Diese Website verwendet Cookies. Sehen Sie unsere Cookie-Richtlinie
Schließen

Datenschutzerklärung der GRC International Group PLC

v1.2 2019-06-11

Inhalt


1. Einführung

Das Vertrauen, das Sie uns bei der Weitergabe Ihrer personenbezogenen Daten entgegenbringen, wissen wir zu schätzen. Wir legen großen Wert auf die Sicherheit dieser Daten. Mit diesem Dokument erklären wir Ihnen, wie wir Ihre personenbezogenen Daten erheben, verwenden und schützen.

Außerdem erläutern wir, welche Rechte Sie in Bezug auf Ihre personenbezogenen Daten haben und wie Sie diese ausüben können.


2. Wer wir sind

GRC International Group PLC ist die Muttergesellschaft für eine Vielzahl von Organisationen wie IT Governance Ltd und IT Governance Europe Ltd. Sie finden die vollständige Liste in Abschnitt 3 zusammen mit den dazugehörigen Webseiten.

GRC International Group PLC ist der Verantwortliche für alle Organisationen innerhalb der Gruppe. Das heißt, dass GRC International Group Plc festlegt, welche Daten von jeder Organisation innerhalb der Gruppe erhoben werden, wie diese Daten verwendet und geschützt werden.

Unser eingetragener Unternehmenssitz ist:

GRC International Group PLC

Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA

Vereinigtes Königreich

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten haben oder von Ihren Rechten Gebrauch machen wollen, schicken Sie uns bitte eine E-Mail an privacy@grci.group.


3. Unternehmen und Webseiten in Reichweite

Die folgenden Unternehmen und Webseiten fallen in den Rahmen dieser Datenschutzerklärung:

GRC International Group PLC www.GRCI.group

IT Governance Ltd

www.itgovernance.co.uk,
www.itgovernance.asia, (Singapore)
IT Governance Europe Ltd www.itgovernance.eu
IT Governance Inc www.itgovernanceusa.com (United States)
IT Governance Publishing Ltd www.itgovernancepublishing.co.uk
GRC E-Learning Ltd www.grcelearning.com
GRCI Law Ltd www.grcilaw.com
Vigilant Software Ltd www.vigilantsoftware.co.uk

 

Unless specifically stated, we consider these websites to be UK based websites; see section 6 below for more information on non-EU data processing.

Diese Erklärung gilt auch für alle zusätzlichen personenbezogenen Daten, die in den folgenden Online-Webanwendungen erfasst werden:

Cyber essentials portal https://ces.itgovernance.co.uk/
GRC eLearning Management System www.users.grcelearning.com
CyberComply, and all its modules www.cybercomply.co.uk

 

Es umfasst personenbezogene Daten, die über unsere Webseiten, per Telefon, über LiveChat und über verwandte Social Media-Anwendungen erfasst werden.


4. Erhebung personenbezogener Daten

Wir sammeln Ihre personenbezogenen Daten für einen oder mehrere der folgenden Zwecke:

  • 1. Um Sie mit von Ihnen angeforderten oder unserer Meinung nach relevanten Informationen zu einem Thema zu versorgen, an dem Sie Interesse gezeigt haben;
  • 2. Um kaufmännische Transaktionen mit Ihnen oder dem von Ihnen vertretenen Unternehmen für den Kauf von Produkten und/oder Dienstleistungen einzuleiten und abzuschließen;
  • 3. Um einen Vertrag zu erfüllen, den wir mit Ihnen oder dem von Ihnen vertretenen Unternehmen abgeschlossen haben;
  • 4. Um die Sicherheit und den sicheren Betrieb unserer Webseiten und der zugrunde liegenden Geschäftsinfrastruktur zu gewährleisten und
  • 5. Um die Kommunikation zwischen Ihnen und uns zu verwalten.

Die Tabelle in Abschnitt 5 unten bietet nähere Informationen über die Daten, die wir für jeden dieser Zwecke sammeln, die gesetzlichen Grundlagen dafür und den Zeitraum, in dem wir jegliche Art von Daten speichern.

Technische Informatione

Zusätzlich und um sicherzustellen, dass jeder unserer Webseitenbesucher diese Seite effektiv nutzen und auf ihr navigieren kann, sammeln wir die folgenden Informationen:

  • Technische Informationen, einschließlich der Internet Protocol (IP)-Adresse, mit der Ihr Gerät mit dem Internet verbunden ist;
  • Ihre Anmeldedaten, Browsertyp und -version, Zeitzoneneinstellung, Browser-Plugin-Typen und -Versionen;
  • Betriebssystem und Plattform;
  • Informationen über Ihren Besuch, einschließlich der Uniform Resource Locators (URL) Clickstream zu, durch und von unserer Webseite.

Unsere auf der Homepage jeder unserer Webseiten einsehbare Cookie-Richtlinie beschreibt detailliert, wie wir Cookies verwenden.

In Abschnitt 8 unten identifizieren wir Ihre Rechte in Bezug auf die personenbezogenen Daten, die wir erheben, und beschreiben, wie Sie diese Rechte ausüben können.


5. Gesetzliche Grundlage für die Verarbeitung personenbezogener Daten

In der nachstehenden Tabelle werden die verschiedenen Formen der Erhebung personenbezogener Daten und die gesetzlichen Grundlagen für die Verarbeitung dieser Daten beschrieben. Unsere Geschäftsarchitektur, Buchhaltungs- und Systeminfrastruktur und Compliance-Organisation sorgt dafür, dass alle personenbezogenen Daten auf gemeinsamen, konzernweiten Plattformen verarbeitet werden. Wir haben Prozesse eingerichtet, die sicherstellen, dass nur die Personen in unserer Organisation, die auf Ihre Daten zugreifen müssen, dies auch tun können. Wie die nachstehende Tabelle zeigt, werden eine Reihe von Datenelementen für verschiedene Zwecke gesammelt. Einige Daten können Dritten mitgeteilt werden, und weiter unten wird darauf hingewiesen, in welchen Fällen dies geschieht.

Bei einer rechtmäßigen Verarbeitung auf der Grundlage eines berechtigten Interesses wenden wir den folgenden Test an, um die Angemessenheit festzustellen:

Der Zwecktest – gibt es ein berechtigtes Interesse an der Verarbeitung?

Notwendigkeitstest – ist die Verarbeitung erforderlich für diesen Zweck?

Ausgleichstest – wird das berechtigte Interesse durch die Interessen, Rechte oder Freiheiten des Einzelnen aufgehoben oder nicht?

 

Zweck der Erhebung

Informationskategorie

Erhobene Daten

Zweck der Erhebung

Gesetzliche Grundlage für die Verarbeitung

Daten mitgeteilt an?

Aufbewahrungs-frist

1. Um Sie mit Informationen zu versorgen

Information-en zum Thema

Name, Unternehmens-name, geografischer Standort,
E-Mail-Adresse, Branche. - könnte von Ihnen gefunden worden sein Calling Line Indicator (CLI) daten.

Um angemes-sene Online- oder E-Mail-Information-en über die von Ihnen an-geforderten Produkte und Dienst-leistungen bereitzu-stellen.

Vertragserfüllung

Nur intern

Maximal 8 Jahre ab dem jeweiligen Datum der Datenerhebung.
 
6 Monate bei ungeöffneter Marketing-E-Mail

Bereitstellung weiterer, zusammen-hängender Online- oder E-Mail-Information-en und aktueller Nachrichten in Bezug auf den identi-fizierten Interessen-bereich.

Berechtigtes Interesse

Nur intern

Telefonnummer - könnte von Ihnen gefunden worden sein Calling Line Indicator (CLI) daten.

Nach-verfolgung zur Sicher-stellung, dass die ange-forderten Information-en dem Bedarf entsprechen und weitere Anforderung-en identifi-ziert werden.

Berechtigtes Interesse

Nur intern

Personen-bezogene Kontakt-informationen, wie sie über Webseiten-formulare oder auf Messen oder auf anderen Wegen zur Verfügung gestellt werden

Anmeldung für allgemeine Mailinglisten

Einwilligung

Nur intern

2. Transaktions-informationen

Trans-aktions-details

Name, Anschrift, E-Mail-Adresse, Telefonnummer, Bankverbindung (bei Kredit-konten), sonstiges Medium für die Lieferung von Content

Um Einkaufs-transaktionen für Produkte und Dienst-leistungen mit Kunden abzuwickeln und sicherzu-stellen, dass alle Trans-aktionsfragen behandelt werden können.
 
Für Buch-haltungs- und Steuerzwecke
 
Dokumenta-tion im Falle eines vertraglichen Rechts-anspruchs

Vertragliche Leistung

Nur intern

Maximal 8 Jahre ab dem Datum der Vertragserfüllung.
 
6 Monate nach dem jeweiligen Datum hat die betroffene Person personenbezogene Daten eingegeben, aber keine Transaktion durchgeführt.
 
 
8 Jahre für Mehrwertsteuer-aufzeichnungen ab Vertragserfüllung

 

Gesetzliche Verpflichtung

Interne und professionel-le Berater

 

Berechtigtes Interesse

Interne und professionel-le Berater

Daten der Zahlungs-karte

Primäre Kontonummer, Name des Karteninhabers, Servicecode, Ablaufdatum

Erfüllung von Kaufanfragen mit Zahlungs-karten

Vertragliche Leistung

Zahlungs-kartenunter-nehmen, alle im Einklang mit PCI DSS (Payment Card Industry Data Security Standards – ein weltweit gültiger Sicherheits-standard der Kredit-kartenorgan-isationen)

Nur gespeichert, solange die Genehmigung noch aussteht.

3. Informationen zur Erfüllung

Erfüllungs-daten

Name, Ernährungs-bedürfnisse

Angemessene Verpflegung für Schulungen

Vertragliche Leistung

Intern und Schulungs-orte

Maximal 6 Jahre ab dem Datum der Vertragserfüllung.

Name, Kontaktdaten

Zugang zu Schulungs-kursen, Anwesen-heitslisten

Vertragliche Leistung

Intern und Schulungs-orte

Name, Kontakt- und Identifi-kationsdaten

Prüfungs-teilnahme, Prüfungs-ergebnisse und Zertifi-zierungen

Vertragliche Leistung

Interne und externe Prüfer, Prüfer und Zertifizier-ungsstellen

Name, Kontaktdaten

Lizenzierungs-details, die für die Vergabe und Pflege einer er-worbenen Lizenz für die Nutzung von Software und verwandten Produkten, Fernlernen und E-Learning erforderlich sind.

Vertragliche Leistung

Intern und von Dritten, deren Produkte oder Dienstleistungen Sie bei uns erworben haben.

Name, Adresse(n), E-Mail-Adresse, Kontaktdaten

Tatsächliche Lieferung von bei uns erworbenen Produkten oder Dienst-leistungen in physischer oder digitaler Form.

Vertragliche Leistung

Interne und externe Logistik- oder Zuliefer-unter-nehmen, mit denen wir zur Erfüllung dieser An-forderungen zusammen-arbeiten.

4. Sicherheit

Sicherheits-hinweise

Technische Informationen, wie oben beschrieben, sowie alle anderen Informationen, die zu diesem Zweck benötigt werden.

Zum Schutz unserer Webseiten und unserer Infrastruktur vor Cyber-Anhängen oder anderen Bedrohungen und zur Meldung und zum Umgang mit illegalen Handlungen.

Berechtigtes Interesse

Intern, forensisch und andere Organisati-onen, mit denen wir
zu diesem Zweck zusammen-arbeiten könnten.

Relevante Verjährungsfristen

5. Kommunikation

Kontakt-angaben

Namen, Kontaktdaten, Identifikations-daten

Um mit Ihnen über jedes beliebige Thema zu kommunizie-ren, das Sie uns gegenüber ansprechen oder das sich aus einer Interaktion zwischen uns ergibt.

Berechtigtes Interesse

Intern und bei Bedarf mit professionel-len Beratern.

Relevante Verjährungsfristen.

 

6. Speicherung personenbezogener Daten

GRCI ist eine im Vereinigten Königreich ansässige Organisation, deren Hauptniederlassungen sich im Vereinigten Königreich befinden.

  • Die meisten unserer Webseiten und Webanwendungen werden in der EU gehostet und sind nur für unsere Mitarbeiter in der EU zugänglich.
  • Vier unserer in Abschnitt 2 identifizierten Webseiten richten sich an Kunden außerhalb der EU und werden von Mitarbeitern außerhalb der EU aufgerufen. Unsere US-Webseite ist unsere einzige Webseite, die auch außerhalb der EU gehostet wird. In all diesen Fällen haben wir geeignete vertragliche und sicherheitstechnische Maßnahmen getroffen, um den Schutz personenbezogener Daten zu gewährleisten.
  • Unsere Kundenbeziehungsmanagement-, Marketing- und Buchhaltungssysteme für alle unsere Geschäftsbereiche sind entweder EU-basiert oder werden von Unternehmen gehostet, die an der EU - U.S. Privacy Shield Framework  teilnehmen.
  • Wir nutzen eine breite Palette von Cloud Service Providern (CSPs) als Teil unserer Verarbeitungsumgebung. Sofern nicht ausdrücklich anders angegeben, sind wir in Bezug auf alle diese LSPs der Inhaber der Datenverarbeitung.
  • Sofern wir nicht ausdrücklich etwas anderes angeben, nutzen alle von uns genutzten LSP EU-weite Verarbeitungseinrichtungen.
  • Unsere Zahlungsabwickler und Bankverbindungen befinden sich in der EU und, für unsere US-Webseite, in den USA.
  • Wir versenden und liefern physische Produkte in die ganze Welt; deshalb arbeiten wir mit Logistikunternehmen zusammen, die ihren Sitz außerhalb der EU haben und in anderen Ländern tätig sind. Wir unterhalten mit diesen Partnern entsprechende Rechts- und Sicherheitsbeziehungen.
  • Wir vertreiben von Organisationen außerhalb der EU gelieferte Produkte. Dies kann bedeuten, dass unser Handelspartner Zugriff auf Informationen über Personen hat, die seine Produkte kaufen.
  • Wir betreiben eine Vorratsdatenspeicherung in Bezug auf alle Daten, ob auf Papier oder digital, und die Aspekte, die sich auf personenbezogene Daten beziehen, sind in der Tabelle oben unter Punkt 5 enthalten.


7. Sicherheitsmaßnahmen

Unser Informationssicherheitsmanagementsystem (ISMS) ist nach ISO/IEC 27001 zertifiziert. Unser Geschäft in Großbritannien ist ebenfalls Cyber Essentials Plus zertifiziert und unsere gesamte Zahlungskartenverarbeitung ist PCI DSS-konform.

Wir verfügen über angemessene Sicherheitskontrollen zum Schutz personenbezogener Daten. Im Mittelpunkt unseres ISMS steht die Risikobewertung, einschließlich der Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. Allerdings haben wir keine Kontrolle darüber, was zwischen Ihrem Gerät und dem Grenzbereich unserer Informationsinfrastruktur passiert. Sie sollten sich der vielen Risiken der Informationssicherheit bewusst sein und geeignete Maßnahmen ergreifen, um Ihre eigenen Informationen zu schützen. Wir übernehmen keinerlei Haftung für Verstöße, die außerhalb unseres Einflussbereiches liegen


8. Ihre Rechte als betroffene Person

Als eine betroffene Person, deren personenbezogene Daten wir speichern, haben Sie bestimmte Rechte. Sollten Sie von diesen Rechten Gebrauch machen wollen, schicken Sie bitte eine E-Mail an privacy@grci.group oder verwenden Sie die im Abschnitt "Kontakt" angegebenen Informationen.  Zur Bearbeitung Ihrer Anfrage bitten wir Sie, uns zwei gültige Ausweispapiere zur Überprüfung zur Verfügung zu stellen. Sie haben folgende Rechte:

  • Das Recht, informiert zu werden
    Als Verantwortlicher für die Datenverarbeitung sind wir verpflichtet, klare und transparente Informationen über unsere Datenverarbeitung bereitzustellen. Dies wird durch diese Datenschutzerklärung und alle damit zusammenhängenden Mitteilungen, die wir Ihnen zusenden, gewährleistet.

  • Das Recht auf Zugriff

    Sie können eine Kopie der von uns über Sie gespeicherten personenbezogenen Daten kostenlos anfordern. Sobald wir Ihre Identität und ggf. die Befugnisse eines Drittanbieters überprüft haben, werden wir Ihnen Zugriff auf die über Sie gespeicherten personenbezogenen Daten sowie die folgenden Informationen gewähren:

    a) Die Zwecke der Verarbeitung
    b) Die betroffenen Kategorien personenbezogener Daten
    c) Die Empfänger, denen die personenbezogenen Daten mitgeteilt wurden
    d) Die Aufbewahrungsfrist oder die vorgesehene Aufbewahrungsfrist für diese personenbezogenen Daten
    e) Wenn personenbezogene Daten von Dritten erhoben wurden, die Herkunft der personenbezogenen Daten
     

    Wenn es außergewöhnliche Umstände gibt, die dazu führen, dass wir die Bereitstellung der Informationen verweigern können, werden wir diese erläutern. Wenn Anfragen unseriös oder schikanös sind, behalten wir uns das Recht vor, diese abzulehnen. Wenn die Beantwortung von Anfragen zusätzliche Zeit oder unangemessene Kosten erfordert (die Sie möglicherweise zu tragen haben), werden wir Sie darüber informieren.

  • Das Recht auf Nachbesserung
    Wenn Sie glauben, dass wir ungenaue oder unvollständige personenbezogene Daten über Sie gespeichert haben, können Sie von Ihrem Recht auf Berichtigung oder Ergänzung dieser Daten Gebrauch machen. Dies kann mit dem Recht genutzt werden, die Verarbeitung einzuschränken, um sicherzustellen, dass fehlerhafte/unvollständige Informationen erst dann verarbeitet werden, wenn sie korrigiert wurden.

  • Das Recht auf Löschung (das "Recht, vergessen zu werden")
    Sofern für die Verarbeitung personenbezogener Daten keine zwingende Rechtsgrundlage oder ein berechtigter Grund mehr besteht, können Sie die Löschung der personenbezogenen Daten verlangen. Dies schließt auch personenbezogene Daten ein, die möglicherweise unrechtmäßig verarbeitet wurden. Wir werden alle angemessenen Maßnahmen ergreifen, um die Löschung sicherzustellen.

  • Das Recht, die Verarbeitung einzuschränken
    Sie können uns auffordern, die Verarbeitung Ihrer personenbezogenen Daten einzustellen. Wir bewahren die Daten weiterhin auf, verarbeiten sie aber nicht weiter. Dieses Recht ist eine Alternative zum Recht auf Löschung. Wenn eine der folgenden Bedingungen zutrifft, können Sie von dem Recht Gebrauch machen, die Verarbeitung einzuschränken:

    a) Die Richtigkeit der personenbezogenen Daten wird angefochten.
    b) Die Verarbeitung der personenbezogenen Daten ist rechtswidrig.
    c) Wir benötigen die personenbezogenen Daten nicht mehr für die Verarbeitung, sondern nur noch für einen Teil des Rechtsweges
    d) Das Widerspruchsrecht wurde ausgeübt und die Bearbeitung ist bis zur Entscheidung über den Stand der Bearbeitung eingeschränkt.

  • Recht auf Datenübertragbarkeit
    Sie können die Übermittlung Ihrer personenbezogenen Daten an einen anderen Verantwortlichen oder Verarbeiter in einem allgemein gebräuchlichen und maschinenlesbaren Format verlangen. Dieses Recht besteht nur, wenn die ursprüngliche Verarbeitung auf der Grundlage der Zustimmung erfolgte, die Verarbeitung automatisiert erfolgt und die Verarbeitung auf der Erfüllung einer vertraglichen Verpflichtung beruht.

  • Das Widerspruchsrecht
    Sie haben das Recht, unserer Verarbeitung Ihrer Daten zu widersprechen, wenn

    • Die Verarbeitung auf berechtigten Interessen beruht;
    • Die Verarbeitung zum Zwecke des Direktmarketings erfolgt;
    • Die Verarbeitung der wissenschaftlichen oder historischen Forschung dient;
    • Die Verarbeitung eine automatisierte Entscheidungsfindung und Profilerstellung beinhaltet.


9. Kontaktieren Sie uns

Kommentare, Fragen oder Anregungen zu dieser Datenschutzerklärung oder unserem Umgang mit Ihren personenbezogenen Daten schicken Sie bitte per E-Mail an privacy@grci.grou

Alternativ können Sie uns in unserer globalen Zentrale unter folgender Postanschrift oder Telefonnummer erreichen:

GDPR Compliance Manager
GRC International Group PLC
Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA

Vereinigtes Königreich
 

Telephone: +44 (0)333 800 7000
Fax: +44 (0) 1353 662667

Unsere Telefonzentrale ist von Montag bis Freitag von 9:00 – 17:30 Uhr GMT geöffnet. Unser Vermittlungsteam wird eine Nachricht entgegennehmen und sicherstellen, dass die entsprechende Person so schnell wie möglich antwortet.


10. Beschwerden

Sollten Sie eine Beschwerde besprechen wollen, wenden Sie sich bitte an uns unter den oben angegebenen Kontaktdaten. Alle Beschwerden werden vertraulich behandelt.
Sollten Sie mit dem Umgang mit Ihren Daten unzufrieden sein oder eine Beschwerde über den Umgang mit Ihren Daten an uns richten, haben Sie das Recht, Ihre Beschwerde an eine Aufsichtsbehörde innerhalb der Europäischen Union weiterzuleiten. Für das Vereinigte Königreich ist dies das Information Commissioner's Office (ICO), das auch unsere führende Aufsichtsbehörde ist. Die Kontaktdaten finden Sie unter https://ico.org.uk/global/contact-us/.