Dieser länderspezifische Nachtrag (nachfolgend „dieser Nachtrag“) enthält ergänzende Bestimmungen für Ihre Nutzung der von uns bereitgestellten Produkte und/oder Dienstleistungen. Dieser Nachtrag gilt und wird durch Verweis in die Datenschutzrichtlinie aufgenommen. Fällt Ihre Nutzung der von der Smartee Group und ihren verbundenen Unternehmen (nachfolgend „Smartee“, „wir“, „unser“ oder „diese Plattform“) bereitgestellten Produkte und/oder Dienstleistungen in den Geltungsbereich der in diesem Nachtrag dargelegten länderspezifischen rechtlichen Anforderungen, so gilt dieser Nachtrag.
Im Falle eines Widerspruchs zwischen diesem Nachtrag und der Datenschutzrichtlinie oder anderen anwendbaren Anhängen hat dieser Nachtrag Vorrang.
Wir behalten uns das Recht vor, diesen Nachtrag gelegentlich zu aktualisieren. Mit Erhalt einer Aktualisierungsmitteilung, Ihrer ausdrücklichen Zustimmung oder Ihrer fortgesetzten Nutzung unserer Produkte und/oder Dienstleistungen in irgendeiner Weise akzeptieren Sie den aktualisierten Nachtrag. Sollten Sie dem aktualisierten Nachtrag nicht zustimmen, müssen Sie die Nutzung unserer Produkte und/oder Dienstleistungen unverzüglich einstellen.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee im EWR, im Vereinigten Königreich und in der Schweiz nutzen, gelten die folgenden zusätzlichen Bedingungen.
1.1 Dieser Teil A gilt in dem Umfang, in dem die Produkte und/oder Dienste von Smartee (oder einzelne davon) personenbezogene Daten verarbeiten, die der DSGVO unterliegen.
1.2 Wenn Sie Patient sind und im EWR, im Vereinigten Königreich oder in der Schweiz leben, sind die Unternehmen von Smartee die gemeinsamen Verantwortlichen für Ihre im Zusammenhang mit diesem Nachtrag verarbeiteten Informationen.
1.3 Die folgenden Begriffe haben in diesem Teil A die folgende Bedeutung:
Terms | Meanings |
EU GDPR | means Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). |
GDPR | means, to the extent applicable to the relevant Processing of Products and/or services Data: (i) the EU GDPR; (ii) the UK GDPR; or (iii) the Swiss DPA, together (in each case) with any applicable national data protection laws made under, pursuant to or that apply in conjunction with any of (i), (ii) or (iii) (as may be amended or superseded from time to time). |
UK GDPR | means the EU GDPR as saved into United Kingdom law by virtue of section 3 of the United Kingdom's European Union (Withdrawal) Act 2018. |
Swiss DPA | means Switzerland’s Federal Act on Data Protection. Where the Swiss DPA is applicable to processing of personal information, references in this Part A and in the Swiss SCCs to Articles of the GDPR are to the equivalent provisions of the Swiss DPA. |
Personal data | means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. |
Special categories of personal data | means personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. |
Controller | means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law. |
processor | means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. |
Joint Controllers | means two or more controllers jointly determine the purposes and means of processing. “Joint Controller” shall be construed accordingly. |
processing | means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. |
Standard Contractual Clauses | means: (i) where the EU GDPR applies, the contractual clauses annexed to the European Commission's Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council ("EU SCCs"); (ii) where the Swiss DPA applies, the EU SCCs are amended so that the term “Member State” will not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland) in accordance with clause 18.c of the EU SCCs ("Swiss SCCs"); and (iii) where the UK GDPR applies, the EU SCCs as amended by the International Data Transfer Addendum to the EU SCCs issued by the UK Information Commissioner under s.119A(1) of the UK Data Protection Act 2018 (“UK Addendum”). |
2.1 Die Beziehung zwischen Ihnen und Smartee wird durch die Art der verarbeiteten personenbezogenen Daten und die spezifischen Zwecke, für die sie verarbeitet werden, wie folgt bestimmt:
Purpose | Personal Information (data) | Processing role | |
a | You create a patient case management account on Smartee’s platform. | Name, Gender, Age, Dentition | You: Joint Controller Smartee: Joint Controller |
b | Smartee collaborates with suppliers, distributors, hospitals, clinics, doctors, other medical institutions, and professional orthodontic practitioners to provide Orthodontic Treatment (including, but not limited to, oral scanning, patient treatment data uploads, aligner design, post-production fine-tuning of aligner designs, or redesign initiation). | Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], Dental Scan Files, CBCT Files, STL Files | You: Joint Controller Smartee: Joint Controller |
c | Smartee partners with suppliers and/or other third-party business partners to provide invisible aligner design and/or manufacturing services to patients. | To provide patients with design and/or manufacturing services for invisible aligners:Name, Case Number, Age, Treatment Design Steps, Intraoral Scan Data, Occlusal Data, Manufacturing System Information (OEM), Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], STL Files To provide patients with manufacturing services for invisible aligners: Name, Case Number, Age, Treatment Design Steps, Intraoral Scan Data、Occlusal Data, Manufacturing System Information (OEM), STL Files | You: Joint Controller Smartee: Joint Controller |
d | Smartee facilitates financial settlement services for patients, suppliers, distributors, medical institutions, clinics, doctors, and other third parties. | Name, Products and Devices Used, contact information, bank account details, contact address, email address, tax-related codes (including but not limited to VAT, GST) | You: Joint Controller Smartee: Joint Controller |
e | Through distributors, hospitals, clinics, doctors, other medical institutions, and professional orthodontic practitioners, Smartee provides aligner delivery services to patients (where applicable). | Name, mobile phone number, landline, email, contact address, shipping information | You: Joint Controller Smartee: Joint Controller |
f | You provide marketing, recruitment, or related services to Smartee. | Service-Related Information | You: Joint Controller Smartee: Joint Controller |
g | You collaborate with Smartee to offer academic courses or training services. | Training Services-Related Information | You: Independent Controller Smartee: Independent Controller |
h | You cooperate with Smartee in conducting orthodontic-related research and testing. | Research and Testing-Related Information | You: Independent Controller Smartee: Independent Controller |
i | Smartee processes data solely in accordance with your instructions and does not autonomously determine the purposes of such processing. | Data Processed at Your Instruction | You: Controller Smartee: Processor |
j | Smartee provides data hosting or storage services and does not use such data for independent decision-making. | Data Hosted or Stored at Your Request | You: Controller Smartee: Processor |
k | You use Smartee’s platform to process data, but Smartee does not access or utilize that data. | Data You Process Using the Smartee Platform | You: Controller Smartee: Processor |
l | You instruct Smartee to process data pursuant to a Data Processing Agreement (DPA) executed between you and Smartee. | Data You Instruct Smartee to Process | You: Controller Smartee: Processor |
2.2 Bedingungen für die gemeinsame Verantwortlichkeit
2.2.1 Wenn Sie Lieferant, Händler, Krankenhaus, Klinik, Arzt oder sonstiger Dritter (nachfolgend „relevante Dritte“) sind und mit den Unternehmen von Smartee zusammenarbeiten, um Patienten im EWR, Großbritannien oder der Schweiz Produkte und/oder Dienstleistungen auf irgendeine Weise bereitzustellen, sind Sie und die Unternehmen von Smartee gemeinsam Verantwortliche für die im Rahmen dieses Nachtrags verarbeiteten personenbezogenen Daten. Smartee und Sie erkennen an und stimmen zu, dass wir gemäß Artikel 26 DSGVO für die in Abschnitt 2.1 dieses Teils A genannte gemeinsame Verarbeitung gemeinsam Verantwortliche sind.
2.2.2 Sind Sie gemeinsam mit Smartee Verantwortlicher im Sinne von Klausel 2.1, so gilt diese gemeinsame Verantwortlichkeit nur für die in diesen Klauseln genannten spezifischen Verarbeitungstätigkeiten („gemeinsame Verarbeitung“). Jede nachfolgende oder weitere Verarbeitung durch Smartee (einschließlich der Übermittlung durch Smartee an verbundene Unternehmen oder Auftragsverarbeiter, der Verarbeitung und Verpackung von kieferorthopädischen Zahnspangen) zu den in Klausel 2.1 genannten Zwecken erfolgt durch Smartee als von Ihnen unabhängiger Verantwortlicher gemäß Artikel 4 Absatz 7 DSGVO.
2.2.3 Diese Bedingungen für die gemeinsame Verarbeitung legen Ihre und Smartees Verantwortlichkeiten hinsichtlich der Einhaltung der DSGVO in Bezug auf die gemeinsame Verarbeitung fest.
2.2.4 Zuordnung der DSGVO-Verantwortlichkeiten
Ihre und Smartees Pflichten zur Einhaltung der DSGVO in Bezug auf die gemeinsame Verarbeitung sind wie folgt:
GDPR compliance responsibility | Smartee's responsibility | Your responsibility | |
a | Article 6: Legal Basis | Smartee has the responsibility to establish a lawful basis in respect of its own Processing of Personal Data. | You have responsibility to establish a lawful basis in respect of your own Processing of Personal Data. |
b | Article 9: Legal Basis (Special categories of personal data) | Smartee has the responsibility to establish a lawful basis in respect of its own Processing of Special categories of personal data. | You have responsibility to establish a lawful basis in respect of your own Processing of Special categories of personal data. |
c | Articles 13, 14: Information | Smartee will display (or procure the display of) a publicly-available privacy notice describing its Processing activities (including the Joint Processing) that meets the requirements of Article 13 and 14 of the GDPR. | You must display (or procure the display of) a privacy notice (or any legal document of equivalent effect) describing your Processing activities (including the Joint Processing) to meet the requirements of Article 13 and 14. This includes as a minimum the provision of the following information: · That Smartee is a Joint Controller of the Joint Processing. · That you use Smartee Products as well as the purposes for which the collection and transmission of Personal Data that constitutes the Joint Processing takes place as set out in the Applicable Product Terms and Contract (Agreement). · That further information on how Smartee processes Personal Data, including the legal basis Smartee relies on and the ways to exercise Data Subject rights against Smartee, can be found in the relevant Smartee inventory privacy notice (with a hyperlink to such notice). |
d | Article 26(2): Making available Joint Controller Terms | This includes as a minimum the provision of the following information: That you and Smartee have: · entered into these Joint Controller Terms to determine the respective responsibilities for compliance with the obligations under the GDPR with regard to the Joint Processing (as specified in the Applicable Product Terms); · agreed that you are responsible for providing Data Subjects as a minimum with the information listed under point b in this table above; and · agreed that between the Parties, Smartee is responsible for enabling Data Subjects' rights under Articles 15-20 of the GDPR with regard to the Personal Data stored or otherwise Processed by Smartee after the Joint Processing. | |
e | Articles 15-20: Subject Rights | ||
f | Article 21: Right to object | Smartee will enable Data Subjects to exercise their right to object in respect of its own Processing of Personal Data. | You will enable Data Subjects to exercise their right to object in respect of your Processing of Personal Data. |
g | Article 32: Security | Smartee in respect of security of the Smartee’s Products and/or Services. | You in relation to your correct technical implementation and configuration of the Smartee’s Products and/or Services. |
h | Articles 33, 34: Personal Data Breaches | Smartee will comply with its obligations under the GDPR in respect of Personal Data Breaches insofar as any Personal Data Breach concerns Smartee's security obligations under these Joint Controller Terms | You will comply with your obligations under the GDPR in respect of Personal Data Breaches insofar as any Personal Data Breach concerns your security obligations under these Joint Controller Terms. |
2.2.5 Alle anderen Verantwortlichkeiten für die Einhaltung der Verpflichtungen gemäß der DSGVO in Bezug auf die gemeinsame Verarbeitung verbleiben bei Smartee und Ihnen individuell.
2.2.6 Sie erklären sich damit einverstanden, dass Smartee seine Datenverarbeitungspflichten gemäß diesen Bedingungen für die gemeinsame Verantwortung an Unterauftragsverarbeiter von Drittanbietern (einschließlich Unternehmen der Smartee-Gruppe) unter der Voraussetzung untervergeben kann, dass:
(a) Die Beauftragung solcher Unterauftragsverarbeiter erfolgt zu Bedingungen, die dem Unterauftragsverarbeiter Verpflichtungen auferlegen, die nicht weniger belastend sind als diese Bedingungen für die gemeinsame Verantwortlichkeit und der zugehörige Vertrag (Vereinbarung);
(b) Sollte ein Unterauftragsverarbeiter seinen Verpflichtungen nicht nachkommen, bleibt Smartee Ihnen gegenüber für die Erfüllung seiner Verpflichtungen voll haftbar.
2.2.7 Diese Bedingungen für die gemeinsame Verantwortung gewähren Ihnen kein Recht, die Offenlegung personenbezogener Daten eines Smartee-Benutzers zu verlangen, die im Zusammenhang mit den Produkten und/oder Dienstleistungen von Smartee verarbeitet werden.
2.2.8 Smartee reagiert auf die Ausübung der Betroffenenrechte gemäß Artikel 15–21 DSGVO in Bezug auf die von Smartee verarbeiteten personenbezogenen Daten. Sollten Betroffene diese Rechte im Zusammenhang mit der gemeinsamen Verarbeitung Ihnen gegenüber geltend machen oder Sie von einer Aufsichtsbehörde im Zusammenhang mit der gemeinsamen Verarbeitung kontaktiert werden (jeweils eine „Anfrage“), benachrichtigen Sie Smartee unverzüglich unter privacy_dpo@smarteealigners.com und stellen Smartee alle erforderlichen Informationen, Kooperations- und Unterstützungsleistungen zeitnah zur Verfügung. Sie sind nicht befugt, im Namen von Smartee zu handeln oder zu antworten.
2.2.9 Wenn Sie auf die Produkte und/oder Dienstleistungen von Smartee zugreifen oder diese für geschäftliche oder kommerzielle Zwecke nutzen, erklären Sie sich damit einverstanden, dass sämtliche Ansprüche, Klagegründe oder Streitigkeiten, die Sie gegen uns haben und die sich aus diesen Bedingungen für die gemeinsame Kontrolle ergeben oder damit in Zusammenhang stehen, ausschließlich vor den Gerichten Spaniens beigelegt werden müssen, dass Sie sich zum Zwecke der Prozessführung derartiger Ansprüche unwiderruflich der Gerichtsbarkeit der spanischen Gerichte unterwerfen und dass diese Bedingungen für die gemeinsame Kontrolle den Gesetzen Spaniens unterliegen, ohne Rücksicht auf Kollisionsnormen.
2.2.10 Wir behalten uns das Recht vor, diese Bedingungen für die gemeinsame Verantwortung von Zeit zu Zeit zu aktualisieren. Sofern gesetzlich nicht vorgeschrieben, benachrichtigen wir Sie 30 Tage im Voraus über wesentliche Änderungen der Bedingungen für die gemeinsame Verantwortung (z. B. per E-Mail oder über Ihr Konto für Produkte und/oder Dienste). Die aktualisierten Bedingungen für die gemeinsame Verantwortung treten mit dem Zeitpunkt ihrer Veröffentlichung oder einem späteren, in den aktualisierten Bedingungen angegebenen Datum in Kraft. Indem Sie nach einer Benachrichtigung über eine Aktualisierung dieser Bedingungen für die gemeinsame Verantwortung weiterhin auf die Produkte und/oder Dienste von Smartee zugreifen oder diese nutzen, erklären Sie sich mit deren Verbindlichkeit einverstanden. Sollten Sie mit den aktualisierten Bedingungen für die gemeinsame Verantwortung nicht einverstanden sein, stellen Sie bitte die Nutzung der Produkte und/oder Dienste von Smartee ein. Sollte sich ein Teil dieser Bedingungen für die gemeinsame Verantwortung als nicht durchsetzbar erweisen, bleibt der verbleibende Teil in vollem Umfang in Kraft. Sollten wir einen Teil dieser Bedingungen für die gemeinsame Verantwortung nicht durchsetzen, gilt dies nicht als Verzicht. Jede von Ihnen gewünschte Änderung oder jeder Verzicht auf diese Bedingungen bedarf der Schriftform und muss von uns unterzeichnet werden.
2.3 Bedingungen der Datenverarbeitung
2.3.1 In Verbindung mit Klausel 2.1 fungiert Smartee unter den folgenden Umständen als Verarbeiter:
(a) Smartee verarbeitet Daten ausschließlich im Auftrag des jeweiligen Dritten und bestimmt die Zwecke der Datenverarbeitung nicht eigenständig. Anders ausgedrückt: Wenn der Dritte Smartee ausdrücklich mit der Durchführung bestimmter Datenverarbeitungsaufgaben beauftragt, wie z. B. der Analyse, Speicherung oder Weitergabe personenbezogener Daten an andere Dritte, entscheidet Smartee nicht über die Verwendung oder Dauer der Speicherung der personenbezogenen Daten. Beispielsweise:
(i) Gesundheitseinrichtungen oder Ärzte können personenbezogene Patientendaten auf Smartee hochladen, wobei Smartee diese Daten streng nach ihren Anweisungen verarbeitet;
(ii) Gesundheitseinrichtungen oder Ärzte können von Smartee verlangen, personenbezogene Patientendaten zu speichern und dabei die volle Kontrolle über deren Verwendung und Löschung zu behalten;
(iii) Gesundheitseinrichtungen oder Ärzte können das System von Smartee zur medizinischen Beratung nutzen, wobei Smartee lediglich technischen Support leistet, ohne die personenbezogenen Daten für andere Entscheidungen zu verwenden.
(b) Smartee fungiert ausschließlich als Datenverwalter oder Speicheranbieter und nutzt die Daten nicht für unabhängige Entscheidungen. Beispielsweise:
(i) Smartee kann Datenspeicherdienste (wie Cloud-Speicher für Patientenakten) anbieten, ohne die gespeicherten Daten für die Produktherstellung oder andere Entscheidungen zu verwenden;
(ii) Die von Händlern, Gesundheitseinrichtungen oder Ärzten hochgeladenen personenbezogenen Patientendaten verbleiben hinsichtlich Zugriff, Änderung und Löschung unter deren Kontrolle, während Smartee lediglich den Speicher bereitstellt;
(iii) Gesundheitseinrichtungen oder Ärzte können Smartee auffordern, personenbezogene Patientendaten für einen späteren Download oder eine spätere Analyse zu hosten, wobei Smartee nicht aktiv auf die Daten zugreift oder sie verarbeitet.
(c) Relevante Dritte nutzen die Plattform von Smartee zur Datenverarbeitung, Smartee selbst nutzt die Daten jedoch nicht. Beispielsweise:
(i) Smartee kann ein Informationssystem bereitstellen, in das Gesundheitseinrichtungen oder Ärzte Patientendaten selbstständig hochladen und verwalten können. Smartees Rolle beschränkt sich dabei auf den technischen Support ohne weitere Entscheidungsfindung in Bezug auf die Daten.
(ii) Ärzte können das System zur Patientendatenanalyse nutzen, ohne dass Smartee in die Datenverarbeitung eingreift.
(d) Relevante Dritte beauftragen Smartee mit der Datenverarbeitung im Rahmen einer unterzeichneten Datenverarbeitungsvereinbarung (DPA). Beispielsweise:
(i) Ein Handelspartner kann mit Smartee eine Datenverarbeitungsvereinbarung (z. B. Formatkonvertierung oder Bildverarbeitung) nur mit Genehmigung von Gesundheitseinrichtungen, Ärzten oder anderen kooperierenden Dritten abschließen, wodurch Smartee daran gehindert wird, die Zwecke der Verarbeitung eigenständig zu bestimmen.
(ii) Alternativ können Gesundheitseinrichtungen oder Ärzte Smartee mit der Durchführung bestimmter Datenanalyseaufgaben beauftragen, behalten dabei aber die Kontrolle und Entscheidungsbefugnis über die Daten.
2.3.2 Wenn Smartee personenbezogene Daten gemäß diesen Datenverarbeitungsbedingungen verarbeitet, sind Sie der Verantwortliche für diese personenbezogenen Daten und Smartee der Auftragsverarbeiter. Dementsprechend ist Smartee verpflichtet:
(a) die personenbezogenen Daten ausschließlich gemäß den geltenden Produkt- und/oder Servicebedingungen, Verträgen und Vereinbarungen verarbeiten. Smartee gibt die personenbezogenen Daten nicht an Dritte weiter, es sei denn, die Weitergabe erfolgt:
(i) gemäß den Produkt- und/oder Servicebedingungen, Verträgen und Vereinbarungen,
(ii) an einen Unterauftragsverarbeiter gemäß Ziffer 2.3.3 oder
(iii) anderweitig gemäß Ihren dokumentierten Anweisungen, einschließlich an Ihre anderen Auftragsverarbeiter, denen Sie uns zur Weitergabe der personenbezogenen Daten anweisen;
(b) sicherzustellen, dass alle von ihr zur Verarbeitung der personenbezogenen Daten bevollmächtigten Personen einer (vertraglichen oder gesetzlichen) Geheimhaltungspflicht unterliegen;
(c) geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vor einer Datenschutzverletzung zu ergreifen;
(d) Sie durch geeignete technische und organisatorische Maßnahmen, soweit dies (unter Berücksichtigung der Art der Verarbeitung) möglich ist, zu unterstützen, damit Sie Ihren Verpflichtungen zur Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen gemäß der DSGVO nachkommen können;
(e) Sie unverzüglich nach Bekanntwerden einer Datenschutzverletzung zu benachrichtigen und Ihnen zum Zeitpunkt der Benachrichtigung oder so bald wie möglich nach der Benachrichtigung Einzelheiten über die Art der Datenschutzverletzung, die Anzahl der betroffenen Datensätze, die Kategorie und ungefähre Anzahl der betroffenen Personen, die voraussichtlichen Folgen der Datenschutzverletzung sowie alle tatsächlichen oder vorgeschlagenen Rechtsmittel zur Minderung der möglichen nachteiligen Auswirkungen der Datenschutzverletzung mitzuteilen;
(f) Ihnen auf Ihre Anfrage und Kosten angemessene Unterstützung im Hinblick auf etwaige Datenschutz-Folgenabschätzungen und/oder Konsultationen mit einer Aufsichtsbehörde gewähren, die Sie gemäß der DSGVO durchführen müssen, wobei die Art der Verarbeitung und die Smartee zur Verfügung stehenden Informationen zu berücksichtigen sind;
(g) bei Beendigung der Produkt- und/oder Servicebedingungen, Verträge und Vereinbarungen die personenbezogenen Daten innerhalb der in den geltenden Produkt- und/oder Servicebedingungen, Verträgen und Vereinbarungen festgelegten Frist löschen, jedoch unter der Voraussetzung, dass Smartee die personenbezogenen Daten gegebenenfalls aufbewahren darf, um andere in den geltenden Produkt- und/oder Servicebedingungen, Verträgen und Vereinbarungen festgelegte Dienste zu erbringen. Wo die EU-DSGVO gilt, gilt die Anforderung zur Löschung personenbezogener Daten nicht, soweit das Recht der Europäischen Union oder eines EU-Mitgliedstaats eine fortgesetzte Speicherung der personenbezogenen Daten vorschreibt, wo die UK-DSGVO gilt, gilt die Anforderung zur Löschung personenbezogener Daten nicht, soweit das britische Recht eine fortgesetzte Speicherung der personenbezogenen Daten vorschreibt, und wo das Schweizer DPA gilt, gilt die Anforderung zur Löschung personenbezogener Daten nicht, soweit das Schweizer Recht eine fortgesetzte Speicherung der personenbezogenen Daten vorschreibt;
(h) Ihnen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der gesetzlichen Verpflichtungen von Smartee als Auftragsverarbeiter gemäß Artikel 28 DSGVO erforderlich sind; und
(i) Smartee stellt Ihnen auf Anfrage Kopien aller relevanten Informationssicherheits- und/oder Datenschutz-Audit-Zertifikate zur Verfügung, die Smartee in Bezug auf die Verarbeitung, die Gegenstand dieser Datenverarbeitungsbedingungen ist, besitzt.
2.3.3 Sie erklären sich damit einverstanden, dass Smartee seine Datenverarbeitungspflichten gemäß diesen Datenverarbeitungsbedingungen an externe Unterauftragsverarbeiter (einschließlich Unternehmen der Smartee-Gruppe) unter der Voraussetzung vergeben kann, dass:
(a) diese Unterauftragsverarbeiter zu Bedingungen beauftragt werden, die dem Unterauftragsverarbeiter Verpflichtungen auferlegen, die nicht weniger belastend sind als diese Datenverarbeitungsbedingungen;
(b) Smartee haftet Ihnen gegenüber weiterhin in vollem Umfang für die Erfüllung der Verpflichtungen dieses Unterauftragsverarbeiters, falls dieser seinen Verpflichtungen nicht nachkommt.
2.3.4 Wenn die Einhaltung der DSGVO-Anforderungen in Bezug auf die internationale Übermittlung personenbezogener Daten durch die Parteien durch Umstände beeinträchtigt wird, die außerhalb der Kontrolle der Parteien liegen, einschließlich der Ungültigkeitserklärung, Änderung oder Ersetzung der Standardvertragsklauseln oder anderer Rechtsinstrumente für die internationale Übermittlung personenbezogener Daten, werden die Parteien in gutem Glauben zusammenarbeiten, um diese Nichteinhaltung angemessen zu beheben.
2.3.5 Zur Vermeidung von Missverständnissen: Die Übermittlung personenbezogener Daten an Smartee-Unternehmen im EWR und/oder Großbritannien stellt keine eingeschränkte Übermittlung im Sinne von Klausel 2.4 dar. Sofern Smartee-Unternehmen im EWR und/oder Großbritannien solche personenbezogenen Daten übermitteln (einschließlich an ihre verbundenen Unternehmen und Auftragsverarbeiter) und es sich bei dieser Übermittlung um eine eingeschränkte Übermittlung handelt, stellen sie sicher, dass die Weiterübermittlung den Anforderungen der DSGVO entspricht (einschließlich, falls erforderlich, durch die Umsetzung von Standardvertragsklauseln mit dem Empfänger der weitergeleiteten personenbezogenen Daten).
2.4 Standardvertragsklauseln
Wenn und soweit Ihre Nutzung der Smartee-Produkte und/oder -Dienste eine eingeschränkte Übertragung personenbezogener Daten von Ihnen (als „Datenexporteur“) an ein mit Smartee verbundenes Unternehmen (als „Datenimporteur“) beinhaltet, gelten die Standardvertragsklauseln wie folgt:
2.4.1 In Bezug auf personenbezogene Daten, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln in folgender Form:
(a) Sind Sie und Smartee Verantwortliche, gilt Modul 1; sind Sie Verantwortlicher und Smartee Auftragsverarbeiter, gilt Modul 2;
(b) In Klausel 7 gilt die optionale Anknüpfungsklausel;
(c) Sind Sie Verantwortlicher und Smartee Auftragsverarbeiter, gilt Klausel 9, Option 2. Darüber hinaus müssen Änderungen der Unterauftragsverarbeiter mindestens 7 Tage im Voraus mitgeteilt werden;
(d) In Klausel 11 findet die optionale Formulierung keine Anwendung;
(e) In Klausel 17 gilt Option 1, und die EU-Standardvertragsklauseln unterliegen spanischem Recht;
(f) In Klausel 18(b) werden Streitigkeiten vor spanischen Gerichten beigelegt;
(g) Anhang I der EU-Standardvertragsklauseln gilt mit den in Anhang I dieser Bedingungen für die gemeinsame Verantwortlichkeit und den Bedingungen für die Datenverarbeitung aufgeführten Informationen als ausgefüllt; und
(h) Anhang II der EU-Standardvertragsklauseln gilt mit den in Anhang II dieser Bedingungen für die gemeinsame Verantwortlichkeit und den Bedingungen für die Datenverarbeitung aufgeführten Informationen als ausgefüllt; und
2.4.2 Für personenbezogene Daten, die durch das Schweizer Datenschutzgesetz geschützt sind, gelten die Schweizer Standardvertragsklauseln, ausgefüllt wie in Ziffer 2.4.1 oben beschrieben, mit der Ausnahme, dass die Schweizer Standardvertragsklauseln für die Zwecke von Ziffer 17 der Schweizer Standardvertragsklauseln dem Schweizer Recht unterliegen.
2.4.3 Für Daten, die durch die UK-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln in der durch den UK-Nachtrag geänderten Fassung. Der UK-Nachtrag ist wie folgt auszufüllen:
(a) Die Tabellen 1 bis 3 des UK-Nachtrags sind mit den relevanten Informationen aus den EU-Standardvertragsklauseln [wie in Ziffer 2.4.1 oben beschrieben] auszufüllen.
(b) Die Option „Importeur“ ist in Tabelle 4 anzukreuzen.
(c) Das Datum des Inkrafttretens des UK-Nachtrags (wie in Tabelle 1 angegeben) ist das Datum, an dem die Parteien diese Vereinbarung (Bedingungen) geschlossen haben.
2.4.4 Für den Fall, dass eine Bestimmung dieser Bedingungen für die gemeinsame Kontrolle und der Bedingungen für die Datenverarbeitung direkt oder indirekt den Standardvertragsklauseln widerspricht, haben die Standardvertragsklauseln Vorrang.
3. Ihre Rechte
Nach geltendem Recht haben Sie das Recht, auf Ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen, Ihre Einwilligung zu widerrufen oder sie zu löschen:
Widerruf Ihrer Einwilligung. Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf berührt jedoch nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf.
Zugriff auf Ihre Daten. Sie können von uns kostenlos eine Bestätigung darüber verlangen, welche Ihrer Daten wir verarbeiten, bestimmte Informationen über die Verarbeitung bereitzustellen und eine Kopie Ihrer Daten anzufordern. Wenn Ihre personenbezogenen Daten verarbeitet werden, haben Sie das Recht, über bestimmte Details dieser Verarbeitung informiert zu werden:
(a) die Zwecke der Verarbeitung; (b) die Kategorien personenbezogener Daten, die verarbeitet werden; (c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; (d) die geplante Dauer, für die die personenbezogenen Daten gespeichert werden; (e) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch Smartee oder eines Widerspruchsrechts gegen diese Verarbeitung; (f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde. Für weitere Informationen wenden Sie sich bitte an Ihre lokale Datenschutzbehörde; (g) sofern die personenbezogenen Daten nicht bei Ihnen erhoben wurden, alle verfügbaren Informationen über deren Herkunft.
Berichtigung Ihrer Daten. Sie können Ihre Daten ändern oder uns bitten, Ihre Daten zu ändern oder zu berichtigen, wenn diese nicht korrekt sind.
Löschung Ihrer Daten. Sie haben das Recht, von Smartee die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, und Smartee ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft: (a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich; (b) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a und/oder Artikel 9 Absatz 2 Buchstabe a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung; (c) Sie legen gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Artikel 21 Absatz 2 DSGVO Widerspruch gegen die Verarbeitung ein; (d) die personenbezogenen Daten wurden unrechtmäßig verarbeitet; (e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt; (f) Die personenbezogenen Daten wurden im Zusammenhang mit angebotenen Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.
Die Löschung erfolgt jedoch nicht, soweit die Verarbeitung erforderlich ist: (a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information; (b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem Smartee unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die Smartee übertragen wurde; (c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3 DSGVO; (d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 DSGVO, soweit das im letzten Absatz genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt; oder (e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Beschränken Sie die Verarbeitung Ihrer Daten. Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn (a) Sie die Richtigkeit der Daten bestreiten, (b) die Daten unrechtmäßig verarbeitet wurden, Sie aber deren Löschung ablehnen, (c) Sie die Daten zur Geltendmachung oder Verteidigung eines Rechtsanspruchs benötigen oder (d) Sie Widerspruch gegen die Verarbeitung eingelegt haben und auf die Entscheidung über Ihren Widerspruch warten.
Widerspruch gegen die Verarbeitung Ihrer Daten. Sie haben das Recht, unter bestimmten Umständen Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen. Dieses Recht gilt, wenn wir eine Aufgabe im öffentlichen Interesse erfüllen, unsere berechtigten Interessen oder die eines Dritten verfolgen oder wenn Ihre Daten unter bestimmten Umständen zum Zwecke der wissenschaftlichen oder historischen Forschung verarbeitet werden. Bitte geben Sie bei der Einreichung eines Widerspruchsantrags alle relevanten Informationen an, einschließlich der Verarbeitungsaktivität, der Sie widersprechen, der Gründe für Ihren Widerspruch und deren Auswirkungen auf Sie sowie alle weiteren Informationen, die uns Ihrer Meinung nach bei der Prüfung Ihres Antrags helfen. Wir werden die jeweilige Verarbeitung einstellen, wenn wir keine zwingenden berechtigten Gründe für die Fortsetzung der Verarbeitung haben oder sie nicht für Rechtsansprüche benötigen.
Datenübertragbarkeit. Sie haben das Recht auf Datenübertragbarkeit in Fällen, in denen wir uns auf vertragliche Notwendigkeit oder Einwilligung als Rechtsgrundlage berufen. Das bedeutet, dass Sie das Recht haben, Ihre Informationen in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und an Dritte weiterzugeben. Dieses Recht gilt unbeschadet des Widerspruchs gegen die Verarbeitung Ihrer Daten.
Dieses Recht gilt nicht für die Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die Smartee übertragen wurde. Dieses Recht darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Smartee arbeitet mit AMAZON WEB SERVICES, INC. (AWS) zusammen, um Cloud-Speicherdienste für Ärzte und Patienten im EWR, Großbritannien und der Schweiz bereitzustellen. Diese Partnerschaft stellt sicher, dass personenbezogene Daten lokal oder in Übereinstimmung mit geltenden Gesetzen und Vorschriften gespeichert werden. Einzelheiten zu den Serviceleistungen, Datenschutzbestimmungen und Sicherheitsmaßnahmen von AWS finden Sie in den AWS-Servicebedingungen.
Wenn wir Ihre personenbezogenen Daten auf andere Weise speichern, holen wir Ihre Einwilligung ein und ergreifen gesetzeskonforme Maßnahmen.
Personenbezogene Daten von Personen im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich (UK) und in der Schweiz werden von SMARTEE ALIGNERS SPAIN S.L. mit Sitz in Spanien und SMARTEE CLEAR ALIGNER (UK) LIMITED mit Sitz in Großbritannien verwaltet. Wenn wir Ihre Daten außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermitteln, gewährleisten wir ein angemessenes Datenschutzniveau, indem wir uns auf Folgendes stützen:
Angemessenheitsbeschlüsse. Dies sind Beschlüsse der Europäischen Kommission gemäß Artikel 45 DSGVO (oder gleichwertige Beschlüsse nach anderen Gesetzen), in denen sie anerkennt, dass ein Land ein angemessenes Datenschutzniveau bietet. Daher kann Smartee Ihre personenbezogenen Daten rechtmäßig in Länder und Regionen übermitteln, die durch Angemessenheitsbeschlüsse anerkannt sind. Einzelheiten zu den Arten der erhobenen personenbezogenen Daten finden Sie im Abschnitt „Welche Informationen erheben wir?“.
Artikel 49. Liegt kein Angemessenheitsbeschluss vor, stützen wir uns auf Artikel 49 (1)(b) und (c) DSGVO, um Kaufinformationen wie unter „Welche Informationen erheben wir?“ beschrieben an Käufer und Transaktionsabwicklungsanbieter in Ländern ohne Angemessenheitsbeschluss zu übermitteln, wenn dies erforderlich ist, um Einkaufsfunktionen bereitzustellen, die den Kauf und die Lieferung von Produkten, Waren und Dienstleistungen erleichtern oder Ihre Bestellungen bearbeiten; oder
Standardvertragsklauseln. Die Europäische Kommission hat gemäß Artikel 46 der DSGVO Vertragsklauseln genehmigt, die es Unternehmen im EWR ermöglichen, Daten außerhalb des EWR zu übermitteln. Diese (und ihre genehmigten Entsprechungen für Großbritannien und die Schweiz) werden als Standardvertragsklauseln bezeichnet. Wir nutzen Standardvertragsklauseln, um Informationen, wie unter „Welche Informationen erheben wir?“ beschrieben, an bestimmte Unternehmen unserer Unternehmensgruppe (wie hier beschrieben) und Dritte in Ländern ohne Angemessenheitsbeschluss zu übermitteln. Für eine Kopie der Standardvertragsklauseln kontaktieren Sie uns bitte unter privacy_dpo@smarteealigners.com.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Japan nutzen, gelten die folgenden zusätzlichen Bedingungen.
Die folgenden Begriffe haben in diesem Teil B die folgende Bedeutung:
Terms | Meanings |
APPI (個人情報の保護に関する法律) | means the Act on Protection of Personal Information of Japan (Act No.57 of 2003, as amended) , including any subsidiary legislation, regulations and any codes of practice, standards of performance, advisories, guidelines, frameworks, or written directions issued thereunder, in each case as amended, consolidated, re-enacted or replaced from time to time. |
PPC (個人情報保護委員会) | means the Personal Information Protection Commission of Japan. |
Personal Information (個人情報) | refers to data that can identify a specific individual. |
Sensitive Personal Information (要配慮個人情報) | includes details regarding an individual’s race, beliefs, social identity, medical history, criminal record, history of being a crime victim, and any other information designated under Japanese government ordinances that may result in discrimination, bias, or unfair treatment, thereby requiring special handling. |
2.1 Specification of Purpose
Smartee is required to specify the purpose of processing personal information as clearly as possible. Any modifications to the processing purpose must remain within a reasonable and relevant scope.
2.1 Zweckbestimmung
Smartee ist verpflichtet, den Zweck der Verarbeitung personenbezogener Daten so klar wie möglich zu benennen. Änderungen des Verarbeitungszwecks müssen angemessen und relevant bleiben.
2.2 Ausnahmen von der Zweckbindung
Smartee kann personenbezogene Daten über den ursprünglich festgelegten Zweck hinaus in folgenden Fällen verarbeiten:
2.2.1 Wenn dies nach japanischen Gesetzen und Vorschriften (einschließlich lokaler Verordnungen) erforderlich ist.
2.2.2 Wenn es zum Schutz von Leben, Körper oder Eigentum einer Person erforderlich ist und die Einholung einer Einwilligung schwierig ist.
2.2.3 Wenn es zur Verbesserung der öffentlichen Gesundheit oder zur Förderung der gesunden Entwicklung von Kindern erforderlich ist und die Einholung einer Einwilligung schwierig ist.
2.2.4 Wenn es zur Zusammenarbeit mit Behörden oder lokalen öffentlichen Stellen bei der Erfüllung gesetzlicher Aufgaben erforderlich ist und die Einholung einer Einwilligung deren Erfüllung behindern könnte.
2.2.5 Wenn der Verantwortliche eine akademische Forschungseinrichtung ist oder wenn die Verarbeitung teilweise akademischen Forschungszwecken dient, sofern dadurch nicht ungerechtfertigt gegen die Rechte des Einzelnen verstoßen wird.
2.2.6 Wenn personenbezogene Daten einer akademischen Forschungseinrichtung bereitgestellt werden, die diese für akademische Forschungszwecke benötigt, es sei denn, dies verletzt ungerechtfertigt die Rechte des Einzelnen.
Vor der Verarbeitung sensibler personenbezogener Daten holt Smartee Ihre ausdrückliche Zustimmung ein, außer in den folgenden Fällen:
3.1 Wenn dies nach japanischem Recht erforderlich ist.
3.2 Wenn es zum Schutz von Leben, Körper oder Eigentum einer Person erforderlich ist und die Einholung einer Einwilligung schwierig ist.
3.3 Wenn es zur Verbesserung der öffentlichen Gesundheit oder zum Wohl von Kindern erforderlich ist und die Einholung einer Einwilligung schwierig ist.
3.4 Wenn es zur Zusammenarbeit mit Behörden oder lokalen öffentlichen Stellen bei der Erfüllung gesetzlicher Aufgaben erforderlich ist und die Einholung einer Einwilligung deren Erfüllung behindern könnte.
3.5 Wenn die Daten von akademischen Forschungseinrichtungen zu Forschungszwecken verarbeitet werden, es sei denn, dies beeinträchtigt die Rechte des Einzelnen in unlauterer Weise.
3.6 Wenn sie von einer akademischen Forschungseinrichtung zu Forschungszwecken erhoben werden und die Forschung gemeinsam mit Smartee durchgeführt wird.
3.7 Wenn die Informationen von der Person, Behörden, lokalen öffentlichen Stellen, akademischen Forschungseinrichtungen oder anderen gemäß Artikel 57 Absatz 1 der APPI- oder PPC-Regeln benannten Stellen öffentlich zugänglich gemacht wurden.
3.8 Alle anderen Situationen, die nach japanischen Regierungsverordnungen als gleichwertig gelten.
Smartee führt die notwendige und angemessene Überwachung unserer Mitarbeiter durch, beispielsweise durch Schulungen und Trainings für Mitarbeiter, die personenbezogene und sensible personenbezogene Daten verarbeiten. Sollte ein Datenschutzverstoß aufgetreten sein oder Smartee feststellen, dass ein solcher Verstoß wahrscheinlich von uns oder unseren Dienstleistern verursacht wurde, wird Smartee Sie umgehend über die relevanten Fakten informieren, den Vorfall untersuchen und darüber berichten sowie Maßnahmen zur Verhinderung einer Wiederholung ergreifen.
5.1 Übermittlung personenbezogener Daten in den EWR, nach Großbritannien und in die Schweiz
Hierbei handelt es sich um Entscheidungen der Europäischen Kommission und der PPC gemäß Artikel 45 DSGVO (oder gleichwertige Entscheidungen nach anderen Gesetzen), in denen sie anerkennen, dass ein Land ein angemessenes Datenschutzniveau bietet. Smartee ist gesetzlich dazu befugt, personenbezogene Daten in Länder und Regionen zu übermitteln, die durch Angemessenheitsentscheidungen anerkannt sind. Einzelheiten zu den von uns erhobenen personenbezogenen Daten finden Sie im Abschnitt „Welche Informationen erheben wir?“.
5.1.1 Smartee kann personenbezogene Daten an seine britische Tochtergesellschaft und medizinische Zentren zur Bereitstellung von Produkten und/oder Dienstleistungen weitergeben.
5.1.2 Smartee arbeitet außerdem mit AMAZON WEB SERVICES, INC. (AWS) zusammen, um Cloud-Speicherdienste für Ärzte und Patienten in Japan bereitzustellen. Diese Partnerschaft stellt sicher, dass personenbezogene Daten lokal oder in Übereinstimmung mit geltenden Gesetzen und Vorschriften gespeichert werden. Informationen zu den Servicebestimmungen, Datenschutzbestimmungen und Sicherheitsmaßnahmen von AWS finden Sie in den AWS-Servicebedingungen.
5.2 Übermittlung personenbezogener Daten nach China
5.2.1 Smartee kann personenbezogene Daten zur Bereitstellung von Produkten und/oder Dienstleistungen an seine chinesische Tochtergesellschaft übermitteln. Bevor wir personenbezogene Daten an Smartee China übermitteln, informieren wir Sie über den Zweck der Übermittlung, die Art der betroffenen personenbezogenen Daten, die Empfängerdaten und die chinesischen Datenschutzbestimmungen und holen Ihre ausdrückliche Zustimmung ein.
5.2.2 PPC bewertet die Übereinstimmung des chinesischen Systems zum Schutz personenbezogener Daten mit den APPI-Anforderungen: Untersuchung ausländischer Systeme und des Systems zum Schutz personenbezogener Daten der Volksrepublik China usw.
6.1 Wenn Sie als Dritter mit Smartee zusammenarbeiten und personenbezogene Daten und/oder sensible personenbezogene Daten zur Verarbeitung bereitstellen, ergreifen Sie geeignete Maßnahmen gemäß den APPI-Anforderungen. Dazu gehören insbesondere die Einholung der Einwilligung der betroffenen Person, die Implementierung geeigneter Sicherheitskontrollen und die Unterrichtung der betroffenen Person über den Zweck der Übermittlung personenbezogener Daten an Smartee, die Datenschutzbestimmungen des Landes, in dem Smartee ansässig ist, und die von Smartee ergriffenen Maßnahmen zum Schutz personenbezogener Daten.
6.2 Bei der Auslagerung oder Untervergabe der Verarbeitung personenbezogener Daten und/oder sensibler personenbezogener Daten schließt Smartee einen Vertrag (eine Vereinbarung) mit dem von uns mit der Verarbeitung aller oder eines Teils der personenbezogenen Daten und/oder sensiblen personenbezogenen Daten beauftragten Outsourcer/Subunternehmer ab, der die gleichen Datenschutzverpflichtungen wie in den Bedingungen festgelegt hat. Smartee übernimmt die angemessene Aufsicht und Verantwortung für die Erfüllung des Vertrags (der Vereinbarung) durch den Outsourcer/Subunternehmer.
Wenn Sie unter 15 Jahre alt sind, lassen Sie diese Bedingungen bitte von Ihren Eltern oder Erziehungsberechtigten gemeinsam mit Ihnen lesen. Wenn Sie nicht über die Zustimmung Ihrer Eltern oder Erziehungsberechtigten verfügen und diese nicht bereit sind, Produkte und/oder Dienstleistungen in ihrem Namen zu nutzen und zu erhalten, müssen Sie die Nutzung und den Erhalt der Produkte und/oder Dienstleistungen einstellen.
Wenn Sie diese Bedingungen als Elternteil/Erziehungsberechtigter eines Nutzers unter 15 Jahren lesen, erklären Sie hiermit, dass dieser Nutzer über 13 Jahre alt ist und dass Sie die Datenschutzrichtlinie und Nutzungsbedingungen von Smartee gelesen und anerkannt haben und der Nutzung der Produkte und/oder Dienstleistungen durch Ihr Kind sowie der Verarbeitung der personenbezogenen Daten und/oder sensiblen personenbezogenen Daten Ihres Kindes durch Smartee gemäß der Datenschutzrichtlinie von Smartee zustimmen.
Smartee ist für die Richtigkeit und Löschung personenbezogener und/oder sensibler personenbezogener Daten verantwortlich und befugt, auf Ansprüche nach geltendem Recht und den geltenden Gesetzen und Vorschriften zu reagieren. Smartee legt Informationen zur Verarbeitung personenbezogener und/oder sensibler personenbezogener Daten bereit und ist für die Reaktion auf die Ausübung von Betroffenenrechten und auf Beschwerden von Nutzern verantwortlich.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Singapur nutzen, gelten die folgenden zusätzlichen Bedingungen.
1.1 Sie haben das Recht auf Auskunft, das Recht auf Einschränkung oder Widerspruch gegen die Verarbeitung Ihrer Daten, das Recht auf Auskunft und Berichtigung Ihrer personenbezogenen Daten, das Recht auf Berichtigung personenbezogener Daten und das Recht auf Datenübertragbarkeit.
1.2 Wenn personenbezogene Daten nicht mehr dem Zweck dienen, für den sie ursprünglich erhoben wurden, und ihre weitere Speicherung für rechtliche oder geschäftliche Zwecke nicht mehr erforderlich ist, wird Smartee die Speicherung dieser Daten einstellen oder alle Mittel entfernen, die die personenbezogenen Daten mit einer bestimmten Person verknüpfen können.
2. Datenschutzbeauftragter
Datenschutzbeauftragter: Wenn Sie den Datenschutzbeauftragten von Smartee erreichen möchten, kontaktieren Sie uns bitte unter privacy_dpo@smarteealigners.com
Ihre Einwilligung kann entweder als „Einwilligung“ oder als „fiktive Einwilligung“ kategorisiert werden. Letztere wird wie folgt weiter unterteilt:
Fiktive Einwilligung durch Verhalten. Wenn eine Person freiwillig und in angemessener Weise personenbezogene Daten angibt, ist Smartee dennoch verpflichtet, die Person entsprechend zu informieren.
Fiktive Einwilligung durch vertragliche Notwendigkeit. Wenn personenbezogene Daten von Organisation A an Organisation B weitergegeben werden und diese Weitergabe für den Abschluss oder die Durchführung eines Vertrags oder einer Transaktion zwischen der Person und Organisation A erforderlich ist.
Fiktive Einwilligung durch Benachrichtigung. Wenn Smartee die Einwilligung durch Benachrichtigung einholt, muss Smartee eine Datenschutz-Folgenabschätzung (DSFA) durchführen, seiner Informationspflicht nachkommen und eine angemessene Widerspruchsfrist einräumen.
Smartee kann sich auf die oben genannten Einwilligungsformen stützen, um Ihnen seine Produkte und/oder Dienstleistungen bereitzustellen und/oder mit Ihnen bei der Bereitstellung zusammenzuarbeiten.
Wenn wir Ihre personenbezogenen Daten außerhalb Singapurs übermitteln, erfüllen wir die geltenden gesetzlichen Anforderungen, indem wir eine oder mehrere der folgenden Methoden anwenden:
4.1 Einholung Ihrer ausdrücklichen oder mutmaßlichen Einwilligung zur Datenübermittlung in Drittländer.
4.2 Sicherstellung, dass der Empfänger Rechtssystemen unterliegt, die einen dem Personal Data Protection Act (PDPA) gleichwertigen Schutz bieten.
4.3 Abschluss einer Datenverarbeitungsvereinbarung mit dem Empfänger, die die Übermittlung personenbezogener Daten in Länder oder Regionen außerhalb Singapurs regelt und den Empfänger zur Einhaltung von Schutzstandards verpflichtet, die denen des PDPA gleichwertig sind.
4.4 Implementierung verbindlicher Unternehmensregeln innerhalb der Smartee-Gruppe, die alle internen Datenempfänger zur Einhaltung eines Datenschutzniveaus verpflichten, das dem nach singapurischem Recht vorgeschriebenen mindestens entspricht.
5.1 Im Falle einer Datenschutzverletzung prüft Smartee den Vorfall. Ist die Verletzung gemäß PDPA meldepflichtig, benachrichtigt Smartee die betroffenen Personen innerhalb von drei (3) Tagen. Die Benachrichtigung muss Folgendes enthalten:
5.1.1 Eine Beschreibung der Datenschutzverletzung;
5.1.2 Einzelheiten zur Reaktion von Smartee auf die Datenschutzverletzung;
5.1.3 Kontaktdaten mindestens eines bevollmächtigten Vertreters (z. B. des Datenschutzbeauftragten).
5.2 Wenn die Datenschutzverletzung den betroffenen Personen erheblichen Schaden zugefügt hat oder voraussichtlich zufügen wird, gilt sie als meldepflichtige Verletzung, und Smartee unterstützt die betroffenen Personen bei der Ergreifung geeigneter Schutzmaßnahmen.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Hongkong, China, nutzen, gelten die folgenden zusätzlichen Bedingungen.
1.1 Sie haben das Recht, auf Ihre personenbezogenen Daten zuzugreifen, diese zu korrigieren, zu berichtigen und Ihre Einwilligung zu widerrufen. Weitere Informationen finden Sie in der Datenschutzverordnung.
1.2 Smartee ist verpflichtet, alle erforderlichen Maßnahmen zu ergreifen, um die von Smartee gespeicherten personenbezogenen Daten zu löschen, wenn diese für den Zweck (einschließlich aller damit in direktem Zusammenhang stehenden Zwecke), für den sie verwendet wurden, nicht mehr benötigt werden, es sei denn,
1.2.1 eine solche Löschung ist gesetzlich verboten; oder
1.2.2 es liegt im öffentlichen Interesse (einschließlich des historischen Interesses), dass die Daten nicht gelöscht werden.
Mit Ihrer Zustimmung ermächtigen Sie Smartee, Ihre personenbezogenen Daten an Smartee-Unternehmen in Festlandchina zu übermitteln, um Ihnen Produkte und/oder Dienstleistungen bereitzustellen.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Australien nutzen, gelten die folgenden zusätzlichen Bedingungen.
Bestimmte Unternehmen der Smartee Group außerhalb Australiens erhalten Zugriff auf Ihre Daten, um Produkte und/oder Dienstleistungen bereitzustellen, wie im Abschnitt „Gemeinsame Nutzung personenbezogener Daten“ und „Bereitstellung und Offenlegung personenbezogener Daten“ beschrieben. Weitere Informationen zu den Ländern, in denen sich unsere Konzernunternehmen befinden, die personenbezogene Daten aus Australien erhalten, finden Sie hier.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Mexiko nutzen, gelten die folgenden zusätzlichen Bedingungen.
Alle in diesem Abschnitt der Hauptdatenschutzrichtlinie genannten Verarbeitungszwecke sind notwendige Zwecke.
Wir verarbeiten Ihre Daten sowohl manuell als auch automatisiert.
Wir können Ihre personenbezogenen Daten zur Bereitstellung von Produkten und/oder Dienstleistungen an Dritte weitergeben. Soweit gesetzlich vorgeschrieben, holen wir hierfür Ihre Einwilligung ein.
Mit der Bereitstellung Ihrer personenbezogenen Daten und der Nutzung und dem Erhalt unserer Produkte und/oder Dienstleistungen stimmen Sie den zustimmungspflichtigen Übermittlungen zu. Sie können Ihre Einwilligung jederzeit widerrufen und Ihre unten aufgeführten Rechte ausüben.
Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten: Auskunft, Berichtigung, Löschung, Widerspruch, Widerruf der Einwilligung, Einschränkung der Nutzung und Weitergabe Ihrer Daten. Sie können Ihre Rechte ausüben, indem Sie Ihre Anfrage an privacy_dpo@smarteealigners.com senden. Um mehr über die geltenden Voraussetzungen und das Verfahren zur Ausübung Ihrer Rechte zu erfahren, kontaktieren Sie uns bitte unter der angegebenen E-Mail-Adresse. Wenn Sie unter 18 Jahre alt sind, können Sie Ihre Rechte durch einen Elternteil oder Erziehungsberechtigten ausüben. Ihre Rechte werden je nach Art Ihrer Anfrage schnellstmöglich bearbeitet.
Sie können unseren Abschnitt „Verarbeitung personenbezogener Daten von Kindern“ in der Datenschutzrichtlinie einsehen.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Russland nutzen, gelten die folgenden zusätzlichen Bedingungen.
Wenn wir Ihre personenbezogenen Daten verarbeiten, stützen wir uns auf Ihre Einwilligung, die Erfüllung eines Vertrags, einer Vereinbarung, unser berechtigtes Interesse und unsere Verpflichtung zur Verarbeitung personenbezogener Daten oder wenn wir gesetzlich dazu verpflichtet sind.
Durch die Nutzung und den Erhalt von Produkten und/oder Dienstleistungen stimmen Sie der Verarbeitung personenbezogener Daten gemäß dieser Datenschutzrichtlinie zu.
Ihre personenbezogenen Daten können von Russland nach China übertragen und dort außerhalb des Landes, in dem Sie leben, gespeichert werden.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Vietnam nutzen, gelten die folgenden zusätzlichen Bedingungen.
Wir können Ihre personenbezogenen Daten manuell oder automatisiert verarbeiten.
Vorbehaltlich bestimmter Ausnahmen haben Sie gesetzliche Rechte und Pflichten nach geltendem Recht. Insbesondere haben Sie folgende gesetzliche Rechte:
• Auskunftsrecht;
• Einwilligungs- und Widerrufsrecht;
• Auskunftsrecht;
• Recht auf Löschung;
• Recht auf Einschränkung der Datenverarbeitung;
• Recht auf Bereitstellung von Daten;
• Widerspruchsrecht;
• Beschwerde-, Anzeige- und Klagerecht;
• Schadensersatzrecht; und
• Recht auf Selbstschutz.
Sie können diese Rechte ausüben, indem Sie uns über die Angaben im Abschnitt „Kontakt“ kontaktieren. Wir werden Ihre Anfragen unabhängig vom Speicherort Ihrer Daten beantworten.
Sie haben folgende gesetzliche Pflichten:
• Schutz Ihrer eigenen personenbezogenen Daten;
• Aufforderung an andere relevante Organisationen und Personen, Ihre personenbezogenen Daten zu schützen;
• Respekt und Schutz der personenbezogenen Daten anderer;
• Bereitstellung vollständiger und richtiger personenbezogener Daten nach Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten; und
• Sonstige Verpflichtungen nach geltendem Recht.
Wenn Sie unter 16 Jahre alt sind oder unter Vormundschaft stehen:
3.1 Sie müssen die Zustimmung Ihrer Eltern oder Erziehungsberechtigten einholen; und
3.2 Ihre Eltern oder Erziehungsberechtigten sind verantwortlich für: (i) alle Ihre Handlungen im Zusammenhang mit Ihrem Zugriff auf und Ihrer Nutzung von Produkten und/oder Dienstleistungen; (ii) Ihre Einhaltung dieser Richtlinie; und (iii) die Sicherstellung, dass Ihre Nutzung von Produkten und/oder Dienstleistungen in keinem Fall zu einem Verstoß gegen geltende Gesetze und Vorschriften zum Schutz von Kindern führt.
Wenn Sie keine Zustimmung Ihrer Eltern oder Erziehungsberechtigten haben und Ihre Eltern oder Erziehungsberechtigten nicht bereit sind, Produkte und/oder Dienstleistungen in ihrem Namen zu nutzen und zu erhalten, müssen Sie die Nutzung und den Erhalt von Produkten und/oder Dienstleistungen einstellen, sofern Sie nicht mindestens 16 Jahre alt sind.
----------------------------------------------------------------------------------------------------------------------
Wenn Sie die Produkte und/oder Dienstleistungen von Smartee in Brasilien nutzen, gelten die folgenden zusätzlichen Bedingungen.
Das brasilianische Recht gewährt Einzelpersonen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten. Daher bemühen wir uns um Transparenz und Zugriffskontrollen, damit Nutzer von diesen Rechten profitieren können.
Wir werden Ihre Anfragen zur Ausübung Ihrer unten aufgeführten Rechte gemäß geltendem Recht und gegebenenfalls der brasilianischen Datenschutz-Grundverordnung (LGPD) beantworten und/oder erfüllen:
• Bestätigung, ob Ihre Daten verarbeitet werden;
• Zugriff auf Ihre Daten;
• Berichtigung unvollständiger, ungenauer oder veralteter Daten;
• Anonymisierung, Sperrung oder Löschung von Daten;
• Übertragbarkeit personenbezogener Daten an Dritte;
• Widerspruch gegen die Verarbeitung personenbezogener Daten;
• Informationen über öffentliche und private Stellen, mit denen wir Daten geteilt haben;
• Informationen über die Möglichkeit, die Bereitstellung personenbezogener Daten zu verweigern, und gegebenenfalls die damit verbundenen Folgen;
• Widerruf Ihrer Einwilligung.
• Überprüfung von Entscheidungen verlangen, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen und Ihre Interessen betreffen, einschließlich Entscheidungen zur Definition Ihres persönlichen, beruflichen, Verbraucher- oder Kreditprofils oder von Aspekten Ihrer Persönlichkeit.
Sollten Sie mit unserer Reaktion auf Ihre Rechteanfragen nicht zufrieden sein, kontaktieren Sie uns bitte. Sie haben außerdem das Recht, bei der brasilianischen Datenschutzbehörde (ANPD) Beschwerde einzulegen.
Zu Ihrer Sicherheit und um sicherzustellen, dass wir Ihre personenbezogenen Daten nicht an unbefugte Dritte weitergeben, Ihre Identität überprüfen und die ordnungsgemäße Ausübung Ihrer Rechte gewährleisten zu können, können wir bestimmte Informationen und/oder Dokumente von Ihnen anfordern, bevor wir eine Anfrage zu Ihren Daten ordnungsgemäß beantworten können. Alle im Rahmen der Beantwortung Ihrer Anfrage von Ihnen erhaltenen Daten und Dokumente werden ausschließlich zum Zweck der Analyse Ihrer Anfrage, der Authentifizierung Ihrer Identität und der anschließenden Beantwortung Ihrer Anfrage verwendet.
In bestimmten Situationen können wir berechtigte Gründe haben, Ihren Anfragen nicht nachzukommen. Beispielsweise können wir uns dafür entscheiden, Ihnen bestimmte Informationen nicht offenzulegen, wenn eine Offenlegung unser Geschäft beeinträchtigen könnte oder das Risiko einer Verletzung unserer Geschäftsgeheimnisse oder geistigen Eigentumsrechte besteht. Darüber hinaus können wir einem Löschungsantrag nicht nachkommen, wenn die Aufbewahrung Ihrer Daten zur Erfüllung gesetzlicher oder regulatorischer Verpflichtungen oder zum Schutz unserer Rechte und Interessen im Streitfall erforderlich ist. Sollte dies der Fall sein und wir einer Anfrage nicht nachkommen können, teilen wir Ihnen die Gründe dafür mit.
Bei Fragen zu Ihrem Datenschutz, Ihren Rechten oder deren Ausübung kontaktieren Sie uns bitte über das Formular „Kontakt“. Sollten Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, klären wir diese gerne für Sie.
Wenn Sie den Datenschutzbeauftragten von Smartee erreichen möchten, kontaktieren Sie uns unter privacy_dpo@smarteealigners.com
Um unseren gesetzlichen Verpflichtungen nachzukommen, bewahren wir Ihre Anwendungszugriffsprotokolle mindestens 6 Monate lang vertraulich in einer kontrollierten und sicheren Umgebung auf.
Die Richtlinie wurde möglicherweise in englischer Sprache erstellt.
Internationale Datenübertragungen sind für die Bereitstellung unserer Produkte und/oder Dienstleistungen erforderlich. Wenn Sie sich in Brasilien befinden, nutzen wir gemäß den geltenden Datenschutzgesetzen und -vorschriften stets einen der internationalen Datenübertragungsmechanismen.
Datenexporteur(e):
Name | You or any of your affiliates that make a Restricted Transfer to a Smartee affiliate. |
Address | When you use and accept the Products and/or Services provided by Smartee, the following data may be collected either directly from you or through other lawful means (e.g., shipment processing and bank transfers). |
Contact person’s name, position and contact details: | When you use and accept the Products and/or Services provided by Smartee, you may provide your name and contact details to Smartee, or Smartee may obtain your address details through other lawful means (such as shipment processing and bank transfers). |
Activities relevant to the data transferred under these Clauses: | A patient and/or doctor of Smartee’s Products and/or Services. |
Signature and date: | The Annex I shall be deemed executed upon acceptance of this Privacy Policy or any related Contract (Agreement) pertaining to Smartee’s Products and/or Services. |
Role (controller/processor): | Joint Controller /Controller/Processor |
Datenimporteur(e):
Name | Shanghai Smartee Denti-Technology Co., Ltd. and/or SMARTEE ALIGNERS SPAIN SL and/or SMARTEE CLEAR ALIGNER (UK) LIMITED and/or any other Smartee affiliates when they receive Personal Data pursuant to a Restricted Transfer. |
Address | Shanghai Smartee Denti-Technology Co., Ltd., Building E, Jixian Center, Lane 565 Shengxia Road, Pudong New Area, Shanghai, China. SMARTEE ALIGNERS SPAIN SL, C/ BRONCE, NUMERO 10, PORTAL B, 1° B SMARTEE CLEAR ALIGNER (UK) LIMITED, First Floor, 2 Hampton Court Road, Birmingham, England, B17 9AE |
Contact person’s name, position and contact details: | Questions in connection with these Standard Contractual Clauses can contact at privacy_dpo@smarteealigners.com. |
Activities relevant to the data transferred under these Clauses: | Provision of Smartee’s Products and/or Services. |
Signature and date: | The Annex I shall be deemed executed upon acceptance of this Privacy Policy or any related Contract (Agreement) pertaining to Products and/or Services. |
Role (controller/processor): | Joint Controller /Controller/Processor |
Categories of data subjects whose personal data is transferred: | Individuals whose data are collected by Smartee’s Products and/or Services. |
Categories of personal data transferred: | Orthodontic Service (patient): Name, Gender, Age, Dentition, Products and Devices Used, Delivery Address, Email, Postal Code Orthodontic Service (doctor): Name, Mobile Phone Number, Landline Phone Number, Email Address, Contact Address, Qualifications Relevant to Orthodontic Diagnosis and Treatment, Third-party Doctor Registration Number, Shipping Information (please note: the multiple shipping details you provide may contain Additional Names, Phone Numbers, Addresses, etc.), Bank Account Details, Tax-Related Codes (including but not limited to VAT, GST), Qualifications Relevant to Orthodontic Diagnosis and Treatment, Third-Party Doctor Registration Number Smartee Academy Service: Full Name, Professional Role, Country of Residence, Organization, Email, Payment details |
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures: | Case Number, Imaging Data [Facial Photos, Oral Photos, X-ray Images (Radiographs)], Dental Scan Files, CBCT Files, STL Files, Treatment Design Steps, Intraoral Scan Data, Occlusal Data, Manufacturing System Information (OEM) |
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis): | Continuous throughout the provision of the Smartee’s Products and/or Services to the data exporter and/or doctor and/or patient. |
Nature of the processing: | The provision of the Smartee’s Products and/or Services for which Smartee (or its affiliates) are a Joint Controller and/or Controller and/or Processor, as identified in Clause 2.1 of Part A of these Jurisdiction Specific Addendum. |
Purpose(s) of the data transfer and further processing: | Transfers necessary for the provision of the Smartee’s Products and/or Services for which Smartee (or its affiliates) are a Joint Controller and/or Controller and/or Processor, as identified in Clause 2.1 of Part A of these Jurisdiction Specific Addendum. |
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: | For the duration of the relevant Smartee’s Products and/or Services, and as otherwise required by applicable law. |
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing: | As described above and in: (i) the Joint Controller Terms in clause 2.2 of Part A of these Jurisdiction Specific Addendum (ii) the Data Processing Terms in Clause 2.3 of Part A of these Jurisdiction Specific Addendum; and (iii) the relevant Terms and/or Contract and/or Agreement and/or any documents that apply to the Smartee’s Products and/or Services provided to the data exporter and/or doctor and/or patient. |
Identify the competent supervisory authority/ies in accordance (e.g. in accordance with Clause 13 SCCs) | Where the EU GDPR applies, the competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. Where the UK GDPR applies, the UK Information Commissioner's Office. Where the Swiss DPA applies, the Swiss Federal Data Protection and Information Commissioner. |
Beschreibung der vom/von den Datenimporteur(en) umgesetzten technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen), um unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ein angemessenes Sicherheitsniveau zu gewährleisten.
Das Smartee-System wird auf einer Cloud-Plattform bereitgestellt, wobei die physische Umgebung vom Cloud-Service-Anbieter gesichert wird. Der Anbieter garantiert auch die Geschäftsverarbeitungskapazität der wichtigsten Netzwerkgeräte.
Das Smartee-System kommuniziert mit externen Systemen über Cloud-Firewalls und vom Cloud-Service-Anbieter konfigurierte ACL-Richtlinien (Access Control Lists). Standardmäßig wird jegliche Kommunikation unterbunden. Kritische Netzwerkbereiche werden in einem internen Netzwerk bereitgestellt, und wichtige Netzwerkgeräte, Sicherheitsausrüstung und Kommunikationsleitungen werden vom Anbieter geschützt. Anwendungsserver arbeiten in einer Active-Standby-Konfiguration, um Redundanz zu gewährleisten, während die Datenbank ein Master-Slave-Modell (Hot Backup) nutzt, um hohe Verfügbarkeit zu gewährleisten. Das System nutzt HTTPS-, RDP- und TIS-Protokolle für die Fernverwaltung. Verschlüsselungsverfahren gewährleisten die Datenintegrität und -vertraulichkeit während der Übertragung.
Netzwerkgrenzen werden durch Cloud-Firewalls und ACL-Richtlinien des Cloud-Dienstanbieters geschützt, wobei die gesamte Kommunikation standardmäßig blockiert ist. Zu den Sicherheitsmaßnahmen gehören:
3.1 Cloud-Firewalls mit Intrusion-Prevention-Modulen;
3.2 Web Application Firewall (WAF)-Dienste;
3.3 Cloud Security Center (Enterprise Edition); und
3.4 Audit-Funktionen zur Erkennung und Analyse von Netzwerkangriffen und anormalem Datenverkehr.
Smartee-Server werden über einen Bastion-Host verwaltet, der gemeinsam mit den Servern Benutzeridentitäten gemäß einer komplexen Authentifizierungsrichtlinie authentifiziert. Jeder Server ist mit einem Cloud Security Center (Enterprise Edition)-Agenten zur Host-Intrusion-Detection ausgestattet. Zusätzlich ist Huorong 5.0 zur Erkennung und Entfernung von Schadcode installiert. Authentifizierungsdaten werden verschlüsselt und geschützt, um die Integrität zu gewährleisten. Die Benutzeranmeldung erfolgt über HTTPS.
Smartee verwaltet alle Cloud-Hosts und Sicherheitsdienste zentral über das Control Panel des Cloud-Service-Anbieters. Dieses System überwacht Netzwerkbedingungen, Sicherheitskomponenten und den Status virtueller Maschinen, während der Protokollierungsdienst des Anbieters ein zentrales Audit-Management ermöglicht. Jede virtuelle Maschine ist mit einem Cloud Security Center (Enterprise Edition)-Agenten ausgestattet, um Sicherheitsrichtlinien zu verwalten, Schadcode zu erkennen und Patch-Upgrades zentral durchzuführen. Das Sicherheitsgruppenzentrum des Anbieters erfasst und analysiert Sicherheitsvorfälle im gesamten Netzwerk und gibt bei Bedarf Warnmeldungen aus.
Smartee hat einen umfassenden Rahmen für Informationssicherheitsrichtlinien etabliert, der Folgendes umfasst:
6.1 Die allgemeinen Grundsätze des Cybersicherheits-Managementsystems, die allgemeine Cybersicherheitsrichtlinien und -strategien – einschließlich Ziele, Umfang, Grundsätze und Rahmen – darlegen;
6.2 Detaillierte Managementanforderungen und -verfahren für physische Sicherheit, Hostsicherheit, Netzwerksicherheit, Anwendungssicherheit, Datensicherheit, Systementwicklung und Sicherheitsbetrieb; und
6.3 Ein integriertes Informationssicherheits-Managementsystem, bestehend aus Sicherheitsstrategien, Managementrichtlinien und Betriebsverfahren.
Smartee verfügt über eine gut strukturierte Sicherheitsmanagementorganisation mit klar definierten Verantwortlichkeiten:
7.1 Datenschutzbüro: Dient als oberstes Informationssicherheitsmanagementorgan unter der Leitung einer Führungskraft und umfasst einen benannten Datenschutzbeauftragten (DSB);
7.2 Task Force für Informationssicherheit: Führt Sicherheitsmanagementaktivitäten für das Informationssystem durch; und
7.3 Dedizierte Netzwerk- und Sicherheitsadministratoren: Verantwortlich für die Gewährleistung der Netzwerk- und Systemsicherheit.
Die Personalabteilung von Smartee ist für die Personalbeschaffung verantwortlich und gewährleistet die strikte Einhaltung der Sicherheitsrichtlinien für Einstellung und Ausgliederung. Die Schulungsrichtlinie zur Cybersicherheit schreibt Sicherheitsschulungen für alle Mitarbeiter vor, und das Mitarbeiterhandbuch beschreibt explizit die Sicherheitsverantwortlichkeiten und Disziplinarmaßnahmen. Der Zutritt zu Bürobereichen bedarf einer vorherigen Genehmigung und muss von autorisiertem Personal begleitet werden.
Smartee wählt Sicherheitsmaßnahmen basierend auf seinem Sicherheitsschutzniveau und den Ergebnissen von Risikoanalysen aus:
9.1 Die Geschäftsabteilung ist befugt, Beschaffungsanträge für Cybersicherheitsprodukte zu stellen, die von der Finanzabteilung geprüft und genehmigt werden. Alle diese Produkte entsprechen den einschlägigen nationalen Vorschriften.
9.2 Die Entwicklungsumgebung befindet sich in den Büroräumen, während die Produktionsumgebung auf der Cloud-Plattform bereitgestellt wird. Die Testumgebung ist physisch von der Produktionsumgebung getrennt, um eine effektive Kontrolle über Testdaten und -ergebnisse zu gewährleisten.
9.3 Sicherheitsadministratoren überwachen die Systemimplementierung, stellen die Konstruktionsqualität sicher und verwalten die Systemabnahme und -bereitstellung.
Smartee setzt strenge betriebliche Sicherheitsmaßnahmen um. Dazu gehören:
10.1 Mitarbeiter müssen bei einem Wechsel ihre Büroschlüssel zurückgeben und dürfen keine Besucher in den Bürobereichen empfangen;
10.2 Mitarbeiter müssen sich beim Verlassen ihres Arbeitsplatzes von ihren Terminalcomputern abmelden und vertrauliche Papierdokumente sichern;
10.3 Ein Sicherheitsadministrator wird mit der Wartung der Geräte und der Netzwerkinfrastruktur beauftragt und regelmäßige Wartungsprotokolle erstellt;
10.4 Ein Systemadministrator wird mit der Verwaltung von Benutzerkonten beauftragt, einschließlich der Beantragung, Erstellung und Löschung von Konten;
10.5 Sicherheitsrichtlinien werden implementiert, die die Konfiguration und Betriebsverfahren für kritische Geräte beschreiben, um sichere und optimierte Systemeinstellungen zu gewährleisten; und
10.6 Einrichten eines Vorfallreaktions- und Notfallmanagementsystems, um Sicherheitsverletzungen effektiv zu bewältigen.
Zuletzt aktualisiert: 30. März 2025
