• Sie sehen eine automatisch übersetzte Version dieser Website
Deutsch
Deutsch English (UK) العربية 简体中文 繁體中文 Italiano Français Português do Brasil Español Español de México 日本語 한국어 Русский Türkçe
Prospekte
Kontakt
Politiken

GDPR-Datenschutzpolitik

Zweck

Malvern International verpflichtet sich, seine Geschäfte in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen und -vorschriften und im Einklang mit den höchsten Standards ethischen Verhaltens zu führen.

Diese Richtlinie legt die erwarteten Verhaltensweisen und Standards fest, die von den Mitarbeitern von Malvern International und Dritten in Bezug auf die Erhebung, Verwendung, Aufbewahrung, Übertragung, Weitergabe und Vernichtung personenbezogener Daten der betroffenen Person verlangt werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare lebende Person “beziehen”. Personenbezogene Daten unterliegen bestimmten gesetzlichen Schutzmaßnahmen und anderen Vorschriften, die die Art und Weise, wie Organisationen personenbezogene Daten verarbeiten dürfen, einschränken. Malvern International ist dafür verantwortlich, die Einhaltung der in dieser Richtlinie dargelegten Datenschutzanforderungen sicherzustellen. Die Nichteinhaltung kann dazu führen, dass Malvern International Beschwerden, behördliche Maßnahmen, Bußgelder und / oder Rufschädigung erleidet. Vorsätzliche Handlungen, die gegen diese Richtlinie verstoßen, können auch eine Straftat darstellen.

Jeder Verstoß gegen diese Richtlinie wird von Malvern International ernst genommen und kann im Rahmen des Disziplinarverfahrens behandelt werden. Zum besseren Verständnis dieser Richtlinie wird die folgende Terminologie erläutert:

Ein für die Datenverarbeitung Verantwortlicher ist ein Unternehmen, das bestimmt, wann, warum und wie es personenbezogene Daten verarbeitet. Als Datenverantwortlicher ist das Unternehmen für die Festlegung von Praktiken und Richtlinien im Einklang mit den Daten verantwortlich.
Schutzgesetz. Wir sind der Datenverantwortliche für alle personenbezogenen Daten, die sich auf unser Unternehmenspersonal beziehen, sowie für personenbezogene Daten, die in unserem Unternehmen für unsere eigenen kommerziellen Zwecke verwendet werden.

Besondere Kategorie bedeutet: alle personenbezogenen Daten, die Angaben enthalten über: Ethnie oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, allgemeine Daten, biometrische Daten, Daten über Gesundheit, Geschlecht, sexuelle Orientierung oder Sexualleben.

Unternehmen Personalalle Angestellten, Arbeiter (einschließlich Auftragnehmer, Leiharbeiter und Berater), Geschäftsführer, Mitglieder und andere (einschließlich Freiwillige, Praktikanten und Auszubildende).

Gegenstand der Dateneine lebende, identifizierte oder identifizierbare Person, über die wir persönliche Daten besitzen. Betroffene Personen können Staatsangehörige oder Einwohner eines beliebigen Landes sein und haben möglicherweise gesetzliche Rechte in Bezug auf ihre personenbezogenen Daten. Dies können Sie, Ihre Kollegen, Kunden und Lieferanten oder auch jede andere Person sein.

Gesetzgebung zum Datenschutz: umfasst alle Rechtsvorschriften zum Schutz personenbezogener Daten oder zur Wahrung der Privatsphäre einer Person. Die Gesetzgebung, die wir derzeit durchsetzen, ist (i) die Allgemeine Datenschutzverordnung (“GDPR”), die Anwendung findet, wenn wir uns an Personen mit Sitz in einem EU- oder EWR-Land wenden oder an sie verkaufen und ihre personenbezogenen Daten verarbeiten.

Die UK-GDPR und das Datenschutzgesetz 2018, das für alle betroffenen Personen mit Wohnsitz im Vereinigten Königreich gilt

Der Data (Use & Access) Act 2025, der bestimmte Aspekte der UK-GDPR und des aktuellen Datenschutzrahmens ergänzt und erweitert.

Persönliche DatenJede Information, die eine betroffene Person identifiziert, oder jede Information, die sich auf eine betroffene Person bezieht und die wir (direkt oder indirekt) anhand dieser Daten identifizieren können.

Verletzung des Schutzes personenbezogener Datenjede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Weitergabe von personenbezogenen Daten führt.

Datenschutz-Hinweise (auch als Fair-Processing-Hinweise bezeichnet) oder Datenschutzrichtlinien: separate Hinweise, die den betroffenen Personen zur Verfügung gestellt werden können, wenn das Unternehmen Informationen über sie sammelt.

Verarbeitung oder ProzessJede Tätigkeit, die die Verwendung personenbezogener Daten beinhaltet.

Umfang der Politik

Diese Richtlinie gilt für alle Einrichtungen von Malvern International, in denen die personenbezogenen Daten einer betroffenen Person verarbeitet werden.

Diese Richtlinie gilt für alle Verarbeitungen personenbezogener Daten in elektrischer Form (einschließlich elektronischer Post und mit Textverarbeitungssoftware erstellter Dokumente) oder wenn sie in manuellen Dateien gespeichert sind, die so strukturiert sind, dass ein leichter Zugang zu Informationen über Personen möglich ist.

Durchsetzung der Politik
Das Führungsteam muss sicherstellen, dass alle Mitarbeiter von Malvern International, die für die Verarbeitung personenbezogener Daten verantwortlich sind, den Inhalt dieser Richtlinie kennen und einhalten. Darüber hinaus stellt Malvern International sicher, dass alle Dritten, die mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt sind, den Inhalt dieser Richtlinie kennen und einhalten. Angemessene Zusicherungen dieser Einhaltung werden von allen Dritten, ob Unternehmen oder Einzelpersonen, eingeholt, bevor ihnen Zugang zu personenbezogenen Daten gewährt wird, die von Malvern International kontrolliert werden.

Grundsätze des Datenschutzes
Wenn wir personenbezogene Daten verarbeiten, müssen wir die Datenschutzgrundsätze befolgen, in denen die Verpflichtungen festgelegt sind, die wir erfüllen müssen. Von allen Mitarbeitern wird erwartet, dass sie sich an diese Grundsätze halten, die im Folgenden erläutert werden.

  • Rechtmäßigkeit, Fairness und Transparenz - Alle personenbezogenen Daten werden auf rechtmäßige, faire und transparente Weise verarbeitet, d. h. wir müssen die betroffene Person über die Verarbeitung informieren (Transparenz), und die Verarbeitung muss fair, notwendig und verhältnismäßig sein. Von allen Mitarbeitern wird erwartet, dass sie sicherstellen, dass die Verwendung personenbezogener Daten vernünftig ist und erwartet wird. Wir müssen schriftlich festhalten, welche personenbezogenen Daten wir verarbeiten und warum wir sie verarbeiten. Der Datenschutzbeauftragte ist für die Führung dieses Verzeichnisses verantwortlich und wird in regelmäßigen Abständen Prüfungen durchführen, um sicherzustellen, dass das Verzeichnis auf dem neuesten Stand ist.
    • Zweckbindung - Personenbezogene Daten müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Das bedeutet, dass wir genau angeben müssen, wofür die erhobenen personenbezogenen Daten verwendet werden, und die Verarbeitung dieser personenbezogenen Daten auf das beschränken müssen, was zur Erfüllung des angegebenen Zwecks erforderlich ist. Der Zweck, zu dem personenbezogene Daten erhoben und verarbeitet werden, wird in den entsprechenden Datenschutzhinweisen dargelegt. Besteht die Notwendigkeit, personenbezogene Daten für einen neuen Zweck zu verwenden, sollte der Datenschutzbeauftragte benachrichtigt werden, und es sollten alle Ratschläge befolgt werden, um die laufende Einhaltung der Vorschriften sicherzustellen. Wenn der neue Zweck bereits in einem unserer Datenschutzhinweise abgedeckt ist, muss dieser unter Umständen nicht aktualisiert werden. Besteht jedoch die Notwendigkeit, unseren Datenschutzhinweis zu aktualisieren, bevor die neue Aktivität stattfindet, muss dies so bald wie möglich geschehen.
    • Datenminimierung - Personenbezogene Daten müssen angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein. Das bedeutet, dass Malvern International keine personenbezogenen Daten über das erforderliche Maß hinaus speichern darf.
    • Korrektheit - Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein. Das bedeutet, dass Malvern International über Verfahren verfügen muss, um veraltete, falsche und überflüssige personenbezogene Daten zu identifizieren und zu berichtigen. Alle Mitarbeiter sind dafür verantwortlich, die Richtigkeit der Aufzeichnungen in ihren Arbeitsbereichen sicherzustellen.
    • Beschränkung der Speicherung - Personenbezogene Daten werden in einer Form aufbewahrt, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist. Das bedeutet, dass Malvern International, soweit möglich, personenbezogene Daten so speichern muss, dass die Identifizierung der betroffenen Person eingeschränkt oder verhindert wird. Als Organisation müssen wir sicherstellen, dass wir personenbezogene Daten nur so lange aufbewahren, wie es notwendig ist. Das bedeutet, dass wir uns an die bewährten Verfahren der Aktenverwaltung halten und Daten löschen müssen, wenn wir sie nicht länger aufbewahren müssen. Der Datenschutzbeauftragte und die Mitglieder des leitenden Managementteams sind für die Einführung von Verfahren zur Verwaltung von Aufzeichnungen verantwortlich, einschließlich einer Aufbewahrungsfrist für Aufzeichnungen
      in dem festgelegt ist, welche personenbezogenen Daten wir haben und wie lange wir sie aufbewahren, bevor sie entweder auf ihre Relevanz überprüft oder gegebenenfalls gelöscht werden.
    • Integrität und Vertraulichkeit - Personenbezogene Daten sind in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung. Malvern International muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Integrität und Vertraulichkeit der personenbezogenen Daten jederzeit gewahrt bleibt. Alle Mitarbeiter sind dafür verantwortlich, dass sie alle Richtlinien oder Prozessanforderungen zum Schutz der Sicherheit und Vertraulichkeit von Daten befolgen. Das Personal darf nicht versuchen, die zu diesem Zweck eingerichteten Sicherheitskontrollen zu umgehen.
    • Alle Mitarbeiter müssen eine Schlüsselrolle beim Schutz unserer Daten spielen, insbesondere die Mitarbeiter selbst:
      • dürfen ihr Malvern International-Passwort oder ihre Zugangsdaten nicht an andere Personen weitergeben.
      • dürfen keine Daten über Malvern International an Dritte weitergeben, hochladen oder weiterleiten, es sei denn, dies ist eine unmittelbare Voraussetzung für ihre Tätigkeit.
      • darf keine Antivirenvorrichtungen oder Sicherheitskontrollen auf Systemen oder Computern von Malvern International deaktivieren oder versuchen, diese zu deaktivieren.
  • Rechenschaftspflicht - Malvern International und seine Mitarbeiter sind für die Einhaltung der Gesetze verantwortlich und können dies auch nachweisen.

Datenerhebung

Datenquellen

Personenbezogene Daten sollten direkt bei der betroffenen Person erhoben werden, sofern nicht einer der folgenden Punkte zutrifft:

  • Die Art des Geschäftszwecks macht es erforderlich, die personenbezogenen Daten bei anderen Personen oder Stellen zu erheben.
  • Die Erhebung muss in dringenden Fällen erfolgen, um die lebenswichtigen Interessen der betroffenen Person zu schützen oder um einen schweren Verlust oder eine Verletzung einer anderen Person zu verhindern.

Werden personenbezogene Daten bei einer anderen Person als der betroffenen Person erhoben, muss die betroffene Person über die Erhebung informiert werden, es sei denn, einer der folgenden Punkte trifft zu:

  • Die betroffene Person hatte die erforderlichen Informationen auf anderem Wege erhalten.
  • Die Informationen müssen aufgrund einer beruflichen Schweigepflicht vertraulich bleiben.
  • Ein nationales Gesetz sieht die Erhebung, Verarbeitung oder Übermittlung der personenbezogenen Daten ausdrücklich vor.

Wurde festgestellt, dass eine Benachrichtigung der betroffenen Person erforderlich ist, sollte die Benachrichtigung unverzüglich erfolgen, spätestens jedoch einen Kalendermonat nach der ersten Erhebung oder Aufzeichnung der personenbezogenen Daten, zum Zeitpunkt der ersten Mitteilung, wenn diese für die Kommunikation mit der betroffenen Person verwendet wird, oder zum Zeitpunkt der Weitergabe, wenn diese an einen anderen Empfänger erfolgt.

Benachrichtigung der betroffenen Person

Malvern International informiert die betroffenen Personen über den Zweck der Verarbeitung ihrer personenbezogenen Daten, wenn dies gesetzlich oder vertraglich vorgeschrieben ist oder wenn Malvern International der Ansicht ist, dass dies angemessen ist.

Wird eine betroffene Person um ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten gebeten und werden personenbezogene Daten von der betroffenen Person erhoben, so werden alle geeigneten Angaben in einer Weise gemacht, die darauf aufmerksam macht, es sei denn, einer der folgenden Punkte trifft zu:

  • Die betroffene Person verfügt bereits über die Informationen.
  • Für die Anforderungen an die Offenlegung und/oder die Einwilligung gilt eine gesetzliche Ausnahme.
  • Die Offenlegung kann elektronisch oder schriftlich erfolgen.

Datenschutzhinweise für das Personal

Malvern International stellt den Mitarbeitern des Unternehmens einen Datenschutzhinweis zur Verfügung, der sich auf die Erhebung und Verarbeitung ihrer personenbezogenen Daten bezieht.

Malvern International wird auch einen Online-Datenschutzhinweis für potenzielle Dritte, die keine Mitarbeiter des Unternehmens sind, und einen Online-‘Cookie-Hinweis’, der die Anforderungen des geltenden Rechts erfüllt, einfügen.

Profiling und automatisierte Entscheidungsfindung

Malvern International betreibt derzeit kein Profiling und keine automatisierte Entscheidungsfindung. Sollte es notwendig sein, ein Profiling und eine automatisierte Entscheidungsfindung durchzuführen, so geschieht dies nur, um einen Vertrag mit der betroffenen Person abzuschließen oder zu erfüllen, oder wenn dies gesetzlich erlaubt ist. In solchen Fällen wird der betroffenen Person die Möglichkeit gegeben, sich dagegen zu entscheiden:

  • ihren Standpunkt zum Ausdruck bringen
  • eine Erläuterung der automatisierten Entscheidung zu erhalten
  • Überprüfung der vom automatisierten System verwendeten Logik
  • Ergänzen Sie das automatisierte System mit zusätzlichen Daten
  • Lassen Sie die automatisierte Entscheidung von einem Menschen überprüfen
  • Anfechtung der automatisierten Entscheidung
  • der automatisierten Entscheidungsfindung zu widersprechen.

Profiling und automatisierte Entscheidungsfindung sind durch das Datenschutzrecht stark eingeschränkt und dürfen nur nach einer Datenschutz-Folgenabschätzung durchgeführt werden. Den Mitarbeitern ist es nicht gestattet, Tätigkeiten durchzuführen, die eine automatisierte Profilerstellung oder Entscheidungsfindung beinhalten, ohne zuvor den Rat und die Unterstützung des Datenschutzbeauftragten einzuholen.

Digitales Marketing

Malvern International versendet nur dann Werbe- oder Direktmarketingmaterial über digitale Kanäle wie Mobiltelefone, E-Mail und das Internet an Kontakte, wenn dieses Material mit dem Datenschutzgesetz übereinstimmt. Jeder, der mit Malvern International verbunden ist und eine digitale Marketingkampagne durchführen möchte, ohne vorher die Zustimmung der betroffenen Person einzuholen, muss dies zuvor vom Datenschutzbeauftragten genehmigen lassen.

Wird die Verarbeitung personenbezogener Daten zu Zwecken des digitalen Marketings genehmigt, muss die betroffene Person beim ersten Kontakt darüber informiert werden, dass sie das Recht hat, der Verarbeitung ihrer Daten zu diesen Zwecken jederzeit zu widersprechen. Legt die betroffene Person Widerspruch ein, so muss die Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit digitalem Marketing unverzüglich eingestellt werden, und ihre Daten sollten auf einer Sperrliste mit einem Vermerk über ihre Opt-out-Entscheidung aufbewahrt werden, anstatt vollständig gelöscht zu werden.

Es sei darauf hingewiesen, dass bei digitalem Marketing im Rahmen von Geschäftsbeziehungen zwischen Unternehmen keine rechtliche Verpflichtung besteht, die Zustimmung zur Durchführung von digitalem Marketing an Einzelpersonen einzuholen, sofern diese die Möglichkeit haben, sich dagegen zu entscheiden.

Aufbewahrung von Daten
Um eine faire Verarbeitung zu gewährleisten, werden personenbezogene Daten von Malvern International nicht länger aufbewahrt, als es für die Zwecke, für die sie ursprünglich erhoben oder weiterverarbeitet wurden, erforderlich ist.

Die Dauer, für die Malvern International personenbezogene Daten aufbewahren muss, ist in Anhang 1 aufgeführt. Dabei werden die gesetzlichen, vertraglichen und geschäftlichen Anforderungen berücksichtigt, die die Aufbewahrungsfristen beeinflussen. Alle personenbezogenen Daten sollten so schnell wie möglich gelöscht oder vernichtet werden, wenn bestätigt wurde, dass sie nicht länger aufbewahrt werden müssen, es sei denn, es gibt einen legitimen Grund, dies nicht zu tun. Jede Entscheidung, personenbezogene Daten nicht im Einklang mit den Aufbewahrungsrichtlinien in Anhang 1 zu vernichten oder zu löschen, muss schriftlich dokumentiert und vom CEO genehmigt werden.

Datenschutz
Malvern International ergreift physische, technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört die Verhinderung von Verlust oder Beschädigung, unbefugter Änderung, unbefugtem Zugriff oder unbefugter Verarbeitung sowie anderer Risiken, denen das Unternehmen aufgrund menschlichen Handelns oder der physischen oder natürlichen Umgebung ausgesetzt sein kann.

Die von Malvern International zu ergreifenden Mindestmaßnahmen zur Gefahrenabwehr sind im Folgenden aufgeführt:

  • Verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, in denen personenbezogene Daten verarbeitet werden.
  • Verhindern Sie, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, über den Bedarf und die Berechtigungen hinaus auf personenbezogene Daten zugreifen können.
  • Sicherstellen, dass personenbezogene Daten bei der elektronischen Übermittlung während des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Sicherstellen, dass Zugriffsprotokolle vorhanden sind, um festzustellen, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, dort geändert oder aus diesem entfernt wurden.
  • Sicherstellen, dass im Falle einer Verarbeitung durch einen Datenverarbeiter die Daten nur gemäß den Anweisungen des für die Datenverarbeitung Verantwortlichen verarbeitet werden können.
  • Sicherstellen, dass personenbezogene Daten vor unerwünschter Zerstörung oder Verlust geschützt sind.
  • Stellen Sie sicher, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können und werden.
  • Sicherstellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden.
  • Sicherstellen, dass die zuständigen Mitarbeiter des Unternehmens in den wichtigsten Anforderungen der Datenschutzgesetze geschult werden und wissen, wie sie die Sicherheit personenbezogener Daten in Übereinstimmung mit dieser Richtlinie gewährleisten können.

Verantwortlichkeiten des Unternehmenspersonals

Jeder, der für Malvern International oder im Namen von Malvern International arbeitet, trägt eine gewisse Verantwortung dafür, dass die Daten in Übereinstimmung mit dieser Richtlinie und den zugehörigen Richtlinien erfasst, gespeichert und behandelt werden.

Der CEO und der HR Business Partner sind dafür verantwortlich, diese Richtlinie zu überprüfen und den Vorstand über die Datenschutzverantwortung von Malvern International und alle Risiken im Zusammenhang mit der Verarbeitung von Daten auf dem Laufenden zu halten. Alle Fragen im Zusammenhang mit dieser Richtlinie oder dem Datenschutz sollten an diese Person gerichtet werden.

Das Personal des Unternehmens sollte:

  • nur dann auf personenbezogene Daten zugreifen, wenn sie diese für ihre Arbeit für Malvern International benötigen und nur, wenn sie dazu befugt sind. Sie sollten die Daten nur für den angegebenen rechtmäßigen Zweck verwenden, für den sie erhoben wurden.
  • Persönliche Daten nicht informell weitergeben.
  • Persönliche Daten sicher aufzubewahren und sie nicht an Unbefugte weiterzugeben.
  • die personenbezogenen Daten, mit denen sie umgehen, regelmäßig zu überprüfen und, falls erforderlich oder gewünscht, zu aktualisieren. Dazu gehört auch, dass sie uns mitteilen, wenn sich ihre eigenen Kontaktdaten ändern.
  • keine unnötigen Kopien personenbezogener Daten anzufertigen und alle Kopien sicher aufzubewahren und zu entsorgen.
  • Verwenden Sie sichere Passwörter und geben Sie Ihre Passwörter nicht an andere Personen weiter.
  • sollten ihre Computerbildschirme sperren, wenn sie nicht an ihrem Schreibtisch sitzen.
  • Persönliche Daten nicht ohne Genehmigung Ihres Vorgesetzten oder des HR Business Partners aus den Räumlichkeiten des Unternehmens mitnehmen.
  • den HR Business Partner um Hilfe bitten, wenn Sie sich über den Datenschutz unsicher sind oder wenn Ihnen Bereiche des Datenschutzes oder der Sicherheit auffallen, die wir verbessern können.

Personenbezogene Daten sollten verschlüsselt werden, bevor sie elektronisch an autorisierte externe Kontakte übermittelt werden. Wenden Sie sich an die IT-Abteilung, um weitere Informationen darüber zu erhalten, wie Sie dies tun können.

Erwägen Sie die Anonymisierung von Daten oder die Verwendung separater Schlüssel/Codes, damit die betroffene Person nicht identifiziert werden kann.

Personenbezogene Daten sollten nicht auf Personalcomputern oder anderen Geräten gespeichert werden, die nicht Malvern International gehören.

Personenbezogene Daten sollten niemals außerhalb des Europäischen Wirtschaftsraums übermittelt werden, es sei denn, dies geschieht in Übereinstimmung mit dem Gesetz und mit Genehmigung des Vorstandsvorsitzenden.

Schreibtischschubladen und Aktenschränke sollten verschlossen werden. Lassen Sie kein Papier mit persönlichen Daten herumliegen.

Personenbezogene Daten sollten geschreddert und sicher entsorgt werden, wenn sie nicht mehr benötigt werden.

Durchsetzung der Politik

Jeder vorsätzliche oder fahrlässige Verstoß gegen diese Richtlinie durch Mitarbeiter des Unternehmens kann zu disziplinarischen Maßnahmen gegen diese Mitarbeiter in Übereinstimmung mit unserem Disziplinarverfahren führen.

Es ist eine Straftat, personenbezogene Daten zu verbergen oder zu vernichten, die Teil eines Antrags auf Zugang zu personenbezogenen Daten sind (siehe unten). Ein solches Verhalten würde auch ein grobes Fehlverhalten im Rahmen unseres Disziplinarverfahrens darstellen, das zu einer Entlassung führen kann.

Es sei darauf hingewiesen, dass diese Richtlinie zwar Beispiele enthält, aber keineswegs eine erschöpfende Liste ist und dass Ihnen von Zeit zu Zeit weitere spezifische Regeln mitgeteilt werden können.

Rechte der Betroffenen und Anträge der Betroffenen

Betroffene Personen (einschließlich der Mitarbeiter des Unternehmens) haben eine Reihe von Rechten in Bezug auf ihre persönlichen Daten, die von Malvern International verarbeitet werden. Diese werden in dem für die betroffene Person relevanten Datenschutzhinweis detailliert aufgeführt. Den Mitarbeitern des Unternehmens wird ein Datenschutzhinweis ausgehändigt. Dritte haben die Möglichkeit, online auf Datenschutzhinweise zuzugreifen oder können direkt eine Kopie anfordern.

Malvern International wird ein System einrichten, das die Ausübung der Rechte der betroffenen Personen in Bezug auf diese Rechte ermöglicht und erleichtert:

  • Zugang zu Informationen
  • Einspruch gegen die Verarbeitung
  • Einspruch gegen automatisierte Entscheidungsfindung und Profiling
  • Einschränkung der Verarbeitung
  • Übertragbarkeit von Daten
  • Berichtigung von Daten
  • Löschung von Daten

Wenn eine Person eine Anfrage in Bezug auf eines der oben aufgeführten Rechte stellt, wird Malvern International jede Anfrage in Übereinstimmung mit allen geltenden Datenschutzgesetzen und -vorschriften prüfen. Wenn ein Mitarbeiter eine Anfrage erhält, darf er diese nicht selbst bearbeiten und muss den Datenschutzbeauftragten so schnell wie möglich informieren.

Betroffene Personen können einen Antrag in Bezug auf ihre Rechte stellen, sofern dieser schriftlich erfolgt. Den betroffenen Personen wird jedoch empfohlen, das Antragsformular für betroffene Personen (erhältlich bei der Personalabteilung) anzufordern und zu verwenden und dieses bei der Personalabteilung einzureichen. Auf diese Weise wird sichergestellt, dass ein Antrag bei den richtigen Personen innerhalb von Malvern International eingeht und umgehend bearbeitet werden kann.

Die betroffenen Personen müssen ihre Identität überprüfen, wenn sie ihren Antrag stellen. Geschieht dies nicht, kann der Antrag nicht bearbeitet werden.

Die betroffenen Personen haben das Recht, die folgenden Informationen über ihre eigenen personenbezogenen Daten zu erhalten:

  • die Zwecke der Erhebung, Verarbeitung, Nutzung und Speicherung ihrer personenbezogenen Daten.
  • Die Quelle(n) der personenbezogenen Daten, wenn sie nicht von der betroffenen Person stammen.
  • Die Kategorien der für die betroffene Person gespeicherten personenbezogenen Daten.
  • Die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten übermittelt wurden oder werden können, sowie der Standort dieser Empfänger.
  • Die vorgesehene Dauer der Speicherung der personenbezogenen Daten oder die Begründung für die Festlegung der Speicherdauer.
  • Der Einsatz automatisierter Entscheidungsfindung, einschließlich Profiling.
  • Das Recht der betroffenen Person, gegen die Verarbeitung ihrer personenbezogenen Daten Einspruch zu erheben, eine Beschwerde bei der Datenschutzbehörde einzureichen, die Berichtigung oder Löschung ihrer personenbezogenen Daten zu verlangen, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.

Alle Anträge auf Auskunft über personenbezogene Daten oder deren Berichtigung sind an die Personalabteilung zu richten, die jeden Antrag nach Eingang protokollieren wird. Eine Antwort auf jeden Antrag wird innerhalb von 30 Tagen nach Eingang des schriftlichen Antrags der betroffenen Person erteilt. Eine angemessene Überprüfung muss bestätigen, dass es sich bei dem Antragsteller um die betroffene Person oder ihren bevollmächtigten gesetzlichen Vertreter handelt. Die betroffenen Personen haben das Recht, von Malvern International die Berichtigung oder Ergänzung fehlerhafter, irreführender, veralteter oder unvollständiger personenbezogener Daten zu verlangen.

Wenn Malvern International nicht innerhalb von 30 Tagen auf die Anfrage antworten kann, verpflichtet sich das Unternehmen, innerhalb der angegebenen Zeit Folgendes zu liefern:

  • Eine Empfangsbestätigung für den Antrag.
  • Alle bisher gefundenen Informationen.
  • Einzelheiten zu angeforderten Informationen oder Änderungen, die der betroffenen Person nicht zur Verfügung gestellt werden, die Gründe für die Verweigerung und alle Verfahren, die für die Anfechtung der Entscheidung zur Verfügung stehen.
  • Voraussichtlicher Termin für die Beantwortung der verbleibenden Fragen (spätestens 3 Monate nach Einreichung des ursprünglichen Antrags).
  • eine Schätzung der Kosten, die von der betroffenen Person zu tragen sind (z. B. wenn der Antrag überzogen ist).
  • Name und Kontaktinformationen der Person, an die sich die betroffene Person für Folgemaßnahmen wenden sollte.

Es ist zu beachten, dass Situationen entstehen können, in denen die Bereitstellung der von einer betroffenen Person angeforderten Informationen personenbezogene Daten über eine andere Person offenlegen würde. In solchen Fällen müssen die Informationen unkenntlich gemacht oder zurückgehalten werden, wenn dies zum Schutz der Rechte der betroffenen Person erforderlich oder angemessen ist.

Ersuchen der Strafverfolgungsbehörden und Weitergabe von Informationen
Unter bestimmten Umständen ist es zulässig, dass personenbezogene Daten ohne das Wissen oder die Zustimmung einer betroffenen Person weitergegeben werden. Dies ist der Fall, wenn die Weitergabe der personenbezogenen Daten für einen der folgenden Zwecke erforderlich ist:

  • Die Verhinderung oder Aufdeckung von Straftaten.
  • Die Ergreifung oder Verfolgung von Straftätern.
  • Die Festsetzung oder Erhebung einer Steuer oder Abgabe.
  • Durch Gerichtsbeschluss oder durch eine Rechtsvorschrift.

Wenn Malvern International personenbezogene Daten für einen dieser Zwecke verarbeitet, kann es eine Ausnahme von den in dieser Richtlinie dargelegten Verarbeitungsregeln anwenden, jedoch nur in dem Maße, in dem ein Verzicht auf diese Ausnahme den betreffenden Fall wahrscheinlich beeinträchtigen würde.

Schulung zum Datenschutz

Alle Mitarbeiter von Malvern International, die Zugang zu personenbezogenen Daten haben, werden im Rahmen ihrer Einführungsschulung auf ihre Pflichten im Rahmen dieser Richtlinie hingewiesen. Malvern International bietet regelmäßige Datenschutzschulungen und Verfahrensanweisungen für seine Mitarbeiter an, und die Teilnahme an diesen Schulungen ist obligatorisch.

Transfers zwischen den Standorten von Malvern International

Damit Malvern International seine Tätigkeiten an den verschiedenen Standorten effektiv durchführen kann, kann es gelegentlich notwendig sein, personenbezogene Daten von einem Standort an einen anderen zu übertragen, um den Zugriff auf die personenbezogenen Daten von einem Standort im Ausland aus zu ermöglichen. In diesem Fall bleibt der Standort, der die personenbezogenen Daten übermittelt, für den Schutz dieser personenbezogenen Daten und die Einhaltung der Vorschriften für die Datenübermittlung außerhalb des Europäischen Wirtschaftsraums verantwortlich. Alle Mitarbeiter müssen sicherstellen, dass die Daten auf offiziellem, genehmigtem Wege übermittelt werden. Den Mitarbeitern ist es nicht gestattet, Daten informell über persönliche Plattformen wie WhatsApp oder andere Instant-Messaging-Dienste auszutauschen,

Übertragungen an Dritte

Malvern International wird personenbezogene Daten nur dann an Dritte weitergeben oder Dritten den Zugriff darauf ermöglichen, wenn sichergestellt ist, dass die Informationen vom Empfänger rechtmäßig verarbeitet und angemessen geschützt werden. Wenn eine Verarbeitung durch Dritte stattfindet, wird Malvern International zunächst feststellen, ob der Dritte nach geltendem Recht als Datenverantwortlicher oder Datenverarbeiter der zu übermittelnden personenbezogenen Daten gilt.

Gilt der Dritte als für die Verarbeitung Verantwortlicher, wird eine entsprechende Vereinbarung mit dem für die Verarbeitung Verantwortlichen geschlossen, in der die Verantwortlichkeiten jeder Partei in Bezug auf die übermittelten personenbezogenen Daten geklärt werden.

Wenn der Dritte als Datenverarbeiter gilt, wird sich Malvern International bemühen, einen angemessenen Verarbeitungsvertrag mit dem Datenverarbeiter abzuschließen. Der Vertrag verpflichtet den Datenverarbeiter, die personenbezogenen Daten vor einer Weitergabe zu schützen und personenbezogene Daten nur gemäß den Anweisungen von Malvern International zu verarbeiten. Darüber hinaus verpflichtet der Vertrag den Datenverarbeiter, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und Verfahren zur Meldung von Verletzungen der personenbezogenen Daten vorzusehen.

Wenn Malvern International Dienstleistungen an einen Dritten auslagert, wird das Unternehmen feststellen, ob der Dritte personenbezogene Daten in seinem Namen verarbeiten wird und ob die Auslagerung die Übermittlung personenbezogener Daten in ein Drittland zur Folge hat. In beiden Fällen wird Malvern International sicherstellen, dass in der Outsourcing-Vereinbarung angemessene Bestimmungen für eine solche Verarbeitung und die Übermittlung von Daten in Drittländer enthalten sind.

Bearbeitung von Beschwerden

Betroffene Personen, die sich über die Verarbeitung ihrer personenbezogenen Daten beschweren möchten, sollten sich an den Briefkasten für Datenschutz wenden gdpr@malvernplc.com

Meldung von Verstößen

Jede Person, die vermutet, dass eine Verletzung des Schutzes personenbezogener Daten durch Diebstahl oder Offenlegung personenbezogener Daten stattgefunden hat, muss unverzüglich den Datenschutzbeauftragten benachrichtigen und eine Beschreibung des Vorfalls liefern. Die Benachrichtigung über den Vorfall kann per E-Mail erfolgen an gdpr@malvernplc.com

Der Datenschutzbeauftragte wird alle gemeldeten Vorfälle untersuchen, um festzustellen, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt oder nicht. Wenn eine Verletzung des Schutzes personenbezogener Daten bestätigt wird, wird der Datenschutzbeauftragte das entsprechende autorisierte Verfahren auf der Grundlage der Kritikalität und der Menge der betroffenen personenbezogenen Daten anwenden. Bei schwerwiegenden Verletzungen des Schutzes personenbezogener Daten wird Malvern International ein Notfallteam einrichten und leiten, das die Reaktion auf die Verletzung des Schutzes personenbezogener Daten koordiniert und verwaltet.