Datenschutz

PRÄAMBEL

DDM DIGITAL SOLUTIONS LTD, ein nach dem Recht der Republik Zypern ordnungsgemäß gegründetes und bestehendes Unternehmen mit der Registernummer НЕ 418762, das seinen eingetragenen Sitz in Griva Digeni, 80 SWEPCO COURT 6, 2nd floor 3101, Limassol, Zypern hat („DIGITAL SOLUTIONS“ oder „wir“)

Die Geschäftstätigkeit des Unternehmens unterliegt den Anforderungen der Vorschriften und Regeln, die den Schutz der persönlichen Daten der Kunden des Unternehmens regeln. Das Unternehmen hat diese Richtlinie zum Schutz personenbezogener Daten (im Folgenden „Richtlinie“) entwickelt, um alle Anforderungen der zypriotischen und EU-Gesetzgebung sowie die besten internationalen Standards im Bereich des Datenschutzes und der Vertraulichkeit zu erfüllen.

DEFINITIONEN

Gesetzgebung zum Schutz personenbezogener Daten bedeutet:

1. Zyperns Datenschutzgesetz (2018);

2. Die allgemeine Datenschutzverordnung (GDPR) vom 25. Mai 2018 (die „Datenschutzgesetzgebung“) regelt die Verarbeitung personenbezogener Daten (EU-Verordnung (EU) 2016/679);

Die Datenschutzgesetze schreiben vor, dass personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, die als besonders sensibel gelten, von den für die Verarbeitung Verantwortlichen im Einklang mit den in der DSGVO dargelegten Datenschutzgrundsätzen verarbeitet werden müssen.

Für die Verarbeitung Verantwortlicher – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Unternehmen ist ein für die Datenverarbeitung Verantwortlicher im Sinne der Datenschutzgesetzgebung.

Datenverarbeiter – jede Person (außer einem Angestellten des für die Datenverarbeitung Verantwortlichen), die die Daten im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet.

Betroffene Person – jede natürliche Person, die Gegenstand von personenbezogenen Daten ist.

Verarbeitung – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.

Besondere Kategorien von personenbezogenen Daten – personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person. Informationen über die Begehung von Straftaten oder Strafverfahren gelten auch nach den Datenschutzgesetzen als sensibel, und wir behandeln solche Informationen entsprechend.

Übertragung von Daten außerhalb des Unternehmens – wenn Daten in ein Land außerhalb des Unternehmens übertragen, gesendet, eingesehen oder darauf zugegriffen wird.

Persönliche Daten – bezeichnet alle Informationen über eine bestimmte oder bestimmbare natürliche Person (die „betroffene Person“); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Die obige Definition umfasst jede Meinungsäußerung über die Person und jeden Hinweis auf die Absichten des für die Datenverarbeitung Verantwortlichen oder einer anderen Person in Bezug auf die Person.

POLITIK ZUM SCHUTZ PERSONENBEZOGENER DATEN (PRIVATSPHÄRE)

1. Grundsatzerklärung

1.1 Die Datenschutzpolitik legt dar, wie das Unternehmen die Datenschutzgesetze einzuhalten gedenkt und mit personenbezogenen Daten (und anderen sensiblen Informationen) so umgeht, dass wir unsere Aufgaben im öffentlichen Interesse wirksam erfüllen, das Vertrauen der Kunden und der Öffentlichkeit in uns als Dienstleister erhalten und sicherstellen können, dass wir ein faires und effizientes Unternehmen sind;

2. Politische Ziele

2.1 Diese Politik zielt darauf ab:

– unsere Verpflichtung zur Einhaltung der Datenschutzgesetze und der Grundsätze des Datenschutzes zu erklären;

– zur Erfüllung der Verpflichtung des Unternehmens, Datenschutzrichtlinien als Teil der Maßnahmen zur Einhaltung der Datenschutzgesetze einzuführen;

– ein allgemeines, angemessenes Grundsatzdokument und ein übergreifendes, angemessenes Grundsatzdokument für die Verarbeitung besonderer Kategorien personenbezogener Daten bereitzustellen, wie es im Rahmen der Datenschutzgesetzgebung erforderlich sein kann;

– darzulegen, wie wir durch technische und organisatorische Maßnahmen und insbesondere durch die Grundsätze des Datenschutzes durch Technik und des Datenschutzes durch Voreinstellungen für die Einhaltung der Datenschutzvorschriften sorgen werden;

– die Verantwortung aller Personen, die für uns oder in unserem Namen arbeiten, für die Einhaltung dieser Richtlinie und der Datenschutzgesetze zu erklären;

– einige der Umstände zu benennen, unter denen wir aufgrund unserer Funktionen als Regulierungsbehörde von bestimmten allgemeinen Grundsätzen ausgenommen sind;

3. Geltungsbereich

3.1 Diese Richtlinie gilt für alle personenbezogenen Daten im Sinne der Datenschutzgesetze, unabhängig davon, ob sie sich in unserem Besitz befinden, an Dritte übertragen oder mit ihnen ausgetauscht werden oder von Dritten in unserem Auftrag gespeichert werden. Dies gilt unabhängig davon, ob die Daten in elektronischer oder Papierform vorliegen;

4. Rollen und Verantwortlichkeiten

4.1 Der Compliance-Beauftragte ist letztlich für die Einhaltung der Datenschutzgesetze durch das Unternehmen verantwortlich;

4.2 Der Hauptgeschäftsführer ist für die Einhaltung dieser Politik verantwortlich;

4.3 Der Datenschutzbeauftragte hat die in der Allgemeinen Datenschutzverordnung festgelegten Aufgaben;

4.4 Die Vorgesetzten sind für die Umsetzung und Einhaltung der Datenschutzverfahren verantwortlich. Dazu gehört auch die Verpflichtung, alle angemessenen Maßnahmen zu ergreifen, um die Einhaltung der Vorschriften durch Dritte sicherzustellen;

4.5 Führungskräfte müssen sich an den Compliance-Beauftragten wenden, wenn sie sich nicht sicher sind, welche Sicherheits- oder sonstigen Maßnahmen sie zum Schutz personenbezogener Daten ergreifen müssen;

4.6 Führungskräfte müssen sich immer an den Compliance-Beauftragten wenden, wenn:

– sie sich nicht sicher sind, auf welche Rechtsgrundlage sie sich bei der Verarbeitung personenbezogener Daten stützen;

– dass sie sich bei der Verarbeitung personenbezogener Daten auf die Einwilligung verlassen müssen;

– sie müssen Datenschutzhinweise oder andere Transparenzinformationen erstellen;

– sie sich über die Aufbewahrungsfrist unsicher sind;

– sie sich nicht sicher sind, auf welcher Grundlage sie personenbezogene Daten ins Ausland übermitteln sollen;

– sie eine wesentliche neue oder geänderte Verarbeitungstätigkeit durchführen, die wahrscheinlich eine Datenschutz-Folgenabschätzung erfordert;

– sie beabsichtigen, personenbezogene Daten für andere Zwecke zu verwenden als die, für die sie ursprünglich erhoben wurden;

– sie planen die Durchführung von Tätigkeiten, die eine automatisierte Verarbeitung einschließlich Profiling oder automatisierte Entscheidungsfindung beinhalten;

– sie Hilfe bei Verträgen oder anderen Bereichen im Zusammenhang mit der Weitergabe personenbezogener Daten an Dritte (einschließlich der Auftragnehmer des Unternehmens) benötigen;

– sie planen, Daten mit einer anderen Organisation oder Person in einer Weise auszutauschen, die neu ist oder die Rechte der Betroffenen beeinträchtigen könnte;

4.7 Jeder, der für das Unternehmen arbeitet, ist dafür verantwortlich, dass er diese Richtlinie und andere Verfahren im Zusammenhang mit der Verarbeitung und Nutzung personenbezogener Daten versteht und befolgt und das Unternehmen bei der Einhaltung der Datenschutzgesetze unterstützt;

5. Einhaltung der Vorschriften

5.1 Jeder, der für das Unternehmen oder im Namen des Unternehmens arbeitet, ist verpflichtet, diese Richtlinie zu befolgen;

5.2 Das Personal ist verpflichtet, eine obligatorische Datenschutzschulung zu absolvieren;

5.3 Das Unternehmen wird die seiner Kontrolle unterliegenden Systeme und Prozesse regelmäßig überprüfen, um sicherzustellen, dass sie mit dieser Richtlinie übereinstimmen;

5.4 Das Unternehmen wird jeden angeblichen Verstoß gegen diese Richtlinie untersuchen. Eine Untersuchung kann dazu führen, dass das Unternehmen Maßnahmen ergreift, die bis zur Entlassung, Amtsenthebung oder Beendigung eines Dienstleistungsvertrags reichen können;

6. Überprüfung der Politik

6.1 Das Unternehmen überprüft diese Richtlinie jedes Jahr oder häufiger im Falle von Gesetzes- oder Regulierungsänderungen;

7. Die Grundsätze des Datenschutzes

7.1 Die in den Datenschutzgesetzen verankerten Grundsätze verlangen, dass personenbezogene Daten geschützt werden:

– rechtmäßig, fair und transparent verarbeitet werden (Rechtmäßigkeit, Fairness und Transparenz);

– Die Daten werden nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist (Zweckbindung);

– Angemessen, sachdienlich und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt (Datenminimierung);

– Präzise und erforderlichenfalls auf dem neuesten Stand (Genauigkeit);

– Nicht länger als für die Zwecke, für die die Daten verarbeitet werden, erforderlich in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht (Speicherbegrenzung);

– in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, indem geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung getroffen werden (Sicherheit, Integrität und Vertraulichkeit);

– Keine Übermittlung in ein anderes Land ohne angemessene Sicherheitsvorkehrungen (Übermittlungsbeschränkung);

– den betroffenen Personen zur Verfügung gestellt werden und die betroffenen Personen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten ausüben können (Rechte und Anträge der betroffenen Personen);

– Die Mobile App/Website/Dienstleistung des Unternehmens ist nicht für die Nutzung durch Kinder bestimmt. Wir sammeln nicht wissentlich personenbezogene Informationen, einschließlich personenbezogener Daten, von Kindern. Wenn Sie ein Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns seine persönlichen Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte umgehend;

7.2 Das Unternehmen ist für die Einhaltung der oben aufgeführten Datenschutzgrundsätze verantwortlich und muss in der Lage sein, diese nachzuweisen (Rechenschaftspflicht). In dieser Richtlinie wird allgemein dargelegt, wie das Unternehmen an diese Fragen herangeht;

8. Verarbeitung und Nutzung von personenbezogenen Daten

8.1 Das Unternehmen führt ein allgemeines Verarbeitungsprotokoll, in dem festgelegt ist, wie wir personenbezogene Daten in Übereinstimmung mit den Datenschutzgesetzen verarbeiten. Diese Aufzeichnungen beinhalten die Anmeldung aller Handlungen mit personenbezogenen Daten unter Angabe der Gründe für deren Verarbeitung, der an der Verarbeitung beteiligten Personen, des Datums der Verarbeitung und des Ergebnisses der Verarbeitung personenbezogener Daten;

8.2 Im Allgemeinen verarbeiten wir in erster Linie personenbezogene Daten über:

– Personen, die für das Unternehmen oder im Namen des Unternehmens arbeiten;

– Menschen, die das Unternehmen bei der Erfüllung seiner regulatorischen Aufgaben unterstützen;

– Identifizierungsdaten der Kunden in Übereinstimmung mit dem AML- und CTF-Verfahren, wie in den jeweiligen Richtlinien festgelegt;

– Externe Stakeholder und Kunden, die sich mit dem Unternehmen über unsere Arbeit austauschen, einschließlich derjenigen, die sich über uns beschweren möchten;

8.3 Das Unternehmen stützt sich bei der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten gemäß Absatz 8.4 nicht generell auf eine Einwilligung;

8.4 Das Unternehmen stützt sich im Allgemeinen auf die folgenden Rechtsgrundlagen für die Verarbeitung personenbezogener Daten:

– die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person zu erfüllen;

– die Verarbeitung ist erforderlich, um den einschlägigen rechtlichen Verpflichtungen nachzukommen;

– die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder – — in Ausübung öffentlicher Gewalt erfolgt;

8.5 Bestimmte Aktivitäten, die wir durchführen, fallen möglicherweise nicht unter die oben genannten Punkte. In solchen Fällen wird das Unternehmen die Rechtsgrundlage für die Verarbeitung aufzeichnen;

8.6 Das Unternehmen verarbeitet bestimmte besondere Kategorien personenbezogener Daten in Verbindung mit seinen Funktionen als Arbeitgeber und zur Erfüllung bestimmter gesetzlicher Verpflichtungen. Wir untersuchen zum Beispiel Anschuldigungen in Bezug auf die Gesundheit oder Verwarnungen und Verurteilungen. Generell sind die Rechtsgrundlagen für eine solche Verarbeitung folgende:

– Sie ist für die Erfüllung oder Ausübung von Pflichten oder Rechten des Unternehmens oder der betroffenen Person im Rahmen eines Beschäftigungsverhältnisses erforderlich;

Sie ist für die Ausübung der in den besonderen Rechtsvorschriften festgelegten Aufgaben erforderlich und aus Gründen eines erheblichen öffentlichen Interesses erforderlich;

– Sie ist notwendig, um die Chancengleichheit oder die Gleichbehandlung durch das Unternehmen zu fördern und zu erhalten;

– Sie ist zur Verhütung oder Aufdeckung rechtswidriger Handlungen erforderlich, muss ohne Einwilligung der betroffenen Person erfolgen, um diese Zwecke nicht zu beeinträchtigen, und ist aus Gründen eines wichtigen öffentlichen Interesses erforderlich;

– Sie ist notwendig, um die Öffentlichkeit vor Unehrlichkeit, Fehlverhalten, Untauglichkeit oder Inkompetenz zu schützen, muss ohne die Zustimmung der betroffenen Person erfolgen, um die Ausübung dieser Funktion nicht zu beeinträchtigen, und ist aus Gründen eines wesentlichen öffentlichen Interesses erforderlich;

8.7 Wenn eine betroffene Person Grund zu der Annahme hat, dass das geltende Recht es DDM nicht erlaubt, seinen Verpflichtungen im Rahmen dieser Richtlinie nachzukommen, muss sie unverzüglich den Verantwortlichen für den Schutz personenbezogener Daten bei DDM informieren, indem sie eine Anfrage an die folgende E-Mail-Adresse sendet: info@slowenien-vignette.de

9. Transparenz

9.1 Allgemeine Informationen darüber, wie das Unternehmen als für die Datenverarbeitung Verantwortlicher die personenbezogenen Daten seiner Kunden (falls vorhanden) verarbeitet (als „Informationen zur fairen Verarbeitung“ bezeichnet), werden auf der Website des Unternehmens in Form von Datenschutzhinweisen und anderen öffentlich zugänglichen Materialien zur Verfügung gestellt;

9.2 Als für die Verarbeitung Verantwortlicher ist das Unternehmen von bestimmten Verpflichtungen zur Bereitstellung von Informationen über eine faire Verarbeitung (und anderen Rechten der betroffenen Personen) ausgenommen, wenn die Verarbeitung die ordnungsgemäße Ausübung seiner Aufgaben beeinträchtigen würde. Ebenso darf das Unternehmen keine Informationen über die faire Verarbeitung zur Verfügung stellen, wenn personenbezogene Daten verarbeitet werden, um Rechtsberatung einzuholen, für die Zwecke von Gerichtsverfahren (einschließlich anstehender Gerichtsverfahren) oder zur Weitergabe von Informationen an die Polizei, Börsenaufsichtsbehörden oder andere Strafverfolgungsbehörden;

10. Zweckbindung

10.1 Das Unternehmen stellt sicher, dass alle erhobenen Daten nur für festgelegte, ausdrückliche und rechtmäßige Zwecke verwendet werden. Das Unternehmen wird die Daten nicht in einer Weise weiterverarbeiten, die mit den ursprünglichen Zwecken unvereinbar ist;

10.2 Wenn das Unternehmen beabsichtigt, die Daten für einen anderen oder unvereinbaren Zweck zu verwenden als den, auf den es sich bei der ersten Erhebung verlassen hat, wird es dies tun:

– eine angemessene Rechtsgrundlage für den neuen Zweck haben;

– die Auswirkungen der Vorschläge auf die Privatsphäre zu bewerten;

– die betroffene Person über den neuen Zweck und die Rechtsgrundlage der Verarbeitung informieren;

10.3 Von uns gesammelte Informationen und wie wir sie verwenden;

Sicherlich werde ich die Informationen in neun Zeilen formatieren, ähnlich wie in Ihrem Beispiel:

1. Kategorie der erfassten Informationen: Persönliche und Online-Kennungen (z. B. Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Benutzernamen oder eindeutige Online-Kennungen):

– Quellen der Informationen: Direkt vom Nutzer, Marketingpartner;

– Erhebungs- und Verwendungszwecke: Bereitstellung und Verbesserung der Dienste, Personalisierung der Dienste, Kundensupport, Marketing und gezielte Werbung, Sicherheit und Betrugsprävention;

– Dritte, mit denen geteilt wird: Kundendienstpartner, Marketing-Sponsoren und -Partner, Werbenetzwerke, E-Commerce-Anbieter, Endeavor, Analysedienste;

2. Kategorie der erfassten Informationen: Finanzkontoinformationen (z. B. Kreditkartennummern, Bankkontoinformationen, Paypal-Kontoinformationen):

– Quellen der Informationen: Direkt vom Nutzer, Zahlungsanbieter;

– Erhebungs- und Verwendungszwecke: Zur Bereitstellung der Dienste, zum Verkauf von Waren, Tickets oder Endeavor-Inhalten;

– Dritte, mit denen geteilt wird: E-Commerce-Anbieter, Zahlungsanbieter, Betrugs- und Cybersicherheitsunternehmen, Endeavor;

3. Kategorie der erfassten Informationen: Staatliche Ausweise (z. B. Führerschein oder Reisepass):

– Quellen für Informationen: Unmittelbar vom Nutzer;

– Erhebungs- und Verwendungszwecke: Um reisebezogene Dienstleistungen zu erbringen, kann Endeavor;

– Drittparteien, mit denen geteilt wird: Direkt verwaltete E-Tolls-Anbieter;

4. Kategorie der erfassten Informationen: Informationen zum Kundenprofil (z. B. Rasse, Geschlecht, Altersspanne, Einkommensspanne, demografische Daten zu Anzeigen):

– Quellen der Informationen: Direkt vom Nutzer, Marketingpartner, Werbenetzwerke, Drittanbieter von Daten;

– Erhebungs- und Verwendungszwecke: Bereitstellung und Verbesserung der Dienste, Personalisierung der Dienste, Direktmarketing, gezielte Werbung, Analyse, Forschung und Entwicklung, Sicherheit und Betrugsprävention;

– Dritte, mit denen geteilt wird: Endeavor, Analysedienste, Werbenetzwerke, Technologiedienstleister, Marketingsponsoren und -partner;

5. Kategorie der gesammelten Informationen: Transaktionsbezogene Informationen:

– Quellen für Informationen: Direkt von Nutzern, E-Commerce-Anbietern;

– Erhebungs- und Verwendungszwecke: Bereitstellung und Verbesserung der Dienste, Kundensupport, Analyse, Forschung und Entwicklung, Endeavor;

– Dritte, mit denen geteilt wird: Analysedienste, Technologiedienstleister, E-Commerce-Anbieter;

6. Kategorie der erfassten Informationen: Kommunikation mit dem Nutzer (z. B. Nachrichten des Kundensupports, E-Mails, Beiträge in sozialen Medien):

– Quellen für Informationen: Direkt vom Nutzer, Kundenbetreuungspartner;

– Erhebungs- und Nutzungszwecke: Bereitstellung und Verbesserung der Dienste, Kundenbetreuung, Endeavor;

– Dritte, mit denen geteilt wird: Analysedienste, Technologiedienstleister, E-Commerce-Anbieter, Kundendienstpartner;

7. Kategorie der erfassten Informationen: Ungenaue Geolokalisierungsinformationen (z. B. Postleitzahl oder Ortsvorwahl, Staat, Land):

– Quellen der Informationen: Direkt von Ihnen, Cookies und ähnliche Technologien, Marketing-Sponsoren;

– Erhebungs- und Verwendungszwecke: Bereitstellung und Verbesserung der Dienste für die Nutzer, Personalisierung der Dienste, Betrug und Cybersicherheit, Direktmarketing, gezielte Werbung;

– Dritte, mit denen die Daten geteilt werden: Endeavor, Werbenetzwerke, Technologiedienstleister, Marketing-Sponsoren;

8. Kategorie der erfassten Informationen: Genaue Geolokalisierung (z. B. vollständige Adresse oder spezifischer Standort bei einer Veranstaltung):

– Quellen für Informationen: Direkt vom Nutzer, Marketing-Sponsoren, Technologie-Dienstleister;

– Erhebungs- und Verwendungszwecke: Bereitstellung und Verbesserung der Dienste für den Nutzer, Personalisierung der Dienste, Direktmarketing;

– Dritte, mit denen geteilt wird: Endeavor, Ad Networks, Technologie-Dienstleister, Marketing-Sponsoren;

9. Kategorie der gesammelten Informationen: Andere Informationen über den Nutzer, die mit den oben genannten persönlichen Informationen verknüpft sind:

– Quellen der Informationen: Direkt von Ihnen, Endeavor, Drittanbieter von Daten, Marketing-Sponsoren;

– Zwecke der Erfassung und Verwendung: Bereitstellung und Verbesserung der Dienste, Personalisierung der Dienste, Bestreben;

– Dritte, mit denen geteilt wird: Endeavor, Werbenetzwerke, Marketing-Sponsoren;

11. Verwendung von „Cookies“-Dateien

11.1 Bei der Nutzung der Website/Mobilanwendung werden Cookies verwendet, die auf den elektronischen Geräten der Nutzer installiert werden. DDM verwendet die folgenden Kategorien von Cookies:

– um den Nutzern einen stabilen Zugang zu den Funktionen der Website/Mobilanwendung zu ermöglichen;

– zur Verbesserung und Erleichterung der Nutzung der Website/Mobilanwendung durch die Nutzer;

für die korrekte Darstellung von DDM-Werbebotschaften innerhalb der Website/Mobilanwendung;

– den Nutzern den Zugang zum Austausch von Informationen von der Website/Mobilanwendung über soziale Netzwerke zu ermöglichen;

– die Erforschung von Indikatoren in Bezug auf die Zielgruppe der Website/Mobilanwendung (Verkehrsanalyse, Nutzungstrends);

11.2 DDM bittet die Nutzer vor Beginn der Nutzung der Website/Mobilanwendungen durch Übersendung einer entsprechenden elektronischen Nachricht (in Form eines Banners) um ihre Zustimmung zur Verwendung von „Cookies“-Dateien;

Die Nutzer haben folgende Möglichkeiten, Cookies zu verwenden:

– die automatische Speicherung und Verwendung von „Cookies“-Dateien erlauben;

– vor der Verwendung von „Cookies“-Dateien warnen;

– die Verwendung von „Cookies“-Dateien immer zu blockieren (mögliche Einschränkungen bei der Nutzung der Website in Form der Unmöglichkeit, individuelle Einstellungen durch die Nutzer vorzunehmen);

11.3 Die Nutzung der Website/Mobilanwendung beinhaltet die Nutzung der Funktionalität anderer Ressourcen, einschließlich:

– soziale Netzwerke (auf der Website/Mobilanwendung gibt es eine Option für den Nutzer, Inhalte direkt von der Website aus zu verbreiten) (je nach Funktionalität und internen Einstellungen der Website/Mobilanwendung). Das Verfahren für die Verwendung von „Cookies“-Dateien wird durch die entsprechenden Richtlinien dieser Unternehmen geregelt;

– Google Analytics, um allgemeine statistische Informationen über die Nutzung der Website/Mobilanwendungen zu sammeln (diese Informationen werden vom Unternehmen ausschließlich zur Verbesserung des Inhalts und der Dienstleistungen für die Nutzung der Website/Mobilanwendung verwendet). Die Funktionsweise von Google Analytics ist in der entsprechenden Unternehmenspolitik geregelt;

– andere Ressourcen, deren sichere Verwendung von DDM überprüft wurde;

11.4 DDM weist darauf hin, dass die Blockierung der Verwendung von „Cookies“-Dateien zu einem fehlerhaften Funktionieren der Website/Mobilanwendung führen kann. Die Nutzer haben das Recht, die Verwendung von Cookies ganz oder teilweise (bestimmte Arten von Cookies) zu blockieren, indem sie die Einstellungen des Webbrowsers der Geräte, die sie für den Zugriff auf die Website/Mobilanwendung verwenden, ändern;

12. Verwendung von Geolokalisierungsdaten

12.1 Wenn Sie unsere mobile App/Website/Dienstleistung nutzen, können wir die folgenden Arten von Geolokalisierungsdaten erfassen:

– GPS-basierte Standortinformationen;

– IP-Adresse und andere Gerätekennungen, die ungefähre Standortdaten liefern können;

– Wi-Fi-Zugangspunkte und Mobilfunkmasten in der Nähe Ihres Geräts, die ungefähre Standortinformationen liefern können;

– Andere standortbezogene Informationen, die von Ihnen oder Ihrem Gerät bereitgestellt werden;

12.2 Wir verwenden Geolokalisierungsdaten für die folgenden Zwecke:

– Bereitstellung standortbezogener Dienste, z. B. zum Auffinden von Sehenswürdigkeiten in der Nähe oder zur Bereitstellung standortspezifischer Inhalte;

– Zur Verbesserung unserer Website [Mobile App/Website/Service] und zur Optimierung der Nutzererfahrung auf der Grundlage des Standorts;

– Zur Analyse von Nutzertrends und -verhalten, um unsere Dienste zu verbessern und Inhalte anzupassen;

– Um Ihre Erfahrungen zu personalisieren, z. B. durch Bereitstellung relevanter Werbung und Empfehlungen auf der Grundlage Ihres Standorts;

– Einhaltung rechtlicher und regulatorischer Anforderungen;

12.3 Unter den folgenden Umständen können wir Ihre Geolokalisierungsdaten an Dritte weitergeben:

– Mit Dienstleistern und Partnern, die uns bei der Bereitstellung standortbezogener Dienste und der Verbesserung unserer [Mobile App/Website/Service] unterstützen;

– Mit Werbetreibenden und Marketingpartnern, um gezielte Werbung auf der Grundlage Ihres Standorts zu liefern;

– An Strafverfolgungsbehörden oder Behörden, wenn dies gesetzlich vorgeschrieben ist oder zum Schutz unserer Rechte und Sicherheit;

– Im Falle einer Fusion, einer Übernahme oder eines Verkaufs aller oder eines Teils unserer Vermögenswerte können Ihre Geolokalisierungsdaten an das übernehmende Unternehmen übertragen werden;

12.4 Wir setzen branchenübliche Sicherheitsmaßnahmen ein, um Ihre Geolokalisierungsdaten vor unbefugtem Zugriff, Offenlegung oder Änderung zu schützen. Allerdings ist keine Datenübertragung über das Internet und keine Methode der elektronischen Speicherung zu 100 % sicher. Obwohl wir uns bemühen, wirtschaftlich vertretbare Mittel zum Schutz Ihrer Daten einzusetzen, können wir daher keine absolute Sicherheit garantieren;

12.5 Sie haben das Recht zu kontrollieren, wie Ihre Geolokalisierungsdaten erfasst und verwendet werden. Sie können die Standortdienste auf Ihrem Gerät deaktivieren oder die App-Einstellungen so anpassen, dass der Standortzugriff eingeschränkt wird. Die Deaktivierung von Ortungsdiensten kann jedoch bestimmte Merkmale und Funktionen unserer mobilen App/Website/Dienstleistung einschränken;

13. Datensparsamkeit

13.1 Das Unternehmen verarbeitet personenbezogene Daten in einer Weise, die angemessen und relevant ist und sich auf das beschränkt, was für die Zwecke des Unternehmens erforderlich ist;

13.2 Alle personenbezogenen Daten müssen über firmeneigene Computersysteme mit dem entsprechenden Sicherheitsniveau gemäß der entsprechenden Richtlinie des Unternehmens verarbeitet werden;

13.3 Unnötige Kopien von Informationen müssen gelöscht oder sicher vernichtet werden;

13.4 Mitarbeiter und Auftragnehmer dürfen personenbezogene Daten nur in dem Maße verarbeiten, wie es für die Erfüllung ihrer Aufgaben erforderlich ist. Das Unternehmen kann die Verwendung der Daten überwachen oder prüfen, um dies zu gewährleisten;

14. Genauigkeit

14.1 Das Unternehmen stellt so weit wie möglich sicher, dass die Daten, über die das Unternehmen verfügt, korrekt sind und auf dem neuesten Stand gehalten werden. Unter bestimmten Umständen kann es sein, dass die Gesellschaft im Rahmen ihrer Regulierungsaufgaben sachlich unrichtige Informationen oder eine Meinung, der jemand zustimmt, aufbewahren muss, z. B. wenn die Gesellschaft einer Behauptung nachgeht, dass der Eintrag einer Person in unser Register fälschlicherweise erwirkt oder in betrügerischer Weise herbeigeführt wurde;

14.2 Die Mitarbeiter und Auftragnehmer sind für die Überprüfung der Richtigkeit der vom Unternehmen erhobenen personenbezogenen Daten verantwortlich. Mitarbeiter und Auftragnehmer müssen alle angemessenen Maßnahmen ergreifen, um unrichtige personenbezogene Daten zu vernichten oder zu aktualisieren;

15. Speicherbegrenzung, Aufbewahrung und Vernichtung

15.1 Das Unternehmen stellt sicher, dass personenbezogene Daten nicht länger als nötig in identifizierbarer Form aufbewahrt werden, und im Allgemeinen darf die Aufbewahrungsfrist für personenbezogene Daten 90 Kalendertage nicht überschreiten, wenn keine Ausnahmeregelung in den einschlägigen Rechtsvorschriften vorgesehen ist;

15.2 Aufgrund seiner Funktion als Sicherheitshändler bewahrt das Unternehmen einige personenbezogene Daten für lange Zeiträume auf, wie es die verschiedenen Vorschriften und Verfahren zur Datenspeicherung vorschreiben;

15.3 Die Mitarbeiter und Auftragnehmer sind dafür verantwortlich, personenbezogene Daten in Übereinstimmung mit dieser Richtlinie zu speichern und die in speziellen Vorschriften festgelegten Aufbewahrungsfristen einzuhalten;

15.4 In jedem Fall dürfen personenbezogene Daten, sofern keine besonderen gerichtlichen oder gesetzlichen Vorschriften bestehen, nicht länger als 10 Jahre aufbewahrt werden und sind nach Ablauf dieser Frist unverzüglich zu löschen;

16. Sicherheit, Integrität und Vertraulichkeit

16.1 Das Unternehmen entwickelt, implementiert und unterhält geeignete Datensicherheitssysteme, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten zu schützen;

16.2 Das Unternehmen wird die Wirksamkeit seiner Datensicherheitssysteme regelmäßig (mindestens jährlich) überprüfen, bewerten und testen;

16.3 Mitarbeiter und Auftragnehmer müssen diese Richtlinie einhalten. In diesen Richtlinien sind die Maßnahmen festgelegt, die ergriffen werden müssen, um die „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ aller personenbezogenen Daten von der Erfassung bis zur Vernichtung zu schützen. In diesem Zusammenhang:

– Vertraulichkeit“ bedeutet, dass nur Personen, die befugt sind, personenbezogene Daten zu kennen und zu verwenden, Zugang zu diesen Daten haben;

– Integrität“ bedeutet, dass personenbezogene Daten richtig und für den Zweck, für den sie verarbeitet werden, geeignet sind;

– Verfügbarkeit“ bedeutet, dass nur befugte Personen auf die personenbezogenen Daten zugreifen können, wenn sie sie für zulässige Zwecke benötigen;

17. Sicherheitsvorfälle

17.1 Jeder, der an einem Informationssicherheitsvorfall (oder einem vermuteten Vorfall) beteiligt ist oder Zeuge davon wird, muss den Compliance-Beauftragten des Unternehmens so schnell wie möglich nach dem Vorfall unter info@slowenien-vignette.de informieren;

17.2 Vorfälle im Bereich der Informationssicherheit müssen gemäß der Sicherheitspolitik im Bereich der Informationstechnologie gemeldet und behandelt werden;

18. Beschränkung der Übertragung

18.1 Das Unternehmen sollte normalerweise nur Daten außerhalb des Landes übermitteln, in dem sie sich befinden:

– die zur Erfüllung seiner Aufgaben als für die Verarbeitung Verantwortlicher erforderlich sind;

– im öffentlichen Interesse erforderlich sind (z. B. zur Erfüllung der Aufgaben eines ähnlichen Datenverantwortlichen im Ausland, nur mit vorheriger Bestätigung durch eine besondere staatliche Behörde, falls eine solche Bestätigung erforderlich ist);

– die betroffene Person hat der Übermittlung ausdrücklich zugestimmt;

– die zur Geltendmachung oder Abwehr von Rechtsansprüchen nach dem Gesetzgebungsverfahren erforderlich sind;

19. Rechte und Anträge

19.1 Betroffene Personen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben möchten, sollten ihren Antrag in der Regel schriftlich über die Website des Unternehmens oder per Brief an die entsprechende E-Mail-Adresse info@slowenien-vignette.de stellen, damit der Antrag vom Unternehmen bearbeitet werden kann;

19.2 Jeder Mitarbeiter oder Auftragnehmer, der einen Antrag einer betroffenen Person auf Ausübung ihrer Rechte erhält, muss diesen Antrag so schnell wie möglich an die zuständigen Beamten des Unternehmens weiterleiten;

20. Aktenführung

20.1 Alle Mitarbeiter und Auftragnehmer müssen genaue Unternehmensaufzeichnungen über die Datenverarbeitung führen und pflegen;

21. Datenschutz durch Technik (falls zutreffend)

21.1 Das Unternehmen setzt geeignete technische und organisatorische Lösungen (wie z.B. Pseudonymisierung) ein, um die Einhaltung der Grundsätze des Datenschutzes durch Technik zu gewährleisten;

21.2 Die Verantwortlichen sind für die Bewertung und Umsetzung geeigneter Lösungen für den „eingebauten Datenschutz“ bei allen Programmen, Systemen und Vorgängen verantwortlich, bei denen personenbezogene Daten verarbeitet werden. Dabei werden die Manager Folgendes berücksichtigen:

– den Stand der Technik;

– die Kosten der Durchführung;

– die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung;

– alle nachteiligen Auswirkungen, die die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen haben kann;

22. Datenschutz-Folgenabschätzungen

22.1 Das Unternehmen prüft die Notwendigkeit von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) in Bezug auf unsere Datenverarbeitungsaktivitäten gemäß der Informationstechnologie-Sicherheitspolitik des Unternehmens und führt diese gegebenenfalls auch durch;

22.2 Das Unternehmen führt eine Datenschutzfolgenabschätzung durch, wenn es eine neue Verarbeitungstätigkeit vornimmt, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person mit sich bringt;

22.3 Insbesondere stellen die Direktoren sicher, dass eine Datenschutzfolgenabschätzung durchgeführt wird, wenn sie größere System- oder Geschäftsänderungsprogramme vorschlagen oder Überprüfungen solcher Programme durchführen, die Folgendes beinhalten:

– Einsatz neuer oder sich ändernder Technologien (Programme, Systeme oder Verfahren);

– Automatisierte Verarbeitung einschließlich Profiling und automatisierte Entscheidungsfindung;

– Groß angelegte Verarbeitungen von besonderen Kategorien oder anderen sensiblen personenbezogenen Daten;

– Groß angelegte, systematische Überwachung eines öffentlich zugänglichen Bereichs;

23. Automatisierte Verarbeitung und Entscheidungsfindung

23.1 Im Allgemeinen führt das Unternehmen eine automatisierte Verarbeitung/Profilierung oder eine automatisierte Entscheidungsfindung durch;

23.2 Wenn das Unternehmen eine automatisierte Entscheidungsfindung/Profilerstellung vornimmt, informieren wir die betroffene Person über die Gründe für die Entscheidungsfindung/Profilerstellung und alle sich daraus ergebenden Konsequenzen. Das Unternehmen räumt der betroffenen Person auch das Recht ein, einen menschlichen Eingriff zu verlangen, ihren Standpunkt zu äußern oder die Entscheidung anzufechten. Wenn möglich, wird das Unternehmen dies tun, bevor die Entscheidung getroffen wird;

24. Datenverarbeiter

24.1 Das Unternehmen kann Verträge mit anderen Organisationen abschließen, um personenbezogene Daten in seinem Namen zu verarbeiten;

24.2 Das Unternehmen wird einen Datenverarbeiter nur dann beauftragen, wenn es sich nach Durchführung einer Due-Diligence-Prüfung vergewissert hat, dass dieser in der Lage ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Anforderungen der Datenschutzgesetze entsprechen;

24.3 Die Beauftragung eines Datenverarbeiters muss die in der Datenschutzgesetzgebung festgelegten vertraglichen Anforderungen enthalten;

24.4 Der Compliance-Beauftragte kann gebeten werden, über vertragliche Vereinbarungen mit Datenverarbeitern zu beraten;

25. Gemeinsame Nutzung von Daten

25.1 Jegliche Weitergabe personenbezogener Daten an externe Dritte ohne vorherige Zustimmung der betroffenen Person ist untersagt, es sei denn, es liegen besondere gesetzliche Vorschriften vor. In jedem Fall muss eine solche Weitergabe von Daten mit der vorliegenden Richtlinie übereinstimmen, sofern sie relevant ist;

26. Beschwerdeverfahren

26.1 Jeder, der der Meinung ist, dass diese Richtlinie nicht befolgt wurde, kann eine Beschwerde gemäß dem Beschwerdeverfahren des Unternehmens einreichen. Die Beschwerde wird der Innenrevision gemeldet, die gebeten werden kann, bei der Beantwortung der Beschwerde oder über das Whistleblowing-System zu beraten. Die Innenrevision kann die Angelegenheit selbst untersuchen oder sich an den Compliance-Beauftragten des Unternehmens wenden;

26.2 Stellt der Compliance-Beauftragte des Unternehmens nach der Prüfung der Beschwerde bezüglich der Nichteinhaltung bestimmter Bestimmungen dieser Richtlinie fest, dass Verstöße vorliegen, ergreift er die folgenden Maßnahmen:

– Gibt an, gegen welche spezifischen Bestimmungen der Richtlinie verstoßen wurde und was der Inhalt des Verstoßes war;

– Legt fest, wer für die Nichteinhaltung der Bestimmungen der Richtlinie verantwortlich ist;

– Vorlage der Untersuchungsergebnisse beim CEO und beim Vorstand mit Empfehlungen zur disziplinarischen Verantwortung der Personen, die den Verstoß begangen haben (falls solche Maßnahmen erforderlich sind) und/oder zur Änderung der Unternehmensrichtlinien und/oder der Soft- und Hardware, um festgestellte Verstöße zu minimieren und in Zukunft zu verhindern;

– Benachrichtigt interessierte Parteien über festgestellte Verstöße gegen die Richtlinien und über Maßnahmen, die das Unternehmen ergreift, um diese zu beseitigen und in Zukunft zu verhindern;

26.3 Der Verwaltungsrat der Gesellschaft würde als Ergebnis der Untersuchung die folgenden Entscheidungen treffen:

– macht die Personen disziplinarisch verantwortlich, die gegen die Anforderungen dieser Politik (wenn sie solche Maßnahmen für angemessen hält) und gegebenenfalls gegen die einschlägigen Rechtsvorschriften verstoßen haben;

– Änderungen an den bestehenden Regeln und Verfahren dieser Richtlinie und/oder an der Soft- und Hardware veranlasst, um festgestellte Verstöße in Zukunft zu minimieren und zu verhindern;

– prüft die Frage des Schadensersatzes für Dritte, wenn ein solcher gefordert wird und durch einen Verstoß gegen diese Richtlinie und gegebenenfalls gegen einschlägige Rechtsvorschriften verursacht wurde;

GÜLTIGKEITSDATUM UND REGELMÄSSIGE ÜBERPRÜFUNG

Diese Politik ist ab dem Datum ihrer Veröffentlichung unternehmensweit gültig.

Der Inhalt wird in regelmäßigen Abständen überprüft, und etwaige Änderungen werden gegebenenfalls vorgenommen.