ANKÜNDIGUNG: Die Akquisition von Rahi durch Wesco ist abgeschlossen. Mehr lesen
ANKÜNDIGUNG: Die Akquisition von Rahi durch Wesco ist abgeschlossen.
Mehr lesen
ANKÜNDIGUNG: Die Akquisition von Rahi durch Wesco ist abgeschlossen. Mehr lesen
ANKÜNDIGUNG: Die Akquisition von Rahi durch Wesco ist abgeschlossen.
Mehr lesenRahi wird im Folgenden als "wir", "unser", "das Unternehmen" bezeichnet. Die Sicherheit und Verwaltung von Daten ist wichtig, um sicherzustellen, dass wir effektiv und erfolgreich zum Nutzen unserer Stakeholder, Kunden und der Gemeinschaft arbeiten können. Dabei ist es wichtig, dass die Privatsphäre der Menschen durch die rechtmäßige und angemessene Verwendung und Handhabung ihrer persönlichen Daten geschützt wird. Das Unternehmen ist dafür verantwortlich, die Datenschutzgrundsätze, die in allen geltenden Gesetzen zum Schutz der Privatsphäre und des Datenschutzes dargelegt sind, sowie die vorliegende Richtlinie zum Schutz personenbezogener Daten und alle anderen Richtlinien, die das Unternehmen zum Schutz der Daten und des Datenschutzes formuliert, einzuhalten.
Diese Richtlinie zielt darauf ab, personenbezogene Daten der verschiedenen mit unserer Organisation verbundenen Akteure zu schützen. In dieser Richtlinie werden die grundlegenden Prinzipien dargelegt, nach denen das Unternehmen die personenbezogenen Daten von Verbrauchern, Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und anderen Personen verarbeitet, und die Verantwortlichkeiten seiner Geschäftsabteilungen und Mitarbeiter bei der Verarbeitung personenbezogener Daten angegeben.
Diese Richtlinie soll auch angemessene Garantien für die Verarbeitung personenbezogener Daten bieten, die dem Unternehmen anvertraut und aus Ländern übermittelt werden, die solche Schutzmaßnahmen vorschreiben. Damit soll das Unternehmen in die Lage versetzt werden, personenbezogene Daten dorthin zu übermitteln, wo sie weltweit benötigt werden, um seine internen Geschäftsprozesse zu ermöglichen und zu unterstützen oder Dienstleistungen und Produktfunktionen zu ermöglichen und zu verbessern. Zu diesem Zweck kann das Unternehmen bestimmte zusätzliche Verpflichtungen und Rechte für den Fall formulieren und beschreiben, dass Datenschutzgesetze und -vorschriften anderer Rechtsordnungen anwendbar sind.
Diese Richtlinienkontrolle gilt für alle Systeme, Personen und Prozesse, die die Informationssysteme der Organisation bilden, einschließlich der Vorstandsmitglieder, Direktoren, Mitarbeiter und anderer Dritter, die Zugang zu den im Unternehmen verfügbaren personenbezogenen Daten haben.
Das Unternehmen hat sich außerdem verpflichtet, dafür zu sorgen, dass seine Mitarbeiter sich im Einklang mit dieser und anderen damit verbundenen Richtlinien verhalten. Wenn Dritte in unserem Auftrag Daten verarbeiten, wird das Unternehmen sicherstellen, dass der Dritte die entsprechenden Maßnahmen ergreift, um die Verpflichtung des Unternehmens zum Datenschutz aufrechtzuerhalten. Das Unternehmen ist sich bewusst, dass es für die Verarbeitung, Verwaltung und Regulierung sowie die Speicherung und Aufbewahrung aller personenbezogenen Daten, die in Form von manuellen Aufzeichnungen und auf Computern gespeichert sind, verantwortlich ist.
Personenbezogene Daten: Das sind Informationen, die sich auf eine bestimmbare Person beziehen, die direkt oder indirekt durch diese Informationen identifiziert werden kann, z. B. Name, Kennnummer, Standort, Online-Kennung einer Person. Sie können auch pseudonymisierte Daten umfassen.
Besondere Kategorien von personenbezogenen Daten: Dies sind Daten, die sich auf die Gesundheit, das Sexualleben, die sexuelle Ausrichtung, die Rasse, die ethnische Herkunft, die politische Meinung, die Religion und die Gewerkschaftszugehörigkeit einer Person beziehen. Dazu gehören auch genetische und biometrische Daten (sofern sie zu Identifikationszwecken verwendet werden).
Datenverarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.
Alle anderen Begriffe, die hier nicht definiert sind, haben die gleiche Bedeutung wie in der Verordnung (EU) 679/2016 (Allgemeine Datenschutzverordnung) definiert.
- IT-Sicherheitspolitik
- Hinweis zum Datenschutz
- Verfahren zur grenzüberschreitenden Übermittlung personenbezogener Daten
- Richtlinie zur Datenaufbewahrung
- Verfahren zur Benachrichtigung bei Datenschutzverletzungen
- Datenschutzhinweis für Mitarbeiter
- Verfahren für Anträge auf Zugang zu personenbezogenen Daten
Personenbezogene Daten werden in Personalakten oder in den elektronischen Aufzeichnungen von Rahi Systems aufbewahrt, wobei das Unternehmen je nach Sachlage die folgenden Arten von Daten über die betreffenden Personen speichern kann:
A. Daten von Mitgliedern und Kunden
- Vorname, Nachname
- Berufsbezeichnung und Unternehmen
- E-Mail Adresse
- Telefonnummern
- Interessensgebiet
- Land des Wohnsitzes
B. Personaldaten
- Name, Adresse, Telefonnummern - für die Person und die nächsten Angehörigen
- Lebensläufe und andere bei der Einstellung gesammelte Informationen Referenzen von früheren Arbeitgebern,
- Sozialversicherungsnummern, Stellenbezeichnung, Stellenbeschreibungen und Gehaltsstufen,
- Verhaltensprobleme, wie z. B. Briefe mit Bedenken,
- Disziplinarverfahren
- Urlaubsnachweise
- Interne Leistungsinformationen
- Medizinische oder gesundheitliche Informationen, Aufzeichnungen über krankheitsbedingte Fehlzeiten
- Steuernummern
- Angaben zur beruflichen Weiterbildung.
C. Website-Besucherdaten
- IP-Daten der Besucher
- Daten und Uhrzeit des Website-Besuchs
- Besuchte Seiten und Navigation auf der Website
- Verwendeter Browser
- Land des Zugriffs auf die Website
- Sprache des verwendeten Browsers
- Gesuchte Wörter
D. Anfragen
- Im Formular angegebene persönliche Daten - Name, Adresse, Telefonnummer, Land
- Gegenstand der Anfrage
- Informationen zur Zahlung
- Persönliche Daten (Name auf der Karte, Rechnungsadresse)
- Zahlungsinformationen (Kartennummern, Kartentyp)
Wir verwenden einen sicheren Drittanbieter für die Verwaltung von Transaktionen und die Abwicklung von E-Commerce-Zahlungen.
Betroffene Personen sollten sich in den Datenschutzhinweisen des Unternehmens über die Gründe für die Verarbeitung, die Rechtsgrundlagen, auf die sich die Verarbeitung stützt, und die Aufbewahrungsfristen informieren.
Alle personenbezogenen Daten, die das Unternehmen erhält und besitzt, werden:
- auf faire, rechtmäßige und transparente Weise verarbeitet werden
- für spezifische, eindeutige und rechtmäßige Zwecke erhoben werden
- angemessen und relevant sein und sich auf das beschränken, was für die Zwecke der Verarbeitung erforderlich ist
- korrekt und auf dem neuesten Stand gehalten werden. Es werden alle angemessenen Anstrengungen unternommen, um sicherzustellen, dass unzutreffende Daten unverzüglich berichtigt oder gelöscht werden
- nicht länger aufbewahrt werden, als es für den jeweiligen Zweck erforderlich ist
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen
- die jeweils geltenden Datenschutzgesetze und Verfahren für die internationale Übermittlung personenbezogener Daten einhalten.
Darüber hinaus werden personenbezogene Daten in Anerkennung der Datenschutzrechte einer Person verarbeitet, wie sie in verschiedenen Datenschutzgesetzen und -vorschriften, denen das Unternehmen unterliegt, verankert sein können.
Das Unternehmen verpflichtet sich, die Rechte zu wahren, die einer betroffenen Person nach den geltenden Datenschutzgesetzen zustehen.
Einige der Rechte, die den betroffenen Personen zustehen, sind:
- das Recht, informiert zu werden
- das Recht auf Auskunft
- das Recht auf Berichtigung etwaiger Ungenauigkeiten (Richtigstellung)
- das Recht auf Löschung der Daten (Löschung)
- das Recht, die Verarbeitung der Daten einzuschränken
- das Recht auf Übertragbarkeit
- das Recht, der Aufnahme von Informationen zu widersprechen
- das Recht, die automatisierte Entscheidungsfindung und die Profilerstellung bei personenbezogenen Daten zu untersagen.
Die Ausübung und Verarbeitung dieser Rechte unterliegt den geltenden Datenschutzgesetzen und -vorschriften, die diese Rechte regeln.
Jede Verarbeitung personenbezogener Daten muss eine der folgenden Grundlagen erfüllen:
- Wenn wir die Einwilligung der betroffenen Person haben
- Wenn es in unserem berechtigten Interesse liegt und dieses nicht durch die Rechte und Freiheiten der betroffenen Person überlagert wird.
- Wenn es notwendig ist, um einer gesetzlichen Verpflichtung nachzukommen.
- Wenn es notwendig ist, um einen Vertrag oder vorvertragliche Verpflichtungen zu erfüllen.
- Wenn wir die lebenswichtigen Interessen einer Person schützen.
- Wenn wir eine öffentliche Aufgabe erfüllen oder in Ausübung öffentlicher Gewalt handeln.
Daten einer besonderen Kategorie/empfindliche Arten personenbezogener Daten, wie sie definiert sind, dürfen darüber hinaus nur in Übereinstimmung mit einer der in den einschlägigen Gesetzen festgelegten Bedingungen verarbeitet werden.
Die am besten geeignete Rechtsgrundlage wird im Datenverarbeitungsregister vermerkt.
Beruht die Verarbeitung auf einer Einwilligung, hat die betroffene Person die Möglichkeit, ihre Einwilligung problemlos zu widerrufen.
Wenn elektronische Direktwerbung verschickt wird, sollte der Empfänger die Möglichkeit haben, sich bei jeder verschickten Mitteilung abzumelden, und diese Wahl sollte von uns anerkannt und befolgt werden.
Personenbezogene Daten müssen auf rechtmäßige Weise und in gutem Glauben verarbeitet werden. Die Datenverarbeitung darf nur erfolgen, wenn und soweit eine ausreichende Rechtsgrundlage für die Verarbeitungstätigkeit besteht. Es werden nur solche Daten verarbeitet, die notwendig sind. Diese personenbezogenen Daten werden regelmäßig aktualisiert. Personenbezogene Daten müssen so verarbeitet werden, dass durch technische oder organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet ist, die die Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen zufälligen Verlust, Zerstörung oder Beschädigung schützt.
Das Unternehmen hat die folgenden Maßnahmen ergriffen, um die personenbezogenen Daten relevanter Interessengruppen, die es besitzt oder zu denen es Zugang hat, zu schützen:
- Es ernennt oder beschäftigt Mitarbeiter mit besonderen Verantwortlichkeiten für:
◦ die Verarbeitung und Kontrolle von Daten
◦ die umfassende Überprüfung und Auditierung ihrer Datenschutzsysteme und -verfahren
◦ den Überblick über die Wirksamkeit und Integrität aller zu schützenden Daten.
◦ Es gibt klare Verantwortlichkeiten und Rechenschaftspflichten für diese verschiedenen Aufgaben.
- ◦ Sie informiert die Betroffenen über ihre Datenschutzrechte, die Art und Weise, wie sie ihre personenbezogenen Daten verwendet und wie sie diese schützt. Die Informationen umfassen auch die Maßnahmen, die betroffene Personen ergreifen können, wenn sie glauben, dass ihre Daten in irgendeiner Weise beeinträchtigt wurden.
- Sie stellt ihren Mitarbeitern Informationen und Schulungen zur Verfügung, um sie für die Bedeutung des Schutzes personenbezogener Daten zu sensibilisieren, ihnen beizubringen, wie sie dies tun können, und ihnen zu vermitteln, wie sie Informationen vertraulich behandeln können
- über alle personenbezogenen Daten, die sie besitzt, Rechenschaft ablegen kann, woher sie stammen, mit wem sie ausgetauscht werden und an wen sie weitergegeben werden könnten
- Sie führt im Rahmen ihrer Überprüfungsaktivitäten Risikobewertungen durch, um Schwachstellen bei der Handhabung und Verarbeitung personenbezogener Daten zu ermitteln und Maßnahmen zu ergreifen, um die Risiken einer falschen Handhabung und möglicher Verstöße gegen die Datensicherheit zu verringern. Das Verfahren umfasst eine Bewertung der Auswirkungen der Nutzung und des potenziellen Missbrauchs personenbezogener Daten in und durch das Unternehmen
- Das Unternehmen erkennt an, wie wichtig es ist, die Zustimmung des Einzelnen zur Einholung, Aufzeichnung, Verwendung, Weitergabe, Speicherung und Aufbewahrung seiner personenbezogenen Daten einzuholen, und überprüft regelmäßig seine diesbezüglichen Verfahren, einschließlich der Prüfpfade, die für alle Zustimmungsentscheidungen erforderlich sind und eingehalten werden. Das Unternehmen ist sich darüber im Klaren, dass die Zustimmung freiwillig, spezifisch, informiert und eindeutig sein muss. Das Unternehmen holt die Zustimmung auf einer spezifischen und individuellen Basis ein, wo dies angemessen ist. Über die Tätigkeiten, für die eine Einwilligung eingeholt wird, wird umfassend informiert. Die betroffenen Personen haben das uneingeschränkte und ungehinderte Recht, diese Einwilligung jederzeit zu widerrufen.
- Sie verfügt über geeignete Mechanismen zur Aufdeckung, Meldung und Untersuchung vermuteter oder tatsächlicher Verletzungen des Schutzes personenbezogener Daten, einschließlich Sicherheitsverletzungen. Sie ist sich ihrer Pflicht bewusst, wesentliche Verstöße, die den betroffenen Personen erheblichen Schaden zufügen, der zuständigen Aufsichtsbehörde zu melden, und ist sich der möglichen Folgen bewusst
- sie ist sich der Auswirkungen der internationalen Übermittlung personenbezogener Daten bewusst.
Betroffene Personen haben das Recht, darüber informiert zu werden, ob das Unternehmen sie betreffende personenbezogene Daten verarbeitet, und auf die Daten zuzugreifen, die das Unternehmen über sie besitzt. Anträge auf Zugang zu diesen Daten werden nach den folgenden zusammenfassenden Leitlinien behandelt:
- Es steht ein Formular zur Verfügung, mit dem ein Antrag auf Zugang zu personenbezogenen Daten gestellt werden kann. Der Antrag sollte an [email protected] gerichtet werden.
- Das Unternehmen erhebt keine Gebühren für die Bereitstellung von Daten, es sei denn, der Antrag ist offensichtlich unbegründet, übertrieben oder wiederholt sich, oder es werden keine Kopien für andere Personen als den Antragsteller angefordert.
- das Unternehmen beantwortet die Anfragen unverzüglich. Der Zugang zu den Daten wird, vorbehaltlich gesetzlich zulässiger Ausnahmen, innerhalb von höchstens einem Monat gewährt. Diese Frist kann um weitere zwei Monate verlängert werden, wenn die Anfragen komplex oder zahlreich sind.
Betroffene Personen müssen das Unternehmen unverzüglich informieren, wenn sie der Meinung sind, dass die Daten unrichtig sind, sei es als Ergebnis eines Antrags auf Zugang zu den Daten oder auf andere Weise. Das Unternehmen wird dann unverzüglich Schritte unternehmen, um die Daten zu berichtigen.
Für weitere Informationen über die Beantragung des Zugangs zu den Daten wenden Sie sich bitte an unseren Datenschutzbeauftragten unter [email protected].
Das Unternehmen kann verpflichtet sein, bestimmte Daten/Informationen an eine der folgenden Stellen weiterzugeben:
- Aufsichtsbehörden und Vollzugsbehörden
- Gerichte oder andere relevante Parteien im Zusammenhang mit Forderungen oder Gerichtsverfahren
- unseren Vertragspartnern, Dienstleistern, Beratern, Wirtschaftsprüfern und Beratern auf der Basis der Notwendigkeit der Kenntnisnahme. Die personenbezogenen Daten können unter Umständen ins Ausland übermittelt werden, wobei wir sicherstellen, dass diese ausländischen Stellen, mit denen wir zusammenarbeiten, strenge Vertraulichkeits- und Datenschutzverpflichtungen einhalten.
Die verantwortliche Stelle muss die betroffenen Personen in knapper, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache über die Zwecke und Umstände der Verarbeitung ihrer personenbezogenen Daten informieren. Diese Information muss immer dann erfolgen, wenn die personenbezogenen Daten zum ersten Mal erhoben werden. Erhält das Unternehmen die personenbezogenen Daten von einem Dritten, muss es der betroffenen Person die Informationen innerhalb einer angemessenen Frist nach Erhalt der Daten zur Verfügung stellen, es sei denn
- die betroffene Person verfügt bereits über die Informationen oder
- es wäre unmöglich oder
- unmöglich oder äußerst schwierig wäre, diese Informationen zu erteilen.
Diese Art der Weitergabe erfolgt nur, wenn sie für den Zweck unbedingt erforderlich ist.
Angesichts der ständigen Entwicklungen und Veränderungen in der Technologie und der Innovationen, die die gemeinsame Nutzung von und den Zugang zu Daten erleichtern, ist es wichtig, dass ein einheitlicher Ansatz zum Schutz personenbezogener Daten gewählt wird.
Rahi Systems stellt sicher, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, die durch Datenschutzfolgenabschätzungen und Risikobewertungen unterstützt werden, um ein hohes Maß an Sicherheit für personenbezogene Daten und eine sichere Umgebung für manuell und elektronisch gespeicherte Informationen zu gewährleisten.
Das Unternehmen wendet Verfahren an, die die Sicherheit der Daten bei der Speicherung und beim Transport gewährleisten.
Darüber hinaus müssen die Mitarbeiter von Rahi Systems im Rahmen der organisatorischen Sicherheitsmaßnahmen:
- sicherstellen, dass alle Dateien oder schriftlichen Informationen vertraulicher Art sicher aufbewahrt werden und nur von Personen eingesehen werden können, die einen Bedarf und ein Recht auf Zugang zu ihnen haben
- sicherstellen, dass alle Dateien oder schriftlichen Informationen vertraulicher Art nicht an Orten aufbewahrt werden, an denen sie von unbefugten Personen gelesen werden können
- regelmäßig zu überprüfen, ob die in die Computer eingegebenen Daten korrekt sind
- die für den Zugang zum Computersystem bereitgestellten Passwörter stets mit Bedacht zu verwenden und diese nicht weiterzugeben, es sei denn, dies ist unbedingt erforderlich
- den Computerbildschirm ausblenden, um sicherzustellen, dass keine personenbezogenen Daten auf dem Bildschirm verbleiben, wenn er nicht benutzt wird.
Personenbezogene Daten sollten nicht auf Laptops, USB-Sticks oder ähnlichen Geräten aufbewahrt oder transportiert werden, es sei denn, dies wurde genehmigt. Wenn personenbezogene Daten auf einem solchen Gerät gespeichert werden, sollten sie geschützt werden durch:
- sicherstellen, dass Daten nur dann auf solchen Geräten gespeichert werden, wenn dies unbedingt erforderlich ist
- ein verschlüsseltes System verwendet wird - es sollte ein Ordner erstellt werden, in dem die Dateien gespeichert werden, die besonders geschützt werden müssen, und alle Dateien, die in diesem Ordner erstellt oder verschoben werden, sollten automatisch verschlüsselt werden
- Sicherstellung, dass Laptops oder USB-Laufwerke nicht herumliegen, wo sie gestohlen werden können.
Die Nichteinhaltung der Vorschriften des Unternehmens zur Datensicherheit kann im Rahmen des Disziplinarverfahrens des Unternehmens geahndet werden. Zu den angemessenen Sanktionen gehört die fristlose oder fristgerechte Entlassung, abhängig von der Schwere des Verstoßes.
Das Unternehmen kann verpflichtet sein, personenbezogene Daten in ein Land/mehrere Länder außerhalb der jeweiligen Gerichtsbarkeit zu übermitteln.
Die Übermittlung personenbezogener Daten an Empfänger außerhalb oder innerhalb des Unternehmens unterliegt den Genehmigungsanforderungen für die Verarbeitung personenbezogener Daten.
Der Datenempfänger muss verpflichtet werden, die Daten nur für festgelegte Zwecke zu verwenden.
Bei einer grenzüberschreitenden Übermittlung personenbezogener Daten (einschließlich der Gewährung des Zugriffs aus einem anderen Land) müssen die jeweiligen nationalen Anforderungen für die Übermittlung personenbezogener Daten ins Ausland erfüllt sein. Personenbezogene Daten aus der EU dürfen nur dann außerhalb der Unternehmen in einem Drittland verarbeitet werden, wenn der Empfänger nachweisen kann, dass er ein Datenschutzniveau hat, das dieser Richtlinie entspricht.
Die Übermittlung personenbezogener Daten an eine Behörde darf nicht massiv, unverhältnismäßig und wahllos sein und über das in einer demokratischen Gesellschaft erforderliche Maß hinausgehen. Im Falle von Konflikten zwischen diesen und behördlichen Anforderungen wird das Unternehmen eine praktische Lösung finden, die den Zweck dieser Richtlinie erfüllt.
Wenn eine Datenschutzverletzung wahrscheinlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, wird sie innerhalb von 72 Stunden, nachdem das Unternehmen davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde gemeldet, wobei die Meldung in mehreren Schritten erfolgen kann.
Einzelpersonen werden direkt informiert, wenn die Verletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betreffenden Person führt.
Wenn die Verletzung ausreicht, um eine Benachrichtigung der Öffentlichkeit zu rechtfertigen, wird das Unternehmen dies ohne unnötige Verzögerung tun.
Neue Mitarbeiter müssen im Rahmen ihrer Einarbeitung die Datenschutzrichtlinien lesen und verstehen.
Alle Mitarbeiter erhalten eine Schulung, die grundlegende Informationen über Vertraulichkeit, Datenschutz und die zu ergreifenden Maßnahmen bei der Feststellung einer möglichen Datenverletzung enthält.
Die für das Unternehmen benannten Datenverantwortlichen/Rechnungsprüfer/Datenschutzbeauftragten werden in ihren Rollen gemäß den geltenden Gesetzen entsprechend geschult.
Alle Mitarbeiter, die mit dem Computersystem arbeiten müssen, werden darin geschult, die privaten Daten von Personen zu schützen, die Datensicherheit zu gewährleisten und die Konsequenzen zu verstehen, die sich für sie als Einzelpersonen und für das Unternehmen aus möglichen Fehlern und Verstößen gegen die Richtlinien und Verfahren des Unternehmens ergeben.
Records Management bezieht sich auf eine Reihe von Aktivitäten, die für die systematische Kontrolle der Erstellung, Verteilung, Verwendung, Pflege und Entsorgung von aufgezeichneten Informationen erforderlich sind, die als Nachweis für geschäftliche Aktivitäten und Transaktionen aufbewahrt werden. Ohne solide Grundsätze und Praktiken für die Verwaltung von Aufzeichnungen ist es unmöglich, das Informationsrecht einzuhalten.
Das Unternehmen führt Aufzeichnungen über seine Verarbeitungstätigkeiten einschließlich des Zwecks der Verarbeitung und der Aufbewahrungsfristen in seinen Datenaufbewahrungsprotokollen. Diese Aufzeichnungen werden auf dem neuesten Stand gehalten, so dass sie die aktuellen Verarbeitungstätigkeiten widerspiegeln.
Gute Aufzeichnungspraktiken gewährleisten nicht nur die Qualität der Aufzeichnungen, sondern auch, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für den ursprünglichen Zweck erforderlich ist, und tragen zur Datenminimierung bei.
Rahi Systems hat sich verpflichtet, robuste Verwaltungsrichtlinien, -prozesse und -praktiken einzuführen, um die Einhaltung der geltenden Datenschutzgesetze und -vorschriften zu gewährleisten.
Rahi Systems führt Aufzeichnungen über die Datenverarbeitung gemäß den einschlägigen Datenschutzgesetzen, denen das Unternehmen unterworfen sein kann.
Der "Datenschutzbeauftragte" (DSB) hat die besondere Aufgabe, den Datenschutz zu überwachen und sicherzustellen, dass wir die Datenschutzgrundsätze und die einschlägigen Rechtsvorschriften einhalten.
Der DSB sorgt dafür, dass das Datenverarbeitungsregister auf dem neuesten Stand gehalten wird und zeigt auf, wie die Datenschutzgrundsätze bei unseren Aktivitäten eingehalten werden. Die einzelnen Mitarbeiter haben die Pflicht, dazu beizutragen, dass die im Register aufgeführten Maßnahmen in unserer Praxis korrekt umgesetzt werden.
Die Einhaltung einschlägiger Richtlinien und gesetzlicher Vorschriften in Bezug auf den Datenschutz im Rahmen unserer Datenmanagement-Strategie wird regelmäßig intern von einer benannten Governance-Gruppe überwacht.
Alle Mitarbeiter, Freiwilligen, Berater, Partner oder andere Parteien, die im Namen von Rahi Systems mit personenbezogenen Daten umgehen, werden entsprechend geschult und erforderlichenfalls beaufsichtigt.
Die Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten wird regelmäßig vom Datenschutzbeauftragten, der Governance Group und allen relevanten Geschäftsbereichen überprüft.
Wir halten uns an einschlägige Verhaltenskodizes, sofern diese ermittelt und erörtert wurden.
In Fällen, in denen eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten des Einzelnen mit sich bringt, führen wir zunächst eine Datenschutz-Folgenabschätzung durch und konsultieren erforderlichenfalls vor der Verarbeitung die zuständige Aufsichtsbehörde.
Diese Richtlinie soll den Gesetzen und Vorschriften am Ort der Niederlassung und in den Ländern, in denen das Unternehmen tätig ist, entsprechen. Im Falle eines Widerspruchs zwischen dieser Richtlinie und den geltenden Gesetzen und Vorschriften haben letztere Vorrang.
Zusätzliche Informationen für KALIFORNIEN-BEWOHNER
- das Recht, den Verkauf von personenbezogenen Daten abzulehnen
- das Recht zu erfahren, welche Kategorien personenbezogener Daten gesammelt, verkauft oder weitergegeben werden und welche Kategorien von Quellen diese personenbezogenen Daten enthalten
- das Recht, das Unternehmen aufzufordern, persönliche Daten zu löschen
- das Recht, nicht diskriminiert zu werden
We collect a variety of categories of personal information about California consumers. We will not collect additional categories of personal information or use the personal information we collect for materially different, unrelated, or incompatible purposes without providing an advance notice and receiving specific consent wherever required under applicable law.
Collection
In particular, we have collected the following types of Personal Information in the last twelve (12) months:
• Personal identifiers. Examples of these identifiers include, but are not limited to, a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, Social Security number, driver’s license number, passport number, or other similar identifiers.
• Personal information categories listed in the California Customer Records statute (Cal. Civ. Code § 1798.80(e). Examples of this information include, but are not limited to, a name, signature, Social Security number, physical characteristics or description, address, telephone number, passport number, driver’s license or state identification card number, insurance policy number, education, employment, employment history, bank account number, credit card number, debit card number, or any other financial information, medical information, or health insurance information.
• Protected classification characteristics under California or federal law. Examples of this protected information include, but are not limited to, age, race, colour, ancestry, national origin, citizenship, religion or creed, marital status, medical condition, physical or mental disability, sex (including gender, gender identity, gender expression, pregnancy or childbirth and related medical conditions), sexual orientation, veteran or military status, genetic information (including familial genetic information).
• Commercial Information. Examples of such commercial information include, but are not limited to, favourite restaurant location, products or services purchased, obtained, or considered, or other purchasing or consuming histories or tendencies.
• Biometric information. Genetic, physiological, behavioural, and biological characteristics, or activity patterns used to extract a template or other identifier or identifying information, such as, fingerprints, faceprints, and voiceprints, iris or retina scans, keystroke, gait, or other physical patterns, and sleep, health, or exercise data.
• Internet or other similar network activity. Browsing history, search history, information on a consumer’s interaction with a website, application, or advertisement.
• Geolocation data. Physical location or movements.
• Sensory data. Audio, electronic, visual, thermal, factory, or similar information.
• Professional or employment-related information. Current or past job history or performance evaluations.
• Non-public education information (per the Family Educational Rights and Privacy Act (20 U.S.C. Section 1232g, 34 C.F.R. Part 99)). Education records directly related to a student maintained by an educational institution or party acting on its behalf, such as grades, transcripts, class lists, student schedules, student identification codes, student financial information, or student disciplinary records.
• Inferences drawn from other Personal Information. Profile reflecting a person’s preferences, characteristics, psychological trends, predispositions, behaviour, attitudes, intelligence, abilities, and aptitudes.
• Sensitive personal Information. Consumers Social Security, driver’s license, identification card, passport number, a consumer’s account log‐in, financial account, debit card, or credit card number in combination with any required security or access code, password, or credentials allowing access to an account, genetic data, contents of consumer’s mail, email or text messages, consumers racial or ethnic origin, religious or philosophical beliefs, or union membership and their genetic data.
We may have obtained some or all the personal information listed above from the following sources in the last twelve (12) months:
• Directly from you. For example, from forms you complete, information you provide to our customer service department, or documents you provide to us.
• Indirectly from you or from a third party. For example, through information we collect in the course of providing services to you, or information we obtain from government agencies, public repositories, or third parties.
• Directly and indirectly from activity on our website. For example, we may automatically collect certain information such as unique device identifiers and cookies when you use our online services, such as our website, online portals or mobile applications.
Business or Commercial Purposes for which Information is used and disclosed
We use and disclose the personal information described above for one or more of the following business or commercial purposes:
• To fulfil or meet the reason you provided the information. For example, if you provide your name and contact information to request or avail one of our services or product offerings, we will use that information to activate or access your account, set up services, and otherwise respond to your request. If you provide your personal information to pay for one of our services or product offerings, we will use that information to process your payment.
• Making a decision about your recruitment or appointment;
• Determining the terms on which you work for us, including administering the contract/agreement/deed we have entered into with you;
• Checking you are legally entitled to work;
• For the administration of your benefits;
• Paying you and, if you are an employee, deducting any applicable tax, social or national insurance contributions;
• Managing sickness absence;
• Complying with employment and other laws and regulations, and health and safety obligations;
• Conducting performance reviews, managing performance, determining performance requirements, and making salary and compensation decisions;
• Compliance with security and other mandatory policies and building access;
• Contacting you in the event of a business disruption or continuity event;
• Equal opportunities monitoring and complying with obligations under laws and regulations applicable to Rahi Systems.
• Satisfying (or assisting you in satisfying) education, training and development requirements;
• Providing information to relevant external authorities for tax, social security and other purposes as legally required;
• Conducting surveys to assess your satisfaction with Rahi Systems including but not limited to its processes or policies;
• Assessing qualifications for a particular job or task, including decisions about promotions;
• Using internal and external training and promotional presentations and publications;
• Setting up and maintaining accounts and subscriptions with third parties that provide information and research services or communication services
• Making decisions about your continued engagement, employment or membership of Rahi Systems
• Gathering evidence for possible grievance or disciplinary hearings;
• Making arrangements for the termination of our working relationship;
• Dealing with legal or regulatory disputes or investigations involving you, our work, or other partners, employees, workers and contractors, including accidents at work, potential and actual negligence claims and professional discipline matters;
• To prevent fraud;
• To monitor use of our information and communication systems to ensure compliance with our IT and data retention management policies;
• To ensure network and information security, including preventing unauthorized access to our computer and electronic communications systems and preventing malicious software distribution;
• Business management and planning, including accounting, auditing and insuring;
• Planning or reviewing options in relation to the operation or management of Rahi Systems
• Keeping registers required by law or regulation;
• To conduct data analytics studies to review and better understand employee retention and attrition rates;
• Providing requested references for future employers;
• Providing proof of employment;
• Providing information in the context of a possible sale or restructuring of the business, including but not limited to due diligence purposes.
• To administer claims for benefits including sickness absence or family related leaves, to comply with employment and other laws, to carry out obligations or exercise special rights in the field of employment and social security law
• Communicating with you, for example to respond to inquiries
• Informing you of job opportunities and evaluating your suitability for a job
• Enhancing the safety and security of the services and preventing fraud, or protecting our or our customers’, or your rights or property
• Enforcing applicable terms and conditions and other applicable policies
At, Rahi Systems we do not engage in selling consumer’s personal information to third parties.
Disclosure of Personal Information
We disclose consumer’s personal information with our affiliates, service providers or third parties in connection with performance of our services and business operations, as permitted or required by applicable law. For example, we work with third parties that provide services to us and partner with third parties to develop, operate, deliver, maintain, improve, enhance, and protect our services and in connection with our offerings and operations. When we disclose personal information for a business purpose, we enter a contract that describes the purpose and requires the recipient to both keep that personal information confidential and not use it for any purpose except performing the contract, while ensuring that their obligations arising under CCPA and other applicable law are honoured.
We have disclosed for a business purpose the following Personal Information in the preceding twelve (12) months:
• Identifiers.
• Personal Information categories listed in the California Customer Records statute (Cal. Civ. Code § 1798.80(e)).
• Commercial information.
• Biometric information.
• Internet and other similar network activities
• Geolocation data
• Sensory Data
• Professional or employment related information
• Non-public education information (per the Family Educational Rights and Privacy Act (20 U.S.C. Section 1232g, 34 C.F.R. Part 99)).
• Inferences drawn from other Personal Information.
• Sensitive personal Information
Parties to whom personal information is disclosed can include but are not limited to:
• Website hosting or information technology consulting service providers
• Data analysis service providers
• Legal service providers
• Accounting service providers
• Administrative service providers
• Security service providers
• Application service providers
• Other third party service providers for the following types of activities carried out by them:
◦ human capital management administration;
◦ benefits provision and administration (including payroll, timekeeping, compensation, tax, insurance and discount voucher schemes);
◦ occupational health or medical assessments regarding your fitness to work and health and safety (e.g., work station assessments);
◦ insurance or benefits claims and notifications;
◦ provision and administration of recruitment assessments, training and professional development;
◦ building security access and maintenance;
◦ travel services providers;
◦ telecommunications and messaging services such as our business continuity emergency notification system;
◦ consultants such as talent management and law firms;
◦ hard copy archiving; and
◦ IT services including systems providers for meetings, communications (including telephone, messaging, and email), productivity applications, document management, and security.
We may also disclose your personal information for other purposes permitted by law and to:
• Comply with applicable laws
• Respond to governmental inquires or requests, including tax authorities, regulators or supervisory
• authorities, the police or a court of competent jurisdiction
• Comply with valid legal processes
• Protect the rights, privacy, safety or property of Rahi Systems website visitors, users of the services, customers
• Permit us to pursue available remedies or limit the damages that we may sustain
• where it is necessary to administer the contract, working relationship and any associated benefits
• with or for you; for the purposes of auditing, insuring and in the course of seeking advice with regards to our
• business operations and claims handling; or where we have another legitimate interest in doing so
• Enforce our Terms of Service
In the event there is a change or contemplated change in the corporate structure of Rahi Systems such as a merger, consolidation, sale, liquidation or transfer of substantial assets, we may disclose your personal information and may, in its sole discretion, transfer, sell or assign personal information collected on and through the services, including your personal information, to one or more affiliated or non-affiliated third parties.
In diesem Abschnitt wird erläutert, wie Sie Ihre Rechte gemäß dem oben beschriebenen CCPA ausüben können. Die Verbraucher müssen Rahi Systems ausreichende Informationen zur Verfügung stellen, damit wir ihre Identität oder die ihres Bevollmächtigten in angemessener Weise überprüfen können. Das Unternehmen wird die in Ihrer Anfrage angegebenen persönlichen Daten nur dazu verwenden, Ihre Identität oder die Ihres Bevollmächtigten zu überprüfen. Bitte beachten Sie, dass wir keine persönlichen Informationen als Antwort auf eine Anfrage zur Verfügung stellen können, wenn wir Ihre Identität oder die Ihres bevollmächtigten Vertreters nicht überprüfen können, oder die Befugnis Ihres bevollmächtigten Vertreters, die Anfrage in Ihrem Namen zu stellen, und/oder wenn wir nicht bestätigen können, dass sich die gesammelten persönlichen Informationen auf Sie beziehen.
- E-Mail. Sie können Anfragen per E-Mail an unsere Postanschrift unter [email protected] stellen.
Sobald wir eine Anfrage zur Kenntnisnahme oder Löschung erhalten, müssen wir Ihre Identität überprüfen, bevor wir die von Ihnen gestellten Anfragen beantworten und bearbeiten können.
Wenn Sie kein Konto bei uns unterhalten oder die Anfrageformulare nicht ausfüllen möchten, müssen Sie zumindest die folgenden Informationen zu Überprüfungszwecken angeben, z. B:
- Ihren Vor- und Nachnamen;
- Ihre E-Mail Adresse; und
- Ihre Telefonnummer.
- Ihre Beziehung zu uns
- Spezifische Beschreibung Ihres Anliegens
Wird eine Anfrage als offensichtlich unbegründet oder übertrieben angesehen, insbesondere aufgrund ihres wiederholten Charakters, kann das Unternehmen entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder Mitteilungen oder die Durchführung der angeforderten Maßnahme erheben oder die Anfrage ablehnen und den Verbraucher über den Grund für die Ablehnung der Anfrage informieren. Nach einer solchen Ablehnung oder der Erhebung einer Bearbeitungsgebühr teilt das Unternehmen dem Verbraucher mit, dass dies notwendig ist.
Wenn Sie entweder einen Antrag auf Auskunft über bestimmte gesammelte personenbezogene Daten oder einen Antrag auf Löschung sensibler, unersetzlicher oder anderweitig wertvoller personenbezogener Daten stellen, müssen Sie (oder gegebenenfalls Ihr Bevollmächtigter) eine unterzeichnete Erklärung vorlegen, in der Sie Ihre Identität (oder gegebenenfalls die Identität Ihres Bevollmächtigten) bestätigen. Die Erklärung ist auf dem Online-Formular CCPA Consumer Request to Know und dem Online-Formular CCPA Consumer Request to Delete enthalten.
Ein Bevollmächtigter ist entweder eine natürliche Person oder eine beim kalifornischen Außenministerium eingetragene juristische Person, die ein Verbraucher bevollmächtigt hat, in seinem Namen zu handeln.
Sie können einen Bevollmächtigten damit beauftragen, solche Anträge einzureichen, zu denen die Verbraucher berechtigt sind. Ihr Bevollmächtigter muss entweder (1) eine Vollmacht vorlegen oder (2) Ihre schriftliche Erlaubnis, dass der Bevollmächtigte den Antrag in Ihrem Namen stellen darf, sowie eine Bestätigung Ihrer Identität.
Empfangsbestätigung des Antrags
Wir bestätigen den Eingang einer Anfrage von Ihnen innerhalb von zehn (10) Tagen. Diese Bestätigung enthält Informationen darüber, wie wir die Anfrage bearbeiten werden, einschließlich einer Beschreibung unseres Überprüfungsverfahrens und einer ungefähren Angabe, wann wir Ihnen eine inhaltliche Antwort zukommen lassen werden.
Substanzielle Antwort
Wir werden auf eine überprüfbare Anfrage von Ihnen innerhalb von fünfundvierzig (45) Tagen antworten, einschließlich der Zeit, die wir für die Bestätigung des Eingangs Ihrer Anfrage benötigen. Wenn wir nicht innerhalb dieser Frist antworten können, teilen wir Ihnen schriftlich mit, dass wir weitere fünfundvierzig (45) Tage benötigen, und erläutern den Grund für die erforderliche zusätzliche Zeit.
Wenn Sie ein Konto bei uns haben, werden wir auf dieses Konto antworten. Wenn Sie kein Konto bei uns haben, werden wir Ihnen die schriftliche Antwort nach Ihrer Wahl per Post oder E-Mail zukommen lassen.
Alle Angaben, die wir machen, beziehen sich nur auf den Zeitraum von 12 Monaten vor dem Eingang Ihrer überprüfbaren Anfrage. Wenn wir Ihrer Anfrage nicht nachkommen können, werden wir dies begründen. Wenn Sie um Auskunft über bestimmte von uns erfasste personenbezogene Daten gebeten haben, werden wir Ihnen diese Informationen per Post oder E-Mail zukommen lassen.
Wir erheben keine Gebühren für die Bearbeitung oder Beantwortung einer überprüfbaren Verbraucheranfrage, es sei denn, die Anfrage ist übermäßig, wiederholt oder offensichtlich unbegründet. Wenn wir zu dem Schluss kommen, dass die Anfrage eine Gebühr rechtfertigt, werden wir Ihnen die Gründe dafür mitteilen und Ihnen einen Kostenvoranschlag unterbreiten, bevor wir die Anfrage bearbeiten.
Reaktion auf Opt-out-Anträge.
Wir werden auf eine Opt-out-Anfrage so schnell wie wirtschaftlich vertretbar reagieren, spätestens jedoch fünfundvierzig (45) Tage nach dem Eingang der Anfrage.
Rahi Systems verkauft keine persönlichen Daten, auch nicht in den letzten 12 Monaten.
Name des Unternehmens: Rahi
Datenschutzbeauftragter: [email protected]
