Gemäß Artikel 13 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DSGVO") sowie Artikel 11 des spanischen Organgesetzes 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte informieren wir Sie über Folgendes:
Der Nutzer sollte diese Datenschutzerklärung sorgfältig lesen. Sie ist in klarer und verständlicher Sprache verfasst, damit der Nutzer frei, informiert und freiwillig entscheiden kann, ob er SONNEIL (im Folgenden das Unternehmen) eigene personenbezogene Daten oder personenbezogene Daten Dritter zur Verfügung stellen möchte.
Das Unternehmen verarbeitet die personenbezogenen Daten, die der Nutzer zur Verfügung stellt, zu den nachstehend genannten Zwecken und für die jeweils angegebenen Speicherfristen:
Verwaltung der Erbringung und Ausführung der vertraglich vereinbarten Dienstleistungen und/oder Produkte sowie Erstellung, Überwachung und Verwaltung von Verträgen, Angeboten und Dienstleistungsvorschlägen, einschließlich der Daten der Personen, deren Mitwirkung hierfür erforderlich ist. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person. In diesem Fall speichern wir die personenbezogenen Daten für die Dauer der vertraglichen oder vorvertraglichen Beziehung und nach deren Beendigung während der gesetzlich vorgeschriebenen Fristen zur Klärung etwaiger Haftungsfragen, die sich daraus ergeben könnten.
Verwaltung und Beantwortung von Mitteilungen sowie jeglicher Art von Anfragen, Vorschlägen, Beschwerden oder Ersuchen, die von Hinweisgebern/Nutzern über das interne Informationssystem eingereicht werden, in Übereinstimmung mit dem Gesetz 2/2023 vom 20. Februar zum Schutz von Personen, die über Rechtsverstöße informieren, und zur Bekämpfung von Korruption. Diese Mitteilungen können die Verwaltung und gegebenenfalls die Weiterleitung an die zuständige Abteilung zur ordnungsgemäßen Bearbeitung und zur Einhaltung des geltenden Rechtsrahmens nach sich ziehen. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung rechtlicher Verpflichtungen, denen das Unternehmen unterliegt. Die Daten im Zusammenhang mit den eingegangenen Informationen und den internen Untersuchungen werden für den erforderlichen und verhältnismäßigen Zeitraum gespeichert, um die Vorgaben des Gesetzes zum Schutz von Hinweisgebern zu erfüllen, in keinem Fall jedoch länger als zehn Jahre. Nach Ablauf von drei Monaten ab ihrem Eingang werden die Mitteilungen gelöscht, es sei denn, ihre Aufbewahrung ist erforderlich, um die Existenz und das ordnungsgemäße Funktionieren des Systems nachzuweisen, und/oder aufgrund anderer Compliance-Anforderungen, mit denen die Informationen verbunden sind, wobei die Identität des Hinweisgebers in einem getrennten Bereich unter Anwendung angemessener Sicherheitsmaßnahmen anonymisiert aufbewahrt wird.
Versand von Informationsmitteilungen über Produkte oder Dienstleistungen, die den vom Kunden bereits vertraglich vereinbarten Produkten oder Dienstleistungen ähnlich sind. Rechtsgrundlage dieser Verarbeitung ist das berechtigte Interesse des Unternehmens im Rahmen einer bestehenden oder früheren Vertragsbeziehung, sofern sich diese Mitteilungen auf eigene Produkte oder Dienstleistungen beziehen, die den ursprünglich vertraglich vereinbarten ähnlich sind, wobei in jedem Versand die Möglichkeit gewährleistet wird, der Verarbeitung zu widersprechen. Bei elektronischen Mitteilungen stützt sich diese Verarbeitung auf Artikel 21.2 des Gesetzes 34/2002 über Dienste der Informationsgesellschaft und den elektronischen Geschäftsverkehr (im Folgenden „LSSI"). Die personenbezogenen Daten werden gespeichert, solange das Widerspruchsrecht nicht ausgeübt oder die Abmeldung vom Erhalt dieser Mitteilungen nicht beantragt wird.
Im Rahmen der Verwaltung von Arbeitsbeziehungen kann das Unternehmen personenbezogene Daten von Beschäftigten, Bewerbern oder sonstigen mit dem Unternehmen verbundenen Personen zu folgenden Zwecken verarbeiten:
Rechtsgrundlage dieser Verarbeitungen ist je nach konkreter Art der jeweiligen Verarbeitung die Erfüllung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO), die Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO), das berechtigte Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) oder, soweit erforderlich, die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO). Die personenbezogenen Daten werden für die Dauer des Arbeitsverhältnisses und nach dessen Beendigung während der gesetzlich vorgeschriebenen Fristen zur Klärung etwaiger Haftungsfragen gespeichert.
Versand kommerzieller Mitteilungen, Newsletter oder Mailings, wenn diese Mitteilungen nicht durch eine frühere Vertragsbeziehung unter den oben genannten Bedingungen gedeckt sind. Rechtsgrundlage dieser Verarbeitung ist die freiwillig, spezifisch, informiert und unmissverständlich erteilte Einwilligung der betroffenen Person. Die personenbezogenen Daten werden gespeichert, solange die erteilte Einwilligung nicht widerrufen oder die Abmeldung vom Erhalt dieser Mitteilungen nicht beantragt wird.
Verwaltung des Eingangs und der Bewertung von Bewerbungen, Lebensläufen und Auswahlverfahren, einschließlich über die Website oder die Kontakt-E-Mail-Adresse eingereichter Initiativbewerbungen sowie deren Berücksichtigung für aktuelle oder künftige Stellenangebote, die dem Profil des Bewerbers entsprechen. Rechtsgrundlage dieser Verarbeitung ist die Einwilligung der betroffenen Person, die durch die Zusendung ihrer Bewerbung zum Ausdruck gebracht wird. Die personenbezogenen Daten werden bis zum Widerruf der Einwilligung und in jedem Fall höchstens für ein Jahr ab Eingang des Lebenslaufs gespeichert.
Gewährleistung der Sicherheit von Personen, Sachen und Einrichtungen durch Videoüberwachungssysteme. Rechtsgrundlage dieser Verarbeitung personenbezogener Daten ist das berechtigte Interesse des Unternehmens am Schutz seiner Einrichtungen, Personen und Sachen. Die Aufnahmen werden grundsätzlich für einen Zeitraum von höchstens 30 Tagen ab ihrer Erfassung gespeichert, es sei denn, sie müssen länger aufbewahrt werden, um Handlungen nachzuweisen, die die Integrität von Personen, Sachen oder Einrichtungen beeinträchtigen, oder um eine rechtliche Verpflichtung zu erfüllen.
Verwaltung der beruflichen Beziehung zu Lieferanten, Kooperationspartnern und Dritten, einschließlich der Aufrechterhaltung der kaufmännischen, administrativen, buchhalterischen und abrechnungstechnischen Beziehung, die sich aus den vom Unternehmen beauftragten Dienstleistungen ergibt. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung des Vertrags und die Erfüllung der für das Unternehmen geltenden rechtlichen Verpflichtungen. Die personenbezogenen Daten werden für die zur Verwaltung der Vertragsbeziehung erforderliche Dauer und anschließend während der gesetzlich vorgeschriebenen Fristen gespeichert.
Verwaltung und Kontrolle interner Compliance-Mechanismen, -Richtlinien und -Verfahren, einschließlich interner Kontrollmaßnahmen sowie der Prävention, Aufdeckung und Untersuchung von Verstößen gegen gesetzliche Vorschriften oder interne Richtlinien. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung rechtlicher Verpflichtungen und, sofern einschlägig, das öffentliche Interesse oder das berechtigte Interesse des Unternehmens an der Gewährleistung der Compliance und der Integrität seiner Organisation. Die personenbezogenen Daten werden für den Zeitraum gespeichert, der für die Bearbeitung, Untersuchung und den Abschluss der Maßnahmen unbedingt erforderlich ist, und anschließend während der gesetzlich vorgeschriebenen Fristen.
Verwaltung von Anträgen auf Ausübung von Datenschutzrechten, die über den vom Unternehmen zu diesem Zweck eingerichteten Kanal eingehen. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt. Die personenbezogenen Daten werden für die zur Bearbeitung und Beantwortung des Antrags erforderliche Dauer und anschließend während der gesetzlich vorgeschriebenen Fristen gespeichert, um die ordnungsgemäße Bearbeitung nachweisen zu können.
Verwaltung und Bearbeitung von Informationen oder Mitteilungen im Bereich der Prävention und des Vorgehens gegen Belästigung, Gewalt oder besonders schwerwiegende Verhaltensweisen, insbesondere solcher, die besonders schutzbedürftige Gruppen betreffen, einschließlich gegebenenfalls Transpersonen, LGTBI-Personen und Minderjähriger, sowie gegebenenfalls Durchführung der entsprechenden internen Maßnahmen. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung rechtlicher Verpflichtungen, ein erhebliches öffentliches Interesse und gegebenenfalls die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, je nach konkreter Art der Mitteilung und der verarbeiteten Daten. Die personenbezogenen Daten werden für den Zeitraum gespeichert, der für die Bearbeitung der Mitteilung, die Untersuchung und die Ergreifung der erforderlichen Maßnahmen unbedingt erforderlich ist, und anschließend während der gesetzlich vorgeschriebenen Fristen. Werden diese Mitteilungen über das interne Informationssystem kanalisiert, gelten die im Gesetz 2/2023 vom 20. Februar vorgesehenen Fristen.
Erfüllung der für das Unternehmen geltenden rechtlichen Verpflichtungen in handelsrechtlichen, steuerlichen, buchhalterischen, administrativen, arbeitsrechtlichen und datenschutzrechtlichen Angelegenheiten, im Bereich der Geldwäscheprävention oder in jedem anderen Bereich, in dem solche Verpflichtungen bestehen. Rechtsgrundlage dieser Verarbeitung ist die Erfüllung einer rechtlichen Verpflichtung. Die personenbezogenen Daten werden während der in den jeweils anwendbaren Vorschriften vorgesehenen Fristen gespeichert.
Darüber hinaus kann das Unternehmen personenbezogene Daten für alle weiteren Zwecke verarbeiten, die zur Erfüllung gesetzlicher Verpflichtungen oder spezifischer regulatorischer Anforderungen erforderlich sind, die für seine Tätigkeit gelten.
Die verarbeiteten personenbezogenen Daten stammen grundsätzlich von der betroffenen Person selbst. In bestimmten Fällen können die Daten jedoch von Dritten stammen, zu denen die betroffene Person in Beziehung steht, wie etwa Kundenunternehmen, Kooperationspartnern oder Lieferanten, sowie aus öffentlich zugänglichen Quellen, sofern dies rechtlich zulässig ist. In diesen Fällen wird die betroffene Person gemäß Artikel 14 DSGVO informiert.
Das Unternehmen kann die personenbezogenen Daten der betroffenen Person an die folgenden Empfänger weitergeben, wenn dies je nach Verarbeitungszweck und auf Grundlage der jeweils einschlägigen Rechtsgrundlage erforderlich ist:
Grundsätzlich sind keine internationalen Übermittlungen personenbezogener Daten vorgesehen. Sollten jedoch Technologiedienstleister eingesetzt werden, deren Leistungen eine Verarbeitung von Daten außerhalb des Europäischen Wirtschaftsraums mit sich bringen können, erfolgen diese Übermittlungen unter vollständiger Einhaltung der Artikel 44 ff. DSGVO durch die Anwendung geeigneter Garantien, wie etwa den Abschluss von durch die Europäische Kommission genehmigten Standardvertragsklauseln oder anderer nach geltendem Recht zulässiger Mechanismen.
Zur Gewährleistung der Transparenz bei der Verarbeitung Ihrer personenbezogenen Daten informieren wir Sie über die Rechte, die Ihnen die Datenschutzvorschriften einräumen. Nachfolgend erläutern wir diese Rechte und wie Sie sie in Bezug auf die von uns gespeicherten personenbezogenen Daten ausüben können.
Sie können Ihre Rechte über den hierfür vom Unternehmen eingerichteten Kanal bzw. die entsprechende E-Mail-Adresse geltend machen und darüber hinaus jegliche Anzeichen oder Kenntnisse über mögliche Sicherheitsverletzungen, Cyberangriffe und/oder mögliche Verstöße oder Unregelmäßigkeiten im Zusammenhang mit Datenschutzvorschriften melden: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com
Bei Meinungsverschiedenheiten mit dem Unternehmen in Bezug auf die Verarbeitung Ihrer Daten haben Sie das Recht, Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzulegen. In Spanien ist dies die Agencia Española de Protección de Datos (www.aepd.es).
Das Unternehmen kann zusätzliche Informationen anfordern, um die Identität des Antragstellers zu bestätigen, wenn begründete Zweifel daran bestehen, und beantwortet den Antrag innerhalb einer Frist von höchstens einem Monat ab Eingang. Diese Frist kann in Fällen besonderer Komplexität verlängert werden.
Das Unternehmen hat ein internes Informationssystem (SIIF) eingerichtet, das als zentrales Instrument für Überwachung, Kontrolle und Prävention im Bereich Compliance dient. Dabei gelten höchste Anforderungen an Sicherheit, Vertraulichkeit, Datenschutz, Erfahrung, Unabhängigkeit und Fachkenntnis bei der Bearbeitung der eingegangenen Mitteilungen.
Die in das System integrierten internen Informationskanäle wurden durch technische Instrumente umgesetzt, die alle erforderlichen Anforderungen erfüllen, um die zuvor genannten Garantien zu gewährleisten. Ebenso stellt das SIIF die Grundsätze der Anonymität, ordnungsgemäßen Registrierung, Aufbewahrung und Unveränderbarkeit, Vermeidung von Interessenkonflikten, des Schutzes des Hinweisgebers und der Verhinderung von Repressalien sicher.
Über dieses System hat jeder Hinweisgeber in gutem Glauben jeden Hinweis, Verdacht oder Nachweis möglicher Rechtsverstöße, Straftaten, unethischer Verhaltensweisen und allgemein der Nichteinhaltung der Protokolle, Regeln und Verhaltenskodizes des Unternehmens zu melden.
Der Zugang zum SIIF wurde in einem separaten Bereich unserer Website eingerichtet.
Im Rahmen des internen Informationssystems (SIIF) verarbeitet das Unternehmen personenbezogene Daten, um die eingegangenen Mitteilungen zu verwalten und zu bearbeiten sowie die gemeldeten Sachverhalte zu analysieren, zu überprüfen und zu untersuchen und gegebenenfalls die entsprechenden Abhilfe-, disziplinarischen oder rechtlichen Maßnahmen zu ergreifen.
Diese Verarbeitung erfolgt zur Erfüllung der gesetzlichen Verpflichtungen aus dem Gesetz 2/2023 vom 20. Februar zum Schutz von Personen, die über Rechtsverstöße informieren, und zur Bekämpfung von Korruption, sowie gegebenenfalls auf Grundlage des berechtigten Interesses des Unternehmens an der Prävention und Aufdeckung rechtswidriger oder gegen interne Vorschriften verstoßender Verhaltensweisen.
Im Rahmen dieser Maßnahmen können die folgenden Kategorien personenbezogener Daten verarbeitet werden:
Die personenbezogenen Daten können von der hinweisgebenden Person (unter Angabe ihrer Identität oder anonym), von den betroffenen Personen oder von Dritten stammen, die an der Untersuchung beteiligt sind.
Das Unternehmen gewährleistet die Vertraulichkeit der Identität des Hinweisgebers sowie jedes in der Mitteilung genannten Dritten und der betroffenen Personen. Der Zugang zu den Daten ist ausschließlich dem befugten Personal vorbehalten, das an der Verwaltung und Untersuchung der Mitteilungen beteiligt ist.
Ebenso ist jede Form von Repressalien, Diskriminierung, Benachteiligung oder nachteiliger Behandlung gegenüber dem Hinweisgeber oder gegenüber Personen, die an der Untersuchung mitwirken, nach Maßgabe des Gesetzes 2/2023 ausdrücklich verboten.
Die Ausübung der Datenschutzrechte kann eingeschränkt werden, wenn dies erforderlich ist, um die Vertraulichkeit der Identität des Hinweisgebers zu wahren, eine Behinderung der Untersuchung zu vermeiden oder die ordnungsgemäße Durchführung der Maßnahmen gemäß den anwendbaren Vorschriften zu gewährleisten.
Das Unternehmen verarbeitet personenbezogene Daten unter Anwendung geeigneter technischer, rechtlicher, organisatorischer und sicherheitsbezogener Maßnahmen, um die Vertraulichkeit und Integrität der von ihm verwalteten Informationen gemäß den geltenden Vorschriften zu gewährleisten.
Als spezifische und ergänzende Maßnahme zu den vorstehenden Ausführungen wendet das Unternehmen Cybersicherheitsmaßnahmen an, um mögliche Angriffe und Betrugsversuche durch Cyberkriminelle zu verhindern und zu bewältigen, die die Privatsphäre und den Schutz der Daten gefährden können, die unser Unternehmen im Rahmen seiner Tätigkeiten und Abläufe verarbeitet bzw. auf die es zugreift.
In diesem Zusammenhang weisen wir darauf hin, dass wir bei möglichen Risikosituationen aufgrund von Mitteilungen, deren Inhalt und/oder Form Zweifel an ihrer Echtheit aufkommen lassen, empfehlen, diese nicht zu beachten und das Unternehmen über die in dieser Datenschutzerklärung angegebenen Kontaktdaten zu kontaktieren.
Ebenso sollten Anfragen, die scheinbar von unserem Unternehmen stammen und Änderungen von Zahlungsmodalitäten, die Anforderung von Daten oder Kontaktpersonen, vertraulichen (nicht öffentlichen) Informationen, Bank- und/oder Kreditkartendaten und/oder sonstigen offiziellen Daten betreffen, nicht beantwortet oder befolgt werden, ohne dass zuvor eine direkte Bestätigung durch unser Unternehmen über einen anderen Kommunikationsweg erfolgt ist.
Wir danken Ihnen für Ihre Unterstützung und bitten Sie, uns jegliche Mitteilungen im Zusammenhang mit derartigen Anfragen sowie andere mögliche Risikosituationen von Cyberangriffen, bei denen der Name unseres Unternehmens verwendet werden könnte, sowie jegliche Sicherheitsrisiken, von denen Sie Kenntnis erlangen, mitzuteilen und zu melden.
Betroffene Personen können dem Unternehmen jegliche Fragen zur Verarbeitung ihrer personenbezogenen Daten oder zur Auslegung dieser Datenschutzerklärung mitteilen, indem sie sich an den Verantwortlichen für Datenschutz und Privatsphäre über die zu Beginn dieser Erklärung angegebenen E-Mail-Adressen wenden.
Das Unternehmen behält sich das Recht vor, die Informationen zum Datenschutz zu ändern und/oder zu aktualisieren, wenn dies zur ordnungsgemäßen Einhaltung der diesbezüglichen Vorschriften erforderlich ist. Im Falle einer Änderung wird der neue Text in demselben Abschnitt der Website veröffentlicht.