Datenschutzerklärung

Wir kümmern uns um die Sicherheit Ihrer Daten. Wir haben Lösungen eingeführt, um die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) zu erfüllen.

1. Allgemeine Informationen

Die Datenschutzerklärung definiert, wie personenbezogene Daten verarbeitet werden, auf welche Weise der Schutz der personenbezogenen Daten der natürlichen Personen, deren Daten vom Verantwortlichen verarbeitet werden, umgesetzt werden kann und wie eine Verletzung der Verarbeitung personenbezogener Daten gemeldet werden kann.

2. Geltungsbereich

1. Der Zweck dieses Dokuments ist, die Übereinstimmung der Verarbeitung personenbezogener Daten durch den Verantwortlichen mit den Grundsätzen, die sich aus DSGVO ergeben, sicherzustellen.

2. Die Adressaten der Datenschutzerklärung sind:

a) alle natürlichen Personen, deren persönliche Daten vom Verantwortlichen verarbeitet werden

b) alle Personen, die vom Verantwortlichen zur Verarbeitung personenbezogener Daten befugt sind, einschließlich der Angestellten und Mitarbeiter des Verantwortlichen.

3. Diese Datenschutzerklärung gilt für die gesamte Verarbeitung personenbezogener Daten und alle vom Verantwortlichen verarbeiteten personenbezogenen Daten, unabhängig von der Form ihrer Verarbeitung (traditionell oder durch IT-Systeme) und von der Tatsache, ob die personenbezogenen Daten in Datensätzen verarbeitet werden oder verarbeitet werden können.

3. Begriffserklärung

1. Verantwortlicher – GP FMCG SP. Z O.O.

2. Datenschutzerklärung – die Datenschutzerklärung, die vom Verantwortlichen angenommen wurde.

3. Personenbezogene Daten – alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); eine bestimmbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere aufgrund folgender Daten: Vor- und Nachname, Postanschrift, E-Mail-Adresse oder eines oder mehrerer spezifischer Faktoren, welche die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität der Person bestimmen.

4. Verarbeiter – eine Instanz, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

5. Verarbeitung personenbezogener Daten – ein Vorgang oder mehrere Vorgänge, der bzw. die mit oder ohne Hilfe automatisierter Verfahren mit personenbezogenen Daten durchgeführt wird, wie die Sammlung, das Speichern, die Organisation, die Gliederung, die Strukturierung, die Anpassung oder Veränderung, das Herunterladen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung, die
Einschränkung, die Löschung oder die Vernichtung.

6. eine zur Verarbeitung personenbezogener Daten befugte Person – eine Person, die vom Verantwortlichen oder vom Verarbeiter ermächtigt ist, personenbezogene Daten in dem durch die Ermächtigung festgelegten Umfang zu verarbeiten.

7. DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

8. Gesetz – Gesetz vom 10. Mai 2018 über den Schutz personenbezogener Daten (d.h. Gesetzblatt 2018, Pos. 1000; in der geänderten Fassung).

9. Präsident von UODO – Präsident des Amtes für den Schutz personenbezogener Daten; polnische Aufsichtsbehörde im Bereich der Verarbeitung personenbezogener Daten.

10. Verletzung des Schutzes personenbezogener Daten – Sicherheitsverletzung, die zu versehentlicher oder unrechtmäßiger Zerstörung, zum Verlust, zur Änderung, zu unbefugter Offenlegung oder unbefugtem Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

11. Benutzer – jeder, wer die Website des Verantwortlichen mittels eines Computers oder eines anderen Endgeräts nutzt.

4. Grundsätze für die Verarbeitung personenbezogener Daten

1. Die Verpflichtung zur Einhaltung der in dieser Datenschutzerklärung festgelegten Grundsätze der Verarbeitung personenbezogener Daten gilt für alle ihre Adressaten sowie für alle, mit denen der Verantwortlicher Verträge über die Beauftragung mit der Verarbeitung personenbezogener Daten geschlossen hat, sofern nicht im Vertrag über die Beauftragung mit der Verarbeitung personenbezogener Daten oder in anderen Rechtsinstrumenten andere Grundsätze der Einhaltung der Vorschriften über die Verarbeitung personenbezogener Daten festgelegt sind, die nicht gegen die Bestimmungen von DSGVO verstoßen.

2. Die Verarbeitung personenbezogener Daten beruht auf den in Art. 5 DSGVO enthaltenen Grundsätzen:

a) Grundsatz der Rechtmäßigkeit – personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet

b) Grundsatz der Zweckbindung – personenbezogene Daten sind für festgelegte, eindeutige und rechtmäßige Zwecke zu erheben und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden

c) Grundsatz der Richtigkeit – personenbezogene Daten sind korrekt zu erheben und erforderlichenfalls auf dem neuesten Stand zu halten; im Falle einer unrechtmäßigen Verarbeitung im Hinblick auf die Zwecke der Verarbeitung sind alle angemessenen Schritte zu unternehmen, um sicherzustellen, dass die Daten unverzüglich gelöscht oder berichtigt werden

d) Grundsatz der Datenintegrität und -vertraulichkeit – personenbezogene Daten sind so zu verarbeiten, dass durch geeignete technische oder organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unrechtmäßiger oder unvereinbarer Verarbeitung und vor zufälligem Verlust, Zerstörung oder Beschädigung, gewährleistet ist

e) Grundsatz der Datenminimierung – personenbezogene Daten sind in angemessener, sachdienlicher und begrenzter Weise zu verarbeiten

f) Grundsatz der Speicherbegrenzung – personenbezogene Daten sind in einer Form, welche die Identifizierung der betroffenen Person ermöglicht, nicht länger aufzubewahren, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten können länger aufbewahrt werden, sofern sie ausschließlich für Archivzwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschung oder für statistische Zwecke gemäß Art. 89 Absatz 1 DSGVO verarbeitet werden, vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die im Rahmen DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Personen erforderlich sind

g) das Prinzip der Rechenschaftspflicht – dies setzt die Möglichkeit voraus, die Einhaltung der in diesem Punkt dargestellten Grundsätze nachzuweisen.

3. Der Verantwortliche führt, wenn er gesetzlich dazu verpflichtet ist oder solchen Wunsch freiwillig äußert, ein Register der Verarbeitungsaktivitäten. Wenn der Verantwortliche auch ein Verarbeiter ist, muss er in einer Situation, in der er dazu verpflichtet ist oder wenn er solchen Wunsch freiwillig äußert, ein Register der Kategorien von Verarbeitungsaktivitäten führen.

4. Der Verantwortliche führt die notwendige Dokumentation und wendet angemessene technische Mittel sowie Sicherheitsmaßnahmen für die ordnungsgemäße Verarbeitung personenbezogener Daten an.

5. Der Verantwortliche erteilt Personen, die in Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, eine Genehmigung. Gleichzeitig ist jede der befugten Personen zur Geheimhaltung aller Informationen verpflichtet, die sie in Erfüllung ihrer Aufgaben erhalten hat.

6. Jede der zur Verarbeitung personenbezogener Daten befugten Personen ist verpflichtet:

a) personenbezogene Daten nur in dem Umfang und zu dem Zweck zu verarbeiten, die in den übertragenen Aufgaben vorgesehen sind

b) personenbezogene Daten, zu denen sie Zugang hat, geheim zu halten

c) personenbezogene Daten nicht für Zwecke zu verwenden, die mit dem Umfang und Zweck der übertragenen Aufgaben unvereinbar sind

d) die Mittel zur Sicherung persönlicher Daten vertraulich zu behandeln

e) personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung, unbefugtem Zugang zu persönlichen Daten und deren Verarbeitung zu schützen

f) eine Verletzung oder einen Verdacht auf Verletzung des Schutzes personenbezogener Daten zu melden – in Übereinstimmung mit den Grundsätzen der Meldung von Verletzungen.

7. Der Verantwortlicher stellt die Anwendung technischer und organisatorischer Maßnahmen sicher, die erforderlich sind, um die Vertraulichkeit, Integrität, Verantwortlichkeit und Kontinuität der verarbeiteten Daten zu gewährleisten, und überwacht die Einhaltung der Grundsätze für den Schutz personenbezogener Daten.

8. Der Verantwortliche kann im Rahmen seiner Geschäftstätigkeit andere Instanzen mit der Verarbeitung personenbezogener Daten betrauen. Die Einzelheiten der Beauftragung mit der Verarbeitung personenbezogener Daten werden in einem solchen Fall durch den Vertrag über die Beauftragung mit der Datenverarbeitung oder ein anderes Rechtsinstrument geregelt.

9. Der Verantwortliche berücksichtigt den Stand der technischen Kenntnisse, die Kosten der Durchführung und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko einer Verletzung der Rechte oder Freiheiten natürlicher Personen von unterschiedlicher Wahrscheinlichkeit und Bedeutung, das sich aus der Verarbeitung ergibt, indem er geeignete technische und organisatorische Maßnahmen trifft (privacy by design).

10. Der Verantwortliche trifft in Bezug auf die von ihm verarbeiteten personenbezogenen Daten geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur diejenigen personenbezogenen Daten verarbeitet werden, die zur Erreichung jedes spezifischen Zwecks der Verarbeitung erforderlich sind (privacy by default).

11. Die Verbindungen zur Website des Verantwortlichen werden mit dem SSL-Protokoll verschlüsselt.

12.Wenn die Verarbeitung personenbezogener Daten eine Genehmigung erfordert, verarbeitet der Verantwortliche diese Daten nur zu dem Zweck und in dem Umfang, in dem die Genehmigung erteilt wurde.

13. Im Falle der Beauftragung mit der Verarbeitung personenbezogener Daten nimmt der Verantwortliche nur die Dienste eines solchen Verarbeiters in Anspruch, der ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen bietet, um sicherzustellen, dass die Verarbeitung den Anforderungen von DSGVO und den Rechten der betroffenen Personen entspricht.

5. Grundsätze für die Ausübung der Rechte natürlicher Personen

1. Infolge der Gewährung einer Reihe von Rechten an natürliche Personen, deren personenbezogene Daten verarbeitet werden, stellt der Verantwortliche sicher, dass diese Rechte, wann immer es möglich ist, ausgeübt werden. Die Rechte der natürlichen Personen, die der Verantwortliche ausübt, sind:

a) Recht auf Zugang zu Daten (Auskunftsrecht)

b) Recht auf Berichtigung der Daten

c) Recht auf Löschung

d) Recht auf Einschränkung der Verarbeitung

e) Recht auf Datenübertragbarkeit

f) Widerspruchsrecht

g) Recht auf Widerruf.

2. Der Verantwortliche hat organisatorische und technische Maßnahmen getroffen, um die Ausübung dieser Rechte zu gewährleisten, so dass den Anträgen der betroffenen Personen ohne unangemessene Verzögerung, spätestens einen Monat nach Eingang des Antrags der Person, entsprochen werden kann.

3. Im Falle eines komplexen Antrags oder einer erheblichen Anzahl von Anträgen unterrichtet der Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags der Person über die Verlängerung der Frist um höchstens zwei weitere Monate unter Angabe der Gründe für die Verzögerung.

4. Kann dem Antrag der natürlichen Person nicht stattgegeben werden (z.B. weil er gesetzeswidrig ist), informiert der Verantwortliche die betroffene Person innerhalb der oben genannten Fristen über die Verweigerung der Erfüllung des Antrags und über die Gründe dafür.

5. Maßnahmen, die der Verantwortliche als Reaktion auf die Anfragen ergreift, sind kostenlos. In Ausnahmefällen, wenn die Forderungen einer natürlichen Person deutlich überhöht sind, hat der Verantwortliche das Recht, eine Gebühr in der Höhe zu erheben, welche die Kosten für die Bereitstellung einer Antwort einschließt.

6. Die Forderungen von natürlichen Personen können an den Verantwortlichen gerichtet werden:

a) schriftlich an die Adresse: GP FMCG SP. Z O.O., ul. Kościelna 1A, 65-064 Zielona Góra

b) per E-Mail an: mail@gp-fmcg.eu

7. Wenn ein Antrag an einen Angestellten oder Mitarbeiter des Verantwortlichen gestellt wird, ist diese Person verpflichtet, den Antrag unverzüglich an die folgende Adresse zu senden: mail@gp-fmcg.eu.

8. In begründeten Fällen kann der Verantwortliche, bevor er das Recht einer natürlichen Person ausübt, versuchen, die Identität der natürlichen Person zu überprüfen.

9. Die Ausübung der Rechte der natürlichen Personen, deren Daten verarbeitet werden, erfolgt in schriftlicher oder dokumentarischer Form (einschließlich elektronischer Form).

10. Um mögliche Ansprüche zu verteidigen, behält sich der Verantwortliche das Recht vor, Korrespondenz im Zusammenhang mit der Ausübung der Rechte der Personen, deren Daten verarbeitet werden, bis zum Ablauf der Verjährungsfrist für Ansprüche zu bearbeiten.

11. Der Verantwortliche kann den Antrag auf Beendigung der Verarbeitung personenbezogener Daten auf folgender Grundlage ablehnen:

a) das Vorliegen wichtiger legitimer Gründe für die Verarbeitung von Daten, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder

b) das Vorhandensein von Gründen für die Feststellung, Untersuchung oder Verteidigung von Ansprüchen.

12. Beruht die Verarbeitung personenbezogener Daten auf der Einwilligung einer Person, so hat diese das Recht, ihre Einwilligung in die Verarbeitung personenbezogener Daten jederzeit zurückzuziehen.

6. Meldung von Verstößen

1. Im Falle eines Verstoßes ist die Person, die den Verstoß festgestellt hat, verpflichtet, diesen unverzüglich dem Verantwortlichen zu melden.

2. Eine Mitteilung über eine Verletzung kann auch in elektronischer Form unter folgender Adresse erfolgen: mail@gp-fmcg.eu.

3. Die Person, die eine Verletzung meldet, ist verpflichtet, einen Bericht zu senden. Das Versäumnis, eine Verletzung durch eine Person zu melden, die von der Verletzung Kenntnis erhalten hat, kann als schwerwiegende Verletzung von Arbeitnehmerpflichten oder als Grund für die Kündigung eines zivilrechtlichen Vertrags aus wichtigen Gründen eingestuft werden.

4. Zur Meldung der Verletzung ist auch der Verarbeiter verpflichtet. Dies erfolgt in Übereinstimmung mit den Regeln, die im Vertrag über die Beauftragung mit der Datenverarbeitung oder in einem anderen Rechtsakt, auf dessen Grundlage die Verarbeitung personenbezogener Daten in Auftrag gegeben wurde, enthalten sind.

5. Die Person, welche die Verletzung meldet, ist zusätzlich verpflichtet, alle möglichen Maßnahmen zu ergreifen, um die Auswirkungen der Verletzung so gering wie möglich zu halten, einschließlich der Unterlassung der Aufnahme oder Fortsetzung der Arbeit, wenn deren Durchführung zu einer Zunahme des Ausmaßes der Verletzung führen oder die Feststellung ihrer Ursache erschweren oder unmöglich machen könnte.