手工制作“面包和葡萄酒”
伊万娜·耶利契奇 b.b.
51266 塞尔斯
OIB:96024309528
介绍性条款
本政策制定了一个负责任和透明的框架,以确保遵守《通用数据保护条例》。
本政策适用于“Craft ”Bread and Wine“的所有组织部分(以下简称”控制者“)和所有员工,包括兼职员工和临时工,以及代表控制者行事的所有外部员工。
政策声明
财务总监致力于按照所有法律、法规和最高道德商业标准开展业务。
本政策规定了控制者的员工及其外部合作伙伴在收集、使用、存储、传输、披露或销毁属于员工、控制者的业务合作伙伴和其他自然人的任何个人数据时的预期行为。
该政策的目的是通过在控制者业务的所有方面(包括个人数据)中保护其个人数据的隐私,规范对数据主体权利和自由的保护。
该政策规定,控制者不得在未经授权的情况下向第三方披露个人数据,或以危及第三方的方式行事。
个人数据处理的原则
控制者在收集、使用、保留、传输和销毁个人数据时应遵循以下原则:
合法性、公平性和透明度
个人数据将以合法、公平和透明的方式对数据主体进行处理。
这意味着控制者将在所有相关情况下告知数据主体他或她将如何处理数据(透明度),并且处理将完全按照所说的内容(公平)和适用的个人数据保护法中规定的目的进行(合法性)。
目的限制
个人数据将用于明确定义和合法的目的,并且不会以任何与这些目的不一致的方式进行处理。
这意味着控制者必须明确说明收集的数据将用于什么目的,并将个人数据的处理限制在实现这些目的所必需的那些过程中。
数据最小化
收集的个人数据将是相关的,并且仅限于实现其处理目的所必需的。
这意味着控制者不会收集、处理或存储超过绝对必要的个人数据。
数据准确性
收集的个人数据将是准确和最新的,这意味着控制者将制定程序来检测和解决过时、不准确和不必要的个人数据。
仔细的数据存储
个人数据的存储时间不会超过处理目的所需的时间,以确保能够识别数据主体。
这意味着,在可能的情况下,控制者将以限制或阻止识别数据主体的方式保留个人数据。
数据安全
个人数据的处理和存储方式将确保充分防止违规行为,例如未经授权和非法的处理以及数据的意外丢失、破坏或损坏。
控制者将实施个人数据安全政策中描述的适当技术和组织措施,以确保个人数据的完整性和机密性。
系统设计中内置隐私保护
在设计新的系统和审查和扩展控制器的现有系统和流程时,将注意应用所有这些原则,以尽可能保护数据主体的隐私。
个人数据处理的原则
其数据由控制者收集和处理的所有数据主体都享有以下权利:
获取信息的权利
每个数据主体都有权获得控制者在其档案中保存的数据副本,以便进行检查。
除了有权访问自己的数据外,数据主体还有权获得以下信息:
处理的目的和处理的法律依据
合法权益(如果处理基于合法权益)。
收集的个人数据的类型和类别
数据转发给的第三方
数据保留期
个人数据的来源,如果它们不是从数据主体那里收集的
所有信息都应以清晰明了的语言提供给数据主体,以确保理解,并且必须明确指出和可见,以便数据主体不会忽视它。
向数据主体提供所请求的信息可能会泄露有关他人的信息。
在这种情况下,这些数据必须被匿名化或完全隐瞒,以保护该人的权利。
数据更正权
每个数据主体都有权纠正控制者在其档案中持有的不准确或不完整的数据。
被遗忘的权利
数据主体可以要求将其数据从档案中删除。
该请求将得到考虑,如果不反对处理个人数据的法律依据,则该请求将获得批准。
限制处理权
在适用的情况下,数据主体有权限制处理范围。
数据可移植性的权利
数据主体有权将数据的副本传输给另一个控制者。
反对权
数据主体有权反对,特别是在处理基于控制者的合法利益的情况下。
在这种情况下,有必要审查处理的目的并建立其法律依据,并在适用的情况下,使数据主体能够撤回对数据处理的同意和/或停止处理他或她的数据。
评估权
数据主体有权要求监管机构对违反法规规定和控制者内部政策的行为进行评估。
反对特征分析的权利
数据主体有权反对自动分析和其他形式的自动决策。
如果控制者拒绝数据主体的请求,响应将说明拒绝的原因,数据主体可以向个人数据保护主管当局 (AZOP) 投诉。
法律依据
收集和处理数据主体个人数据的法律依据如下:
法律义务
管辖义务实体业务的法律规定了履行法律义务所必需的数据集。
对于法律规定的数据的收集和处理,控制者不会征求数据主体的同意,而只会收集法律规定的数据,不会将其用于其他目的。
这尤其适用于根据以下法律及其相关法规收集的数据,我们强调其中:
会计法
会计法
增值税法
所得税法
劳动法
《工人记录的内容和方式条例》
履行合同义务
履行合同义务所需的个人数据将由控制者在未经数据主体同意的情况下在履行义务所需的最小范围内收集。
合法权益
控制者将在下方发布其合法利益清单,根据这些利益收集和处理个人数据,以启用和/或改进其服务或产品。
保护数据主体的切身利益
如果是为了保护数据主体的切身利益,控制者可以在未经数据主体同意的情况下收集和处理个人数据。
公共利益或控制者行使官方权力
如果控制者的活动涉及代表公共利益行事或数据处理基于其他类型的官方权力,则并不总是需要将个人数据的收集告知数据主体。
批准
在所有其他情况下,控制者将征求数据主体的同意,以收集和处理个人数据,其中将明确说明处理目的。
数据主体可以随时撤回同意,因此必须自动删除他或她的数据并终止处理。
控制者将保留有效和撤回的同意的记录,以确保业务的正确性。
合法权益
控制者披露以下合法利益:
个人数据保护 GDPR
数据主体有权反对基于这些合法利益处理个人数据。
术语和定义
通用数据保护条例 (GDPR)
《通用数据保护条例》(GDPR)(法规 (EU) 2016/679) 是欧洲议会、欧盟理事会和欧盟委员会旨在加强和统一欧盟 (EU) 内所有个人个人数据保护流程的法规。
该法规也适用于在欧盟以外传输个人数据。
控制器
确定处理个人数据的目的、条件和方式的实体。
处理器
代表控制者进行数据处理的数据主体。
个人数据保护局
一个国家机构,其任务是保护数据和隐私,监控该条例的实施过程,并在欧盟内积极实施该条例关于保护个人数据的条例。
个人数据保护官
独立行事的数据保护专业人员,以确保业务实体按照《条例》规定的政策和程序运营。
考生
个人数据由数据控制者或数据处理者处理的自然人。
个人信息
与自然人有关的任何信息,即
数据主体,可用于直接或间接识别个人身份。
个人数据的处理
对个人数据进行的任何活动,无论是否自动,涉及收集、使用、创建记录等。
分析
任何以评估、分析或预测数据主体行为为目的的自动数据处理。
数据主体的访问权
它被称为“访问权”,它允许数据主体访问与他或她有关的个人数据,这些数据由控制者拥有。
立法
2016 年 12 月 27 日欧洲议会和理事会条例 (EU) 2016/679
2016 年 4 月。
关于在处理个人数据方面保护自然人以及此类数据的自由流动,并废除指令 95/46/EC(通用数据保护条例)
《通用数据保护条例实施法》。