Datenschutzrichtlinie

Allgemeine Datenschutzrichtlinie

Diese Datenschutzrichtlinie erklärt, wie Sky Labs („das Unternehmen“, „wir“, „unser“ oder „uns“) die personenbezogenen Daten seiner Benutzer verarbeitet, einschließlich aber nicht beschränkt auf die Optionen, die ein Benutzer für das Erheben, Verwenden und die Offenlegung seiner bzw. ihrer Daten gemäß hat.

Zum Schutz der Daten seiner Benutzer führt das Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 der DSGVO), benennt einen Datenschutzbeauftragten (DSB), der seine Tätigkeit im Einklang mit der DSGVO ausübt (Artikel 37), führt unter der Aufsicht des DSB eine Datenschutz-Folgenabschätzung (DPIA) durch und schult seine Mitarbeiter im Datenschutz (Artikel 39).

Das Unternehmen formuliert einen Rechtsrahmen für die Verarbeitung personenbezogener Daten, einschließlich sensibler Daten (Artikel 6 und 9), und hat die ausdrückliche Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten (Artikel 7). Es verfügt über die ausdrückliche Zustimmung einer betroffenen Person im Falle einer automatisierten Entscheidungsfindung, einschließlich Profiling (Artikel 22), und hat die Zustimmung des Trägers der elterlichen Verantwortung für ein Kind für die Datenverarbeitung des Kindes, in welchem Fall es angemessene Anstrengungen unternimmt, um zu überprüfen, ob diese Zustimmung von der rechtmäßigen Person gegeben oder genehmigt wurde, unter Berücksichtigung der verfügbaren Technologie (Artikel 8). Zudem hat das Unternehmen im Falle der Übermittlung personenbezogener Daten an Drittländer die ausdrückliche Zustimmung der jeweils betroffenen Person (Artikel 49).

Das Unternehmen ermöglicht es einer betroffenen Person, ihre durch die DSGVO garantierten Rechte wie folgt auszuüben: das Recht auf Erhalt ihrer Daten (Artikel 13 und 14), das Recht auf Zugang (Artikel 15), das Recht auf Berichtigung (Artikel 16), das Recht auf Löschung (Artikel 17), das Recht auf Einschränkung der Verarbeitung (Artikel 18), das Recht auf Datenübertragbarkeit (Artikel 20), das Recht auf Widerspruch (Artikel 21) und das Recht, keiner automatisierten individuellen Entscheidungsfindung, einschließlich Profiling, unterworfen zu werden (Artikel 22).

Das Unternehmen erfüllt die Datenschutzverpflichtungen standardmäßig und durch Konzeption (Artikel 25) und ergreift technische und betriebliche Maßnahmen, die vernünftigerweise erforderlich sind, um Datenlecks und Datenschutzverletzungen zu verhindern (Artikel 32). Es meldet der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden, nachdem es davon Kenntnis erlangt hat (Artikel 33), und teilt einer betroffenen Person eine Verletzung des Schutzes personenbezogener Daten unverzüglich mit, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird (Artikel 34). 


Datenverantwortlicher und Kontaktinformationen

Der Dienstleister und Verantwortliche der personenbezogenen Daten lautet wie folgt:

Sky Labs („das Unternehmen“)

#703, 58, Pangyo-ro 255beon-gil, Bundang-gu, Seongnam-si, Gyeonggi-do, Republik Korea

Der DSB des Unternehmens ist:

Jang Minsoo

+82-1599-3402

privacy@skylabs.io

  • Wenn Sie Fragen zu Ihrem Konto im Allgemeinen, zur Kontaktaufnahme mit dem Kundendienst oder speziell zu dieser Datenschutzrichtlinie oder zu unserer Verwendung Ihrer personenbezogenen Daten, Cookies oder ähnlichen Technologien haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten. Wenn Sie diesbezüglich an uns wenden, müssen wir zu Ihrer und unserer Sicherheit möglicherweise Ihre Identität überprüfen, bevor wir Ihre Anfrage bearbeiten können.


Erhebung und Verwendung personenbezogener Daten

  • Von den Benutzern bereitgestellte personenbezogene Daten: Wir sammeln personenbezogene Daten, die uns von den Benutzern zur Verfügung gestellt werden, darunter:
  • Zum Verifizieren und Authentifizieren der Benutzeridentität: E-Mail-Adresse (ID), Nummer der ärztlichen Zulassung, Name, Geburtsdatum, Name des Krankenhauses, medizinische Abteilung, Fachgebiet, Ländercode.
  • Durch das Unternehmen erstellte oder automatisch gesammelte personenbezogene Daten: Neben den direkt von den Benutzern zur Verfügung gestellten Daten kann das Unternehmen Daten in Verbindung mit den CART–I Web-Diensten erzeugen oder automatisch sammeln.
  • Geräteinformationen wie Aufzeichnungen über die Nutzung von und den Zugang zu Diensten, Überprüfungsaufzeichnungen, Zugangs-IP-Informationen, eindeutige Nummer zur Geräteidentifizierung (Beispiel: Geräte-ID), Betriebssysteminformationen (Land, Sprache), Anwendungsversion usw.
  • Protokollinformationen wie IP-Adresse, Protokolldaten, Nutzungszeit, Internetprotokolladresse, Cookies und Web Beacons usw.
  • Sonstige Informationen wie Präferenzen, besuchte Seiten usw.

Erhebungsmethode

Das Unternehmen erhebt personenbezogene Daten von Benutzern auf folgende Weise (Artikel 6 Absatz 1 Buchstabe a):

  • Erhebung durch Webseiten mit vorheriger Zustimmung der Benutzer

Weitergabe von personenbezogenen Daten

Wir können personenbezogene Daten der Benutzer für bestimmte Zwecke und an Dritte weitergeben, wie im Folgenden beschrieben:

  • Dienstleister: Wir setzen andere Unternehmen, Vertreter oder Auftragnehmer („Dienstleister“) ein, um Dienstleistungen in unserem Namen zu erbringen oder um uns bei der Bereitstellung von Dienstleistungen für Sie zu unterstützen. Beispielsweise beauftragen wir Dienstleister mit der Erbringung von Marketing-, Werbe-, Kommunikations-, Infrastruktur- und IT-Dienstleistungen, der Personalisierung und Optimierung unseres Dienstes, der Abwicklung von Kreditkartentransaktionen oder anderen Zahlungsmethoden, der Erbringung von Kundendienstleistungen, dem Einzug von Forderungen, der Analyse und Verbesserung von Daten (einschließlich Daten über die Interaktionen von Nutzern mit unserem Dienst) sowie der Durchführung und Verwaltung von Verbraucherumfragen. Im Zuge der Erbringung solcher Dienstleistungen können diese Dienstleister Zugang zu Ihren personenbezogenen Daten oder anderen Informationen haben. Wir ermächtigen sie nicht, Ihre personenbezogenen Daten zu verwenden oder weiterzugeben, es sei denn, dies geschieht in Verbindung mit der Erbringung ihrer Dienstleistungen.
  • Partner: In diesem Fall können wir bestimmte Daten an sie weitergeben, um mit ihnen die Erbringung der Dienstleistung für die Mitglieder zu koordinieren und sie über die Verfügbarkeit der Dienstleistung zu informieren.
  • Werbeangebote: Wir können gemeinsame Werbeaktionen oder -programme anbieten, die für Ihre Teilnahme die Weitergabe Ihrer Daten an Dritte erfordern. Bei der Durchführung dieser Art von Werbeaktionen können wir Ihren Namen und andere Daten in Verbindung mit der Erfüllung des Anreizes weitergeben. Bitte beachten Sie, dass diese Drittparteien für ihre eigenen Datenschutzpraktiken verantwortlich sind.
  • Schutz des Unternehmens und anderer: Das Unternehmen und seine Dienstleister können Ihre persönlichen Daten und andere Informationen offenlegen und anderweitig verwenden, wenn wir oder sie vernünftigerweise glauben, dass eine solche Offenlegung erforderlich ist, um (a) geltende Gesetze, Vorschriften, rechtliche Verfahren oder behördliche Anfragen zu erfüllen, (b) geltende Nutzungsbedingungen durchzusetzen, einschließlich der Untersuchung möglicher Verstöße dagegen, (c) illegale oder mutmaßlich illegale Aktivitäten (einschließlich Zahlungsbetrug), Sicherheits- oder technische Probleme aufzudecken, zu verhindern oder anderweitig zu beheben, oder (d) die Rechte, das Eigentum oder die Sicherheit des Unternehmens, seiner Benutzer oder der Öffentlichkeit zu schützen, soweit dies gesetzlich erforderlich oder zulässig ist.
  • Geschäftsübertragungen: Im Zusammenhang mit einer Reorganisation, Umstrukturierung, Fusion oder einem Verkauf oder einer anderen Übertragung von Vermögenswerten werden wir Daten, einschließlich personenbezogener Daten, übertragen, sofern die empfangende Partei sich bereit erklärt, Ihre personenbezogenen Daten in einer Weise zu behandeln, die mit unserer Datenschutzerklärung übereinstimmt.

Wann immer wir im Zuge des Informationsaustauschs personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums und anderer Regionen mit umfassenden Datenschutzgesetzen übertragen, stellen wir sicher, dass die Informationen in Übereinstimmung mit dieser Datenschutzrichtlinie und in Übereinstimmung mit den geltenden Datenschutzgesetzen übertragen werden. Übertragene personenbezogene Daten (z. B. Name und Kontaktinformationen) können auf Servern, die von unseren Dienstleistern betrieben werden, zu Aufzeichnungszwecken und zu anderen Zwecken, wie in dieser Datenschutzrichtlinie dargelegt, elektronisch gespeichert werden.


Notwendigkeit der personenbezogenen Daten

Die von den Benutzern zur Verfügung gestellten personenbezogenen Daten sind für den Dienstleistungsvertrag zwischen einem Benutzer und dem Unternehmen und die reibungslose Erbringung der darin enthaltenen Dienstleistungen erforderlich. Die Benutzer können die Dienste des Unternehmens nur dann nutzen, wenn sie der Erhebung der wesentlichen personenbezogenen Daten zustimmen. Die Benutzer können sich jedoch weigern, optionale personenbezogene Daten anzugeben, in welchem Fall sie die Dienste des Unternehmens mit Ausnahme derjenigen, die die Angabe optionaler personenbezogener Daten erfordern, weiterhin nutzen können.

Übermittlung personenbezogener Daten an Drittländer

Das Unternehmen kann die personenbezogenen Daten der Benutzer an Unternehmen in anderen Ländern oder an andere Unternehmen zu den in dieser Richtlinie genannten Zwecken übermitteln. Das Unternehmen ergreift gegenüber den Unternehmen, an die die personenbezogenen Daten übermittelt, gespeichert oder verarbeitet werden, angemessene Maßnahmen zum Schutz der Daten.

Insbesondere überträgt das Unternehmen alle personenbezogenen Daten, die von den Benutzern zur Verfügung gestellt oder vom Unternehmen automatisch erfasst werden, an einen Server in Deutschland und überträgt sie dann wieder in die Republik Korea. Die Republik Korea hat keinen Angemessenheitsbeschluss von der Europäischen Kommission erhalten und die Gesetze der Republik Korea sehen nicht alle Rechte der betroffenen Personen und die Grundsätze der Datenverarbeitung vor, wie sie in der DSGVO definiert sind. Das Unternehmen hält sich jedoch mit dieser Datenschutzrichtlinie vollständig an die DSGVO und die Benutzer haben Anspruch auf alle auf der DSGVO basierenden Schutzmaßnahmen.

Auf der Grundlage des oben genannten Erklärung kann das Unternehmen die personenbezogenen Daten der Benutzer in die Republik Korea übermitteln, nachdem es die ausdrückliche Zustimmung zur Übermittlung personenbezogener Daten in Drittländer eingeholt hat (Artikel 49 Absatz 1 Buchstabe a).

Welche personenbezogenen Daten übermittelt werden

Alle vom Benutzer bereitgestellten oder automatisch durch das Unternehmen gesammelten personenbezogenen Daten

Empfängerland

Die Republik Korea

Wo, wann und wie Ihre personenbezogenen Daten übertragen werden

Wenn personenbezogene Daten gesammelt werden, werden sie in einem Cloud-Dienst gespeichert

Wer ein Empfänger ist

Amazon Web Services, Inc.

Warum der Empfänger personenbezogene Daten verwendet

Zum Bereitstellen des Cloud-Dienstes

Wie lange der Empfänger die personenbezogenen Daten speichert und verwendet

Bis zur Beendigung der Bereitstellung von Cloud-Diensten und des Konsignationsvertrags


Rechte der Benutzer

Die Benutzer oder ihre gesetzlichen Vertreter können als betroffene Personen die folgenden Rechte in Bezug auf die Erhebung, Verwendung und Weitergabe personenbezogener Daten durch das Unternehmen ausüben:

  • Recht auf Widerruf der vorherigen Einwilligung (Artikel 7 Absatz 3)
  • Recht auf Zugang durch die betroffene Person (Artikel 15);
  • Recht auf Berichtigung (Artikel 16)
  • Recht auf Löschung („Recht auf Vergessenwerden“) (Artikel 17)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18)
  • Recht auf Datenübertragbarkeit (Artikel 20)
  • Recht auf Widerspruch (Artikel 21)
  • Rechte im Zusammenhang mit der automatisierten individuellen Entscheidungsfindung, einschließlich Profiling (Artikel 22)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77)

Um eines der vorgenannten Rechte auszuüben, können die Benutzer das Menü „Profil bearbeiten“ in der CART-I-Webseite verwenden oder einen schriftlichen Antrag an das Unternehmen (oder den DSB bzw. dessen Beauftragten) unter Verwendung des vom Unternehmen bereitgestellten Formulars für den Antrag auf Datenerhebung stellen. In einem solchen Fall wird das Unternehmen unverzüglich entsprechende Maßnahmen ergreifen; allerdings kann das Unternehmen einen solchen Antrag ablehnen, wenn und soweit gesetzlich vorgeschriebene oder gleichwertige angemessene Gründe vorliegen.

Auf Antrag einer betroffenen Person muss das Unternehmen die folgenden Maßnahmen ergreifen:

  • Maßnahmen im Zusammenhang mit einer Anfrage erst nach Überprüfung der Identität der betroffenen Person (oder ihres gesetzlichen Vertreters) ergreifen;
  • Die betroffene Person fragen, ob sie die Informationen in schriftlicher Form wünscht oder ob sie sie in elektronischer Form akzeptiert;
  • Einen Standardprozess für das Unternehmen haben, um alle relevanten Systeme effektiv zu überprüfen und mit anderen Abteilungen zu kommunizieren;
  • Eine betroffene Person benachrichtigen, wenn es keine Informationen gibt, die sie angefordert hat;
  • Angemessene Kriterien formulieren, um zu entscheiden, ob personenbezogene Daten zu korrigieren oder weiterzugeben sind, wenn die von einer betroffenen Person angeforderten personenbezogenen Daten Informationen über andere Personen enthalten; vorausgesetzt jedoch, dass solche Daten weitergegeben werden können, wenn die anderen Personen ausdrücklich ihre Zustimmung dazu geben. Das Unternehmen sollte die Auswirkungen einer solchen Weitergabe und die mögliche Verletzung der personenbezogenen Daten anderer Personen abwägen, wenn keine ausdrückliche Zustimmung vorliegt; in diesem Fall sollte es die Gründe für eine solche Weitergabe dokumentieren;
  • Maßnahmen gemäß dem Ersuchen einer betroffenen Person in einer für sie verständlichen Weise ergreifen, einschließlich der Anforderungen gemäß Artikel 15;
  • Kein Übermittlungssystem bereitstellen, das nachverfolgbar ist, wenn einer betroffenen Person die von ihr gewünschten Informationen zur Verfügung gestellt werden. Diese Informationen sollten auf sichere elektronische Weise weitergegeben werden, wenn dies mit der betroffenen Person individuell vereinbart wurde; oder
  • Die Maßnahmen dokumentieren, die auf Antrag einer betroffenen Person ergriffen wurden.

Auch die Benutzer oder ihre gesetzlichen Vertreter haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Artikel 13 Absatz 2 und Artikel 14 Absatz 2 Buchstabe e).


Sicherheit

Das Unternehmen nimmt die Sicherheit der personenbezogenen Daten ernst. Es hat folgende Sicherheitsmaßnahmen getroffen, um den unbefugten Zugriff auf personenbezogene Daten oder deren Weitergabe, Verwendung oder Veränderung zu verhindern (Artikel 32). 

  • Formulierung von Gegenmaßnahmen gegen Hackerangriffe
  • Installation eines Systems in dem Bereich, indem der Zugang von außen streng eingeschränkt ist, um zu verhindern, dass personenbezogene Daten der Nutzer durch Hackerangriffe oder Computerviren nach außen dringen oder beschädigt werden
  • Erstellung und Umsetzung interner Managementpläne
  • Durchführung regelmäßiger interner Audits (halbjährlich) zur sicheren Verarbeitung personenbezogener Daten
  • Geringhalten der Anzahl und Schulen der Mitarbeiter, die personenbezogene Daten verarbeiten
  • Installation und Anwendung von Zugangskontrollsystemen
  • Ergreifen der erforderlichen Maßnahmen, um den Zugang zu personenbezogenen Daten zu beschränken, z. B. Gewähren, Ändern oder Beenden des Rechts auf Zugang zum Datenbanksystem für die Verarbeitung personenbezogener Daten
  • Aufbewahren von Dokumenten, Speichermedien usw., die personenbezogene Daten enthalten, an einem sicheren Ort mit einem Schloss
  • Bestimmen eines physischen Ortes für die Speicherung bzw. Aufbewahrung personenbezogener Daten, um den Zugang für Unbefugte zu beschränken, und Einrichtung und Anwendung eines solchen Zugangskontrollverfahrens
  • Installation und Anwendung einer unternehmensweiten DLP-Lösung
  • Ergreifen von Maßnahmen, um die Fälschung oder Änderung von Zugriffsaufzeichnungen zu verhindern und Protokollaufzeichnungen durch die Installation von Endpoint Protector, einem Sicherheitsprogramm, zu speichern und zu sammeln.


Eskalation von Datenschutzverletzungen und Checkliste

In den Artikeln 33 und 34 ist festgelegt, dass der für die Verarbeitung Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde unverzüglich über die Verletzung des Schutzes personenbezogener Daten unterrichten und die betroffene Person über die Verletzung des Schutzes personenbezogener Daten informieren muss. Zu diesem Zweck ergreift das Unternehmen Maßnahmen in Bezug auf die Verletzung des Schutzes personenbezogener Daten vor und nach dem Auftreten eines solchen Vorfalls gemäß der folgenden Checkliste:

  • Vorbereitung auf eine Datenverletzung
  • Vorbereiten einer Methode zum Erkennen einer Datenschutzverletzung;
  • Ausarbeiten eines detaillierten Reaktionsplans für den Umgang mit einer möglichen Verletzung des Schutzes personenbezogener Daten;
  • Zuweisen der Verantwortung für den Umgang mit Datenschutzverletzungen an eine bestimmte Person oder ein Team; und
  • Schulung der Mitarbeiter, damit sie wissen, wie sie einen Sicherheitsvorfall an die entsprechende Person oder das entsprechende Team in ihrer Organisation weiterleiten können, die bzw. das feststellen kann, ob eine Datenschutzverletzung vorliegt
  • Reaktion auf eine Datenschutzverletzung
  • Einrichtung eines Verfahrens zur Bewertung des wahrscheinlichen Risikos für die betroffenen Personen als Folge einer Datenschutzverletzung;
  • Einrichtung eines internen Verfahrens zur Benachrichtigung des Information Commissioner’s Office (ICO) über eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Verletzung;
  • Vorhandensein eines Formulars zum Melden von Datenschutzverletzungen, das bei der Aufsichtsbehörde ICO einzureichen ist, wenn es zu einer Datenschutzverletzung kommt;
  • Vorhandensein eines Verfahrens, mit dem die Verletzung des Schutzes personenbezogener Daten den betroffenen Personen unverzüglich mitgeteilt wird;
  • Kenntnis darüber, welche Informationen über eine Datenschutzverletzung das Unternehmen den betroffenen Personen zur Verfügung stellen muss, und Beratung derselben, damit sie sich vor den Auswirkungen der Verletzung schützen können; und
  • Dokumentieren aller Verletzungen
  • Verfahren zur Meldung und Benachrichtigung bei Datenschutzverletzungen
  • Benachrichtigung der zuständigen Aufsichtsbehörde über eine Datenschutzverletzung innerhalb von 72 Stunden, nachdem das Unternehmen davon Kenntnis erlangt hat;
  • Direkte Kontaktaufnahme mit den von einer Verletzung betroffenen Personen, wenn diese wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt; und
  • Vorhandensein eines Formulars für die Benachrichtigung der Aufsichtsbehörde über eine Datenschutzverletzung und eines Formulars für die Benachrichtigung der betroffenen Person über eine Datenschutzverletzung.


Kinder

Die CART-I Web ist für Erwachsene über 19 Jahren konzipiert und richtet sich nicht an Kinder. Wenn das Unternehmen jedoch erfährt, dass personenbezogene Daten von Kindern über die CART-I Web erfasst wurden, wird es die entsprechenden Schritte unternehmen, um diese Daten zu löschen.

Wenn das Unternehmen allerdings für die Erbringung seiner Dienstleistungen personenbezogene Daten von Kindern sammelt, wird es die folgenden Verfahren zum Schutz der personenbezogenen Daten von Kindern einhalten (Artikel 8):

  • Überprüfen, ob ein Kind der Zustimmung des Erziehungsberechtigten unterliegt und dieser im Rahmen angemessener Bemühungen befugt ist;
  • Einholen der Zustimmung der Eltern oder des Erziehungsberechtigten des Kindes zur Erhebung der personenbezogenen Daten des Kindes oder zur direkten Bereitstellung von Produktinformationen und Dienstleistungen des Unternehmens an das Kind;
  • Informieren der Eltern oder Erziehungsberechtigten über die Datenschutzrichtlinie des Unternehmens für Kinder, einschließlich der Gegenstände, des Zwecks und der Offenlegung der gesammelten personenbezogenen Daten;
  • Dem gesetzlichen Vertreter eines Kindes das Recht gewähren, auf die personenbezogenen Daten des Kindes zuzugreifen, sie zu berichtigen oder zu löschen oder die Verarbeitung vorübergehend auszusetzen oder die vorherige Zustimmung des Vertreters zu widerrufen; und
  • Beschränken der Erhebung personenbezogener Daten auf den Umfang, der ausschließlich für die Teilnahme an Online-Aktivitäten erforderlich ist


Profiling

Das Unternehmen kann die personenbezogenen Daten der Benutzer verwenden, um individuelle oder kollektive Profile zu erstellen (im Folgenden als „Profiling“ bezeichnet), um herauszufinden, wie den Benutzern bessere Dienste angeboten werden können, z. B. um den Benutzern maßgeschneiderte Inhalte von Diensten bereitzustellen, indem analysiert wird, welcher Aspekt des Unternehmens und/oder der Dienste die Benutzer am meisten anzieht und nach welchem Muster die Benutzer die Dienste nutzen. Darüber hinaus verwendet das Unternehmen die personenbezogenen Daten zu folgenden Zwecken: zur Erstellung von Benutzerclustern, um das Interesse der Benutzer an den Produkten und/oder Dienstleistungen des Unternehmens zu ermitteln; zur Marktanalyse und für statistische Zwecke; zur Verbesserung der Dienstleistungen des Unternehmens (alle Webseiten usw.). Die Verarbeitung personenbezogener Daten für Profiling-Zwecke erfolgt unter Einhaltung der Garantien und Maßnahmen des geltenden Rechts (Artikel 22).  


Datenaufbewahrungsrichtlinie

Um die Daten der Benutzer zu schützen, hält sich das Unternehmen an den Grundsatz der Datenminimierung, wonach die Verarbeitung personenbezogener Daten angemessen und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein muss (Artikel 5 Absatz 1 Buchstabe c). Zu diesem Zweck hält sich das Unternehmen an die folgende Aufbewahrungsrichtlinie:

  • Alle vom Unternehmen verarbeiteten personenbezogenen Daten unterliegen den Aufbewahrungsrichtlinien für Mitglieder des Unternehmens und sind durch diese geschützt.
  • Personenbezogene Daten werden nicht länger aufbewahrt, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das Unternehmen vernichtet die personenbezogenen Daten unverzüglich, sobald der Benutzer sein Konto in der CART-I Web löscht. Die personenbezogenen Daten können jedoch länger aufbewahrt werden, sofern die personenbezogenen Daten ausschließlich zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, und zwar unter der Voraussetzung, dass die geeigneten technischen und organisatorischen Maßnahmen ergriffen werden, die nach dieser Verordnung erforderlich sind, um die Rechte und Freiheiten der betroffenen Person zu schützen (Artikel 5 Absatz 1 Buchstabe e);
  • Das Unternehmen hält sich an die im Abschnitt „Sicherheit“ dieser Datenschutzrichtlinie dargelegten Methoden zur Löschung physischer und digitaler Daten;
  • Der Datenschutzbeauftragte legt strenge Aufbewahrungsfristen für die Speicherung der personenbezogenen Daten der Nutzer fest und bewahrt die Daten nicht länger auf, als es für die Daten erforderlich ist. Das Unternehmen überwacht die Einhaltung der Aufbewahrungsfristen regelmäßig und löscht die Daten, wenn sie nicht mehr benötigt werden, auf sichere Weise (gemäß Artikel 39);
  • Das Unternehmen sieht eine regelmäßige Überprüfung der gespeicherten Daten vor, um festzustellen, ob die Daten noch benötigt werden;
  • Das Unternehmen vernichtet unverzüglich besonders sensible Daten wie Daten über die sexuelle Orientierung, die ethnische Herkunft, den Glauben, die Gesundheit usw. und bewahrt die Daten nicht länger als erforderlich auf;
  • Das Unternehmen ergreift unverzüglich die im Abschnitt „Rechte der Benutzer“ dieser Datenschutzrichtlinie genannten Maßnahmen, wenn ein Benutzer von seinem durch die DSGVO garantierten Recht als betroffene Person Gebrauch macht;
  • Das Unternehmen hält sich an die einschlägigen Vorschriften wie DSGVO usw. in Bezug auf die Aufbewahrung der personenbezogenen Daten der Benutzer;
  • Das Unternehmen stellt sicher, dass alle Mitarbeiter über die in dieser Datenschutzrichtlinie und der DSGVO vorgeschriebene Datenaufbewahrungspolitik informiert sind;
  • Das Unternehmen legt diese Datenschutzrichtlinie fest, indem es eine DSGVO-Datenaufbewahrungsrichtlinie dokumentiert. Diese Datenschutzrichtlinie muss im Falle eines Audits oder einer Untersuchung einer Beschwerde eines Benutzers oder eines Mitarbeiters möglicherweise den Aufsichtsbehörden vorgelegt werden; und
  • Diese Datenschutzrichtlinie kann als Nachweis dafür verwendet werden, dass das Unternehmen die Anforderungen der DSGVO erfüllt.

Datenschutzrichtlinie in Bezug auf die Mitarbeiter des Unternehmens

Das Unternehmen schult und überwacht die Mitarbeiter, einschließlich der Personalabteilung, die mit den personenbezogenen Daten der Mitarbeiter des Unternehmens umgehen, nicht nur im Umgang mit den personenbezogenen Daten der Benutzer, sondern auch mit den personenbezogenen Daten der Mitarbeiter in Übereinstimmung mit der DSGVO (Artikel 39). Das Unternehmen dokumentiert die Aufzeichnungen, die alle schulungsbezogenen Inhalte für die Mitarbeiter verwalten (Datum, Uhrzeit, Liste der Themen, Liste der Teilnehmer, Inhalt der Schulung, Thema der Schulung, Rolle des DSB).

Das Unternehmen stellt seinen Mitarbeitern diese Datenschutzrichtlinie entweder in Papierform oder elektronisch zur Verfügung. Mitarbeiter, die personenbezogene Daten verarbeiten, haben das Recht, den Arbeitgeber zu bitten, unrichtige Angaben zu diesen personenbezogenen Daten zu korrigieren.

 
Änderung der Datenschutzrichtlinie

Das Unternehmen hat das Recht, diese Datenschutzrichtlinie von Zeit zu Zeit zu ergänzen oder zu ändern; in diesem Fall wird das Unternehmen eine öffentliche Bekanntmachung über die Pinnwand der CART-I Web (oder durch eine individuelle Bekanntmachung in schriftlicher Form oder per Fax oder E-Mail) vornehmen und die Zustimmung der Benutzer einholen, sofern dies gesetzlich vorgeschrieben ist.


Cookies und Internetwerbung

Das Unternehmen kann kollektive unpersönliche Daten durch „Cookies“ oder „Web Beacons“ sammeln.

Bei Cookies handelt es sich im Wesentlichen um kleine Textdateien, die vom Server, der für den Betrieb der Webseiten des Unternehmens verwendet wird, an den Browser der Benutzer gesendet und auf den Festplatten der Computer der Benutzer gespeichert werden.

Web Beacons sind eine kleine Menge an Code, die auf Webseiten und in E-Mails vorhanden sind. Durch das Verwenden von Web Beacons können wir erkennen, ob ein Benutzer mit bestimmten Webseiten oder dem Inhalt von E-Mails interagiert hat.

Diese Funktionen werden für die Bewertung, Verbesserung der Dienstleistungen und die Anpassung der Benutzererfahrung verwendet, damit das Unternehmen den Benutzern verbesserte Dienstleistungen anbieten kann.

Die vom Unternehmen gesammelten Cookies und der Zweck dieser Erhebung lauten wie folgt:

  • Erforderliche Cookies: Diese Art von Cookies ist unabdingbar, damit die Benutzer die Funktionen der Webseite des Unternehmens nutzen können. Dienste wie der Warenkorb oder die elektronische Bezahlung von Rechnungen können einem Benutzer nur dann zur Verfügung gestellt werden, wenn er diese Cookies akzeptiert. Diese Cookies sammeln keine Daten, die für Marketingzwecke verwendet werden können, und speichern auch nicht die von den Benutzern besuchten Seiten.
  • Zum Speichern der in ein Bestellformular eingegebenen Daten, während andere Webseiten während der Webbrowser-Sitzung durchsucht werden
  • Zum Speichern der gekauften Dienste für die Produkt-Webseite und die Kasse
  • Zum Überprüfen, ob sich ein Benutzer auf der Webseite anmeldet
  • Zum Sicherzustellen, dass ein Benutzer mit einem korrekten Dienst auf der Webseite des Unternehmens verbunden ist, wenn das Unternehmen Änderungen am Betrieb der Webseite des Unternehmens
  • Zum Verbinden der Benutzer mit einer bestimmten Anwendung oder einem Server der Dienste
  • Leistungs-Cookies: Diese Art von Cookies sammelt Daten darüber, wie die Benutzer die Webseite des Unternehmens nutzen, z. B. die von den Benutzern am häufigsten besuchten Seiten. Solche Daten helfen dem Unternehmen, seine Webseite zu optimieren, damit die Benutzer bequemer auf seiner Webseite suchen können. Solche Cookies sammeln keine Daten zur Identifizierung der Benutzer. Alle Daten, die durch diese Art von Cookies gesammelt werden, sind anonym, da die Daten kollektiv verarbeitet werden.
  • Webanalyse: Zum Erhalten statistischer Daten über die Nutzung der Webseite;
  • Werbereaktionsgebühr: Zum Bestätigen der Wirkung der Werbung des Unternehmens;
  • Nachverfolgen von Affiliates: Zum Bereitstellen der Rückmeldung anonymer Daten an Affiliates des Unternehmens, dass einer der Besucher der Webseite des Unternehmens die Webseite eines Affiliates besucht hat;
  • Fehlermanagement: zur Identifizierung von Fehlern, die aufgetreten sind, um die Webseite des Unternehmens zu verbessern; oder
  • Designtests: zum Testen anderer Designs der Webseite des Unternehmens
  • Funktionale Cookies: Diese Art von Cookies wird verwendet, um die Einstellungen zu speichern, um Dienste anzubieten und die Benutzererfahrung zu verbessern. Keine der von diesen Cookies gesammelten Daten identifiziert einzelne Benutzer.
  • Zum Speichern geänderter Einstellungen wie Layout, Textgröße, Grundeinstellung und Farben; oder
  • Zum Speichern der vom Unternehmen durchgeführten und von den Benutzern ausgefüllten Umfrage
  • Ziel-Cookies: Diese Art von Cookies steht in Verbindung mit den von Dritten bereitgestellten Diensten, wie z. B. den Schaltflächen für „Gefällt mir“ und „Teilen“. Der Drittanbieter erkennt den Besuch des Benutzers auf der Webseite des Unternehmens, um diese Dienste anzubieten.
  • Um sozialen Netzwerken, die mit solchen Cookies verbunden sind, die Möglichkeit zu geben, die Informationen über den Besuch der Benutzer zu verwenden und so die Werbung auf die Benutzer auszurichten; oder
  • Um die Informationen über den Besuch der Benutzer an Werbeagenturen weiterzugeben, damit diese maßgeschneiderte Werbung vorschlagen können, die das Interesse der Benutzer wecken kann

Die Benutzer haben die Möglichkeit, Cookies zu installieren: alle Cookies zu akzeptieren, jedes Cookie zu bestätigen, wenn es gespeichert wird, oder die Speicherung aller Cookies abzulehnen: Dies geschieht unter der Voraussetzung, dass eine solche Verweigerung den Benutzer in der Nutzung von Teilen der vom Unternehmen angebotenen Dienste einschränken kann.

Das letzte Aktualisierungsdatum: 01  November, 2021