Informationsschreiben gemäß Art. 13-14 der GDPR (General Data Protection Regulation) 2016/679
Sehr geehrter Kunde,
Gemäß den Bestimmungen der Europäischen Verordnung 2016/679 (abgekürzt GDPR) möchte INDECO ind. S.p.a. Sie informieren, dass die von Ihnen bekanntgegebenen und von uns im Rahmen unserer Tätigkeit erfassten personenbezogenen Daten, die erforderlich für die Durchführung der Ihnen angebotenen Dienstleistungen sind, unter Einhaltung der Vorschriften der Datenschutzbestimmungen und nach den Grundsätzen der Korrektheit, Zulässigkeit und Transparenz und des Schutzes Ihrer Vertraulichkeit und Ihrer Rechte verarbeitet werden.
Außerdem möchten wir Ihnen die folgenden Informationen erteilen:
1. VERANTWORTLICHER FÜR DEN DATENSCHUTZ UND AUFTRAGSVERARBEITER
ist INDECO ind. S.p.a. mit Sitz in Viale Lindemann 10 – 70132 Bari – ZI, USt-Id 05949910722, wie folgt zu erreichen: Telefon +39 080 531 33 70, E-Mail privacy@indeco.it
2. VERARBEITETE DATEN, ZWECKE UND RECHTSGRUNDLAGE DER VERARBEITUNG
2.1. Die Computersysteme und die für den Betrieb der institutionellen Website www.indeco.it eingesetzte Software erfassen einige personenbezogene Daten, die sich aus der Verwendung der Informationsprotokolle im Internet ergeben (zum Beispiel Domain-Namen und IP-Adressen). Diese Daten enthalten keine zusätzlichen Informationen und werden zur Erfassung statistischer Informationen über die Nutzung der Website, zur Kontrolle der Nutzungsmodalitäten derselben und zur Feststellung eventueller Verantwortlichkeiten im Falle von Computerkriminalität verwendet. Die Rechtsgrundlage, die die Verarbeitung dieser Daten rechtfertigt, ist die Notwendigkeit, die Features der Website des Unternehmens nach dem Zugriff des Nutzers nutzbar zu machen.
2.2. Dagegen sind die freiwillig vom Nutzer angegebenen Daten diejenigen, die der Verantwortliche zur Erbringung der verfügbaren Dienste benötigt, und sie werden rechtmäßig und korrekt verarbeitet; ferner werden sie für bestimmte explizite und rechtmäßige Zwecke erhoben und aufgezeichnet, die in der Folge angegeben werden, und in Verarbeitungsvorgängen verwendet, die mit diesen Zwecken nicht unvereinbar sind.
Personenbezogene Daten (persönliche Identifikationsdaten wie zum Beispiel: Name und Vorname, Firmenbezeichnung, Steuernummer und USt-Id, Anschrift, Telefon/Fax, E-Mail, Bank- und Zahlungsdaten) werden erfasst und verarbeitet:
a) zur Führung von Kundenbeziehungen auf der Grundlage vorvertraglicher und vertraglicher Vereinbarungen;
b) für interne administrative, steuerliche oder buchhalterische Zwecke im Zusammenhang mit der Beziehung Kunde-Lieferant und zur Erfüllung der generellen Pflichten, die für den Verantwortlichen von Gesetzen oder Verordnungen, den Gemeinschaftsbestimmungen, Aufforderungen der Justizbehörde oder zur Ausübung der Rechte des Verantwortlichen vorgesehen sind (zum Beispiel das Recht auf Verteidigung vor Gericht);
c) bei Vorliegen einer entsprechenden eindeutigen Zustimmung des Nutzers für die folgenden Marketingzwecke: Zusendung per E-Mail, Post, SMS oder über Telefon von Newsletters, Aktualisierungen über die Aktivitäten des Inhabers der Datenverarbeitung, Werbematerial oder kommerziellen Mitteilungen – möglicherweise auch angepasst an die Verbrauchergewohnheiten des Benutzers (Profiling) – über Produkte oder Dienstleistungen, die vom Inhaber der Datenverarbeitung angeboten werden und die der Benutzer als interessant erachten kann und um den Grad der Zufriedenheit mit der Qualität der Dienstleistungen festzustellen, einschließlich Anfragen zur Teilnahme an Analysen oder Marktforschung;
d) bei Vorliegen einer entsprechenden eindeutigen Zustimmung des Nutzers für die folgenden Marketingzwecke: Zusendung per E-Mail, Post, SMS oder über Telefon von Newsletters, Aktualisierungen, Werbematerial oder kommerziellen Mitteilungen – möglicherweise auch angepasst an die Verbrauchergewohnheiten des Benutzers (Profiling) – über Produkte oder Dienstleistungen, die von Dritten angeboten werden, wie beispielswese Geschäftspartner oder anderen Gesellschaften der Gruppe Indeco Ind SpA;
e) im Falle der Zusendung von Lebensläufen ausschließlich zum Zwecke der Personalauswahl und für die Aufnahme eines Arbeitsverhältnisses.
Die Rechtsgrundlage, die die Datenverarbeitung gemäß den Punkten „a“ (vorvertragliche und vertragliche Vereinbarungen) und „b“ (administrative, buchhalterische und steuerliche Zwecke) rechtfertigt, ist die Erfüllung eines Vertrags über die Erbringung von Dienstleistungen, an dem der Nutzer beteiligt ist, oder die Durchführung von vorvertraglichen Tätigkeiten auf Anfrage des Nutzers.
In den ausdrücklich unter „c“ (Marketing und Profiling), „d“ (Marketing und Profiling durch Dritte) und „e“ (Lebensläufe) angegebenen Fällen ist die Rechtsgrundlage die freiwillig vom Nutzer gegebene Zustimmung.
2.3. Gemäß Art. 9 und 10 der GDPR kann der Nutzer dem Verantwortlichen Daten bekanntgeben, die als „besondere Kategorien personenbezogener Daten“ bezeichnet werden können (das heißt Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, … genetische Daten, biometrische Daten, die der eindeutigen Identifizierung einer natürlichen Person dienen, Daten zur Gesundheit oder dem Sexualleben oder der sexuellen Orientierung einer Person. Diese Kategorien von Daten dürfen vom Verantwortlichen nur mit vorheriger schriftlicher Zustimmung des Nutzers, die durch Unterzeichnung der entsprechenden Information ausgedrückt wird, für vertragliche Zwecke und die damit verbundene Erfüllung gesetzlicher und steuerlicher Verpflichtungen sowie für Zwecke der Personalauswahl verarbeitet werden.
3. MODALITÄTEN DER DATENVERARBEITUNG
Die Verarbeitung der personenbezogenen Daten des Nutzers wird mit folgenden Tätigkeiten vorgenommen: Erhebung, Speicherung, Organisation, Aufbewahrung, Abfrage, Verarbeitung, Änderung, Auswahl, Auslese, Vergleichung, Verwendung, Verknüpfung, Sperrung, Übermittlung, Löschung und Vernichtung von Daten.
Die personenbezogenen Daten des Nutzers werden durch direkte Zusendung an den Verantwortlichen, Ausfüllen von für diesen Zweck vorbereiteten Formularen oder Vordrucken im Allgemeinen, die auch in Vertragsdokumenten enthalten sein können, oder telefonisch im Rahmen der vorvertraglichen Tätigkeiten erhoben. Die Verarbeitung der Daten erfolgt sowohl von Hand auf Papierträger als automatisch, mit elektronischen Geräten oder wie auch immer automatisiert, mit informatischen oder telematischen Einrichtungen. Die erfassten Daten werden vom Verantwortlichen in elektronischer Form und in Papierform aufgezeichnet und aufbewahrt und so verwahrt und kontrolliert, dass die Gefahr der auch unbeabsichtigten Vernichtung oder des Verlustes, eines unberechtigten Zugangs und der nicht zulässigen oder mit dem Zweck der Erfassung nicht konformen Verarbeitung auf ein Mindestmaß reduziert wird.
Die Daten werden von abhängig beschäftigtem Personal oder von Mitarbeitern des Verantwortlichen verarbeitet, die zu diesem Zweck geschult wurden.
4.ART DER DATENÜBERMITTLUNG
Die Bekanntgabe der personenbezogenen Daten für die Verarbeitung ist fakultativ. Sollten die Daten jedoch ganz oder teilweise nicht bekanntgegeben werden, kann dies zur vollständigen oder teilweisen Unmöglichkeit führen, die Beziehung mit dem Nutzen aufzunehmen oder weiterzuführen, soweit diese Daten dafür erforderlich sind.
Die Bekanntgabe der Daten zu Marketingzwecken ist ebenfalls fakultativ. Der Nutzer kann also entscheiden, keine Daten bekanntzugeben oder später die Möglichkeit der Verarbeitung von bereits bekanntgegebenen Daten zu verweigern: In diesem Fall erhält er keine Newsletters, kommerziellen Mitteilungen und Werbematerial im Allgemeinen zu den vom Verantwortlichen angebotenen Dienstleistungen.
5. EMPFÄNGER ODER EVENTUELLE KATEGORIEN VON EMPFÄNGERN DER PERSONENBEZOGENEN DATEN
Die Verarbeitung der Daten des Nutzers wird von internem Personal des Verantwortlichen (abhängig Beschäftigten, Mitarbeitern, Systemadministratoren) vorgenommen, das zur Verarbeitung nach Anweisungen bestimmt und berechtigt ist, die unter Einhaltung der geltenden Vorschriften zum Datenschutz und zur Datensicherheit erteilt werden.
Falls dies erforderlich ist für die in Artikel 2 aufgezählten Zwecke, können die personenbezogenen Daten des Nutzers von Dritten verarbeitet werden, die als Auftragsverarbeiter (gemäß Artikel 28 der GDPR) oder als „autonome“ Verantwortliche benannt werden, und zwar:
1. von den Gesellschaften des Konzerns INDECO ind. S.p.a. für die Zwecke gemäß Artikel 2.2 Buchst. „d“;
2. von Freiberuflern, Gesellschaften, Verbänden oder Beratungsbüros, die dem Verantwortlichen der Verarbeitung Unterstützung oder Beratung zu administrativen, buchhalterischen oder steuerlichen Zwecken oder zum Zwecke des Rechtsschutzes oder der Personalauswahl gewähren;
3. von allen gesetzlich festgelegten öffentlichen Einrichtungen und, allgemeiner gesagt, allen Einrichtungen, die nach den geltenden Buchführungs- und Steuergesetzen als Empfänger von Pflichtmitteilungen vorgesehen sind;
4. von Banken für das Inkasso und den Zahlungsverkehr sowie von eventuellen Freiberuflern – als Einzelfirmen, zusammengeschlossen oder als Gesellschaften – für Analyse- und Marktforschungsdienstleistungen, für die Verwaltung von Zahlungen mit Kreditkarten oder elektronischen Zahlungsinstrumenten im Allgemeinen, für Kurierdienste, für die eventuelle Eintreibung von Forderungen oder für die Beglaubigung der Jahresabschlüsse des Verantwortlichen.
Die aktualisierte Liste der Auftragsverarbeiter und der mit der Verarbeitung Beauftragten wird am Rechtssitz des Verantwortlichen aufbewahrt.
Auf jeden Fall werden die personenbezogenen Daten des Nutzers nicht verbreitet.
6. ÜBERMITTLUNG DER DATEN IN EIN DRITTLAND ODER AN INTERNATIONALE ORGANISATIONEN
Im Rahmen der Verwaltung des Vertragsverhältnisses ist keinerlei Übermittlung der Daten des Nutzers in Drittländer oder an internationale Organisationen vorgesehen.
7. AUFBEWAHRUNGSDAUER DER PERSONENBEZOGENEN DATEN BZW. KRITERIEN ZUR FESTLEGUNG DIESER DAUER
Für die Zwecke gemäß Buchstaben „a“ (vorvertragliche und vertragliche Vereinbarungen) und „b“ (Verwaltung der administrativen, buchhalterischen oder steuerlichen Verpflichtungen) des Artikels 2.2. werden die personenbezogenen Daten des Benutzers vom Verantwortlichen der Datenverarbeitung für die gesamte Dauer des Vertragsverhältnisses zwischen dem Benutzer und dem Verantwortlichen verarbeitet und gespeichert und am Ende desselben, aus welchem Grund auch immer, für den Zeitraum gespeichert, der – für jede Kategorie von Daten – durch das geltende Buchhaltungs-, Steuer-, Zivil- und Verfahrensrecht vorgesehen ist.
Für die Zwecke gemäß Buchstaben „c“ (Marketing und Profiling) und „d“ (Marketing und Profiling durch Dritte) werden die personenbezogenen Daten des Nutzers bis zum Widerruf der Einwilligung durch den Nutzer oder bis zur Ausübung des Rechts, der Verarbeitung personenbezogener Daten zu widersprechen oder sie zu löschen, vom Verantwortlichen verarbeitet und gespeichert.
Für die in Buchstaben „e“ (Lebensläufe) genannten Zwecke dürfen die personenbezogenen Daten des Nutzers vom Verantwortlichen der Datenverarbeitung höchstens 12 Monate nach Erhalt verarbeitet und gespeichert werden.
8. RECHTE DES NUTZERS
In seiner Eigenschaft als betroffene Person und im Zusammenhang mit den in diesem Informationsschreiben beschriebenen Verarbeitungen hat der Nutzer die Rechte gemäß Artikel 7, von 15 bis 21 und 77 der GDPR, und insbesondere:
• Recht auf Zugang – Artikel 15 GDPR: Recht auf Bestätigung, ob eine Verarbeitung von personenbezogenen Daten, die den Nutzer betreffen, im Gang ist oder nicht, und in diesem Fall das Recht auf Zugang zu diesen Daten zu erhalten, sowie eine Kopie derselben;
• Recht auf Berichtigung – Artikel 16 GDPR: Recht, unverzüglich die Berichtigung von ungenauen personenbezogenen Daten zu erhalten, die den Nutzer betreffen, und/oder die Ergänzung von unvollständigen personenbezogenen Daten;
• Recht auf Löschung (Recht auf Vergessenwerden) – Artikel 17 GDPR: Recht auf unverzüglichen Erhalt der Löschung der personenbezogenen Daten, die den Nutzer betreffen;
• Recht auf Beschränkung der Verarbeitung – Artikel 18 GDPR: die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit dieser Daten zu überprüfen; die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der Daten verlangt; der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen;
• Recht auf Datenübertragbarkeit – Artikel 20 GDPR: Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht und mithilfe automatisierter Verfahren erfolgt. Sie hat ferner das Recht, zu erwirken, dass die personenbezogenen Daten direkt einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist;
• Widerspruchsrecht – Artikel 21 GDPR: Die betroffene Person hat das Recht, sich jederzeit aus Gründen, die sich auf ihre besondere Situation beziehen, der Verarbeitung ihrer personenbezogenen Daten aufgrund der Rechtmäßigkeit des berechtigten Interesses oder der Erfüllung einer Aufgabe im öffentlichen Interesse oder der Ausübung öffentlicher Gewalt, einschließlich des Profilings, zu widersetzen, es sei denn, es bestehen berechtigte Gründe für den Verantwortlichen für die Fortsetzung der Verarbeitung, die Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person haben, oder für die Feststellung, Ausübung oder Verteidigung eines Rechts vor Gericht. Außerdem hat sie das Recht, sich jederzeit der Verarbeitung zu widersetzen, falls die personenbezogenen Daten zum Zwecke der Direktwerbung, einschließlich des Profilings, verarbeitet werden, soweit es mit dieser Direktwerbung im Zusammenhang steht;
• Recht auf Widerruf – Artikel 7 GDPR: Der Nutzer hat das Recht, seine Zustimmung jederzeit zu widerrufen. Der Widerruf der Zustimmung berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf der Zustimmung vor dem Widerruf beruht;
• Recht auf Beschwerde – Artikel 77 GDPR: Der Nutzer hat das Recht, eine Beschwerde bei der Datenschutzbehörde, Piazza di Montecitorio 121, 00186 Roma (RM), einzureichen.
9. AUSÜBUNG DER RECHTE
Der Nutzer kann jederzeit seine Rechte ausüben mittels Zusendung eines Einschreibens mit Rückschein an:
INDECO ind. S.p.a. Viale Lindemann 10 – 70132 Bari ZI oder einer PEC an die Anschrift indecoind.spa@pec.it.
Für die Ausübung der Rechte, wie in diesem Informationsschreiben angeführt, sowie zum Erhalt beliebiger Informationen hierzu, kann der Nutzer den Verantwortlichen kontaktieren, der – auch über die dafür bestimmten Einrichtungen – den Antrag bearbeiten und dem Nutzer unverzüglich, jedoch spätestens innerhalb eines Monats nach Erhalt derselben, die Informationen zu den im Zusammenhang mit dieser Anfrage ergriffenen Maßnahmen mitteilen wird.
Die Ausübung der Rechte durch den Nutzer ist kostenlos gemäß Artikel 12 GDPR. Bei offensichtlich unbegründeten oder übertriebenen Anfragen, auch aufgrund ihrer wiederholten Vorlage, kann der Verantwortliche dem Nutzer jedoch eine angemessene Gebühr in Rechnung stellen, die im Hinblick auf die Verwaltungskosten für die Bearbeitung seines Antrags anfällt, oder die Erfüllung seines Antrags verweigern.