CyprusRegister
Datenschutzrichtlinie - Ein klarer Leitfaden zu Datenschutz und Compliance

Datenschutzrichtlinie - Ein klarer Leitfaden zu Datenschutz und Compliance

· Aktualisiert von CyprusRegister Team2309 Wörter

Überprüfen Sie Ihre Datenschutzrichtlinie alle 90 Tage, um sicherzustellen, dass sie korrekt widerspiegelt, wie wir Daten über unsere Dienste hinweg erfassen, verwenden und weitergeben.

Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten, das Datenkategorien, Zwecke, Rechtsgrundlagen, Empfänger, grenzüberschreitende Übermittlungen und Aufbewahrungsfristen dokumentiert. Diese Transparenz hilft Teams, sich an die Richtlinien zu halten, und hält Prüfungen unkompliziert.

Datenminimierung und Zweckbindung bestimmen, was wir sammeln und warum. Wir speichern nur das, was für die beabsichtigten Zwecke unbedingt notwendig ist, und konfigurieren Standardeinstellungen, um die optionale Datenerfassung zu beschränken.

Sorgen Sie für eine klare Rechtebehandlung, damit Benutzer Zugriff, Berichtigung, Löschung, Portabilität und Widerspruch beantragen können. Antworten Sie innerhalb von 30 Tagen und eskalieren Sie bei komplexen Anfragen.

Sicherheitskontrollen umfassen Verschlüsselung während der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), Multi-Faktor-Authentifizierung für Administratoren und rollenbasierte Zugriffskontrolle. Führen Sie vierteljährliche Audits und ein zeitnahes Patch-Management durch, um die Gefährdung zu reduzieren.

Einwilligung und Verträge stellen sicher, dass die auf Einwilligung basierende Datenerfassung dokumentiert ist, den Widerruf ermöglichen und Datenverarbeitungsvereinbarungen mit jedem externen Auftragsverarbeiter abgeschlossen werden, der unsere Daten verarbeitet.

Reaktion auf Datenschutzverletzungen: Definieren Sie Workflows zur Erkennung, benachrichtigen Sie die Behörden innerhalb von 72 Stunden, falls erforderlich, und informieren Sie betroffene Benutzer, wenn das Risiko hoch ist. Führen Sie Vorfallprotokolle und Nachbesprechungen innerhalb von 30 Tagen durch.

Aufbewahrung und Löschung legen Sie Aufbewahrungsfristen fest, automatisieren Sie die Löschung nach Ablauf der Fristen und löschen Sie Backups sicher. Überprüfen Sie die Speicherbestände mindestens zweimal jährlich, um unnötige Daten zu vermeiden.

Governance benennen Sie einen Datenschutzbeauftragten oder Datenschutzbeauftragten, bieten Sie jährliche Schulungen für Mitarbeiter an und fordern Sie DSFA für risikoreiche Verarbeitungsprojekte an. Führen Sie einen prüffähigen Pfad, um die Rechenschaftspflicht zu gewährleisten.

Welche Informationen erfassen wir und warum?

Überprüfen Sie Ihre Kontoeinstellungen, um zu verstehen, was wir sammeln und warum, damit Sie Berechtigungen steuern und Ihre Privatsphäre schützen können. Diese Informationen dienen dazu, Sie zu schützen und unsere Dienstleistungen zu verbessern.

Welche Informationen wir sammeln

  • Persönliche Informationen: Name, E-Mail-Adresse, Telefonnummer, Profilbild und Benutzer-ID. Diese Daten dienen dazu, Sie zu identifizieren und den Zugriff zu verwalten, und wir stellen sicher, dass unsere Dienste reibungslos für Sie funktionieren.
  • Nutzungsdaten: Besuchte Seiten, verwendete Funktionen, Suchanfragen und Engagement-Zeitstempel. Wir sammeln diese Daten, um die Zuverlässigkeit und Leistung zu verbessern und Ihre Erfahrung anzupassen.
  • Geräte- und Verbindungsdaten: IP-Adresse, Browsertyp, Betriebssystem, Sprache, Zeitzone und Gerätekennungen. Dies hilft uns, Inhalte korrekt bereitzustellen und Probleme zu erkennen.
  • Standortdaten: Ungefährer Standort durch IP oder explizite benutzerseitige Standortangabe. Dies ermöglicht lokalisierte Funktionen und einen schnelleren Support.
  • Zahlungsinformationen: Token von Zahlungsabwicklern, Abonnementdetails und die letzten vier Ziffern. Wir speichern keine vollständigen Kartennummern; Token und Referenzen werden verwendet, um Zahlungen sicher abzuwickeln.
  • Kommunikation: Nachrichten an den Support, Feedback und Antworten auf Umfragen. Wir speichern diese, um Probleme zu lösen und unsere Dienstleistungen zu verbessern.
  • Cookies und Tracking-Technologien: Kennungen und Analysedaten zur Analyse der Website-Nutzung und der Leistung der Dienste. Sie können Präferenzen verwalten, um die Erfassung zu steuern.

Warum wir sammeln

  • Um unsere Dienstleistungen bereitzustellen und zu betreiben: Bereitstellung von Zugriff, Aufrechterhaltung von Funktionen und Unterstützung Ihrer Bedürfnisse.
  • Um Ihre Erfahrung zu personalisieren: Empfehlen Sie Inhalte und passen Sie Layouts basierend auf der Nutzung an.
  • Um Sie und unsere Systeme zu schützen: Betrügerische Aktivitäten erkennen, Richtlinien durchsetzen und die Sicherheit aufrechterhalten.
  • Um zu analysieren und zu verbessern: Analysen durchführen, um Engagement, Zuverlässigkeit und Wachstum zu verstehen.
  • Um Gesetze und Verträge einzuhalten: Aufbewahrung von Aufzeichnungen, wie erforderlich, und Beantwortung rechtmäßiger Anfragen.
  • Um zu kommunizieren: Informieren Sie sich über Updates, Wartungsarbeiten und wichtige Hinweise in Bezug auf Ihr Konto und Ihre Dienste.

Sie können die Kontrolle ausüben, indem Sie Ihre Daten in den Einstellungen überprüfen und aktualisieren, eine Kopie exportieren oder die Löschung beantragen. Sie können Cookie-Einstellungen anpassen und sich mit Anfragen oder Fragen an unser Datenschutzzentrum wenden.

Wie lange werden Informationen gespeichert und wie können sie gelöscht werden?

Legen Sie ein 30-Tage-Fenster für die Löschung personenbezogener Daten nach einem Löschantrag fest und aktivieren Sie die Ein-Klick-Löschung in Ihren Kontoeinstellungen, um den Nutzern die direkte Kontrolle zu geben.

Unsere Richtlinie soll die Privatsphäre mit der Benutzerfreundlichkeit in Einklang bringen. Die von unseren Diensten gespeicherten Daten werden nur so lange aufbewahrt, wie es für den Betrieb des Dienstes, die Bearbeitung von Anfragen und die Einhaltung gesetzlicher Verpflichtungen erforderlich ist. Wir überprüfen die Aufbewahrungseinstellungen regelmäßig, um das Risiko zu reduzieren und die Sicherheit zu verbessern, und unsere Prozesse sind so konzipiert, dass sie in allen Teilen unseres Systems zuverlässig funktionieren.

Aufbewahrungsfristen nach Datentyp

Personenbezogene Daten wie Kennungen und Kontaktdaten werden innerhalb von 30 Tagen nach einem Löschantrag oder einer Kontoschließung gelöscht, es sei denn, ein längerer Zeitraum ist erforderlich, um eine bestimmte Transaktion abzuschließen oder einer rechtmäßigen Verpflichtung nachzukommen.

Rechnungs- und Transaktionsdaten werden sieben Jahre lang aufbewahrt, um Steuer-, Rechnungsprüfungs- und regulatorische Anforderungen zu erfüllen; wenn möglich, werden die Daten minimiert und der Zugriff während dieses Zeitraums eingeschränkt.

Nutzungsdaten und Analysen werden in einer Form aufbewahrt, die Serviceverbesserungen unterstützt; rohe Protokolle können bis zu 90 Tage lang aufbewahrt werden, während anonymisierte Aggregate länger aufbewahrt werden, wenn dies für die Sicherheits- und Leistungsverfolgung erforderlich ist.

Backups enthalten Daten für bis zu 90 Tage im verschlüsselten Speicher; nach dem Aufbewahrungsfenster werden Backups gelöscht und neue Backups enthalten nicht die gelöschten Inhalte.

Wie die Löschung funktioniert

Benutzer können die Löschung über die Kontoeinstellungen oder durch Kontaktaufnahme mit dem Support einleiten. Nach der Bestätigung beginnt der Löschvorgang und wird innerhalb von 30 Tagen abgeschlossen, wobei Daten aus aktiven Systemen entfernt und aus zugehörigen Diensten gelöscht werden.

Während des Prozesses können Daten in Arbeitsumgebungen deaktiviert werden, um eine weitere Nutzung zu verhindern, und alle in Backups aufbewahrten Daten werden gemäß den Aufbewahrungsregeln behandelt. Sie erhalten eine Bestätigung, wenn die Löschung abgeschlossen ist, zusammen mit einer Zusammenfassung dessen, was entfernt wurde.

Was sind die Zwecke und Rechtsgrundlagen für die Verarbeitung?

Definieren Sie jeden Verarbeitungszweck und fügen Sie eine Rechtsgrundlage hinzu, bevor Sie Daten erfassen.

Stellen Sie bei der Dokumentation Ihrer Praktiken sicher, dass die Ziele klar sind, auf das Notwendige beschränkt sind und mit den Erwartungen der Benutzer übereinstimmen. Unsere beabsichtigten Verarbeitungstätigkeiten sind auf rechtmäßige Grundlagen abgebildet, und die Arbeitsrichtlinie betont Transparenz, Minimierung und Rechenschaftspflicht. Diese Zuordnung hilft den Benutzern zu verstehen, warum Daten verwendet werden und welche Kontrollen gelten.

Brauchst du Unterstützung bei der Gründung?Erstberatung anfragen

Um dies effektiv umzusetzen, führen Sie die folgenden Schritte aus: Identifizieren Sie Datenkategorien, geben Sie Zwecke an, weisen Sie Rechtsgrundlagen zu, legen Sie Aufbewahrungsfristen fest und geben Sie in einfacher Sprache einen Hinweis. Sorgen Sie dafür, dass die Einwilligung wirklich freiwillig ist, und dokumentieren Sie Widerrufsmöglichkeiten, damit die Benutzer sie jederzeit widerrufen können.

Zuordnung von Zwecken zu Rechtsgrundlagen

Zweck Rechtsgrundlage Erfasste Daten Aufbewahrung Hinweise
Kontoerstellung und -verwaltung Vertragserfüllung E-Mail, Benutzername, Passwort, Profildaten Bis zur Kontolöschung; Backups bis zu 90 Tage Gewährleistet sicheren Zugriff und Kundensupport
Zahlungsabwicklung und Auftragsabwicklung Vertragserfüllung Zahlungsmethode, Rechnungsadresse, Bestellhistorie 7 Jahre Unterstützt die finanzielle Compliance und Rückverfolgbarkeit
Betrugsprävention und Sicherheit Berechtigte Interessen Nutzungsdaten, IP, Geräte-IDs, Transaktionsmetadaten 6-24 Monate Abgewogen gegen Benutzerrechte und Datenminimierung
Marketingkommunikation (mit Einwilligung) Einwilligung E-Mail, Präferenzen, Interaktionen Bis zum Widerruf der Einwilligung Einfache Abmeldung und genaue Präferenzverwaltung
Gesetzliche Compliance und regulatorische Verpflichtungen Rechtliche Verpflichtung Kontodaten, Kommunikation, Steuerdaten Wie gesetzlich vorgeschrieben (6-7 Jahre üblich) Beinhaltet die Bearbeitung von Anfragen betroffener Personen

Welche Sicherheitsmaßnahmen schützen Ihre Informationen und was passiert, wenn eine Verletzung vorliegt?

Aktivieren Sie jetzt die Zwei-Faktor-Authentifizierung für alle Dienste, um eine wichtige Schutzebene hinzuzufügen. Unsere Sicherheitsmaßnahmen sind so konzipiert, dass sie Ihre Daten wie vorgesehen schützen.

Wir verschlüsseln Daten im Ruhezustand mit AES-256 und während der Übertragung mit TLS 1.2+ und verwenden Hashes und Salt-Passwörter mit bcrypt. Die Zugriffskontrollen basieren auf RBAC, MFA für sensible Aktionen und einem strengen Sitzungsmanagement, um die Gefährdung zu begrenzen. Unsere Systeme werden rund um die Uhr von automatisierten Analysen überwacht, die bei anomalem Verhalten Warnmeldungen auslösen.

Wir segmentieren Netzwerke, stellen eine Web Application Firewall (WAF) bereit und pflegen IDS/IPS, kontinuierliches Patching und Schwachstellenmanagement. Kritische Schwachstellen werden innerhalb von 24 Stunden behoben; Externe Penetrationstests finden vierteljährlich statt und jährliche SOC 2 Type II-Audits überprüfen die Kontrollen.

Backups werden verschlüsselt und über mehrere Regionen verteilt gespeichert, mit einem RTO von 4 Stunden und einem RPO von 60 Minuten. Wir speichern Protokolle für 12 Monate, um Untersuchungen, Compliance-Anforderungen und Serviceverbesserungen zu unterstützen. Unsere Datenverarbeitung minimiert personenbezogene Daten nach dem Need-to-Know-Prinzip und verwendet nach Möglichkeit Pseudonymisierung.

Wenn eine Verletzung auftritt, arbeitet unser Incident-Response-Team daran, den Vorfall einzudämmen und betroffene Benutzer innerhalb von 72 Stunden zu benachrichtigen, zusammen mit klaren Anweisungen zum Zurücksetzen von Anmeldeinformationen und zur Überwachung von Konten. Wir veröffentlichen Breach-Updates über unsere Statusseite und bieten personalisierte Unterstützung über unser Datenschutzportal.

Um uns beim Schutz Ihrer Daten zu helfen, aktivieren Sie MFA, überprüfen Sie die Kontoaktivitäten wöchentlich, aktivieren Sie Warnmeldungen und halten Sie Ihre Geräte auf dem neuesten Stand. Verwenden Sie starke, eindeutige Passwörter und vermeiden Sie es, Anmeldeinformationen über verschiedene Dienste hinweg wiederzuverwenden. Wenn Sie ungewöhnliche Aktivitäten feststellen, melden Sie diese sofort über unsere Supportkanäle, damit wir schnell reagieren können.

An wen geben wir Informationen weiter und wie prüfen wir Drittanbieter?

Wir geben Informationen nur an vertrauenswürdige Dienstleister weiter, die uns bei der Bereitstellung unserer Dienstleistungen und der Gewährleistung eines zuverlässigen Betriebs unterstützen. Vor der Weitergabe ordnen wir zu, welche Daten benötigt werden, und vergewissern uns, dass die Partner - unter klaren, durchsetzbaren Anweisungen - arbeiten. Wir verlangen, dass sie nur bei Bedarf auf Daten zugreifen, um ihre Aufgaben auszuführen, und dass sie diese wie vorgesehen verarbeiten.

Überprüfen Sie Drittanbieter mit einem formalen Workflow: Identifizieren Sie Kategorien von Empfängern, bewerten Sie das Risiko, überprüfen Sie die Sicherheitskontrollen und bestätigen Sie den Zugriff auf Unterauftragnehmer. Wir prüfen, ob die Anbieter die Verschlüsselung während der Übertragung und im Ruhezustand aufrechterhalten, den Zugriff einschränken und über Prozesse zur Benachrichtigung bei Verstößen verfügen.

Datenverarbeitungsvereinbarungen legen Rollen, Datenverarbeitung und Sicherheitsmaßnahmen fest. Sie umfassen Datenminimierung, Aufbewahrungsfristen, Löschung bei Vertragsbeendigung, Regeln für Unterauftragnehmer, grenzüberschreitende Übermittlungen mit Schutzmaßnahmen und Haftung für Verstöße.

Überwachung und Audits: Wir führen jährliche Überprüfungen durch, fordern Bescheinigungen an und überwachen Vorfallberichte. Wir verlangen Benachrichtigungen innerhalb eines festgelegten Zeitrahmens und überprüfen den Nachweis von Kontrollen. Wir führen eine aktuelle Liste von Unterauftragnehmern und informieren die Kunden, wenn sich etwas ändert.

Praktische Schritte für Kunden: Fragen Sie nach der ADV, überprüfen Sie die Unterauftragnehmer, überprüfen Sie die Datenaufbewahrung und verstehen Sie die Unterstützung der Rechte betroffener Personen. Wenn ein Anbieter keine eindeutigen Dokumentationen bereitstellen kann, wechseln Sie den Anbieter.

Welche Rechte haben Sie und wie können Sie diese ausüben (Zugriff, Löschung, Widerspruch)?

Senden Sie eine Zugriffsanfrage direkt über Ihr Konto-Dashboard oder senden Sie eine E-Mail an [email protected], um zu beginnen. Wir antworten innerhalb von 30 Tagen und Sie erhalten eine Kopie in CSV oder JSON mit Kategorien, Quellen und Empfängern. Mit dieser Richtlinie erhalten Sie die Kontrolle, wie beabsichtigt. Stellen Sie sicher, dass unsere Dienste klar und benutzerfreundlich sind.

Ihre Rechte auf einen Blick

Zugriff: Sie können die Daten einsehen, die wir über Sie speichern, einschließlich Profildetails, Aktivitätsprotokolle und alle Informationen, die Sie in Formularen angegeben haben. Löschung: Sie können die Entfernung von Daten aus aktiven Systemen beantragen, vorbehaltlich der gesetzlichen Verpflichtungen und legitimen geschäftlichen Bedürfnisse. Widerspruch: Sie können der Verarbeitung widersprechen, einschließlich Direktmarketing oder Verarbeitung aufgrund unserer berechtigten Interessen. Wir werden berechtigte Anfragen erfüllen, die nicht mit diesen Verpflichtungen in Konflikt stehen.

So üben Sie jedes Recht aus

Zugriffsanfragen: Überprüfen Sie Ihre Identität mit einem minimalen Satz von Kennungen (Name, E-Mail, Konto-ID) und senden Sie sie über Ihr Konto oder [email protected]. Wir liefern innerhalb von 30 Tagen einen Datenexport in Ihrem bevorzugten Format und stellen eine Zusammenfassung der Zwecke, Kategorien und Empfänger bereit.

Löschanfragen: Bestätigen Sie die Identität, geben Sie die zu löschenden Daten oder den Umfang an, und wir werden sie innerhalb von 30 Tagen aus aktiven Systemen entfernen, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben oder um eine Transaktion abzuschließen. Sie erhalten eine Bestätigung, sobald die Löschung abgeschlossen ist; Daten in Backups können innerhalb eines nachfolgenden Zeitraums gemäß unserer Aufbewahrungsrichtlinie gelöscht werden.

Widerspruchsanfragen: Beschreiben Sie die Verarbeitung, gegen die Sie Einspruch erheben, und ob Sie eine sofortige Einstellung oder eine vorübergehende Pause bevorzugen. Wir werden die Verarbeitung während der Überprüfung pausieren und innerhalb von 30 Tagen antworten; Wenn wir einen triftigen Grund für die Fortsetzung feststellen, werden wir Sie benachrichtigen und die Begründung angeben. Sie können auch die Einstellungen in Ihrem Konto aktualisieren, um Marketingmitteilungen zu beenden.

Wie aktualisieren wir die Richtlinie und überprüfen die fortlaufende Einhaltung des Datenschutzes?

How We Update the Policy and Verify Ongoing Privacy Compliance?

Umsetzungsempfehlung: Richten Sie einen vierteljährlichen Richtlinienprüfungszyklus und eine automatisierte Änderungsverfolgung ein. Unsere Dienste funktionieren wie vorgesehen, wenn wir diesem Ansatz folgen - klare Versionierung, funktionsübergreifende Genehmigungen und rechtzeitige Benutzerbenachrichtigungen.

Wir aktualisieren die Richtlinie durch einen dokumentierten, prüffähigen Prozess, der mit der Datenverarbeitung in unseren Produkten und Dienstleistungen übereinstimmt. Jedes Update durchläuft definierte Phasen, von Triggern bis zur Veröffentlichung, damit wir Genauigkeit und Rechenschaftspflicht gewährleisten.

Update-Workflow

  • Auslöser für die Aktualisierung umfassen regulatorische Änderungen, neue Datenflüsse, Feature-Starts oder Anbieteränderungen. Wir entwerfen Änderungen mit einer prägnanten Zusammenfassung und ordnen betroffene Abschnitte Verarbeitungstätigkeiten zu.
  • Versionskontrolle und Änderungsprotokoll: Jedes Update erstellt eine neue Version mit Datum, Umfang und Zugänglichkeit für Benutzer.
  • Genehmigungen der Stakeholder: Datenschutz, Recht, Sicherheit, Produkt und Engineering überprüfen und abzeichnen.
  • Folgenabschätzung: Überprüfen Sie Zwecke, Datenkategorien, Aufbewahrung und rechtliche Grundlagen erneut; Stellen Sie die Ausrichtung über unsere Dienste und Verarbeitungstätigkeiten hinweg sicher.
  • Dokumentation: DFFA, Datenkarten, Anbietervereinbarungen und Aufbewahrungsfristen aktualisieren; Fügen Sie unterstützende Materialien zum Policy-Record hinzu.
  • Veröffentlichung und Reichweite: Veröffentlichen Sie die überarbeitete Richtlinie auf unserer Website und benachrichtigen Sie die Benutzer über Versionshinweise oder In-App-Benachrichtigungen.
  • Barrierefreiheit und Interoperabilität: Stellen Sie maschinenlesbare Formate und klare Links zu verwandten Richtlinien sicher.

Laufende Überprüfung

  1. Vierteljährliche Datenschutzprüfungen vergleichen die tatsächliche Verarbeitung mit der Richtlinie; Beheben Sie Lücken umgehend.
  2. Jährliche Bewertungen durch Dritte, wenn dies aufgrund von Vorschriften oder Verträgen erforderlich ist; Aktualisieren Sie die Steuerelemente entsprechend.
  3. Regelmäßige Mitarbeiterschulungen und Überprüfung der abgeschlossenen Module; Verfolgen Sie die Abschlussquoten.
  4. Datenschutz-KPIs: Reaktionszeiten für Anfragen betroffener Personen, Einwilligungsmanagement, Eindämmung von Vorfällen und Benachrichtigungen über Verstöße.
  5. Audit Trails: Führen Sie ein zentrales Änderungsprotokoll und einen Versionsverlauf für interne Überprüfungen und externe Audits.
  6. Kontinuierliche Verbesserung: Sammeln Sie Feedback von Benutzern und Teams; Setzen Sie Verbesserungen im nächsten Zyklus um.

Bereit, deine Cyprus-Firma zu gründen?

Unsere Experten begleiten dich durch den gesamten Prozess — Registrierung, Steuer-Setup und Kontoeröffnung.

Erstberatung anfragen