Verarbeitung personenbezogener Daten

Informationsklausel für Kunden über die Verarbeitung personenbezogener Daten

Gemäß Artikel 13 der Allgemeinen Datenschutzverordnung vom 26. April 2016 (Amtsblatt der EU L 2016, Nr. 119, im Folgenden DSGVO) informieren wir Sie hiermit, dass wir Ihre personenbezogenen Daten zum Zweck des Abschlusses und der Durchführung des Vertrags verarbeiten.

Der Verantwortliche für Ihre personenbezogenen Daten ist die ARPAL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ mit Sitz in der ul. Koszykarska 27b/26, 30-717 Kraków, USt-IdNr: 6772411605, REGON: 366073403.

Aufgrund des Fehlens der Voraussetzungen gemäß Artikel 37 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) hat der Verantwortliche keinen Datenschutzbeauftragten benannt.

Sie haben das Recht auf Zugang zu Ihren Daten, deren Berichtigung, Löschung, Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Recht, der Verarbeitung zu widersprechen. Zusätzlich haben Sie das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen, wenn die Daten nicht gesetzeskonform verarbeitet werden. In Polen ist diese Behörde der Präsident des Amtes für den Schutz personenbezogener Daten.

Ihre personenbezogenen Daten, einschließlich in bestimmten Fällen sensibler Daten, insbesondere Gesundheitsdaten, werden zum Zweck des Vertragsabschlusses und der Vertragserfüllung, zur Beantwortung Ihrer Anfragen, zur Ermöglichung und Aufrechterhaltung des Kontakts mit dem Kunden, mit dem der Verantwortliche einen Vertrag abschließen möchte oder abgeschlossen hat, zur Korrespondenz, Berichterstattung, zu statistischen Zwecken, Archivierungszwecken und zur Forderungseintreibung verarbeitet. Die personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

1. Abschluss und Durchführung des mit dem Verantwortlichen geschlossenen Vertrags sowie der notwendigen Abrechnungen im Zusammenhang mit dessen Abschluss – für die Dauer der Vertragserfüllung und nach deren Beendigung für die Zeit, die erforderlich ist, um die ordnungsgemäße Erfüllung der sich daraus ergebenden Verpflichtungen bis zum Ablauf der in den Archivierungsvorschriften angegebenen Fristen nachzuweisen (Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 Buchst. b DSGVO – die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Partei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich),

2. Erfüllung gesetzlicher Pflichten des Verantwortlichen, insbesondere steuerlicher und berichtspflichtiger Natur – für die Zeit, die erforderlich ist, um die gesetzlichen Pflichten des Verantwortlichen zu erfüllen, insbesondere bis zum Ablauf der Verjährungsfristen für Steuerverbindlichkeiten (Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 Buchst. c DSGVO),

3. Art. 6 Abs. 1 Buchst. f DSGVO, d.h. im berechtigten Interesse des Verantwortlichen, das in der Sicherstellung der notwendigen Abrechnungen im Zusammenhang mit dem abgeschlossenen Vertrag, der Geltendmachung von Ansprüchen sowie dem Aufbau von Beziehungen und dem Image liegt – für die Dauer der notwendigen Korrespondenz und danach zu Archivierungszwecken.

Die Angabe der Daten ist freiwillig, jedoch führt die Nichtangabe der Daten dazu, dass der Vertrag nicht abgeschlossen werden kann.

Ihre personenbezogenen Daten können externen Stellen zugänglich gemacht werden, die sich mit der Schadensregulierung befassen, einschließlich Versicherern und mit Versicherern kooperierenden Stellen, Personen, die für Ereignisse verantwortlich sind, die Ihre Forderung verursachen, Stellen, die die Umstände des Schadensereignisses untersuchen, einschließlich öffentlicher Verwaltungen wie Gerichte, Staatsanwaltschaft, Polizei, Finanzamt, Sozialversicherungsanstalt, Landwirtschaftliche Sozialversicherungsanstalt, Stadtverwaltung sowie Stellen, die mit dem Verantwortlichen zusammenarbeiten.

Ihre personenbezogenen Daten werden nicht an ein Drittland oder eine internationale Organisation übermittelt.

Ihre personenbezogenen Daten werden für die Dauer der Korrespondenz und danach zu Archivierungszwecken (nicht länger als ein Jahr) verarbeitet, bis Ihre Ansprüche gegenüber den für das Schadenereignis verantwortlichen Stellen, die Ansprüche der Vertragsparteien untereinander sowie die gesetzlichen Verpflichtungen, einschließlich steuerrechtlicher und buchhalterischer Vorschriften, erlöschen.

Die personenbezogenen Daten, einschließlich sensibler Daten, sind entsprechend geschützt.

Eine Kopie der Daten kann durch Übermittlung eines solchen Antrags an die E-Mail-Adresse: arpal.polska@gmail.com oder per Post an die Adresse: ARPAL SP. Z O.O., ul. Koszykarska 27b/26, 30-717 Kraków, erhalten werden.

Die Angabe Ihrer personenbezogenen Daten ist Voraussetzung für den Abschluss des Vertrags. Sie sind verpflichtet, diese anzugeben, andernfalls kann der Vertrag nicht ausgeführt werden.

Sie unterliegen keiner Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und rechtliche Folgen für Sie hat oder Sie in ähnlicher Weise erheblich beeinträchtigt.

# Datenschutzrichtlinie der ARPAL Sp. z o.o.

## 1. EINLEITUNG

Dieses Dokument mit dem Titel „Datenschutzrichtlinie“ (im Folgenden als „Richtlinie“ bezeichnet) soll die Anforderungen, Grundsätze und Vorschriften zum Schutz personenbezogener Daten in ARPAL Sp. z o.o. (im Folgenden als „Gesellschaft/Verantwortlicher“ bezeichnet) darstellen. Die Richtlinie stellt eine Datenschutzrichtlinie im Sinne der DSGVO – der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119, S. 1) dar.

## 2. INHALT DER RICHTLINIE

a) Definitionen

b) Beschreibung der Datenschutzgrundsätze, die in der Gesellschaft gelten

c) Verweise auf Anhänge mit detaillierten Verfahren oder Anweisungen zu spezifischen Bereichen des Datenschutzes, die in separaten Dokumenten präzisiert werden müssen.

## 3. DEFINITIONEN

### 3.1 Verantwortlicher

ARPAL SP. Z O.O., mit Sitz in ul. Koszykarska 27b/26, 30-717 Kraków.

### 3.2 Personenbezogene Daten

Informationen über eine identifizierte oder identifizierbare natürliche Person anhand eines oder mehrerer besonderer Merkmale, die die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person kennzeichnen, einschließlich Bild, Sprachaufnahme, Kontaktdaten, Standortdaten, Informationen aus der Korrespondenz, Informationen, die durch Aufzeichnungsgeräte oder ähnliche Technologien gesammelt werden.

### 3.3 Datenschutzkoordinator (DSKO)

Person, die vom Verantwortlichen benannt wird und die in der Organisation des Verantwortlichen Aufgaben zur Sicherstellung der Einhaltung der datenschutzrechtlichen Vorschriften wahrnimmt.

### 3.4 Aufsichtsbehörde

Der Präsident des Amtes für den Schutz personenbezogener Daten oder gegebenenfalls die zuständige Aufsichtsbehörde eines anderen Mitgliedstaates der Europäischen Union im Bereich des Schutzes personenbezogener Daten.

### 3.5 Betroffene Person

Eine natürliche Person, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden.

### 3.6 Mitarbeiter

Eine natürliche Person, die vom Verantwortlichen auf Grundlage eines Arbeitsvertrags beschäftigt wird.

### 3.7 Auftragnehmer

Eine natürliche Person, die dem Verantwortlichen Dienstleistungen auf Grundlage eines zivilrechtlichen Vertrags (z.B. Dienstleistungsvertrag, Werkvertrag) erbringt.

## 4. ALLGEMEINE GRUNDSÄTZE

### 4.1 Verantwortlicher

ARPAL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, mit Sitz in ul. Koszykarska 27b/26, 30-717 Kraków.

### 4.2 Personenbezogene Daten

### 4.3 Datenschutzkoordinator (DSKO)

Person, die vom Verantwortlichen benannt wird und die in der Organisation des Verantwortlichen Aufgaben zur Sicherstellung der Einhaltung der datenschutzrechtlichen Vorschriften wahrnimmt.

### 4.4 Aufsichtsbehörde

### 4.5 Betroffene Person

Eine natürliche Person, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden.

### 4.6 Mitarbeiter

Eine natürliche Person, die vom Verantwortlichen auf Grundlage eines Arbeitsvertrags beschäftigt wird.

### 4.7 Auftragnehmer

Eine natürliche Person, die dem Verantwortlichen Dienstleistungen auf Grundlage eines zivilrechtlichen Vertrags (z.B. Dienstleistungsvertrag, Werkvertrag) erbringt.

## 5. ORGANISATION DES DATENSCHUTZSYSTEMS

### 5.1

Bevor der Zugang zur Verarbeitung personenbezogener Daten gewährt wird, macht der Verantwortliche jeden Mitarbeiter, Auftragnehmer oder andere Personen, die personenbezogene Daten in seinem Auftrag verarbeiten, mit der Richtlinie, einschließlich der Verfahren und Grundsätze des Datenschutzes, die in der Organisation des Verantwortlichen gelten, vertraut.

### 5.2

Die Verarbeitung personenbezogener Daten durch Mitarbeiter und Auftragnehmer darf nur auf der Grundlage einer dokumentierten Ermächtigung des Verantwortlichen erfolgen. Darüber hinaus verpflichtet der Verantwortliche die befugten Personen zur Wahrung der Vertraulichkeit der personenbezogenen Daten sowie der Informationen über die Datensicherheitsmaßnahmen und zur Einhaltung der Richtlinie, einschließlich der Verfahren und Grundsätze des Datenschutzes, die in der Organisation des Verantwortlichen gelten.

### 5.3

Der Verantwortliche benennt eine Person, die für den Bereich des Datenschutzes verantwortlich ist, und überträgt ihr die Funktion des Datenschutzkoordinators. Zudem stellt er angemessene Mittel und Ressourcen bereit, die zur Erfüllung der ihr übertragenen Aufgaben erforderlich sind.

### 5.4

Die Aufgaben des Datenschutzkoordinators umfassen insbesondere:

#### 5.4.1

Information des Verantwortlichen sowie der Mitarbeiter und Auftragnehmer, die personenbezogene Daten verarbeiten, über die ihnen gemäß der DSGVO und anderen unionsrechtlichen oder nationalen Datenschutzvorschriften obliegenden Pflichten sowie Beratung in diesem Bereich.

#### 5.4.2

Überwachung der Einhaltung der DSGVO sowie anderer unionsrechtlicher und nationaler Datenschutzvorschriften durch die befugten Personen sowie der internen Richtlinien und Verfahren des Verantwortlichen in diesem Bereich.

#### 5.4.3

Durchführung von Maßnahmen zur Sensibilisierung für den Datenschutz, einschließlich Schulungen des Personals, das an Verarbeitungsvorgängen beteiligt ist, und Durchführung entsprechender Audits.

#### 5.4.4

Erteilung von Empfehlungen zur Datenschutz-Folgenabschätzung auf Anfrage und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO.

#### 5.4.5

Zusammenarbeit mit der Aufsichtsbehörde.

#### 5.4.6

Funktion als Kontaktstelle für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung, einschließlich der vorangehenden Konsultationen gemäß Artikel 36 DSGVO, sowie gegebenenfalls Konsultationen in sonstigen Angelegenheiten.

### 5.5

Der Datenschutzkoordinator führt seine Aufgaben unter gebührender Berücksichtigung der mit den Verarbeitungsvorgängen verbundenen Risiken aus, wobei Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigt werden.

### 5.6

Mitarbeiter und Auftragnehmer, die personenbezogene Daten verarbeiten, sind insbesondere verpflichtet:

#### 5.6.1

Die personenbezogenen Daten gemäß ihrer Befugnis und mit der gebotenen Sorgfalt zu verarbeiten.

#### 5.6.2

Im Falle der Beobachtung eines Ereignisses, das eine Datenschutzverletzung darstellen könnte, unverzüglich ihren direkten Vorgesetzten und den Datenschutzkoordinator gemäß den in einer separaten Verfahrensanweisung beschriebenen Grundsätzen zu informieren.

#### 5.6.3

An den vom Verantwortlichen organisierten Schulungen zum Datenschutz teilzunehmen.

### 5.7

Die Gesellschaft achtet besonders darauf, die Interessen der betroffenen Personen zu schützen, und stellt insbesondere sicher, dass diese Daten:

#### 5.7.1

Rechtmäßig, fair und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Grundsatz der Rechtmäßigkeit, Fairness und Transparenz).

#### 5.7.2

Für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist (Grundsatz der Zweckbindung).

#### 5.7.3

Angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (Grundsatz der Datenminimierung).

#### 5.7.4

Richtig und erforderlichenfalls auf dem neuesten Stand sind (Grundsatz der Richtigkeit).

#### 5.7.5

In einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Grundsatz der Speicherbegrenzung).

#### 5.7.6

In einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen (Grundsatz der Integrität und Vertraulichkeit).

### 5.8

Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung gemäß der DSGVO erfolgt. Diese Maßnahmen werden bei Bedarf überprüft und aktualisiert. Im Rahmen der oben genannten technischen und organisatorischen Maßnahmen stellt der Verantwortliche sicher, dass personenbezogene Daten:

#### 5.8.1

Verschlüsselt werden, wenn die Verarbeitung solche Sicherheitsmaßnahmen erfordert.

#### 5.8.2

Durch

geeignete physische (z.B. Schlösser, Alarme) und logische (z.B. Passwörter, Zugangskontrollsysteme) Sicherheitsvorkehrungen vor unbefugtem Zugriff geschützt sind.

### 5.9

Der Verantwortliche führt regelmäßige interne Audits zum Datenschutz durch, um die Einhaltung der Datenschutzvorschriften und der Richtlinie zu bewerten.

### 5.10

Der Verantwortliche dokumentiert alle Datenschutzverletzungen, einschließlich der Umstände der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

## 6. RECHTE DER BETROFFENEN PERSONEN

### 6.1

Betroffene Personen haben folgende Rechte:

#### 6.1.1

Recht auf Auskunft über die personenbezogenen Daten (Art. 15 DSGVO).

#### 6.1.2

Recht auf Berichtigung der Daten (Art. 16 DSGVO).

#### 6.1.3

Recht auf Löschung der Daten (Recht auf Vergessenwerden) (Art. 17 DSGVO).

#### 6.1.4

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).

#### 6.1.5

Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

#### 6.1.6

Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

#### 6.1.7

Recht, nicht einer automatisierten Entscheidungsfindung einschließlich Profiling unterworfen zu werden (Art. 22 DSGVO).

### 6.2

Zur Ausübung ihrer Rechte können sich betroffene Personen per E-Mail an den Verantwortlichen wenden: odo@arpal.com oder schriftlich an die Adresse des Sitzes des Verantwortlichen.

### 6.3

Der Verantwortliche beantwortet Anfragen betroffener Personen unverzüglich, spätestens jedoch innerhalb eines Monats nach Erhalt der Anfrage. Diese Frist kann aufgrund der Komplexität der Anfrage oder der Anzahl der Anfragen um zwei weitere Monate verlängert werden. Der Verantwortliche informiert die betroffene Person innerhalb eines Monats nach Erhalt der Anfrage über eine solche Verlängerung unter Angabe der Gründe für die Verzögerung.

### 6.4

Wenn der Verantwortliche keine Maßnahmen in Bezug auf die Anfrage der betroffenen Person ergreift, informiert er die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Erhalt der Anfrage, über die Gründe für die Untätigkeit sowie über die Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde einzureichen und gerichtliche Rechtsbehelfe in Anspruch zu nehmen.

## 7. VERARBEITUNG PERSONENBEZOGENER DATEN

### 7.1

Der Verantwortliche verarbeitet personenbezogene Daten nur in den folgenden Fällen:

#### 7.1.1

Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

#### 7.1.2

Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich.

#### 7.1.3

Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

#### 7.1.4

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

#### 7.1.5

Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

#### 7.1.6

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen diese Interessen, insbesondere wenn die betroffene Person ein Kind ist.

### 7.2

Der Verantwortliche dokumentiert Fälle, in denen er personenbezogene Daten auf der Grundlage berechtigter Interessen verarbeitet, indem er eine Interessenabwägung vornimmt, in der er die Auswirkungen der Datenverarbeitung auf die betroffene Person bewertet und insbesondere prüft, ob die Rechte der betroffenen Person die Interessen des Verantwortlichen überwiegen.

## 8. ÜBERMITTLUNG PERSONENBEZOGENER DATEN

### 8.1

Personenbezogene Daten können an Datenverarbeiter im Auftrag des Verantwortlichen, z.B. IT-Dienstleister, in dem Umfang weitergegeben werden, der zur Erbringung der Dienstleistungen erforderlich ist. Diese Datenweitergabe erfolgt auf der Grundlage eines Datenverarbeitungsvertrags, der den Datenverarbeiter zur Einhaltung der Datenschutzgrundsätze und der Vorschriften der DSGVO sowie dieser Richtlinie verpflichtet.

### 8.2

Der Verantwortliche übermittelt personenbezogene Daten an öffentliche Stellen, soweit dies gesetzlich vorgeschrieben ist. In solchen Fällen informiert der Verantwortliche die betroffene Person darüber, es sei denn, die gesetzlichen Vorschriften untersagen eine solche Information.

## 9. SCHLUSSBESTIMMUNGEN

### 9.1

Diese Richtlinie tritt am 01.06.2024 in Kraft und gilt bis zu ihrer Aufhebung oder Änderung durch den Verantwortlichen.

### 9.2

Änderungen dieser Richtlinie bedürfen der Schriftform und werden den Mitarbeitern und Auftragnehmern gemäß den beim Verantwortlichen geltenden Vorschriften bekannt gegeben.

### 9.3

In Angelegenheiten, die in dieser Richtlinie nicht geregelt sind, gelten die Vorschriften der DSGVO und andere geltende Datenschutzvorschriften.