Datenschutz und Beschreibung der Datendatei

DATENSCHUTZRICHTLINIEFÜR STAC Products Oy Ltd's Kundenregister

1 Kontrolleur

Der Kontrolleurist STAC Products Oy Ltd (Business ID FI2765654522)

Ansprechpartner für Fragen rund um die Datei: Ville-Pekka Hamari

STAC Products Oy Ltd

Adresse: Keskisenkatu 10 A19

Telefon: +358440801252

E-Mail: vp@stac.fi

2 Name der Datei

Der Name der Datei ist das Kundenregister von STAC ProductsOy Ltd.

3 Der Zweck der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten erfolgt zu Zwecken der Pflege, Verwaltung und Entwicklung der Kundenbeziehung, des Angebots, der Erbringung und Entwicklung von Dienstleistungen sowie der Rechnungsstellung. Die Verarbeitung personenbezogener Daten erfolgt auch für die Zwecke, die zur Lösung etwaiger Beschwerden und sonstiger Ansprüche erforderlich sind.

Darüber hinaus werden personenbezogene Daten in der Kundenkommunikation sowie im Marketing verarbeitet, wobei die Daten auch für Zwecke des Direktmarketings und des elektronischen Direktmarketings verarbeitet werden.

Die Kunden haben das Recht, Direktmarketing, das auf sie abzielt, abzulehnen.

Der für die Verarbeitung Verantwortliche verarbeitet personenbezogene Daten direkt und bedient sich bei der Verarbeitung auch der in seinem Namen tätigen Subunternehmer.

4 Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind die folgenden in der Allgemeinen Datenschutzverordnung der Europäischen Union (im Folgenden "GDPR" genannt) genannten Gründe:

Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere spezifische Zwecke zugestimmt (GDPR Art. 6(1)(a));

die Verarbeitung ist für die Erfüllung eines Vertrags, an dem die betroffene Person beteiligt ist, oder für Maßnahmen auf Antrag der betroffenen Person vor Vertragsabschluss erforderlich (GDPR Art. 6(1)(b));

die Verarbeitung ist für die Zwecke der berechtigten Interessen des Kontrolleurs oder eines Dritten erforderlich (GDPR Art. 6 Abs. 1 Buchst. f)).

Das vorgenannte berechtigte Interesse des Registerführers beruht auf einer sinnvollen und angemessenen Beziehung zwischen der betroffenen Person und dem für die Datenverarbeitung Verantwortlichen, da die betroffene Person Kunde des für die Datenverarbeitung Verantwortlichen ist und die Verarbeitung zu Zwecken erfolgt, die die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und im Rahmen der entsprechenden Beziehung vernünftigerweise erwartet haben kann.

5 Dateninhalt der Datei (Kategorien der verarbeiteten personenbezogenen Daten)

In der Regel enthält die Datei die folgenden personenbezogenen Daten über alle betroffenen Personen:

Grundlegende Informationen und Kontaktinformationen für die Person: Vorname, Nachname, Adresse, Telefonnummer, E-Mail-Adresse;

Informationen über das Unternehmen oder eine andere Organisation der Person und die Position oder den Titel der Person in dem betreffenden Unternehmen oder der betreffenden Organisation;

Direktmarketing-Genehmigungen und -Verbote für die Person.

6 Regelmäßige Informationsquellen

Personenbezogene Daten werden von den Betroffenen selbst erhoben.

Darüber hinaus werden personenbezogene Daten im Rahmen der geltenden Gesetzgebung aus allgemein zugänglichen Quellen erhoben, die sich auf die Erfüllung der Beziehung zwischen dem für die Verarbeitung Verantwortlichen und der betroffenen Person beziehen und die der für die Verarbeitung Verantwortliche zur Erfüllung seiner Aufgaben im Zusammenhang mit der Pflege der Kundenbeziehungen verwenden kann.

7 Speicherdauer der personenbezogenen Daten

Personenbezogene Daten, die in der Datei erhoben werden, werden nur so lange und in dem Umfang gespeichert, wie es in Bezug auf den ursprünglichen oder einen kompatiblen Zweck, für den die personenbezogenen Daten erhoben wurden, erforderlich ist. 

Die Notwendigkeit der Aufbewahrung personenbezogener Daten wird alle fünf Jahre überprüft, und auf jeden Fall werden die Daten einer betroffenen Person 10 Jahre nach Beendigung der Kundenbeziehung zwischen der betreffenden Person und dem für die Verarbeitung Verantwortlichen aus der Datei entfernt, und die mit der Kundenbeziehung verbundenen Verpflichtungen und Maßnahmen wurden erfüllt. So werden beispielsweise Buchhaltungsunterlagen sechs Jahre nach Ende einer Geschäftsperiode geführt. 

Der für die Datenverarbeitung Verantwortliche bewertet regelmäßig die Notwendigkeit der Speicherung der Daten in Übereinstimmung mit seinem internen Verhaltenskodex. Darüber hinaus stellt der für die Verarbeitung Verantwortliche durch alle angemessenen Maßnahmen sicher, dass personenbezogene Daten, die unrichtig, fehlerhaft oder veraltet sind oder veraltete Informationen im Hinblick auf die Zwecke der Datenverarbeitung enthalten, unverzüglich gelöscht oder korrigiert werden.

8 Empfängervon personenbezogenen Daten (Empfängergruppen) und regelmäßige Datenweitergabe

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nicht.

9 Datenübermittlung außerhalb der EU oder des EWR

Die in der Datei enthaltenen personenbezogenen Daten werden nicht außerhalb der EU oder des EWR übermittelt.

10 Grundsätze des Registerschutzes

Materialien, die personenbezogene Daten enthalten, werden in geschlossenen Räumen aufbewahrt, die nur den beauftragten Personen mit aufgabenbezogener Berechtigung zugänglich sind.

Die Datenbank mit personenbezogenen Daten befindet sich auf einem Server, der in einem geschlossenen Bereich gespeichert ist, auf den nur die ernannten Personen mit aufgabenbezogener Berechtigung zugreifen können. Der Server ist durch die entsprechende Firewall und technische Sicherheitsvorkehrungen geschützt.

Der Zugriff auf die Datenbanken und Systeme ist nur mit separat erhältlichen persönlichen Benutzer-IDs und Passwörtern möglich. Der für die Verarbeitung Verantwortliche hat eingeschränkte Zugriffsrechte und Berechtigungen auf Informationssysteme und andere Speicherplattformen, so dass die Daten nur von Personen eingesehen und verarbeitet werden können, die dazu verpflichtet sind, um die rechtmäßige Verarbeitung der Daten zu gewährleisten. Darüber hinaus werden die Datenbank- und Systeminteraktionen in den Protokolldaten des IT-Systems des Kontrolleurs registriert.

Die Mitarbeiter des Kontrolleurs und andere Personen haben sich zur Verschwiegenheit und Geheimhaltung aller Informationen verpflichtet, die sie im Rahmen der Verarbeitung personenbezogener Daten erhalten.]

11 Rechteder betroffenen Person

Die betroffene Person hat die folgenden Rechte gemäß der Allgemeinen Datenschutzverordnung der EU:

Das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten, die ihn betreffen, verarbeitet werden oder nicht, und, falls dies der Fall ist, Zugang zu den personenbezogenen Daten und den folgenden Informationen: i) die Zwecke der Verarbeitung; ii) die betroffenen Kategorien personenbezogener Daten; iii) die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden; iv) soweit möglich den vorgesehenen Zeitraum, für den die personenbezogenen Daten gespeichert werden sollen, oder, wenn nicht möglich, die Kriterien, nach denen dieser Zeitraum festgelegt wird; v) das Bestehen des Rechts, vom für die Verarbeitung Verantwortlichen die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung personenbezogener Daten über die betroffene Person zu verlangen oder einer solchen Verarbeitung zu widersprechen; vi) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen; vii) wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben werden, alle verfügbaren Informationen über ihre Herkunft (GDPR, Art. 15); Diese grundlegenden Informationen (i)-(vii) werden der betroffenen Person auf diesem Formular zur Verfügung gestellt;

das Recht, die Einwilligung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor ihrem Widerruf zu beeinträchtigen (GDPR, Art. 7);

das Recht, unverzüglich vom für die Verarbeitung Verantwortlichen die Berichtigung unrichtiger personenbezogener Daten, die ihn betreffen, zu verlangen, und unter Berücksichtigung der Zwecke der Verarbeitung das Recht, unvollständige personenbezogene Daten vervollständigen zu lassen, auch durch eine zusätzliche Erklärung (GDPR, Art. 16);

das Recht, vom für die Verarbeitung Verantwortlichen die unverzügliche Löschung der ihn betreffenden personenbezogenen Daten zu verlangen, wenn einer der folgenden Gründe vorliegt: i) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich; ii) die betroffene Person widerruft die Einwilligung, auf der die Verarbeitung beruht, und wenn es keinen anderen Rechtsgrund für die Verarbeitung gibt; (iii) die betroffene Person aufgrund einer besonderen persönlichen Situation der Verarbeitung widerspricht und es keine zwingenden legitimen Gründe für die Verarbeitung gibt oder die betroffene Person der Verarbeitung zu Direktmarketingzwecken widerspricht; (iv) die personenbezogenen Daten rechtswidrig verarbeitet wurden; oder (v) die personenbezogenen Daten aufgrund einer rechtlichen Verpflichtung nach dem Recht der Union oder des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, gelöscht werden müssen (GDPR, Art. 17);

das Recht, vom Kontrolleur eine Beschränkung der Verarbeitung zu erhalten, wenn einer der folgenden Punkte zutrifft: (i) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person für einen Zeitraum angefochten, der es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen; (ii) die Verarbeitung ist rechtswidrig und die betroffene Person widersetzt sich der Löschung der personenbezogenen Daten und fordert stattdessen eine Einschränkung ihrer Verwendung; iii) der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung benötigt, sie aber von der betroffenen Person für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden; oder iv) die betroffene Person aus Gründen, die sich auf ihre besondere Situation beziehen, Einspruch gegen die Verarbeitung erhoben hat, bis geprüft wurde, ob die berechtigten Gründe des für die Verarbeitung Verantwortlichen die der betroffenen Person überschreiben (GDPR Art. 18);

das Recht, die ihn betreffenden personenbezogenen Daten, die er einem für die Datenverarbeitung Verantwortlichen zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten, und das Recht, diese Daten ungehindert von dem für die Datenverarbeitung Verantwortlichen, dem die personenbezogenen Daten übermittelt wurden, an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln, wenn die Verarbeitung auf der in der Verordnung genannten Einwilligung beruht und die Verarbeitung mit automatisierten Mitteln erfolgt (GDPR, Art. 20);

das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Allgemeine Datenschutzverordnung der EU verstößt (GDPR, Art. 77).

Alle Anfragen zur Durchsetzung der Rechte der betroffenen Person sind an die in Abschnitt 1 genannte Kontaktperson des für die Verarbeitung Verantwortlichen zu richten.