Dataskyddspolicy
Skyddet av dina personuppgifter är viktigt för oss (”DACHSER”). Behandlingen av dina personuppgifter, såsom ditt namn, adress, e-postadress eller telefonnummer, sker alltid i överensstämmelse med den allmänna dataskyddsförordningen (GDPR) och de landsspecifika dataskyddsbestämmelserna.
Med denna sekretesspolicy vill vi informera dig om arten, omfattningen och syftet med de personuppgifter som samlas in och behandlas av oss. Vi kommer också att informera dig om de rättigheter som du har. Om vi vill erbjuda dig speciella tjänster via vår webbplats eller på annat sätt och det inte finns någon rättslig grund för databehandling som är nödvändig i detta sammanhang, kommer vi att inhämta ditt medgivande.
Registrerade personers rättigheter och rapportering av incidenter gällande personuppgifter
Som registrerad person kan du utöva dina rättigheter – till exempel rätten till; information, rättelse, radering, begränsning av behandling, dataportabilitet och rätten att invända – online här. Du kan rapportera incidenter gällande personuppgifter, så som obehörigt tillträde, utlämning, behandling eller förlust av personuppgifter, online här.
Den som ansvarar för tillämpningen av lagstiftningen om uppgiftsskydd är:
DACHSER SE
Thomas-Dachser-Straße 2
87439 Kempten
Tyskland
Tel.: +49 831 5916 0
Fax: +49 831 5916-1312
info@dachser.com
www.dachser.com
Namnet på och kontaktuppgifter för DACHSER SE:s dataskyddsombud:
DACHSER SE
Dataskyddsombud
Thomas-Dachser-Str. 2
87439 Kempten
Denna webbplats samlar in ett antal allmänna uppgifter och information varje gång den öppnas. Denna allmänna data och information lagras i loggfilerna på servern. Information som kan samlas in är (1) de webbläsartyper och versioner som används, (2) operativsystemet som används av åtkomstsystemet, (3) webbplatsen från vilken ett åtkomstsystem når vår webbplats (så kallade hänvisningssidor), (4) underwebbplatser som kontrolleras via ett åtkomstsystem på vår webbplats, (5) datum och tid för åtkomst till webbplatsen, (6) IP-adressen (Internet Protocol-adressen), (7) internetleverantören av åtkomstsystemet och (8) andra liknande uppgifter och information som används för att tillhandahålla säkerhet i händelse av angrepp på våra IT-system.
När du använder dessa allmänna data och information drar inte DACHSER några slutsatser om dig. Ingen profilering görs. Vi behöver snarare denna information för att korrekt kunna leverera innehållet på vår webbplats, för att optimera innehållet på vår webbplats samt reklam för denna, säkerställa permanent funktionalitet hos våra IT-system och tekniken för våra webbplatser och tillhandahålla nödvändig information till brottsbekämpande myndigheter i händelse av en cyberattack.
Dessa anonymt insamlade data och information utvärderar DACHSER statistiskt i syfte att öka dataskyddet och datasäkerheten på vårt företag. Vi lagrar anonyma data i serverloggfilerna åtskilt från alla personuppgifter som du anger. Den rättsliga grunden för tillfällig lagring av data och loggfiler är art. 6 avs. 1 f i GDPR.
Du kan kontakta oss via kontaktformuläret som finns på vår hemsida eller via den e-postadress som anges under Imprint. Om du kontaktar DACHSER via någon av dessa kanaler, kommer vi automatiskt att lagra de personuppgifter som du har tillhandahållit oss. Sådana personuppgifter som tillhandahålls DACHSER på frivillig basis kommer att lagras i syfte att behandla din förfrågan och/eller kontakta dig.
DACHSER hänvisar förfrågningar och tillhörande personuppgifter för behandling och användning till ett verksamhetsställe inom DACHSER-koncernen som besitter den aktuella tekniska kompetensen, vanligtvis dotterbolaget i det land som frågeställaren befinner sig i, och utbyter uppgifter med detta. Till exempel sker det därför ett utbyte av förfrågningar och motsvarande uppgifter på den schweiziska webbplatsen (www.dachser.com/ch) med DACHSER:s dotterbolag i Schweiz (DACHSER Spedition AG). I samband med detta kan data även överföras till tredje land, exempelvis USA.
Den rättsliga grunden för behandling av uppgifterna utgörs vid kontraktsinitiering eller -utförande av artikel 6, avs. 1 b i GDPR och i alla andra fall av artikel 6 avs. 1 f i GDPR. För överföring av uppgifter till tredje land är den rättsliga grunden artikel 49, avs. 1 b i GDPR.
På DACHSER:s webbplats ges användarna möjlighet att prenumerera på DACHSER:s nyhetsbrev (t.ex. ”eLetter”). Vilka personuppgifter som skickas till DACHSER vid beställning av nyhetsbrevet beror på det aktuella dataformulär som används för detta ändamål.
Via nyhetsbrevet informerar DACHSER regelbundet kunder och affärspartners om nyheter när det gäller våra tjänster och produkter, aktuella pressmeddelanden, information om vårt varumärke eller aktuellt innehåll på vår webbplats. I princip kan nyhetsbrevet endast tas emot av den berörda personen om (1) den registrerade har en giltig e-postadress och (2) den berörda personen registrerar sig för utskicket av nyhetsbrevet. Av juridiska skäl kommer en bekräftelse att skickas via e-post till den e-postadress som den berörda personen uppgav första gången för utskick av nyhetsbrevet enligt Double-Opt-In-förfarandet. Detta bekräftelsemejl används för att kontrollera om innehavaren av e-postadressen är den person som har godkänt mottagandet av nyhetsbrevet. Den rättsliga grunden för att skicka nyhetsbrevet utgörs av artikel 6, avsnitt 1 a i GDPR.
När du registrerar dig för nyhetsbrevet lagrar vi IP-adressen som internetleverantören (ISP) har tilldelat den berörda personens datorsystem vid tidpunkten för registreringen, samt datum och klockslag för registreringen. Insamlingen av dessa uppgifter är nödvändig för att kunna förstå (ett eventuellt) missbruk av e-postadressen för en berörd person vid ett senare tillfälle och fungerar således som ett rättsligt skydd för DACHSER. För insamlingen, bearbetningen, användningen och/eller lagringen av dessa uppgifter inom ramarna för utskicket av nyhetsbrevet kommer DACHSER att anlita företaget Atrivio GmbH, Albert-Einstein-Str. 6, 87437 Kempten för att hantera uppdragsdata.
De personuppgifter som samlas in som en del av registreringen för prenumeration på nyhetsbrevet används uteslutande för följande ändamål:
- Utskick av nyhetsbrevet
- Rådgivning och reklam
- Personlig anpassning av nyhetsbrevet
- Personligt anpassade ämnesval i nyhetsbrevet
Dessutom kan prenumeranter på nyhetsbrevet informeras via e-post om detta är nödvändigt för tillhandahållandet av nyhetsbrevstjänsten eller om en registrering krävs för detta, till exempel för ändringar i nyhetsbrevserbjudandet eller ändringar av tekniska förutsättningar.
Samtycket till lagring av personuppgifter som personen i fråga har lämnat till oss för utskick av nyhetsbrevet kan återkallas när som helst. I varje nyhetsbrev finns en länk som man klickar på om man vill återkalla sitt samtycke. Det går också att avsluta prenumerationen på nyhetsbrevet genom att skicka ett meddelande direkt till DACHSER på den adress som anges under punkt 1.
Våra nyhetsbrev innehåller så kallade web beacons. En web beacon är en miniatyrbild som är inbäddad i sådana e-postmeddelanden, som skickas i HTML-format för att möjliggöra en registrering av en loggfil och en loggfilsanalys. Detta gör att man kan utvärdera statistiskt om en online-kampanj har varit lyckad eller misslyckad. Med hjälp av den web beacon som är inbäddad kan DACHSER se om och när ett e-postmeddelande har öppnats av en berörd person och vilka länkar i e-postmeddelandet som den registrerade har klickat på.
Sådana personuppgifter som samlas in via web beacons i nyhetsbreven lagras och utvärderas av DACHSER för att optimera nyhetsbrevsutskicken och för att förbättra innehållet i framtida nyhetsbrev utifrån den berörda personens intressen. Berörda personer har rätt att när som helst återkalla sitt samtycke via vårt Double-Opt-In-förfarande. Efter återkallelsen tar DACHSER bort dessa personuppgifter. En avanmälan från mottagandet av nyhetsbrevet tolkar DACHSER automatiskt som ett återkallande.
Denna webbplats använder cookies. Cookies är textfiler som placeras och sparas på en dator via en webbläsare. Genom att använda cookies kan DACHSER tillhandahålla användarvänliga tjänster till dig som inte skulle vara möjliga utan cookies. Cookies gör det möjligt för oss att känna igen användarna av vår webbplats. En användare av en webbplats som tillåter cookies behöver till exempel inte ange sina inloggningsuppgifter på nytt varje gång webbplatsen besöks, eftersom dessa hämtas av webbplatsen och den cookie som lagras på användarens dator.
Du kan när som helst förhindra att cookies placeras på din dator/enhet av vår webbplats med hjälp av motsvarande inställning i webbläsaren som du använder och därmed permanent blockera cookies. Dessutom kan cookies som redan har placerats på din dator/enhet när som helst tas bort via din webbläsare eller andra program. Detta är möjligt på alla vanliga webbläsare. Om du inaktiverar inställningen Tillåt cookies i din webbläsare, kan du eventuellt inte använda alla funktioner på vår webbplats. Den rättsliga grunden för behandling av personuppgifter med hjälp av cookies är artikel 6, avs. 1 f i GDPR.
Ägaren till denna webbplats använder tjänster från etracker GmbH från Hamburg, Tyskland (www.etracker.com) för att analysera användardata. etracker använder som standard inga cookies. Om du uttryckligen godkänner analyscookies (statistiskcookies) används cookies för att kunna göra en statistisk analys av hur besökarna använder webbplatsen samt för att visa användningsrelaterat innehåll eller reklam. Cookies är små textfiler som webbläsaren lagrar på användarens enhet. etracker-cookies innehåller ingen information som gör det möjligt att identifiera användaren.
De uppgifter som genereras med etracker behandlar och lagrar etracker på webbplatsägarens uppdrag endast i Tyskland. Det innebär att de omfattas av de stränga tyska och europeiska dataskyddslagarna och -standarderna. etracker har kontrollerats och certifierats av ett oberoende institut och erhållit dataskyddskvalitetsmärket ePrivacyseal.
Databehandlingen är baserad på bestämmelserna i artikel 6.1 f (berättigat intresse) i dataskyddsförordningen (GDPR). Vår avsikt i enlighet med GDPR (berättigat intresse) är att optimera vårt onlineerbjudande och vår webbnärvaro. Eftersom våra besökares privatsfär är viktig för oss anonymiseras eller pseudonymiseras de uppgifter som eventuellt kan kopplas till en enskild person, till exempel IP-adress, inloggning eller enhets-ID, så snart som möjligt. Uppgifterna används inte på något annat sätt och sammanställs inte med andra uppgifter eller lämnas ut till tredje part.
Med webbläsarinställningen ”do not track” utesluts du automatiskt från spårning.
Du kan när som helst invända mot den ovan beskrivna databehandlingen. Då används dina besöksdata inte längre för webbanalysen. Klicka för att aktivera.
Här hittar du mer information om dataskyddet hos etracker.
DACHSER erbjuder tjänster på webbplatsen via verktyget eLogistics. De viktigaste funktionerna i eLogistics-portalen inkluderar online-beräkning av fraktkostnader, registrering av transportorder och spårning av sändningar med hjälp av Tracking & Tracing.
DACHSER hänvisar registreringar till eLogistics samt tillhörande personuppgifter för behandling och användning till ett verksamhetsställe inom DACHSER-koncernen som besitter den aktuella tekniska kompetensen, vanligtvis dotterbolaget i det land som frågeställaren befinner sig i, och utbyter uppgifter med detta. Till exempel sker det därför ett utbyte av registreringar och de uppgifter som har använts för eLogistics på webbplatsen för Schweiz (www.dachser.com/ch) med DACHSER:s dotterbolag i Schweiz (DACHSER Spedition AG). I samband med detta kan data även överföras till tredje land, exempelvis USA. eLogistics-programmen kan använda användare utan eller med individuell registrering. Vid en registrering kommer respektive dotterbolag att frisläppa användaren efter lyckad autentisering. Användare som registrerar sig får tillgång till mer ”autentiseringsuppgifter” jämfört med användning utan registrering, dvs. användarna kan dra nytta av mer avancerade tjänster. Vilka personuppgifter som skickas till DACHSER bestäms av den inmatningsmatris som används för registreringen.
Syftet med dataanvändningen vid användningen av eLogistics tjänster är uteslutande tillhandahållandet av ovannämnda tjänster. Den rättsliga grunden för behandling av uppgifterna utgörs vid kontraktsinitiering eller -utförande av artikel 6, avs. 1 b i GDPR och i alla andra fall artikel 6, avs. 1 f i GDPR. För överföring av uppgifter till tredje land är den rättsliga grunden artikel 49, avs. 1 b i GDPR.
Den här webbplatsen använder integrerade kartor från Google Maps. Leverantören är Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Moderbolaget: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Det gör att vi kan visa dig interaktiva kartor direkt på webbplatsen och gör att du enkelt kan använda kartfunktionen.
Genom att besöka webbplatsen får Google information om att du har besökt motsvarande undersida på vår webbplats. Dessutom överförs de uppgifter som listas under punkt 2. Detta görs oavsett om Google tillhandahåller ett användarkonto som du är inloggad på, eller om användarkonto saknas. Om du är inloggad på ditt Google-konto, kommer dina data att vara direkt kopplade till ditt konto. Om du inte vill att din användning ska kopplas till din profil hos Google, måste du logga ut innan du aktiverar knappen. Google lagrar dina data i form av en användarprofil och använder denna för annonsering, marknadsundersökningar och/eller personlig anpassning av sin webbplats. En sådan utvärdering görs speciellt (även för användare som inte är inloggade) för att tillhandahålla riktad annonsering och för att informera andra användare i det sociala nätverket om din aktivitet på vår webbplats. Du har rätt att invända mot upprättandet av dessa användarprofiler, och du måste vända dig till Google för att utöva denna rättighet. Mer information om syftet med och omfattningen av datainsamlingen och behandlingen av informationen av plugin-leverantören hittar du i leverantörens sekretesspolicy.
Den rättsliga grunden för behandling av dina personuppgifter vid användning av Google Maps är artikel 6, avs. 1 f i GDPR. Dataöverföringen till USA grundar sig på EU-kommissionens standardavtalsklausuler. Ytterligare information hittar du här och här.
Mer information om hanteringen av användardata hittar du i Googles integritetspolicy.
På vår hemsida använder vi sociala insticksprogram (”plug-ins”) från Facebook, Twitter, YouTube, Xing och LinkedIn. Vi använder plug-ins i synnerhet för att du ska kunna dela innehållet på vår webbplats med andra användare i sociala nätverk eller för att tillhandahålla sådant innehåll. Du känner igen leverantören av respektive plug-in på dennes logotyp eller första bokstaven.
När du besöker vår webbplats skickar vi inte någon personligt identifierbar information till plugin-leverantörerna. Om du emellertid klickar på det valda fältet kommer din personliga information att skickas direkt till leverantören av respektive plugin-program och kan behandlas av denne – möjligen i tredje land, exempelvis USA. Efter att ha klickat på plug-in-fältet öppnas ett nytt fönster i webbläsaren och sidan från leverantören av respektive sociala nätverk öppnas. Dataöverföringen till leverantören av det aktuella plugin-programmet sker oavsett om du har ett konto i det sociala nätverket som tillhör plugin-leverantören. Om du är inloggad hos plugin-leverantören, kommer dina uppgifter som samlas in av oss att vara direkt kopplade till ditt befintliga konto hos plugin-leverantören.
Vi kan inte påverka arten och omfattningen av de uppgifter som samlas in och behandlas genom användningen av plug-ins, inte heller är vi medvetna om den fulla omfattningen av datainsamlingen, ändamålen med behandlingen eller lagringsperioderna. Enligt plugin-leverantörernas egna uppgifter inkluderar de överförda uppgifterna information om din webbläsare, besökta webbplatser och datum och tid för besöket. Plugin-leverantörer behandlar denna information, till exempel för att skapa användarprofiler åt dig och för att visa annonser som är anpassade efter dig. Du har rätt att invända mot skapandet av dessa användarprofiler, och du måste kontakta respektive plugin-leverantör för att utöva din rätt att invända. För mer information, se respektive leverantörs webbsidor och dataskyddsinstruktioner.
Rättslig grund för behandlingen av dina personuppgifter med hjälp av sociala insticksprogram är artikel 6.1 f GDPR. Vid användning av Facebook, Twitter, YouTube och LinkedIn kan uppgifter överföras till tredje land, exempelvis USA. I dessa fall ser vi till att det finns en rimlig dataskyddsnivå så att standarden enligt europeisk rätt tillämpas. Detta görs vanligtvis genom Europeiska kommissionens standardavtalsklausuler och eventuellt ytterligare lämpliga garantier.
Åtkomst till personuppgifter är tekniskt möjligt för de tjänsteleverantörer och samarbetspartners som vi använder oss av för driften av våra webbplatser. Dessa externa leverantörer är skyldiga att använda dina personuppgifter endast i syfte att tillhandahålla de tjänster som begärs av oss eller på annat sätt i enlighet med våra instruktioner.
För de syften som anges i denna sekretesspolicy kommer DACHSER att överföra dina personuppgifter inom DACHSER-koncernen och vidarebefordra dem till respektive nationellt dotterbolag. DACHSER-företag finns också utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. DACHSER ansvarar därför för att informera dig om dina rättigheter som berörd person inom ramen för gällande dataskyddslagar. Du kan skicka eventuella frågor och klagomål som rör dina personuppgifter till DACHSER. De andra DACHSER-företagen inom DACHSER-koncernen, som också de behandlar dina personuppgifter, samarbetar med oss och bistår oss för att uppfylla sådana förfrågningar eller klagomål.
Utöver ovanstående dataöverföringar överför, säljer eller marknadsför vi inte dina personuppgifter till tredje part, t.ex. andra företag eller organisationer, såvida du inte har gett ditt uttryckliga medgivande till detta, eller om överföringen krävs för att uppfylla våra lagstadgade skyldigheter gentemot dig, i egenskap av webbplatsanvändare.
Kriteriet för lagring av personuppgifter är den aktuella lagstadgade lagringsperioden. I slutet av perioden tar vi rutinmässigt bort relevanta uppgifter, förutsatt att de inte längre är nödvändiga för att fullgöra avtalet eller ingåendet av avtalet.
Om lagringsändamålet bortfaller eller om en lagringsperiod som föreskrivs av EU-direktivet och den lagstiftande församlingen eller annan behörig lagstiftare upphör att gälla, blockeras eller raderas personuppgifterna automatiskt och i enlighet med lagkraven.
I egenskap av berörd person ska de rättigheter som avses i artiklarna 15-21 GDPR uppfyllas av DACHSER om de villkor som anges där är uppfyllda. Med detta avses rätten till information (art. 15 GPDR), rättelse (art. 16 GDPR), borttaget (art. 17 GDPR), begränsning av behandlingen (art. 18 GDPR), möjlighet till dataöverföring (art. 20 GDPR) och rätten till invändning (art. 21 och 22 GDPR). Utöver detta har du rätt att överklaga till tillsynsmyndigheten enligt artikel 77 GDPR inkl.
Google Ads gör det möjligt för oss att visa annonser i Googles sökmotorresultat när användare anger vissa söktermer på Google (sökordsinriktning). Google Ads är en tjänst från Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.5. Vi använder Google Ads för att mäta antalet besök som har kommit till vår webbplats via visning av annonser i Google Search och för att utvärdera vilka söktermer som har lett till placeringen av våra annonser. Konverteringsspårning utförs uteslutande med hjälp av det cookiefria webbanalysverktyget etracker, som endast samlar in statistik. Vi använder inte funktionen för remarketing och du kommer inte att få någon ytterligare reklam från oss efter att du har besökt vår webbplats. Den rättsliga grunden för denna databehandling är vårt berättigade intresse av att optimera vårt online-erbjudande och våra marknadsföringsåtgärder. Du kan när som helst invända mot ovannämnda databehandling.
Information om dataskydd för affärsrelationer
1. Definitions
The DACHSER Sweden AB data protection declaration applies the terminology used by the European regulator with the issuance of the General Data Protection Regulation (GDPR). Please refer to the definition of terms in Article 4 of GDPR. GDPR can be accessed here:
2. Name and address of the controller and of the data protection officer
For the purposes of GDPR, other applicable regulations in member states of the European Union, and other regulations pertaining to data protection, the controller is:
DACHSER Sweden AB, Arendals Allé 5, S-418 79 Sverige, Sweden, Tel.: +46 31 709 34 00, E-Mail: dachser.goteborg@dachser.com, Website: www.dachser.se
3. General information about data processing
3.1 Scope of processing of personal data
We generally collect and process our business partners’ personal data only insofar as this is necessary for the purposes of entering into a contract or executing our orders and contracts. Once our contractual responsibilities have been met, we process data only after consent has been given. The exception is when consent cannot be obtained in advance for practical reasons, or when legislation permits or requires that data be processed.
3.2 Handling of personal data
The collection, processing, or use of personal data is generally prohibited, unless a legal standard explicitly permits such data handling. According to GDPR, personal data may generally be collected, processed, or used:
- when a contractual relationship already exists with the data subject.
- as part of entering into or performing a contract with the data subject.
- if and to the extent that the data subject has given consent.
3.3 Legal basis for the processing of personal data
To the extent we obtain consent from the data subject for processing their personal data, the legal basis is Article 6 Paragraph 1a of GDPR.
Whenever the processing of personal data is necessary for the performance of a contract to which the data subject is party, the legal basis is Article 6 Paragraph 1b of GDPR. This is also true for processing operations when taking steps prior to entering into a contract.
To the extent that processing is necessary for compliance with a legal obligation to which our company is subject, the legal basis is Article 6 Paragraph 1c of GDPR.
To the extent that processing is necessary for the purposes of a legitimate interest pursued by our company or by a third party, and that the interests or fundamental rights and freedoms of the data subject do not override the aforementioned interest, the legal basis for that processing is Article 6 Paragraph 1f of GDPR.
3.4 Categories of affected persons and their data
To carry out business activities and fulfill all related obligations, the following data categories are present to the extent necessary:
- Customer data and contacts, as well as data provided by customers on their customers to the extent necessary for order processing and customer service.
- Data from service providers, suppliers, and their contacts to the extent necessary for order processing on behalf of customers, service providers, and suppliers.
When using personal data and determining the amount of data to collect, the following are observed: the basic principles of informational self-determination; other data protection standards, particularly the principles of preventive prohibition, of limitation of purpose, of transparency, and of obligations to inform and notify; the basic principles of data avoidance and data minimization; and the rights to rectification, blocking, erasure, and objection.
Personal data is collected and processed to the extent permissible under law. Account is taken of the special conditions for collecting and processing sensitive data in accordance with Article 9 Paragraph 1 of GDPR. Only such information may generally be processed and used as is necessary for performing operational tasks and is related directly to the purposes of the processing.
In the event that other parties request information concerning data subjects, this will be passed on without the data subject’s consent only when there is either a legal obligation to do so or the company has a justificatory, legitimate interest in passing the information on and the identity of the requesting party is beyond doubt.
3.5 Recipients of personal data
Only in the context of fulfilling the logistics service you commissioned is personal data transferred to involved third parties such as subsidiaries, partners, or subcontractors. Personal data concerning people involved in the logistics service may also be transferred to the party commissioning the logistics service (e.g. proof of delivery).
Above all, we will not sell your personal data to third parties nor market it in any other way.
3.6 Data transfer to third countries
Data is transferred to third countries exclusively to fulfill commissioned logistics services. In the spirit of data minimization, only the data required for the purposes of sending and delivering goods to the customer’s customers is transferred to national and international DACHSER Group companies and external service providers. Data transfer to a third country that does not have an appropriate level of data protection is permitted for the purposes of fulfilling a contract between the data subjects and the unit responsible for processing, provided the data transfer is necessary for the performance of the contract.
3.7 External service providers / order processing / maintenance
To the extent necessary, agreements with external service providers are in place in accordance with Article 28 of GDPR or with the EU standard contractual clauses.
3.8 IT Security concept
In recognition of the fundamental importance of information security, and besides the raft of technical and organizational measures already taken, DACHSER has also put relevant guidelines in place.
The DACHSER IT Center’s information security management system (ISMS) has been ISO 27001 certified since 2011.
3.9 Erasure of data and duration of storage
A data subject’s personal data is erased or blocked as soon as there is no longer a reason to store it. In addition, data may be stored if European or national legislators have provided for this in Union regulations, laws, or other legislation to which the controller is subject. Data will also be blocked or erased once a storage period specified in the aforementioned legislation ends, unless there is a need to continue to store the data in order to enter into or perform a contract.
4. Rights of the data subject
If your personal data is processed, you are a data subject for the purposes of GDPR and you have the following rights with regard to the controller:
4.1 Right of access
You can obtain from the controller confirmation as to whether or not we are processing personal data concerning you.
Where that is the case, you can obtain access to information from the controller about the following:
- the purposes of the processing of the personal data;
- the categories of personal data being processed;
- the recipients or categories of recipient to whom the personal data concerning you have been or will be disclosed;
- the envisaged period for which the personal data concerning you will be stored, or, if it is not possible to provide specific information, the criteria used to determine that period;
- the existence of the right to request from the controller rectification or erasure of personal data concerning you, and of the right to request restriction of processing of personal data concerning you or to object to such processing;
- the right to lodge a complaint with a supervisory authority;
- any available information as to the source of the data, where the personal data is not collected from the data subject;
- the existence of automated decision-making, including profiling, referred to in Article 22 Paragraphs 1 and 4 of GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
You have the right to know whether personal data concerning you is transferred to a third country or to an international organization. In this context, you can obtain information on the appropriate safeguards in accordance with Article 46 relating to the transfer.
4.2 Right to rectification
To the extent that personal data concerning you is incorrect or incomplete, you have the right to obtain rectification or completion of the data from the controller. The controller must rectify the data without undue delay.
4.3 Right to restriction of processing
Where the following conditions apply, you can obtain restriction of processing of personal data concerning you from the controller:
- you contest the accuracy of the personal data concerning you for a period enabling the controller to verify the accuracy of the personal data;
- the processing is unlawful and you oppose the erasure of the personal data and request the restriction of its use instead;
- the controller no longer needs the personal data for the purposes of the processing, but you require it for the establishment, exercise, or defense of legal claims; or
- you have objected to processing in accordance with Article 21 Paragraph 1 of GDPR pending verification whether the legitimate grounds of the controller override yours.
Where processing of personal data concerning you has been restricted, this data may, with the exception of storage, be processed only with your consent or for the establishment, exercise, or defense of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a member state.
If data processing was restricted in line with the abovementioned conditions, you will be informed by the controller before the restriction of processing is lifted.
4.4 Right to erasure
4.4.1 Duty to erase
You can demand that the controller erases personal data concerning you without undue delay, and the controller is obligated to erase this data without undue delay where one of the following grounds applies:
- the personal data concerning you is no longer necessary in relation to the purposes for which it was collected or otherwise processed;
- you withdraw your consent on which the processing is based in accordance with Article 6 Paragraph 1a or Article 9 Paragraph 2a of GDPR, and there is no other legal ground for the processing;
- you object to the processing in accordance with Article 21 Paragraph 1 of GDPR and there are no overriding legitimate grounds for the processing, or you object to the processing in accordance with Article 21 Paragraph 2 of GDPR;
- the personal data concerning you has been unlawfully processed;
- the personal data concerning you has to be erased for compliance with a legal obligation in Union or member state law to which the controller is subject;
- the personal data concerning you was collected in relation to the offer of information society services referred to in Article 8 Paragraph 1 of GDPR.
4.4.2 Informing third parties
Where the controller has made the personal data concerning you public and is obligated in accordance with Article 17 Paragraph 1 of GDPR to erase that data, the controller, taking account of available technology and the cost of implementation, will take reasonable steps, including technical measures, to inform controllers processing the personal data that as the data subject you have requested the erasure by such controllers of any links to, or copy or replication of, that personal data.
4.4.3 Exceptions
There is no right to erasure to the extent that processing is necessary:
- for exercising the right of freedom of expression and information;
- for compliance with a legal obligation that requires processing by Union or member state law to which the controller is subject, or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
- for reasons of public interest in the area of public health in accordance with Article 9 Paragraph 2h and 2i as well as Article 9 Paragraph 3 of GDPR;
- for archiving purposes in the public interest, scientific, or historical research purposes or statistical purposes in accordance with Article 89 Paragraph 1 of GDPR insofar as the right referred to in section a) is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
- for the establishment, exercise, or defense of legal claims.
4.5 Right to be informed
If you have exercised your right to rectification, erasure, or restriction of processing with regard to the controller, the controller is obligated to communicate any rectification or erasure of personal data concerning you or restriction of its processing to each recipient to whom the data has been disclosed, unless this proves impossible or involves disproportionate effort.
You have the right to request information about the recipients from the controller.
4.6 Right to data portability
You have the right to receive the personal data concerning you, which you have provided to the controller, in a structured, commonly used, and machine-readable format. You also have the right to transmit that data to another controller without hindrance from the controller to which the personal data was provided, where:
- the processing is based on consent in accordance with Article 6 Paragraph 1a of GDPR or Article 9 Paragraph 2a of GDPR or on a contract in accordance with Article 6 Paragraph 1b of GDPR; and
- the processing is carried out by automated means.
In exercising this right, you also have the right to have the personal data concerning you transmitted directly from one controller to another, where technically feasible. This shall not adversely affect the rights and freedoms of others.
The right to data portability does not apply to the processing of personal data necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.
4.7 Right to object
You have the right to object, on grounds relating to your particular situation, at any time to processing of personal data concerning you that is based on Article 6 Paragraph 1e or 1f of GDPR, including profiling based on those provisions.
The controller will no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing that override your interests, rights, and freedoms or the processing is for the establishment, exercise, or defense of legal claims.
Where personal data concerning you is processed for direct marketing purposes, you have the right to object at any time to the processing of personal data concerning you for such marketing, which includes profiling to the extent that it is related to such direct marketing.
Where you object to processing for direct marketing purposes, the personal data concerning you will no longer be processed for such purposes. In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, you can exercise your right to object by automated means using technical specifications.
4.8 Right to withdraw data protection declaration of consent
You have the right to withdraw your data protection declaration of consent at any time. The withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal.
4.9 Automated individual decision-making, including profiling
You have the right not to be subject to a decision based solely on automated processing, including profiling, that produces legal effects concerning you or similarly significantly affects you. This does not apply if the decision:
- is necessary for entering into, or performance of, a contract between you and the controller;
- is authorized by Union or member state law to which the controller is subject and that also lays down suitable measures to safeguard your rights and freedoms and your legitimate interests; or
- is based on your explicit consent.
However, these decisions may not be based on special categories of personal data referred to in Article 9 Paragraph 1 of GDPR, unless Article 9 Paragraph 2a or 2g of GDPR applies and suitable measures to safeguard your rights and freedoms and your legitimate interests are in place.
In relation to the cases referred to in points (1) and (3), the data controller will implement suitable measures to safeguard your rights and freedoms and your legitimate interests, at least the right to obtain human intervention on the part of the controller, to express your point of view, and to contest the decision.
4.10 Right to lodge a complaint with a supervisory authority
Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority, in particular in the member state of your habitual residence, your place of work, or the place of the alleged infringement, if you consider that the processing of personal data concerning you infringes GDPR.
The supervisory authority with which the complaint has been lodged will inform the complainant on the progress and the outcome of the complaint, including the possibility of a judicial remedy in accordance with Article 78 of GDPR.