Datenschutzpolitik
DATENSCHUTZPOLITIK
November 20, 2021
Es ist wichtig, dass Sie sich die Zeit nehmen, sich mit den allgemeinen Aspekten des Datenschutzes, die in dieser Richtlinie enthalten sind, sowie mit den spezifischen Maßnahmen vertraut zu machen, die von Ihrer Abteilung empfohlen werden und die für die besondere Art Ihrer Arbeit relevant sind. Weitere Informationen und Ratschläge erhalten Sie vom Datenschutzbeauftragten.
Gaëtan Bio
Chemin du Creux-Bechet 6, 1096 Villette, Schweiz T: +41 (0)79 847 91 55
EINFÜHRUNG
Im Rahmen unserer täglichen Arbeit erstellen, sammeln, speichern und verarbeiten wir große Mengen von Daten über eine Vielzahl von betroffenen Personen, z. B. über Mitarbeiter, Lieferanten und Mitglieder der Öffentlichkeit. Unsere Verwendung personenbezogener Daten reicht von der Verarbeitung der Angaben der Website-Benutzer während ihrer gesamten Reise, von der Registrierung bis zur effektiven Nutzung der verschiedenen Funktionen auf der Plattform My Eco Best Friend, bis zum GPS-Tracker für die Öko-Mobilität oder zu finanziellen Transaktionen im Zusammenhang mit dem Einkauf im Öko-Shop, unabhängig davon, ob wir dies elektronisch oder mit Papier in Aktenschränken tun.
Da unsere Datenerfassung und -verwendung weiter zunimmt und wir den Datenschutz immer ernster nehmen, ist es wichtiger denn je, dass jedes Mitglied des Unternehmens My Eco Best Friend die Gesetze zum Datenschutz und unsere Verantwortung für die Sicherung und Verarbeitung von Daten im Einklang mit diesen Gesetzen versteht.
SCOPE
Die Richtlinie gilt für alle Mitarbeiter von My Eco Best Friend und alle anderen von My Eco Best Friend autorisierten Computer- und Netzwerkbenutzer. Sie bezieht sich auf die Nutzung aller Einrichtungen von My Eco Best Friend, auf alle privaten Systeme, die mit dem My Eco Best Friend-Netz verbunden sind, auf alle Daten und Programme, die im Besitz von My Eco Best Friend sind oder von My Eco Best Friend lizenziert wurden (unabhängig davon, wo sie gespeichert sind), und auf alle Daten und Programme, die My Eco Best Friend von Dritten zur Verfügung gestellt wurden (unabhängig davon, wo sie gespeichert sind). Die Richtlinie bezieht sich auch auf Akten und Aufzeichnungen in Papierform, die für die Zwecke von My Eco Best Friend erstellt wurden.
Diese Richtlinie umfasst die international anerkannten Datenschutzgrundsätze, die von der EU-Datenschutz-Grundverordnung (DSGVO) abgedeckt werden, ohne die bestehende nationale Richtlinie zu ersetzen. Besteht Grund zu der Annahme, dass rechtliche Verpflichtungen im Widerspruch zu den Pflichten aus dieser Richtlinie stehen, muss der Datenschutzbeauftragte informiert werden.
ZENTRALE DEFINITIONEN
Zustimmung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person durch eine Erklärung oder eine andere eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck bringt. Die Datenschutz-Grundverordnung stellt klar, dass Schweigen, angekreuzte Kästchen oder Inaktivität keine Einwilligung darstellen.
Datenkontrolleur ist das rechtlich unabhängige Unternehmen der My Eco Best Friend-Gruppe, dessen Geschäftstätigkeit die Mittel und den Zweck der jeweiligen Verarbeitungsmaßnahme bestimmt.
Datenverarbeiter bezeichnet die Stelle, die Daten für den für die Verarbeitung Verantwortlichen verarbeitet.
Gegenstand der Daten ist jede natürliche Person, deren Daten verarbeitet werden können. In einigen Ländern können auch juristische Personen betroffene Personen sein.
GDPR bezeichnet die EU-Datenschutzgrundverordnung 2016/679.
Persönliche Daten bezeichnet die Informationen, die My Eco Best Friend über eine betroffene Person besitzt und die diese Person identifizieren oder identifizieren könnten, wenn sie mit anderen Daten kombiniert werden, die My Eco Best Friend entweder besitzt oder wahrscheinlich erhalten wird.
Verarbeitung umfasst das Einholen/Sammeln, Aufzeichnen, Bereithalten, Speichern, Organisieren, Anpassen, Abgleichen, Kopieren, Übertragen, Kombinieren, Sperren, Löschen und Vernichten von Informationen oder Daten, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht. Dazu gehört auch die Durchführung von Vorgängen oder einer Reihe von Vorgängen mit den Informationen oder Daten, einschließlich des Abrufs, der Abfrage, der Nutzung und der Weitergabe. Alle Handlungen an personenbezogenen Daten sind als Datenverarbeitung zu betrachten.
Sensible personenbezogene Daten sind Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder die Gesundheit und sexuelle Ausrichtung der betroffenen Person. Darüber hinaus können Daten, die sich auf eine Straftat beziehen, oft nur unter besonderen Voraussetzungen nach nationalem Recht verarbeitet werden.
Mein bester Öko-Freund bedeutet My Eco Best Friend Sàrl. Das Unternehmen hat keine Tochtergesellschaften.
ALLGEMEINE GRUNDSÄTZE
My Eco Best Friend ist verantwortlich für den Nachweis, dass personenbezogene Daten jederzeit verfügbar sind:
rechtmäßig, fair und auf transparente Weise verarbeitet werden
nur für festgelegte, eindeutige und rechtmäßige Zwecke aufbewahrt und nicht in einer mit diesen Zwecken unvereinbaren Weise verwendet oder weitergegeben werden
angemessen, sachdienlich und nicht übermäßig im Verhältnis zum Zweck, für den sie
genau und auf dem neuesten Stand sein.
nicht länger aufbewahrt werden, als es für die jeweilige Situation erforderlich ist
in Übereinstimmung mit dem Willen der betroffenen Person verarbeitet
sicher aufbewahrt und nicht außerhalb des Gebiets des Europäischen Wirtschaftsraums (EWR) und der Schweiz übermittelt werden, ohne dass ein angemessenes Schutzniveau gewährleistet ist.
ZUVERLÄSSIGKEIT DER DATENVERARBEITUNG
Die Verarbeitung personenbezogener Daten ist nur auf einer der folgenden Rechtsgrundlagen zulässig. Eine dieser Rechtsgrundlagen ist auch erforderlich, wenn der Zweck der Verarbeitung der personenbezogenen Daten gegenüber dem ursprünglichen Zweck geändert werden soll.
Persönliche Daten der Mitarbeiter
Datenverarbeitung für das Arbeitsverhältnis In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, wenn dies für die Anbahnung, Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist. Bei der Anbahnung eines Arbeitsverhältnisses können die personenbezogenen Daten der Bewerber verarbeitet werden. Wird der Bewerber abgelehnt, müssen seine Daten unter Einhaltung der vorgeschriebenen Aufbewahrungsfrist gelöscht werden, es sei denn, der Bewerber hat eingewilligt, für ein künftiges Auswahlverfahren in der Akte zu bleiben. Die Zustimmung ist auch erforderlich, um die Daten für weitere Bewerbungsverfahren zu verwenden oder bevor die Bewerbung an andere My Eco Best Friend-Kontakte weitergegeben wird. Sollte es während des Bewerbungsverfahrens erforderlich sein, Informationen über einen Bewerber von einem Dritten einzuholen, muss die Zustimmung der betroffenen Person eingeholt werden.
Daten Verarbeitung gemäß zu gesetzliche Bestimmungen TDie Verarbeitung personenbezogener Beschäftigtendaten ist auch dann zulässig, wenn eine geltende Rechtsvorschrift dies verlangt, vorschreibt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die rechtlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Besteht ein gesetzlicher Spielraum, so sind die schutzwürdigen Interessen des Arbeitnehmers zu berücksichtigen.
Datenverarbeitung aufgrund eines berechtigten Interesses Personenbezogene Daten können auch verarbeitet werden, wenn dies zur Durchsetzung eines berechtigten Interesses von My Eco Best Friend erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Geltendmachung, Durchsetzung oder Abwehr von Rechtsansprüchen) oder organisatorischer bzw. finanzieller Art (z. B. Bewertung von Unternehmen). Vor der Verarbeitung von Daten muss festgestellt werden, ob ein berechtigtes Interesse von My Eco Best Friend gegenüber den Interessen oder Rechten der betroffenen Person überwiegt, denn wenn dies der Fall ist, sollten wir die personenbezogenen Daten nicht auf dieser Grundlage verarbeiten. Das berechtigte Interesse von My Eco Best Friend und etwaige Interessen der betroffenen Person müssen ermittelt und dokumentiert werden, bevor Maßnahmen ergriffen werden.
Einwilligung in die Datenverarbeitung Beschäftigtendaten können mit Zustimmung der betroffenen Personen verarbeitet werden. Die Einwilligungserklärungen müssen freiwillig abgegeben werden. Eine unfreiwillige Einwilligung ist unwirksam. Vor der Erteilung der Einwilligung muss die betroffene Person gemäß dieser Richtlinie informiert werden. Die Einwilligungserklärung muss schriftlich oder elektronisch zu Dokumentationszwecken eingeholt werden.
Verarbeitung von sensiblen personenbezogenen Daten Sensible personenbezogene Daten dürfen nur unter bestimmten Bedingungen verarbeitet werden. Die Verarbeitung muss nach nationalem Recht ausdrücklich erlaubt oder vorgeschrieben sein. Darüber hinaus kann die Verarbeitung zulässig sein, wenn sie für die zuständige Behörde erforderlich ist, um ihre Rechte und Pflichten im Bereich des Arbeitsrechts zu erfüllen. Der Arbeitnehmer kann auch ausdrücklich in die Verarbeitung einwilligen. Wenn die Verarbeitung sensibler personenbezogener Daten geplant ist, muss der Datenschutzbeauftragte informiert werden.
Automatisierte Entscheidungen Werden im Rahmen des Beschäftigungsverhältnisses personenbezogene Daten automatisiert verarbeitet und bestimmte personenbezogene Angaben ausgewertet (z.B. im Rahmen des Einstellungsverfahrens oder der Bewertung von Qualifikationsprofilen), so darf diese automatisierte Verarbeitung nicht die alleinige Grundlage für Entscheidungen sein, die negative Folgen für die Betroffenen haben würden. Um Fehlentscheidungen zu vermeiden, muss das automatisierte Verfahren sicherstellen, dass eine natürliche Person den Sachverhalt inhaltlich bewertet und dass diese Bewertung die Grundlage für die Entscheidung ist. Außerdem muss die betroffene Person über den Sachverhalt und die Ergebnisse automatisierter Einzelentscheidungen informiert werden und die Möglichkeit haben, darauf zu reagieren. My Eco Best Friend muss außerdem sicherstellen, dass jedes Profiling und jede automatisierte Entscheidungsfindung in Bezug auf eine betroffene Person auf der Grundlage korrekter Daten erfolgt.
Telekommunikation und Internet Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden von My Eco Best Friend in erster Linie für arbeitsbezogene Aufgaben bereitgestellt. Sie sind ein Hilfsmittel und können im Rahmen der geltenden gesetzlichen Bestimmungen und der internen My Eco Best Friend-Richtlinien, einschließlich der Informationstechnologie-Richtlinie, genutzt werden. Es findet keine allgemeine Überwachung der Telefon- und E-Mail-Kommunikation oder der Intranet-/Internetnutzung statt. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder einzelne Nutzer können Schutzmaßnahmen für die Verbindungen zum My Eco Best Friend-Netz implementiert werden, die technisch schädliche Inhalte blockieren oder die Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefonanlagen, E-Mail-Adressen, Intranet/Internet und internen sozialen Netzwerken zeitlich befristet protokolliert werden. Auswertungen dieser Daten einer bestimmten Person können nur in einem konkreten, begründeten Fall von vermuteten Verstößen gegen Gesetze oder Richtlinien von My Eco Best Friend vorgenommen werden. Die Auswertungen können nur von den ermittelnden Dienststellen unter Wahrung des Grundsatzes der Verhältnismäßigkeit durchgeführt werden. Die einschlägigen nationalen Gesetze müssen in gleicher Weise beachtet werden wie die My Eco Best Friend-Vorschriften.
Personenbezogene Daten Dritter (einschließlich Website-Nutzer, Lieferanten, Sponsoren, Partner...)
Datenverarbeitung im Rahmen eines Vertragsverhältnisses Personenbezogene Daten von Nutzern der Website, Sponsoren, Lieferanten und Partnern können verarbeitet werden, um einen Vertrag zu schließen, auszuführen und zu beenden. Im Vorfeld eines Vertrags - in der Phase der Vertragsanbahnung - können personenbezogene Daten verarbeitet werden, um Bestellungen vorzubereiten oder andere Anfragen der betroffenen Person zu erfüllen, die sich auf Vertragsanforderungen beziehen.
Einwilligung in die Datenverarbeitung Die Daten können nach Einwilligung der betroffenen Person verarbeitet werden. Vor der Erteilung der Einwilligung muss die betroffene Person gemäß dieser Richtlinie informiert werden. Die Einwilligungserklärung muss schriftlich oder elektronisch eingeholt werden, da die Erteilung der Einwilligung dokumentiert werden muss. Die Einwilligung muss von der Person eingeholt werden, die die elterliche Verantwortung für das Kind trägt. Das Alter, ab dem eine Person als Kind bezeichnet wird, variiert je nach nationalem Recht zwischen 13 und 16 Jahren.
Datenverarbeitung zu Werbezwecken In der Regel sendet My Eco Best Friend kein Werbe- oder Direktmarketing-Material über digitale Kanäle wie Mobiltelefone, E-Mail und das Internet an My Eco Best Friend-Kontakte, ohne vorher deren Zustimmung einzuholen. Wenn die betroffene Person My Eco Best Friend kontaktiert, um Informationen anzufordern (z. B. um Informationsmaterial über Kurse zu erhalten), ist die Datenverarbeitung zur Erfüllung dieser Anfrage jedoch zulässig. Bei der Kommunikation mit der betroffenen Person ist deren Einwilligung in die Verarbeitung der Daten zu Werbezwecken einzuholen, und die betroffenen Personen müssen die Möglichkeit haben, sich jederzeit aus den für Direktmarketingzwecke verwendeten Listen oder Datenbanken zu streichen (z. B. Abmeldelink). Lehnt die betroffene Person die Verwendung ihrer Daten zu Werbezwecken ab, dürfen diese nicht mehr für diese Zwecke verwendet werden und müssen für die Verwendung zu diesen Zwecken gesperrt werden, so dass wir jegliche Datennutzung unverzüglich einstellen; ihre Angaben sollten auf einer Sperrliste mit einem Vermerk über ihre Opt-out-Entscheidung aufbewahrt werden, anstatt sie vollständig zu löschen. Weitere länderspezifische Beschränkungen für die Nutzung von Daten zu Werbezwecken sind zu beachten. Insbesondere muss das Direktmarketing auch die Datenschutzbestimmungen für elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR) und insbesondere die geänderte Datenschutzrichtlinie für elektronische Kommunikation (e-privacy) einhalten, die das Marketing per Telefon, SMS und E-Mail abdeckt. Die Datenschutzrichtlinie für elektronische Kommunikation wurde inzwischen durch eine neue Datenschutzverordnung für elektronische Kommunikation ersetzt, die wahrscheinlich parallel zur Datenschutz-Grundverordnung gelten wird.
Datenverarbeitung aufgrund einer gesetzlichen Ermächtigung Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn die nationale Gesetzgebung dies verlangt, vorschreibt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die rechtlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Besteht ein rechtlicher Spielraum, so sind die schutzwürdigen Interessen der Betroffenen zu berücksichtigen.
Datenverarbeitung aufgrund eines berechtigten Interesses Personenbezogene Daten können auch verarbeitet werden, wenn dies für ein berechtigtes Interesse von My Eco Best Friend erforderlich ist. Berechtigte Interessen sind im Allgemeinen rechtlicher oder kommerzieller Natur (z. B. Gesundheit und Sicherheit, Nutzung des Öko-Shops). Bevor Daten verarbeitet werden, muss festgestellt werden, ob die berechtigten Interessen von My Eco Best Friend durch die Interessen oder Rechte der betroffenen Person überwiegen, denn wenn dies der Fall ist, sollten wir die personenbezogenen Daten in diesem Fall nicht verarbeiten. Das berechtigte Interesse von My Eco Best Friend und etwaige Interessen der betroffenen Person müssen ermittelt und dokumentiert werden, bevor Maßnahmen ergriffen werden.
Verarbeitung von sensiblen personenbezogenen Daten Sensible personenbezogene Daten dürfen nur verarbeitet werden, wenn dies gesetzlich vorgeschrieben ist oder die betroffene Person ausdrücklich zugestimmt hat. Wenn die Verarbeitung sensibler Daten geplant ist, muss der Datenschutzbeauftragte informiert werden.
Automatisierte Einzelentscheidungen Die automatisierte Verarbeitung personenbezogener Daten, die der Bewertung bestimmter Aspekte (z. B. Kreditwürdigkeit, Korruptionsbekämpfungsrisiko) dient, darf nicht die einzige Grundlage für Entscheidungen sein, die negative Rechtsfolgen haben oder die betroffene Person erheblich beeinträchtigen könnten. Die betroffene Person muss über den Sachverhalt und die Ergebnisse von automatisierten Einzelentscheidungen informiert werden und die Möglichkeit haben, darauf zu reagieren. Um fehlerhafte Entscheidungen zu vermeiden, muss eine Test- und Plausibilitätsprüfung durch einen Vertreter von My Eco Best Friend erfolgen, der müssen außerdem sicherstellen, dass jedes Profiling und jede automatisierte Entscheidungsfindung in Bezug auf eine betroffene Person auf korrekten Daten beruht.
Benutzerdaten und Internet Wenn personenbezogene Daten auf Websites oder in Apps erhoben, verarbeitet und genutzt werden, müssen die betroffenen Personen in einer Datenschutzerklärung darüber informiert werden. Die Datenschutzerklärung und allfällige Cookie-Informationen sind so zu integrieren, dass sie für die betroffenen Personen leicht erkennbar, direkt zugänglich und durchgängig verfügbar sind. Werden Nutzungsprofile (Tracking) erstellt, um die Nutzung von Websites und Apps auszuwerten, müssen die betroffenen Personen in der Datenschutzerklärung stets darüber informiert werden. Ein personenbezogenes Tracking darf nur mit Einwilligung der betroffenen Person erfolgen. Wird beim Tracking ein Pseudonym verwendet, sollte der betroffenen Person in der Datenschutzerklärung die Möglichkeit gegeben werden, sich dagegen zu entscheiden. Wenn Websites oder Apps in einem Bereich, der nur registrierten Nutzern zugänglich ist, auf personenbezogene Daten zugreifen können, muss die Identifizierung und Authentifizierung der betroffenen Person beim Zugriff auf die Website oder App ausreichenden Schutz bieten.
Aufbewahrung von Daten
Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für die Durchführung der Verarbeitung, für die sie erhoben wurden, erforderlich ist. Sobald die Informationen nicht mehr benötigt werden, sollten sie entsorgt werden. Papierunterlagen sollten geschreddert oder im vertraulichen Abfall entsorgt werden, und elektronische Unterlagen sollten dauerhaft gelöscht werden.
Die Nutzer personenbezogener Daten sind dafür verantwortlich, dass die Aufbewahrungsfristen für die von ihnen gespeicherten und verwalteten Informationen auf der Grundlage der Leitlinien von My Eco Best Friend angemessen sind. Die Aufbewahrungsfristen werden auf der Grundlage gesetzlicher und behördlicher Anforderungen und bewährter Verfahren festgelegt.
Wenn die Daten vollständig anonymisiert sind, gibt es aus datenschutzrechtlicher Sicht keine zeitlichen Beschränkungen für die Speicherung, da die DSGVO nicht für anonymisierte Daten gilt.
Datenübertragung
Die Übermittlung personenbezogener Daten an Empfänger außerhalb oder innerhalb des Unternehmens My Eco Best Friend unterliegt den Genehmigungspflichten für die Verarbeitung personenbezogener Daten. Werden Daten von einem Dritten an My Eco Best Friend übermittelt, muss sichergestellt sein, dass die Daten für den vorgesehenen Zweck verwendet werden können.
Damit My Eco Best Friend seine Tätigkeit effizient ausüben kann, ist es unter Umständen erforderlich, den Zugang zu personenbezogenen Daten von einem ausländischen Standort aus zu ermöglichen. Sollte dies der Fall sein, bleibt die My Eco Best Friend-Einrichtung, die die personenbezogenen Daten übermittelt, für den Schutz dieser personenbezogenen Daten verantwortlich.
Generell sollten personenbezogene Daten nicht an Dritte weitergegeben werden, insbesondere dann nicht, wenn es sich um sensible personenbezogene Daten handelt, da bestimmte Bedingungen erfüllt sein müssen, bevor personenbezogene Daten an Dritte weitergegeben werden können oder bevor ein externer Anbieter mit der Datenverarbeitung im Namen von My Eco Best Friend beauftragt wird.
Wird ein externer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, ohne dass ihm die Verantwortung für den entsprechenden Geschäftsprozess übertragen wird (als Auftragsverarbeiter), müssen die folgenden Anforderungen erfüllt werden:
der Anbieter muss danach ausgewählt werden, ob er in der Lage ist, die erforderlichen technischen und organisatorischen Schutzmaßnahmen abzudecken. Ein Anbieter kann die Einhaltung der Datensicherheitsanforderungen insbesondere durch die Vorlage geeigneter Zertifizierungen dokumentieren; und
Es muss ein Datenverarbeitungsvertrag abgeschlossen werden, der die Leitlinien für die Datenverarbeitung und die Verantwortlichkeiten des für die Verarbeitung Verantwortlichen und des externen Dienstleisters (als Auftragsverarbeiter) regelt.
Ein externer Anbieter kann ebenfalls ein für die Datenverarbeitung Verantwortlicher sein, und die Vereinbarung zwischen My Eco Best Friend und einem solchen Anbieter sollte die Verantwortlichkeiten jeder Partei in Bezug auf die personenbezogenen Daten klären.
Diese Zusicherung muss von allen externen Anbietern, ob Unternehmen oder Einzelpersonen, eingeholt werden, bevor ihnen Zugang zu den von My Eco Best Friend kontrollierten personenbezogenen Daten gewährt wird.
Generell sollten Sie immer die Rechtsabteilung konsultieren, wenn Sie einen neuen Vertrag abschließen, der die gemeinsame Nutzung oder Verarbeitung personenbezogener Daten beinhaltet (siehe Vertragsmanagementpolitik), oder wenn Sie von Dritten wie Verwandten, der Polizei usw. um personenbezogene Daten gebeten werden.
Der Lenkungsausschuss für den Datenschutz (wie in Abschnitt 13.1 beschrieben) führt regelmäßige Audits der Verarbeitung personenbezogener Daten durch externe Anbieter und sonstige Dritte durch, insbesondere im Hinblick auf technische und organisatorische Maßnahmen. Festgestellte erhebliche Mängel werden dem Exekutivausschuss gemeldet und von diesem überwacht.
Übertragungen personenbezogener Daten in Länder außerhalb der EU
Personenbezogene Daten können nur unter bestimmten Bedingungen aus der Schweiz oder dem EWR (Drittland) übermittelt werden. Im Internet veröffentlichte Informationen sind als Datenexport außerhalb der EU zu betrachten. Dies gilt auch für Daten, die in der Cloud gespeichert sind, es sei denn, der Dienstanbieter garantiert ausdrücklich, dass die Datenspeicherung nur innerhalb der EU erfolgt.
Im Falle eines Abkommens über die grenzüberschreitende Datenverarbeitung muss eine der folgenden Voraussetzungen erfüllt sein:
eine Entscheidung der Europäischen Kommission vorsieht, dass das Land oder Gebiet, in das die Übermittlung erfolgt, ein angemessenes Schutzniveau gewährleistet;
die Übermittlung unterliegt einer oder mehreren der "angemessenen Garantien" für internationale Übermittlungen, die im geltenden Recht vorgeschrieben sind (z. B. von der Europäischen Kommission angenommene Standarddatenschutzklauseln); oder
es eine andere Situation gibt, in der die Übermittlung nach geltendem Recht zulässig ist (z. B. wenn wir eine ausdrückliche Zustimmung haben).
Aufzeichnungen über Verarbeitungstätigkeiten
Als für die Datenverarbeitung Verantwortlicher ist My Eco Best Friend verpflichtet, Aufzeichnungen über die Verarbeitungstätigkeiten zu führen, die alle von My Eco Best Friend durchgeführten Verarbeitungen personenbezogener Daten umfassen. Diese Aufzeichnungen enthalten unter anderem Angaben darüber, warum die personenbezogenen Daten verarbeitet werden, welche Arten von Personen über die Daten verfügen, an wen die personenbezogenen Daten weitergegeben werden und wann personenbezogene Daten in Länder außerhalb der EU übermittelt werden.
Mein bester Öko-Freund hat an einer Reihe von Aufzeichnungen über Datenverarbeitungstätigkeiten gearbeitet:
Personaldaten (einschließlich der Bewerber und früheren Mitarbeiter).
Website-Nutzerdaten und
Andere betroffene Personen als Mitarbeiter und Website-Nutzer.
Diese Aufzeichnungen werden vom Datenschutzbeauftragten aufbewahrt.
Mitarbeiter, die neue Tätigkeiten aufnehmen, bei denen personenbezogene Daten verwendet werden und die nicht durch eines der bestehenden Verzeichnisse der Verarbeitungstätigkeiten abgedeckt sind, sollten den Datenschutzbeauftragten informieren, bevor sie die neue Tätigkeit aufnehmen.
Rechte der Betroffenen und Auskunftsersuchen
Im Rahmen unserer Verpflichtung zur Transparenz und um den betroffenen Personen zu helfen, zu verstehen, wie und warum wir ihre persönlichen Daten sammeln und was wir mit ihnen tun, hat My Eco Best Friend Datenschutzhinweise herausgegeben, die für die folgenden Interessengruppen auf myecobestfriend.com verfügbar sind:
Personal:
Nutzer der Website (Kunden, Besucher, Sponsoren, Partner, Lieferanten)
Jede Verarbeitung von Daten, die über den Umfang der Standard-Datenschutzhinweise hinausgeht, oder die Verarbeitung personenbezogener Daten anderer Personen erfordert einen gesonderten Datenschutzhinweis.
In diesen Datenschutzhinweisen wird auch erläutert, welche Entscheidungen die betroffenen Personen in Bezug auf ihre personenbezogenen Daten treffen können, die die folgenden durch die DSGVO garantierten Rechte umfassen:
Recht auf Auskunft und Übertragbarkeit - Betroffene Personen haben das Recht, auf personenbezogene Daten zuzugreifen und zu verlangen, dass ihnen diese in einer strukturierten, allgemein verwendeten und maschinenlesbaren Form zur Verfügung gestellt werden (damit sie beispielsweise an einen anderen für die Datenverarbeitung Verantwortlichen übermittelt werden können).
Recht auf Berichtigung und Datenqualität - Betroffene Personen haben das Recht, von uns zu verlangen, dass wir Ungenauigkeiten in den über sie gespeicherten personenbezogenen Daten berichtigen. Regelmäßige Datenqualitätsprüfungen sollten durchgeführt werden, um die Richtigkeit der Daten zu gewährleisten.
Recht auf Einschränkung der Datenverarbeitung - Die betroffenen Personen haben das Recht, von uns zu verlangen, dass wir unsere Datenverarbeitung einschränken (und, wenn unsere Verarbeitung auf ihrer Einwilligung beruht, können sie diese Einwilligung zurückziehen, ohne dass die Rechtmäßigkeit unserer auf der Einwilligung beruhenden Verarbeitung vor deren Rückzug berührt wird).
Bei einer eingeschränkten Verarbeitung dürfen wir die personenbezogenen Daten zwar speichern, aber nicht weiterverarbeiten;
Recht auf Widerspruch - Betroffene Personen haben das Recht, gegen bestimmte Arten der Verarbeitung Widerspruch einzulegen, wozu auch die Verarbeitung für Direktmarketing gehört. Die betroffene Person muss Gründe für den Widerspruch gegen die Verarbeitung in Bezug auf ihre besondere Situation nachweisen, außer im Fall von Direktmarketing, wo es sich um ein absolutes Recht handelt. Online-Dienste müssen ein automatisiertes Verfahren für den Widerspruch anbieten.
Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling - Das Recht bezieht sich auf automatisierte Entscheidungen oder Profiling, die erhebliche Auswirkungen auf eine Person haben könnten. Profiling ist die Verarbeitung von Daten zur Bewertung, Analyse oder Vorhersage von Verhalten oder Merkmalen von Verhalten, Vorlieben oder Identität. Der Einzelne hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht. Wenn Profiling eingesetzt wird, müssen Maßnahmen ergriffen werden, um die Sicherheit und Zuverlässigkeit der Dienste zu gewährleisten.
Recht auf Vergessenwerden (Löschung) - Einzelpersonen haben das Recht, dass ihre Daten in bestimmten Situationen gelöscht werden, z. B. wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden, die Person ihre Einwilligung widerruft oder die Informationen verarbeitet werden. Eine Ausnahme gilt für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, wenn die Löschung die Erreichung der Forschungsziele unmöglich machen oder ernsthaft beeinträchtigen würde.
Die oben genannten Rechte sind nicht absolut, und die Verfügbarkeit von Rechten hängt weitgehend von der rechtlichen Rechtfertigung der Datenverarbeitung ab.
Wir müssen die Identität der Person, die den Antrag stellt, überprüfen, um zu bestätigen, dass es sich bei dem Antragsteller um die betroffene Person oder ihren bevollmächtigten gesetzlichen Vertreter handelt. Alle Anträge, die gestellt werden, um eines der oben genannten Rechte geltend zu machen, müssen kostenlos und unverzüglich, in jedem Fall aber innerhalb von 30 Tagen nach Erhalt des Antrags, bearbeitet werden.
Die Mitarbeiter sollten gemäß dem in Anhang A beigefügten Verfahren für die Bearbeitung von Anfragen der Betroffenen vorgehen und im Zweifelsfall den Datenschutzbeauftragten konsultieren.
Datensicherheit
Personenbezogene Daten müssen vor unbefugtem Zugriff und unrechtmäßiger Verarbeitung oder Weitergabe sowie vor versehentlichem Verlust oder Veränderung geschützt werden. Dies gilt unabhängig davon, ob die Daten elektronisch oder in Papierform verarbeitet werden. Dies beinhaltet die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten wie z.B.:
Anonymisierung, d. h. die Entfernung von direkten und indirekten persönlichen Identifikatoren, die zur Identifizierung einer Person führen können. Personen können direkt durch ihren Namen, ihre Adresse, ihre Postleitzahl, ihre Telefonnummer, ihr Foto oder Bild oder andere eindeutige persönliche Informationen identifiziert werden. Personen können auch indirekt identifizierbar sein, wenn bestimmte Informationen mit anderen Informationsquellen verknüpft werden, z. B. ihr Arbeitsort, ihre Berufsbezeichnung, ihr Gehalt, ihre Postleitzahl oder sogar die Tatsache, dass sie eine bestimmte Diagnose oder Erkrankung haben.
Auch wenn es Anreize geben kann, Daten in anonymisierter Form zu verarbeiten, kann diese Technik die Daten entwerten, so dass sie für bestimmte Zwecke nicht mehr nützlich sind. Daher sollte vor der Anonymisierung überlegt werden, für welche Zwecke die Daten verwendet werden sollen.
Die Pseudonymisierung, die in der DSGVO definiert ist als "die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass sie nicht einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden könnenl". Die Datenschutz-Grundverordnung gilt nicht für anonymisierte Informationen, dies gilt nicht für pseudonymisierte Informationen.
Verschlüsselung, d. h. die Umwandlung von Informationen oder Daten in einen Code, um einen unbefugten Zugriff zu verhindern.
Die verantwortlichen Stellen sollten sich regelmäßig mit dem Chief Information Security Officer abstimmen, da die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten auch laufend an die technischen Entwicklungen und organisatorischen Veränderungen angepasst werden müssen.
Als Teil der GDPR-Anforderung "privacy by design" und um sicherzustellen, dass der Schutz der Privatsphäre und der Daten kein nachträglicher Gedanke ist, muss bei der Entwicklung neuer Systeme oder Prozesse und/oder bei der Überprüfung oder Erweiterung bestehender Systeme oder Prozesse jedes dieser Systeme oder Prozesse die folgenden Schritte durchlaufen Von der Idee zum Projekt Genehmigungsverfahren, die eine Schranke enthalten, die sicherstellt, dass alle datenschutzrechtlichen Aspekte berücksichtigt wurden.
Für einige Projekte verlangt die DSGVO auch die Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA). Zu den Umständen, unter denen dies erforderlich ist, gehören: die Verarbeitung großer Mengen personenbezogener Daten oder die Überwachung öffentlich einschätzbarer Bereiche (z. B. Videoüberwachung). Die Datenschutz-Folgenabschätzung ist ein Mechanismus zur Ermittlung und Prüfung der Auswirkungen neuer Initiativen und zur Einführung von Maßnahmen zur Minimierung oder Verringerung von Risiken, der ordnungsgemäß dokumentiert werden muss.
Es gilt der Grundsatz "Kenntnis nur, wenn nötig". Die Mitarbeiter von My Eco Best Friend und die Mitarbeiter von externen Anbietern, die als Auftragsdatenverarbeiter tätig sind, dürfen nur in dem Maße Zugang zu personenbezogenen Daten haben, wie es der Art und dem Umfang der jeweiligen Aufgabe angemessen ist. Dies erfordert eine sorgfältige Aufteilung und Trennung sowie Umsetzung der Rollen und Verantwortlichkeiten. Jede unbefugte Erhebung, Verarbeitung oder Nutzung solcher Daten durch Mitarbeiter ist untersagt. Insbesondere ist die Nutzung personenbezogener Daten für private oder kommerzielle Zwecke untersagt, an Unbefugte weiterzugeben oder in sonstiger Weise zugänglich zu machen. Diese Verpflichtung bleibt auch nach Beendigung eines Beschäftigungsverhältnisses/Datenverarbeitungsvertrags bestehen.
Alle Nutzer personenbezogener Daten bei My Eco Best Friend müssen sicherstellen, dass alle personenbezogenen Daten, die sie besitzen, sicher aufbewahrt werden. Die Informationstechnologiepolitik in Bezug auf die Sicherheit manueller Ablagesysteme, die Speicherung personenbezogener Daten auf tragbaren Geräten, die Entfernung personenbezogener Daten aus den Räumlichkeiten von My Eco Best Friend und das Herunterladen personenbezogener Daten auf persönliche Geräte sollte strikt befolgt werden.
Management von Datenschutzverletzungen
My Eco Best Friend bemüht sich nach Kräften, Verstöße gegen personenbezogene Daten zu vermeiden. Dennoch treten Verstöße gegen die Datensicherheit immer häufiger auf, unabhängig davon, ob sie durch menschliches Versagen oder durch böswillige Handlungen verursacht werden. Beispiele für Verletzungen des Schutzes personenbezogener Daten sind:
Verlust oder Diebstahl von Daten oder Geräten
Ungeeignete Zugangskontrollen, die eine unbefugte Nutzung ermöglichen
Ausfall der Ausrüstung
Unerlaubte Weitergabe (z. B. E-Mail an den falschen Empfänger)
Menschliches Versagen
Hacking-Angriff
Im Falle einer Verletzung des Datenschutzes ist My Eco Best Friend in den meisten Fällen verpflichtet, dies so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden der Verletzung, an die zuständige Aufsichtsbehörde zu melden.
Wenn Sie von einem Sicherheitsvorfall/einer Datenschutzverletzung Kenntnis erhalten, müssen Sie dies unverzüglich melden. Einzelheiten darüber, wie eine Verletzung zu melden ist und welche Informationen erforderlich sind, sind in der Richtlinie über Sicherheitsvorfälle und das Management von Datenschutzverletzungen enthalten.
Rollen und Zuständigkeiten
Governance. Um sein Engagement für den Datenschutz zu demonstrieren und die Wirksamkeit seiner Bemühungen um die Einhaltung der Vorschriften zu verbessern, hat My Eco Best Friend einen Datenschutz-Lenkungsausschuss eingerichtet. Der Lenkungsausschuss arbeitet unabhängig und ist mit qualifizierten Personen besetzt, die über alle erforderlichen Genehmigungen verfügen. Der Lenkungsausschuss steht unter der Aufsicht des Datenschutzbeauftragten von My Eco Best Friend, der direkten Zugang zum Vorstand hat.
Beauftragter für Informationssicherheit. Der Chief Information Security Officer trägt die Hauptverantwortung für die Überwachung der Informationssicherheit von My Eco Best Friend. Dies beinhaltet:
Entwicklung, Pflege und Umsetzung eines Informationssicherheitsprogramms für My Eco Best Friend;
Dokumentierung und Verbreitung von Informationssicherheitsstrategien und -verfahren;
Koordinierung der Entwicklung und Umsetzung eines Schulungs- und Sensibilisierungsprogramms für Informationssicherheit von My Eco Best Friend;
Durchführung von Risikobewertungen und Sicherstellung, dass Überlegungen zur Informationssicherheit als Teil des Prozesses für die Entwicklung/Erweiterung/Überprüfung von Systemen oder Prozessen berücksichtigt wurden;
Koordinierung der Reaktion auf tatsächliche oder vermutete Datenschutzverletzungen und Sicherheitsvorfälle mit dem Datenschutzbeauftragten gemäß der Richtlinie zum Umgang mit Datenschutzverletzungen.
Datenschutzbeauftragter (DSB). Der Datenschutzbeauftragte trägt die Hauptverantwortung für die Einhaltung der Datenschutzbestimmungen durch My Eco Best Friend:
Mitteilung von My Eco Best Friend an die zuständige Aufsichtsbehörde;
Bearbeitung von Anträgen auf Auskunft über personenbezogene Daten durch die betroffenen Personen und durch Dritte;
Förderung und Aufrechterhaltung des Bewusstseins für die Datenschutzgesetze und -vorschriften, einschließlich Schulungen;
Untersuchung von Datenschutzverletzungen und Sicherheitsvorfällen gemäß der Richtlinie zum Umgang mit Datenschutzverletzungen.
Kontakt des DSB für das Unternehmen My Eco Best Friend:
Chemin du Creux-Bechet, 6, 1096, Villette (Schweiz)
T: +41 (0)798479155
Manager. Die Vorgesetzten sind dafür verantwortlich, dass ihre Mitarbeiter die Bedeutung der Datenschutzgrundsätze für ihre tägliche Arbeit verstehen, und zwar durch Einarbeitung, Schulung und Leistungskontrolle, und dass sie die Einhaltung der Grundsätze in ihrem eigenen Bereich überwachen. Sie sollten auch sicherstellen, dass sie den Datenschutzbeauftragten über Änderungen bei der Erhebung, Verwendung und Sicherheit personenbezogener Daten in ihrer Abteilung auf dem Laufenden halten.
My Eco Best Friend erwartet von seinen Mitarbeitern und allen Auftragnehmern, Lieferanten, Agenturen, Zeitarbeitern oder anderen Parteien, die im Namen von My Eco Best Friend handeln (zusammenfassend "Externe Parteien"), die personenbezogene Daten sammeln oder verwalten, dass sie diese Richtlinie befolgen, unabhängig davon, ob sie die elektronischen Systeme und Datenverwaltungsinstrumente von My Eco Best Friend und/oder ihre eigenen nutzen. Die Mitarbeiter von My Eco Best Friend sind dafür verantwortlich, dass alle externen Parteien, mit denen sie zur Unterstützung der Tätigkeiten von My Eco Best Friend zusammenarbeiten, diese Richtlinie einhalten.
Auswirkungen der Nichteinhaltung
My Eco Best Friend könnte wegen Nichteinhaltung der Datenschutzbestimmungen mit einer hohen Geldstrafe belegt werden.
Jede Abteilung von My Eco Best Friend führt ihre eigenen Selbstbewertungen der Einhaltung dieser Politik durch. Darüber hinaus kann My Eco Best Friend in regelmäßigen Abständen prüfen, ob Mitarbeiter und relevante Dritte diese Richtlinie und die damit verbundenen Standards und Verfahren von My Eco Best Friend einhalten, wenn sie mit personenbezogenen Daten umgehen. Falls erforderlich, werden geeignete Folgemaßnahmen ergriffen.
Die Nichteinhaltung dieser Richtlinie durch Mitarbeiter kann zu disziplinarischen Maßnahmen führen, die bis zur Kündigung des Vertrags reichen können. Bei Externen, die im Auftrag von My Eco Best Friend personenbezogene Daten sammeln oder verwalten, kann die Nichteinhaltung dieser Richtlinie zu negativen geschäftlichen Konsequenzen bis hin zur Beendigung der Geschäftsbeziehung führen, und Mitarbeiter können auch strafrechtlich zur Verantwortung gezogen werden, wenn sie wissentlich oder leichtfertig personenbezogene Daten für ihre eigenen Zwecke erhalten und/oder weitergeben.
Allgemein
Diese Politik ist ab dem 21. November in Kraft.th, 2021 und erhältlich auf myecobestfriend.com.
Das Büro für Datenschutz ist für die Pflege und Richtigkeit dieser Politik verantwortlich. Wesentliche Änderungen werden den Mitarbeitern von My Eco Best Friend mitgeteilt. Änderungen an dieser Politik treten mit ihrer Veröffentlichung auf myecobestfriend.com in Kraft.
Zweck
In diesem Verfahren werden die wichtigsten Aspekte der Bearbeitung oder Beantwortung von Anträgen auf Zugang zu personenbezogenen Daten durch betroffene Personen, ihre Vertreter oder andere interessierte Parteien dargelegt. Dieses Verfahren wird es My Eco Best Friend ermöglichen, die rechtlichen Verpflichtungen zu erfüllen, die Transparenz zu verbessern, den Personen die Möglichkeit zu geben, die Richtigkeit der über sie gespeicherten Informationen zu überprüfen und das Vertrauen zu stärken, indem wir offen mit den Personen über die über sie gespeicherten Informationen sprechen.
Eine Anfrage einer betroffenen Person ist jede Anfrage einer Einzelperson oder ihres gesetzlichen Vertreters nach Informationen, die My Eco Best Friend über diese Person besitzt.
Ein Antrag muss schriftlich gestellt werden. Im Allgemeinen sind mündliche Anfragen nach Informationen über eine Person nicht gültig. Ein Antrag kann per E-Mail, per Post, auf der Website des Unternehmens oder auf jede andere verfügbare Weise gestellt werden.
My Eco Best Friend muss betroffenen Personen, die Zugang zu ihren Daten beantragen, innerhalb von 30 Kalendertagen nach Eingang des Antrags antworten, sofern die örtliche Gesetzgebung nichts anderes vorschreibt.
Um das Ersuchen zeitnah beantworten zu können, sollte die betroffene Person:
Er/sie stellt seinen/ihren Antrag unter Verwendung eines Antragsformulars für den Zugang zu persönlichen Informationen (siehe beigefügte Vorlage).
My Eco Best Friend ausreichende Informationen zur Verfügung zu stellen, um seine/ihre Identität zu bestätigen (um sicherzustellen, dass die Person, die die Informationen anfordert, die betroffene Person oder ihre bevollmächtigte Person ist).
Vorbehaltlich der in diesem Dokument genannten Ausnahmen erteilt My Eco Best Friend betroffenen Personen auf schriftliche Anfrage Informationen, die von einer Person stammen, deren Identität von My Eco Best Friend überprüft werden kann.
My Eco Best Friend wird jedoch keine Daten zur Verfügung stellen, deren Ermittlung und Abruf übermäßig schwierig oder zeitaufwändig wäre. Anfragen werden eher erfolgreich sein, wenn sie spezifisch und auf bestimmte Informationen ausgerichtet sind.
Zu den Faktoren, die bei der Eingrenzung des Umfangs einer Suche hilfreich sein können, gehören die Identifizierung des wahrscheinlichen Inhabers der Informationen (z. B. durch Bezugnahme auf eine bestimmte Abteilung), der Zeitraum, in dem die Informationen erzeugt oder verarbeitet wurden (je enger der Zeitrahmen, desto wahrscheinlicher ist es, dass eine Anfrage erfolgreich ist) und die genaue Angabe der Art der gesuchten Daten (z. B. eine Kopie eines bestimmten Formulars oder E-Mail-Aufzeichnungen aus einer bestimmten Abteilung).
Anfrage
Nach Erhalt einer Anfrage wird der Datenschutzbeauftragte die Anfrage bestätigen. Der Antragsteller kann gebeten werden, ein Antragsformular für den Zugang zu personenbezogenen Daten auszufüllen, damit My Eco Best Friend die relevanten Informationen besser ausfindig machen kann.
Der Datenschutzbeauftragte muss die Identität der antragstellenden Person überprüfen, um sicherzustellen, dass die Informationen nur an die Person weitergegeben werden, die berechtigt ist, sie zu erhalten. Wenn die Identität eines Antragstellers noch nicht bekannt ist, wird die Person, die den Antrag erhält, den Antragsteller auffordern, sich auszuweisen.
Ist der Antragsteller nicht die betroffene Person, ist eine schriftliche Bestätigung erforderlich, dass der Antragsteller befugt ist, im Namen der betroffenen Person zu handeln.
Nach Erhalt der erforderlichen Unterlagen legt die Person, bei der der Antrag eingeht, dem Datenschutzbeauftragten alle relevanten Informationen zur Unterstützung des Antrags vor. Ist der Datenschutzbeauftragte mit den von der Person, die den Antrag erhalten hat, vorgelegten Informationen zufrieden, teilt er dem Antragsteller mit, dass sein Antrag innerhalb von 30 Kalendertagen beantwortet werden wird. Die 30-Tage-Frist beginnt an dem Tag, an dem die angeforderten Dokumente eingegangen sind. Der Datenschutzbeauftragte wird den Antragsteller schriftlich darüber informieren, wenn die 30-Tage-Frist aufgrund von anderen Ereignissen überschritten wird.
Der Datenschutzbeauftragte wird sich mit der/den zuständigen Abteilung(en) in Verbindung setzen und sie um die in der Anfrage geforderten Informationen bitten. Dies kann auch eine erste Besprechung mit der betreffenden Abteilung beinhalten, um die Anfrage zu besprechen, falls erforderlich. Die Dienststelle, die über die Informationen verfügt, muss die geforderten Informationen innerhalb der vom Datenschutzbeauftragten gesetzten Frist zurücksenden, und/oder es wird ein weiteres Treffen mit der Dienststelle zur Überprüfung der Informationen vereinbart. Der Datenschutzbeauftragte stellt fest, ob es Informationen gibt, die unter eine Ausnahmeregelung fallen, und/oder ob die Zustimmung einer dritten Partei erforderlich ist.
Der Datenschutzbeauftragte muss dafür sorgen, dass die Informationen innerhalb der vorgeschriebenen Frist geprüft werden, damit der Zeitrahmen von 30 Kalendertagen nicht überschritten wird.
Der Datenschutzbeauftragte wird die endgültige Antwort zusammen mit den von der/den Abteilung(en) abgerufenen Informationen und/oder einer Erklärung, dass My Eco Best Friend nicht über die angeforderten Informationen verfügt oder dass eine Ausnahmeregelung gilt, übermitteln. Der Datenschutzbeauftragte sorgt dafür, dass eine schriftliche Antwort an den Antragsteller zurückgeschickt wird. Dies geschieht per E-Mail, es sei denn, der Antragsteller hat eine andere Methode angegeben, wie er die Antwort erhalten möchte (z. B. per Post).
Nachdem die Antwort an den Antragsteller versandt wurde, wird der Antrag vom Datenschutzbeauftragten als abgeschlossen betrachtet und archiviert.
Grundsätzlich wird My Eco Best Friend die folgenden Arten von Informationen als Reaktion auf eine Anfrage nicht weitergeben:
Informationen über andere Personen - Ein Antrag kann sich auf Informationen beziehen, die sich auf eine oder mehrere andere Personen als die betroffene Person beziehen. Der Zugang zu solchen Daten wird nicht gewährt, es sei denn, die betroffenen Personen stimmen der Weitergabe ihrer Daten zu.
Wiederholte Anfragen - Wurde einer ähnlichen oder identischen Anfrage in Bezug auf dieselbe betroffene Person bereits innerhalb eines angemessenen Zeitraums entsprochen und gibt es keine wesentlichen Änderungen der personenbezogenen Daten, die in Bezug auf diese betroffene Person gespeichert sind, wird jede weitere Anfrage als wiederholte Anfrage betrachtet, und My Eco Best Friend wird normalerweise keine weitere Kopie derselben Daten zur Verfügung stellen.
Öffentlich zugängliche Informationen - My Eco Best Friend ist nicht verpflichtet, Kopien von Dokumenten zur Verfügung zu stellen, die bereits öffentlich zugänglich sind.
Privilegierte Dokumente - Alle privilegierten Informationen, die My Eco Best Friend vorliegen, müssen nicht offengelegt werden. Zu den vertraulichen Informationen gehören im Allgemeinen alle Dokumente, die vertraulich sind (z. B. eine direkte Kommunikation zwischen einem Klienten und seinem Anwalt) und zum Zweck der Einholung oder Erteilung von Rechtsrat erstellt wurden.
Die Gesamtverantwortung für die Einhaltung dieses Verfahrens obliegt dem Datenschutzbeauftragten.
Wenn My Eco Best Friend gegenüber der betroffenen Person, die den Antrag stellt, als für die Verarbeitung Verantwortlicher handelt, wird der Antrag auf der Grundlage der Bestimmungen dieses Verfahrens behandelt.
Wenn My Eco Best Friend als Datenverarbeiter fungiert, leitet der Datenschutzbeauftragte den Antrag an den entsprechenden Datenverantwortlichen weiter, in dessen Auftrag My Eco Best Friend personenbezogene Daten der antragstellenden Person verarbeitet.