gemäß den zu diesem Zweck erteilten Anweisungen arbeiten;
  • wird mit der Absicht aufgezeichnet, dass es mit solchen Geräten verarbeitet werden soll;
  • wird als Teil eines relevanten Ablagesystems oder mit der Absicht aufgezeichnet, dass es Teil eines relevanten Ablagesystems sein soll;
  • fällt nicht unter eine der oben genannten Bedingungen, sondern ist Teil einer leicht zugänglichen Aufzeichnung, die eine Person abdeckt.
  • Daten umfassen daher alle digitalen Daten von Computern oder automatisierten Geräten, Telefonaufzeichnungen und alle manuellen Informationen, die Teil eines relevanten Ablagesystems sind.

Datenverantwortlicher : Datenverantwortlicher ist eine Person, die (allein oder mit anderen) festlegt, für welche Zwecke und auf welche Weise personenbezogene Daten verarbeitet werden oder verarbeitet werden sollen. Im Allgemeinen ist das Unternehmen selbst in den meisten Fällen der Datenverantwortliche.

Datenexporteur : Datenexporteur bezeichnet den Datenverantwortlichen oder Datenverarbeiter, der die personenbezogenen Daten ins Ausland überträgt.

Datenimporteur : Datenimporteur ist der für die Datenverarbeitung Verantwortliche oder Datenverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zur weiteren Verarbeitung gemäß den Bestimmungen der Richtlinie und der entsprechenden Datenübertragungsvereinbarung zu erhalten .

Datenprozessor : Datenprozessor bezeichnet jede Person außer einem Mitarbeiter des Datenverarbeiters, die die Daten im Auftrag des Datenverarbeiters verarbeitet. Ein Unternehmen kann ein Datenverarbeiter sein, wenn es gemäß den Vertragsbedingungen mit dem für die Datenverarbeitung Verantwortlichen als solches definiert ist.

Datenschutzbehörde : eine Stelle, die mit dem Schutz von Daten und Privatsphäre beauftragt ist. Die Behörden sind eingerichtet, um Informationsrechte sowohl im öffentlichen als auch im privaten Interesse zu wahren.

Datensicherheit : Maßnahmen, die der für die Verarbeitung Verantwortliche und der Verarbeiter implementieren müssen, um die Datenschutzgrundsätze von Entwurf und Standard einzuhalten und ein Sicherheitsniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten des Einzelnen angemessen ist unter Berücksichtigung des Standes der Technik, der Kosten der Implementierung sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung.

Betroffene : Betroffene Person bezeichnet die Person, auf die sich die Daten beziehen. Zu den betroffenen Personen zählen Kunden und Webbenutzer, Personen auf Kontakt- / E-Mail-Listen oder Marketingdatenbanken, Mitarbeiter, Auftragnehmer und Lieferanten.

EU-USA- und Schweizer-US-Datenschutzschild-Frameworks : die EU-USA. und Swiss-U.S. Privacy Shield Frameworks wurden vom US-Handelsministerium und der Europäischen Kommission bzw. der Schweizer Verwaltung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz bereitzustellen an die Vereinigten Staaten zur Unterstützung des transatlantischen Handels. Am 12. Juli 2016 hat die Europäische Kommission die EU-USA als solche eingestuft. Privacy Shield Framework, das ausreicht, um Datenübertragungen nach EU-Recht zu ermöglichen. Am 12. Januar 2017 gab die Schweizer Regierung die Genehmigung der Schweizer USA bekannt. Privacy Shield Framework als gültiger Rechtsmechanismus zur Erfüllung der Schweizer Anforderungen bei der Übermittlung personenbezogener Daten aus der Schweiz in die USA.

Personenbezogene Daten : Personenbezogene Daten sind Daten einer lebenden Person, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen identifiziert werden können, die sich im Besitz von oder wahrscheinlich im Besitz von befinden. ein Datencontroller oder Datenprozessor. Zu den personenbezogenen Daten gehören keine Informationen, die anonymisiert, verschlüsselt oder auf andere Weise von ihren Kennungen befreit wurden, oder Informationen, die öffentlich verfügbar sind, sofern sie nicht mit anderen nicht öffentlichen personenbezogenen Daten kombiniert wurden.

wird bearbeitet: Die Verarbeitung umfasst eine Vielzahl von Vorgängen in Bezug auf Daten, einschließlich des Erhaltens, Aufzeichnens oder Speicherns der Daten oder Ausführen von Vorgängen oder Vorgängen mit den Daten, einschließlich:

  • Organisation, Anpassung oder Änderung;
  • Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise; und
  • Ausrichtung, Kombination, Blockierung, Löschung oder Zerstörung.

Relevantes Ablagesystem: Relevantes Ablagesystem bezeichnet jede Reihe von Informationen, die sich auf Einzelpersonen beziehen, unabhängig davon, ob sie in manuellen oder elektronischen Akten aufbewahrt werden und entweder durch Bezugnahme auf Einzelpersonen oder durch Bezugnahme auf Kriterien in Bezug auf Einzelpersonen so strukturiert sind, dass bestimmte Informationen, die sich auf eine bestimmte Person beziehen, leicht zugänglich sind zugänglich. Daher fallen alle digitalen Datenbanken und / oder organisierten manuellen Dateien, die sich auf identifizierbare lebende Personen beziehen, in den Geltungsbereich der Datenschutzgesetze und -vorschriften, während eine Datenbank mit reinen statistischen oder finanziellen Informationen (die weder direkt noch indirekt mit identifizierbaren lebenden Personen in Verbindung gebracht werden können). wird nicht.

Sensible Daten: sensible Daten sind personenbezogene Daten, die Informationen über Folgendes enthalten:

  • Rasse oder ethnische Herkunft;
  • Religiöse Überzeugungen oder andere Überzeugungen ähnlicher Art;
  • Politische Meinungen;
  • Körperliche oder geistige Gesundheit oder Kondition;
  • Sexualgeschichte oder Orientierung;
  • Gewerkschaftsmitgliedschaft;
  • Begehung oder mutmaßliche Begehung von Straftaten und damit verbundenen Gerichtsverfahren.

Technologie: Technologie ist weit auszulegen und umfasst alle Mittel zum Sammeln oder Verarbeiten von Daten, einschließlich, ohne Einschränkungen, Computer und Netzwerke, Telekommunikationssysteme, Video- und Audioaufzeichnungsgeräte, biometrische Geräte, Videoüberwachungsgeräte usw.

4. Gruppen-Compliance

4.1: Das Datenkonformitätsprogramm des Unternehmens wird von Steven Clay Turner (im Folgenden „Datenschutzbeauftragter -DPO“), einem der beiden Gründer des Unternehmens, überwacht. Der Datenschutzbeauftragte kann von vor Ort ernannten Compliance-Mitarbeitern und internen Prüfern unterstützt werden und Kompetenzen an qualifizierte Datenschutzspezialisten delegieren.

4.2:Der Datenschutzbeauftragte oder ein ernannter Datenschutzspezialist wird die internationalen Datenschutzrichtlinien und -verfahren des Unternehmens sowie alle zusätzlichen Pflichten, die in den Datenschutzgesetzen festgelegt sind, umsetzen, einschließlich und nicht beschränkt auf:

  • Feststellen, ob aufgrund der Datenverarbeitung des Unternehmens eine Benachrichtigung an eine oder mehrere Datenschutzbehörden erforderlich ist.
  • Festlegung laufender Programme zur Schulung von Mitarbeitern, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.
  • Festlegung von Verfahren und Standardbestimmungen zur Einhaltung der Richtlinien durch Kunden, Lieferanten und Dritte, die möglicherweise personenbezogene Daten vom Unternehmen erhalten, Zugriff auf personenbezogene Daten haben, die vom Unternehmen gesammelt oder verarbeitet werden, oder die dem Unternehmen Informationen zur Verfügung stellen , unabhängig vom geografischen Standort.
  • Einrichtung von Mechanismen für regelmäßige Prüfungen der Einhaltung dieser Richtlinie, Durchführungsverfahren und geltendes Recht.
  • Einrichtung, Wartung und Betrieb eines Systems zur sofortigen und angemessenen Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte.
  • Einrichtung, Wartung und Betrieb eines Systems zur sofortigen und angemessenen automatischen Offenlegung eines Verlusts personenbezogener Daten gegenüber den zuständigen Behörden und betroffenen Personen.
  • Informieren von Mitarbeitern, leitenden Managern, leitenden Angestellten, Auftragnehmern usw. des Unternehmens über mögliche zivil- und strafrechtliche Sanktionen von Unternehmen und Personen, die gegen das Unternehmen und / oder seine Mitarbeiter, Mitarbeiter usw. wegen Verstoßes gegen geltendes Recht verhängt werden können Datenschutzgesetzgebung.
  • Sicherstellen, dass die Risikomanagementpläne in Bezug auf den Datenschutz effektiv und zeitnah umgesetzt werden.

5.Datenschutzgrundsätze

5.1: Das Unternehmen hat die folgenden Grundsätze für die Erhebung, Verwendung, Verarbeitung und Übermittlung personenbezogener Daten festgelegt:

  • Personenbezogene Daten werden nur fair und rechtmäßig verarbeitet.
  • Personenbezogene Daten werden nur für bestimmte, explizite, rechtmäßige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken nicht vereinbar ist.
  • Personenbezogene Daten müssen in Bezug auf die Zwecke, für die sie erhoben und / oder verarbeitet werden, angemessen, relevant und nicht übermäßig sein.
  • Personenbezogene Daten werden nicht erhoben oder verarbeitet, es sei denn, eine Rechtsgrundlage für die Verarbeitung ist ordnungsgemäß festgelegt.

5.2: Es sind folgende Maßnahmen zu treffen:

  • Verhindern und / oder Identifizieren der unbefugten oder rechtswidrigen Erhebung, Verarbeitung und Übermittlung personenbezogener Daten; und
  • Verhindern Sie den versehentlichen Verlust oder die Zerstörung oder Beschädigung personenbezogener Daten.

6. Übertragungen an Dritte

6.1: Personenbezogene Daten dürfen nicht an eine andere Einrichtung, ein anderes Land oder ein anderes Gebiet übertragen werden, es sei denn, es wurden angemessene und angemessene Schritte unternommen, um das erforderliche Maß an Datensicherheit zu erreichen und aufrechtzuerhalten.

6.2: Personenbezogene Daten dürfen nur aus Gründen an Dritte weitergegeben werden, die mit den Zwecken vereinbar sind, für die die Daten ursprünglich erhoben wurden, oder aus anderen gesetzlich zulässigen Zwecken.

6.3: Alle Übermittlungen personenbezogener Daten an Dritte zur Weiterverarbeitung bedürfen der schriftlichen Vereinbarung.

6.4: Die personenbezogenen Daten der EU dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, es sei denn, die Übermittlung erfolgt in ein Land oder Gebiet, das von der EU als angemessen für die Datensicherheit anerkannt ist, oder in die USA gemäß der EU -US und Swiss-US Privacy Shield.

6.5: Vorbehaltlich der vorstehenden Bestimmungen können personenbezogene Daten übertragen werden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die betroffene Person hat der vorgeschlagenen Übertragung zugestimmt;
  • Die Übertragung ist zur Erfüllung eines Vertrages zwischen der betroffenen Person und dem Unternehmen erforderlich;
  • Die Übertragung ist erforderlich für den Abschluss oder die Erfüllung eines Vertrags, der im Interesse der betroffenen Person zwischen dem Unternehmen und einem Dritten geschlossen wurde;
  • Die Übertragung ist aus wichtigen Gründen des öffentlichen Interesses oder zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder gesetzlich vorgeschrieben.
  • Die Übertragung ist gesetzlich vorgeschrieben;
  • Die Übertragung ist notwendig, um die vitalen Interessen der betroffenen Person zu schützen.

7. Prävention nicht konformer IT-Systeme

7.1: Der Chief Information Officer (CIO) des Unternehmens legt ein Verfahren zur Bewertung der Auswirkungen neuer oder vorhandener Technologien auf den Datenschutz und die Sicherheit personenbezogener Daten fest.

7.2: Kein neues System oder keine neue Version eines bestehenden Systems darf zur Verwendung bereitgestellt werden, bis der Datenschutzbeauftragte vom CIO schriftlich bestätigt hat, dass kein Verstoß gegen Datenschutzgesetze vorliegt.

8. Quellen personenbezogener Daten

8.1: Personenbezogene Daten werden nur von der betroffenen Person erhoben, es sei denn, die Art des Geschäftszwecks erfordert die Erhebung der Daten von anderen Personen oder Körperschaften

8.2:Wenn personenbezogene Daten von einer anderen Person als der betroffenen Person erhoben werden, muss der Geschäftsbereich, der die Daten sammelt, vom Lieferanten der Daten schriftlich bestätigen lassen, dass eine rechtmäßige Grundlage für die Übermittlung und Verarbeitung der personenbezogenen Daten an das Unternehmen besteht .

9. Rechte der betroffenen Person

9.1: Die betroffenen Personen sind berechtigt, auf schriftliche Anfrage Informationen über ihre eigenen personenbezogenen Daten des Unternehmens zu erhalten.

9.2: Das Unternehmen muss seine Antwort auf eine Anfrage oben innerhalb von 40 Tagen ab dem Datum der schriftlichen Anfrage oder innerhalb eines kürzeren Zeitraums, wenn dies nach den geltenden Datenschutzgesetzen erforderlich ist, bereitstellen.

9.3: Die betroffenen Personen haben das Recht, vom Unternehmen die Korrektur oder Ergänzung fehlerhafter, irreführender, veralteter oder unvollständiger personenbezogener Daten zu verlangen.

10. Sensible Daten

10.1: Sensible personenbezogene Daten sollten nur verarbeitet werden, wenn:

  • Eine solche Verarbeitung ist ausdrücklich autorisiert oder gesetzlich vorgeschrieben.
  • Die betroffene Person stimmt ausdrücklich und eindeutig zu.
  • Wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen, die Verarbeitung jedoch erforderlich ist, um ein vitales Interesse der betroffenen Person zu schützen.
  • Daten im Zusammenhang mit Straftaten dürfen nur von oder unter der Kontrolle der Rechtsabteilung verarbeitet werden.

11. Datenqualitätssicherung

11.1: Personenbezogene Daten dürfen nur für den Zeitraum aufbewahrt werden, der für die zulässige Verwendung erforderlich ist.

11.2: Personenbezogene Daten werden gelöscht, wenn ihre Speicherung gegen ein Datenschutzgesetz oder auf Antrag der betroffenen Person verstößt.

12. Gruppeninterne Verarbeitung

12.1: Wenn sich das Unternehmen bei der Verarbeitung seiner Aktivitäten auf ein anderes Konzernunternehmen verlässt, schließt das Unternehmen mit diesem anderen Konzernunternehmen einen Datenübertragungsvertrag auf der Grundlage der EU-Modellklauseln ab, um sicherzustellen, dass die Verantwortung für die Daten eindeutig als beides identifiziert wird Parteien können als Datenverantwortliche betrachtet werden.

12.2: Befindet sich das andere Konzernunternehmen in einem anderen Land, werden die an der Verarbeitung beteiligten Konzernunternehmen als Datenexporteur bzw. Datenimporteur identifiziert.

13. Prozessoren von Drittanbietern

13.1: In ähnlicher Weise muss das Unternehmen, wenn das Unternehmen bei seinen Verarbeitungsaktivitäten auf Dritte angewiesen ist, einen Datenverarbeiter auswählen, der ausreichende Sicherheitsmaßnahmen bereitstellt und angemessene Schritte unternimmt, um die Einhaltung dieser Maßnahmen sicherzustellen, und im Falle eines Dritten Partei innerhalb der USA, dass sie auch für den EU-US, Swiss-USA Privacy Shield registriert sind.

14. Schriftliche Verträge für Drittanbieter

14.1: Das Unternehmen schließt mit jedem Datenverarbeiter einen schriftlichen Vertrag ab, in dem es verpflichtet ist, die Datenschutzgesetze und Sicherheitsanforderungen einzuhalten, die dem Unternehmen gemäß den örtlichen Gesetzen auferlegt wurden.

15. Audits von Datenverarbeitern Dritter

15.1: Im Rahmen des internen Datenprüfungsprozesses des Unternehmens führt das Unternehmen regelmäßige Überprüfungen der Verarbeitung durch Datenverarbeiter Dritter durch, insbesondere in Bezug auf die Übergabeverfahren für die Daten, insbesondere im Hinblick auf Sicherheitsmaßnahmen.

16. Hinweis für Mitarbeiter und Auftragnehmer auf mögliche Sanktionen bei Nichteinhaltung

16.1: TDer Datenschutzbeauftragte teilt den Mitarbeitern und Auftragnehmern des Unternehmens Folgendes mit:

  • Die Nichteinhaltung der einschlägigen Datenschutzgesetze kann zu strafrechtlicher und zivilrechtlicher Haftung führen, einschließlich Geldstrafen, Haftstrafen und Schadensersatz. und
  • Sie können persönlich haftbar gemacht werden, wenn das Unternehmen mit ihrer Zustimmung oder Zustimmung eine Straftat begeht oder wenn sie auf deren Vernachlässigung zurückzuführen sind.
  • Verhinderung des Zugriffs unbefugter Personen auf Datenverarbeitungssysteme, in denen personenbezogene Daten verarbeitet werden.
  • Verhindern, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, über ihre Bedürfnisse und Berechtigungen hinaus auf Daten zugreifen.
  • Sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung während des Transports oder während der Speicherung auf einem Datenträger nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können.
  • Sicherstellen, dass personenbezogene Daten vor unerwünschter Zerstörung oder Verlust geschützt sind.
  • Sicherstellen, dass für verschiedene Zwecke gesammelte Daten separat verarbeitet werden können und werden.
  • Sicherstellen, dass Daten nicht länger als in der Richtlinie zur Vorratsdatenspeicherung festgelegt aufbewahrt werden, einschließlich der Anforderung, dass an Dritte übertragene Daten zurückgegeben oder vernichtet werden müssen.

18. Compliance-Messung

18.1: Der Datenschutzbeauftragte erstellt einen Zeitplan für ein Audit zur Einhaltung der Datenschutzbestimmungen und führt dieses durch.

19. Implementierung.

19.1: Diese Richtlinie steht den Mitarbeitern zur Verfügung

19.2: Diese Richtlinie kann jederzeit, jedoch mindestens einmal jährlich vom Datenschutzbeauftragten überarbeitet werden. Mitarbeiter werden über das Compliance-System des Unternehmens und andere über die Website des Unternehmens über wesentliche Änderungen informiert.