处理清单(欧盟通用数据保护条例第30条)

欧盟通用数据保护条例(DS-GVO)规定, 负责人必须编制一份其主管权限范围内的所有处理工作的清单。该处理清单包含以下内容:

  1. 负责机构的名称和地址
  2. 总经理
  3. 数据保护专员
  4. 数据收集、处理或使用的目的
  5. 相关人群、数据或数据类别
  6. 数据接收方或接收方的类别
  7. 技术与组织措施
  8. 数据删除的法定期限
  9. 向第三国的数据传输计划
您需要咨询服务吗?
我们乐意为您回答任何问题:

电话 +49 (0) 2247 9194 -88

周一到周五: 08:00 - 18:00

1.负责机构的名称和地址

DR-WALTER企业集团 (简称:DR-WALTER)。本企业集团包括DR-WALTER有限责任公司和DR-WALTER保险经纪有限责任公司。

DR-WALTER有限责任公司
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
德国

电话 +49 (0) 2247 9194 -0
传真 +49 (0) 2247 9194 -40
info(at)dr-walter.com
www.dr-walter.com

商业登记册:锡格堡 HRB 4701
营业税识别编号:DE 212252105

DR-WALTER保险经纪有限责任公司
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
德国

电话 +49 (0) 2247 9194 -0
传真 +49 (0) 2247 9194 -40
info(at)dr-walter.com
www.dr-walter.com

商业登记册:锡格堡 HRB 14554
营业税识别编号: DE 314696745

2.企业集团总经理

Dipl.-Kfm. Reinhard Bellinghausen

3.数据保护专员

Sandra Karnstedt-Panienka

4.数据收集、处理或使用的目的和法律依据(欧盟通用数据保护条例第5条)

经营保险业务;推销、销售、管理和执行 国内和国外的保险合同以及所有与之相关的辅助业务。按照公司自身的目的以及受参股保险公司的委托并以参股保险公司的名义实施个人数据的保存和数据处理。

针对合同和合同目的处理个人数据的法律依据 为欧盟数据保护条例第6条第1项第b款。如果需要特殊类别的个人数据(例如健康数据)而言,DR-WALTER必须按照数据保护通则第9条第2项第j款结合联邦数据保护法第27条征求同意书。根据欧盟通用数据保护条例第21条,授予的同意可随时撤回。

5.相关人群、数据或数据类别

收集、处理或使用下列人群的个人数据:

  • 潜在客户数据(产品意向、地址数据、匿名IP地址、 分组抽样人口和地理数据),
  • 客户数据(地址数据、匿名IP地址、分组抽样人口和 地理数据、保险合同数据、保险金给付数据、 银行帐户信息、可能存在的专家数据、流程与投诉数据),
  • 医生、医院机构数据与健康数据,
  • 员工数据、求职者数据(履历数据)、中介/经纪/代理数据、涉及人事管理、控制和结算的人事数据),
  • 业务合作伙伴和代理、中介和经纪的数据(地址、结算和给付数据),只要上述数据对于履行第4节中所述目的是必要的。

6.数据接收方或接收方的类别(欧盟通用数据保护条例第28条)

  • 参与执行各自业务流程的DR-WALTER企业集团内部部门。
  • 按法例规定获取数据的公职人员 例如:社会福利机构、税务机关、法院、联邦金融监管局)。
  • 外部受托方(保险公司和服务提供商)。
  • 其他外部部门,如信贷机构(保险费的给付和收款)、进行中介活动的经纪和保险代理以及保险联合会的中央指导部门。

7.技术与组织措施(欧盟通用数据保护条例第32条)

我们已经采取广泛的技术和组织措施确保您的个人数据得到保护。此处您可以概要性了解相关的保护措施。

1.保密

a) 门禁控制

未经授权者严禁靠近处理或使用个人数据的数据处理设备。

  • 对于办公大楼,由接待处的当值同事负责日常的门禁控制。对于所有的其他区域,由位于裙楼的同事负责门禁控制。
  • 差异化的门禁规定仅允许员工访问特定的公司区域。
  • 未经授权者,尤其是外来人员原则上禁止 进入。只有在说明原因并获得员工明确许可后才允许进入。
  • 不仅存在安全锁,也存在钥匙管理制度。
  • 服务器位于上锁的房间内。
  • 向便携式备份介质(如CD / DVD,磁带)上的数据备份在具有门禁保护的房间内进行。
  • 建筑物和经营场所通过报警装置、视频监控、移动报警器和照明装置加以保护。

关于参与视频监控当事人权利的说明

当事人有权要求责任方针对此活动确认, 其是否会对个人数据进行处理;如果进行处理, 则当事人有权利知悉与此个人数据相关的信息和欧盟一般数据保护条例 (DS-GVO) 第 15 条 单独列出的信息。

当事人有权利要求责任方立即修正 不正确的有关个人数据 和(如果存在)补全不完整的个人数据(欧盟一般数据保护条例 (DS-GVO) 第 16 条)。

当事人有权利要求责任方 立即删除相关个人数据,前提为符合欧盟一般数据保护条例 (DS-GVO) 第 17 条 单独列出的原因之一, 例如如果基于之后的用途不再需要使用此数据(删除权)。

当事人有权利要求责任方对数据处理进行限制, 前提为符合欧盟一般数据保护条例 (DS-GVO) 第 18 条所列前提条件之一,例如 当事人 针对数据处理提出反对,时间期限为责任方进行检查期间。

当事人有权出于自身形势考虑, 随时对针对其个人数据进行的数据处理提出反对。 则责任方之后不再对个人数据进行处理,除非 存在强制性、受保护的原因需要进行数据处理,且此原因重要性高于当事人的权益、权利和自由, 或此数据处理旨在 提出、执行或捍卫法定权利要求(欧盟一般数据保护条例 (DS-GVO) 第 21 条)。

每名当事人均有权在采取其他行政法或司法补救措施之余, 在监管机关处提出投诉, 前提为当事人认为对其个人数据进行了违反 欧盟一般数据保护条例 (DS-GVO) 第 77 条规定的数据处理。当事人可以在 其居留地、 其工作地或涉嫌侵权当地所在欧盟成员国内的监管机关处提出投诉。

负责监管机关的联系方式为:

北莱茵-威斯特法伦州数据保护和信息自由州负责机关
Frau Helga Block
Kavalleriestraße 2 - 4
40213 Düsseldorf
Germany

T +49 (0) 211 38424 -0
F +49 (0) 211 38424 -10
电子邮件: poststelle@ldi.nrw.de

b) 接触控制

未经授权者不得接触并使用数据处理系统。

  • 使用该系统需要个人登录数据,例如用户名和密码。
  • 存在密码指令。
  • 不再需要的接触权限将被收回。
  • 创建用户登录日志。
  • 工作站计算机通过反病毒软件加以保护。
  • 清洁工经过仔细筛选,并由委托人负责数据保护。

c) 访问控制

确保被授权使用数据处理系统的人员仅可以访问其访问权限范围内的数据,同时确保个人数据在处理和使用时以及存储后不会在未经授权的情况下被读取、复制、修改或者移除的措施。

  • 仅在约定的委托处理框架下受托收集、使用和处理数据的人员有权读取、复制、修改或者删除数据。在该情况下,存在授予存取权限的明确规定,该规定考虑了差异化的访问权限(读取、修改、删除),并规定了不同层级的存取权限。
  • 在离开工作场所时,通过可上锁的文件柜或者抽屉防止纸质资料被未经授权的人员知悉或者访问。
  • 防火墙防止从不可信网络(例如互联网)访问您的数据。
  • 定期检查技术安全装置的有效性。
  • 纸质文档和移动数据存储器应保存在可上锁的家具中(清理办公桌原则)。

d) 分离控制

确保针对不同目的收集的数据可以被分开处理的措施。

  • 确保针对不同目的收集的数据可以被分开处理的措施。

2.完整性

a) 转移控制

确保个人数据不会在电子传输或通过数据载体被运送或储存期间被人未经授权地读取、复制、修改或移除,且可以检查和确定个人数据通过数据传输设施传输至何位置的措施。

  • 禁止在受保护公司范围外使用外置数据载体(U盘、外置硬盘、CD、DVD)。
  • 确保根据数据保护的规定进行数据销毁。对于纸质文档,使用符合规定保护等级的碎纸机对其进行销毁。对于数据载体(例如受损的硬盘)必须进行物理销毁。

b) 输入控制

确保事后能够检查和确定是否以及何人曾经在数据处理系统中输入、修改或移除个人数据的措施。

  • 为了事后能够检查和确定是否、何人以及何时在数据处理系统中输入、修改或移除个人数据,进行相应的记录。
  • 管理工作也需要进行记录。
  • 写入保护可以避免数据被覆盖。

3.可用性与负荷能力

a) 可用性控制

确保保护个人数据免遭意外破坏或者损失的措施。

  • 只要合同有所约定,应防止数据遭到意外破坏或者损失。
  • 存在数据备份与恢复方案。
  • 定期测试备份功能,以便可以顺利恢复。
  • 定期进行演习,模拟在紧急情况下(例如火灾)如何实施数据恢复。

b) 快速可恢复性

确保个人数据可以在自然或技术事故中被快速恢复的措施。

  • 存在紧急事故后恢复业务运行的方案。

4.定期检查、评价和评估的程序

a) 数据保护管理

  • 存在被定期检查的数据保护和安全措施。
  • 数据保护与安全方案将针对不断变化的条件进行调整。

b) 任务控制

确保在任务中被处理的个人数据仅根据委托人的指示进行处理。

  • 作为受托人和委托人约定的任务处理的基础,工作说明应明确强调数据处理的类型、范围和目的。
  • 被指派负责实施任务处理的员工应了解其工作范围。
  • 对于约定的任务处理过程,必要时使用云解决方案。使用的数据运算中心均位于欧盟境内内。云数据传输经过加密。
  • 受托方已任命一名数据保护专员。

8.数据删除的法定期限(欧盟通用数据保护条例第17条)

法律规定了不同的数据保存义务和期限。到期后,若无需再履行合约,可以定期删除相应的数据。如果第 4 项列明的目的取消,只要不再接触相关数据,则可予以删除。

9.向第三国的数据传输计划(欧盟通用数据保护条例第20条)

向第三国传输数据(Google Analytics,见 https://www.google.de/policies/privacy/)。

如果您对本处理清单仍有疑问,请直接联系我们的数据保护专员。

Sandra Karnstedt-Panienka 女士
DR-WALTER
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
德国

电子邮件: sandra.karnstedt-panienka(at)dr-walter.com
电话: +49 (0) 2247 9194 -755
传真: +49 (0) 2247 9194 -40

Sandra Karnstedt-Panienka