/
DSGVO / GDPR

DSGVO / GDPR

Introduction

The CoreOne Suite Self-Service Portal supports you in complying with the Data Protection Regulation (GDPR). Because this topic has many aspects, compliance with this regulation is a complex issue, but the most important fundamental rights are clearly defined and their compliance can be ensured through the use of the CoreOne Suite Self-Service Portal.

Rights of the DSGVO / GDPR

The fundamental rights of the GDPR are listed below:

English Version

Right of the person concerned (user)

Description

How CoreOne fulfils / supports this

Right to information

According to Art. 15 GDPR, the data subject may, upon request, ask for confirmation as to whether personal data relating to him or her are being processed. If so, he or she must be informed of both the personal data collected and this information in particular:

  • Purpose of processing;

  • Categories of data processed;

  • (intended) recipients of the data;

  • planned storage period or the criteria how this is determined;

  • Existence of a right to rectify/delete the data and to restrict/object to the processing;

  • Origin of the data if it has not been collected from the data subject;

  • Existence of an automated decision-making procedure (including profiling) and its logic and purpose.

  • Appropriate safeguards (e.g. certifications) if data is transferred to third country or international organisation.

The user can see via the CoreOne Self-Service Portal per service/application which data is passed on or read out.

Customer IAM (CIAM): The user can view the general or service-specific terms of use and must agree to these before using CoreOne or the services / application.

Right of rectification and deletion

 

The data subject may request that untrue data about him or her be corrected or supplemented accordingly (Art. 16 GDPR). Furthermore, they may demand the deletion of their data at any time (Art. 17 Para. 1 DSGVO). Deletion means that the data must actually be destroyed. In particular, one of these reasons must exist for this:

  • Data is no longer necessary for the purpose of processing;

  • Revocation of consent given by the data subject to the data processing (if there is no other legal basis for the processing);

  • objection of the data subject to the processing (see below) and the absence of an overriding legitimate reason for doing so;

  • unlawful data processing;

  • other erasure obligation under national or Union law.

In addition, the right to be forgotten has been enshrined in law, which is particularly relevant in the case of published information and is intended to give data subjects the opportunity to put the past behind them.

If you have made personal data public, you must do what is technologically and cost effective and reasonable for you to inform other processors of a data subject's request for restriction, erasure or rectification.

Personal data can be corrected by the user in part independently via the CoreOne Self-Service Portal. These can be forwarded by CoreOne to surrounding systems.

Customer IAM (CIAM): The IAM account and personal data can be deleted by the user at any time. The data is anonymised or completely deleted in CoreOne.

 

Right of restriction

The data subject has the right to restrict the processing of his/her data (Art. 18 DSGVO). This right is also of interest if deletion is impossible or disproportionate. If he or she requests the restriction, this data (except for the storage itself) may only be retained with his or her consent, for the enforcement of legal claims or legal protection, or if there is an important public interest of the EU or a Member State.

However, the restriction can only be demanded under one of the conditions mentioned in Art. 18 (1) DSGVO, i.e.:

  • if the data subject disputes the accuracy of his or her data for a period enabling the controller to verify the accuracy of the personal data;

  • in the case of unlawful data processing, if the data subject requests restriction instead of erasure;

  • the data controller no longer needs the data for its purposes, but the data subject needs it for the enforcement of a claim; or

  • if the data subject objects to the processing by the controller pursuant to Article 21 (1) of the GDPR, as long as it has not yet been determined whose interests are more worthy of protection in the specific case.

The user can withdraw his consent (Consent) for the disclosure of his personal data at any time via the CoreOne Self-Service Portal per service / application.

Deletion of the IAM account prevents further processing of the data.

Right of objection

According to paragraph 2, the data subject can also object to data processing for direct advertising or associated profiling without further ado - direct implementation is unavoidable here.

Finally, according to Art. 21 Para. 1 DSGVO, the data subject has the right to object at any time to data processing for the fulfilment of a task under public law or for the protection of the controller's own interests. Pursuant to paragraph 6, this also applies in the event that processing is carried out for historical, scientific or statistical purposes (Art. 89(1)), unless it is necessary for the performance of a task carried out in the public interest. In these cases, further processing is only permissible if you can claim that without this processing significant and irreversible disadvantages would arise (e.g. debt collection proceedings).

The user can give or withdraw his consent (Consent) for the disclosure of his personal data via the CoreOne Self-Service Portal per service / application.

The user can see via the CoreOne Self-Service Portal per service/application which data is passed on or read out.

Right to data portability

 

Art. 20 DSGVO also grants the data subject the right to receive all personal data in a structured and machine-readable format, or to transfer it directly to another controller, provided that the processing is based on consent, a contract or with the help of automated processes.

The data subject may also obtain the direct transfer of the data to the other controller, unless the processing by the first controller is related to the performance of a task entrusted to it in the public interest or the effort involved exceeds the interests and capabilities of the entrepreneur.

Users can export their personal data at any time via the CoreOne Self-Service Portal.

Notification obligation in connection with the rectification or erasure of personal data or the restriction of processing

The controller shall notify all recipients to whom personal data have been disclosed of any rectification or erasure of personal data or restriction of processing pursuant to Article 16, Article 17(1) and Article 18, unless this proves impossible or involves a disproportionate effort. 2The controller shall inform the data subject of these recipients if the data subject so requests.

The CoreOne confirms the deletion of an IAM account and changes to an IAM account by means of e-mail messages.

Automated decisions in individual cases including profiling

The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. Paragraph 1 shall not apply if the decision

  • is necessary for the conclusion or performance of a contract between the data subject and the controller,

  • is permitted by Union or Member State law to which the controller is subject and that law contains adequate measures to safeguard the rights and freedoms and legitimate interests of the data subject, or

  • is carried out with the express consent of the data subject.

In the aforementioned cases, the controller shall take reasonable steps to safeguard the rights and freedoms as well as the legitimate interests of the data subject, which include at least the right to obtain the intervention of a data subject on the part of the controller, to express his or her point of view and to contest the decision.

Decisions under paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless Article 9(2)(a) or (g) applies and appropriate measures have been taken to protect the rights and freedoms and legitimate interests of the data subject.

The user can give or withdraw his consent (Consent) for the disclosure of his personal data via the CoreOne Self-Service Portal per service / application.

The user can see via the CoreOne Self-Service Portal per service/application which data is passed on or read out.

CoreOne does not make any automated decisions and does not create any user profiles.

 

Deutsche Version

Recht des Betroffenen (Nutzer)

Beschreibung

Wie die CoreOne dies erfüllt / unterstützt

Auskunftsrecht

Laut Art. 15 DSGVO kann die betroffene Person auf Nachfrage eine Bestätigung verlangen, ob auf sie bezogene Personendaten verarbeitet werden. Wenn dem so ist, müssen ihm sowohl die erhobenen personenbezogenen Daten als auch diese Informationen insbesondere mitgeteilt werden:

  • Verarbeitungszweck;

  • Kategorien der verarbeiteten Daten;

  • (beabsichtigte) Empfänger der Daten;

  • geplante Speicherdauer oder die Kriterien, wie diese festgelegt wird;

  • Bestehen eines Rechts auf Berichtigung/Löschung der Daten sowie auf Einschränkung/Widerspruch der Verarbeitung;

  • Herkunft der Daten, wenn sie nicht bei dem Betroffenen erhoben wurden;

  • Bestehen eines automatisierten Entscheidungsverfahrens (inkl. Profiling) sowie dessen Logik und Zweck.

  • Geeignete Garantien (z. B. Zertifizierungen), wenn Daten an Drittland oder internationale Organisation übermittelt werden.

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation einsehen, welche Daten weitergegeben oder ausgelesen werden.

Customer IAM: Der Nutzer kann die allgemeinen oder die Service spezifischen Nutzungsbedingungen einsehen und muss diesen vor der Nutzung der CoreOne oder der Services / Applikation zustimmen.

Berichtigungs- und Löschungsrecht

 

Der Betroffene darf verlangen, dass unwahre Daten über ihn entsprechend berichtigt oder ergänzt werden (Art. 16 DSGVO). Weiter darf er jederzeit die Löschung seiner Daten (Art. 17 Abs. 1 DSGVO) verlangen. Löschen heisst dabei, dass die Daten tatsächlich vernichtet werden müssen. Dafür muss insbesondere einer dieser Gründe vorliegen:

  • Daten sind für den Verarbeitungszweck nicht mehr notwendig;

  • Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt);

  • Widerspruch des Betroffenen gegen die Verarbeitung (s.u.) und Fehlen eines vorrangigen berechtigten Grundes dafür;

  • unrechtmässige Datenverarbeitung;

  • sonstige Löschungspflicht nach nationalem oder Unionsrecht.

Ergänzend wurde das Recht auf Vergessenwerden gesetzlich verankert, das vor allem bei veröffentlichen Informationen relevant ist und soll den Betroffenen die Möglichkeit einräumen, die Vergangenheit hinter sich zu lassen.

Falls Sie personenbezogene Daten öffentlich gemacht haben, müssen Sie das für Sie technologisch und kostentechnisch mögliche, angemessene und zumutbare unternehmen, um andere Verarbeitende von einem Einschränkungs-, Löschungs- oder Berichtigungsantrag des Betroffenen zu informieren.

Persönliche Daten können durch den Nutzer teilweise selbständig über das CoreOne Self-Service Portal berichtigt werden. Diese können von der CoreOne an Umsysteme weitergegeben werden.

Customer IAM (CIAM): Das IAM-Konto und die persönlichen Daten können jederzeit durch den Nutzer gelöscht werden. Die Daten werden anonymisiert oder vollständig in der CoreOne gelöscht.

 

Einschränkungsrecht

Der Betroffene hat das Recht, die Verarbeitung seiner Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn die Löschung unmöglich oder unverhältnismässig ist. Verlangt er die Einschränkung, dürfen diese Daten (ausgenommen der Speicherung an sich) nur mit seiner Einwilligung, zur Rechtsanspruchsdurchsetzung oder des Rechtsschutzes oder bei vorliegendem wichtigem öffentlichem Interesse der EU oder eines Mitgliedstaates aufbewahrt werden.

Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:

  • wenn der Betroffene die Richtigkeit seiner Daten für eine Dauer bestreitet, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

  • bei einer unrechtmässigen Datenverarbeitung, wenn der Betroffene die Einschränkung statt der Löschung verlangt;

  • der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, aber der Betroffene sie für die Durchsetzung eines Anspruches benötigt, oder

  • bei Widerspruch des Betroffenen gegen die Verarbeitung durch den Verantwortlichen nach Art. 21 Abs. 1 DSGVO, solange noch nicht feststeht, wessen Interessen im konkreten Fall schutzwürdiger sind.

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation seine Zustimmung (Consent) für die Weitergabe seiner persönlichen Daten jederzeit zurückziehen.

Die Löschung des IAM-Kontos verhindert die weitere Verarbeitung der Daten.

Widerspruchsrecht

Widersprechen kann der Betroffene ohne weiteres gem. Abs. 2 auch der Datenverarbeitung für Direktwerbung oder eines damit verbundenen Profilings – hier ist die direkte Umsetzung unumgänglich.

Schliesslich hat der Betroffene nach Art. 21 Abs. 1 DSGVO das Recht, jederzeit einer Datenverarbeitung zur Erfüllung einer öffentlich-rechtlichen Aufgabe oder zur Wahrung der eigenen Interessen des Verantwortlichen zu widersprechen. Das gilt gem. Abs. 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken (Art. 89 Abs. 1) erfolgt, es sei denn sie ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur dann zulässig, wenn Sie geltend machen können, dass ohne diese Verarbeitung erhebliche und unumkehrbare Nachteile entstehen (z. B. Inkassoverfahren).

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation seine Zustimmung (Consent) für die Weitergabe seiner persönlichen Daten erteilen oder zurückziehen.

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation einsehen, welche Daten weitergegeben oder ausgelesen werden.

Recht auf Datenübertragbarkeit

 

Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt.

Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.

Der Nutzer kann über das CoreOne Self-Service Portal seine persönlichen Daten jederzeit exportieren.

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismässigen Aufwand verbunden. 2Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Die CoreOne bestätigt die Löschung eines IAM-Kontos und Veränderungen an einem IAM-Konto mittels E-Mail-Nachrichten.

Automatisierte Entscheidungen im Einzelfall einschliesslich Profiling

Die betroffene Person hat das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung

  • für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

  • aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Massnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

  • mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

In den genannten Fällen trifft der Verantwortliche angemessene Massnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Massnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation seine Zustimmung (Consent) für die Weitergabe seiner persönlichen Daten erteilen oder zurückziehen.

Der Nutzer kann über das CoreOne Self-Service Portal pro Service / Applikation einsehen, welche Daten weitergegeben oder ausgelesen werden.

 

Die CoreOne trifft keine automatisierten Entscheidungen und legt kein Nutzerprofile an.

 

Related articles

Filter by label

There are no items with the selected labels at this time.



© ITSENSE AG. Alle Rechte vorbehalten. ITSENSE und CoreOne sind eingetragene Marken der ITSENSE AG.