Datenschutzhinweise
Datenschutzhinweise für Mitarbeiter und andere vergleichbar Betroffene (z. B. Bewerber, Auszubildende, Praktikanten, ausgeschiedene Beschäftigte, externe Auftragnehmer).
Lediglich aus Gründen der leichteren Lesbarkeit wird nur die grammatikalisch männliche Form verwendet. Gemeint sind stets Menschen jeglicher geschlechtlicher Identität.
Klicke auf den Namen deines Einsatzortes bzw. deiner Gesellschaft, um direkt zu den entsprechenden Datenschutzhinweisen zu gelangen:
Commerzbank AG Deutschland / Commerzbank AG Germany
Commerzbank AG België / Commerzbank AG Belgique
Commerzbank AG Česká republika
Commerzbank AG Poland / Commerzbank AG Polska
Commerz Business Consulting GmbH
Commerz Real Mobilienleasing GmbH
Commerzbank AG Deutschland
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Telefon: 0800 5890258-1
HRDirect@commerzbank.com
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerzbank AG
Datenschutzbeauftragter
Kaiserplatz, 60261 Frankfurt am Main
Telefon: +49 69 136 56860
datenschutzbeauftragter@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden.
Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Bank und im Commerzbank-Konzern.
Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation.
Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigten dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den
§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du können diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG).
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden.
Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit.
Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.
Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Telefon: 0800 5890258-1
HRDirect@commerzbank.com
Commerzbank AG Germany
With the following information, we would like to give you an overview on the processing of your personal data by us and your rights under data protection law. Which data are processed in detail and the manner in which they are used is predominantly determined by the requested or agreed elements of your employment based on an employment contract with an employee or a service or work contract with an external contractor as well as possible additional benefits. Therefore, not every element of this information may be applicable to you.
Who is responsible for data processing and who can I contact?
Responsibility lies with
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Phone: 0800 5890258-3
HRDirect@commerzbank.com
You can reach our internal Data Protection Officer under
Commerzbank AG
The Data Protection Officer
Kaiserplatz, 60261 Frankfurt am Main
Phone: +49 69 136 56860
datenschutzbeauftragter@commerzbank.com
Which sources and which data do we use?
We process personal data which we receive or procure from our employees and other comparable data subjects in connection with our employment relationship. Moreover, we process personal data legitimately obtained from publicly accessible sources (such as press, Internet) or which have been legitimately transmitted to us from other companies of the Commerzbank Group or third parties (for example, information about criminal acts) to the extent necessary for our relationship of employer/employee. Relevant personal data are personal details (name, address and other contact data, date and place of birth and nationality), family data (e.g. family status, information on children), religious affiliation, health data (as far as relevant for employment, e.g. in case of severe disability), possible previous convictions (certificate of good conduct), legitimisation data (such as data from ID cards), tax ID no. and information on qualification provided by former employers. In addition, these may also be contract data (such as a request for a telework station), data resulting from the performance of our contractual obligations (e.g. salary payments), information about your financial status (such as data on outstanding loans, attachment of earnings) and other data comparable with the abovementioned categories.
What is the purpose of processing your data (processing purpose) and on which legal basis does this take place?
We process personal data in accordance with the provisions of the EU General Data Protection Regulation (GDPR) and the German Federal Law on Data Protection (BDSG)
a. in order to comply with contractual obligations (Art. 6 (1 b) GDPR in conjunction with Art. 88 GDPR and Sec. 26 (1), sentence 1, German Data Protection Act (BDSG)
Data are processed for the purpose of establishing, performing or terminating the employer/employee relationship under our contract with you or for performing pre-contractual measures conducted as a result of queries. If you should take advantage of additional benefits (e.g. child care, IT@HOME), your data will be processed to the extent required to implement such additional benefits.
b. in connection with a reconciliation of interests (Art. 6 (1 f) GDPR in conjunction with Art. 88 GDPR and Sec. 26 (1), German Data Protection Act (BDSG)
To the extent necessary, we will process your data beyond the scope of the actual performance of the contract so as to protect legitimate interests of our own and of third parties. Examples:
- measures for planning HR development,
- measures in case of organisational changes,
- lodging legal claims and defence in case of legal disputes,
- ensuring IT security and the IT operations of the bank,
- prevention and investigation of criminal acts (also cf. Sec. 26 (1) BDSG),
- video surveillance to exercise domiciliary rights, to collect evidence in case of attacks or fraud, e.g. in branch establishments (also see Sec. 4 BDSG),
- measures for securing buildings and systems (such as admission control),
- measures to protect our domiciliary right.
c. as a result of your consent (Art 6 (1 a) GDPR in conjunction with Art. 88 GDPR and Sec. 26 (2) BDSG)
To the extent you have consented to the processing of personal data by us for certain purposes (such as extended storage of application documents, employee sports, photographs in connection with events, sending out newsletters) such processing is legitimate on the basis of your consent. Consent once given may be withdrawn at any time. This also applies to the withdrawal of declarations of consent given to us before the effective date of the GDPR, i.e. before 25 May 2018. Withdrawal of consent will have an effect only for the future and does not affect the legitimacy of data processed until that date.
d. on the basis of statutory regulations (Art. 6 (1 c) GDPR and Art. 88 GDPR and Sec. 26 BDSG) or in the public interest (Art. 6 (1 e) GDPR)
Moreover, we, as a bank, are subject to various legal obligations, i.e. statutory requirements (such as the Social Insurance Codex, Law on Safety at Work, Banking Act, the Law on Money Laundering, Law on Trading Securities, tax laws) and regulations relating to the supervision of banking (e.g. of the European Central Bank, the European Banking Supervisory Agency, the German Federal Bank and the Federal Agency for the Supervision of Financial Services). The purposes of processing include, among others, checking identity, prevention of fraud and money laundering, compliance with obligations of control, reporting and documentation under social security and tax law and the assessment and management of risks in the bank and in the Commerzbank Group. In addition, we will process your data to the extent required for exercising rights and obligations of employee representatives resulting from a collective wage agreement or a labour-management agreement (collective agreement) (e.g. a labour-management agreement on video surveillance in branch establishments).
Who will receive my data?
Within the bank, those units will be granted access to your data that need them in order to comply with our contractual and statutory obligations, e.g. supervisors, HR department, the Works Council, representative of severely disabled employees. Service providers and agents appointed by us may also receive the data for these purposes. These are companies in the categories payroll, insurance, providers of training, management of the company sports offering, IT services, logistics, printing services and telecommunication. As far as passing on data to recipients outside our bank is concerned, it must first be kept in mind that we, as the employer, will pass on only necessary personal data, observing all applicable regulations on data protection. As a matter of principle, we may pass on information about our employees only if this is required by law, the employee has given his/her consent or we have otherwise been granted authority. Under these circumstances, recipients of personal data may, for example, be:
- Social insurance agencies,
- health insurance providers,
- pension funds,
- tax authorities,
- trade associations,
- public authorities and institutions (such as the European Central Bank, the European Banking Supervisory Agency, the German Federal Bank, the Federal Agency for the Supervision of Financial Services, tax authorities, authorities prosecuting criminal acts) if based on a statutory or regulatory obligation,
- other banking and financial services institutes or comparable institutions to whom we transfer personal data for fulfilling the contractual relationship (e.g. for salary payments),
- general and wage tax auditors,
- service providers whom we involve in connection with contract data processing relationships.
Other recipients of data may be those bodies for which you have given us your consent to data transfer or to which we may transfer data on the basis of the balancing of interests.
Will the data be transferred to a third country or an international organisation?
Data transfer to bodies in states outside the European Union (so-called third countries) will take place to the extent
- it is required by law (such as obligatory reporting under tax law),
- you have given us your consent or
- this is justified by legitimate interests in terms of data protection and not opposed by interests of the data subject worthy of protection.
Moreover, transfer to bodies in third countries is intended in the following cases:
- If your digital signature is to be used in a business transaction, it will be stored in a register of signatures in Switzerland. The European level of data protection will be observed.
- With the consent of the data subject or as a result of statutory provisions on controlling money laundering, the financing of terrorism and other criminal acts and within the scope of the balancing of interests, personal data will be transferred in individual cases, observing the data protection level of the European Union.
For how long will my data be stored?
We process and store your personal data as long as it is required to meet our contractual and statutory obligations. In this respect, it must be kept in mind that employment is a continuing obligation designed to last over a longer period of time. If the data are no longer required for the performance of contractual or statutory obligations, these will be erased on a regular basis unless – tempoary – further processing is necessary for the following purposes:
- Compliance with obligations of retention which, for example, may result from: the Social Codex (SGB IV), the German Commercial Code (HGB), the German Fiscal Code (AO), the German Banking Act (KWG), the German Law on Money-Laundering (GwG) and the German Securities Trading Act. As a rule, the time limits specified there for retention or documentation are 6 to 10 years.
- Preservation of evidence under the statutory regulations regarding the statutes of limitation. According to Secs. 195 et seqq. of the German Civil Code (BGB), these statutes of limitation may be up to 30 years, the regular statute of limitation being 3 years.
In the event that data are processed in the legit imate interest of us or of a third party, any personal data will be erased when this legitimate interest has lapsed. In such cases, the exceptions specified apply. The same applies for data processing on the basis of consent given. As soon as you revoke this consent for the future, the personal data will be erased unless one of the exceptions listed applies.
What are my rights with regard to data protection?
Every data subject has the right of access pursuant to Article 15 GDPR, the right to rectification pursuant to Article 16 GDPR, the right to erasure pursuant to Article 17 GDPR, the right to restriction of processing pursuant to Article 18 GDPR, the right to objection pursuant to Article 21 GDPR and the right to data portability pursuant to Article 20 GDPR. As far as the right to obtain information and the right to erasure are concerned, the restrictions pursuant to Secs. 34 and 35 BDSG are applicable. You will usually be able to exercise these rights yourself via Companion or HR Direct. Moreover, there is a right to appeal to a competent data protection supervisory authority (Article 77 GDPR in conjunction with Sec. 19 BDSG). Your consent to the processing of personal data granted to us may be withdrawn at any time by informing us accordingly. This also applies to the withdrawal of declarations of consent given to us before the effective date of the GDPR, i.e. before 25 May 2018. Note that this withdrawal will be valid only for the future. Processing events that took place before withdrawal are not affected.
Am I obliged to provide data?
Within the scope of our employer/employee relationship, you are obliged to provide those personal data which are required for commencing, executing and terminating the employment and for performing the associated contractual obligations or the collection of which is imposed upon us by law. Without these data, we will generally not be able to enter into agreements with you, to perform under such an agreement or to terminate it. In some cases, you may suffer disadvantages as a result of the failure to provide personal data, e.g. work materials assisting severely handicapped individuals, an additional contribution to nursing insurance if an employee is childless. If you should fail to provide the necessary information and documents, we are not permitted to enter into the desired employer/employee relationship or to continue with such a relationship.
To what extent will decision-making be automated?
As a matter of principle, we do not use fully automated decision-making processes pursuant to Article 22 GDPR to establish, perform or terminate employment. In the event that we should use such processes in individual cases, we will inform you of this and of your rights in this respect separately if prescribed by law.
Will profiling take place?
Your data will be processed automatically in part with the objective of assessing certain personal aspects (profiling). For example, we will use profiling in the following case:
- As a result of statutory and regulatory regulations, we are obliged to fight money laundering, the financing of terrorism and criminal acts jeopardising property. In that respect, data will be analysed.
Information about your right to object pursuant to Article 21 GDPR
Right to object based on individual cases
You have the right to object, on grounds relating to your particular situation, at any time to the processing of personal data concerning you which is based on point (e) of Article 6 (1) (data-processing in the public interest) and point (f) of Article 6 (1) GDPR (data-processing on the basis of the balancing of interests); this also applies for profiling as defined in Article 4 point 4 GDPR. If you do object, we will no longer process your personal data unless we have compelling justified reasons for such processing which take precedence over your interests, rights and freedom or, alternatively, such processing serves to assert, exercise or defend legal claims.
Recipient of an objection
Such an objection may be submitted informally, stating your name, address and date of birth and should, if possible, be addressed to:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Phone: 0800 5890258-3
HRDirect@commerzbank.com
Commerzbank AG België
Met de volgende informatie wensen we u een overzicht te geven van de verwerking van uw persoonsgegevens door ons en uw rechten onder het recht inzake gegevensbescherming. Welke gegevens worden verwerkt in detail en de manier waarop ze worden gebruikt wordt hoofdzakelijk bepaald door de gevraagde of overeengekomen elementen van uw tewerkstelling die gebaseerd is op een arbeidsovereenkomst met een werknemer of een dienst- of werkovereenkomst met een externe contractant evenals mogelijke bijkomende voordelen. Bijgevolg is het mogelijk dat niet ieder element van deze informatie van toepassing is op u.
Wie is verantwoordelijk voor de gegevensverwerking en wie kan ik contacteren?
Verantwoordelijk is:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Duitsland
vertegenwoordigd door
Bijkantoor te Brussel
Louis Schmidtlaan 29, 1040 Brussel
België
Telefoon: +32 27 431 820
U kunt de vertegenwoordiger van de interne functionaris voor gegevensbescherming bereiken onder
Commerzbank AG
Bijkantoor te Brussel
Contactpersoon gegevensbescherming
Louis Schmidtlaan 29, 1040 Brussel
België
brussels.dataprotection@commerzbank.com
Welke bronnen en welke gegevens gebruiken wij?
We verwerken persoonsgegevens die we binnen het kader van onze arbeidsrelatie ontvangen of verkrijgen van onze werknemers en andere vergelijkbare betrokkenen. Bovendien verwerken we persoonsgegevens die we rechtmatig hebben verkregen van publiek beschikbare bronnen (zoals pers, internet) of die rechtmatig aan ons zijn overgemaakt door andere bedrijven van de Commerzbank Group of derden (bijvoorbeeld informatie over strafbare handelingen) in zoverre dit noodzakelijk is voor onze relatie van werkgever/werknemer. Relevante persoonsgegevens zijn persoonlijke details (naam, adres en andere contactgegevens, datum en plaats van geboorte en nationaliteit), familiegegevens (bv. gezinstoestand, informatie over kinderen), religieuze affiliatie, gezondheidsgegevens (voor zover relevant voor tewerkstelling, bv. in geval van zware handicap), mogelijke eerdere veroordelingen (bewijs van goed gedrag), legitimatiegegevens (zoals gegevens van identiteitskaarten), fiscaal nummer en informatie over kwalificatie verleend door voormalige werkgevers. Bovendien kunnen dit ook contractgegevens zijn (zoals een aanvraag voor een telewerkbetrekking), gegevens die voortvloeien uit de uitvoering van onze contractuele verbintenissen (bv. salarisbetalingen), informatie over uw financiële status (zoals gegevens over uitstaande leningen, loonbeslag) en andere gegevens vergelijkbaar met de bovenvermelde categorieën).
Wat is het doel om uw gegevens te verwerken (doeleinde van verwerking persoonsgegevens) en op basis van welke rechtsgrond?
We verwerken uw persoonsgegevens in overeenstemming met de bepalingen van de EU Algemene Verordening Gegevensbescherming (AVGB) en in voorkomend geval de plaatselijke begeleidende wetten.
a. Om contractuele verbintenissen uit te voeren (Art. 6 lid 1, b) AVGB) in samenhang met Art. 88 AVGB)
Gegevens worden verwerkt met het doel om de werkgever/werknemersrelatie vast te leggen, uit te voeren of te beëindigen onder onze overeenkomst met u of om precontractuele maatregelen uit te voeren op verzoek, voor zover dit wettelijk is toegestaan. Indien u zou genieten van bijkomende voordelen (bv. kinderopvang), zullen uw gegevens worden verwerkt in de mate dat dit noodzakelijk is om die bijkomende voordelen toe te passen.
b. Binnen het kader van een belangenafweging (Art. 6 lid 1, f) AVGB) in samenhang met Art. 88 AVGB)
Voor zover noodzakelijk, zullen we uw gegevens verwerken buiten het kader van de eigenlijke uitvoering van de overeenkomst, ter behartiging van gerechtvaardigde belangen van onszelf en van derden. Bijvoorbeeld:
- Maatregelen voor de planning van HR-ontwikkeling,
- Maatregelen in het geval van organisatorische veranderingen,
- Instellen van rechtsvorderingen en verdediging in geval van rechtsgeschillen,
- Waarborgen van IT-veiligheid en de IT-werking van de bank,
- Preventie en onderzoek van strafbare handelingen,
- Videosurveillance om het huisrecht uit te oefenen, om bewijs te verzamelen in geval van overvallen of fraude, bv. in filiaalvestigingen,
- Maatregelen om gebouwen en systemen te beveiligen (zoals toegangscontrole),
- Maatregelen om ons huisrecht te beschermen.
c. Op basis van uw toestemming (Art. 6 lid 1, a) AVGB) in samenhang met Art. 88 AVGB)
Voor zover u ons toestemming hebt gegeven voor de verwerking van persoonsgegevens voor bepaalde doeleinden (zoals verlengde bewaring van sollicitatiedocumenten, werknemerssporten, foto’s in het kader van evenementen, uitsturen nieuwsbrieven) is dergelijke verwerking rechtmatig op basis van uw toestemming. Een gegeven toestemming kan op ieder moment worden ingetrokken. Dat geldt ook voor de intrekking van toestemmingsverklaringen die vóór de datum van inwerkingtreding van de AVGB, i.e. vóór 25 mei 2018 aan ons werden gegeven. De intrekking van toestemming heeft alleen gevolg voor de toekomst en tast niet de rechtmatigheid aan van de gegevens die verwerkt werden vóór de intrekking.
d. Op basis van wettelijke verplichtingen (Art. 6 lid 1, c) AVGB) of in het algemeen belang (Art. 6 lid 1, e) AVGB)
Daarenboven zijn wij als bank onderhevig aan verschillende juridische verplichtingen, i.e. wettelijke vereisten (bv. een wet inzake sociale verzekering, wet inzake veiligheid op het werk, de wet op het kredietwezen, de wet inzake witwassen, de wet inzake de handel in effecten, de fiscale wetten) en regelgeving met betrekking tot het toezicht op de banken (bvb. door de Europese Centrale Bank, de Europese Bankenautoriteit,, de Duitse Federale Bank en het Federaal Agentschap voor het toezicht op Financiële Diensten). De doeleinden van verwerking omvatten, onder andere, controle van identiteit, preventie van fraude en geldwitwassen, naleving van controle-, rapporterings- en documentatieverplichtingen onder sociale zekerheids- en fiscaal recht en de beoordeling en het beheer van risico’s in de bank en in de Commerzbank Groep. Bovendien zullen we uw gegevens verwerken voor zover dat noodzakelijk is om rechten en verbintenissen uit te oefenen die voortvloeien uit een collectieve arbeidsovereenkomst.
Wie ontvangt mijn gegevens?
Binnen de bank zullen die eenheden toegang krijgen tot uw gegevens die ze nodig hebben om onze contractuele en wettelijke verplichtingen na te komen, bv. supervisors, HR-departement, de Werkraad, vertegenwoordiger van zwaar gehandicapte werknemers. Ook door ons aangestelde dienstverleners en agenten kunnen voor die doeleinden de gegevens ontvangen. Dit zijn ondernemingen in de categorieën salarisadministratie, verzekering, aanbieders van training, management van het sportaanbod van het bedrijf, IT- diensten, logistiek, printdiensten en telecommunicatie. Wat betreft de doorgifte van gegevens aan ontvangers buiten onze bank, moet vooreerst in acht worden genomen dat wij als werkgever enkel noodzakelijke persoonsgegevens zullen doorgeven, met inachtneming van alle toepasselijke regelgeving inzake gegevensbescherming. In principe mogen we informatie over onze werknemers enkel doorgeven indien dat wettelijk verplicht is, indien de werknemer zijn/haar toestemming heeft gegeven of indien we op een andere manier volmacht hebben gekregen. Onder deze premissen kunnen ontvangers van persoonsgegevens bijvoorbeeld zijn:
- Sociale zekerheidsdiensten,
- Ziekenkostenverzekeraars,
- Pensioenfondsen,
- Fiscale autoriteiten,
- Overheidsinstanties en -instellingen (zoals de Europese Centrale Bank, de Europese Bankenautoriteit, de Duitse Federale Bank, het Federaal Agentschap voor het toezicht op Financiële Diensten, fiscale autoriteiten, autoriteiten die strafbare handelingen vervolgen) als er een wettelijke of officiële verplichting voorligt,
- Andere krediet- of financiële dienstverleningsinstellingen of vergelijkbare instellingen waaraan we ter uitvoering van de contractrelatie persoonsgegevens overmaken (bv. voor salarisbetalingen),
- Algemene en loonbelastingcontroleurs
- Dienstverleners die we betrekken in het kader van verhoudingen ter uitvoering van opdrachten.
Andere ontvangers van gegevens kunnen die entiteiten zijn waarvoor u ons uw toestemming hebt gegeven voor gegevensoverdracht of waaraan we persoonsgegevens mogen overdragen op basis van de afweging van belangen.
Worden de gegevens overgedragen naar een derde land of een internationale organisatie?
Gegevensoverdracht naar entiteiten in staten buiten de Europese Unie (zogenaamde derde landen) zal plaatsvinden voor zover:
- Dat wettelijk voorgeschreven is (zoals de verplichte rapportering onder fiscaal recht), of
- U uw toestemming hebt gegeven, of
- Dat gerechtvaardigd is door gerechtvaardigde belangen in de zin van gegevensbescherming en niet tegengesteld is aan belangen van de betrokken die bescherming verdienen.
Daarenboven is de overdracht naar entiteiten in derde landen voorzien in de volgende gevallen:
- Indien uw digitale handtekening gebruikt zal worden in een handelstransactie, zal die worden bewaard in een register van handtekeningen in Zwitserland. Het Europese niveau van gegevensbescherming zal worden in acht genomen.
- Met de toestemming van de betrokkene of als gevolg van wettelijke regelgeving inzake de controle van geldwitwassen, de financiering van terrorisme of andere strafbare handelingen en binnen het kader van de belangenafweging, zullen in individuele gevallen persoonsgegevens worden overgemaakt, met respect voor het gegevensbeschermingsniveau van de Europese Unie.
Hoe lang worden mijn gegevens bewaard?
We verwerken en bewaren uw persoonsgegevens zolang als noodzakelijk is om onze contractuele en wettelijke verplichtingen na te komen. In dat verband vragen we u om te onthouden dat tewerkstelling een continue verbintenis is die bedoeld is om voor een lange tijdsperiode voort te duren. Als de gegevens niet langer nodig zijn voor de uitvoering van contractuele of wettelijke verplichtingen, zullen ze regelmatig worden verwijderd tenzij – tijdelijk – verdere verwerking noodzakelijk is voor de volgende doeleinden:
- Naleving van bewaarverplichtingen die bijvoorbeeld kunnen voortvloeien uit de plaatselijke toepasselijke sociale wetgeving of handelswetten, fiscale wetten, wetten op het kredietwezen, wetten inzake geldwitwassen of wetten inzake handel in effecten. Bedrijfsdocumenten en documentatie worden bewaard met inachtneming van de tijdslimieten bepaald in die regelgeving.
- Bewaring van bewijs in het kader van de toepasselijke plaatselijke wettelijke regels inzake verjaring.
Als gegevens worden verwerkt in het gerechtvaardigd belang van ons of een derde, worden persoonsgegevens verwijderd wanneer dat gerechtvaardigd belang is verstreken. In die gevallen zullen de bepaalde uitzonderingen gelden.
Hetzelfde geldt voor gegevensverwerking op basis van gegeven toestemming. Zodra u uw toestemming intrekt voor de toekomst, zullen de persoonsgegevens worden verwijderd tenzij één van de opgesomde uitzonderingen geldt.
Wat zijn mijn rechten inzake gegevensbescherming?
Iedere betrokkene heeft het recht van inzage overeenkomstig artikel 15 AVGB, het recht op rectificatie overeenkomstig artikel 16 AVGB, het recht op wissing overeenkomstig artikel 17 AVGB, het recht op beperking van de verwerking overeenkomstig artikel 18 AVGB, het recht van bezwaar overeenkomstig artikel 21 AVGB en het recht op overdraagbaarheid van gegevens overeenkomstig artikel 20 AVGB. Verder zijn de wettelijke regels van de plaatselijke begeleidende wetten inzake de AVGB van toepassing. U zal gewoonlijk die rechten zelf kunnen uitoefenen via Companion of HR Direct of u kan uw lokale HR-departement contacteren. Daarenboven is er een recht om klacht in te dienen bij een bevoegde toezichthoudende gegevensbeschermingsautoriteit (Artikel 77 AVGB). Uw toestemming voor de verwerking van persoonsgegevens die u aan ons hebt gegeven kan u op ieder moment intrekken door ons hierover te informeren. Dat geldt ook voor de intrekking van toestemmingsverklaringen die vóór de datum van inwerkingtreding van de AVGB, i.e. vóór 25 mei 2018 aan ons werden gegeven. Gelieve in acht te nemen dat die intrekking enkel geldt voor de toekomst. Verwerkingshandelingen die gebeurden vóór de intrekking zijn niet betroffen.
Ben ik verplicht om gegevens te verstrekken?
Binnen het kader van onze werkgever/werknemerrelatie bent u verplicht om die persoonsgegevens te verstrekken die wettelijk vereist of noodzakelijk zijn voor het aanvatten, de uitvoering en de beëindiging van de tewerkstelling en die vereist zijn voor de naleving van de daarmee verbonden contractuele verbintenissen, of waarvan de verzameling ons wettelijk wordt opgelegd. Zonder die gegevens zullen we doorgaans niet in staat zijn om overeenkomsten met u te sluiten, uit te voeren of te beëindigen. In sommige gevallen kan u nadelen ondervinden doordat u nalaat persoonsgegevens te verstrekken, bijvoorbeeld werkmaterialen die zwaar gehandicapte individuen bijstaan. Indien u nalaat ons de noodzakelijke informatie en documenten te verstrekken, mogen of kunnen wij de gewenste werkgever/werknemerrelatie niet aanvatten of verderzetten.
In welke mate is de besluitvorming geautomatiseerd?
Voor de totstandkoming en uitvoering van de zakenrelatie gebruiken we in principe geen volledig geautomatiseerde besluitvormingsprocessen overeenkomstig artikel 22 AVGB om tewerkstellingen aan te vatten, uit te voeren of te beëindigen. Als we dergelijke processen zouden gebruiken in individuele gevallen zullen we u hierover en over uw rechten in dit verband apart informeren, indien dat wettelijk voorgeschreven is.
Gebeurt er profilering?
Uw gegevens zullen gedeeltelijk geautomatiseerd worden verwerkt met het doel om bepaalde persoonlijke aspecten te waarderen (profilering). We zullen profilering bijvoorbeeld gebruiken in de volgende gevallen:
- Als gevolg van wettelijke of reglementaire bepalingen zijn we verplicht om geldwitwassen, terrorismefinanciering en vermogensbedreigende strafbare handelingen te bestrijden. Daarbij zullen gegevens worden geanalyseerd.
Informatie over uw recht van bezwaar overeenkomstig artikel 21 AVGB
Recht van bezwaar gebaseerd op individuele gevallen
U heeft te allen tijde het recht om vanwege met uw specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van u betreffende persoonsgegevens op basis van artikel 6 lid 1, e) (verwerking van gegevens in het algemeen belang) en artikel 6 lid 1, f) AVGB (verwerking van gegevens op basis van de afweging van belangen); dit geldt ook voor profilering zoals gedefinieerd in artikel 4 lid 4 AVGB.
Indien u bezwaar maakt, zullen we de verwerking van uw persoonsgegevens staken tenzij we dwingende gerechtvaardigde gronden voor de verwerking hebben die zwaarder wegen dan uw belangen, rechten en vrijheden of, alternatief, dergelijke verwerking dient voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Ontvanger van een bezwaar
Dergelijk bezwaar mag informeel worden ingediend, met indicatie van uw naam, adres en geboortedatum en dient, indien mogelijk, te worden gericht aan:
Bijkantoor te Brussel
Contactpersoon gegevensbescherming
Louis Schmidtlaan 29, 1040 Brussel
België
brussels.dataprotection@commerzbank.com
Commerzbank AG Belgique
Par le biais des informations qui suivent, nous entendons vous donner une présentation de la façon dont vos données à caractère personnel sont traitées par nos services et des droits que vous avez en vertu de la législation sur la protection des données. La nature détaillée des données traitées et les modalités de leur utilisation sont principalement fonction des éléments demandés ou convenus relatifs à votre emploi sur la base d’un contrat de travail passé avec le salarié, sur la base d’un contrat de travail ou de service passé avec le contractant externe. Ces éléments peuvent également concerner les avantages des salariés. Il se peut dès lors que certains des éléments contenus dans les informations ci-après ne vous soient pas applicables.
Qui est responsable du traitement des données et qui puis-je contacter ?
Le traitement des données relève de la responsabilité de :
Commerzbank AG
Kaiserplatz, 60261 Francfort-sur-le-Main
Allemagne
Représentée par
Succursale de Bruxelles
Louis Schmidtlaan 29, 1040 Bruxelles
Belgique
Téléphone: +32 27 431 820
Vous pouvez contacter le représentant du Délégué à la protection des données à l’adresse suivante :
Commerzbank AG
Succursale de Bruxelles
Contact en matière de Protection des Données
Louis Schmidtlaan 29, 1040 Bruxelles
Belgique
Téléphone: +32 27 431 820
brussels.dataprotection@commerzbank.com
Quelles sont nos sources? Quelles données utilisons-nous ?
Nous traitons les données à caractère personnel que nous recevons ou obtenons de nos salariés ainsi que des autres personnes concernées similaires dans le cadre de notre relation de travail. . . Par ailleurs, nous traitons les données à caractère personnel obtenues légalement à partir des sources librement accessibles au public (tels que la presse, Internet) ou qui nous ont été transmises de façon licite par d’autres sociétés du Groupe Commerzbank ou par des tiers ( par exemple des informations concernant des actes criminels) si cela est nécessaire à notre relation employeur/ employé. Les données personnelles que nous collectons sont les coordonnées personnelles (nom, adresse, autres coordonnées, nationalité, date et lieu de naissance), les informations familiales, (statut familial, informations relatives aux enfants), la confession religieuse, les données de santé (dans la mesure où elles sont pertinentes pour l’emploi, notamment en cas de handicap grave), les potentielles condamnations antérieures (certificat de bonne conduite), les données l’identification (telles que les données figurant sur la carte d’identité), numéro d’identification fiscale et les informations sur la qualification fournies par les anciens employeurs. Par ailleurs, ces données peuvent être des données d’ordre contractuel (tel qu’une demande pour un poste de télétravail), des données liées à l’exécution de nos obligations contractuelles (paiement des salaires) des informations relatives à votre situation financière (telles que des données sur des prêts en cours ou sur des saisies sur salaire) et d’autres données comparables aux catégories mentionnées ci-dessus
Quel est la finalité du traitement de vos données à caractère personnel et sur quelle base juridique repose-t-il ?
Nous traitons les données à caractère personnel dans le respect des dispositions du Règlement Européen Général sur la Protection des Données (RGPD) et les lois locales applicables.
a. Afin de nous conformer à nos obligations contractuelles (article 6 paragraphe 1 b) du RGPD) en combinaison avec l’article 88 du RGPD.
Les données sont traitées aux fins d’établir, d’exécuter ou de mettre fin à la relation employé / employeur issue du contrat passé avec vous ou de mettre en œuvre des mesures précontractuelles en réponse à des demandes, dans la mesure où cela est légalement autorisé. Si vous souhaitez bénéficier d’avantages supplémentaires (par exemple, la garde d’enfants), vos données seront traitées, si nécessaire, pour mettre en œuvre ces avantages supplémentaires.
b. Dans le cadre des intérêts légitimes du responsable de traitement ou d’un tiers (article 6 paragraphe 1 f) du RGPD)
Si nécessaire, nous traiterons vos données au-delà du cadre de la simple exécution du contrat afin de protéger nos propres intérêts légitimes et ceux de tiers. Il en va ainsi:
- des mesures prises pour planifier le développement des ressources humaines,
- des mesures de changements organisationnels,
- de la constatation, l'exercice ou la défense de droits en justice,
- de la garantie de la sécurité informatique et des opérations informatiques de la banque,
- des enquêtes pénales, de la prévention des actes illégaux et des manquements graves aux obligations,
- de la vidéosurveillance afin d’exercer les droits de protection du domicile, afin de recueillir des preuves en cas d’attaques ou de fraudes, par exemple dans les succursales,
- des mesures et systèmes de sécurisation des bâtiments (et notamment le contrôle des entrées),
- des mesures de protection de notre réglementation interne,
c. Sur la base de votre consentement (article 6 (paragraphe 1 a) du RGPD) en combinaison avec l’article 88 RGPD
Dans la mesure où vous avez consenti au traitement, par nos soins, de vos données à caractère personnel pour certaines finalités (et notamment le stockage prolongé des documents de candidature, les activités sportives des salariés, la prise de photographies lors à des événements, ou l’envoi de lettres d’information), ledit traitement sera réputé légitime sur la base de votre consentement. Une fois donné, ledit consentement peut être retiré à tout moment. Cela est également valable pour tous les traitements auxquels vous avez consentis avant la date d’entrée en vigueur du RGPD, c’est-à-dire avant le 25 mai 2018. Le retrait de votre consentement vaut seulement pour l’avenir et n’a aucun effet sur le caractère légitime des données traitées jusqu’au retrait de votre consentement.
d. Sur la base des dispositions réglementaires (article 6 (paragraphe 1 c) du RGPD et l’article 88 RGDP) ou en raison de l’intérêt public (article 6 (paragraphe 1 e) du RGPD)
De surcroît, en notre qualité d’établissement bancaire, nous sommes soumis à diverses obligations légales, notamment les exigences légales (telles que le Code du travail, le Code de la sécurité sociale, les lois et règlements sur la sécurité au travail, la loi bancaire, les lois sur le blanchiment d’argent, les lois sur les opérations sur titres, les lois fiscales) et réglementaires relatifs à la supervision bancaire (par ex. la Banque centrale européenne, l’Autorité bancaire européenne, l'Autorité de contrôle prudentiel et de résolution, la Banque de France, la Banque fédérale allemande et l’Agence fédérale pour la supervision des services financiers). Le traitement des données vise notamment à vérifier l’identité, à prévenir les fraudes et le blanchiment d’argent, à vérifier le respect des obligations de contrôle, de reporting et de documentation conformément à la législation fiscale et à la législation sur la sécurité sociale, ainsi que pour l’appréciation des risques et leur gestion par la banque et le Groupe Commerzbank. De plus, nous traiterons vos données personnelles, si cela est nécessaire, pour l’exercice des droits et obligations des représentants des salariés résultant d’accords salariaux ou d’un accord d’entreprise (accord collectif).
Quels seront les destinataires des données me concernant ?
Au sein de la banque, se verront consentir l’accès à vos données les services qui ont besoin d’en connaître pour respecter nos obligations réglementaires et contractuelles, tels que les responsables, le département des ressources humaines, le comité d’entreprise et les représentants des salariés gravement handicapés. Les prestataires de services et agents que nous avons désignés peuvent également être les destinataires de vos données pour ces mêmes finalités. Ces sociétés sont des sociétés de gestion de paie, d’assurance, de formation, de gestion de l’offre sportive de l’entreprise, de services informatiques, de services logistiques, d’impression et de télécommunication. En ce qui concerne la transmission de données à des destinataires extérieurs à notre banque, il convient en premier lieu de garder à l’esprit qu’en tant qu’employeur nous ne transmettrons que les données personnelles strictement nécessaires, en respectant toutes les réglementations applicables en matière de protection des données. Par principe, nous ne sommes susceptibles de transmettre des informations concernant nos salariés que si la loi nous y oblige, lorsque le salarié a donné son consentement ou si nous y avons été habilités. Dans ces circonstances, les destinataires des données à caractère personnel peuvent être notamment des:
- agences ou caisses d’assurance sociale,
- fournisseurs d’assurance santé,
- fonds de retraite ou fonds de pension,
- autorités fiscales,
- des autorités publiques et organismes (tels que la Banque centrale Européenne, l’Autorité bancaire européenne, la Banque fédérale allemande et l’Agence fédérale pour la supervision des services financiers, l’administration fiscale, les autorités judiciaires pénales, lorsque cela est issu d’une obligation légale ou réglementaire,
- d’autres institutions de services bancaires et financiers ou d’autres établissements similaires auxquels nous transmettons vos données à caractère personnel dans le cadre de l’exécution de notre relation contractuelle, par exemple le paiement des salaires,
- des contrôleurs de gestion et des inspecteurs des impôts,
- des prestataires de services auxquels nous faisons appel dans le cadre de la sous-traitance de traitements de données contractuelles.
Les autres destinataires de données comprennent notamment les organismes auxquels vous nous avez donné l’autorisation de transférer vos données ou ceux en faveur desquels nous sommes autorisés à transférer vos données sur la base d’un intérêt légitime.
Les données seront-elles transférées à un pays tiers ou à une organisation internationale ?
Le transfert de données à des organismes situés en dehors de l’Union européenne (ci-après les « pays tiers ») aura lieu dans la mesure où :
- cela est exigé par la loi (par ex. obligation déclarative en vertu de la législation fiscale,
- vous avez donné votre consentement,
- cela est justifié par des intérêts légitimes en matière de protection des données et que cela ne s’oppose pas aux intérêts à protéger du titulaire de données
Par ailleurs, le transfert de données à des organismes situés dans des pays tiers est prévu dans les cas suivants :
- Si votre signature électronique est utilisée dans le cadre d’une transaction commerciale, elle sera stockée dans un registre de signatures en Suisse. Le niveau européen adéquat de protection des données sera respecté.
- Sous réserve du consentement de la personne concernée ou en raison de la prise de dispositions réglementaires en matière de lutte contre le blanchiment d’argent, le financement du terrorisme et autres actes illicites et dans le cadre de l’intérêt légitime du responsable de traitement ou de tiers, les données à caractère personnel seront transférées dans certains cas particuliers, dans le respect du niveau de protection des données en vigueur au sein de l’Union européenne.
Pendant combien de temps les données me concernant seront-elles conservées ?
Nous traitons et conservons les données à caractère personnel vous concernant aussi longtemps que nécessaire afin de remplir nos obligations légales et contractuelles. A cet égard, veuillez garder à l’esprit le fait que notre relation salariale est continue et a vocation à s’inscrire dans la durée. Dans le cas où les données ne seraient plus nécessaires en vue de l’exécution de nos obligations contractuelles et réglementaires, elles seront régulièrement effacées de façon périodique sauf si un traitement complémentaire, limité dans le temps, est nécessaire pour les raisons suivantes :
- Le respect des obligations de conservation pouvant par exemple résulter du Code de commerce, du Code fiscal, du Code de sécurité sociale, du Code du travail, des lois sur la réglementation bancaire, des lois sur le blanchiment d’argent et des lois sur les opérations sur titres en vigueur localement. Les archives et documents sont conservés pendant la durée prévue par la réglementation applicable.
- La protection des moyens de preuve en vertu des règles de droit national en matière de prescription. Lorsque ces données sont traitées dans notre intérêt légitime ou dans celui d’un tiers, toute donnée à caractère personnel sera effacée lorsque cet intérêt légitime sera caduc Dans un tel cas, les exceptions spécifiées s’appliqueront. Il en va de même pour le traitement des données reposant sur votre consentement. Dès lors que vous révoquez ce consentement pour l’avenir, les données à caractère personnel seront effacées sauf si l’une des exceptions prévues s’applique.
Quels sont mes droits en ce qui concerne la protection des données ?
En vertu du RGPD, chaque personne concernée a le droit d’accéder à ses données (article 15), de les rectifier (article 16), de demander leur suppression (article 17) du RGPD, d’en limiter le traitement (article 18), ou de faire opposition à leur traitement (article 21). Elle dispose également d’un droit à la portabilité des données (article 20 du RGPD). En dehors de cela, les dispositions légales de la loi de transposition locale du RGPD s’appliquent. Vous serez généralement en mesure d’exercer ces droits par vous-même via Companion ou HR Direct ou par le biais de votre département des ressources humaines local. De même, l’article 77 du RGPD prévoit le droit d'introduire une réclamation auprès d'une autorité de contrôle de la protection des données personnelles. Vous pouvez à tout moment retirer votre consentement au traitement des données à caractère personnel vous concernant, en nous informant en ce sens. La même règle s’applique pour les déclarations de consentement données avant la date d’entrée en vigueur du RGPD c’est-à-dire avant le 25 mai 2018. Il convient de garder à l’esprit le fait que le retrait de ce consentement vaut uniquement pour l’avenir Les traitements de données ayant eu lieu avant le retrait ne sont pas affectés.
Suis-je obligé de communiquer des données ?
Dans le cadre de nos relations employeur/ employé vous êtes tenu de fournir les données à caractère personnel qui sont légalement requises ou nécessaires pour commencer, exécuter et mettre fin à votre emploi, pour l’exécution des obligations contractuelles associées ou dans le cas où la collecte de ces données nous est imposée par la loi. En l’absence de ces données, nous ne serons généralement pas en mesure de conclure de contrats avec vous, de les exécuter ou de les résilier. Dans certains cas, vous êtes susceptibles d’être défavorisé ou de subir des inconvénients du fait de l’absence de communication de vos données personnelles, par exemple pour l’attribution du matériel de travail réservé aux personnes handicapées à mobilité réduite, la contribution supplémentaire à l’assurance dépendance si un employé est sans enfant. Si vous ne fournissez pas les informations et documents nécessaires, nous n’avons pas le droit d’établir la relation employé/ employeur souhaitée ni de poursuivre une telle relation.
Dans quelle mesure la prise de décision sera-t-elle automatisée ?
En principe, en vertu des dispositions de l’article 22 du RGPD, nous n’avons pas recours à un processus de prise de décision entièrement automatisé pour établir, exécuter ou mettre fin à votre emploi. Dans l’éventualité où nous serions amenés, dans certains cas particuliers, à avoir recours à ce procédé, nous vous en informerons de manière spécifique et nous vous notifierons les droits que vous avez au regard de ce traitement si la loi l’exige.
Le profilage sera-t-il pratiqué ?
Les données à caractère personnel vous concernant seront traitées automatiquement en partie dans le but d’évaluer certains aspects personnels (profilage). Nous utiliserons notamment le profilage dans les cas suivants:
- Compte tenu des dispositions légales et réglementaires qui nous font obligation de lutter contre le blanchiment d’argent, le financement du terrorisme et les actes délictueux portant préjudice aux biens. A cet égard, des données seront analysées à des fins de profilage.
Informations relatives à votre droit d’opposition conformément à l’article 21 du RGPD
Droit de s’opposer au traitement pour des raisons tenant à votre situation particulière
Vous avez à tout moment le droit de vous opposer, pour des raisons tenant à votre situation particulière, au traitement des données à caractère personnel vous concernant en vous fondant sur les dispositions de l’alinéa (e) de l’article 6 (1) (traitement des données dans l’intérêt public) et sur le point (f) de l’article 6 du RGPD (traitement des données sur la base des intérêts légitimes du responsable de traitement) ; ce principe s’applique également au profilage défini à l’article 4 alinéa 4 du RGPD. Si vous faites valoir votre droit d’opposition, nous cesserons de procéder au traitement des données à caractère personnel vous concernant, sauf si nous avons des motifs légitimes prévalant sur vos intérêts, vos droits et votre liberté ou encore si ledit traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.
A qui adresser une demande d’opposition ?
La demande d’opposition peut être transmise de façon informelle sous l’intitulé “opposition” en indiquant vos nom et adresse ainsi que votre date de naissance. Cette demande devra être envoyée à :
Commerzbank AG
Succursale Bruxelles
Contact en matière de Protection des Données
Louis Schmidtlaan 29, 1040 Bruxelles Belgique
Téléphone: +32 27 431 820
brussels.dataprotection@commerzbank.com
Commerzbank AG Bulgaria
With the following information, we would like to give you an overview on the processing of your personal data by us and your rights under data protection law. Which data are processed in detail and the manner in which they are used is predominantly determined by the requested or agreed elements of your employment based on an employment contract with an employee or a service or work contract with an external contractor as well as possible additional benefits. Therefore, not every element of this information may be applicable to you.
Who is responsible for data processing and who can I contact?
Responsibility lies with
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Germany
represented by
Digital Technology Center Commerzbank AG
Sofia Branch
82 Patriarh Evtimii Blvd., Triaditza Region
1463 Sofia
Bulgaria
Phone: +359 899940332
markus.kroeger@commerzbank.com
You can reach the representative of the internal Data Protection Officer under
Commerzbank AG
Digital Technology Center Commerzbank AG
Markus Kröger
Sofia Branch
Mladost 4, Business Park Sofia, 1766 Sofia
Bulgaria
Phone: +359 899940332
markus.kroeger@commerzbank.com
Which sources and which data do we use?
We process personal data which we receive or procure from our employees and other comparable data subjects in connection with our employment relationship. Moreover, we process personal data legitimately obtained from publicly accessible sources (such as press, Internet) or which have been legitimately transmitted to us from other companies of the Commerzbank Group or third parties to the extent necessary for our relationship of employer/employee. Relevant personal data are personal details (name, address and other contact data, and nationality), family data (e.g. family status, information on children), religious affiliation, health data (as far as relevant for employment, e.g. in case of severe disability), possible previous convictions (criminal history certificate), legitimisation data (such as data from ID cards). In addition, these may also be contract data (such as a request for a telework station), data resulting from the performance of our contractual obligations (e.g. salary payments), information about your financial status (such as data on attachment of earnings), data obtained from your application process, and other data comparable with the above-mentioned categories.
What is the purpose of processing your data (processing purpose) and on which legal basis does this take place?
We process personal data in accordance with the provisions of the EU General Data Protection Regulation (GDPR) and the Bulgarian Personal Data Protection Act (PDPA)
a. in order to comply with contractual obligations (Art. 6 (1 b) GDPR in conjunction with Art 88 GDPR)
Data are processed for the purpose of establishing, performing or terminating the employer/employee relationship under our contract with you or for performing pre-contractual measures conducted as a result of queries. If you should take advantage of additional benefits (e.g. child care), your data will be processed to the extent required to implement such additional benefits.
b. in connection with a reconciliation of interests (Art. 6 (1 f) in conjunction with Art 88 GDPR)
To the extent necessary, we will process your data beyond the scope of the actual performance of the contract so as to protect legitimate interests of our own and of third parties. Examples:
- measures for planning HR development,
- measures in case of organisational changes,
- lodging legal claims and defence in case of legal disputes,
- ensuring IT security and the IT operations of the company,
- prevention and investigation of criminal acts and severe breaches of obligations,
- video surveillance to exercise private property rights, to collect evidence in case of attacks or fraud, e.g. in branch establishments,
- measures for securing buildings and systems (such as admission control),
- measures to protect our private property right.
c. as a result of your consent (Art 6 (1 a) GDPR in conjunction with Art 88 GDPR)
To the extent you have consented to the processing of personal data by us for certain purposes (such as employee sports, photographs in connection with events, sending out newsletters) such processing is legitimate on the basis of your consent. Consent once given may be withdrawn at any time. Withdrawal of consent will have an effect only for the future and does not affect the legitimacy of data processed until that date.
d. on the basis of statutory regulations (Art. 6 (1 c) GDPR and Art 88 GDPR)
Moreover, we are subject to various legal obligations, i.e. statutory requirements (such as the Labour Code, the Social Insurance Code, Law on Health and Safety at Work, tax laws) and local supervisory agencies. The purposes of processing include, among others reporting and documentation under labour, social security, accounting and tax law. In addition, we will process your data to the extent required for exercising rights and obligations of employee representatives resulting from a collective labour agreement, if applicable.
Who will receive my data?
Within the company, those units will be granted access to your data that need them in order to comply with our contractual and statutory obligations, e.g. supervisors, HR department, the employee representatives. Service providers and agents appointed by us may also receive the data for these purposes. These are companies in the categories payroll, insurance, providers of training, management of the company sports offering, IT services, logistics, printing services and telecommunication. As far as passing on data to recipients outside our company is concerned, it must first be kept in mind that we, as the employer, will pass on only necessary personal data, observing all applicable regulations on data protection. As a matter of principle, we may pass on information about our employees only if this is required by law, the employee has given his/her consent or we have otherwise been granted authority. Under these circumstances, recipients of personal data may, for example, be:
- Social insurance companies,
- health insurance providers,
- tax authorities,
- public authorities and institutions (such as authorities prosecuting criminal acts) if based on a statutory or regulatory obligation,
- banking and financial services providers to whom we transfer personal data for fulfilling the contractual relationship (e.g. for salary payments),
- general and wage tax auditors,
- service providers whom we involve in connection with contract data processing relationships.
Other recipients of data may be those bodies for which you have given us your consent to data transfer or to which we may transfer data on the basis of the balancing of interests.
Will the data be transferred to a third country or an international organisation?
Data transfer to bodies in states outside the European Union (so-called third countries) will take place to the extent
- it is required by law (such as obligatory reporting under tax law),
- you have given us your consent or
- this is justified by legitimate interests in terms of data protection and not opposed by interests of the data subject worthy of protection.
Moreover, transfer to bodies in third countries is intended in the following cases:
- If your digital signature is to be used in a business transaction, it will be stored in a register of signatures in Switzerland. The European level of data protection will be observed.
- With the consent of the data subject or within the scope of the balancing of interests, personal data will be transferred in individual cases, observing the data protection level of the European Union.
For how long will my data be stored?
We process and store your personal data as long as it is required to meet our contractual and statutory obligations. In this respect, it must be kept in mind that employment is a continuing obligation designed to last over a longer period of time. If the data are no longer required for the performance of contractual or statutory obligations, these will be erased on a regular basis unless – temporary – further processing is necessary for the following purposes:
- Compliance with obligations of retention which, for example, may result from: the Social Insurance Code, the Accountancy Act, the Tax and Social Insurance Procedure Code and the Labour Code. As a rule, the time limits specified there for retention or documentation are up to 50 years, depending on the type of document.
- Preservation of evidence under locally applicable the statutory regulations regarding the statutes of limitation. According to Art. 110 et seqq. of the Bulgarian Obligations and Contracts Act, these statutes of limitation may be up to 5 years.
In the event that data are processed in the legitimate interest of us or of a third party, any personal data will be erased when this legitimate interest has lapsed. In such cases, the exceptions specified apply. The same applies for data processing on the basis of consent given. As soon as you revoke this consent for the future, the personal data will be erased unless one of the exceptions listed applies.
What are my rights with regard to data protection?
Every data subject has the right of access pursuant to Article 15 GDPR, the right to rectification pursuant to Article 16 GDPR, the right to erasure pursuant to Article 17 GDPR, the right to restriction of processing pursuant to Article 18 GDPR, the right to objection pursuant to Article 21 GDPR and the right to data portability pursuant to Article 20 GDPR, subject to the restrictions pursuant to Art. 37a PDPA. You will usually be able to exercise these rights yourself via Companion or you contact your local HR department. Moreover, there is a right to appeal to a competent data protection supervisory authority (Article 77 GDPR in conjunction with Art. 38 PDPA). Your consent to the processing of personal data granted to us may be withdrawn at any time by informing us accordingly. Note that this withdrawal will be valid only for the future. Processing events that took place before withdrawal are not affected.
Am I obliged to provide data?
Within the scope of our employer/employee relationship, you are obliged to provide those personal data which are required for commencing, executing and terminating the employment and for performing the associated contractual obligations or the collection of which is imposed upon us by law. Without these data, we will generally not be able to enter into agreements with you, to perform under such an agreement or to terminate it. In some cases, you may suffer disadvantages as a result of the failure to provide personal data, e.g. work materials assisting severely handicapped individuals. If you should fail to provide the necessary information and documents, we are not permitted to enter into the desired employer/employee relationship or to continue with such a relationship.
To what extent will decision-making be automated?
As a matter of principle, we do not use fully automated decision-making processes pursuant to Article 22 GDPR to establish, perform or terminate employment. In the event that we should use such processes in individual cases, we will inform you of this and of your rights in this respect separately if prescribed by law.
Will profiling take place?
Your data will be processed automatically in part with the objective of assessing certain personal aspects (profiling). For example, we will use profiling in the following case:
- As a result of statutory and regulatory regulations, we are obliged to fight the financing of terrorism. In that respect, data will be analysed.
Information about your right to object pursuant to Article 21 GDPR
Right to object based on individual cases
You have the right to object, on grounds relating to your particular situation, at any time to the processing of personal data concerning you which is based on point (f) of Article 6 (1) GDPR (data-processing on the basis of the balancing of interests); this also applies for profiling as defined in Article 4 point 4 GDPR. If you do object, we will no longer process your personal data unless we have compelling justified reasons for such processing which take precedence over your interests, rights and freedom or, alternatively, such processing serves to assert, exercise or defend legal claims.
Recipient of an objection
Such an objection may be submitted informally, stating your name, address and date of birth and should, if possible, be addressed to:
Commerzbank AG
Digital Technology Center Commerzbank AG
82 Patriarh Evtimii Blvd., Triaditza Region
1463 Sofia
Bulgaria
Phone: +359 899940332
markus.kroeger@commerzbank.com
Commerzbank AG Česká republika
Prostřednictvím následujících informací Vám poskytujeme přehled o tom, jakým způsobem u nás dochází ke zpracování Vašich údajů a jaká jsou Vaše práva vyplývající ze zákonů na ochranu osobních údajů. Do jaké míry jsou Vaše údaje zpracovány, i způsob, jakým jsou používány, záleží především na podmínkách sjednaných ve vaší pracovní smlouvě nebo dohodě o poskytování služeb či vykonávání činnosti z pozice externího spolupracovníka, popř. na čerpání dalších výhod nebo benefitů. Ne všechny části těchto informací se Vás tedy musejí týkat.
Kdo za zpracování údajů zodpovídá a na koho se mohu obrátit?
Za zpracování údajů zodpovídá
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Německo
zastoupená
pobočka Praha
Jugoslávská 934/1, 12000 Praha 2
Česká republika
Telefon: +420 221193571/576
GS-OSISPrag@commerzbank.com
Zástupce našeho interního oddělení pro ochranu údajů můžete kontaktovat na adrese:
Commerzbank AG
pobočka Praha
Data Protection Contact
Jugoslávská 934/1, 12000 Praha 2
Česká republika
GS-OSISPrag@commerzbank.com
Jaké jsou naše zdroje a jaké využíváme údaje?
Zpracováváme osobní údaje, které získáváme nebo obdržíme od svých zaměstnanců a dalších dotčených osob v rámci příslušného pracovněprávního vztahu. Kromě toho zpracováváme také osobní údaje legitimně získané z veřejně dostupných zdrojů (např. z tisku nebo internetu) nebo které nám byly v souladu se zákonem poskytnuty společnostmi ze skupiny Commerzbank či třetími osobami (např. informace o trestné činnosti) v rozsahu nezbytném pro vztah mezi zaměstnavatelem a zaměstnancem. Mezi relevantní osobní údaje patří informace o totožnosti osoby (jméno, bydliště a ostatní kontaktní údaje, datum a místo narození, státní příslušnost), údaje o rodině (např. rodinný stav, informace o dětech), údaje o zdravotním stavu (jsou-li pro daný pracovní poměr relevantní, např. v případě závažného postižení), případná předchozí odsouzení (výpis z rejstříku trestů), legitimační údaje (např. údaje z průkazů totožnosti), rodné číslo a informace o kvalifikaci a předchozích zaměstnavatelích. Mohou sem dále patřit i údaje o dalších dohodnutých podmínkách (např. žádost o práci formou dálkového přístupu), údaje vyplývající z plnění našich smluvních povinností (např. výplata mzdy), informace o Vaší finanční situaci (např. údaje o nesplacených úvěrech, srážkách ze mzdy) a jiné údaje srovnatelné s výše uvedenými kategoriemi.
Co je účelem zpracování Vašich údajů (účelem zpracování) a na jakém právním základě k němu dochází?
Osobní údaje zpracováváme v souladu s Nařízením (EU) 2016/679 neboli obecným nařízením o ochraně osobních údajů (GDPR) a v souladu s příslušnými národními doprovodnými právními předpisy.
a. za účelem splnění smluvních povinností (článek 6 odst. 1 písm. b) Nařízení GDPR ve spojení s čl. 88 Nařízení GDPR)
Údaje jsou zpracovávány za účelem vzniku, plnění nebo ukončení pracovního poměru vyplývajícího z naší smlouvy s Vámi nebo za účelem předsmluvních opatření přijatých na základě vašich požadavků. V případě, že budete využívat další výhody (např. péče o děti), budou Vaše osobní údaje zpracovávány v rozsahu nezbytném k čerpání těchto dodatečných výhod.
b. v souvislosti s ochranou oprávněných zájmů (článek 6 odst. 1 písm. f) Nařízení GDPR ve spojení s článkem 88 Nařízení GDPR)
Nad rámec vlastního plnění smlouvy budeme v nezbytném rozsahu zpracovávat Vaše údaje za účelem ochrany oprávněných zájmů naší společnosti a třetích stran. Příklady:
- opatření pro plánování rozvoje v oblasti lidských zdrojů
- opatření v případě organizačních změn
- podávání žalobních návrhů a návrhů obhajoby v případě právních sporů,
- zajištění bezpečnosti a fungování IT systémů banky
- prevence a vyšetřování trestných činů a závažného porušení povinností,
- videozáznamy za účelem výkonu práv na ochranu majetku a oprávněných zájmů (domiciliary rights), ke shromažďování důkazů v případech napadení či podvodů, např. v pobočkách
- opatření za účelem zabezpečení budov a systémů (např. kontrola vstupu),
- opatření za účelem ochrany našeho práva na ochranu majetku a oprávněných zájmů (domiciliary right),
c. na základě Vašeho souhlasu (článek 6 odst. 1 písm. a) Nařízení GDPR ve spojení s článkem 88 Nařízení GDPR)
Za předpokladu, že jste nám udělili svůj souhlas se zpracováním Vašich osobních údajů pro specifické účely (např. delší uchovávání dokumentů při ucházení o zaměstnání, čerpání benefitů, fotografie pořízené v souvislosti s akcemi, rozesílání informačních newsletterů), je takové zpracování na základě Vašeho souhlasu v souladu se zákonem. Udělený souhlas můžete kdykoliv odvolat. Totéž platí i pro odvolání souhlasu, který nám byl dán před datem účinnosti Nařízení GDPR, tj. přede dnem 25. 5. 2018. Odvolání souhlasu platí pouze do budoucna a nemá vliv na legitimitu údajů zpracovaných do okamžiku odvolání.
d. Na základě právních předpisů (článek 6 odst. 1 písm. c) Nařízení GDPR ve spojení s článkem 88 Nařízení GDPR) nebo ve veřejném zájmu (článek 6 odst. 1 písm. e) Nařízení GDPR)
Jako banka jsme dále ze zákona povinni plnit různé povinnosti, např. zákonné požadavky (např. podle zákona o sociálním pojištění, zákona o důchodovém pojištění, zákona o bezpečnosti práce, zákona o bankách, zákona proti praní špinavých peněz, zákona o cenných papírech, daňových zákonů apod.) a předpisy týkající se bankovního dohledu (vykonávaného např. Evropskou centrální bankou (ECB), Evropským orgánem pro bankovnictví (EBA), Německou spolkovou bankou (DBB), Německým spolkovým úřadem pro dohled nad bankovnictvím (BaFin) a dalšími místními orgány dohledu). Účely zpracování zahrnují mj. také ověření totožnosti, prevence podvodu a praní špinavých peněz, dodržování povinnosti kontroly, oznamovací a dokumentační povinnosti na základě daňových zákonů a zákonů o sociálním pojištění a hodnocení a správu rizik v rámci banky a skupiny Commerzbank. Banka může provést prověrku, pokud to vyžadují závazné platné předpisy a/nebo existují oprávněné zájmy banky. Kromě toho budeme Vaše osobní údaje zpracovávat v rozsahu nezbytném pro uplatňování práv a povinností zástupců zaměstnanců vyplývajících z případné kolektivní smlouvy.
Kdo moje údaje získá?
V rámci banky získají k Vašim údajům přístup příslušná oddělení, která je potřebují k plnění našich smluvních a zákonných povinností, např. nadřízení, personální oddělení apod. Rovněž mohou údaje pro tyto účely získávat námi pověření poskytovatelé a zprostředkovatelé služeb. Jedná se o společnosti spadající do kategorie: zpracování mezd, pojištění, poskytovatelé školení, management nabídek benefitů a sportovního vyžití, IT služby, logistika, tisk a telekomunikace. Pokud jde o předávání údajů příjemcům mimo rámec naší banky, je třeba si v první řadě uvědomit, že jako zaměstnavatel budeme předávat dál pouze nezbytné osobní údaje při dodržování veškerých příslušných ustanovení o ochraně osobních údajů. Ze zásady jsme oprávněni poskytovat informace o našich zaměstnancích pouze v případech, kdy to požaduje zákon, kdy k tomu zaměstnanec udělil svůj souhlas nebo kdy jsme k tomu byli jinak oprávněni. Za těchto okolností mohou být příjemci osobních údajů například následující osoby:
- správa sociálního zabezpečení,
- zdravotní pojišťovny
- penzijní fondy,
- finanční úřad,
- veřejnoprávní úřady a instituce (jako např. ČNB, ECB, EBA, DBB, BaFin, úřady daňové správy, orgány trestního stíhání), pokud k tomu existuje zákonná povinnost nebo povinnost stanovená regulačním orgánem,
- ostatní bankovní a finanční instituce nebo podobné subjekty, kterým předáme Vaše osobní údaje za účelem splnění smluvního vztahu (např. výplata mzdy),
- všeobecní a mzdoví auditoři,
- poskytovatelé služeb, které oslovíme v souvislosti se smluvními vztahy, v jejichž rámci dochází ke zpracování osobních údajů
Ostatními příjemci údajů mohou být organizace, u nichž jste svůj souhlas s poskytnutím údajů udělili vy nebo kterým můžeme poskytnout údaje na základě principu ochrany oprávněných zájmů.
Budou údaje převáděny do zemí mimo EU nebo ve prospěch některé mezinárodní organizace?
Převody údajů do zemí mimo Evropskou unii (tzv. nečlenské země) se uskuteční pouze za předpokladu, že
- to je nutné ze zákona (např. povinné oznamování na základě daňových předpisů), nebo na základě mezinárodních smluv (např. FATCA, CRS)
- jste k tomu dali svůj souhlas nebo
- to je v oprávněném zájmu z hlediska ochrany osobních údajů a není to v rozporu se zájmy subjektu údajů hodnými ochrany.
Mimoto dochází k předání údajů orgánům v nečlenských zemích také v následujících případech:
- Má-li být váš elektronický podpis použit v obchodní transakci, bude uložen v rejstříku podpisů ve Švýcarsku. Přitom bude dodržena evropská úroveň ochrany osobních údajů.
- Se souhlasem subjektu údajů nebo na základě zákonných předpisů o prevenci praní špinavých peněz, financování terorismu a ostatních trestních činů a v rámci ochrany oprávněných zájmů mohou být osobní údaje dále převáděny za současného dodržení stupně ochrany údajů platného v Evropské unii.
Jak dlouho budou moje údaje uchovávány?
Vaše osobní údaje budeme zpracovávat a uchovávat tak dlouho, jak je to nutné z hlediska plnění našich smluvních a zákonných povinností. V této souvislosti si Vás dovolujeme upozornit, že náš pracovní poměr představuje trvalý závazek založený na delší období. Pokud nebude pro účely plnění smluvních nebo zákonných povinností nutné údaje dále uchovávat, budou tyto údaje pravidelně mazány za předpokladu, že nebude zapotřebí jejich dalšího – dočasného – zpracování, a sice pro následující účely:
- Plnění povinnosti archivační doby, která může vyplývat např. z místních úprav zákona o sociálním pojištění nebo obchodního zákoníku, daňového řádu, zákona o bankách, zákona proti praní špinavých peněz a zákona o cenných papírech. Obchodní záznamy a dokumentace budou uchovávány s ohledem na lhůty vymezené v příslušných předpisech.
- Uchování důkazů podle místních platných právních předpisů o promlčecích lhůtách. Budou-li údaje zpracovávány v oprávněném zájmu naší společnosti nebo třetí osoby, budou po zániku tohoto oprávněného zájmu veškeré osobní údaje vymazány. V takovém případě se uplatní uvedené výjimky. To samé platí i v případě zpracovávání údajů na základě uděleného souhlasu. Jakmile tento souhlas s účinky do budoucna odvoláte, budou osobní údaje vymazány, ledaže se uplatní jedna z uvedených výjimek.
Jaká jsou moje práva z hlediska ochrany údajů?
Každý subjekt údajů má právo přístupu ke svým údajům dle článku 15 Nařízení GDPR, právo na opravu dle článku 16 Nařízení GDPR, právo na vymazání údajů dle článku 17 Nařízení GDPR, právo na omezení zpracování podle článku 18 Nařízení GDPR, právo na vznesení námitky podle článku 21 Nařízení GDPR a právo na přenositelnost údajů podle článku 20 Nařízení GDPR. Kromě toho se uplatní příslušná ustanovení souvisejících místních právních předpisů. V budoucnosti budete mít možnost tato práva uplatnit sami prostřednictvím samoobslužné aplikace, v ostatních případech se můžete obrátit na personální oddělení nebo na Data Protection Contact. Mimoto platí i právo na odvolání k příslušnému dozorovému úřadu (článek 77 Nařízení GDPR). Svůj souhlas se zpracováním osobních údajů, který nám udělíte, můžete kdykoliv odvolat tím, že nás v tomto smyslu informujete. To se týká také odvolání souhlasu, který nám byl dán před datem účinnosti Nařízení GDPR, tj. před datem 25. 5. 2018. Dovolujeme si upozornit na to, že takové odvolání souhlasu bude platit pouze s účinky do budoucna. Zpracovávání údajů před odvoláním souhlasu tím nebude nijak dotčeno.
Mám povinnost údaje poskytnout?
V rámci svého pracovního poměru máte povinnost poskytnout ty osobní údaje, které jsou nezbytné pro založení, provádění a ukončení pracovního poměru a pro plnění souvisejících smluvních povinností, nebo jejichž shromažďování je naší povinností danou zákonem. Bez těchto údajů bychom v zásadě nebyli schopni uzavřít s Vámi smlouvu, poskytovat na základě této smlouvy plnění, ani tuto smlouvu ukončit. V některých případech může vaše rozhodnutí své osobní údaje neposkytnout znamenat, že nebudete moci využívat určité výhody (např. čerpání některých benefitů) Pokud odmítnete poskytnout nutné informace, nebudeme moci zamýšlený pracovní poměr uzavřít ani v něm pokračovat.
Do jaké míry se používá automatizované rozhodování?
Plně automatizované rozhodování podle článku 22 Nařízení GDPR pro účely vzniku, plnění nebo ukončení pracovního poměru v zásadě nevyužíváme. Pokud by využití těchto procesů bylo v konkrétních případech nutné, budeme Vás o této skutečnosti a o Vašich souvisejících právech informovat zvlášť, pokud tak požaduje zákon.
Bude probíhat profilování?
Vaše údaje budou zpracovávány zčásti automaticky, aby mohlo být provedeno hodnocení určitých osobních aspektů (profilování). Profilování například použijeme v následujících případech:
- Podle zákonných a regulatorních předpisů máme povinnost bojovat proti praní špinavých peněz, financování terorismu a majetkové trestné činnosti. V této souvislosti je třeba údaje podrobovat analýzám.
Informace k Vašemu právu na vznesení námitky podle článku 21 Nařízení GDPR
Právo vznést námitku podle konkrétní situace
Máte kdykoliv právo vznést námitku proti zpracování osobních údajů, které se Vás týkají, z důvodů týkajících se Vaší konkrétní situace, a sice podle článku 6 odst. 1 písm. e) Nařízení GDPR (zpracování údajů ve veřejném zájmu) a podle článku 6 odst. 1 písm. f) Nařízení GDPR (zpracování údajů na základě ochrany oprávněných zájmů). Totéž platí i pro profilování, jak je definováno v článku 4 odst. 4 Nařízení GDPR.
Jestliže vznesete námitku, nebudeme již Vaše osobní údaje dále zpracovávat, ledaže bychom k tomu měli naléhavé oprávněné důvody, které by převážily nad Vašimi zájmy, právy nebo svobodami, případně by jejich zpracování posloužilo k uplatnění, vymáhání nebo obraně právních nároků.
Příjemce námitky
Námitky můžete podávat neformálně s uvedením svého jména, adresy a Vašeho data narození a zasílat na adresu:
Commerzbank AG
pobočka Praha
Jugoslávská 934/1, 12000 Praha 2
Česká republika
Telefon: +420 221 193 571/576
GS-OSISPrag@commerzbank.com
Commerzbank AG Espana
Con este documento queremos ofrecerle un resumen del tratamiento que hacemos de sus datos personales y de los derechos que le asisten de conformidad con la normativa de protección de datos. Los datos concretos que tratemos y los usos que demos a cada tratamiento dependerán del tipo de relación laboral que le una con la empresa, ya sea como empleado en virtud de un contrato laboral o en virtud de un contrato de servicios a través de un contratista externo. También dependerá de las prestaciones adicionales que incluya su contrato de trabajo. En consecuencia, no todos los elementos de este documento tienen por qué ser aplicables a su caso particular.
¿Quién es el responsable del tratamiento de datos y cómo puedo contactar con él?
El responsable es
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Alemania
representada por
Sucursal Madrid
Paseo de la Castellana 259 C, 28046 Madrid
España
Teléfono: +34 91 572 - 4700
Madrid@commerzbank.com
Podrá contactar con el responsable interno de protección de datos en
Commerzbank AG
Sucursal Madrid
Contacto de Protección de Datos
Paseo de la Castellana 259 C, 28046 Madrid
España
Teléfono: +34 91 572 - 4815
Madrid.Protecciondatos@commerzbank.com
¿De qué fuentes obtenemos los datos y qué datos usamos?
Realizamos el tratamiento de los datos personales que recibimos de nuestros empleados y de otros interesados similares en el marco de la relación laboral. Asimismo, realizamos el tratamiento de datos personales legítimamente obtenidos de fuentes accesibles al público tales como prensa, de información puesta a disposición del público por el interesado en internet o datos recibidos legítimamente de otras sociedades del Grupo Commerzbank o terceros, en la medida en que resulte necesario para nuestra relación empleador/empleado. Los datos personales a los que hacemos referencia son: datos de carácter personal tales como nombre, dirección y otros datos de contacto, fecha y lugar de nacimiento y nacionalidad; datos de familia tales como el estado civil e información acerca de menores; información médica que pueda afectar al desempeño del puesto, por ejemplo, casos de discapacidad grave; datos identificativos como los que aparecen en el documento de identidad o el número de identificación fiscal; información sobre la cualificación profesional facilitada por empleadores anteriores. Además, los datos personales pueden ser: datos contractuales, como una solicitud de acceso a teletrabajo; datos derivados del cumplimiento de nuestras obligaciones contractuales, como el pago de salarios; información acerca de su situación financiera, como los datos acerca de préstamos pendientes o embargos; otros datos similares a las categorías mencionadas.
¿Con qué fines se podrá llevar a cabo el tratamiento de datos (finalidad del tratamiento) y sobre qué base jurídica se fundamenta?
Llevamos a cabo el tratamiento de sus datos personales de conformidad con las disposiciones del Reglamento General de Protección de Datos de la UE (“RGPD”) y otras leyes locales aplicables:
a. para cumplir con las obligaciones contractuales (Apartado 1b del Art. 6 del RGPD)
Realizamos tratamientos de datos a efectos de establecer, desarrollar o poner fin a la relación empleador/empleado en virtud de nuestro contrato o de cumplir las medidas precontractuales adoptadas como resultado de una solicitud. En caso de que deba obtener prestaciones adicionales, tales como el cuidado de menores, el tratamiento de sus datos se realizará en la medida en que sea necesario para hacer efectivas esas prestaciones.
b. en relación con el interés legítimo (Apartado 1f del Art. 6 del RGPD junto con el Art. 88 del RGPD)
Cuando resulte necesario llevaremos a cabo tratamientos de datos que exceden del ámbito estricto de la ejecución del contrato laboral para proteger intereses legítimos propios o de terceros. Ejemplos:
- medidas para planificar el desarrollo de recursos humanos,
- medidas en caso de que se produzcan cambios organizativos,
- interposición de demandas y de contestaciones a las demandas en litigios,
- garantizar la seguridad y funcionamiento informático del banco,
- prevención e investigación de delitos penales e incumplimientos graves de obligaciones laborales,
- video vigilancia para ejercitar derechos del banco y recoger pruebas en caso de ataques o fraude, por ejemplo, contra las sucursales,
- medidas para asegurar edificios y sistemas, como control de admisiones,
- medidas para proteger los derechos del banco.
c. como resultado de su consentimiento (Apartado 1a del Art. 6 del RGPD junto con el Art. 88 del RGPD
En la medida en que haya prestado su consentimiento al tratamiento de datos personales con ciertos fines, como almacenamiento extensivo de solicitudes, deportes que practican los empleados, fotografías tomadas en eventos, y envío de newsletters por correo, dicho tratamiento se considera legítimo. Una vez prestado el consentimiento podrá ser revocado en cualquier momento. Lo anterior también se aplicará a las declaraciones de consentimiento efectuadas antes de la fecha efectiva del RGPD, es decir, antes del 25 de mayo de 2018. La revocación del consentimiento no tendrá efecto retroactivo y no afectará a la legitimidad de los datos cuyo tratamiento se haya producido antes de la revocación.
d. de conformidad con una obligación legal (apartado 1c del Art. 6 y Art. 88 del RGPD) o en interés público (apartado 1e del Art. 6 del RGPD)
Asimismo, nosotros, como banco, estamos sujetos a varias obligaciones legales, como los requisitos previstos en la normativa en materia de seguridad social, prevención de riesgos laborales, bancaria, prevención del blanqueo de capitales, mercado de valores, fiscal, supervisión bancaria (por ejemplo, del Banco Central Europeo, la Agencia de Supervisión Bancaria Europea, el Banco de España, la Comisión Nacional del Mercado de Valores (CNMV) y las agencias de supervisión locales). Los fines del tratamiento en este caso incluyen, entre otros, la comprobación de su identidad, la prevención del fraude y del blanqueo de capitales, el cumplimiento de obligaciones de control, de facilitar documentación con arreglo a la legislación fiscal y la de seguridad social y la evaluación y gestión de riesgos en el banco y en el Grupo Commerzbank. Asimismo, realizamos el tratamiento de sus datos en la medida en que es necesario para el ejercicio de derechos y obligaciones de los representantes de los trabajadores derivados de un acuerdo salarial y del acuerdo con los interlocutores sociales (convenio colectivo).
¿Quién recibirá mis datos?
Dentro del banco, tendrán acceso a sus datos aquellas unidades que los necesiten para cumplir con obligaciones legales y contractuales (por ejemplo, supervisores, el departamento de recursos humanos, el comité de empresa o el representante de empleados con discapacidad grave). También podrán tener acceso a sus datos empresas o agentes contratados por el banco para la prestación de diferentes servicios. Estos servicios están relacionados con la gestión de nóminas, seguros, formación a empleados, gestión de la oferta corporativa de deportes, servicios informáticos, logística, servicios de impresión y telecomunicaciones. Por lo que respecta a transferencias de datos a destinatarios fuera del banco, primero se tendrá en cuenta que nosotros, como empleador, facilitaremos solo los datos personales necesarios, observando la normativa aplicable en materia de protección de datos. En principio, podremos transmitir información acerca de nuestros empleados solo si lo exige la ley, el empleado ha prestado su consentimiento o tenemos otro tipo de autorización. En estas circunstancias, los destinatarios de datos personales podrán ser:
- Agencias de seguridad social;
- proveedores de seguros médicos;
- fondos de pensiones;
- autoridades fiscales;
- asociaciones comerciales;
- autoridades e instituciones públicas cuando haya una obligación legal, por ejemplo, al Organismo Supervisor Bancario Europeo, el Banco de España, la Comisión Nacional del Mercado de Valores (CNMV), a autoridades fiscales o a autoridades que persiguen delitos penales;
- otras instituciones de servicios bancarios y financieros o instituciones similares a las que transmitimos datos personales para cumplir con la relación contractual, por ejemplo, para el pago de los salarios;
- auditores externos; y
- proveedores de servicios a los que implicamos en las relaciones de tratamiento de datos a través de un contrato.
Otros destinatarios de sus datos personales podrán ser aquellas entidades para las que usted haya prestado su consentimiento para transferir sus datos o aquellas a las que podamos transmitirlos sobre la base del interés legítimo, una vez ponderados los intereses en juego.
¿Se transferirán los datos a terceros países o a organizaciones internacionales?
La transferencia de datos a organismos situados en países fuera de la Espacio Económico Europeo, los llamados terceros países, tendrá lugar en la medida en que
- sea exigible por ley, como informes obligatorios con arreglo a la legislación fiscal;
- usted haya prestado su consentimiento a la transferencia; o
- esté justificado por intereses legítimos imperiosos en términos de protección de datos en transferencias que afecten a un número limitado de interesados, que no sean recurrentes y que no vayan en contra de los intereses de los interesados que deban ser protegidos, previa evaluación de los intereses en juego.
Asimismo, se prevé la transferencia a organismos en terceros países en los casos siguientes:
- En caso de que vaya a usar su firma digital en una transacción comercial, esta se almacenará en un registro de firmas en Suiza. Se observará el nivel de protección de datos europeo.
- Siempre que medie el consentimiento del interesado o como consecuencia de las disposiciones legales sobre control de prevención de blanqueo de capitales, financiación de terrorismo y otros actos delictivos y dentro de los límites de los intereses imperiosos en juego mencionados anteriormente, los datos personales serán transmitidos en casos concretos, observando el nivel de protección de datos del Espacio Económico Europeo.
¿Durante cuánto tiempo se conservarán mis datos?
Se tratarán y conservarán sus datos personales durante el tiempo necesario para cumplir con nuestras obligaciones contractuales y legales. A este respecto debe tenerse en cuenta que la relación laboral se prolonga en el tiempo y genera obligaciones duraderas. Los datos personales serán eliminados regularmente cuando dejen de ser necesarios para el cumplimiento de nuestras obligaciones contractuales o legales salvo que fuesen necesarios, temporalmente, para realizar tratamientos adicionales a los siguientes efectos:
- El cumplimiento de las obligaciones de conservación que puedan derivarse de la normativa local aplicable, por ejemplo, en materia de seguridad social, comercio, fiscal, banca, prevención de blanqueo de capitales o leyes del mercado de valores. La documentación comercial y de negocio se conservará durante el tiempo especificado en la legislación local aplicable.
- La conservación de pruebas de conformidad con las normativas locales aplicables sobre plazos de prescripción. En caso de que el tratamiento de datos sea realizado en nuestro interés legítimo o en el de terceros, se procederá a la eliminación de datos personales cuando haya prescrito el interés legítimo. En tales casos, se aplicarán las excepciones antes especificadas. Esto mismo es aplicable a los tratamientos que tengan como base el consentimiento del interesado: en cuanto usted revoque el consentimiento procederemos a la eliminación de sus datos personales salvo que sea aplicable alguna de las excepciones antes previstas.
¿Cuáles son mis derechos en materia de protección de datos?
El interesado tendrá derecho de acceso de conformidad con el Artículo 15 del RGPD, derecho de rectificación de conformidad con el Artículo 16 del RGPD, derecho de supresión de conformidad con el Artículo 17 del RGPD, derecho a la limitación del tratamiento de conformidad con el Artículo 18 del RGPD, derecho de oposición de conformidad con el Artículo 21 del RGPD y derecho a la portabilidad de los datos de conformidad con el Artículo 20 del RGPD. Sin perjuicio de lo anterior, se aplicará lo dispuesto en la legislación local aplicable. Generalmente podrá ejercitar esos derechos a través de Companion, HR Direct o poniéndose en contacto con su departamento local de recursos humanos. Además, existe el derecho a presentar una reclamación ante una autoridad de control (Artículo 77 del RGPD). El consentimiento al tratamiento de datos personales podrá ser revocado en cualquier momento informándonos pertinentemente. Lo anterior también se aplicará a las declaraciones de consentimiento efectuadas antes de la fecha efectiva del RGPD, es decir, antes del 25 de mayo de 2018. Tenga en cuenta que esta revocación no tendrá efecto retroactivo y, por tanto, el tratamiento de datos que tuvo lugar antes de la revocación no se verá afectado.
¿Estoy obligado a proporcionar datos?
En el ámbito de nuestra relación empleador/empleado está obligado a proporcionar los datos personales que sean necesarios para iniciar, ejecutar y poner fin al contrato de trabajo, los que sean necesarios para el cumplimiento de obligaciones contractuales y aquellos que debamos recoger por virtud de una obligación legal. Sin esos datos no estaremos facultados, con carácter general, para entablar una relación jurídica con usted, ejecutar lo acordado o resolver esos acuerdos. En algunos casos no facilitar sus datos personales puede resultar en una desventaja para usted, por ejemplo, para conseguir material de trabajo diseñado para asistir a personas con una discapacidad grave o para recibir contribuciones adicionales al seguro de asistencia si el empleado no tiene hijos. En caso de que no proporcione la información y documentación necesarios no estaremos facultados para entablar la relación empleador/empleado o para continuar dicha relación.
¿En qué medida se automatizará la toma de decisiones?
En principio no usamos procesos de toma de decisiones totalmente automatizados con arreglo al Artículo 22 del RGPD para entablar, desarrollar o poner fin a una relación laboral. En caso de que usemos esos procesos en algún caso particular le mantendremos informado y le comunicaremos sus derechos a este respecto si lo prescribe la ley.
¿Tendrá lugar la elaboración de perfiles?
El tratamiento de sus datos se realizará en parte automáticamente con el fin de evaluar determinados aspectos personales (elaboración de perfiles). Por ejemplo, usaremos la elaboración de perfiles en el siguiente caso:
- Con arreglo a la normativa aplicable estamos obligados a luchar contra el blanqueo de capitales, la financiación del terrorismo y los actos delictivos que pongan en peligro nuestro bienes. A tal efecto, se realizará un análisis de datos.
Información acerca de su derecho de oposición de conformidad con el Artículo 21 del RGPD
Derecho de oposición por motivos relacionados con su situación particular
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) (tratamiento para el cumplimiento de una misión realizada en interés público) o f) (tratamiento para la satisfacción de intereses legítimos) así como a oponerse a la elaboración de perfiles tal y como queda definida en el artículo 4, apartado 4 del RGPD. Si el interesado se opone, el responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del interesado, o que, alternativamente, acredite que el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones.
Destinatario de la oposición
La oposición podrá ejercitarse informalmente, indicando su nombre, dirección y fecha de nacimiento y, si fuera posible, ser remitida a la atención de:
Commerzbank AG
Sucursal Madrid
Paseo de la Castellana 259 C, 28046 Madrid
España
Teléfono: +34 91 572 - 4700
Madrid@commerzbank.com
Commerzbank AG France
Par le biais des informations qui suivent, nous entendons vous donner une présentation de la façon dont vos données à caractère personnel sont traitées par nos services et des droits que vous avez en vertu de la législation sur la protection des données. La nature détaillée des données traitées et les modalités de leur utilisation sont principalement fonction des éléments demandés ou convenus relatifs à votre emploi sur la base d’un contrat de travail passé avec le salarié ou sur la base d’un contrat de travail ou de service passé avec le contractant externe. Ces éléments peuvent également concerner les avantages des salariés. Il se peut dès lors que certains des éléments contenus dans les informations ci-après ne vous soient pas applicables.
Qui est responsable du traitement des données et qui puis-je contacter ?
Le traitement des données relève de la responsabilité de :
Commerzbank AG
Kaiserplatz, 60261 Francfort-sur-le-Main
Allemagne
Représentée en France par son management Commerzbank AG
Succursale de Paris
86 boulevard Haussmann, 75008 Paris
France
Téléphone: +33 1 44 94 18 08
protection-des-donnees@commerzbank.com
Vous pouvez contacter le représentant du délégué à la protection des données à l’adresse suivante:
Commerzbank AG
Succursale de Paris
Contact délégué à la protection des données personnelles
86 boulevard Haussmann, 75008 Paris
France
Téléphone: +33 1 44 94 17 83
cilparis@commerzbank.com
Quelles sont nos sources ? Quelles données utilisons-nous ?
Nous traitons les données à caractère personnel que nous recevons ou obtenons de nos salariés ainsi que des autres personnes concernées similaires dans le cadre de notre relation de travail. Par ailleurs, nous traitons les données à caractère personnel obtenues légalement à partir des sources librement accessibles au public (tels que la presse, Internet) ou qui nous ont été transmises de façon licite par d’autres sociétés du Groupe Commerzbank ou par des tiers (par exemple des informations concernant des actes criminels lorsque cela est autorisé par la législation locale applicable) si cela est nécessaire à notre relation employeur/ employé. Les données personnelles que nous collectons sont les coordonnées personnelles (nom, adresse, autres coordonnées, nationalité, date et lieu de naissance), les informations familiales, (statut familial, informations relatives aux enfants), les données de santé (dans la mesure où elles sont pertinentes pour l’emploi, notamment en cas de handicap grave), les potentielles condamnations antérieures lorsque cela est autorisé par la législation locale applicable (certificat de bonne conduite), les données l’identification (telles que les données figurant sur la carte d’identité), numéro d’identification fiscale et les informations sur la qualification fournies par les anciens employeurs. Par ailleurs, ces données peuvent être des données d’ordre contractuel (tel qu’une demande pour un poste de télétravail), des données liées à l’exécution de nos obligations contractuelles (paiement des salaires) des informations relatives à votre situation financière lorsque cela est autorisé par la législation locale applicable (telles que des données sur des prêts en cours ou sur des saisies sur salaire) et d’autres données comparables aux catégories mentionnées ci-dessus
Quel est la finalité du traitement de vos données à caractère personnel et sur quelle base juridique repose-t-il ?
Nous traitons les données à caractère personnel dans le respect des dispositions du Règlement Européen Général sur la Protection des Données (RGPD) et les lois locales applicables.
a. Afin de nous conformer à nos obligations contractuelles (article 6 paragraphe 1 b) du RGPD) en combinaison avec l’article 88 du RGPD.
Les données sont traitées aux fins d’établir, d’exécuter ou de mettre fin à la relation employé / employeur issue du contrat passé avec vous ou de mettre en œuvre des mesures précontractuelles en réponse à des demandes. Si vous souhaitez bénéficier d’avantages supplémentaires (par exemple, la garde d’enfants), vos données seront traitées, si nécessaire, pour mettre en œuvre ces avantages supplémentaires.
b. Dans le cadre des intérêts légitimes du responsable de traitement ou d’un tiers (article 6 paragraphe 1 f) du RGPD)
Si nécessaire, nous traiterons vos données au-delà du cadre de la simple exécution du contrat afin de protéger nos propres intérêts légitimes et ceux de tiers. Il en va ainsi:
- des mesures prises pour planifier le développement des ressources humaines,
- des mesures de changements organisationnels,
- de la constatation, l'exercice ou la défense de droits en justice,
- de la garantie de la sécurité informatique et des opérations informatiques de la banque,
- des enquêtes pénales, de la prévention des actes illégaux et des manquements graves aux obligations,
- de la vidéosurveillance afin d’exercer les droits de protection du domicile, afin de recueillir des preuves en cas d’attaques ou de fraudes, par exemple dans les succursales,
- des mesures et systèmes de sécurisation des bâtiments (et notamment le contrôle des entrées),
- des mesures de protection de notre réglementation interne,
c. Sur la base de votre consentement (article 6 (paragraphe 1 a) du RGPD) en combinaison avec l’article 88 RGPD
Dans la mesure où vous avez consenti au traitement, par nos soins, de vos données à caractère personnel pour certaines finalités (et notamment le stockage prolongé des documents de candidature, les activités sportives des salariés, la prise de photographies lors à des événements, ou l’envoi de lettres d’information), ledit traitement sera réputé légitime sur la base de votre consentement. Une fois donné, ledit consentement peut être retiré à tout moment. Cela est également valable pour tous les traitements auxquels vous avez consentis avant la date d’entrée en vigueur du RGPD, c’est-à-dire avant le 25 mai 2018. Le retrait de votre consentement vaut seulement pour l’avenir et n’a aucun effet sur le caractère légitime des données traitées jusqu’au retrait de votre consentement.
d. Sur la base des dispositions réglementaires (article 6 (paragraphe 1 c) du RGPD et l’article 88 RGDP) ou en raison de l’intérêt public (article 6 (paragraphe 1 e) du RGPD)
De surcroît, en notre qualité d’établissement bancaire, nous sommes soumis à diverses obligations légales, notamment les exigences légales (telles que le Code du travail, le Code de la sécurité sociale, les lois et règlements sur la sécurité au travail, la loi bancaire, les lois sur le blanchiment d’argent, les lois sur les opérations sur titres, les lois fiscales) et réglementaires relatifs à la supervision bancaire (par ex. la Banque centrale européenne, l’Autorité bancaire européenne, l'Autorité de contrôle prudentiel et de résolution, la Banque de France, la Banque fédérale allemande et l’Agence fédérale pour la supervision des services financiers). Le traitement des données vise notamment à vérifier l’identité, à prévenir les fraudes et le blanchiment d’argent, à vérifier le respect des obligations de contrôle, de reporting et de documentation conformément à la législation fiscale et à la législation sur la sécurité sociale, ainsi que pour l’appréciation des risques et leur gestion par la banque et le Groupe Commerzbank. De plus, nous traiterons vos données personnelles, si cela est nécessaire, pour l’exercice des droits et obligations des représentants des salariés résultant d’accords salariaux ou d’un accord d’entreprise (accord collectif).
Quels seront les destinataires des données me concernant ?
Au sein de la banque, se verront consentir l’accès à vos données les services qui ont besoin d’en connaître pour respecter nos obligations réglementaires et contractuelles, tels que les responsables, le département des ressources humaines, le comité d’entreprise et les représentants des salariés gravement handicapés. Les prestataires de services et agents que nous avons désignés peuvent également être les destinataires de vos données pour ces mêmes finalités. Ces sociétés sont des sociétés de gestion de paie, d’assurance, de formation, de gestion de l’offre sportive de l’entreprise, de services informatiques, de services logistiques, d’impression et de télécommunication. En ce qui concerne la transmission de données à des destinataires extérieurs à notre banque, il convient en premier lieu de garder à l’esprit qu’en tant qu’employeur nous ne transmettrons que les données personnelles strictement nécessaires, en respectant toutes les réglementations applicables en matière de protection des données. Par principe, nous ne sommes susceptibles de transmettre des informations concernant nos salariés que si la loi nous y oblige, lorsque le salarié a donné son consentement ou si nous y avons été habilités. Dans ces circonstances, les destinataires des données à caractère personnel peuvent être notamment des:
- agences ou caisses d’assurance sociale,
- fournisseurs d’assurance santé,
- fonds de retraite ou fonds de pension,
- autorités fiscales,
- des autorités publiques et organismes (tels que la Banque centrale Européenne, l’Autorité bancaire européenne, la Banque fédérale allemande et l’Agence fédérale pour la supervision des services financiers, l’administration fiscale, les autorités judiciaires pénales, lorsque cela est issu d’une obligation légale ou réglementaire,
- d’autres institutions de services bancaires et financiers ou d’autres établissements similaires auxquels nous transmettons vos données à caractère personnel dans le cadre de l’exécution de notre relation contractuelle, par exemple le paiement des salaires,
- des contrôleurs de gestion et des inspecteurs des impôts,
- des prestataires de services auxquels nous faisons appel dans le cadre de la sous-traitance de traitements de données contractuelles.
Les autres destinataires de données comprennent notamment les organismes auxquels vous nous avez donné l’autorisation de transférer vos données ou ceux en faveur desquels nous sommes autorisés à transférer vos données sur la base d’un intérêt légitime.
Les données seront-elles transférées à un pays tiers ou à une organisation internationale ?
Le transfert de données à des organismes situés en dehors de l’Union européenne (ci-après les « pays tiers ») aura lieu dans la mesure où :
- cela est exigé par la loi (par ex. obligation déclarative en vertu de la législation fiscale),
- vous avez donné votre consentement,
- cela est justifié par des intérêts légitimes en matière de protection des données et que cela ne s’oppose pas aux intérêts à protéger du titulaire de données
Par ailleurs, le transfert de données à des organismes situés dans des pays tiers est prévu dans les cas suivants :
- Si votre signature électronique est utilisée dans le cadre d’une transaction commerciale, elle sera stockée dans un registre de signatures en Suisse. Le niveau européen adéquat de protection des données sera respecté.
- Sous réserve du consentement de la personne concernée ou en raison de la prise de dispositions réglementaires en matière de lutte contre le blanchiment d’argent, le financement du terrorisme et autres actes illicites et dans le cadre de l’intérêt légitime du responsable de traitement ou de tiers, les données à caractère personnel seront transférées dans certains cas particuliers, dans le respect du niveau de protection des données en vigueur au sein de l’Union européenne.
Pendant combien de temps les données me concernant seront-elles conservées ?
Nous traitons et conservons les données à caractère personnel vous concernant aussi longtemps que nécessaire afin de remplir nos obligations légales et contractuelles. A cet égard, veuillez garder à l’esprit le fait que notre relation salariale est continue et a vocation à s’inscrire dans la durée. Dans le cas où les données ne seraient plus nécessaires en vue de l’exécution de nos obligations contractuelles et réglementaires, elles seront régulièrement effacées de façon périodique sauf si un traitement complémentaire, limité dans le temps, est nécessaire pour les raisons suivantes :
- Le respect des obligations de conservation pouvant par exemple résulter du Code de commerce, du Code fiscal, du Code de sécurité sociale, du Code du travail, des lois sur la réglementation bancaire, des lois sur le blanchiment d’argent et des lois sur les opérations sur titres en vigueur localement. Les archives et documents sont conservés pendant la durée prévue par la réglementation applicable.
- La protection des moyens de preuve en vertu des règles de droit national en matière de prescription. Lorsque ces données sont traitées dans notre intérêt légitime ou dans celui d’un tiers, toute donnée à caractère personnel sera effacée lorsque cet intérêt légitime sera caduc Dans un tel cas, les exceptions spécifiées s’appliqueront. Il en va de même pour le traitement des données reposant sur votre consentement. Dès lors que vous révoquez ce consentement pour l’avenir, les données à caractère personnel seront effacées sauf si l’une des exceptions prévues s’applique.
Quels sont mes droits en ce qui concerne la protection des données ?
En vertu du RGPD, chaque personne concernée a le droit d’accéder à ses données (article 15), de les rectifier (article 16), de demander leur suppression (article 17) du RGPD, d’en limiter le traitement (article 18), ou de faire opposition à leur traitement (article 21). Elle dispose également d’un droit à la portabilité des données (article 20 du RGPD). En vertu de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique modifiée, aux fichiers et aux libertés (« Loi Informatique et Libertés ») chaque personne concernée a également le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après sa mort. En dehors de cela, les dispositions légales de la loi de transposition locale du RGPD s’appliquent. Vous serez généralement en mesure d’exercer ces droits par vous-même via Companion ou HR Direct ou par le biais de votre département des ressources humaines local. De même, l’article 77 du RGPD prévoit le droit d'introduire une réclamation auprès d'une autorité de contrôle de la protection des données personnelles Vous pouvez à tout moment retirer votre consentement au traitement des données à caractère personnel vous concernant, en nous informant en ce sens. La même règle s’applique pour les déclarations de consentement données avant la date d’entrée en vigueur du RGPD c’est-à-dire avant le 25 mai 2018. Il convient de garder à l’esprit le fait que le retrait de ce consentement vaut uniquement pour l’avenir Les traitements de données ayant eu lieu avant le retrait ne sont pas affectés.
Suis-je obligé de communiquer des données ?
Dans le cadre de nos relations employeur/ employé vous êtes tenu de fournir les données à caractère personnel nécessaires pour commencer, exécuter et mettre fin à votre emploi, pour l’exécution des obligations contractuelles associées ou dans le cas où la collecte de ces données nous est imposée par la loi. En l’absence de ces données, nous ne serons généralement pas en mesure de conclure de contrats avec vous, de les exécuter ou de les résilier. Dans certains cas, vous êtes susceptibles d’être défavorisé ou de subir des inconvénients du fait de l’absence de communication de vos données personnelles, par exemple pour l’attribution du matériel de travail réservé aux personnes handicapées à mobilité réduite, la contribution supplémentaire à l’assurance dépendance si un employé est sans enfant. Si vous ne fournissez pas les informations et documents nécessaires, nous n’avons pas le droit d’établir la relation employé/ employeur souhaitée ni de poursuivre une telle relation.
Dans quelle mesure la prise de décision sera-t-elle automatisée ?
En principe, en vertu des dispositions de l’article 22 du RGPD, nous n’avons pas recours à un processus de prise de décision entièrement automatisé pour établir, exécuter ou mettre fin à votre emploi. Dans l’éventualité où nous serions amenés, dans certains cas particuliers, à avoir recours à ce procédé, nous vous en informerons de manière spécifique et nous vous notifierons les droits que vous avez au regard de ce traitement si la loi l’exige.
Le profilage sera-t-il pratiqué ?
Les données à caractère personnel vous concernant seront traitées automatiquement en partie dans le but d’évaluer certains aspects personnels (profilage). Nous utiliserons notamment le profilage dans les cas suivants:
- Compte tenu des dispositions légales et réglementaires qui nous font obligation de lutter contre le blanchiment d’argent, le financement du terrorisme et les actes délictueux portant préjudice aux biens. A cet égard, des données seront analysées à des fins de profilage.
Informations relatives à votre droit d’opposition conformément à l’article 21 du RGPD
Droit de s’opposer au traitement pour des raisons tenant à votre situation particulière
Vous avez à tout moment le droit de vous opposer, pour des raisons tenant à votre situation particulière, au traitement des données à caractère personnel vous concernant en vous fondant sur les dispositions de l’alinéa (e) de l’article 6 (1) (traitement des données dans l’intérêt public) et sur le point (f) de l’article 6 du RGPD (traitement des données sur la base des intérêts légitimes du responsable de traitement) ; ce principe s’applique également au profilage défini à l’article 4 alinéa 4 du RGPD. Si vous faites valoir votre droit d’opposition, nous cesserons de procéder au traitement des données à caractère personnel vous concernant, sauf si nous avons des motifs légitimes prévalant sur vos intérêts, vos droits et votre liberté ou encore si ledit traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.
A qui adresser une demande d’opposition ?
La demande d’opposition peut être transmise de façon informelle sous l’intitulé “opposition” en indiquant vos nom et adresse ainsi que votre date de naissance. Cette demande devra être envoyée à :
Commerzbank AG
Représentée par
Paris dans laquelle est située la succursale
Rue de la Paix 23, 75002 Paris,
France
Téléphone: +33 1 44 94 18 32
responsable-des-traitements-Paris@commerzbank.com
Commerzbank AG Italia
Con la seguente informativa, vogliamo fornirLe un quadro generale sul trattamento dei Suoi dati personali e dei Suoi diritti ai sensi della normativa in materia di protezione dei dati personali. I dati che nello specifico saranno oggetto di trattamento e le loro modalità di utilizzo dipendono essenzialmente dalla tipologia di rapporto di lavoro, sia esso fondato su un contratto di impiego o su un contratto di servizi o di collaborazione esterna, nonché dalla sussistenza di possibili benefit aggiuntivi. Pertanto, non tutti gli elementi della presente informativa potrebbero essere applicabili al Suo caso.
Chi è il titolare del trattamento e chi posso contattare?
Il titolare del trattamento è:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Germany
rappresentanta da
Commerzbank AG
Filiale di Milano Corso Europa 2, 20122 Milan
Italy
Phone: +39 02 72596.1
compliance.milano@commerzbank.com
Può contattare il Referente Locale per Protezione dei Dati ai seguenti recapiti:
Commerzbank AG
Filiale di Milano
Data Protection Contact (DPC)
Corso Europa 2, 20122 Milano
Italia
Phone: +39 02 72596.1
compliance.milano@commerzbank.com
Quali fonti e quali dati personali utilizziamo?
Trattiamo i dati personali che riceviamo o otteniamo dai nostri dipendenti e da altre analoghe parti interessate nell’ambito del nostro rapporto di lavoro. Inoltre, trattiamo dati personali legittimamente ottenuti da fonti accessibili al pubblico (come stampa, Internet) o che ci sono stati legittimamente trasmessi da altre società del Gruppo Commerzbank o da terzi (come, ad esempio, informazioni sui provvedimenti di rilevanza penale), nella misura in cui ciò sia necessario ai fini del nostro rapporto tra datore di lavoro e dipendente. I dati in questione sono i dati anagrafici (nome, indirizzo e altri dati di contatto, data e luogo di nascita e nazionalità), i dati relativi al nucleo familiare (per esempio, status familiare, informazioni sui figli), i dati relativi all’appartenenza a gruppi religiosi, i dati relativi allo stato di salute (nella misura in cui siano rilevanti per la mansione professionale, ad esempio, in caso di disabilità grave), i dati relativi a possibili passate condanne penali (casellario giudiziale), i dati identificativi (quali ad es. i dati di documenti di identità), il codice fiscale ed informazioni sulle qualificazioni fornite dai precedenti datori di lavoro. Inoltre, tali dati possono includere anche dati contrattuali (quali ad es. la richiesta di una postazione di telelavoro), dati derivanti dall'espletamento dei nostri obblighi contrattuali (ad es. pagamenti dello stipendio), informazioni sulla Sua situazione finanziaria (come dati su finanziamenti in essere, dati relativi al pignoramento dello stipendio) e altri dati comparabili alle categorie di dati sopra citate.
Qual è la finalità per cui i Suoi dati sono trattati (finalità del trattamento dei dati personali) e qual è la base giuridica del trattamento?
Trattiamo i dati personali in conformità alle previsioni del Regolamento Europeo Generale sulla Protezione dei Dati Personali (GDPR) e l’eventuale relativa legge nazionale
a. al fine dell’adempimento di obblighi contrattuali (Art. 6 (1 b) GDPR ed art. 88 GDPR
I dati sono trattati ai fini dell’instaurazione, esecuzione e risoluzione del rapporto di lavoro tra dipendente e datore di lavoro o per l’esecuzione di misure precontrattuali condotte per esigenze di verifica. Qualora Lei possa beneficiare di ulteriori benefit (come, ad esempio, previdenza familiare), i Suoi dati saranno trattati nella misura necessaria a consentirLe di beneficiare di tali ulteriori benefit.
b. per il perseguimento di un legittimo interesse (Art. 6 (1 f) GDPR ed art. 88 GDPR
Nella misura in cui sia necessario, tratteremo i Suoi dati oltre l'ambito di effettiva esecuzione del contratto, al fine di tutelare legittimi interessi nostri e di terze parti. Ecco alcuni esempi:
- misure per pianificare lo sviluppo del personale, tramite iniziative di formazione e di valutazione professionale
- misure nel caso di cambiamenti organizzativi,
- esercitare o difendere un diritto in sede giudiziaria in caso di controversie,
- assicurare la sicurezza informatica e le operazioni IT della banca,
- prevenzione e attività di indagine in merito a comportamenti di rilevanza penale e gravi violazioni di obblighi,
- video sorveglianza a fini della tutela del patrimonio e proprietà, raccolta di prove in caso di attacchi o frodi, ad es. accesso i locali della sede secondaria, accesso a computer o casella di posta elettronica e strumenti IT e di Telecomunicazione in genere,
- misure per la sicurezza di edifici e sistemi (quali il controllo degli accessi;
- misure per protezione della proprietà del datore di lavoro
c. in base al Suo consenso (Art. 6 (1 a) GDPR ed art. 88 GDPR
Nella misura in cui Lei abbia fornito il consenso al trattamento dei dati personali da parte nostra per determinate finalità (come, ad esempio, il consenso all’estensione del periodo di conservazione dei documenti relativi alla Sua candidatura, alla partecipazione ad iniziative sportive dedicate ai dipendenti, a fare fotografie nell’ambito di eventi, all’invio di newsletter), tale trattamento è legittimo perché ci ha dato il Suo consenso. Il consenso, una volta dato, può essere revocato in qualsiasi momento. Ciò vale anche per la revoca delle dichiarazioni di consenso forniteci prima della data di efficacia del GDPR, cioè prima del 25 maggio 2018. La revoca del consenso avrà effetto solo per il futuro e non pregiudica la legittimità del trattamento dei dati personali effettuato fino al momento della revoca.
d. in base a norme di legge (Art. 6 (1 c) GDPR e Art. 88 GDPR) o per l'esecuzione di un compito di interesse pubblico (Art. 6 (1 e) GDPR)
Inoltre, essendo noi una banca, siamo soggetti a diversi obblighi di legge, ovvero requisiti normativi (quali la Normativa Previdenziale e Assicurativa, la Legge sulla Sicurezza sul Lavoro, la Legge sul Settore Bancario, la Legge sull’Antiriciclaggio, la Legge sul mercato degli Strumenti Finanziari, e le leggi fiscali) e regolamenti relativi alla vigilanza del settore bancario (ad es. la Banca Centrale Europea, l'Autorità Bancaria Europea, la Banca Federale Tedesca, l'Agenzia Federale per la Vigilanza dei Servizi Finanziari e le autorità di vigilanza locali). Le finalità di trattamento comprendono, tra le altre, la verifica dell'identità, la prevenzione delle frodi e del riciclaggio di denaro, l'osservanza di obblighi di controllo, di segnalazione e documentazione in materia previdenziale e fiscale e la valutazione e la gestione dei rischi nella banca e all’interno del Gruppo Commerzbank. Inoltre, tratteremo i Suoi dati nella misura necessaria per l’esercizio dei diritti e delle obblighi dei rappresentanti dei lavoratori ai sensi dei contratti collettivi nazionali di lavoro.
Chi potrà accedere ai miei dati?
All'interno della banca, sarà concesso l’accesso ai Suoi dati a quei dipartimenti che ne abbiano bisogno per dare esecuzione ai nostri obblighi contrattuali e di legge, come, ad esempio, i supervisori, il dipartimento HR, i rappresentanti sindacali aziendali. I fornitori di servizi e i mandatari da noi nominati possono avere accesso ai dati personali per le medesime finalità. Tali soggetti sono società che forniscono servizi di elaborazione paghe, compagnie assicurative, fornitori di servizi di formazione, fornitori di attività sportive, fornitori di servizi informatici, di logistica, di stampa e di telecomunicazioni. Per quanto riguarda la trasmissione dei dati a soggetti terzi, è necessario innanzitutto tener presente che noi, agendo come datore di lavoro, trasmetteremo solo i dati personali strettamente necessari, osservando tutte le normative applicabili in materia di protezione dei dati. In linea di principio, possiamo trasmettere informazioni sui nostri dipendenti solo se ciò sia richiesto dalla legge, il dipendente abbia dato il suo consenso o ci sia stata conferita la necessaria autorità. In tali casi, i destinatari dei dati personali possono, per esempio, essere:
- enti previdenziali,
- fornitori di assicurazioni sanitarie,
- fondi pensione,
- autorità fiscali,
- associazioni di categoria,
- autorità e istituzioni pubbliche (come la Banca Centrale Europea, l’Autorità Bancaria Europea, la Banca Federale Tedesca, l'Agenzia Federale per la Vigilanza dei Servizi Finanziari, le autorità fiscali, l’autorità giudiziaria penale), a condizione che sussista un obbligo di legge previsto dalla normativa primaria o secondaria,
- altri istituti che prestano servizi bancari o finanziari o istituti simili a cui trasmettiamo dati personali per l'esecuzione del rapporto contrattuale (ad es., per il pagamento dello stipendio),
- revisori generali e fiscali,
- fornitori di servizi che coinvolgiamo nell’ambito di rapporti contrattuali relativi al trattamento di dati.
Altri destinatari dei dati possono essere soggetti rispetto ai quali Lei abbia dato il proprio consenso alla trasmissione dei dati o ai quali possiamo trasferire i dati personali in base ad un principio di equità degli interessi delle parti.
I dati personali saranno trasferiti in un paese terzo o a un’organizzazione internazionale?
Il trasferimento dei dati personali a soggetti situati in Paesi non appartenenti all’Unione Europea (cosiddetti paesi terzi) sarà effettuato nella misura in cui
- sia richiesto dalla legge (come nel caso di una segnalazione obbligatoria in base alla normativa fiscale),
- Lei abbia espresso il Suo consenso, o
- ciò sia giustificato dal legittimo interesse in termini di protezione dei dati, rispetto al quale non siano opponibili gli interessi del soggetto i cui dati rientrano nella tutele del GDPR.
Inoltre, il trasferimento a soggetti situati in paesi terzi è previsto nei seguenti casi:
- Se la Sua firma digitale deve essere utilizzata in una transazione commerciale, la stessa sarà conservata in un registro di firme in Svizzera. Sarà osservato il livello di protezione dei dati dell' Unione Europea.
- Con il consenso dell’interessato dal trattamento o per effetto di obblighi di legge relativi al controllo sul riciclaggio di denaro, al finanziamento del terrorismo e ad altri reati e nell'ambito del bilanciamento degli interessi, i dati personali saranno trasmessi in singoli casi, osservando il livello di protezione dei dati personali dell'Unione Europea.
Per quanto tempo i Suoi dati personali saranno conservati?
Trattiamo e conserviamo i Suoi dati personali per il tempo strettamente necessario all’esecuzione degli obblighi contrattuali e di legge. A tale riguardo, è opportuno considerare che il rapporto di lavoro - in quanto tale - si configura come un obbligo che perdura negli anni. Se i dati non sono più necessari per l'esecuzione di obblighi contrattuali o di legge, tali dati saranno regolarmente cancellati, a meno che - temporaneamente - non sia necessario un ulteriore trattamento per le seguenti finalità:
- Adempimento di obblighi di conservazione che, ad esempio, possono essere imposti dalla normativa locale in materia pensionistica, societaria, fiscale, bancaria, antiriciclaggio o dalla normativa applicabile al mercato degli strumenti finanziari. Atti commerciali e documenti verranno conservati per il periodo di tempo previsto dalla predetta normativa.
- Conservazione delle prove in base alla vigente normativa applicabile a livello locale in materia di prescrizione.
Nel caso in cui i dati siano trattati in base ad un interesse legittimo nostro o di terzi, i dati personali verranno cancellati al venir meno di tale legittimo interesse. In questi casi, si applicano le eccezioni specificate. Lo stesso vale per il trattamento dei dati sulla base del consenso dato. Non appena Lei dovesse comunicare la revoca del consenso per il futuro, i dati personali saranno cancellati a meno che non si applichi una delle eccezioni elencate.
Quali sono i miei diritti con riferimento alla protezione dei dati personali?
Ogni interessato dal trattamento ha il diritto di accesso ai sensi dell’Art. 15 del GDPR, il diritto di rettifica ai sensi dell'Art. 16 del GDPR, il diritto di cancellazione ai sensi dell'Art. 17 del GDPR, il diritto alla limitazione del trattamento a sensi dell'Art. 18 del GDPR, il diritto di opposizione ai sensi dell’Art. 21 del GDPR e il diritto alla portabilità dei dati ai sensi dell'Art. 20 del GDPR. Inoltre, sono applicabili le previsioni delle leggi emanate a livello locale. Di norma, potrà esercitare questi diritti personalmente tramite HR Direct o contattando il dipartimento locale HR. Inoltre, sussiste il diritto di proporre un reclamo all’autorità di controllo competente in materia di protezione dei dati (Articolo 77 del GDPR). Il Suo consenso al trattamento dei dati personali a noi concesso può essere revocato in qualsiasi momento, dandocene comunicazione. Ciò vale anche per la revoca delle dichiarazioni di consenso espresse prima della data di efficacia del GDPR, ovvero prima del 25 maggio 2018. La preghiamo di considerare che tale revoca avrà effetto solo per il futuro. I trattamenti effettuati prima della revoca non saranno in alcun modo pregiudicati.
Sono obbligato a fornire i miei dati personali?
Nell'ambito del nostro rapporto datore di lavoro/dipendente, Lei è tenuto a fornire quei dati personali necessari per la costituzione, l'esecuzione e la risoluzione del rapporto di lavoro e per l'adempimento dei relativi obblighi contrattuali, o la cui raccolta ci è richiesta dalla legge. Senza questi dati, non saremo generalmente in grado di stipulare accordi con Lei, di dare esecuzione a tali accordi o di risolverli. In alcuni casi, potrebbe essere svantaggiato se non dovesse fornire i dati personali, ad es. potrebbe non ottenere l’assegnazione di materiale lavorativo appropriato per assistenza alle persone con grave disabilità. Se non dovesse fornire le informazioni e i documenti necessari, non potremo instaurare il rapporto datore di lavoro/dipendente desiderato o continuare tale rapporto.
In che misura i processi decisionali saranno automatizzati?
In linea di principio, non utilizziamo processi decisionali completamente automatizzati ai sensi dell'Articolo 22 del GDPR per instaurare un rapporto di lavoro, darvi esecuzione o risolverlo. Nel caso in cui dovessimo utilizzare tali processi in singoli casi, La informeremo individualmente di tale evenienza e dei Suoi diritti, ove previsto dalla legge.
Sarà effettuata la profilazione?
I Suoi dati personali saranno in parte trattati automaticamente con l'obiettivo di valutare determinati aspetti personali (profilazione). Ad esempio, utilizzeremo la profilazione nei seguenti casi:
- In base a previsioni di legge primaria e secondaria, siamo tenuti a porre in essere misure contro il riciclaggio di denaro, il finanziamento del terrorismo ed i reati contro il patrimonio. A tale riguardo, verranno analizzati i dati personali.
Informativa sul Suo diritto di opposizione ai sensi dell’Articolo 21 del GDPR
Diritto di opposizione in base a casi specifici
Ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua particolare situazione, al trattamento dei dati personali che La riguardano e di cui al punto (e) dell’Articolo 6 (1) (trattamento dei dati per l'esecuzione di un compito di interesse pubblico) e sul punto (f) dell’Articolo 6 del GDPR (trattamento dei dati sulla base di un legittimo interesse); ciò vale anche nel caso di profilazione, come definita dall’Articolo 4 punto 4 del GDPR. Qualora Lei dovesse opporsi, non tratteremo più i Suoi dati personali, a meno che non sussistano motivi legittimi contingenti per procedere al trattamento, che prevalgono sui Suoi interessi, sui Suoi diritti e sulle Sue libertà, oppure tale trattamento sia necessario per l'accertamento, l'esercizio o la difesa di diritti in sede giudiziaria.
Destinatario di una richiesta di opposizione
Tale richiesta di opposizione può essere presentata informalmente, indicando il Suo nome, il Suo indirizzo e la Sua data di nascita, e dovrà essere indirizzata a:
Commerzbank AG
Filiale di Milano
Data Protection Contact (DPC)
Corso Europa 2, 20122 Milano
Italia
Phone: +39 02 72596.1
compliance.milano@commerzbank.com
Commerzbank AG Luxemburg
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Deutschland
vertreten durch
Niederlassung Luxemburg
25, rue Edward Steichen, L-2540 Luxemburg
Großherzogtum Luxemburg
Telefon: +352 477 911 - 1
dataprotection-luxembourg@commerzbank.com
Du erreichst den Vertreter des betrieblichen Datenschutzbeauftragten unter
Commerzbank AG
Niederlassung Luxemburg
Data Protection Contact
25, rue Edward Steichen, L-2540 Luxemburg,
Luxemburg
Telefon: +352 477 911 -1
dataprotection-luxembourg@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden.
Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Bank und im Commerzbank-Konzern.
Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation.
Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigten dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den
§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du können diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG).
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses mussst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden.
Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit.
Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.
Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerzbank AG
Niederlassung Luxemburg
25, rue Edward Steichen, L-2540 Luxemburg,
Luxemburg
Telefon: +352 477 911 -1
dataprotection-luxembourg@commerzbank.com
Commerzbank AG Nederland
Met de volgende informatie willen wij u een overzicht geven van onze verwerkingen van uw persoonsgegevens en uw rechten ingevolge gegevensbeschermingswetgeving. Welke gegevens precies verwerkt worden en de manier waarop deze worden gebruikt, wordt voornamelijk bepaald door de verzochte of overeengekomen elementen van uw dienstverband op basis van een arbeidscontract met een werknemer of een dienstverlenings- of opdrachtovereenkomst met een externe opdrachtnemer, alsook mogelijke bijkomende voordelen. Het kan dus zijn dat niet ieder aspect van deze informatie op u van toepassing is.
Wie is de verwerkingsverantwoordelijke en wie is mijn contactpersoon?
De verantwoordelijkheid ligt bij
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Duitsland
vertegenwoordigd door
filiaal Amsterdam
Claude Debussylaan 24, 1082 MD
Amsterdam
U kunt de vertegenwoordiger van de interne functionaris voor gegevensbescherming bereiken onder
Commerzbank AG
filiaal Amsterdam
Data Protection Contact
Claude Debussylaan 24, 1082 MD Amsterdam
Nederland
Telefoon: +31(0)205574631
DataProtectionAMS@commerzbank.com
Van welke bronnen en welke gegevens maken wij gebruik?
Wij verwerken persoonsgegevens die wij in het kader van onze arbeidsrelatie ontvangen of verkrijgen van onze werknemers en andere vergelijkbare betrokkenen. Daarnaast verwerken wij persoonsgegevens die rechtmatig zijn verkregen uit publiekelijk toegankelijke bronnen (zoals pers, internet) of die rechtmatig aan ons zijn verzonden door andere vennootschappen van de Commerzbank Groep of door derden (bijvoorbeeld informatie over criminele handelingen) voor zover nodig voor onze werkgever-werknemerrelatie. Relevante persoonsgegevens zijn persoonlijke gegevens (naam, adres en andere contactgegevens, geboortedatum en -plaats en nationaliteit), familiegegevens (bijvoorbeeld gezinsstatus, informatie over kinderen), religieuze overtuiging, gezondheidsgegevens (voor zover relevant voor een dienstbetrekking, bijvoorbeeld bij ernstige invaliditeit), mogelijke eerdere veroordelingen (verklaring van goed gedrag), legitimatiegegevens (zoals gegevens van identiteitsbewijzen), btw-nummer en door vorige werkgevers verstrekte informatie over kwalificatie. Daarnaast kunnen dit ook contractgegevens zijn (zoals een aanvraag voor een telewerkplek), gegevens die voortvloeien uit de nakoming van onze contractuele verplichtingen (bijvoorbeeld salarisbetalingen), informatie over uw financiële status (zoals gegevens over uitstaande leningen, beslaglegging op inkomsten) en andere gegevens die vergelijkbaar zijn met de bovengenoemde categorieën.
Wat is het doel van verwerking van uw gegevens (doel verwerking) en op welke juridische grondslag vindt dit plaats?
Wij verwerken persoonsgegevens conform de bepalingen van de algemene verordening gegevensbescherming van de EU (AVG) en het toepasselijke bijbehorende lokale recht
a. met het oog op naleving van contractuele verplichtingen (art. 6, lid 1 onder b AVG in samenhang met art. 88 AVG)
Gegevens worden verwerkt voor het vaststellen, uitvoeren of beëindigen van de werkgever-werknemerrelatie op grond van onze overeenkomst met u of voor het uitvoeren van precontractuele maatregelen die zijn uitgevoerd naar aanleiding van vragen. Indien u gebruikmaakt van aanvullende voordelen (zoals kinderopvang) worden uw gegevens verwerkt voor zover dit vereist is om deze aanvullende voordelen ten uitvoer te brengen.
b. in verband met een afweging van de belangen (art. 6, lid 1 onder f AVG in samenhang met art. 88 AVG)
Voor zover nodig zullen wij uw gegevens buiten het bestek van de daadwerkelijke uitvoering van de overeenkomst verwerken om daarmee de rechtmatige belangen van onszelf en van derden te beschermen. Voorbeelden:
- maatregelen voor plannen HR-ontwikkeling,
- maatregelen in geval van organisatieveranderingen,
- instellen van rechtsvorderingen en verweer bij rechtsgedingen,
- waarborgen van ICT-beveiliging en de ICT-activiteiten van de bank,
- voorkomen en onderzoeken van criminele handelingen en ernstige tekortkomingen in de nakoming van verplichtingen,
- camerabewaking voor het uitoefenen van huisrechten, het verzamelen van bewijs bij aanvallen of fraude, bijvoorbeeld in filialen,
- maatregelen ter beveiliging van gebouwen en systemen (zoals toegangscontrole),
- maatregelen ter bescherming van ons huisrecht.
c. ten gevolge van uw toestemming (art. 6, lid 1 onder a AVG in samenhang met art. 88 AVG)
Voor zover u hebt ingestemd met de verwerking van persoonsgegevens door ons voor bepaalde doeleinden (zoals langdurige opslag van aanvraagdocumenten, sporten voor medewerkers, foto's in verband met evenementen, het versturen van nieuwsbrieven) is deze verwerking rechtmatig op basis van uw toestemming. Eenmaal gegeven toestemming kan te allen tijde worden ingetrokken. Dit geldt ook voor de intrekking van goedkeuringsverklaringen die ons zijn gegeven vóór de ingangsdatum van de AVG, d.w.z. vóór 25 mei 2018. Intrekking van toestemming heeft alleen gevolgen voor de toekomst en niet voor de rechtmatigheid van tot op dat moment verwerkte gegevens.
d. op basis van wettelijke regelgeving (art. 6 lid 1 onder c AVG en art. 88 AVG) of in het openbaar belang (art. 6 lid 1 onder e AVG)
Bovendien zijn wij als bank onderworpen aan verschillende wettelijke verplichtingen, dat wil zeggen wettelijke vereisten (zoals de sociale zekerheidswetten, wetgeving inzake veiligheid op het werk, de bankwet, de wet inzake het witwassen van geld, de wet inzake effectenhandel, belastingwetgeving) en voorschriften met betrekking tot het toezicht op het bankwezen (bijvoorbeeld van de Europese Centrale Bank, de Europese Bankautoriteit, de Duitse federale bank, het Federaal Agentschap voor het toezicht op financiële diensten en lokale toezichthoudende agentschappen). De doeleinden van de verwerking omvatten onder meer het controleren van de identiteit, de bestrijding van fraude en het witwassen van geld, het naleven van verplichtingen inzake controle, rapportage en documentatie in het kader van de sociale zekerheid en belastingwetgeving en de beoordeling en beheersing van risico's bij de bank en in de Commerzbank Groep. Daarnaast zullen wij uw gegevens verwerken voor zover nodig voor het uitoefenen van rechten en verplichtingen van werknemersvertegenwoordigers ingevolge een collectieve arbeidsovereenkomst (collectieve overeenkomst).
e. teneinde verplichtingen uit te voeren en bepaalde rechten van onszelf of van u uit te oefenen ten aanzien van arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht (art. 9, lid 2 onder b AVG)
Wij verwerken uw gezondheidsgegevens waar noodzakelijk ten behoeve van:
- de goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve overeenkomsten die voorzien in aanspraken die afhankelijk zijn van uw gezondheid, of
- voor de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
Wie ontvangt mijn gegevens?
Binnen de bank krijgen die afdelingen toegang tot uw gegevens die deze nodig hebben om te voldoen aan onze contractuele en wettelijke verplichtingen, bijvoorbeeld leidinggevenden, HR-afdeling, de ondernemingsraad, vertegenwoordiger van ernstig arbeidsongeschikte werknemers. Ook door ons aangestelde dienstverleners en hulppersonen kunnen de gegevens ontvangen voor deze doelen. Dit zijn ondernemingen in de categorieën salarisadministratie, verzekeringen, aanbieders van opleidingen, management van het sportaanbod van de onderneming, ICT-diensten, logistiek, drukkerijdiensten en telecommunicatie. Wat betreft het doorgeven van gegevens aan ontvangers buiten onze bank, moet om te beginnen in acht worden genomen dat wij als werkgever alleen de noodzakelijke persoonsgegevens doorgeven, met inachtneming van alle toepasselijke voorschriften inzake gegevensbescherming. Wij mogen in beginsel informatie over onze werknemers alleen doorgeven indien dit wettelijk verplicht is, om te voldoen aan onze contractuele verplichtingen jegens de medewerker, de werknemer zijn/haar toestemming heeft gegeven, of ons hiervoor anderszins toestemming is gegeven. Onder deze omstandigheden kunnen ontvangers van persoonsgegevens bijvoorbeeld zijn:
- uitvoeringsinstellingen,
- ziektekostenverzekeraars,
- pensioenfondsen,
- de fiscus,
- brancheorganisaties,
- overheidsinstanties en instellingen (zoals de Europese Centrale Bank, de Europese Bankautoriteit, de Duitse federale bank, het federaal agentschap voor het toezicht op financiële diensten, de fiscus, autoriteiten die criminele handelingen vervolgen) indien dit geschiedt op basis van een verplichting op grond van wet- of regelgeving,
- andere instellingen voor bank- en financiële instituten of vergelijkbare instellingen aan wie wij persoonsgegevens overdragen voor het uitvoeren van de contractuele relatie (bijvoorbeeld voor salarisbetalingen),
- algemene en loonbelastingscontroleurs,
- dienstverleners die wij op contractbasis betrokken hebben in verband met gegevensverwerking.
Andere ontvangers van gegevens kunnen die instanties zijn ten aanzien waarvan u ons toestemming hebt gegeven voor gegevensoverdracht of waarnaar wij gegevens kunnen overdragen op basis van een belangenafweging.
Worden de gegevens aan een derde land of internationale organisatie overgedragen?
Gegevensoverdracht aan instanties in staten buiten de Europese Unie (zogenaamde derde landen) vindt plaats voor zover
- wettelijk verplicht (zoals verplichte verslaggeving ingevolge belastingrecht),
- u ons hiervoor toestemming hebt gegeven, of
- dit wordt gerechtvaardigd door rechtmatige belangen waar het gaat om gegevensbescherming en zich geen belangen van de betrokkene die bescherming verdienen daartegen verzetten.
Bovendien is er sprake van overdracht aan instanties in derde landen in de volgende gevallen:
- Indien uw digitale handtekening gebruikt gaat worden in een zakelijke transactie, dan zal deze opgeslagen worden in een register voor handtekeningen in Zwitserland. Het Europese gegevensbeschermingsniveau zal in acht worden genomen.
- Met toestemming van de betrokkene of als gevolg van wettelijke bepalingen voor de bestrijding van het witwassen van geld, de financiering van terrorisme en andere criminele handelingen en in het kader van het afwegen van belangen, zullen persoonsgegevens in individuele gevallen worden overgedragen, met inachtneming van het gegevensbeschermingsniveau van de Europese Unie.
Hoelang worden mijn gegevens opgeslagen?
Wij verwerken uw persoonsgegevens en slaan deze op voor zolang dit nodig is om te voldoen aan onze contractuele en wettelijke verplichtingen. Hierbij dient voor ogen te worden gehouden dat een dienstverband een doorlopende verplichting is die bedoeld is om langere tijd in stand te blijven. Wanneer de gegevens niet langer nodig zijn voor de uitvoering van contractuele of wettelijke verplichtingen, zullen deze regelmatig worden gewist, tenzij - tijdelijke - verdere verwerking noodzakelijk is voor de volgende doeleinden:
- Naleving van retentieverplichtingen die bijvoorbeeld kunnen voortvloeien uit de lokaal geldende sociale wetgeving of handelswetgeving, belastingwetgeving, bankwetgeving, de wet op het witwassen van geld en de wet op de effectenhandel. Zakelijke papieren en documenten worden bewaard op basis van de in deze wetgeving gestelde termijnen.
- Behoud van bewijsmiddelen conform de lokaal toepasselijke wettelijke regelgeving betreffende de verjaringstermijnen.
In het geval dat gegevens worden verwerkt in het rechtmatig belang van ons of van een derde, worden alle persoonsgegevens bij het vervallen van dit rechtmatig belang gewist. In zulke gevallen zijn de genoemde uitzonderingen van toepassing. Hetzelfde geldt voor gegevensverwerking op basis van gegeven toestemming. Zodra u deze toestemming voor de toekomst intrekt, worden de persoonsgegevens gewist, tenzij een van de vermelde uitzonderingen van toepassing is.
Wat zijn mijn rechten met betrekking tot gegevensbescherming?
Iedere betrokkene heeft het recht van inzage op grond van artikel 15 AVG, het recht op rectificatie op grond van artikel 16 AVG, het recht op gegevenswissing op grond van artikel 17 AVG, het recht op beperking van de verwerking op grond van artikel 18 AVG, het recht van bezwaar op grond van artikel 21 AVG en het recht op overdraagbaarheid van gegevens op grond van artikel 20 AVG. Afgezien daarvan zijn de geldende bepalingen ingevolge de lokale bijbehorende wetgeving van toepassing. Meestal kunt u deze rechten zelf uitoefenen via Companion of HR Direct, of u neemt contact op met uw lokale HR-afdeling. Bovendien bestaat er het recht om een beroep te doen op een bevoegde toezichthoudende autoriteit voor gegevensbescherming (artikel 77 AVG). Uw toestemming voor het verwerken van persoonsgegevens die aan ons is verleend, kan te allen tijde worden ingetrokken door ons hiervan op de hoogte te stellen. Dit geldt ook voor de intrekking van goedkeuringsverklaringen die ons zijn gegeven vóór de ingangsdatum van de AVG, d.w.z. vóór 25 mei 2018. Let erop dat deze intrekking alleen geldig is voor de toekomst. Dit heeft geen gevolg voor verwerking die vóór de intrekking plaatsvond.
Ben ik verplicht om gegevens aan te leveren?
In het kader van onze werkgever-werknemerrelatie bent u verplicht om die persoonsgegevens te verstrekken die nodig zijn voor het aangaan, uitvoeren en beëindigen van het dienstverband en voor het uitvoeren van de bijbehorende contractuele verplichtingen, of waarvan het verzamelen ons bij wet is opgelegd. Zonder deze gegevens kunnen wij doorgaans geen overeenkomst met u aangaan, deze overeenkomst nakomen of beëindigen. In sommige gevallen kunt u nadeel ondervinden als gevolg van het niet verstrekken van persoonsgegevens, bijvoorbeeld werkmaterialen ter ondersteuning van zwaar gehandicapten, een extra bijdrage aan de verpleegkostenverzekering wanneer een medewerker kinderloos is. Indien u nalaat de nodige informatie en documenten te verstrekken, is het ons niet toegestaan om de gewenste werkgever-werknemerrelatie aan te gaan of voort te zetten.
In hoeverre wordt de besluitvorming geautomatiseerd?
Wij maken in principe geen gebruik van volledig geautomatiseerde besluitvormingsprocedures op grond van artikel 22 AVG voor het aangaan, uitvoeren of beëindigen van een dienstverband. In het geval dat wij deze processen in individuele gevallen zouden gebruiken, zullen wij indien wettelijk voorgeschreven u hierover en over uw rechten in dit opzicht afzonderlijk informeren.
Zal profilering plaatsvinden?
Uw gegevens worden automatisch verwerkt, onder meer met als doel bepaalde persoonlijke aspecten te beoordelen (profilering). Zo passen wij profilering toe in het volgende geval:
- Als gevolg van voorschriften op basis van wet- of regelgeving zijn wij verplicht om het witwassen van geld, de financiering van terrorisme en criminele handelingen die eigendommen in gevaar brengen te bestrijden. Hiertoe zullen gegevens geanalyseerd worden.
Informatie over uw recht van bezwaar op grond van artikel 21 AVG
Recht van bezwaar op basis van individuele gevallen
U hebt te allen tijde het recht om vanwege met uw specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van op u betrekking hebbende persoonsgegevens op basis van artikel 6, lid 1, onder e AVG (gegevensverwerking in het algemeen belang) en artikel 6, lid 1, onder f AVG (gegevensverwerking op basis van belangenafweging); dit geldt ook voor profilering zoals gedefinieerd in artikel 4 punt 4 Avg. Wanneer u bezwaar aantekent, staken wij de verwerking van uw persoonsgegevens tenzij wij dwingende gerechtvaardigde gronden voor deze verwerking hebben die zwaarder wegen dan uw belangen, rechten en vrijheden of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Ontvanger van een bezwaar
Een dergelijk bezwaar kan informeel worden ingediend, onder vermelding van uw naam, adres en geboortedatum en dient, indien mogelijk, te worden gericht aan:
Commerzbank AG
Filiaal Amsterdam
Claude Debussylaan 24
1082 MD Amsterdam,
Nederland
Telefoon: +31(0)205574631
DataProtectionAMS@commerzbank.com
Commerzbank AG Österreich
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Deutschland
vertreten durch
Niederlassung Wien
Hietzinger Kai 101-105, 1130 Wien
Österreich
Telefon: 0043 1 50672 0
joerg.tekuelve@commerzbank.com
Sie erreichen den Vertreter des betrieblichen Datenschutzbeauftragten unter
Operational Development - COO International Austria
Jörg Tekülve
Tel.: +43 150672500
joerg.tekuelve@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden.
Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Bank und im Commerzbank-Konzern.
Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation.
Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigten dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den
§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du können diese Rechte zumeist selbst über Companion ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG).
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses mussst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden.
Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit.
Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.
Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerzbank AG
Niederlassung Wien
Hietzinger Kai 101-105, 1130 Wien
Österreich
Telefon: 0043 1 50672 0
joerg.tekuelve@commerzbank.com
Commerzbank AG Poland
With the following information, we would like to give you an overview on the processing of your personal data by us and your rights under data protection law. Which data are processed in detail and the manner in which they are used is predominantly determined by the requested or agreed elements of your employment based on an employment contract with an employee or a service or work contract with an external contractor as well as possible additional benefits. Therefore, not every element of this information may be applicable to you.
Who is responsible for data processing and who can I contact?
Responsibility lies with
Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Germany
represented by
Commerzbank Aktiengesellschaft Spółka
Akcyjna
Oddzial w Polsce
ul. Wersalska 6
91-203 Łódź
Poland
Phone: +48 422088260
Marek.Gajowniczek@commerzbank.com
Which sources and which data do we use?
We process personal data which we receive or procure from our employees and candidates and other comparable data subjects in connection with our employment relationship. Moreover, we process personal data legitimately obtained from publicly accessible sources (such as press, Internet) or which have been legitimately transmitted to us from other companies of the Commerzbank Group or third parties to the extent necessary for our relationship of employer/employee. Relevant personal data are personal details (name, address and other contact data, and nationality), family data (e.g. family status, information on children), religious affiliation, health data (as far as relevant for employment, e.g. in case of severe disability), possible previous convictions (criminal history certificate), legitimisation data (such as data from ID cards) . In addition, these may also be contract data (such as a request for a telework station), data resulting from the performance of our contractual obligations (e.g. salary payments), information about your financial status (such as data on attachment of earnings), data obtained from your application process, and other data comparable with the above-mentioned categories.
What is the purpose of processing your data (processing purpose) and on which legal basis does this take place?
We process personal data in accordance with the provisions of the EU General Data Protection Regulation (GDPR) and the Polish Labour Code.
a. in order to comply with contractual obligations (Art. 6 (1 b) GDPR in conjunction with Art 88 GDPR)
Data are processed for the purpose of establishing, performing or terminating the employer/employee relationship under our contract with you or for performing pre-contractual measures conducted as a result of queries. If you should take advantage of additional benefits (e.g. child care), your data will be processed to the extent required to implement such additional benefits.
b. in connection with a reconciliation of interests (Art. 6 (1 f) in conjunction with Art 88 GDPR)
To the extent necessary, we will process your data beyond the scope of the actual performance of the contract so as to protect legitimate interests of our own and of third parties. Examples:
- measures for planning HR development,
- measures in case of organisational changes,
- lodging legal claims and defence in case of legal disputes,
- ensuring IT security and the IT operations of the company,
- prevention and investigation of criminal acts and severe breaches of obligations,
- video surveillance to exercise private property rights, to collect evidence in case of attacks or fraud, e.g. in branch establishments,
- measures for securing buildings and systems (such as admission control),
- measures to protect our private property right.
c. as a result of your consent (Art 6 (1 a) GDPR in conjunction with Art 88 GDPR)
To the extent you have consented to the processing of personal data by us for certain purposes (such as sending CV, employee sports, photographs in connection with events, sending out newsletters) such processing is legitimate on the basis of your consent. Consent once given may be withdrawn at any time. Withdrawal of consent will have an effect only for the future and does not affect the legitimacy of data processed until that date.
d. on the basis of statutory regulations (Art. 6 (1 c) GDPR and Art 88 GDPR)
Moreover, we are subject to various legal obligations, i.e. statutory requirements (such as the Labour Code, the Social Insurance Code, Law on Health and Safety at Work, tax laws) and local supervisory agencies. The purposes of processing include, among others reporting and documentation under labour, social security, accounting and tax law. In addition, we will process your data to the extent required for exercising rights and obligations of employee representatives resulting from a collective labour agreement, if applicable.
e. To the extent provided for in Article 221 of the Polish Labour Code, the provision of your personal data constitutes a statutory requirement, the non-fulfilment of which renders it impossible to conclude and continue the employment relationship, whereas the provision of personal data subject to consent to their processing, is voluntary
f. In order to protect the vital interests of the data subject or of another person and the protection of an important social and public interest (Article 6(1)(d) RODO and Article 207 of the codec of work in accordance with article 9(2)(b)(c), (g) and (h) of the RODO) To protect against the risk of the Sars-CoV-2 epidemic (and other similar) in order to collect health data.
Who will receive my data?
Within the company, those units will be granted access to your data that need them in order to comply with our contractual and statutory obligations, e.g. supervisors, HR department, the employee representatives. Service providers and agents appointed by us may also receive the data for these purposes. These are companies in the categories payroll, insurance, providers of training, management of the company sports offering, IT services, logistics, printing services and telecommunication. As far as passing on data to recipients outside our company is concerned, it must first be kept in mind that we, as the employer, will pass on only necessary personal data, observing all applicable regulations on data protection. As a matter of principle, we may pass on information about our employees only if this is required by law, the employee has given his/her consent or we have otherwise been granted authority. Under these circumstances, recipients of personal data may, for example, be:
- Social insurance companies,
- health insurance providers,
- tax authorities,
- public authorities and institutions (such as authorities prosecuting criminal acts) if based on a statutory or regulatory obligation,
- banking and financial services providers to whom we transfer personal data for fulfilling the contractual relationship (e.g. for salary payments),
- general and wage tax auditors,
- service providers whom we involve in connection with contract data processing relationships.
Other recipients of data may be those bodies for which you have given us your consent to data transfer or to which we may transfer data on the basis of the balancing of interests.
Will the data be transferred to a third country or an international organisation?
Data transfer to bodies in states outside the European Union (so-called third countries) will take place to the extent
- it is required by law (such as obligatory reporting under tax law),
- you have given us your consent or
- this is justified by legitimate interests in terms of data protection and not opposed by interests of the data subject worthy of protection.
Moreover, transfer to bodies in third countries is intended in the following cases:
- If your digital signature is to be used in a business transaction, it will be stored in a register of signatures in Switzerland. The European level of data protection will be observed.
- With the consent of the data subject or within the scope of the balancing of interests, personal data will be transferred in individual cases, observing the data protection level of the European Union.
For how long will my data be stored?
We process and store your personal data as long as it is required to meet our contractual and statutory obligations. In this respect, it must be kept in mind that employment is a continuing obligation designed to last over a longer period of time. Personal data transferred during recruitment will be retained for the duration of the recruitment process and, in case of employment, for the duration of the employment. If the data are no longer required for the performance of contractual or statutory obligations, these will be erased on a regular basis unless – temporary – further processing is necessary for the following purposes:
- Compliance with obligations of retention which, for example, may result from: the Social Insurance Code, the Accountancy Act, the Tax and Social Insurance Procedure Code and the Labour Code. As a rule, the time limits specified there for retention or documentation are up to 50 years, depending on the type of document.
- Preservation of evidence under locally applicable the statutory regulations regarding the statutes of limitation.
In the event that data are processed in the legitimate interest of us or of a third party, any personal data will be erased when this legitimate interest has lapsed. In such cases, the exceptions specified apply. The same applies for data processing on the basis of consent given. As soon as you revoke this consent for the future, the personal data will be erased unless one of the exceptions listed applies.
What are my rights with regard to data protection?
Every data subject has the right of access pursuant to Article 15 GDPR, the right to rectification pursuant to Article 16 GDPR, the right to erasure pursuant to Article 17 GDPR, the right to restriction of processing pursuant to Article 18 GDPR, the right to objection pursuant to Article 21 GDPR and the right to data portability pursuant to Article 20 GDPR. You will usually be able to exercise these rights yourself via Companion or you contact your local HR department. Moreover, there is a right to appeal to a competent data protection supervisory authority (Article 77 GDPR). Your consent to the processing of personal data granted to us may be withdrawn at any time by informing us accordingly. Note that this withdrawal will be valid only for the future. Processing events that took place before withdrawal are not affected.
Am I obliged to provide data?
Within the scope of our employer/employee relationship, you are obliged to provide those personal data which are required for commencing, executing and terminating the employment and for performing the associated contractual obligations or the collection of which is imposed upon us by law. Without these data, we will generally not be able to enter into agreements with you, to perform under such an agreement or to terminate it. In some cases, you may suffer disadvantages as a result of the failure to provide personal data, e.g. work materials assisting severely handicapped individuals. If you should fail to provide the necessary information and documents, we are not permitted to enter into the desired employer/employee relationship or to continue with such a relationship.
To what extent will decision-making be automated?
As a matter of principle, we do not use fully automated decision-making processes pursuant to Article 22 GDPR to establish, perform or terminate employment. In the event that we should use such processes in individual cases, we will inform you of this and of your rights in this respect separately if prescribed by law.
Will profiling take place?
Your data will be processed automatically in part with the objective of assessing certain personal aspects (profiling). For example, we will use profiling in the following case:
- As a result of statutory and regulatory regulations, we are obliged to fight the financing of terrorism. In that respect, data will be analysed.
Information about your right to object pursuant to Article 21 GDPR
Right to object based on individual cases
You have the right to object, on grounds relating to your particular situation, at any time to the processing of personal data concerning you which is based on point (f) of Article 6 (1) GDPR (data-processing on the basis of the balancing of interests); this also applies for profiling as defined in Article 4 point 4 GDPR. If you do object, we will no longer process your personal data unless we have compelling justified reasons for such processing which take precedence over your interests, rights and freedom or, alternatively, such processing serves to assert, exercise or defend legal claims.
Recipient of an objection
Such an objection may be submitted informally, stating your name, address and date of birth and should, if possible, be addressed to:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt nad Menem
Niemcy
Represented by:
Commerzbank Aktiengesellschaft Spółka Akcyjna
Oddział w Polsce
ul. Wersalska 6
91-203 Łódź
Poland
Point of contact:
Telefon: +48 422088260
E-mail: Marek.Gajowniczek@commerzbank.com
Commerzbank AG Polska
Informacje znajdujące się poniżej mają na celu przedstawienie Państwu ogólnego zarysu sposobu przetwarzania przez nas Państwa danych oraz praw przysługujących Państwu na mocy przepisów o ochronie danych. Zakres szczegółowo przetwarzanych danych oraz sposób ich wykorzystywania jest w głównej mierze zależny od uzgodnionych albo oczekiwanych warunków Państwa zatrudnienia, wynikających z umowy o pracę z pracownikiem, umowy o pracę lub umowy o pracę z zewnętrznym wykonawcą, jak również ewentualnych dodatkowych świadczeń. Dlatego też nie każdy element tych informacji może mieć do Państwa zastosowanie.
Kto jest odpowiedzialny za przetwarzanie danych i z kim mogę się skontaktować?
Za przetwarzanie danych odpowiada: Odpowiedzialność spoczywa na
Commerzbank AG
Kaiserplatz, 60261 Frankfurt nad Menem
Niemcy
reprezentowany przez
Commerzbank Aktiengesellschaft Spółka Akcyjna
Oddział w Polsce
ul. Wersalska 6
91-203 Łódź
Polska
Punkt kontaktowy:
Telefon: +48 422088260
Adres e-mail: Marek.Gajowniczek@commerzbank.com
Jakich źródeł i jakich danych używamy?
Przetwarzamy dane osobowe, które otrzymujemy lub pozyskujemy od naszych pracowników oraz kandydatów do pracy i innych porównywalnych osób, których dotyczą dane w związku z łączącym ich z nami stosunkiem pracy. Ponadto przetwarzamy dane osobowe uzyskane zgodnie z prawem ze źródeł publicznie dostępnych (takich jak prasa, Internet) lub które zostały zgodnie z prawem przekazane nam przez inne firmy grupy Commerzbank lub osoby trzecie w zakresie niezbędnym do nawiązania stosunku pracy między pracodawcą a pracownikiem. Istotne dane to dane osobowe (imię i nazwisko, adres i inne dane kontaktowe oraz obywatelstwo), dane dotyczące rodziny (np. stan cywilny, informacje o dzieciach), przynależność religijna, dane dotyczące zdrowia (w zakresie istotnym dla zatrudnienia, np. w przypadku poważnej niepełnosprawności), ewentualne wcześniejsze wyroki skazujące (dane o karalności), dane potwierdzające tożsamość (takie jak dane z dowodów osobistych). Mogą to być również dane dotyczące umów (takie jak wnioski o wydanie komputera do pracy zdalnej), dane wynikające z wykonania naszych zobowiązań umownych (np. wypłaty wynagrodzenia), informacje o sytuacji finansowej (na przykład dane o zajęciu wynagrodzenia) oraz inne dane porównywalne z wyżej wymienionymi kategoriami.
Jaki jest cel przetwarzania Państwa danych (cel przetwarzania) i jaka jest jego podstawa prawna?
Dane osobowe są przetwarzane zgodnie z przepisami ogólnego rozporządzenia UE o ochronie danych (RODO) i polskiego kodeksu pracy.
a. w celu wypełnienia zobowiązań umownych (art 6 (1 b) RODO w zw. z art. 88 RODO)
Dane są przetwarzane w celu nawiązania, wykonania lub zakończenia stosunku pracy między pracodawcą a pracownikiemw ramach zawartej z Państem umowy lub w celu wykonania żądanych działań podejmowanych przed zawarciem umowy. W przypadku korzystania z dodatkowych świadczeń (np. opieki nad dziećmi) dane będą przetwarzane w zakresie wymaganym do wdrożenia takich dodatkowych świadczeń.
b. w celu zapewnienia równowagi interesów (art 6 (1 f) w związku z art. 88 RODO)
W niezbędnym zakresie będziemy przetwarzać Państwa dane poza zakresem rzeczywistego wykonania umowy, aby chronić nasze prawnie uzasadnione interesy i interesy osób trzecich. Przykłady:
- działania w zakresie planowania rozwoju pracowników,
- środki wdrażane w przypadku zmian organizacyjnych,
- dochodzenie roszczeń prawnych i obrona w sporach prawnych,
- zapewnienie bezpieczeństwa systemu IT i działalności IT firmy,
- zapobieganie przestępstwom i poważnym naruszeniom obowiązków oraz prowadzenie dochodzeń w ich sprawie,
- prowadzenie monitoringu wizyjnego w celu korzystania z praw do własności prywatnej, gromadzenia dowodów w przypadku rabunków lub oszustw finansowych, np. w oddziałach banku,
- Środki ochrony budynków i instalacji (np. kontrola dostępu),
- środki ochrony naszego prawa do miru domowego.
c. za Państwa zgodą (art. 6 ust. 1 lit. a) RODO w związku z art. 88 RODO)
W zakresie, w jakim wyraziliście Państwo zgodę na przetwarzanie przez nas danych osobowych w określonych celach (takich jak przesłanie CV, sport pracowników, fotografie związane z wydarzeniami, wysyłanie biuletynów), przetwarzanie takie jest zgodne z prawem na podstawie Państwa zgody. Udzielona zgoda może zostać cofnięta w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
d. z uwagi na wymogi prawne (art 6 (1 c) RODO i art. 88 RODO)
Podlegamy również różnym wymogom prawnym, to jest wynikającym z zapisów ustaw (takich jak kodeks pracy, kodeks ubezpieczeń społecznych, ustawa o BHP, przepisy podatkowe) oraz wymogom określanym przez lokalne agencje nadzoru. Do celów przetwarzania zalicza się między innymi sprawozdawczość i prowadzenie dokumentacji na podstawie przepisów prawa pracy, przepisów o ubezpieczeniu społecznm, rachunkowości i prawa podatkowego. Ponadto dane będą przetwarzane w zakresie wymaganym do wykonywania praw i obowiązków przedstawicieli pracowników wynikających z porozumień zbiorowych, o ile zostały zawarte,
e. w zakresie przewidzianym w art. 221 polskiego Kodeksu pracy, przekazanie danych osobowych stanowi wymóg ustawowy, którego niewypełnienie uniemożliwia prowadzenie procesu rekrutacyjnego, zawarcie i kontynuowanie stosunku pracy, podczas gdy przekazywanie danych osobowych podlegających zgodzie na przetwarzanie jest dobrowolne
f. w celu ochorny żywotnych interesów osoby, której dane dotyczą lub innej osoby oraz w zakresie ochrony ważnego interesu socjalnego i publicznego (art. 6 ust. 1 lit. d RODO oraz art. 207 kodeku pracy w zw. z art. 9 ust. 2 lit. b. lit. c, lit. g i lit. h RODO) z uwagi na ochronę przed zagrożeniem wynikającycm z epidemii wirusa Sars-CoV-2 (oraz innych podobnych) w celu zbierania danych o stanie zdrowia.
Kto otrzyma moje dane?
W ramach spółki dostęp do danych otrzymają działy, którym informacje są niezbędne w celu wykonania naszych zobowiązań umownych i ustawowych, np. przełożeni, dział HR, przedstawiciele pracowników. Usługodawcy i powołani przez nas przedstawiciele mogą również otrzymywać dane w poniższych celach Są to firmy świadczące usługi z zakresu płac, ubezpieczenia, szkoleń, zarządzania aktywnością sportową pracowników firmy, IT, logistyki, poligrafii i telekomunikacji.
- Jeśli chodzi o przekazywanie danych odbiorcom spoza naszej firmy, należy pamiętać, że jako pracodawca przekazujemy tylko niezbędne dane osobowe, przestrzegając wszystkich obowiązujących przepisów dotyczących ochrony danych. Co do zasady możemy przekazywać informacje o naszych pracownikach tylko wtedy, gdy jest to wymagane prawem, pracownik wyraził na to zgodę lub zostaliśmy do tego upoważnieni w inny sposób. W takich okolicznościach odbiorcami danych osobowych mogą być na przykład:zakłady ubezpieczeń społecznych,
- fundusze zdrowia,
- organy podatkowe,
- organy i instytucje publiczne (takie jak organy zajmujące się zwalczaniem przestępczości), jeżeli zobowiązanie takie wynika z ustaw lub przepisów,
- dostawcy usług bankowych i finansowych, którym przekaniamy dane osobowe w celu wypełnienia zobowiązań umownych (np. w związku z wypłatą wynagrodzeń),
- kontrolerzy przeprowadzający audyty w sprawach ogólnych i dotyczących podatków od wynagrodzeń,usługodawcy, którym powierzamy przetwarzanie danych osobowych
Innymi odbiorcami danych mogą być podmioty, którym przekazujemy dane na podstawie Państwa zgody lub w celu zapewnienia równowagi interesów.
Czy dane będą przekazywane do państwa trzeciego lub organizacji międzynarodowej?
Przekazywanie danych organom państw spoza Unii Europejskiej (tzw. państwom trzecim) będzie miało miejsce w zakresie, w jakim:
- jest to wymagane prawem (np. obowiązkowa sprawozdawczość na podstawie prawa podatkowego),
- wyrazili Państwo na to zgodę lub
jest to uzasadnione słusznymi interesami ochrony danych, a podlegające ochronie osoby, których dane dotyczą nie sprzeciwiły się temu. Przekazanie danych podmiotom w państwach trzecich będzie mieć miejsce również w następujących przypadkach:
- Jeśli Państwa podpis cyfrowy ma zostać użyty w ramach transakcji biznesowej, będzie on przechowywany w rejestrze podpisów w Szwajcarii. Zapewniony poziom ochrony danych będzie równorzędny unijnemu.
- za zgodą osoby, której dane dotyczą lub w ramach równoważenia interesów, dane osobowe będą przekazywane w indywidualnych przypadkach, z zachowaniem poziomu ochrony danych w Unii Europejskiej.
Jak długo będą przechowywane moje dane?
Przetwarzamy i przechowujemy Państwa dane osobowe tak długo, jak jest to wymagane do wypełnienia naszych zobowiązań umownych i ustawowych. W związku z tym należy pamiętać, że zatrudnienie jest obowiązkiem o charakterze ciągłym, który ma istnieć przez dłuższy okres czasu. Dane osobowe przekazane w czasie rekrutacji będą przechowywane przez okres trwania procesu rekrutacyjnego, a w razie podjecia zatrudnienia także przez czas trwania zatrudneinia. Jeżeli dalsze przechowywanie danych nie jest już niezbędne do wywiązania się ze zobowiązań umownych lub ustawowych, będą one regularnie usuwane, chyba że – tymczasowe – dalsze przetwarzanie jest konieczne do następujących celów:
- wykonanie obowiązków zatrzymywania danych, które mogą wynikać na przykład z: ustawy o ubezpieczeniach społecznych, ustawy o rachunkowości, kodeksu postępowania w sprawach podatkowych i dotyczących ubezpieczeń społecznych oraz kodeksu pracy. Z zasady terminy przechowywania lub dokumentowania nie przekraczają 50 lat, w zależności od typu dokumentu.
- przechowanie dowodów zgodnie z lokalnie obowiązującymi przepisami dotyczącymi okresu przedawnienia.
Jeżeli dane będą przetwarzane na podstawie naszego prawnie uzasadnionego interesu albo prawnie uzasadnionego interesu osoby trzeciej, wszelkie dane osobowe zostaną usunięte po wygaśnięciu tego uzasadnionego interesu. W takich przypadkach stosuje się określone wyjątki. To samo dotyczy przetwarzania danych na podstawie udzielonej zgody. Niezwłocznie z chwilą cofnięcia tej zgody na przyszłość, dane osobowe zostaną usunięte, chyba że ma zastosowanie jeden z wymienionych wyjątków.
Jakie są moje prawa dotyczące ochrony danych?
Każdej osobie, której dane dotyczą przysługuje prawo do dostępu zgodnie z art. 15 RODO, prawo do sprostowania zgodnie z art. 16 RODO, prawo do usunięcia zgodnie z art. 17 RODO, prawo do ograniczenia przetwarzania zgodnie z art. 18 RODO, prawo do sprzeciwu zgodnie z art. 21 RODO oraz prawo do przenoszenia danych zgodnie z art. 20 RODO, Skorzystanie z tych uprawnień jest zwykle możliwe osobiście za pośrednictwem Companion lub poprzez skontaktowanie się z lokalnym działem HR.. Przysługuje Państwu również prawo odwołania się do właściwego organu nadzorczego ds. ochrony danych (art. 77 RODO)). Udzielona przez Państwa zgoda na przetwarzanie danych osobowychmoże zostać w każdej chwili cofnięta poprzez przekazanie nam odpowiedniej informacji. Należy pamiętać, że wycofanie zgody ma skutek tylko na przyszłość i nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem..
Czy jestem zobowiązany do dostarczania danych?
W ramach istniejącego między nami stosunku pracy pracodawca/pracownik są Państwo zobowiązani do dostarczenia tych danych osobowych, które są wymagane do nawiązania, wykonania i zakończenia stosunku pracy oraz do wykonania powiązanych zobowiązań umownych, a także tych danych, do których zbierania jesteśmy zobowiązani na podstawie obowiązującego prawa. Bez tych danych nie będziemy w stanie zawrzeć z Państwem umów, wykonywać ich zapisów ani rozwiązać ich. W niektórych przypadkach niedostarczenie danych osobowych może mieć niekorzystne skutki, np. uniemożliwi przekazanie narzędzi ułatwiających pracę osobom niepełnosprawnym. W przypadku niedostarczenia niezbędnych informacji i dokumentów, nie będziemy w stanie nawiązać stosunku pracy między pracodawcą a pracownikiem ani kontynuować jego wykonywania.
W jakim stopniu proces decyzyjny będzie zautomatyzowany?
Zasadniczo nie stosujemy procesów zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO w celu nawiązania, wykonania lub zakończenia stosunku pracy. Jeżeli w indywidualnych przypadkach będziemy korzystać z tego rodzaju procesów, poinformujemy Państwa o tym fakcie i przysługujących Państwu w związku z tym praw, jeżeli będzie to wymagane prawem.
Czy będzie miało miejsce profilowanie?
Państwa dane będą częściowo przetwarzane automatycznie w celu oceny niektórych czynników osobowych (profilowanie). Profilowanie będzie stosowane na przykład w następującym przypadku:
- na podstawie przepisów ustawowych i nadzorczych jesteśmy zobowiązani do przeciwdziałania finansowaniu terroryzmu. Dane będą poddawane analizie w związku z tą kwestią.
Informacje na temat prawa do sprzeciwu zgodnie z art. 21 RODO
Prawo do sprzeciwu w indywidualnych przypadkach
Mają Państwo prawo wniesienia sprzeciwu z przyczyn związanych z Państwem szczególną sytuacją, w dowolnym czasie, wobec przetwarzania dotyczących Państwa danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO (przetwarzanie danych w celu zapewnienia równowagi interesów); dotyczy to również profilowania w rozumieniu art. 4 ustęp 4 RODO. W przypadku wniesienia przez Państwa sprzeciwu, zaprzestaniemy przetwarzania Państwa danych osobowych, chyba że będziemy w posiadaniu ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Odbiorca sprzeciwu
Sprzeciw taki może zostać złożony nieformalnie, z podaniem imienia i nazwiska, adresu oraz daty urodzenia i w miarę możliwości powinien być skierowany do:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt nad Menem
Niemcy
reprezentowany przez
Commerzbank Aktiengesellschaft Spółka Akcyjna
Oddział w Polsce
ul. Wersalska 6
91-203 Łódź
Polska
Punkt kontaktowy:
Telefon: +48 422088260
Adres e-mail: Marek.Gajowniczek@commerzbank.com
Commerzbank AG Schweiz
Mit den folgenden Informationen möchten wir dir einen Überblick über die Bearbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen bearbeitet und in welcher Weise genutzt werden, richtet sich massgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
Commerzbank AG, FFM, ZNL Zürich
Pelikanplatz 15, 8001 Zürich
Telefon: +41 44563 6900
datenschutz.zuerich@commerzbank.com
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerzbank AG, FFM, ZNL Zürich
Pelikanplatz 15, 8001 Zürich
Telefon: +41 44563 6910
olaf.oelschlaeger@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir bearbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem bearbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des CommerzbankKonzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden.
Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Curricula Vitae, Religionszugehörigkeit (sofern relevant für die Lohnabrechnung oder Steuerfestlegung [z. B. Quellensteuern]), Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z. B. für Einordnungen bei der Pensionskasse oder bei einer Schwerbehinderung), Privatauszug aus dem Schweizerischen Strafregister, Legitimationsdaten (z. B. Ausweisdaten), AHV-Nummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten, Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z. B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z. B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür bearbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir bearbeiten personenbezogene Daten im Einklang mit den Bestimmungen des Schweizer Bundesgesetzes über den Datenschutz (DSG) und, sofern anwendbar, der EU Datenschutzgrundverordnung (DSGVO) zur Erfüllung von vertraglichen Pflichten (Art. 4 und/oder 13 DSG oder, sofern anwendbar, Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO).
Die Bearbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsver hältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Massnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z. B. Hypothekenzinsen, Geschäftsmobiltelefon), werden deine Daten zur Erfüllung dieser Zusatzleistungen bearbeitet, soweit dies erforderlich ist
a. im Rahmen der Interessenabwägung (Art. 13 DSG und/oder, sofern anwendbar, Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO). Soweit erforderlich bearbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Massnahmen zur Personalentwicklungsplanung
- Massnahmen bei organisatorischen Veränderungen
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
- Gewährleistung der ITSicherheit und des IT Betriebs der Bank
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG)
b. aufgrund deiner Einwilligung (Art. 13 DSG und/oder, sofern anwendbar, 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO). Soweit du uns eine Einwilligung zur Bearbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmässigkeit dieser Bearbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt, sofern EU-Recht auf deine Datenbearbeitung anwendbar ist, auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmässigkeit der bis zum Widerruf bearbeiteten
c. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art.13 DSG und/oder, sofern anwendbar, 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO) oder im öffentlichen Interesse (Art. 13 DSG und/oder, sofern anwendbar, Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heisst gesetzlichen Anforderungen (z. B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhan delsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z. B. der FINMA). Zu den Zwecken der Bearbeitung gehören unter anderem die Identitätsprüfung, Betrugs und Geldwäscheprävention, die Erfüllung sozialversicherungs und steuerrechtlicher Kontroll und Melde oder Dokumentationspflichten sowie die Steuerung von Risiken in der Bank und im Commerzbank-Konzern.
Wer bekommt meine Daten?
Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z. B. Vorgesetzte, Personalabteilung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, ITDienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation.
Im Hinblick auf die Datenweitergabe an Empfänger ausserhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weiter geben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:
- Sozialversicherungsträger,
- Versorgungswerke,
- Unfallversicherung UVG, UVG-Zusatzversicherung, Kollektiv-Krankenversicherung,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. FINMA oder Datenschutzbeauftragte [kantonale oder eidgenössischer], und, sofern indirekt anwendbar und amtshilfeweise gestattet, die Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanz dienstleistungsaufsicht, Finanzbehörden, Strafver folgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z. B. für Gehaltszahlungen),
- Wirtschaftsprüfer,
- Steuerämter (insbesondere Quellensteuer),
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten ausserhalb der Schweiz und/oder der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z. B. steuerrechtliche Meldepflichten, gesetzliche Regelungen zur Geldwäscherei/Terrorismusfinanzierung, Aufklärung strafbarer Handlungen);
- du uns deine Einwilligung erteilt hast;
- adäquate Schutzmassnahmen getroffen wurden (z. B. Datentransferverträge); oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Wie lange werden meine Daten gespeichert?
Wir bearbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmässig gelöscht. Gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
Sofern die Datenbearbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die gesetzlich genannten Ausnahmen.
Gleiches gilt für die Datenbearbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat ein Recht auf Auskunft nach Artikel 8 DSG und/oder, sofern anwendbar, Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 15 DSG und/oder, sofern anwendbar, Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 15 und/oder, sofern anwendbar, Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 15 DSG und/oder, sofern anwendbar, Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 4 DSG sinngemäss und, sofern anwendbar, Artikel 21 DSGVO sowie, sofern anwendbar, das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Darüber hinaus besteht ein Recht, eine Meldung bei der zuständigen Aufsichtsbehörde in der Schweiz zu erstatten (kantonaler oder eidgenössischer Datenschutzbeauftragter).
Eine erteilte Einwilligung in die Bearbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Sofern EU-Recht auf deine Datenbearbeitung anwendbar ist, gilt dies auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Bearbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schliessen, diesen auszuführen und zu beenden.
Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst.
Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnisses entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung (in der EU gemäss Artikel 22 DSGVO). Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir bearbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte auszuwerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, gemäss dem DSG und/oder, sofern anwendbar, Artikel 21 DSGVO, Widerspruch einzulegen.
Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr bearbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Bearbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerzbank AG, FFM, ZNL Zürich
Pelikanplatz 15, 8001 Zürich
Telefon: +41 44563 6900
datenschutz.zuerich@commerzbank.com
Commerzbank AG Slovaška
Na základe informácií uvedených nižšie by sme Vám chceli poskytnúť prehľad o spracúvaní Vašich osobných údajov z našej strany a o Vašich právach podľa právnych predpisov o ochrane osobných údajov. Určenie toho, ktoré údaje sa podrobne spracúvajú, a spôsobu, akým sa využívajú, závisí predovšetkým od požadovaných alebo dohodnutých prvkov pracovného pomeru na základe pracovnej zmluvy so zamestnancom alebo servisnej zmluvy alebo zmluvy o dielo s externým dodávateľom, ako aj od prípadných dodatočných výhod. Preto nie všetky tieto informácie môžu byť pre Vás relevantné.
Kto zodpovedá za spracúvanie údajov a koho môžem kontaktovať?
Zodpovednou osobou je:
Commerzbank AG
Kaiserplatz, 60261 Frankfurt nad Mohanom
Nemecko
Zastúpená:
Commerzbank AG
pobočka zahraničnej banky, Bratislava
Rajská 15A,
811 08 Bratislava
Slovak Republik
Telefón: +421 257 103 111
officebratislava@commerzbank.com
Kontaktné údaje zástupcu internej zodpovednej osoby, s ktorou sa môžete skontaktovať:
Commerzbank AG
pobočka Praha
Kontakt pre ochranu údajov
Jugoslávská 934/1
12000 Praha 2
Česká republika
Telefón: +420 221 193 571/576
GS-OSISPrag@commerzbank.com
Ktoré zdroje a ktoré údaje využívame?
Spracúvame osobné údaje, ktoré získavame alebo zabezpečujeme od svojich zamestnancov a ostatných dotknutých subjektov v porovnateľnom postavení v súvislosti s našim pracovnoprávnym vzťahom. Okrem toho spracúvame osobné údaje, ktoré boli legitímne získané z verejne dostupných zdrojov (ako je napríklad tlač, internet) alebo ktoré nám legitímne poskytli iné spoločnosti skupiny Commerzbank alebo tretie strany (napríklad informácie o trestných činoch), a to v rozsahu potrebnom na účely nášho vzťahu zamestnávateľ – zamestnanec. Relevantnými osobnými údajmi sú osobné informácie (meno, adresa a ostatné kontaktné údaje, dátum a miesto narodenia a štátne príslušnosť), údaje o rodine (napr. rodinný stav, informácie o deťoch), príslušnosť k cirkvi alebo náboženskej spoločnosti, zdravotné údaje (pokiaľ sú relevantné na účely pracovného pomeru, napr. v prípade závažného zdravotného postihnutia), prípadné predchádzajúce odsúdenia (osvedčenie o dobrom správaní), údaje na preukázanie totožnosti (ako sú napríklad údaje z občianskych preukazov), daňové identifikačné číslo a informácie o kvalifikácii poskytovanej bývalými zamestnávateľmi. Okrem toho môže ísť aj o zmluvné údaje (ako je napríklad žiadosť o stanicu pre prácu na diaľku), údaje vyplývajúce z plnenia zmluvných povinností (napr. úhrady mzdy), informácie o Vašej finančnej situácii (ako sú napríklad údaje o ešte nesplatených úveroch, zrážkach z príjmov) a ostatné údaje porovnateľné s vyššie uvedenými kategóriami.
Aký je účel spracúvania Vašich údajov (účel spracúvania) a na akom právnom základe sa uskutočňuje?
Osobné údaje spracúvame v súlade s ustanoveniami všeobecného nariadenia EÚ o ochrane údajov (General Data Protection Regulation – GDPR), a predovšetkým v súlade so slovenským zákonom na ochranu osobných údajov č. 18/2018 Z.z. a príslušnými miestnymi sprievodnými právnymi predpismi
a. s cieľom plniť zmluvné povinnosti (článok 6 ods. 1 písm. b) GDPR v spojení s článkom 88 GDPR) §13 písmeno b a v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov
Údaje sa spracúvajú na účely založenia, plnenia alebo ukončenia pracovnoprávneho vzťahu na základe našej zmluvy s Vami alebo na účely realizácie predzmluvných opatrení v dôsledku príslušných požiadaviek. V prípade, že využijete dodatočné výhody (napr. starostlivosť o dieťa), Vaše údaje budú spracúvané v rozsahu požadovanom na poskytnutie takýchto dodatočných výhod.
b. v súvislosti so zosúladením záujmov (článok 6 ods. 1 písm. f) GDPR v spojení s článkom 88 GDPR) §13 písmeno a v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov
V nevyhnutnom rozsahu spracujeme Vaše údaje nad rámec skutočného plnenia zmluvy s cieľom chrániť naše vlastné legitímne záujmy alebo legitímne záujmy tretích strán. Príklady:
- opatrenia na plánovanie rozvoja ľudských zdrojov,
- opatrenia v prípade organizačných zmien,
- podávanie žalôb a obhajoba v prípade súdnych sporov,
- zabezpečovanie IT bezpečnosti a IT prevádzky banky,
- predchádzanie trestným činom a závažným porušeniam povinností a ich vyšetrovanie,
- video-monitoring na uplatňovanie práv na ochranu vlastných priestorov, na získavanie dôkazov v prípade útokov alebo podvodov, napr. v pobočkách,
- opatrenia na zabezpečenie budov a systémov (ako je napríklad kontrola vstupu),
- opatrenia na uplatnenie práva na ochranu vlastných priestorov.
c. v dôsledku Vášho súhlasu (článok 6 ods. 1 písm. a) GDPR v spojení s článkom 88 GDPR) §13 písmeno a v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov
V rozsahu, v akom ste vyjadrili súhlas s tým, aby sme na určité účely spracúvali osobné údaje (ako je napríklad predĺžené uchovávanie dokumentov tvoriacich súčasť žiadostí o prijatie do zamestnania, športové aktivity zamestnancov, fotografie urobené v súvislosti s podujatiami, zasielanie letákov), je takéto spracovanie na základe Vášho súhlasu legitímne. Poskytnutý súhlas možno kedykoľvek odvolať. To platí aj na odvolanie súhlasu, ktorý ste nám poskytli pred dňom účinnosti GDPR/ zákona č. 18/2018 Z.z. na ochranu osobných údajov, t. j. pred 25. májom 2018. Odvolanie súhlasu bude účinné len do budúcnosti a nemá vplyv na zákonnosť údajov spracovaných do tohto dátumu.
d. na základe zákonných povinností (článok 6 ods. 1 písm. c) GDPR a článok 88 GDPR) §13 písmeno c a v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov alebo vo verejnom záujme (článok 6 ods. 1 písm. e) GDPR) §13 písmeno e a v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov
Okrem toho sa na nás ako banku vzťahujú rôzne právne povinnosti, napr. zákonné požiadavky (napríklad na základe zákona o sociálnom zabezpečení, zákona o bezpečnosti pri práci, zákona o bankách, zákona o ochrane pred legalizáciou príjmov z trestnej činnosti, zákona o cenných papieroch, daňových právnych predpisov) a predpisy týkajúce sa dohľadu nad bankovníctvom (napr. Európska centrálna banka, Európsky orgán pre bankovníctvo, Nemecká spolková banka, Spolková agentúra pre dohľad nad finančnými službami a miestne orgány dohľadu). Účelom spracúvania je okrem iného kontrola totožnosti, prevencia pred podvodmi a legalizáciou príjmov z trestnej činnosti, dodržiavanie povinností kontroly, oznamovania a dokumentácie podľa právnych predpisov v oblasti sociálneho zabezpečenia a daňových právnych predpisov a posúdenie a riadenie rizík v rámci banky a v rámci skupiny Commerzbank. Okrem toho budeme Vaše údaje spracúvať v rozsahu požadovanom na vykonávanie práv a plnenie povinností zástupcov zamestnancov, ktoré vyplývajú z kolektívnej mzdovej zmluvy alebo podnikovej zmluvy (kolektívnej zmluvy).
Kto dostane moje údaje?
Prístup k Vašim údajom v rámci banky bude povolený tým jednotkám, ktoré ich potrebujú na splnenie našich zmluvných a zákonných povinností, napr. kontrolórom, oddeleniu ľudských zdrojov, zamestnaneckej rade, zástupcovi zamestnancov so závažným zdravotným postihnutím. Na tieto účely môžu získať údaje takisto poskytovatelia služieb a agenti, ktorých sme vymenovali. Ide o spoločnosti patriace do kategórií mzdovej agendy, poistenia, poskytovateľov školení, riadenia ponuky športových aktivít zo strany spoločnosti, IT služieb, logistiky, tlačiarenských služieb a telekomunikácií. Pokiaľ ide o zasielanie údajov príjemcom mimo našej banky, je potrebné mať v prvom rade na vedomí, že my ako zamestnávateľ budeme zasielať len nevyhnutné osobné údaje pri dodržaní všetkých príslušných právnych predpisov v oblasti ochrany osobných údajov. V zásade môžeme zasielať informácie o našich zamestnancoch len v prípade, že sa tak vyžaduje v príslušných právnych predpisoch, zamestnanec na to udelil súhlas alebo nám bolo udelené iné oprávnenie. Za takýchto okolností môžu byť príjemcami osobných údajov napríklad:
- sociálne poisťovne,
- zdravotné poisťovne
- dôchodkové fondy,
- daňové orgány,
- obchodné združenia,
- verejné orgány a inštitúcie (ako je napríklad Európska centrálna banka, Európsky orgán pre bankovníctvo, Nemecká spolková banka, Spolková agentúra pre dohľad nad finančnými službami, daňové orgány, orgány činné v trestnom konaní), pokiaľ to vyplýva zo zákonnej povinnosti alebo povinnosti uloženej regulačným orgánom,
- ostatné bankové inštitúcie a inštitúcie poskytujúce finančné služby alebo inštitúcie v porovnateľnom postavení, ktorým zasielame osobné údaje na plnenie zmluvných povinností (napr. na účely úhrady miezd),
- všeobecní audítori a audítori pre dane z príjmov,
- poskytovatelia služieb, ktorých sme angažovali v rámci zmluvných vzťahov zameraných na spracúvanie údajov.
Medzi ďalších príjemcov údajov môžu patriť subjekty, vo vzťahu ku ktorým ste nám dali súhlas s prenosom údajov alebo ktorým môžeme poskytnúť údaje na základe vyvažovania záujmov.
Budú údaje prenesené do tretej krajiny alebo medzinárodnej organizácie?
Prenos údajov subjektom mimo Európskej únie (do tzv. tretích krajín) sa uskutoční, pokiaľ:
- sa tak vyžaduje v právnych predpisoch (ako je napríklad povinné oznamovanie na základe daňových právnych predpisov),
- ste nám na to dali súhlas, alebo
- je to odôvodnené legitímnymi záujmami z hľadiska ochrany údajov a nie je to v rozpore so záujmami dotknutého subjektu, ktoré je potrebné chrániť.
Okrem toho k prenosu do tretích krajín dôjde v týchto prípadoch:
- Ak sa má Váš elektronický podpis použiť v rámci obchodnej transakcie, bude uchovaný v registri podpisov vo Švajčiarsku. Zachová sa európska úroveň ochrany údajov.
- Osobné údaje budú prenesené v individuálnych prípadoch so súhlasom dotknutej osoby alebo na základe splnenia zákonných povinností v oblasti kontroly legalizácie príjmov z trestnej činnosti, financovania terorizmu a ďalších trestných činov a v rámci vyvažovania záujmov, a to pri zachovaní úrovne ochrany osobných údajov v Európskej únii.
Ako dlho sa budú moje údaje uchovávať?
Vaše osobné údaje spracúvame a uchovávame tak dlho, ako je to potrebné na účely splnenia našich zmluvných a zákonných povinností. V tejto súvislosti je potrebné mať na vedomí, že pracovný pomer je trvajúcim záväzkom, ktorý má trvať počas dlhšieho obdobia. V prípade, že sa údaje už viac nevyžadujú na účely plnenia zmluvných alebo zákonných povinností, riadnym spôsobom sa vymažú, ibaže je ďalšie spracovanie dočasne potrebné na tieto účely:
- Dodržiavanie povinností uchovávania, ktoré môžu vyplývať napríklad z miestne príslušných právnych predpisov v oblasti sociálneho zabezpečenia alebo právnych predpisov obchodného práva, daňových právnych predpisov, zákona o bankách, zákona o ochrane pred legalizáciou príjmov z trestnej činnosti a zákona o cenných papieroch. Listiny a dokumenty obchodnej povahy sa uchovajú pri dodržaní lehôt stanovených v uvedených právnych predpisoch.
- Uchovávanie dôkazov na základe príslušných miestnych právnych predpisov, v ktorých sa upravuje premlčanie.
V prípade, že sa údaje spracúvajú v našom legitímnom záujme alebo v legitímnom záujme tretej strany, všetky osobné údaje sa vymažú, akonáhle tento legitímny záujem prestane byť relevantný. V takýchto prípadoch sa uplatnia stanovené výnimky. Uvedené platí aj pre údaje spracúvané na základe udeleného súhlasu. V prípade, že odvoláte tento súhlas do budúcnosti, osobné údaje sa vymažú, ibaže sa uplatní niektorá z uvedených výnimiek.
Aké sú moje práva v súvislosti so spracúvaním údajov?
Každá dotknutá osoba má
A. právo prístupu podľa článku 15 GDPR a §13 písmeno b v spojení s §16 zákona č. 18/2018 Z.z. zákona na ochranu osobných údajov a §19, 21 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
B. právo na opravu podľa článku 16 GDPR a §22 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
C. právo na vymazanie podľa článku 17 GDPR a §23 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
D. právo na obmedzenie spracúvania podľa článku 18 GDPR a §24 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
E. právo namietať podľa článku 21 GDPR a §24, §27 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
F. právo na prenosnosť údajov podľa článku 20 GDPR a §26 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov
Okrem toho sa uplatnia príslušné ustanovenia lokálnych sprievodných právnych predpisov. V prípade potreby kontaktujete Vaše miestne oddelenie ľudských zdrojov. Takisto existuje právo podať sťažnosť príslušnému dozornému orgánu pre oblasť ochrany osobných údajov (článok 77 GDPR) a §100 zákona č. 18/2018 Z.z. zákon na ochranu osobných údajov vo vzťahu §19, §20 resp. právo začať konanie o ochrane osobných údajov v súlade s miestnymi právnymi predpismi. Váš súhlas so spracúvaním osobných údajov, ktorý ste nám poskytli, môžete kedykoľvek odvolať tým, že nás o tom informujete. To platí aj na odvolanie vyjadrení súhlasu, ktorý ste nám poskytli pred dňom účinnosti GDPR, t. j. pred 25. májom 2018. Toto odvolanie bude vyvolávať účinky len do budúcnosti. Spracovania, ku ktorým došlo pred odvolaním, tým nie sú dotknuté.
Som povinný poskytnúť údaje?
V rámci nášho pracovnoprávneho vzťahu ste povinný poskytnúť tie osobné údaje, ktoré sú potrebné na začatie, realizáciu a ukončenie pracovného pomeru a na splnenie súvisiacich zmluvných povinností alebo ktoré sme povinný získať na základe príslušných právnych predpisov. Bez týchto údajov v zásade nebudeme môcť s Vami uzavrieť príslušné zmluvy, plniť tieto zmluvy ani ich ukončiť. V niektorých prípadoch môžu pre Vás v dôsledku neposkytnutia osobných údajov vyplývať nevýhody, napr. pokiaľ ide o pracovné pomôcky pre osoby so závažným zdravotným postihnutím, dodatočný príspevok k poisteniu na účely ošetrovania v prípade, že je zamestnanec bezdetný. V prípade, že nám potrebné informácie a dokumenty neposkytnete, nesmieme vstúpiť do želaného pracovnoprávneho vzťahu alebo zotrvať v takomto vzťahu.
V akom rozsahu bude rozhodovanie automatizované?
V princípe nepoužívame plne automatizované postupy rozhodovania podľa článku 22 GDPR na účely založenia, realizácie alebo ukončenia pracovného pomeru. Ak budeme musieť dané postupy uplatniť v individuálnych prípadoch, osobitne Vás o tom a o Vašich súvisiacich právach budeme informovať, pokiaľ sa tak stanovuje v príslušných právnych predpisoch.
Uskutoční sa profilovanie?
Vaše údaje sa budú spracúvať automaticky, a to čiastočne s cieľom zhodnotiť určité osobné aspekty (profilovanie). Profilovanie využijeme napríklad v tomto prípade:
- Podľa príslušných zákonov alebo ostatných právnych predpisov máme povinnosť bojovať proti legalizácii príjmov z trestnej činnosti, financovaniu terorizmu a trestným činom ohrozujúcim majetok. V tejto súvislosti sa budú údaje analyzovať.
Informácie o Vašom práve namietať podľa článku 21 GDPR
Právo namietať v individuálnych prípadoch
Máte právo kedykoľvek namietať – z dôvodov vzťahujúcich sa na Vašu konkrétnu situáciu – proti spracúvaniu osobných údajov, ktoré sa Vás týkajú, na základe článku 6 ods. 1 písm. e) (spracúvanie údajov vo verejnom záujme) a § 13 písmeno e zákona č. 18/20187 Z.z. zákona na ochranu osobných údajov a článku 6 ods. 1 písm. f) GDPR (spracúvanie údajov na základe vyvažovania záujmov) a § 13 písmeno e zákona č. 18/20187 Z.z. zákona na ochranu osobných údajov to platí aj pre profilovanie v zmysle článku 4 bodu 4 GDPR. V prípade Vášho namietania prestaneme spracúvať Vaše osobné údaje okrem prípadu, že máme presvedčivé a legitímne dôvody na takéto spracúvanie, ktoré prevážia nad Vašimi záujmami, právami a slobodami, alebo takéto spracúvanie slúži na uplatnenie, vykonanie alebo bránenie zákonných nárokov.
Prijatie námietky
Námietku možno podať neformálne s uvedením Vášho mena, adresy a dátumu narodenia, pričom by sa mala zaslať, pokiaľ možno, na túto adresu:
Commerzbank AG
pobočka zahraničnej banky, Bratislava
Rajská 15A
811 08 Bratislava
Slovak Republik
Telefón: +421 257 103 111
officebratislava@commerzbank.com
Commerz Business Consulting GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
Commerz Business Consulting GmbH
Neue Börsenstraße 1
60487 Frankfurt am Main
Telefon: 069 / 136-49970
E-Mail: juergen.bachmann@commerzbank.com
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerzbank AG
Hafenstraße 51
60327 Frankfurt am Main
Telefon: 069 / 136-57469
E-Mail: juergen.bachmann@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als CBC GmbH (bzw. Commerzbank Konzern) diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb des Commerzbank-Konzern erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unseres Konzerns ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen. Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für dich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerz Business Consulting GmbH
Neue Börsenstraße 1
60487 Frankfurt am Main
Telefon: 069 / 136-49970
E-Mail: juergen.bachmann@commerzbank.com
Commerz Real AG
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten im Rahmen der Talentverwaltung (Talentpool) durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den von Dir eingereichten Unterlagen und den Umständen deines Bewerbungsverfahrens, sowie den ggf. existierenden besonderen Anforderungen eines Stellenprofils auf welches Du Dich beworben hast. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist die
Commerz Real AG
Friedrichstraße 25, 65185 Wiesbaden
Telefon: +49 611 71050
cr@commerzreal.com
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerz Real AG
Datenschutzbeauftragter
Friedrichstraße 25, 65185 Wiesbaden
datenschutzbeauftragter@commerzreal.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen des Bewerbungsverfahrens von dem Bewerber oder Vermittlern (sog. „Headhuntern“) erhalten haben. Zudem verarbeiten wir – soweit dies für das potenzielle Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind beispielsweise Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Daten zum beruflichen und schulischen Werdegang (Angaben zur Qualifikation sowie früheren Arbeitgebern) und Steueridentifikationsnummer .
Zu welchem Zweck und auf welcher Rechtsgrundlage vearbeiten wir deine Daten?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):
a. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Z.B. :
- Verteidigungsmöglichkeit im Rahmen von Rechtsstreitigkeiten im Zusammenhang mit der Bewerbung
b. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Sofern du uns eine Einwilligung zur Verarbeitung deiner personenbezogenen Daten für die genannten Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Aufnahme in den Talentpool) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitungsvorgänge auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
Wer bekommt meine Daten?
Innerhalb der Commerz Real AG erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unseres Unternehmens ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Personenbezogene Daten dürfen wir nur dann weitergeben, wenn der Bewerber eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies zur Erreichung des oben genannten Zwecks erforderlich ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den § 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über COMPANION. ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen des Bewerbungsprozesses musst du – um im Bewerbungsverfahren berücksichtigt werden zu können - diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnisses entgegenstehen.
Die Aufnahme in den Talentpool erfolgt vollkommen freiwillig und es besteht keine Pflicht, in die Aufnahme einzuwilligen. Nachteilig wirkt sich diese Entscheidung nur insoweit aus, dass wir dich nicht zukünftig bei anderen Stellenausschreibungen kontaktieren dürfen. Dir steht es natürlich dennoch frei dich in Zukunft auf andere Stellenausschreibungen zu bewerben, auch wenn du die Aufnahme in den Talentpool abgelehnt hast.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerz Real AG
Friedrichstraße 25, 65185 Wiesbaden
Telefon: +49 611 71050
datenschutzbeauftragter@commerzreal.com
Commerz Real Mobilienleasing GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist die
Commerz Real Mobilienleasing GmbH
Mercedesstr. 6, 40470 Düsseldorf
Telefon: +49 211 7708-0
cr@commerzreal.com
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerz Real Mobilienleasing GmbH
Datenschutzbeauftragter
Mercedesstr. 6, 40470 Düsseldorf
Telefon: +49 211 7708-0
datenschutzbeauftragter@commerzreal.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen des Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Commerz Real Mobilienleasing GmbH,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Finanzdienstleistungsinstitut diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie finanzaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Commerz Real Mobilienleasing GmbH und im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb der Commerz Real Mobilienleasing GmbH erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unseres Unternehmens ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Finanzdienstleistungs- und Kreditinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über COMPANION. ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
Commerz Real Mobilienleasing GmbH
Mercedesstr. 6, 40470 Düsseldorf
Telefon: +49 211 7708-0
datenschutzbeauftragter@commerzreal.com
ComTS Finance GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
ComTS Finance GmbH
Kaiserslauterer Strasse 75
06128 Halle (Saale)
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Uwe Deppisch
Commerzbank AG
60261 Frankfurt am Main
datenschutzbeauftragter.ctsf@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstal-tungen, Newsletterversand) erteilt hast, ist die Recht Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Finanzdienstleister diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Gesellschaft und im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb des Commerzbank-Konzerns erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb des Commerzbank-Konzerns ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnisses entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
ComTS Finance GmbH
Kaiserslauterer Strasse 75
06128 Halle (Saale)
ComTS Logistics GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
ComTS Logistics GmbH
Lorenzweg 42
39124 Magdeburg
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Uwe Deppisch
Commerzbank AG
60261 Frankfurt am Main
datenschutzbeauftragter.ctsl@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstal-tungen, Newsletterversand) erteilt hast, ist die Recht Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Finanzdienstleister diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Gesellschaft und im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb des Commerzbank-Konzerns erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb des Commerzbank-Konzerns ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnisses entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
ComTS Logistics GmbH
Lorenzweg 42
39124 Magdeburg
ComTS GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
ComTS GmbH
Juri-Gagarin-Ring 86
99084 Erfurt
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Uwe Deppisch
Commerzbank AG
60261 Frankfurt am Main
datenschutzbeauftragter.ctsm@commerzbank.com
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung, IT@HOME), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstal-tungen, Newsletterversand) erteilt hast, ist die Recht Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Finanzdienstleister diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der Gesellschaft und im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb des Commerzbank-Konzerns erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb des Commerzbank-Konzerns ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellst, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnisses entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
ComTS GmbH
Juri-Gagarin-Ring 86
99084 Erfurt
Kenstone GmbH
Mit den folgenden Informationen möchten wir dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten durch uns und deine Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den beantragten bzw. vereinbarten Bestandteilen deines Beschäftigungsverhältnisses, das aufgrund eines Arbeitsvertrages mit einem Mitarbeiter oder einem Dienst- bzw. Werkvertrag mit einem externen Auftragnehmer besteht, sowie etwaiger Zusatzleistungen. Daher werden nicht alle Teile dieser Informationen auf dich zutreffen.
Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlich ist
KENSTONE GmbH
Adresse: Helfmann – Park 5, 65760 Eschborn
Telefon: 030/ 2653 2071
E-Mail:datenschutzbeauftragter@kenstone.de
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter
Commerzbank AG
Adresse: 60327 Frankfurt am Main
Telefon: +49 69 136-574 69
E-Mail: datenschutzbeauftragter@kenstone.de
Welche Quellen und Daten nutzen wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unseres Beschäftigungsverhältnisses von unseren Mitarbeitern oder anderen vergleichbar Betroffenen erhalten oder gewonnen haben. Zudem verarbeiten wir – soweit dies für das Beschäftigungsverhältnis erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des Commerzbank-Konzerns oder von sonstigen Dritten (z.B. Hinweise auf strafbare Handlungen) berechtigt übermittelt werden. Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), familiäre Daten (z.B. Familienstand, Angaben zu deinen Kindern), Religionszugehörigkeit, Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung), eventuelle Vorstrafen (polizeiliches Führungszeugnis), Legitimationsdaten (z.B. Ausweisdaten), Steueridentifikationsnummer und Angaben zur Qualifikation sowie früheren Arbeitgebern. Darüber hinaus können dies auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen), Informationen über deine finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Wofür verarbeiten wir deine Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrund-verordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)
a. zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)
Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit dir bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern du Zusatzleistungen in Anspruch nimmst (z.B. Kinderbetreuung), werden deine Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.
b. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)
Soweit erforderlich verarbeiten wir deine Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:
- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der KENSTONE,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten z.B. in Filialen (vgl. auch § 4 BDSG),
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- Maßnahmen zur Sicherstellung des Hausrechts.
c. aufgrund deiner Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)
Soweit du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Mitarbeitersport, Lichtbilder im Rahmen von Veranstaltungen, Newsletterversand) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis deiner Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Zudem unterliegen wir als Tochterunternehmen der Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll- und Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken in der KENSTONE und im Commerzbank-Konzern. Darüber hinaus verarbeiten wir deine Daten, wenn dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zur Raumüberwachung im Filialbereich).
Wer bekommt meine Daten?
Innerhalb der KENSTONE und der Commerzbank erhalten diejenigen Stellen Zugriff auf deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien Gehaltsabrechnung, Versicherung, Schulungsanbieter, Management des Betriebssportangebotes, IT-Dienstleistungen, Logistik, Druckdienstleistungen sowie Telekommunikation. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigte dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Berufsgenossenschaften,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
Weitere Datenempfänger können diejenigen Stellen sein, für die du uns deine Einwilligung zur Datenübermittlung erteilt hast oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.
Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit
- es gesetzlich vorgeschrieben ist (z.B. steuer-rechtliche Meldepflichten),
- du uns deine Einwilligung erteilt hast oder
- dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.
Des Weiteren ist eine Übermittlung an Stellen in Drittstaaten in folgenden Fällen vorgesehen:
- Sofern deine digitalisierte Unterschrift in einem Geschäftsprozess genutzt wird, wird diese in einem Unterschriftenverzeichnis in der Schweiz gespeichert. Dabei wird das europäische Datenschutzniveau eingehalten.
- Mit der Einwilligung des Betroffenen oder aufgrund gesetzlicher Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen einer Interessenabwägung, werden in Einzelfällen personenbezogene Daten unter Einhaltung des Datenschutzniveaus der Europäischen Union übermittelt.
Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern deine personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Kreditwesengesetz (KWG), Geldwäschegesetz (GwG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.
Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch dich widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.
Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Du kannst diese Rechte zumeist selbst über Companion bzw. HR Direct ausüben. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten kannst du jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unseres Beschäftigungsverhältnisses musst du diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit dir zu schließen, diesen auszuführen und zu beenden. Zum Teil können dir Nachteile entstehen, wenn du bestimmte personenbezogene Daten nicht bereitstellen, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit. Solltest du uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und Durchführung des Beschäftigungsverhältnis entgegenstehen.
Inwieweit gibt es eine automatisierte Entscheidungsfindung?
Zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir dich hierüber und über deine diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Findet Profiling statt?
Wir verarbeiten teilweise deine Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgendem Fall ein:
- Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen vorgenommen.
Informationen über dein Widerspruchsrecht nach Artikel 21 DSGVO
Einzelfallbezogenes Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legst du Widerspruch ein, werden wir deine personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe deines Namens, deiner Adresse und deines Geburtsdatums erfolgen und sollte gerichtet werden an:
KENSTONE GmbH
Adresse: Helfmann – Park 5, 65760 Eschborn
Telefon: 030 2653 2071
E-Mail: datenschutzbeauftragter@kenstone.de