Datenschutzerklärung

StorMagic Ltd

Datenschutzerklärung

Siehe auch:

Die Organisation muss bestimmte Arten von Informationen über Mitarbeiter, Kunden und andere Personen, die mit dem Unternehmen in Kontakt kommen, erheben und verwenden, um ihren Betrieb aufrechtzuerhalten. Darüber hinaus kann sie gesetzlich verpflichtet sein, bestimmte Arten von Informationen zu erheben und zu verwenden, um den gesetzlichen Verpflichtungen gegenüber Kommunalbehörden, Regierungsbehörden und anderen Stellen nachzukommen.

Diese personenbezogenen Daten müssen unabhängig davon, wie sie erhoben, gespeichert und genutzt werden – sei es in Papierform, auf einem Computer oder auf anderen Datenträgern –, ordnungsgemäß behandelt werden; es bestehen Sicherheitsvorkehrungen, um sicherzustellen, dass dies im Einklang mit der Datenschutz-Grundverordnung der EU und dem Datenschutzgesetz von 1998 erfolgt.

Wir messen dem rechtmäßigen und ordnungsgemäßen Umgang mit personenbezogenen Daten große Bedeutung bei, sowohl für den erfolgreichen Geschäftsbetrieb als auch für die Aufrechterhaltung des Vertrauens zwischen unseren Geschäftspartnern und uns. Wir stellen sicher, dass unsere Organisation personenbezogene Daten rechtmäßig und ordnungsgemäß behandelt.

Die meisten Unternehmen speichern personenbezogene Daten ihrer Kunden, Mitarbeiter und Partner. Die rasante Zunahme der Internetnutzung, der elektronischen Kommunikation und der Digitalisierung von Geschäftsdaten hat dazu geführt, dass dem Datenschutz eine immer größere Bedeutung zukommt. Verstöße gegen die Sicherheit digitaler Daten haben zur Einführung entsprechender Rechtsvorschriften auf nationaler und europäischer Ebene geführt.

Dazu gehören:

  • Menschenrechtsgesetz von 1998
  • Gesetz über die Informationsfreiheit von 2000
  • Verordnung über den Datenschutz und die elektronische Kommunikation von 2003
  • Gesetz über die Regulierung der Ermittlungsbefugnisse von 2000
  • Telekommunikation (rechtmäßige Geschäftspraktiken) – Verordnung über die Überwachung des Telekommunikationsverkehrs von 2000
  • Datenschutzgesetz von 1998
  • Gesetz über den Missbrauch von Computern von 1990
  • Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO)

Die Datenschutz-Grundverordnung von 2016 ersetzt die EU-Datenschutzrichtlinie von 1995 und hat Vorrang vor den Rechtsvorschriften der einzelnen Mitgliedstaaten, die in Übereinstimmung mit der Datenschutzrichtlinie 95/46/EG erlassen wurden. Ihr Zweck ist es, die „Rechte und Freiheiten“ lebender Personen zu schützen und sicherzustellen, dass personenbezogene Daten nicht ohne deren Wissen verarbeitet werden und – soweit möglich – nur mit deren Einwilligung verarbeitet werden.

Die Unternehmensleitung von StorMagic Ltd setzt sich nachdrücklich für die Rechte der Personen ein, deren Daten sie erhebt und verarbeitet, und wird die britischen und EU-Rechtsvorschriften zum Schutz personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) der EU einhalten.

Um dies zu erreichen, hat die Unternehmensleitung von StorMagic Ltd ein System zum Management personenbezogener Daten (PIMS) eingeführt, das kontinuierlich gepflegt und weiterentwickelt wird.

Der Geltungsbereich des PIMS für StorMagic Ltd kann sich auf die gesamte Organisation oder auf einen bestimmten, von der Unternehmensleitung festgelegten Teil des Unternehmens erstrecken. Bei der Festlegung des Geltungsbereichs sind der Standort der Geschäftstätigkeit, die rechtliche Zuständigkeit und die Verantwortlichkeiten der Geschäftsleitung zu berücksichtigen.

Das von der Geschäftsleitung von StorMagic Ltd. eingeführte PIMS soll die Anforderungen der EU-DSGVO an die Verwaltung personenbezogener Daten erfüllen und wird kontinuierlich gepflegt und verbessert. Das PIMS soll zudem sicherstellen, dass die Ziele von StorMagic Ltd und die gesetzlichen Verpflichtungen erfüllt werden, und es soll gewährleisten, dass Kontrollmaßnahmen vorhanden sind, die dem Risikoniveau entsprechen, das StorMagic Ltd zu akzeptieren bereit ist. Darüber hinaus soll das PIMS sicherstellen, dass StorMagic Ltd in der Lage ist, alle geltenden regulatorischen, gesetzlichen und vertraglichen Verpflichtungen zu erfüllen. Vor allem muss das PIMS StorMagic Ltd in die Lage versetzen, die Interessen von Einzelpersonen und allen anderen relevanten Interessengruppen zu schützen.

Um die Anforderungen der DSGVO zu erfüllen, wird StorMagic Ltd:

  • Verarbeiten Sie personenbezogene Daten nur, wenn dies für berechtigte organisatorische Zwecke unbedingt erforderlich ist.
  • Erheben Sie nur die für diese Zwecke erforderlichen Mindestangaben zu personenbezogenen Daten und verarbeiten Sie keine übermäßigen Mengen an personenbezogenen Daten.
  • Informieren Sie die betroffenen Personen klar und deutlich darüber, wie ihre personenbezogenen Daten verwendet werden und wer diese Daten nutzt.
  • Nur relevante und angemessene personenbezogene Daten verarbeiten
  • Personenbezogene Daten fair und rechtmäßig verarbeiten.
  • Bewahren Sie alle persönlichen Daten sicher auf.
  • Führen Sie ein Verzeichnis der Kategorien personenbezogener Daten, die verarbeitet werden
  • Stellen Sie sicher, dass sie ihre persönlichen Daten korrekt und auf dem neuesten Stand halten.
  • Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie dies aus rechtlichen oder behördlichen Gründen oder für berechtigte organisatorische Zwecke erforderlich ist.
  • Die Rechte des Einzelnen in Bezug auf seine personenbezogenen Daten gemäß der DSGVO sind zu achten. Personenbezogene Daten dürfen nur dann in Länder außerhalb der EU-Mitgliedstaaten übermittelt werden, wenn dort ein angemessener Schutz gewährleistet ist und die Bestimmungen der EU-DSGVO eingehalten werden.
  • Wenden Sie ausschließlich die nach den datenschutzrechtlichen Bestimmungen zulässigen Ausnahmen an.
  • Entwicklung und Einführung eines PIMS, um die Umsetzung der Richtlinie zu ermöglichen.
  • Ermitteln Sie die internen und externen Interessengruppen sowie den Umfang, in dem diese Interessengruppen an der Steuerung des PIMS von StorMagic Ltd. beteiligt sind.
  • Bestimmen Sie Mitarbeiter, die für die laufende Wartung und den Support des PIMS konkret verantwortlich und rechenschaftspflichtig sind.

Diese Richtlinie gilt für alle Mitarbeiter und Auftragsverarbeiter von StorMagic Ltd, einschließlich ausgelagerter Dienstleister. Jeder Verstoß gegen die DSGVO gilt als Verstoß gegen die Disziplinarrichtlinie und kann zudem als Straftat angesehen werden, die möglicherweise strafrechtlich verfolgt wird.

Von allen Dritten, die mit oder für StorMagic Ltd. tätig sind und Zugang zu personenbezogenen Daten haben oder haben könnten, wird erwartet, dass sie diese Richtlinie einhalten. Alle Dritten, die Zugang zu personenbezogenen Daten benötigen, müssen eine Vertraulichkeitsvereinbarung unterzeichnen, bevor ihnen der Zugang gewährt wird. Diese Vereinbarung stellt sicher, dass der Dritte denselben rechtlichen Verpflichtungen unterliegt wie StorMagic Ltd. Dazu gehört auch die Vereinbarung, dass StorMagic Ltd. die Einhaltung der Vereinbarung überprüfen darf.

Die DSGVO gilt für alle in der EU (Europäischen Union) ansässigen Verantwortlichen, die im Rahmen dieser Niederlassung personenbezogene Daten von betroffenen Personen verarbeiten. Sie gilt außerdem für Verantwortliche außerhalb der EU, die personenbezogene Daten verarbeiten, um Waren und Dienstleistungen anzubieten oder das Verhalten von betroffenen Personen mit Wohnsitz in der EU zu überwachen.

Der Standort eines in der EU ansässigen Verantwortlichen im Sinne der DSGVO ist der Ort, an dem der Verantwortliche die wesentlichen Entscheidungen in Bezug auf den Zweck der Datenverarbeitung trifft. Dies ist der Hauptsitz von StorMagic Ltd.

StorMagic Ltd
The Quadrant
2430/2440, Aztec West
Almondsbury
Bristol
BS32 4AQ
Vereinigtes Königreich

Wichtige Begriffsdefinitionen

Personenbezogene Daten – darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einem Identifikator wie einem Namen, einer Identifikationsnummer, Standortdaten, einem Online-Identifikator oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Besondere Kategorien personenbezogener Datenpersonenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

Verantwortlicherdie natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel dieser Verarbeitung durch das Recht der Union oder eines Mitgliedstaats festgelegt, so kann der Verantwortliche oder die spezifischen Kriterien für dessen Benennung durch das Recht der Union oder eines Mitgliedstaats vorgesehen sein.

Betroffene Personjede lebende Person, auf die sich die von einer Organisation gespeicherten personenbezogenen Daten beziehen.

Verarbeitungjeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Datensätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies automatisiert erfolgt oder nicht, wie beispielsweise das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, das Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder sonstige Bereitstellung, das Abgleichen oder Verknüpfen, das Einschränken, Löschen oder Vernichten.

Profilierungjede Form der automatisierten Verarbeitung personenbezogener Daten, die dazu bestimmt ist, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten oder die Arbeitsleistung, die wirtschaftliche Lage, den Aufenthaltsort, die Gesundheit, die persönlichen Vorlieben, die Zuverlässigkeit oder das Verhalten dieser Person zu analysieren oder vorherzusagen. Diese Definition steht im Zusammenhang mit dem Recht der betroffenen Person, der Profilerstellung zu widersprechen, sowie mit dem Recht auf Unterrichtung über das Vorliegen einer Profilerstellung, über auf der Profilerstellung beruhende Maßnahmen und über die beabsichtigten Auswirkungen der Profilerstellung auf die betroffene Person.

Verletzung des Schutzes personenbezogener Dateneine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. Der Verantwortliche ist verpflichtet, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden, insbesondere wenn die Verletzung voraussichtlich negative Auswirkungen auf die personenbezogenen Daten oder die Privatsphäre der betroffenen Person hat.

Einwilligung der betroffenen Personjede freiwillig abgegebene, spezifische, in Kenntnis der Sachlage erfolgende und unmissverständliche Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis zur Verarbeitung personenbezogener Daten zum Ausdruck bringt.

KindGemäß der DSGVO gilt als Kind jede Person unter 16 Jahren. Die Verarbeitung personenbezogener Daten eines Kindes unter 13 Jahren ist nur dann rechtmäßig, wenn die Einwilligung der Eltern oder des Erziehungsberechtigten vorliegt.

Drittereine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder ein Gremium, die bzw. das nicht die betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder Personen ist, die unter der unmittelbaren Weisungsbefugnis des Verantwortlichen oder des Auftragsverarbeiters zur Verarbeitung personenbezogener Daten befugt sind.

Dateisystemjede strukturierte Sammlung personenbezogener Daten, auf die nach bestimmten Kriterien zugegriffen werden kann, unabhängig davon, ob sie zentralisiert, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten verteilt ist.

Verantwortlichkeiten des Unternehmens

StorMagic Ltd ist ein Verantwortlicher und ein Auftragsverarbeiter im Sinne der DSGVO.

Die Geschäftsleitung sowie alle Personen in Führungs- oder Aufsichtsfunktionen bei StorMagic Ltd sind dafür verantwortlich, innerhalb des Unternehmens bewährte Verfahren für den Umgang mit Informationen zu entwickeln und zu fördern; die jeweiligen Zuständigkeiten sind in den einzelnen Stellenbeschreibungen festgelegt.

Ein DSGVO-Beauftragter, der dem Führungsteam angehört, ist gegenüber der obersten Leitung von StorMagic Ltd für die Verwaltung personenbezogener Daten innerhalb von StorMagic Ltd verantwortlich und dafür, dass die Einhaltung der Datenschutzgesetze und bewährter Verfahren nachgewiesen werden kann. Diese Verantwortung umfasst die Entwicklung und Umsetzung des PIMS sowie des Sicherheits- und Risikomanagements, um die Einhaltung der Vorschriften sicherzustellen.

StorMagic Ltd hat einen DSGVO-Beauftragten ernannt, der für die tägliche Einhaltung dieser Richtlinie verantwortlich ist. Der DSGVO-Beauftragte ist dafür verantwortlich, sicherzustellen, dass StorMagic Ltd die DSGVO in Bezug auf alle Aspekte der Datenverarbeitung einhält. Der DSGVO-Beauftragte trägt die direkte Verantwortung für Richtlinien und Verfahren, einschließlich Auskunftsersuchen betroffener Personen. Der DSGVO-Beauftragte ist zudem die Anlaufstelle für alle Mitarbeiter, die Beratung zur Einhaltung der DSGVO benötigen.

Es sei darauf hingewiesen, dass die Einhaltung der DSGVO-Anforderungen weiterhin in der Verantwortung aller Mitarbeiter liegt, die personenbezogene Daten für StorMagic Ltd verarbeiten oder kontrollieren. Alle bei StorMagic Ltd beschäftigten Mitarbeiter sind zudem dafür verantwortlich, sicherzustellen, dass alle sie betreffenden personenbezogenen Daten, die sie StorMagic Ltd zur Verfügung stellen, korrekt und aktuell sind.

Die Schulungsrichtlinie von StorMagic Ltd legt konkret fest, welche Schulungen für alle Mitarbeiter erforderlich sind, einschließlich bestimmter Funktionen.

Risikobewertung im Zusammenhang mit der DSGVO

StorMagic Ltd muss sicherstellen, dass es sich aller Risiken bewusst ist, die mit der Verarbeitung aller Arten von personenbezogenen Daten verbunden sind. Es wurde ein Verfahren zur Risikobewertung eingeführt, das von StorMagic Ltd genutzt wird, um etwaige Risiken für betroffene Personen bei der Verarbeitung ihrer personenbezogenen Daten zu bewerten. StorMagic Ltd führt zudem Risikobewertungen für alle Verarbeitungsvorgänge durch, die in seinem Auftrag von einer Drittorganisation durchgeführt werden. Durch die Anwendung des Risikobewertungsverfahrens stellt StorMagic Ltd außerdem sicher, dass alle identifizierten Risiken angemessen gesteuert werden, um das Risiko einer Nichteinhaltung der Vorschriften zu verringern.

Falls die Verarbeitung personenbezogener Daten ein hohes Risiko für die „Rechte und Freiheiten“ natürlicher Personen mit sich bringen könnte, führt StorMagic Ltd vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung durch, um den Schutz der personenbezogenen Daten zu gewährleisten. Diese Folgenabschätzung kann auch auf eine Reihe ähnlicher Verarbeitungsszenarien mit vergleichbarem Risikoniveau angewendet werden.

Sollte sich im Rahmen einer Datenschutz-Folgenabschätzung herausstellen, dass StorMagic Ltd personenbezogene Daten in einer Weise verarbeitet, die den betroffenen Personen Schaden und/oder Leid zufügen könnte, muss der DSGVO-Beauftragte den Prozess überprüfen, bevor StorMagic Ltd mit der Verarbeitung der Daten fortfährt. Sollte der DSGVO-Beauftragte zu dem Schluss kommen, dass erhebliche Risiken für die betroffenen Personen bestehen, wird er die Angelegenheit zur endgültigen Klärung an die ICO weiterleiten.

Grundsätze des Datenschutzes

Jede Verarbeitung personenbezogener Daten muss im Einklang mit den folgenden Datenschutzgrundsätzen der Verordnung erfolgen, und die Richtlinien und Verfahren von StorMagic Ltd. im Rahmen des PIMS gewährleisten die Einhaltung dieser Grundsätze.

Personenbezogene Daten müssen rechtmäßig, fair und transparent verarbeitet werden. In der Richtlinie zur fairen Datenverarbeitung von StorMagic Ltd. wird detailliert beschrieben, wie dies gewährleistet wird.

Die DSGVO führt das Transparenzgebot ein, wonach der Verantwortliche über transparente und leicht zugängliche Richtlinien hinsichtlich der Verarbeitung personenbezogener Daten und der Ausübung der „Rechte und Freiheiten“ betroffener Personen verfügen muss.

Die Informationen müssen der betroffenen Person in verständlicher Form unter Verwendung einer klaren und einfachen Sprache mitgeteilt werden.

Die spezifischen Informationen, die der betroffenen Person zur Verfügung gestellt werden müssen, müssen mindestens Folgendes umfassen:

  • Die Identität und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters.
  • Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten gemäß DSGVO.
  • Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung.
  • Der Zeitraum, für den die personenbezogenen Daten gespeichert werden.
  • Das Bestehen der Rechte auf Auskunft, Berichtigung, Löschung sowie auf Widerspruch gegen die Verarbeitung.
  • Die betroffenen Kategorien personenbezogener Daten.
  • Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
  • Gegebenenfalls, dass der Verantwortliche beabsichtigt, personenbezogene Daten an einen Empfänger in einem Drittland zu übermitteln, sowie das Schutzniveau, das den Daten gewährt wird.
  • Alle weiteren Informationen, die zur Gewährleistung einer fairen Verarbeitung erforderlich sind.

Personenbezogene Daten dürfen nur für festgelegte, ausdrücklich angegebene und rechtmäßige Zwecke erhoben werden. Richtlinie zur fairen Datenverarbeitung.

Personenbezogene Daten müssen angemessen, relevant und auf das für die Verarbeitung erforderliche Maß beschränkt sein. Der DSGVO-Beauftragte ist dafür verantwortlich, sicherzustellen, dass keine Informationen erhoben werden, die für den Zweck, für den sie erhoben werden, nicht unbedingt erforderlich sind.

Alle Methoden der Datenerhebung (elektronisch oder in Papierform), einschließlich der Anforderungen an die Datenerhebung in neuen Informationssystemen, müssen vom DSGVO-Beauftragten genehmigt und die Genehmigung dokumentiert werden.

Die StorMagic-Website verwendet Cookies, um das Nutzererlebnis der Besucher zu optimieren und zu verbessern.

Ein Cookie ist eine Informationsdatei, die von einem Browser (wie beispielsweise Google Chrome oder Internet Explorer) auf Ihrem Computer oder Mobiltelefon gespeichert wird. Wenn Sie die Website zu einem späteren Zeitpunkt erneut aufrufen, nutzen die Cookies die über Ihren Besuch gesammelten Informationen, um Funktionen wie vorausgefüllte Formulare zu ermöglichen.

StorMagic nutzt die durch Cookies bereitgestellten Informationen für folgende Zwecke:

  • Um die Funktionalität und Leistung der Website durch die Erfassung von Nutzungsstatistiken und Präferenzen zu verbessern.
  • Um Inhalte, einschließlich Werbung, auf der Grundlage Ihrer Aktivitäten auf der StorMagic-Website bereitzustellen.

Bei Ihrem ersten Besuch der Website von StorMagic Ltd haben Sie die Wahl, der Verwendung von Cookies zuzustimmen oder diese abzulehnen. Darüber hinaus können Sie Ihre Cookie-Einstellungen für jede einzelne Website jederzeit über die Einstellungen Ihres Internetbrowsers anpassen.

Wenn Sie sich dafür entscheiden, Cookies abzulehnen, wird folgende Meldung angezeigt:

„Wir speichern keine Daten über Ihren Besuch auf unserer Website. Um jedoch Ihren Einstellungen gerecht zu werden, müssen wir ein einziges kleines Cookie verwenden, damit Sie diese Auswahl nicht erneut treffen müssen.“

Wenn Sie die Cookies in Ihrem Internetbrowser löschen und die Website erneut besuchen, müssen Sie beim nächsten Besuch unserer Website die Einwilligung verweigern.

Die Dienstleister, die wir für die Schaltung und das Hosting unserer Werbeanzeigen sowie für den Versand unserer Marketing-E-Mails einsetzen, verwenden Cookies, um zu erfassen, wie oft die Website aufgerufen wird und ob der Zugriff über eine Werbeanzeige erfolgte. Ein Cookie wird nur dann auf Ihrem Gerät gespeichert, wenn Sie auf eine Werbeanzeige oder einen Link in einer E-Mail klicken. Das durch die Werbeanzeige oder die E-Mail generierte Cookie enthält keine personenbezogenen Daten und verbleibt auf Ihrer Festplatte, bis Sie es löschen.

Der Datenschutzbeauftragte wird dafür sorgen, dass alle Methoden der Datenerhebung jährlich durch die interne Revision oder externe Experten überprüft werden, um sicherzustellen, dass die Erhebung weiterhin angemessen, relevant und nicht übermäßig ist.

Der Datenschutzbeauftragte ist dafür verantwortlich, sicherzustellen, dass alle Daten, bei denen sich herausstellt, dass sie übermäßig erhoben wurden oder von StorMagic Ltd nicht ausdrücklich benötigt werden, gemäß der Richtlinie zur Datenaufbewahrung sicher gelöscht oder vernichtet werden.

Weitere Überlegungen

Personenbezogene Daten müssen korrekt sein und auf dem neuesten Stand gehalten werden.

Daten, die über einen längeren Zeitraum aufbewahrt werden, müssen überprüft und gegebenenfalls aktualisiert werden. Alle Daten, die als ungenau gelten oder bei denen die Wahrscheinlichkeit besteht, dass sie ungenau sind, müssen gelöscht werden.

Die Unternehmensleitung ist dafür verantwortlich, sicherzustellen, dass alle Mitarbeiter darüber geschult werden, wie wichtig die Erhebung und Pflege korrekter Daten ist.

Jede Person ist dafür verantwortlich, sicherzustellen, dass alle bei StorMagic Ltd gespeicherten Daten korrekt und aktuell sind. Alle Daten, die eine Person an ein Unternehmen übermittelt, beispielsweise über ein Registrierungsformular, gelten zum Zeitpunkt des Eingangs als korrekt.

Mitarbeiter oder andere Personen sollten StorMagic Ltd über etwaige Änderungen ihrer personenbezogenen Daten informieren, um sicherzustellen, dass diese Daten auf dem neuesten Stand bleiben. Es liegt in der Verantwortung von StorMagic Ltd, dafür zu sorgen, dass alle gemeldeten Änderungen an personenbezogenen Daten umgesetzt werden.

Der Datenschutzbeauftragte ist dafür verantwortlich, sicherzustellen, dass alle erforderlichen Maßnahmen ergriffen werden, um zu gewährleisten, dass personenbezogene Daten korrekt und auf dem neuesten Stand sind. Dabei sollten auch der Umfang der erhobenen Daten, die Geschwindigkeit, mit der sich diese ändern können, sowie alle anderen relevanten Faktoren berücksichtigt werden.

Der DSGVO-Beauftragte überprüft mindestens einmal jährlich alle von StorMagic Ltd verarbeiteten personenbezogenen Daten, die im Datenregister erfasst sind. Der DSGVO-Beauftragte erfasst alle Daten, die im Rahmen des registrierten Zwecks nicht mehr benötigt werden, und stellt sicher, dass diese ordnungsgemäß entfernt und gemäß den Bestimmungen der Richtlinie zur Datenaufbewahrung.

Hat eine Drittorganisation unrichtige oder veraltete personenbezogene Daten bereitgestellt, ist der DSGVO-Beauftragte dafür verantwortlich, diese darüber zu informieren, dass die personenbezogenen Daten unrichtig und/oder veraltet sind, und sie darauf hinzuweisen, dass die Daten nicht mehr verwendet werden sollten. Der DSGVO-Beauftragte sollte außerdem sicherstellen, dass etwaige Berichtigungen der personenbezogenen Daten an die Drittorganisation weitergeleitet werden.

Hinweise zum Datenschutz

Personenbezogene Daten müssen so gespeichert werden, dass die betroffene Person nur so lange identifiziert werden kann, wie es für die Verarbeitung erforderlich ist.

Werden personenbezogene Daten über den Verarbeitungszeitraum hinaus aufbewahrt, werden sie anonymisiert, um die Identität der betroffenen Person im Falle einer Datenpanne zu schützen.

Personenbezogene Daten werden gemäß dem Verfahren zur Aufbewahrung von Unterlagen aufbewahrt und müssen nach Ablauf der Aufbewahrungsfrist sicher vernichtet werden.

Der DSGVO-Beauftragte muss jede Datenaufbewahrung, die über die in der Richtlinie zur Datenaufbewahrung festgelegten Aufbewahrungsfristen hinausgeht, ausdrücklich genehmigen, und muss sicherstellen, dass die Begründung eindeutig erkennbar ist und den Anforderungen der Datenschutzvorschriften entspricht. Diese Genehmigung muss schriftlich erfolgen.

Personenbezogene Daten müssen so verarbeitet werden, dass ihre Sicherheit gewährleistet ist

Es sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten sowie den versehentlichen Verlust, die versehentliche Vernichtung oder Beschädigung personenbezogener Daten zu verhindern. Diese Kontrollmaßnahmen wurden auf der Grundlage der ermittelten Risiken für personenbezogene Daten sowie des Potenzials für Schäden oder Belastungen für die betroffenen Personen, deren Daten verarbeitet werden, ausgewählt. Die Sicherheitsmaßnahmen unterliegen einer Prüfung und Überprüfung.

Personenbezogene Daten dürfen nicht in ein Land oder Gebiet außerhalb der Mitgliedstaaten der Europäischen Union übermittelt werden, es sei denn, dieses Land oder Gebiet gewährleistet ein angemessenes Schutzniveau für die „Rechte und Freiheiten“ der betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten.

Die Übermittlung personenbezogener Daten außerhalb der EU-Mitgliedstaaten ist untersagt, es sei denn, eine oder mehrere der genannten Schutzvorkehrungen oder Ausnahmen finden Anwendung.

Sicherheitsvorkehrungen

Eine Beurteilung der Angemessenheit durch den für die Datenverarbeitung Verantwortlichen unter Berücksichtigung der folgenden Faktoren:

  • Die Art der übermittelten Informationen.
  • Das Land oder Gebiet, aus dem die Informationen stammen, sowie ihr endgültiger Bestimmungsort.
  • How the information will be used and for how long.
  • Die Gesetze und Gepflogenheiten des Landes, in das die Daten übermittelt werden, einschließlich einschlägiger Verhaltenskodizes und internationaler Verpflichtungen.

Verbindliche Unternehmensregeln

StorMagic Ltd kann genehmigte verbindliche Unternehmensregeln für die Übermittlung von Daten außerhalb der EU-Mitgliedstaaten anwenden. Dazu müssen die Regeln, auf die sich StorMagic Ltd stützen möchte, der zuständigen Aufsichtsbehörde zur Genehmigung vorgelegt werden.

Mustervertragsklauseln

StorMagic Ltd kann genehmigte Standardvertragsklauseln für die Übermittlung von Daten außerhalb der EU-Mitgliedstaaten anwenden. Wenn StorMagic Ltd die von der zuständigen Aufsichtsbehörde genehmigten Standardvertragsklauseln anwendet, gilt die Angemessenheit automatisch als anerkannt.

Ausnahmen

Liegt keine Angemessenheitsentscheidung – einschließlich verbindlicher Unternehmensregeln – für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation vor, darf diese Übermittlung nur unter einer der folgenden Bedingungen erfolgen:

  • Die betroffene Person hat der vorgeschlagenen Übermittlung ausdrücklich zugestimmt, nachdem sie über die möglichen Risiken einer solchen Übermittlung für die betroffene Person aufgrund des Fehlens einer Angemessenheitsentscheidung und geeigneter Garantien aufgeklärt wurde.
  • Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person getroffen werden.
  • Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich, der im Interesse der betroffenen Person zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person geschlossen wurde.
  • Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich.
  • Die Übermittlung ist zur Begründung, Ausübung oder Abwehr von Rechtsansprüchen erforderlich.
  • Die Übermittlung ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person körperlich oder rechtlich nicht in der Lage ist, ihre Einwilligung zu erteilen.
  • Die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder eines Mitgliedstaats der Unterrichtung der Öffentlichkeit dient und das entweder der allgemeinen Öffentlichkeit oder jeder Person, die ein berechtigtes Interesse nachweisen kann, zur Einsichtnahme offensteht, jedoch nur insoweit, als die im Recht der Union oder eines Mitgliedstaats festgelegten Voraussetzungen für die Einsichtnahme im konkreten Fall erfüllt sind.

Eine Liste der Länder, die die Angemessenheitsanforderungen der Kommission erfüllen, wird im Amtsblatt der Europäischen Union und in der DSGVO 2016 veröffentlicht.

Rechenschaftspflicht

Die DSGVO sieht vor, dass der Verantwortliche nicht nur dafür verantwortlich ist, die Einhaltung der Vorschriften sicherzustellen, sondern auch nachzuweisen, dass jeder Verarbeitungsvorgang den Anforderungen der DSGVO entspricht.

Rechte der betroffenen Personen

Betroffene Personen haben hinsichtlich der Datenverarbeitung und der über sie gespeicherten Daten folgende Rechte:

  • Um Auskunftsanträge bezüglich der Art der gespeicherten Informationen und der Personen, an die diese weitergegeben wurden, zu stellen.
  • Um eine Verarbeitung zu verhindern, die wahrscheinlich Schaden oder Leid verursacht.
  • Um die Verarbeitung zu Zwecken des Direktmarketings zu verhindern.
  • Um über die Funktionsweise automatisierter Entscheidungsprozesse informiert zu sein, die erhebliche Auswirkungen auf sie haben werden.
  • dass wichtige Entscheidungen, die sie betreffen, nicht ausschließlich durch automatisierte Prozesse getroffen werden.
  • Schadensersatz zu verlangen, wenn ihnen durch einen Verstoß gegen die DSGVO ein Schaden entsteht.
  • Maßnahmen zur Berichtigung, Sperrung, Löschung – einschließlich des Rechts auf Vergessenwerden – oder Vernichtung unrichtiger Daten zu ergreifen.
  • Die ICO zu ersuchen, zu prüfen, ob gegen eine Bestimmung der DSGVO verstoßen wurde.
  • Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sowie das Recht, diese Daten an einen anderen Verantwortlichen übermitteln zu lassen.
  • Das Recht, einer automatisierten Profilerstellung ohne Einwilligung zu widersprechen.

Betroffene Personen können Anträge auf Auskunft über ihre Daten stellen, wie in der Richtlinie zur fairen Datenverarbeitung beschrieben. In diesem Verfahren wird auch erläutert, wie StorMagic Ltd sicherstellt, dass seine Antwort auf den Antrag auf Auskunft über die Daten den Anforderungen der Verordnung entspricht.

Beschwerden

Gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Datenschutzgesetz von 2018 (DPA) stehen Ihnen eine Reihe von Rechten in Bezug auf Ihre personenbezogenen Daten zu. Sie haben das Recht, von uns Auskunft über Ihre personenbezogenen Daten sowie deren Berichtigung oder Löschung zu verlangen, das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung sowie unter bestimmten Umständen das Recht auf Datenübertragbarkeit.

StorMagic Ltd ist im Sinne der DSGVO sowohl für die Verarbeitung als auch für die Auftragsverarbeitung von Daten verantwortlich.

Sollten Sie Bedenken hinsichtlich der Verarbeitung Ihrer Daten haben, können Sie sich an den DSGVO-Beauftragten unter [email protected] wenden oder sich schriftlich an die unten angegebene Adresse wenden:

DSGVO-Beauftragten

StorMagic Ltd

The Quadrant

2430/2440, Aztec West

Almondsbury

Bristol

BS32 4AQ

Vereinigtes Königreich

Sie haben das Recht, eine Beschwerde bei der Datenschutzbehörde (Information Commissioners’ Office, ICO) einzureichen, wenn Sie der Ansicht sind, dass wir die Anforderungen der DSGVO in Bezug auf Ihre personenbezogenen Daten nicht eingehalten haben. Nähere Informationen hierzu finden Sie auf der Website der ICO unter https://ico.org.uk/concerns/ oder telefonisch unter 0303 123 1113

Einwilligung

StorMagic Ltd versteht unter „Einwilligung“ eine ausdrücklich und freiwillig erteilte, konkrete, informierte und eindeutige Willensbekundung der betroffenen Person, durch die diese mittels einer Erklärung oder einer eindeutigen bestätigenden Handlung ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck bringt. Die Einwilligung der betroffenen Person kann jederzeit widerrufen werden.

Darüber hinaus versteht StorMagic Ltd unter „Einwilligung“, dass die betroffene Person umfassend über die beabsichtigte Verarbeitung informiert wurde und ihre Zustimmung erteilt hat, während sie dazu geistig in der Lage war und ohne dass Druck auf sie ausgeübt wurde. Eine unter Zwang oder auf der Grundlage irreführender Informationen erteilte Einwilligung stellt keine gültige Grundlage für die Verarbeitung dar. Es muss eine aktive Kommunikation zwischen den Parteien stattfinden, die eine aktive Einwilligung belegt. Eine Einwilligung kann nicht aus dem Ausbleiben einer Antwort auf eine Mitteilung abgeleitet werden.

Datensicherheit

Alle Mitarbeiter von StorMagic Ltd, die für personenbezogene Daten verantwortlich sind, die sich im Besitz von StorMagic Ltd befinden, müssen diese sicher aufbewahren und sicherstellen, dass sie unter keinen Umständen an Dritte weitergegeben werden, es sei denn, dieser Dritte wurde von StorMagic Ltd ausdrücklich zum Erhalt dieser Informationen autorisiert und hat eine Vertraulichkeitsvereinbarung unterzeichnet.

Alle personenbezogenen Daten sollten nur denjenigen zugänglich sein, die sie benötigen, und der Zugriff darf ausschließlich im Einklang mit der Richtlinie zur Zugriffskontrollegewährt werden. Sie sollten Ihre Entscheidung anhand der Sensibilität und des Werts der betreffenden Informationen treffen; personenbezogene Daten müssen jedoch wie folgt aufbewahrt werden:

  • in einem abschließbaren Raum mit kontrolliertem Zugang; und/oder
  • in einer verschlossenen Schublade oder einem verschlossenen Aktenschrank; und/oder
  • Falls dies elektronisch erfolgt, muss es passwortgeschützt sein.
  • Die Speicherung erfolgt auf verschlüsselten Wechseldatenträgern gemäß der Datenschutzrichtlinie.

Es ist darauf zu achten, dass PC-Bildschirme und Terminals nur für befugtes Personal von StorMagic Ltd. einsehbar sind.

Manuelle Unterlagen dürfen nicht an Orten aufbewahrt werden, an denen unbefugtes Personal Zugriff darauf hat, und dürfen ohne ausdrückliche [schriftliche] Genehmigung nicht aus den Geschäftsräumen entfernt werden. Sobald manuelle Unterlagen für die tägliche Kundenbetreuung nicht mehr benötigt werden, müssen sie zur sicheren Archivierung entfernt werden.

Personenbezogene Daten dürfen nur im Einklang mit der Richtlinie zur Datenaufbewahrung. Manuelle Unterlagen, deren Aufbewahrungsfrist abgelaufen ist, sind zu schreddern und als „vertraulicher Abfall“ zu entsorgen. Festplatten aus ausgemusterten PCs sind zu entfernen und unverzüglich zu vernichten, wie es die Richtlinie zur Datenaufbewahrung vor der Entsorgung. Aufgrund des erhöhten Risikos müssen alle Mitarbeiter ausdrücklich dazu befugt sein, Daten außerhalb des Unternehmensgeländes zu verarbeiten.

Rechte auf Auskunft über Daten

Betroffene Personen haben das Recht auf Auskunft über alle personenbezogenen Daten (d. h. Daten, die sie betreffen), die von StorMagic Ltd in elektronischer Form sowie in manuellen Aufzeichnungen, die Teil eines entsprechenden Ablagesystems sind, gespeichert werden. Dies umfasst das Recht auf Einsicht in vertrauliche persönliche Referenzen, die bei StorMagic Ltd eingegangen sind, sowie in Informationen, die von Drittorganisationen über die betreffende Person eingeholt wurden.

Offenlegung von Daten

StorMagic Ltd muss sicherstellen, dass personenbezogene Daten nicht an unbefugte Dritte weitergegeben werden; dazu zählen Familienangehörige, Freunde, staatliche Stellen und unter bestimmten Umständen auch die Polizei. Alle Mitarbeiter/Angestellten sollten Vorsicht walten lassen, wenn sie aufgefordert werden, personenbezogene Daten einer anderen Person an Dritte weiterzugeben. Es ist wichtig zu prüfen, ob die Weitergabe der Informationen für die Ausübung der Geschäftstätigkeit von StorMagic Ltd. relevant und notwendig ist.

Das DPR sieht eine Reihe von Ausnahmen vor, bei denen eine bestimmte Offenlegung ohne Einwilligung zulässig ist, sofern die Informationen für einen oder mehrere der folgenden Zwecke angefordert werden:

Zur Wahrung der nationalen Sicherheit:

  • Verbrechensprävention oder -aufdeckung, einschließlich der Festnahme oder strafrechtlichen Verfolgung von Straftätern;
  • Festsetzung oder Erhebung von Steuern;
  • Wahrnehmung von Regulierungsaufgaben (einschließlich Gesundheit, Sicherheit und Wohlergehen der Beschäftigten);
  • um schwerwiegenden Schaden für Dritte zu verhindern;
  • Zum Schutz der lebenswichtigen Interessen des Einzelnen bezieht sich dies auf Situationen, in denen es um Leben und Tod geht.

Alle Anträge auf Datenübermittlung aus einem dieser Gründe müssen durch entsprechende Unterlagen belegt werden, und jede derartige Offenlegung muss ausdrücklich vom DSGVO-Beauftragten genehmigt werden.

Aufbewahrung und Löschung von Daten

Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als dies erforderlich ist. Sobald ein Mitarbeiter StorMagic Ltd. verlassen hat, ist es unter Umständen nicht mehr notwendig, alle über ihn gespeicherten Informationen aufzubewahren. Einige Daten werden länger aufbewahrt als andere. Die Verfahren von StorMagic Ltd. zur Datenaufbewahrung und -löschung, Richtlinie zur Datenaufbewahrung, gelten in allen Fällen.

Vernichtung von Unterlagen

Personenbezogene Daten müssen so entsorgt werden, dass die „Rechte und Freiheiten“ der betroffenen Personen gewahrt bleiben (z. B. durch Schreddern, Entsorgung als vertraulicher Abfall, sichere elektronische Löschung) und im Einklang mit dem Verfahren zur sicheren Entsorgung stehen, Richtlinie zur Datenaufbewahrung.

Datenschutz bei E-Mail und im Internet

Die unsachgemäße Nutzung von E-Mail und Internet durch Mitarbeiter, z. B. die Nutzung des Internets für nicht arbeitsbezogene Zwecke, kann erhebliche Folgen für unser Unternehmen haben. Dies kann sich unter anderem wie folgt äußern:

  • Blamage/Rufschädigung der Organisation
  • Produktivitätsverlust
  • Erhöhtes Risiko von Haftungsansprüchen und rechtlichen Schritten, z. B. wegen sexistischer oder rassistischer E-Mails
  • Erhöhtes Virusrisiko

Um eine missbräuchliche Nutzung zu verhindern, haben wir elektronische Sicherheitsvorkehrungen eingeführt. Eine Firewall überprüft, sichert und verwaltet E-Mail-Anhänge.

Zulässige Nutzung von E-Mail und Internet

Die Mitarbeiter der Organisation werden umfassend über die allgemeinen Verfahren zur Informationssicherheit und die Bedeutung ihrer Rolle im Rahmen dieser Verfahren informiert. Ebenso werden manuelle Ablagesysteme an sicheren Orten aufbewahrt, und nur befugte Mitarbeiter haben Zugriff darauf.

Verantwortung und Überprüfung

Der Datenschutzbeauftragte trägt die Gesamtverantwortung für die Verwaltung und Umsetzung der Datenschutzrichtlinie der Organisation.

Jeder Abteilungsleiter ist für die Einhaltung der Vorschriften durch die Mitarbeiter seiner Abteilung verantwortlich.

Diese Richtlinie wird bei Bedarf aktualisiert, um den bewährten Verfahren in den Bereichen Datenverwaltung, -sicherheit und -kontrolle Rechnung zu tragen und die Einhaltung etwaiger Änderungen oder Ergänzungen des Datenschutzgesetzes von 1998 und der DSGVO sicherzustellen.

Die PIMS-Datenschutzrichtlinie wird unter normalen Umständen jährlich überprüft und überarbeitet. Die Überarbeitungen der Richtlinie werden einer genauen Prüfung unterzogen, und von Zeit zu Zeit werden Aktualisierungen und Neufassungen in Umlauf gebracht.

Die Richtlinie wird jedoch vorzeitig überprüft, wenn einer oder mehrere der folgenden Fälle eintreten:

  • Die Schwachstelle der Richtlinie wird hervorgehoben
  • Schwachstellen bei den Hardware- und Software-Kontrollen werden identifiziert
  • Im Falle neuer Bedrohungen oder veränderter Risiken
  • Änderungen der gesetzlichen Anforderungen
  • Changes in Government, company or other directives and requirements.