Datenschutzerklärung

 

Veolia Industries Global Solutions
(und Tochtergesellschaften) 

Datenschutzerklärung für personenbezogene Daten 

3. Juni 2020


PRÄAMBEL

Veolia Industries Global Solutions (VIGS) verpflichtet sich nachdrücklich zum Schutz personenbezogener Daten, die im Mittelpunkt ihres Handelns stehen.

Die vorliegende Datenschutzerklärung soll natürliche Personen (Beschäftigte, Bewerber, Kunden, Dienstleister oder Partner und deren Beschäftigte) über die Maßnahmen informieren, die VIGS bei der Erhebung personenbezogener Daten im Rahmen ihrer Tätigkeiten und der Tätigkeiten ihrer Tochtergesellschaften durchführt.

Diese Richtlinie kann sich von Zeit zu Zeit ändern, entweder aufgrund des rechtlichen Rahmens in Frankreich und in der Europäischen Union oder aufgrund von Empfehlungen oder Entscheidungen der CNIL (französische Aufsichtsbehörde für den Schutz personenbezogener Daten).

Diese Richtlinie betrifft nur VIGS und ihre Tochtergesellschaften.
 

 

ERHOBENE PERSONENBEZOGENE DATEN, ZWECKE DER VERARBEITUNG UND DSB

VIGS hat eine Organisation eingerichtet, die für die korrekte Anwendung und die Einhaltung dieser Richtlinie verantwortlich ist, unter der Aufsicht des Datenschutzbeauftragten ("DSB").

Darüber hinaus ergreift VIGS Maßnahmen, um seine Mitarbeiter für die Notwendigkeit des Schutzes personenbezogener Daten zu sensibilisieren, so dass jegliche Erhebung oder Verarbeitung nur dann erfolgt, wenn sie für die beabsichtigten Zwecke relevant ist und wenn diese Zwecke definiert sind, um zu gewährleisten, dass sie rechtmäßig, spezifiziert, ausdrücklich und legitim sind.

Alle von VIGS durchgeführten Verarbeitungen, die personenbezogene Daten enthalten können, sind Gegenstand einer vollständigen Beschreibung, die in das vom Datenschutzbeauftragten (DSB) von VIGS geführte "Verarbeitungsprotokoll" eingetragen wird.

Auf diese Weise stellt VIGS sicher, dass die Erhebung personenbezogener Daten und ihre Verarbeitung mit den Vorschriften übereinstimmen:

  • die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("DSGVO") und
  • das Gesetz  n° 78-17 vom 6. Januar 1978 über den Schutz personenbezogener Daten (französisches Datenschutzgesetz).

VIGS hat seinen Datenschutzbeauftragten dem CCO der Gruppe unterstellt, um seine Unabhängigkeit zu gewährleisten und den Schutz personenbezogener Daten in den Mittelpunkt der Organisationsstruktur des Unternehmens zu stellen.


 

GOLDENE REGELN

VIGS stützt sich auf 6 goldene Regeln, damit jede Person, die personenbezogene Daten in ihrem Namen sammelt oder verarbeitet, diese auch erhält:

  • hält sich an die DSGVO und stellt sicher, dass personenbezogene Daten unter Wahrung der Rechte der betreffenden Personen und des Konzepts des "'privacy by design'" erhoben, verwendet und weitergegeben werden;
  • ist transparent und klärt die betroffenen Personen über den Zweck der Verarbeitung, den Zweck und die Mittel ihrer Durchführung und über die Personen auf, mit denen ihre Daten geteilt werden; holt die Zustimmung der natürlichen Personen ein, wann immer dies möglich ist, und geht nur dann ohne ihre Zustimmung vor, wenn die DSGVO oder das Gesetz dies zulassen oder wenn ihre vorherige Konsultation unmöglich ist oder ein besonderes Risiko darstellen könnte; 
  • holt bei Zweifeln über die Verarbeitung personenbezogener Daten eine Beratung ein, tauscht sich mit anderen Fachleuten aus, holt bei Bedarf eine Rechtsberatung oder eine Beratung durch die zuständige Aufsichtsbehörde ein und dokumentiert seine Entscheidung;
  • die Entscheidung, personenbezogene Daten zu erheben, zu nutzen oder weiterzugeben, auf das Interesse der natürlichen Person stützt, um nur notwendige, relevante, angemessene, verhältnismäßige, genaue, rechtzeitige und sichere Daten für einen Zeitraum zu verarbeiten, der dem Zweck der Verarbeitung entspricht;
  • sicherstellt, dass alle weitergegebenen Informationen unbedingt erforderlich sind, um die Zwecke der Verarbeitung zu erreichen und es den Anbietern zu ermöglichen, die erwarteten Dienstleistungen zu erbringen;
  • stellt sicher, dass die Sicherheitsmaßnahmen in einem angemessenen Verhältnis zu den Risiken stehen und dass die Verfügbarkeit, die Vertraulichkeit und die Integrität der Verarbeitung gewährleistet sind.


 

INFORMATIONEN ÜBER DIE BETROFFENEN NATÜRLICHEN PERSONEN

In Übereinstimmung mit der DSGVO verpflichtet sich VIGS, die betroffenen natürlichen Personen über die ihnen zustehenden Rechte zu informieren, indem sie ihnen Folgendes mitteilt:

  • die Identität des für die Datenverarbeitung Verantwortlichen;
  • den Zweck der Verarbeitung;
  • gegebenenfalls die Angabe, ob die Beantwortung der Fragen obligatorisch oder fakultativ ist und welche Folgen die Nichtbeantwortung der Fragen haben kann;
  • die Empfänger der Daten;
  • ihr Recht auf Auskunft, Berichtigung oder Löschung der sie betreffenden Daten, das Recht, sich der Verarbeitung aus legitimen Gründen zu widersetzen, oder das Recht, sich der Verarbeitung ihrer Daten für Marketingzwecke zu widersetzen, sowie das Recht, allgemeine oder spezifische Anweisungen für die Verarbeitung der sie betreffenden Daten nach ihrem Tod zu erteilen;
  • den Zeitraum, für den die Daten gespeichert werden.


 

GRUPPEN-PROZESSE

VIGS informiert alle betroffenen natürlichen Personen darüber, dass die personenbezogenen Daten, die einer automatisierten Verarbeitung unterzogen werden, in einem Register aufgeführt sind und von der Innenrevision von VESA, von der Compliance-Abteilung oder dem DSB, von den Rechnungsprüfern, von Personen, die mit der Unterrichtung von Ausschreibungen über Verhaltensweisen, die gegen die ethischen Regeln der Gruppe verstoßen könnten, beauftragt sind, sowie von ihren Anwälten oder einer zuständigen Behörde und in einigen Fällen von den an einer Fusion oder Übernahme beteiligten Akteuren eingesehen werden können.


 

EMPFÄNGER

VIGS kann einige der erhobenen personenbezogenen Daten an Mitarbeiter der Gruppe oder an Dienstleister und Lieferanten weitergeben, und zwar ausschließlich in dem für die Erfüllung ihrer Aufgaben erforderlichen Umfang.

VIGS stellt sicher, dass diese die für den Schutz personenbezogener Daten geltenden Gesetze und Vorschriften einhalten und ein besonderes Augenmerk auf die Vertraulichkeit der Daten legen.


 

SPEICHERUNG

Die von VIGS oder in ihrem Auftrag erhobenen personenbezogenen Daten werden von VIGS oder ihren Dienstleistern insbesondere bei Cloud-Speicherdiensten gespeichert.

Aus zumeist technischen oder mit der internationalen Dimension von Veolia Environnement SA zusammenhängenden Gründen können einige Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) gespeichert oder abgerufen werden. In diesem Fall stellt VIGS sicher, dass wirksame, mit den Anforderungen der Datenschutz-Grundverordnung vereinbare Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, insbesondere strenge und angemessene physische, technische, organisatorische und verfahrenstechnische Maßnahmen, um die Verfügbarkeit, die Sicherheit und die Integrität der personenbezogenen Daten zu gewährleisten, die je nach ihrer Art oder Sensibilität angepasst werden.

VIGS ist bestrebt, die Dauer der Speicherung personenbezogener Daten auf den Zeitraum zu beschränken, der für die Durchführung der Vorgänge, für die sie erhoben und verarbeitet wurden, erforderlich ist, wie es die geltende Verordnung erlaubt. Danach werden die personenbezogenen Daten unwiderruflich vernichtet oder anonymisiert.


 

SICHERHEIT UND WARNMELDUNGEN

VIGS hat Maßnahmen ergriffen, um die Sicherheit der erhobenen personenbezogenen Daten in einer Weise zu gewährleisten, die ihrer Sensibilität und den damit verbundenen Risiken angemessen ist. So setzen die IT-Teams und ihre Dienstleister oder Unterauftragnehmer die in der Cybersecurity-Policy von Veolia festgelegten Anforderungen um, insbesondere die Anforderungen in Bezug auf:

  • die Identifizierung von Cyber-Risiken,
  • die Implementierung von angepassten Netzwerkschutzmaßnahmen durch den Einsatz von Filtersystemen,
  • die Aufrechterhaltung des Sicherheitszustands der verschiedenen Infrastrukturkomponenten, insbesondere die Anwendung von Software-Updates und die Aufrüstung der Komponenten, um zu verhindern, dass sie für andere Zwecke als die Wartung verwendet werden,
  • die Verbesserung der Infrastrukturkomponenten wie Server oder Workstations,
  • die regelmäßige Überprüfung der Schwachstellen der Infrastruktur oder der Anwendungen durch Überwachung und Einsatz eines Scanners für technische oder applikative Schwachstellen,
  • die Verschlüsselung der Daten im Speicher, sofern erforderlich, und der Daten bei der Übertragung,
  • die Anwendung bewährter Sicherheitspraktiken bei der Entwicklung neuer Anwendungen, insbesondere von Webanwendungen,
  • die Zuweisung von Nutzerrechten unter Beachtung der Regel der "geringeren Verpflichtung" und des Rechts auf Information,
  • einen Zugriffsschutz durch die Einführung verstärkter Identifizierungsmechanismen und durch eine regelmäßige Überprüfung der Konten
  • die Sicherheitsüberwachung der persönlichen Daten und Anwendungen durch die Zentralisierung und Verwendung von Protokollen,
  • die Aufbewahrung von Belegen für die Durchführung der oben genannten Maßnahmen.

Wenn eine Verletzung personenbezogener Daten, die sich im Besitz von VIGS befinden, auftritt, wird VIGS unverzüglich handeln, nachdem sie von einer solchen Verletzung Kenntnis erlangt hat, um gegebenenfalls die CNIL zu informieren und, falls erforderlich, die Mängel zu identifizieren und angepasste Sicherheitsmaßnahmen umzusetzen.


 

RECHTE DER NATÜRLICHEN PERSONEN

Gemäß dem Gesetz vom 6. Januar 1978 über den Schutz personenbezogener Daten in seiner geänderten Fassung haben natürliche Personen, deren Daten erfasst werden, im Rahmen der gesetzlichen Bestimmungen ein Recht auf Zugang, Berichtigung, gegebenenfalls auf Übertragbarkeit und Löschung der sie betreffenden personenbezogenen Daten sowie ein Recht auf Einschränkung.

Sie haben auch das Recht, dem für die Verarbeitung Verantwortlichen Anweisungen über den Umgang mit ihren personenbezogenen Daten nach ihrem Tod zu erteilen.

Jede natürliche Person, die von einer Verarbeitung betroffen ist, kann ihre Rechte ausüben, indem sie sich schriftlich an den Verantwortlichen für diese spezifische Verarbeitung bei VIGS wendet, dessen Identität zum Zeitpunkt der Erhebung angegeben wurde, und anschließend eine E-Mail an den DSB von VIGS unter folgender Adresse sendet: [email protected].


 

KONTAKT

Für weitere Informationen zu dieser Richtlinie senden Sie bitte eine E-Mail an den DSB von VIGS

([email protected]) oder an den Chief Compliance Officer der Gruppe.

Generell hat jede betroffene Person die Möglichkeit, sich an die französische Aufsichtsbehörde zu wenden (https://www.cnil.fr oder per Post an die folgende Adresse: 3, Place de Fontenoy, 75007 Paris - France).