Politik zum Datenschutz
Dieses Dokument enthält die Informationen über die Datenverarbeitung durch Tubitex und die allgemeine Politik der Datenverarbeitung.
1. Information und Antrag auf Zustimmung gemäß Art. 13 der Europäischen Verordnung Nr. 2016/679 (GDPR)
Gemäß Art. 13 des GDPR informieren wir Sie, dass die Daten in unseren Dateien von Tubitex S.p.A., dem für die Datenverarbeitung Verantwortlichen, verarbeitet werden. Die aktualisierte Liste der für die Datenverarbeitung Verantwortlichen ist beim Data Controller erhältlich.
Die Daten werden mit elektronischen und/oder automatisierten Mitteln zum Zweck der Verwaltung der Geschäftsbeziehung und der sich aus den Steuervorschriften ergebenden Verpflichtungen verarbeitet. Die Genehmigungen für die oben genannten Zwecke sind obligatorisch, denn ohne eine solche Verarbeitung ist es nicht möglich, die angeforderten Tätigkeiten auszuführen.
Ihre Daten können an Parteien weitergegeben werden, die für die Verfolgung der oben beschriebenen Zwecke erforderlich sind.
Die Rechtsgrundlage für die Verarbeitung steht im Zusammenhang mit der Verwaltung der rechtlichen Verpflichtungen und der Ausführung der Geschäftsbeziehung.
Sie können jederzeit Ihre Rechte gemäß Artikel 15 – 22 der DSGVO ausüben, einschließlich der Löschung Ihrer Daten oder des Widerspruchs gegen deren Verwendung, indem Sie sich an: Tubitex S.p.A. mit Sitz in Viale del Lavoro 31, 36048 Barbarano Mossano (VI), über den Briefkasten privacy@tubitex.com.
Die Daten werden in unseren Dateien für die Zeiträume aufbewahrt, die aufgrund gesetzlicher Verpflichtungen erforderlich sind, oder bis ein legitimer Antrag auf Löschung gestellt wird.
Beschwerden in Bezug auf die Verarbeitung können bei der zuständigen Behörde eingereicht werden: Garante sulla Protezione dei Dati Personali, Piazza di Monte Citorio no. 121 00186 ROMA, Fax: (+39) 06.69677.3785, Telefonzentrale: (+39) 06.696771, E-Mail: garante@gpdp.it.
2. Zweck der Politik
Tubitex S.p.A., im Folgenden als ‚Unternehmen‘ bezeichnet, verpflichtet sich, die geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern, in denen es tätig ist, einzuhalten.
Dieses Verfahren definiert die grundlegenden Prinzipien, nach denen das Unternehmen die personenbezogenen Daten von Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und anderen Personen verarbeitet, und zeigt die Verantwortlichkeiten seiner Abteilungen und Mitarbeiter bei der Verarbeitung personenbezogener Daten auf.
3. Normative Referenzen
GDPR 2016/679 (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 / EG)
Nationale Gesetze oder Verordnungen, die für die Umsetzung der Verordnung relevant sind
4. Definitionen
Die in diesem Dokument verwendeten Definitionen stammen aus Artikel 4 der Europäischen Verordnung:
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene Person“) beziehen; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
Sensible Daten: personenbezogene Daten, die aufgrund ihrer Beschaffenheit in Bezug auf die Grundrechte und -freiheiten besonders sensibel sind und einen besonderen Schutz verdienen, weil der Kontext ihrer Verarbeitung zu erheblichen Risiken für die Grundrechte und -freiheiten führen könnte. Zu diesen personenbezogenen Daten gehören personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über die sexuelle Ausrichtung einer Person hervorgehen.
Für die Verarbeitung Verantwortlicher: die natürliche oder juristische Person, Behörde, Dienststelle oder sonstige Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
Für die Verarbeitung Verantwortlicher: die natürliche oder juristische Person, Behörde, Dienststelle oder sonstige Einrichtung, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
Als Verarbeitung gilt jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten;
Anonymisierung: Unumkehrbare De-Identifizierung personenbezogener Daten in einer Weise, dass die Person technisch nicht identifiziert werden kann, und zwar innerhalb eines angemessenen Zeit- und Kostenrahmens entweder durch den für die Verarbeitung Verantwortlichen oder eine andere Person. Die Grundsätze für die Verarbeitung personenbezogener Daten gelten nicht für anonyme Daten, da diese nicht als personenbezogene Daten betrachtet werden.
Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass diese personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; durch die Pseudonymisierung wird die Möglichkeit, personenbezogene Daten mit einer betroffenen Person in Verbindung zu bringen, eingeschränkt, aber nicht vollständig ausgeschlossen. Da es sich bei Daten, die pseudonymisiert wurden, immer noch um personenbezogene Daten handelt, muss dieser Prozess den Grundsätzen der Verarbeitung personenbezogener Daten entsprechen.
Grenzüberschreitende Verarbeitung: Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist; oder Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzigen Niederlassung eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, die jedoch in erheblichem Maße betroffene Personen in mehr als einem Mitgliedstaat betrifft oder betreffen kann;
Aufsichtsbehörde: die von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige öffentliche Behörde;
Primäre Aufsichtsbehörde: die Aufsichtsbehörde, die die Hauptverantwortung für eine grenzüberschreitende Datenverarbeitung trägt, z. B. wenn eine betroffene Person eine Beschwerde über die Verarbeitung ihrer personenbezogenen Daten einreicht; sie ist u. a. für die Entgegennahme von Meldungen über Datenschutzverletzungen und für die Unterrichtung über risikobehaftete Verarbeitungen zuständig und hat die uneingeschränkte Befugnis, für die Einhaltung der Bestimmungen der DSGVO zu sorgen;
Jede „lokale Aufsichtsbehörde“ wird in jedem Fall ihre Tätigkeit in ihrem Hoheitsgebiet aufrechterhalten und jede Datenverarbeitung auf lokaler Ebene überwachen, die betroffene Personen betrifft oder die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter aus der EU oder einem Drittland durchgeführt wird, wenn sie betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet betrifft. Zu ihren Aufgaben und Befugnissen gehören die Durchführung von Untersuchungen und die Anwendung von Verwaltungsmaßnahmen und Sanktionen, die allgemeine Sensibilisierung für Risiken, Vorschriften, Sicherheit und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie der Zugang zu allen Räumlichkeiten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters, einschließlich aller Werkzeuge und Mittel für die Datenverarbeitung.
Hauptniederlassung: im Falle eines für die Verarbeitung Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner zentralen Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des für die Verarbeitung Verantwortlichen in der Union getroffen und letztere Niederlassung ist befugt, die Durchführung dieser Entscheidungen anzuordnen; in diesem Fall gilt die Niederlassung, die diese Entscheidungen getroffen hat, als Hauptniederlassung;
Hauptniederlassung: in Bezug auf einen für die Verarbeitung Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat der Ort, an dem sich die Hauptverwaltung des für die Verarbeitung Verantwortlichen in der Union befindet, oder, falls der für die Verarbeitung Verantwortliche keine Hauptverwaltung in der Union hat, die Niederlassung des für die Verarbeitung Verantwortlichen in der Union, in der die Hauptverarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen durchgeführt werden, sofern dieser für die Verarbeitung Verantwortliche besonderen Verpflichtungen gemäß dieser Verordnung unterliegt;
Unternehmensgruppe: eine Gruppe, die aus einer Muttergesellschaft und den von ihr kontrollierten Unternehmen besteht;
5. Grundprinzipien der Verarbeitung personenbezogener Daten
In den Datenschutzgrundsätzen werden die grundlegenden Pflichten von Organisationen bei der Verarbeitung personenbezogener Daten beschrieben. In Artikel 5 Absatz 2 der Verordnung heißt es, dass „der für die Verarbeitung Verantwortliche für die Einhaltung dieser Grundsätze verantwortlich ist und diese nachweisen muss“.
5.1. Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet werden.
5.2. Zweckbindung
Personenbezogene Daten müssen für bestimmte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
5.3. Minimierung von Daten
Personenbezogene Daten müssen dem Zweck entsprechen, für den sie verarbeitet werden, dafür erheblich sein und sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Wenn möglich, muss das Unternehmen personenbezogene Daten anonymisieren oder pseudonymisieren, um die Risiken für die betroffenen Personen zu verringern.
5.4. Genauigkeit
Personenbezogene Daten müssen sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden. Es müssen angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass personenbezogene Daten, die in Bezug auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, rechtzeitig gelöscht oder berichtigt werden.
5.5. Begrenzung der Speicherdauer
Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist.
5.6. Integrität und Vertraulichkeit
Unter Berücksichtigung des Stands der Technik und anderer verfügbarer Sicherheitsmaßnahmen, der Kosten für die Umsetzung sowie der Wahrscheinlichkeit und Schwere von Risiken für personenbezogene Daten setzt das Unternehmen geeignete technische oder organisatorische Maßnahmen ein, um personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung oder Offenlegung oder vor unbefugtem Zugriff.
5.7. Verantwortung
Die für die Datenverarbeitung Verantwortlichen sind dafür verantwortlich, die Einhaltung der oben beschriebenen Grundsätze nachzuweisen.
6. Integration des Datenschutzes in die Geschäftsaktivitäten
Um die Einhaltung der Datenschutzgrundsätze nachzuweisen, muss die Organisation den Datenschutz in ihre Geschäftsaktivitäten integrieren.
6.1. Informationen für interessierte Parteien
(Siehe Abschnitt Richtlinien für die ordnungsgemäße Handhabung)
6.2. Wahlmöglichkeit und Einwilligung der betroffenen Person
(Siehe Abschnitt Richtlinien für die ordnungsgemäße Handhabung)
6.3. Kollektion
Das Unternehmen muss sich bemühen, so wenig persönliche Daten wie möglich zu sammeln. Wenn personenbezogene Daten von einem Dritten erhoben werden, muss der für die Verarbeitung Verantwortliche sicherstellen, dass die personenbezogenen Daten in Übereinstimmung mit dem Gesetz erhoben werden.
6.4. Verwendung, Lagerung und Entsorgung
Die Zwecke, Methoden, Speichergrenzen und Aufbewahrungsfristen für personenbezogene Daten müssen mit den Informationen im allgemeinen Datenschutzhinweis übereinstimmen.
Das Unternehmen muss die Richtigkeit, Integrität, Vertraulichkeit und Relevanz der personenbezogenen Daten entsprechend dem Zweck der Verarbeitung wahren. Es müssen geeignete Sicherheitsmechanismen eingesetzt werden, um personenbezogene Daten vor Diebstahl oder Missbrauch zu schützen und Verletzungen von personenbezogenen Daten zu verhindern. der Inhaber ist für die Einhaltung der in diesem Abschnitt aufgeführten Anforderungen verantwortlich.
6.5. Offenlegung gegenüber Dritten
Wenn das Unternehmen einen Drittanbieter oder Geschäftspartner mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt, muss der Datenschutzbeauftragte sicherstellen, dass dieser Verarbeiter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreift, die den damit verbundenen Risiken angemessen sind. Zu diesem Zweck muss ein Compliance-Fragebogen verwendet werden.
Das Unternehmen muss den Lieferanten oder Geschäftspartner vertraglich dazu verpflichten, das gleiche Maß an Datenschutz zu gewährleisten. Der Lieferant oder Geschäftspartner darf personenbezogene Daten nur zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber dem Unternehmen oder auf Anweisung des Unternehmens und zu keinem anderen Zweck verarbeiten. Wenn das Unternehmen personenbezogene Daten gemeinsam mit einem unabhängigen Dritten verarbeitet, muss das Unternehmen die jeweiligen Verantwortlichkeiten und den Dritten in dem jeweiligen Vertrag oder in einem anderen rechtsverbindlichen Dokument, wie z.B. dem Provider-Datenverarbeitungsvertrag, ausdrücklich festlegen.
6.6. Grenzüberschreitende Übermittlung von personenbezogenen Daten
Vor der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) müssen angemessene Sicherheitsvorkehrungen getroffen werden, einschließlich der Unterzeichnung einer Datenübertragungsvereinbarung, wie von der Europäischen Union vorgeschrieben, und, falls erforderlich, muss eine Genehmigung der Datenschutzbehörde eingeholt werden. Die Stelle, die die personenbezogenen Daten erhält, muss die Grundsätze der Verarbeitung personenbezogener Daten einhalten, die im Verfahren für die grenzüberschreitende Datenübermittlung festgelegt sind.
6.7. Auskunftsrechte der betroffenen Personen
Wenn das Unternehmen als für die Datenverarbeitung Verantwortlicher agiert, ist es verpflichtet, den betroffenen Personen einen angemessenen Zugangsmechanismus zur Verfügung zu stellen, der es ihnen ermöglicht, auf ihre personenbezogenen Daten zuzugreifen, und es ihnen zu ermöglichen, ihre personenbezogenen Daten zu aktualisieren, zu korrigieren, zu löschen oder zu übermitteln, sofern dies angemessen oder gesetzlich vorgeschrieben ist. Der Zugriffsmechanismus wird in dem Verfahren zur Beantragung von Datenzugriff für Betroffene näher erläutert.
6.8. Übertragbarkeit von Daten
Betroffene Personen haben das Recht, auf Anfrage eine Kopie der von ihnen bereitgestellten Daten in einem strukturierten Format zu erhalten und diese Daten kostenlos an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln. der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass solche Anfragen innerhalb eines Monats bearbeitet werden, nicht übermäßig sind und die Rechte anderer Personen an personenbezogenen Daten nicht beeinträchtigen.
6.9. Recht auf Vergessenwerden
Auf Antrag hat die betroffene Person das Recht, von dem Unternehmen die Löschung ihrer personenbezogenen Daten zu verlangen. Wenn das Unternehmen als für die Datenverarbeitung Verantwortlicher fungiert, muss der Datenschutzbeauftragte die notwendigen Schritte (einschließlich technischer Maßnahmen) unternehmen, um Dritte, die diese Daten verwenden oder verarbeiten, davon in Kenntnis zu setzen, dass sie der Aufforderung nachkommen müssen.
7. Richtlinien für die richtige Behandlung
Personenbezogene Daten dürfen nur verarbeitet werden, wenn der für die Datenverarbeitung Verantwortliche dies ausdrücklich genehmigt.
Das Unternehmen muss entscheiden, ob es für jede Datenverarbeitungsaktivität eine Datenschutz-Folgenabschätzung gemäß den Richtlinien zur Datenschutz-Folgenabschätzung durchführen will.
7.1. Informationen für interessierte Parteien
Bei oder vor der Erhebung personenbezogener Daten für jede Art von Verarbeitungstätigkeit, einschließlich, aber nicht beschränkt auf den Verkauf von Produkten, Dienstleistungen oder Marketingaktivitäten, ist der für die Datenverarbeitung Verantwortliche dafür verantwortlich, die betroffenen Personen angemessen über Folgendes zu informieren: die Art der erhobenen personenbezogenen Daten, die Zwecke der Verarbeitung, die Methoden der Verarbeitung, die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten, die Aufbewahrungsfrist, mögliche internationale Datenübermittlungen, ob Daten an Dritte weitergegeben werden und die Sicherheitsmaßnahmen des Unternehmens zum Schutz personenbezogener Daten. Diese Informationen werden in Form eines allgemeinen Datenschutzhinweises bereitgestellt.
Wenn das Unternehmen mehrere Datenverarbeitungstätigkeiten durchführt, müssen verschiedene Hinweise erstellt werden, die sich je nach Verarbeitungstätigkeit und Kategorie der erhobenen personenbezogenen Daten unterscheiden, z. B. könnte ein Hinweis für Postsendungen und ein anderer für Sendungen per Post verfasst werden.
Wenn personenbezogene Daten an Dritte weitergegeben werden, muss der für die Verarbeitung Verantwortliche sicherstellen, dass die betroffenen Personen durch einen allgemeinen Datenschutzhinweis darüber informiert werden.
Wenn personenbezogene Daten im Rahmen des grenzüberschreitenden Datentransfers in ein Drittland übermittelt werden, sollte dies in der allgemeinen Datenschutzerklärung angegeben werden, aus der klar hervorgeht, wohin und an welche Einrichtung die personenbezogenen Daten übermittelt werden.
Wenn sensible personenbezogene Daten erhoben werden, muss der Datenschutzbeauftragte sicherstellen, dass in der allgemeinen Datenschutzerklärung ausdrücklich klargestellt wird, zu welchem Zweck diese sensiblen Daten erhoben werden.
7.2. Einen Konsens erreichen
Wann immer die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person oder auf anderen legitimen Gründen beruht, ist der für die Verarbeitung Verantwortliche dafür verantwortlich, diese Einwilligung zu dokumentieren. Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, den betroffenen Personen die verschiedenen Möglichkeiten zur Erteilung der Einwilligung zu unterbreiten und muss sie darüber informieren und sicherstellen, dass ihre Einwilligung (wenn sie als Rechtsgrundlage für die Verarbeitung verwendet wird) jederzeit widerrufen werden kann.
Wenn Anträge auf Berichtigung, Ergänzung oder Vernichtung von persönlichen Daten gestellt werden, muss der Datenschutzbeauftragte sicherstellen, dass diese Anträge innerhalb eines angemessenen Zeitraums bearbeitet werden. Die Kontaktperson für den Datenschutz muss auch Anfragen aufzeichnen und ein spezielles Register führen.
Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Sollte das Unternehmen die gesammelten personenbezogenen Daten für einen anderen Zweck verarbeiten wollen, muss das Unternehmen die Einwilligung der Betroffenen in klarer und prägnanter schriftlicher Form einholen. Ein solches Ersuchen sollte den ursprünglichen Zweck, für den die Daten erhoben wurden, sowie alle neuen oder zusätzlichen Zwecke enthalten. Der Antrag muss auch den Grund für die Zweckänderung(en) enthalten. Die Kontaktperson für den Datenschutz ist für die Einhaltung der Regeln in diesem Absatz verantwortlich.
Jetzt und in Zukunft muss der Datenschutzbeauftragte sicherstellen, dass die Erhebungsmethoden mit dem Gesetz, der guten Praxis und den einschlägigen Industriestandards übereinstimmen.
Die Kontaktperson für den Datenschutz ist für die Erstellung und Pflege eines Registers mit allgemeinen Datenschutzhinweisen verantwortlich.
8. Reaktion auf Vorfälle von Datenschutzverletzungen
Wenn das Unternehmen von einer mutmaßlichen oder tatsächlichen Verletzung des Schutzes personenbezogener Daten erfährt, muss der Datenschutzbeauftragte eine interne Untersuchung durchführen und in Übereinstimmung mit dem Verfahren für Datenschutzverletzungen rechtzeitig geeignete Maßnahmen ergreifen. Wenn die Rechte und Freiheiten der betroffenen Personen bedroht sind, muss das Unternehmen die Datenschutzbehörden unverzüglich, und wenn möglich innerhalb von 72 Stunden, benachrichtigen.