Merci de l'intérêt que vous portez à notre association. La protection des données est particulièrement importante pour les membres du conseil d'administration et les employés du consortium PACTware Consortium e.V. L'utilisation des pages Web du consortium PACTware Consortium e.V. est généralement possible sans soumettre de données personnelles. Toutefois, si une personne concernée souhaite utiliser des services spécifiques fournis par notre association via notre site Web, il peut s'avérer nécessaire de traiter des données personnelles. S'il est nécessaire de traiter des données personnelles et qu'il n'existe aucune base juridique pour ledit traitement, nous obtenons généralement le consentement de la personne concernée.

Le traitement des données personnelles, telles que le nom, l'adresse, l'adresse e-mail ou le numéro de téléphone de la Personne concernée, est toujours effectué conformément au règlement général sur la protection des données (RGPD) et aux réglementations de chaque pays sur la protection des données applicables au consortium PACTware Consortium e.V. Avec cette déclaration de protection des données, le consortium PACTware Consortium e.V. souhaite informer le public du type, de l'étendue et de l'objectif des données personnelles que nous recueillons, utilisons et traitons. Cette déclaration de protection des données informe également la personne concernée de ses droits.

En tant que contrôleur de données, le consortium PACTware Consortium e.V. a mis en place de nombreuses mesures techniques et organisationnelles pour garantir le plus possible la protection des données personnelles traitées via ce site Web. Toutefois, les transferts de données sur Internet peuvent toujours présenter des failles de sécurité et une protection absolue ne peut pas être garantie. C'est pourquoi chaque personne concernée est invitée à nous transmettre ses données personnelles de différentes manières, par exemple par téléphone.

1. Définitions

La politique de confidentialité du consortium PACTware Consortium e.V. est basée sur les termes utilisés par l'organisme européen de législation et de régulation lors de l'adoption du règlement général sur la protection des données (RGPD). Notre déclaration de confidentialité se veut simple à lire et à comprendre pour le public, ainsi que pour nos clients et nos partenaires commerciaux. Pour ce faire, nous aimerions vous expliquer à l'avance les termes utilisés.

Dans cette déclaration de confidentialité, nous utilisons notamment les termes suivants, entre autres :

• A) Données personnelles

Les données personnelles sont des informations relatives à une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »). Une personne identifiable est une personne physique qui, directement ou indirectement, se voit affecter un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou une ou plusieurs caractéristiques spécifiques qui permettent d'identifier l'expression de l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de ladite personne physique.

• B) Personne concernée

La personne concernée est la personne physique identifiée ou identifiable dont les données personnelles sont traitées par le contrôleur de données.

• C) Traitement

Le traitement est une opération ou une série d'opérations effectuées avec ou sans l'aide de procédures automatisées en rapport avec des données personnelles, telles que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la lecture, l'interrogation, l'utilisation, la divulgation par transmission, la distribution ou toute autre forme de transmission, la mise en correspondance ou la liaison, la restriction, la suppression, ou la destruction.

• D) Restriction du traitement

La restriction du traitement est le marquage de données personnelles stockées dans le but de restreindre leur traitement futur.

• E) Profilage

Le profilage est tout type de traitement automatisé de données personnelles qui implique l'utilisation d'informations personnelles pour évaluer certains aspects personnels relatifs à une personne physique, en particulier l'analyse ou la prédiction d'aspects relatifs aux performances professionnelles, à la situation économique, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, au comportement, à la position ou à tout changement de position de ladite personne physique.

• F) Pseudonymisation

La pseudonymisation est le traitement de données personnelles de sorte que ces dernières ne puissent plus être attribuées à une personne concernée spécifique sans utiliser d'informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et soumises à des mesures techniques et organisationnelles qui garantissent que les données personnelles ne puissent pas être attribuées à une personne physique identifiée ou identifiable.

• G) Partie responsable ou Contrôleur de données

La partie responsable ou le contrôleur de données est la personne physique ou morale, l'autorité, l'institution ou toute autre entité qui, seule ou avec d'autres, détermine les finalités et moyens du traitement des données personnelles. Lorsque les finalités et moyens de ce traitement sont prescrits par le droit de l'Union européenne ou par les lois des États membres, la partie responsable ou les critères spécifiques de désignation d'une Partie responsable peuvent être prescrits par le droit de l'Union européenne ou par les lois des États membres.

• H) Sous-traitant

Un Sous-traitant est une personne physique ou morale, une autorité, une institution ou toute autre entité qui traite les données personnelles au nom de la Partie responsable.

• I) Destinataire

Un destinataire est une personne physique ou morale, une autorité, une institution ou toute autre entité à qui des informations personnelles sont divulguées, qu'il s'agisse ou non d'un Tiers. Toutefois, les autorités susceptibles de recevoir des données personnelles dans le cadre d'un mandat d'enquête spécifique ne seront pas considérées comme des destinataires en vertu du droit de l'Union européenne ou des lois des États membres.

• J) Tiers

Un tiers est une personne physique ou morale, une autorité, une institution ou toute autre entité autre que la personne concernée, la partie responsable, le sous-traitant et toutes parties autorisées à traiter des données personnelles sous la responsabilité directe de la partie responsable ou du Sous-traitant.

• K) Consentement

Le consentement est une déclaration d'intention volontairement faite par la personne concernée pour un cas spécifique, de manière informée et non ambiguë, sous la forme d'une déclaration ou de toute autre confirmation claire par lequel la personne concernée indique qu'elle accepte le traitement de ses données personnelles.

2. Nom et adresse du contrôleur de données

La partie responsable en vertu du règlement général sur la protection des données, des autres lois sur la protection des données en vigueur au sein des états membres de l'Union européenne et de toutes autres dispositions destinées à la protection des données est la suivante :

PACTware Consortium e.V., représenté par le conseil d'administration
Dr. Joachim Schullerer, Michael Kessler, Peter Praske, Holger Sack
Panoramasstr. 16
76327 Pfinztal/Allemagne

Tél. : +49 (0) 7240-94309-61
Fax : +49 (0) 7240-94309-63

E-mail : info@pactware.com
Site Web : www.pactware.com

3. Collecte d'informations et de données générales

Le site Web du consortium PACTware Consortium e.V. collecte une série d'informations et de données générales chaque fois qu'une personne concernée ou qu'un système automatisé accède au site Web. Ces informations et données générales sont stockées dans les fichiers journaux du serveur. Les données et informations collectées comprennent (1) les types de navigateur et les versions utilisées, (2) le système d'exploitation utilisé par le système d'accès, (3) la page Internet à partir de laquelle un système d'accès accède à notre page Internet (« référent »), (4) les sous-pages Web visitées sur notre page Internet via un système d'accès, (5) la date et l'heure d'accès au site Internet, (6) une adresse de protocole Internet (adresse IP), (7) le fournisseur d'accès à Internet pour le système d'accès et (8) d'autres données et informations similaires utilisées à des fins de protection contre les menaces pesant sur nos systèmes informatiques.

Lors de l'utilisation de ces informations et données générales, le consortium PACTware Consortium e.V. ne peut tirer aucune conclusion sur la personne concernée. Ces informations sont nécessaires pour (1) fournir correctement le contenu de notre site Web, (2) optimiser le contenu de notre site Web et la publicité de notre site Web, (3) assurer le fonctionnement à long terme de nos systèmes informatiques et de la technologie de notre site Web, et (4) fournir aux autorités chargées de l'application de la loi les informations nécessaires à des poursuites en cas de cyberattaque. Ces informations et données anonymes sont donc évaluées par le consortium PACTware Consortium e.V. sous forme de statistiques et dans le but supplémentaire d'accroître la protection et la sécurité des données au sein de notre entreprise, afin de garantir un niveau optimal de protection des données personnelles que nous traitons. Les données anonymes contenues dans les fichiers journaux du serveur sont stockées séparément de toutes les données personnelles soumises par la personne concernée.

4. Options de contact via le site Web

En raison des réglementations légales, le site Web du consortium PACTware Consortium e.V. contient des informations qui permettent de contacter rapidement notre entreprise de manière électronique et de communiquer directement avec nous, ce qui inclut une adresse générale pour le courrier électronique (adresse e-mail). Si une personne concernée contacte le contrôleur de données par e-mail ou par le biais d'un formulaire de contact, les données personnelles transmises par la personne concernée sont automatiquement enregistrées. Ces données personnelles transmises volontairement par la personne concernée au contrôleur de données seront stockées à des fins de traitement ou de contact avec ladite personne concernée. Ces données personnelles ne seront transmises à aucun tiers.

5. Suppression et verrouillage systématiques des données personnelles

Le contrôleur de données traite et stocke les données personnelles d'une personne concernée uniquement pendant la période nécessaire aux fins prévues, ou si cela est prescrit par l'organisme européen de législation et de régulation, ou par un autre organisme de législation en vertu des lois ou réglementations applicables au contrôleur de données.

Si l'objectif pour lequel les informations ont été enregistrées ne s'applique plus ou si une période de stockage prescrite par l'organisme européen de législation ou tout autre organisme de législation compétent expire, les données personnelles sont systématiquement verrouillées ou supprimées conformément aux réglementations statutaires.

6. Droits de la personne concernée

• A) Droit de confirmation

L'organisme européen de législation et de régulation accorde à toute personne concernée le droit de demander au contrôleur de données de confirmer si ses données personnelles sont ou non en cours de traitement. Si une personne concernée souhaite exercer ce droit de confirmation, elle peut contacter à tout moment un employé du contrôleur de données.

• B) Droit à l'information

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit d'obtenir à tout moment et gratuitement des informations du contrôleur de données sur les données personnelles stockées sur sa personne, ainsi qu'une copie de ces informations. En outre, l'organisme européen de législation et de régulation doit fournir à la personne concernée les informations suivantes :

• • La finalité du traitement
  • Les catégories de données personnelles traitées
  • Les destinataires ou catégories de destinataires auxquels les données personnelles ont été divulguées ou sont divulguées, notamment les destinataires qui se trouvent dans des pays tiers ou des organisations internationales
  • Si possible, la durée prévue pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères de détermination de cette durée
  • L'existence d'un droit de corriger ou de supprimer les données personnelles la concernant ou de restreindre le traitement de ces données par la partie responsable, ou un droit de s'opposer à ce traitement
  • L'existence d'un droit d'appel à une autorité de supervision
  • Si les données personnelles n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur l'origine des données
  • L'existence d'un processus de prise de décision automatisé, y compris le profilage conformément à l'article 22, paragraphes 1 et 4 du RGPD et, au moins dans ces cas, des informations significatives relatives à la logique impliquée, ainsi que l'étendue et l'impact prévu de ce traitement sur la personne concernée

La personne concernée a le droit de savoir si ses données personnelles ont été transférées vers un pays tiers ou une organisation internationale. Si tel est le cas, la personne concernée a également le droit d'obtenir des informations sur les garanties appropriées en rapport avec la transmission.

Si une personne concernée souhaite exercer ce droit d'accès, elle peut à tout moment contacter un employé du contrôleur de données.

• C) Droit de correction

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de demander la correction immédiate si ses données personnelles sont incorrectes. En outre, la personne concernée a le droit de demander de compléter ses données personnelles si elles sont incomplètes, notamment par le biais d'une déclaration supplémentaire, en tenant compte des finalités du traitement.

Si une personne concernée souhaite exercer ce droit de correction, elle peut à tout moment contacter un employé du contrôleur de données.

• D) Droit de suppression (droit à l'oubli)

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de demander que la partie responsable supprime immédiatement ses données personnelles, si toutefois l'une des conditions suivantes est remplie et que le traitement n'est pas nécessaire :

• • Les données personnelles ont été recueillies à ces fins ou traitées d'une autre manière pour laquelle elles ne sont plus nécessaires.
  • La personne concernée révoque son consentement pour le traitement conformément à l'article 6, paragraphe 1, alinéa a du RGPD et à l'article 9, paragraphe 2, alinéa a du RGPD, et il n'existe aucune autre base juridique pour le traitement de ces données.
  • La personne concernée s'oppose au traitement conformément à l'article 21, paragraphe 1 du RGPD, et il n'existe aucune raison légitime de remplacement pour le traitement, ou la Personne concernée s'y oppose conformément à l'article 21, paragraphe 2 du RGPD.
  • Les données personnelles ont été traitées illégalement.
  • Les données personnelles doivent être supprimées pour remplir une obligation légale en vertu du droit de l'Union européenne ou des lois des états membres auxquels la partie responsable est soumise.
  • Les données personnelles ont été recueillies dans le cadre de l'offre de services de la société de l'information conformément à l'article 8, paragraphe 1 du RGPD.

Si l'une des raisons ci-dessus s'applique et qu'une personne concernée souhaite que les données personnelles stockées par le consortium PACTware Consortium e.V. soient supprimées, elle peut contacter à tout moment un employé du contrôleur de données. L'employé du consortium PACTware Consortium e.V. exécutera immédiatement la demande de suppression.

Si les données personnelles ont été rendues publiques par le consortium PACTware Consortium e.V. et si notre entreprise est responsable de la suppression des données personnelles conformément à l'article 17, paragraphe 1 du RGPD, le consortium PACTware Consortium e.V. prendra les mesures appropriées, notamment des mesures techniques, en tenant compte des technologies disponibles et des coûts de mise en œuvre, pour informer les autres Contrôleurs de données qui traitent les données personnelles publiées que la personne concernée a demandé la suppression de tous les liens vers ces données personnelles, ou la suppression des copies ou reproductions de ces données personnelles par ces autres contrôleurs de données, à condition que le traitement ne soit pas nécessaire. L'employé du consortium PACTware Consortium e.V. prendra les mesures nécessaires pour chaque cas.

E) Droit de restreindre le traitement

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de demander que la partie responsable restreigne le traitement desdites données si l'une des conditions suivantes est remplie :

• • L'exactitude des données personnelles est contestée par la personne concernée et pendant une période qui permet à la partie responsable de vérifier l'exactitude des données personnelles.
  • Le traitement est illégal, la Personne concernée refuse la suppression des données personnelles et demande plutôt que leur utilisation soit restreinte.
  • La partie responsable n'a plus besoin des données personnelles à des fins de traitement, mais la personne concernée l'exige pour faire valoir, exercer ou défendre des droits.
  • La personne concernée s'est opposée au traitement conformément à l'article 21, paragraphe 1 du RGPD, et il reste encore à établir si les raisons justifiées de la partie responsable l'emportent sur celles de la personne concernée.

Si l'une des conditions ci-dessus s'applique et qu'une personne concernée souhaite que les données personnelles stockées par le consortium PACTware Consortium e.V. soient restreintes, elle peut à tout moment contacter un employé du contrôleur de données. L'employé du consortium PACTware Consortium e.V. gérera la restriction du traitement.

F) Droit à la portabilité des données

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit d'obtenir dans un format structuré, commun et lisible par machine ses données personnelles qu'elle a elle-même fournies à la partie responsable. La personne concernée a également le droit de transmettre ces données à une autre partie responsable sans entrave de la part de la partie responsable à qui les données personnelles ont été fournies, à condition que le traitement soit effectué avec son consentement, conformément à l'article 6, paragraphe 1, alinéa a du RGPD ou à l'article 9, paragraphe 2, alinéa a du RGPD, ou avec un contrat conformément à l'article 6, paragraphe 1, alinéa b du RGPD et si le traitement est effectué par le biais de procédures automatisées, uniquement si le traitement n'est pas nécessaire pour l'exécution d'une tâche qui est dans l'intérêt public ou l'exercice d'une autorité publique qui a été confiée à la partie responsable.

Lorsqu'elle exerce son droit à la portabilité des données, la personne concernée a également le droit, conformément à l'article 20, paragraphe 1 du RGPD, de s'assurer que des données personnelles soient transmises directement d'une partie responsable à une autre, à condition que cela soit techniquement faisable et que cela n'affecte pas les droits et libertés d'autres personnes.

La personne concernée peut contacter un employé du consortium PACTware Consortium e.V. à tout moment pour faire valoir son droit à la portabilité des données.

G) Droit de contestation

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de contester à tout moment le traitement de ses données personnelles pour des raisons liées à la situation spécifique de ladite personne concernée conformément à l'article 6, paragraphe 1, alinéa e ou f du RGPD. Cela s'applique également au profilage selon ces dispositions.

Le consortium PACTware Consortium e.V. ne traite plus les données personnelles en cas de contestation, sauf si nous pouvons fournir des raisons convaincantes pour le traitement qui l'emportent sur les intérêts, les droits et les libertés de la personne concernée, ou si le traitement sert à faire valoir, exercer ou défendre des droits.

Si le consortium PACTware Consortium e.V. traite des données personnelles pour mener des campagnes publicitaires directes, la personne concernée a le droit de contester à tout moment le traitement des données personnelles dans le cadre de ladite publicité. Cela s'applique également au profilage, à condition qu'il soit lié à ladite publicité. Si la personne concernée refuse que le consortium PACTware Consortium e.V. traite ses données pour une campagne publicitaire directe, le consortium PACTware Consortium e.V. ne traitera plus les données personnelles à cette fin.

En outre, la personne concernée a le droit, pour des raisons propres à sa situation, de contester le traitement de ses données personnelles entrepris par le consortium PACTware Consortium e.V. à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1 du RGPD, sauf si un tel traitement est nécessaire pour accomplir une tâche dans l'intérêt public.

Pour exercer son droit de contestation, la personne concernée peut contacter directement le conseil d'administration du consortium PACTware Consortium e.V. ou un autre employé. La personne concernée est également libre d'exercer son droit de contestation en rapport avec l'utilisation des services de la société de l'information, nonobstant la directive 2002/58/CE, avec des procédures automatisées utilisant des spécifications techniques.

H) Décisions automatisées pour chaque cas, y compris le profilage

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de ne pas être soumis à une décision basée uniquement sur un traitement automatisé (y compris le profilage) ayant des effets juridiques ou les affectant de la même manière, à condition que la décision (1) ne soit pas nécessaire pour conclure ou exécuter un contrat entre la personne concernée et la partie responsable, ou (2) soit autorisée par le droit de l'Union européenne ou les lois des états membres auxquels la partie responsable est soumise, et que cette loi contienne des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, ou (3) soit prise avec le consentement explicite de la personne concernée.

Si la décision (1) est nécessaire pour conclure ou exécuter un contrat entre la personne concernée et la partie responsable, ou (2) est prise avec le consentement explicite de la personne concernée, le consortium PACTware Consortium e.V. prendra les mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris au moins le droit d'intervention d'une personne au nom de la partie responsable pour présenter sa position et remettre en question la décision.

Si la personne concernée souhaite exercer ses droits relatifs aux décisions automatisées, elle peut à tout moment contacter un employé du contrôleur de données.

I) Droit de révoquer son consentement en vertu de la loi sur la protection des données

L'organisme européen de législation et de régulation accorde à toute personne concernée dont les données personnelles sont traitées le droit de révoquer, à tout moment, son consentement concernant le traitement de ses données personnelles.

Si la personne concernée souhaite exercer son droit de révoquer son consentement, elle peut à tout moment contacter un employé du contrôleur de données.

7. Politique de confidentialité et utilisation par YouTube

Le contrôleur de données a intégré des composants de YouTube sur ce site Web. YouTube est un portail vidéo Internet qui permet aux éditeurs de contenus de publier des clips et à d'autres utilisateurs de visualiser, noter et commenter ces vidéos gratuitement. YouTube permet la publication de tous types de vidéos. Par conséquent, il est possible d'accéder à des programmes télévisés et des films dans leur intégralité, ainsi qu'à des vidéos musicales, des bandes-annonces et des vidéos créées par des utilisateurs via le portail Internet.

La société d'exploitation de YouTube est YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, États-Unis. YouTube, LLC est une filiale de Google Inc., 1600 Amphitheater Pkwy, Mountain View, CA 94043-1351, États-Unis.

Chaque fois qu'un utilisateur accède à l'une des pages individuelles de ce site Web, géré par le contrôleur de données et dans lequel un composant YouTube (vidéo YouTube) a été intégré, le navigateur Internet du système informatique de la personne concernée est automatiquement invité par le composant YouTube correspondant à télécharger une représentation du composant YouTube correspondant sur YouTube. Pour plus d'informations sur YouTube, rendez-vous sur www.youtube.com/yt/about/. Dans le cadre de ce processus technique, YouTube et Google recevront des informations sur la sous-page spécifique de notre site Web consultée par la personne concernée.

Si la personne concernée est connectée à YouTube en même temps, YouTube reconnaît la sous-page spécifique de notre site Web visitée par la personne concernée lorsque cette dernière accède à la sous-page contenant une vidéo YouTube. Ces informations sont collectées par YouTube et Google et attribuées au compte YouTube correspondant de la personne concernée.

Via le composant YouTube, YouTube et Google reçoivent les informations que la personne concernée a consultées sur notre site Web et ce, chaque fois que la personne concernée est connectée simultanément à YouTube lorsqu'elle accède à notre site Web, que la personne concernée clique ou non sur une vidéo YouTube. Si la personne concernée ne souhaite pas transmettre ces informations à YouTube et Google, elle peut en empêcher la transmission en se déconnectant de son compte YouTube avant d'accéder à notre site Web.

Les réglementations sur la protection des données publiées par YouTube sont disponibles à l'adresse https://policies.google.com/privacy et fournissent des informations sur la collecte, le traitement et l'utilisation des données personnelles par YouTube et Google.

8. Base juridique du traitement

L'article 6, paragraphe 1, alinéa a du RGPD sert de base juridique pour les opérations de traitement de notre entreprise, pour lesquelles nous obtenons un consentement à des fins de traitement spécifiques. Si le traitement des données personnelles est nécessaire pour exécuter un contrat dont la personne concernée fait partie, par exemple dans le cas d'opérations de traitement nécessaires pour fournir des marchandises ou tout autre service ou service de retour, le traitement doit être basé sur l'article 6, paragraphe 1, alinéa b du RGPD. Il en va de même pour les opérations de traitement nécessaires à la mise en œuvre de mesures précontractuelles, par exemple en cas de questions concernant nos produits ou services. Si notre entreprise est soumise à une obligation légale pour laquelle le traitement des données personnelles est requis, par exemple pour l'exécution des obligations fiscales, le traitement est basé sur l'article 6, paragraphe 1, alinéa c du RGPD. Dans de rares cas, le traitement des données personnelles peut s'avérer nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique. C'est le cas, par exemple, si un visiteur de notre établissement a été blessé et qu'il était nécessaire de transmettre son nom, son âge, ses données d'assurance maladie ou toute autre information essentielle à un médecin, un hôpital ou un tiers. Dans ce cas, le traitement est basé sur l'article 6, paragraphe 1, alinéa d du RGPD. Les opérations de traitement peuvent également être traitées conformément à l'article 6, paragraphe 1, alinéa f du RGPD. Les opérations de traitement non couvertes par l'une des bases juridiques susmentionnées sont basées sur cette base juridique si le traitement est nécessaire pour protéger l'intérêt légitime de notre entreprise ou d'un tiers, sauf si les intérêts, les droits fondamentaux et les libertés fondamentales de la personne concernée l'emportent sur le reste. Nous sommes autorisés à effectuer ces opérations de traitement en particulier, car elles ont été spécifiquement mentionnées par l'organisme européen de législation. À cet égard, l'organisme européen de législation considère qu'un intérêt légitime peut être pris en compte si la personne concernée est un client de la Partie responsable (point 47, phrase 2 du RGPD).

9. Intérêts légitimes lors du traitement mené par la partie responsable ou un tiers

Si le traitement des données personnelles est basé sur l'article 6, paragraphe 1, alinéa f du RGPD, notre intérêt légitime est de mener nos activités pour tous nos employés et actionnaires.

10. Durée de stockage des données personnelles

Le critère de durée de stockage des données personnelles est la période de conservation légale correspondante. Après l'expiration de cette période, les données pertinentes seront systématiquement supprimées, à condition qu'elles ne soient plus nécessaires pour exécuter ou établir des contrats.

11. Dispositions légales ou contractuelles pour fournir des données personnelles ; nécessité pour conclure le contrat ; obligation de la personne concernée à fournir ses données personnelles ; conséquences possibles si elle ne les fournit pas

Nous vous informerons si la fourniture de données personnelles est en partie requise par la loi (réglementations fiscales, par exemple) ou découle de réglementations contractuelles (informations sur le partenaire contractuel, par exemple). Ces données peuvent parfois s'avérer nécessaires pour conclure un contrat qui exige qu'une personne concernée nous fournisse ses données personnelles, que nous devrons ensuite traiter. Par exemple, la personne concernée est tenue de nous fournir ses données personnelles lorsque notre entreprise conclut un contrat avec elle. Dans le cas contraire, le contrat avec la personne concernée ne pourra pas être conclu. Avant de fournir ses données personnelles, la personne concernée doit contacter l'un de nos employés. Notre employé informera la personne concernée, au cas par cas, si la fourniture de données personnelles est requise par la loi ou par contrat, si fournir ces données personnelles est obligatoire et les conséquences en cas de refus.

12. Prise de décision automatisée

En tant qu'entreprise responsable, nous n'exigeons pas une prise de décision ou un profilage automatique.

Cette déclaration de protection des données a été préparée à l'aide du générateur de politique de confidentialité de DGD Deutsche Gesellschaft für Datenschutz GmbH, agissant en tant que responsable de la protection des données externes, en coopération avec l'avocat spécialisé dans la protection des données, Christian Solmecke

With this information we inform you about the processing of your personal data in the Microsoft 365 tenant of the PACTware Consortium e.V. 

A Microsoft 365 tenant is a separate, secure environment within Microsoft's shared cloud infrastructure. Companies can manage their own data, users, and configurations in their Microsoft tenant without coming into contact with other tenants. The data of a Microsoft tenant is completely isolated, allowing each company to implement its own security policies and access controls. The core of this compilation includes above all the tools:

• Exchange Online (email, calendar, address book, tasks),
• OneDrive and SharePoint Online (storage, processing, application platform)
• Microsoft Teams (collaboration, chat, meeting and telephony)
• Azure Active Directory (AD) is an enterprise identity service that provides single sign-on, multifactor authentication, and conditional access to guard against 99.9 percent of cybersecurity attacks.

This data protection declaration does not include the third-party applications and third-party interfaces that have been connected to the Microsoft 365 platform. For this we refer to the separate data protection declarations within the applications that do not belong to Microsoft 365.

Who is responsible for data processing?
The responsible within the meaning of the Basic Data Protection Regulation, other data protection laws applicable in the Member States of the European Union and other provisions of a data protection nature is: 

PACTware Consortium e.V.,
represented by the Board (-> Point L of „Privacy“)
Panoramastraße 16
76327 Pfinztal / Germany

Phone: +49 (0)7240-94309-61
Fax: 07240-94309-63
E-Mail: info@pactware.com
Website: www.pactware.com

For what purposes do we process personal data?
The purpose of the processing is the internal and external collaboration and communication of employees of a member company of the PACTware Consortium e.V. with internal and external partners. Another purpose is the provision and the safe and smooth operation of Microsoft 365 and its tools.

Collaboration is understood here to mean, for example, working together on files, e-mail communication, meetings, live transmissions and innovative tools.

The provision and smooth operation of Microsoft 365 is also one of the purposes for which personal data is processed. This processing includes, among other things, the logs or administrative events created by the system (e.g. log files about registration and user actions) as well as metadata about calls and meetings, which are used for error, support, statistical and verification purposes .

What types of personal data?

• Personal data is processed as part of the use of Microsoft 365. Personal data can be processed automatically or through input by users.
• Personal data is processed as part of user ID-based and non-user ID-based processes.
• Data could also be processed in third-party apps. These are currently disabled.
• Professional contact, work and organizational data (e.g. name, e-mail, company, personnel number, photo, if applicable, etc.)
• Private telephone numbers and private data that users enter into the system
• Administrative events (e.g. joining a team, creating a channel, sending an email, etc.)
• Metadata (e.g. about calls and meetings (e.g. network status, date/time/duration, devices used, audio quality data)
• User activities (e.g. chat messages, file access) for external parties without a user ID
• Live transmission of sound and, if necessary, image and screen
• Recordings of image and sound, possibly also of the screen, are fundamentally excluded. Exceptions can only be considered after separate regulations and the consent of the participants.
• First name Last Name
• Photo, image and sound transmissions
• Email address
• Email Content
• Audit logs, telemetry and diagnostic data
• Test parameters in the field of cyber security, such as access from different countries in the shortest possible time. Aim: eg detection of attacks, identity theft.
• Alerts and notifications about security incidents
• User information

For the purpose of collaboration with or between users and guests (user ID-based processes) within the tenant and secure IT operations, the following personal data is processed by them:

For the purpose of communication and cooperation as well as secure IT operations, the following personal data is processed by persons who are not users/guests in the tenant (non-user ID-based processes):

The following data is processed for IT security purposes:
Technically necessary cookies are used for the purpose of providing the services securely and stably.

Legal basis for the processing of personal data
The legal basis for the operation of Microsoft 365 is based on Art. 6 Para. 1 lit. b GDPR (the EU General Data Protection Regulation) in conjunction with § 26 paragraph 1 BDSG (the German Federal Data Protection Act) for employees of member companies of the PACTware Consortium e.V. or Art. 6 paragraph 1 lit. b BDSG for external parties. Insofar as the data processing does not serve to implement the contract with the person concerned, but in the legitimate interest of the PACTware Consortium e.V.

Processing for IT security purposes (in particular log files and metadata) and cookies are based on Art. 6 Para. 1 lit. f GDPR. The legitimate interests pursued by those responsible include the following:

• Detection of misuse;
• IT security and continuous improvement of services.
• If image and sound recordings are processed, this is done on the basis of Art. 6 Para. 1 lit. a GDPR.

To which recipients or categories of recipients do we pass on your data as part of this processing activity?
If there is a legal basis or consent to the transfer of your data, your data will only be made available to those bodies that need it to fulfill the above-mentioned purposes. These are mainly service providers used within our company (e.g. internal IT service providers and Microsoft Ireland Operations Ltd.), vicarious agents and companies within the group of companies. All recipients are themselves obliged to comply with data protection.

In addition, we transmit your personal data to the extent required by law, in individual cases to authorities where required by law.

We transfer data on the basis of standard contractual clauses in connection with data processing agreements. In addition, the pseudonymised telemetry and diagnostic data is transmitted from Microsoft Ireland to Microsoft Corp. on the basis of EU standard contractual clauses. Otherwise, there is no transfer to recipients in third countries that do not provide a level of data protection corresponding to the GDPR.

§ 25 Para. 2 No. 2 TDDDG (German Law on data protection and the protection of privacy in telecommunications and digital services): Storage or access is absolutely necessary so that the provider of a telemedia service can provide a telemedia service expressly requested by the user.

How long do we store your data?
We store your data for as long as is necessary to fulfill the stated purposes.

Call and meeting metadata is stored for a maximum of 120 days (depending on the date). Here, too, the data is automatically deleted after the deadline has expired. This data is needed for system stability, support and also to ward off attacks in this vector. Only certain authorized and monitored administrators have access.

Logged administrative events are stored for 180 days and then automatically deleted.

E-mails and attachments are kept within the framework of the legal retention periods and then deleted if there are no other purposes.

The personal data processed by security tools and other tools serving IT security are stored for a maximum of 180 days and then deleted. In individual cases and in the event of security incidents, some data may be retained for longer in order to investigate the incident and prevent future ones.

Under certain circumstances, your data must also be kept for longer, for example in connection with a corresponding official or court order in the form of a so-called litigation hold, which includes a ban on data deletion for the duration of the procedure.

If the data is no longer required for the fulfillment of contractual or legal obligations, they must be deleted regularly, unless their temporary further processing is necessary for the following purposes:

Compliance with commercial and tax retention periods, e.g. B. according to the Commercial Code or the Tax Code. The deadlines mentioned there are 2 to 10 years or after the tax audit has been completed. Preservation of evidence within the framework of the statute of limitations (e.g. §§ 195ff. BGB).

Technical and organizational measures
As part of the processing of your personal data, we have carried out a risk analysis for the processing and, based on this, introduced risk-adjusted technical and organizational measures. These measures are checked regularly and adjusted to the existing risks.

Among other things, we have taken the following measures:

• Data classification
• Monitoring and surveillance of the environment
• Deactivation of the feedback function
• Limitation of the functions of the connected and optionally connected services
• Contractual measures and additional contracts
• Pseudonymization of reports
• Automatic deletion of data in predefined cycles
• Tools to remove old users and their data
   

What data protection rights do you have?
In the following we inform you about the rights to which you are entitled under data protection law, which you can assert free of charge at any time against the person responsible and the respective data protection officer.

You can find out how to contact the data protection officer and the person responsible under point L, Privacy).

Every data subject has the right to information under Art. 15 GDPR, the right to rectification under Art. 16 GDPR, the right to erasure under Art. 17 GDPR, the right to restriction of processing under Art. 18 GDPR, the right to object from Art. 21 GDPR, as well as the right to data portability from Art. 20 GDPR. The restrictions under §§ 34 and 35 BDSG apply to the right to information and the right to erasure. In addition, there is a right of appeal to the competent data protection supervisory authority (Art. 77 GDPR in conjunction with Section 19 BDSG).

You can revoke your consent to the processing of personal data at any time. This also applies to the revocation of declarations of consent that were given to us before the GDPR came into force, i.e. before May 25, 2018. Please note that the revocation only applies to the future. Processing that took place before the revocation is not affected.

Is there an obligation on your part to provide data?
As part of our business relationship, you must provide the personal data that is necessary for the establishment and implementation of a business relationship and the fulfillment of the associated contractual obligations or that we are legally obliged to collect.

Information about your right of objection according to Art. 21 GDPR

Individual right of objection
1. You have the right, for reasons that arise from your particular situation, at any time against the processing of personal data concerning you, which is based on Art. 6 Para. 1 e) GDPR (data processing in the public interest) and Art. 6 Para. 1 f) GDPR (data processing on the basis of a balance of interests) to lodge an objection. If you file an objection, we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for processing that outweigh your interests, rights and freedoms, or the processing service is used to assert, exercise or defend legal claims.

2. Right to object to the processing of data for advertising purposes
In individual cases, we process your personal data in order to operate direct advertising. You have the right to object at any time to the processing of your personal data for the purpose of such advertising. If you object to the processing for direct marketing purposes, we will no longer process your personal data for these purposes. The objection can be made informally by email to the respective sending email address or to the contact details of the respective group company given under point 1 above.