VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)
KAPITELICH
Allgemeine Bestimmungen
Artikel 1
Zielsetzungen
ANHANG.Diese Verordnung regelt den Schutz von Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr.
2.Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf den Schutz personenbezogener Daten.
3.Der freie Datenverkehr innerhalb der Union ist aus Gründen des Schutzes von Personen bei der Verarbeitung personenbezogener Daten nicht eingeschränkt oder verboten.
Artikel 2
Umfang der Materialanwendung
ANHANG.Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch ganz oder teilweise automatisierte Mittel und für die nicht automatisierte Verarbeitung der in oder für Archive vorgesehenen personenbezogenen Daten.
2.Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten:
a)Bei der Ausübung von Tätigkeiten, die nicht der Anwendung des Rechts der Union unterliegen:
b) die Mitgliedstaaten bei der Ausübung von Tätigkeiten des Titels V Kapitel 2 des EUV;
c) Von einer natürlichen Person in Ausübung ausschließlich persönlicher oder inländischer Tätigkeiten durchgeführt;
d) Von den zuständigen Behörden zur Verhütung, Untersuchung, Feststellung und Verfolgung von Unfraktionen durchgeführt
strafrechtliche sanktionen, einschließlich der wahrung und verhinderung von bedrohungen der öffentlichen sicherheit.
3. Die Verordnung (EG) Nr. 45/2001 gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union.Die Verordnung (EG) Nr. 45/2001 und andere für die Verarbeitung geltende Rechtsakte der Union werden den Grundsätzen und Regeln dieser Verordnung gemäß Artikel 98 angepasst.
4.Diese Verordnung gilt unbeschadet der Anwendung der Richtlinie 2000/31/EG, insbesondere der in den Artikeln 12 bis 15 vorgesehenen Haftungsregelungen für Vermittler.
Artikel 3
Gebietsbereich
ANHANG.Diese Verordnung gilt für die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer Einrichtung eines für die Verarbeitung Verantwortlichen oder eines im Gebiet der Union ansässigen Subunternehmers durchgeführt werden, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Union erfolgt.
2.Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von Inhabern, die im Unionsgebiet ansässig sind, durch einen in der Union nicht ansässigen Verantwortlichen oder Subunternehmer, wenn sich die Verarbeitungstätigkeiten auf Folgendes beziehen:
a) die Lieferung von Waren oder Dienstleistungen an solche Dateninhaber in der Union, unabhängig davon, ob Dateninhaber eine Zahlung leisten müssen;
b) die Kontrolle ihres Verhaltens, sofern dies innerhalb der Union geschieht.
3.Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen, der nicht in der Union ansässig ist, sondern an einem Ort, an dem das Recht eines Mitgliedstaats nach dem Völkerrecht Anwendung findet.
Artikel 4
Begriffsbestimmungen
Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:
(1) "personenbezogene daten" sind informationen über eine identifizierte oder identifizierbare natürliche person ("betroffene"); eine identifizierbare person gilt als unmittelbar oder mittelbar, insbesondere unter bezugnahme auf eine kennung, wie einen namen, eine kennnummer, ortsdaten, kennungen auf elektronischem wege oder auf ein oder mehrere spezifische elemente der kennung.physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale identität dieser natürlichen person;
Welche Daten erheben wir | Wie sammeln wir sie | Zweck der Erhebung von Daten
Die.Wir haben zwei Arten von Benutzerinformationen gesammelt: Daten, die Nutzer durch freiwillige Registrierung auf unserer Website zur Verfügung stellen, und Tracking-Informationen, die vor allem von Seitenanschauungen auf unserer Website abgeleitet werden.Diese Informationen helfen uns, unsere Inhalte besser auf die Kundenbedürfnisse zugeschnitten und unser Publikum demographisch zu verstehen.Während wir Benutzerverkehrsmuster auf unserer Website verfolgen, korrelieren wir diese Informationen nicht mit Daten über einzelne Nutzer.Während wir die Suchbegriffe verfolgen, die Benutzer in unsere Suchmaschine eingeben, ist dieses Tracking nie mit einzelnen Benutzern verbunden.
B.Wir bitten um diese Informationen, Kundenbedürfnisse zu verstehen und einen besseren Service zu bieten, insbesondere aus folgenden Gründen:
- JaWir können die Informationen verwenden, um unsere Dienstleistungen zu verbessern,
- JaWir senden regelmäßig Werbe-E-Mails über neue Produkte, Sonderangebote oder andere Informationen, die wir denken, dass der Kunde interessant finden kann.
Wir werden Ihre personenbezogenen Daten nicht an Dritte verkaufen, verteilen oder vermieten, es sei denn, wir haben Ihre Erlaubnis oder sind gesetzlich dazu verpflichtet.Wir können Ihre personenbezogenen Daten verwenden, um Ihnen Werbeinformationen über Dritte zu senden, die wir für interessant halten, wenn Sie uns wissen lassen, dass Sie dies tun wollen.
Wenn Sie glauben, dass alle Informationen, die wir über Sie haben, falsch oder unvollständig sind, schreiben Sie uns bitte so schnell wie möglich.Wir werden umgehend alle falsch gefundenen Informationen korrigieren.
Wenn Sie zuvor vereinbart haben, Ihre personenbezogenen Daten für Zwecke der Direktwerbung zu verwenden, können Sie Ihre Meinung jederzeit durch Schreiben oder Senden einer E-Mail an: dpo@Winehouseportugal.com ändern
2. „verarbeitung“ eine operation oder eine reihe von operationen, die auf personenbezogenen daten oder auf personenbezogenen datensätzen durch automatisierte oder nicht automatisierte mittel wie erhebung, registrierung, organisation, strukturierung, erhaltung, anpassung oder änderung, abruf, konsultation, nutzung, offenlegung durch übertragung, verbreitung oder andere form der offenlegung, vergleich oder verbindung, einschränkung, löschung oder zerstörung durchgeführt werden;
Wie wir Daten behandeln | Wo sind sie gespeichert |
Wir erheben personenbezogene Daten von Kunden, behandeln sie anonym und kommunizieren keine personenbezogenen Daten mit einem Unternehmen außerhalb von Wine House Portugal.
Wir arbeiten mit SendingBlue für E-Mail Marketing, nur Kunden-E-Mails werden auf dieser Plattform gespeichert, alle anderen Kundendaten, Namen, Adressen, Kontakte und, falls zutreffend, Bankdaten sind auf unserem europäischen Server.
3. "begrenzung der verarbeitung" die einfügung einer marke in die gespeicherten personenbezogenen daten, um ihre verarbeitung in zukunft zu beschränken;
Gespeicherte Datenperiode
Zu jeder Zeit kann der Kunde seine Daten registrieren, organisieren, anpassen oder ändern, die Wiederherstellung seiner Daten anfordern, seine Daten konsultieren, seine Daten verwenden und / oder seine Daten kopieren und löschen oder die Daten zerstören.ihre daten.
Kundendaten werden seit der letzten Interaktion mit der Website 3 Jahre gespeichert, aber jederzeit kann der Kunde verlangen, dass sein Konto gelöscht wird.
(4) 'Profildefinition' jede Form der automatisierten Verarbeitung personenbezogener Daten, die bei der Verwendung solcher Daten besteht, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte bezüglich seiner beruflichen Leistung, Gesundheit, persönlichen Präferenzen, Interessen, Zuverlässigkeit, Verhalten, Lage oder Reise zu analysieren oder vorherzusagen;
(5) "Pseudonymisierung" die Verarbeitung personenbezogener Daten in der Weise, dass sie einer bestimmten betroffenen Person ohne die Verwendung ergänzender Informationen nicht mehr zugeordnet werden kann, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass personenbezogene Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugerechnet werden können;
(6) "datei" jede strukturierte menge personenbezogener daten, die nach bestimmten kriterien zugänglich ist, ob zentralisiert, dezentral oder funktionell oder geographisch verteilt;
(7) „Kontroller“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die einzeln oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt; wenn die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt werden, kann der für die Verarbeitung Verantwortliche oder die für seine Ernennung geltenden spezifischen Kriterien nach dem Unionsrecht oder dem Recht der Mitgliedstaaten festgelegt werden;
DPO - Datenschutzbeauftragter
Wir sind verpflichtet, sicherzustellen, dass Ihre Informationen sicher sind.Um nicht autorisierten Zugriff oder Offenlegung zu verhindern, haben wir angemessene physikalische, elektronische und administrative Verfahren umgesetzt, um die von uns erfassten Informationen zu schützen und zu schützen.
Unser Unternehmen verfügt über einen Datenschutzbeauftragten, der die Sicherheit personenbezogener Daten gewährleistet.
Wenn Sie diese Person für Fragen zur Sicherheit personenbezogener Daten kontaktieren möchten, wenden Sie sich bitte an dpo@winehouseportugal.com.
(8) unterauftragnehmer bezeichnet eine natürliche oder juristische person, behörde, einrichtung oder andere stelle, die personenbezogene daten im auftrag des verantwortlichen behandelt;
9. "empfänger" eine natürliche oder juristische person, behörde, agentur oder andere einrichtungen, die mitteilungen über personenbezogene daten erhalten, unabhängig davon, ob es sich um einen dritten handelt oder nicht.Die öffentlichen Behörden, die personenbezogene Daten im Rahmen besonderer Untersuchungen nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erhalten können, werden jedoch nicht als Empfänger angesehen; die Verarbeitung dieser Daten durch diese Behörden erfolgt nach Maßgabe der für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften;
(10) "dritter" eine natürliche oder juristische person, eine öffentliche behörde, eine andere dienstleistung oder einrichtung als die betroffene person, der verantwortliche, der subunternehmer und personen, die direkt unter dem direkten subunternehmer stehen, sind berechtigt, personenbezogene daten zu verarbeiten;
(11) "konsent" der betroffenen person, freier, spezifischer, informierter und ausdrücklicher ausdruck von wünschen, durch die die betroffene person mittels einer erklärung oder eines eindeutigen positiven akts akzeptiert, dass die sie betreffenden personenbezogenen daten behandelt werden;
(12) „verbrechen personenbezogener daten“ eine verletzung der sicherheit, die zu einer versehentlichen oder unrechtmäßigen zerstörung, unberechtigter zerstörung, verlust, änderung, offenlegung oder zugriff auf übermittelte, gespeicherte oder andere behandlungen personenbezogener daten führt;
(13) "genetische daten" personenbezogene daten, die sich auf die vererbten oder erworbenen genetischen merkmale einer natürlichen person beziehen, die eindeutige informationen über die physiologie oder die gesundheit dieser natürlichen person gibt und die unter anderem aus einer analyse einer biologischen probe der betroffenen person resultieren;
(14) "biometrische daten" sind personenbezogene daten, die sich aus einer spezifischen technischen behandlung im zusammenhang mit den physikalischen, physiologischen oder verhaltensbezogenen merkmalen einer natürlichen person ergeben, die die eindeutige identifizierung dieser natürlichen person, insbesondere von gesichts- oder dactyloskopischen daten, ermöglicht oder bestätigt;
(15) "gesundheitsdaten" personenbezogene daten über die körperliche oder geistige gesundheit einer natürlichen person, einschließlich der bereitstellung von gesundheitsdienstleistungen, die informationen über ihre gesundheit offenlegen;
(16) „hauptbetrieb'
a) in Bezug auf eine Person, die für die Behandlung von Betrieben in mehr als einem Mitgliedstaat zuständig ist, den Ort ihrer zentralen Verwaltung in der Union, es sei denn, Beschlüsse über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Einrichtung des für die Verarbeitung Verantwortlichen in der Union getroffen und diese Einrichtung hat die Befugnis, solche Entscheidungen zu erzwingen, in welchem Fall die Einrichtung, die diese Entscheidungen als Hauptniederlassung getroffen hat;
b) bei einem Subunternehmer mit Betrieben in mehr als einem Mitgliedstaat, dem Ort seiner zentralen Verwaltung in der Union oder, wenn der Subunternehmer keine zentrale Verwaltung in der Union hat, die Errichtung des Subunternehmers in der Union, wenn die wichtigsten Verarbeitungstätigkeiten im Zusammenhang mit den Tätigkeiten einer Niederlassung des Subunternehmers, soweit sie besonderen Verpflichtungen gemäß dieser Verordnung unterliegen;
(17) „repräsentativ“ eine natürliche oder juristische Person, die in der Union niedergelassen ist, die gemäß Artikel 27 vom Verantwortlichen oder Subunternehmer schriftlich für ihre jeweiligen Verpflichtungen nach dieser Verordnung verantwortlich ist;
(18) „unternehmung" eine natürliche oder juristische person, die unabhängig von ihrer rechtsform eine wirtschaftliche tätigkeit ausübt, einschließlich unternehmen oder vereinigungen, die regelmäßig eine wirtschaftliche tätigkeit ausüben;
André Carvalho
(19) „unternehmensgruppe" eine gruppe, bestehend aus dem kontrollunternehmen und den kontrollierten unternehmen;
Haus der Weine
(20) „verbindliche Vorschriften für Unternehmen" sind interne Vorschriften für den Schutz personenbezogener Daten, die von einem Verantwortlichen oder einem im Hoheitsgebiet eines Mitgliedstaats niedergelassenen Verarbeiter für Übertragungen oder Übertragungen personenbezogener Daten an einen Verantwortlichen oder Subunternehmer in einem oder mehreren Drittländern, innerhalb einer Gruppe von Unternehmen oder einer Gruppe von Unternehmen, die an einer gemeinsamen wirtschaftlichen Tätigkeit beteiligt sind;
(21) Aufsichtsbehörde eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 eingerichtet wurde;
(22) „betroffene kontrollbehörde“ eine kontrollbehörde, die von der verarbeitung personenbezogener daten betroffen ist, weil
a) der für die Verarbeitung Verantwortliche oder Subunternehmer im Hoheitsgebiet des Mitgliedstaats dieser Kontrollbehörde errichtet wird;
b) in dem Mitgliedstaat dieser Kontrollbehörde ansässige Dateninhaber sind von der Verarbeitung der Daten erheblich betroffen oder wahrscheinlich betroffen; oder
c) bei dieser aufsichtsbehörde eine beschwerde eingelegt wurde;
(23) grenzüberschreitende behandlung'
a) die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Betrieben in mehr als einem Mitgliedstaat eines für die Verarbeitung Verantwortlichen oder eines Subunternehmers in der Union, in denen der für die Verarbeitung Verantwortliche oder der Verarbeiter in mehr als einem Mitgliedstaat -Mitglied ansässig ist, erfolgt; oder
b) die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzigen Einrichtung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters erfolgt, die jedoch die Dateninhaber in mehr als einem Mitgliedstaat wesentlich beeinflusst oder möglicherweise erheblich beeinträchtigt;
(24) „bedeutender und begründeter Widerspruch“ ein Widerspruch gegen einen Entscheidungsentwurf, mit dem festgestellt werden soll, ob eine Verletzung dieser Verordnung vorliegt oder ob die vorgeschlagene Maßnahme im Hinblick auf den Verantwortlichen oder den Subunternehmer mit dieser Verordnung in Einklang steht, die Schwere der Risiken, die sich aus dem Beschlussentwurf über die Grundrechte und Freiheiten der betroffenen Personen und gegebenenfalls dem freien Verkehr personenbezogener Daten innerhalb der Union ergeben;
(25) „Dienstleistungen der Informationsgesellschaft" einen Dienst gemäß Artikel 1 Absatz 1 Buchstabe b der Richtlinie 2015/1535 des Europäischen Parlaments und des Rates (1);
(26) „internationale organisation" eine organisation und einrichtungen, die durch das öffentliche internationale recht geregelt werden, die sie verwaltet, oder eine andere einrichtung, die durch eine vereinbarung zwischen zwei oder mehr ländern oder auf der grundlage einer solchen vereinbarung geschaffen wird.
Verwendung von Cookies
Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden.Cookies speichern keine sensiblen Informationen, wie z.B. Ihren Namen, Ihre Adresse oder Ihre Zahlungsdaten.
Die Website WinehousePortugal verwendet Cookies, um den Warenkorb zu bedienen, um Funktionen wie 'Mein Konto' zu bieten und Sie daran zu erinnern, wann Sie zu unserer Website zurückkehren.
Um einen Kauf auf der WinehousePortugal Website zu tätigen, müssen Sie Cookies aktiviert haben.Wenn Sie Cookies nicht aktivieren möchten, können Sie die Website noch für Suchzwecke durchsuchen.
Die meisten Browser haben standardmäßig Cookies aktiviert, da ohne sie die Funktionalität vieler Seiten beeinträchtigt wird.Wenn Sie mehr über Cookies im Allgemeinen erfahren möchten und diese verwalten möchten, besuchen Sie www.aboutcookies.org.
- Cookies Dritter
Die WinehousePortugal Website verwendet keine Drittanbieter-Cookies für Werbenetzwerke oder Partnerunternehmen, noch für das Marketing für Besucher und Kunden außerhalb der Website selbst.
- Pixel
Die WinehousePortugal-Website verwendet weder das Pixel für Werbenetzwerke oder Partnerunternehmen noch für das Marketing für Besucher und Kunden außerhalb der Website selbst.
Google und die Google-Unternehmensgruppe:
Die Website WinehousePortugal verwendet Google Analytics, um die Nutzung der Website zu verfolgen.
- Content Sharing und Social Networks:
Wenn Sie über soziale Netzwerke, wie Facebook und Twitter, die Inhalte von WinehousePortugal mit Freunden teilen können, können Sie Cookies von diesen Seiten erhalten.Wir steuern die Konfiguration dieser Cookies nicht, also überprüfen Sie bitte die Websites von Drittanbietern, um weitere Informationen über Ihre Cookies zu erhalten und diese zu verwalten.
KAPITEL II
Grundsätze
Artikel 5
Grundsätze zur Verarbeitung personenbezogener Daten
ANHANG.Die persönlichen Daten sind:
a) das thema einer fairen, fairen und transparenten behandlung der betroffenen person (gesetzmäßigkeit, loyalität und transparenz);
b) zu bestimmten, ausdrücklichen und legitimen Zwecken gesammelt und nicht mit diesen Zwecken unvereinbar weiterverarbeitet werden können; die Weiterverarbeitung zum Zwecke der Archivierung im öffentlichen Interesse oder zum Zwecke der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken wird nicht als mit den ursprünglichen Zwecken gemäß Artikel 89 Absatz 1 unvereinbar angesehen;
c) angemessen, relevant und auf das, was in bezug auf die zwecke, für die sie verarbeitet werden, erforderlich ist ('datenminimierung');
d) Überprüfe und aktualisierte erforderlichenfalls; alle geeigneten Maßnahmen müssen getroffen werden, um sicherzustellen, dass die Daten
unter Berücksichtigung der Zwecke, zu denen sie unverzüglich verarbeitet, gelöscht oder rektifiziert werden ('Akcurity'); 4.5.2016 EN Amtsblatt der Europäischen Union L 119/35 (1) Richtlinie 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 zur Festlegung eines Verfahrens zur Bereitstellung von Informationen im Bereich der technischen Vorschriften und Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S.1).
e) in einer Weise aufbewahrt werden, die es den betroffenen Personen ermöglicht, nur für den für die Zwecke der Verarbeitung erforderlichen Zeitraum zu ermitteln; personenbezogene Daten können für längere Zeiträume aufbewahrt werden, sofern sie ausschließlich zum Zwecke der Archivierung des öffentlichen Interesses oder zum Zwecke der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 verarbeitet werden, sofern die entsprechenden technischen und organisatorischen Maßnahmen gemäß dieser Verordnung angewandt werden, um die Rechte und Freiheiten der Daten zu wahren;
f) verträge in einer weise, die ihre sicherheit gewährleistet, einschließlich schutz vor unbefugter oder unrechtmäßiger behandlung und deren versehentlicher verlust, zerstörung oder beschädigung durch geeignete technische oder organisatorische maßnahmen (integrität und vertraulichkeit));
2.Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss in der Lage sein, ihn zu beweisen ('Verantwortung').
Artikel 6
Licitude der Behandlung
ANHANG.Die Behandlung ist nur zulässig, wenn und soweit mindestens eine der folgenden Situationen auftritt:
a) die betroffene person ihre einwilligung zur verarbeitung ihrer personenbezogenen daten zu einem oder mehreren bestimmten zwecken erteilt hat;
b) die verarbeitung ist für die erfüllung eines vertrags, in dem die betroffene person vertragspartei ist, oder für vorvertragliche vereinbarungen auf antrag der betroffenen person erforderlich;
c) die verarbeitung ist zur erfüllung einer rechtlichen verpflichtung erforderlich, der dem verantwortlichen unterliegt;
d)Die Verarbeitung ist zur Verteidigung lebenswichtiger Interessen des Dateninhabers oder einer anderen natürlichen Person erforderlich;
e) die verarbeitung für die erfüllung von funktionen von öffentlichem interesse oder für die ausübung der öffentlichen behörde, deren verantwortlicher investiert wird, erforderlich ist;
f) die verarbeitung für die berechtigten interessen des verantwortlichen oder dritter erforderlich ist, es sei denn, die interessen oder grundrechte und grundfreiheiten des inhabers, die den schutz personenbezogener daten erfordern, bestehen insbesondere dann, wenn der inhaber ein kind ist.Unterabsatz 1 Buchstabe f gilt nicht für die Verarbeitung von Daten durch öffentliche Behörden bei der Ausübung ihrer Beiträge auf elektronischem Wege.
2. Die Mitgliedstaaten können spezifischere Bestimmungen beibehalten oder erlassen, um die Anwendung der Vorschriften dieser Verordnung hinsichtlich der Verarbeitung von Daten zur Einhaltung von Absatz 1 Buchstaben c und e anzupassen.spezifische Anforderungen an die Behandlung und andere Maßnahmen zur Gewährleistung der Rechtmäßigkeit und Fairness der Behandlung, einschließlich anderer spezifischer Behandlungssituationen gemäß Kapitel IX.
3.Die Rechtsgrundlage für die Behandlung gemäß Absatz 1 Buchstaben c und e ist:
a) nach Unionsrecht; oder
b) nach dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung ist auf dieser Rechtsgrundlage oder, was die in Absatz 1 Buchstabe e genannte Behandlung betrifft, für die Erfüllung von Funktionen im öffentlichen Interesse oder für die Ausübung der Behörde, deren Verantwortlicher investiert wird, erforderlich.Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung festlegen, insbesondere: die allgemeinen Bedingungen für die Rechtmäßigkeit der Behandlung durch den Verantwortlichen; die Art der verarbeiteten Daten; die betroffenen Personen; die Einrichtungen, denen die personenbezogenen Daten übermittelt werden können, und für welche Zwecke; die Grenzen, denen die Behandlungszwecke entsprechen müssen; Schutzbedingungen und Behandlungen und Verfahren, einschließlich Maßnahmen zur Gewährleistung der Rechtmäßigkeit und Fairness der Behandlung, wie Kapitel IX.Das Recht der Union oder des Mitgliedstaats muss ein Ziel des öffentlichen Interesses erfüllen und dem verfolgten legitimen Ziel angemessen sein.
4.Wird die Verarbeitung zu anderen als den Zwecken, für die die personenbezogenen Daten erhoben wurden, nicht auf der Grundlage der Einwilligung der betroffenen Person oder der Bestimmungen des Unionsrechts oder der Mitgliedstaaten durchgeführt, die eine notwendige und verhältnismäßige Maßnahme darstellen, um sicherzustellen, dass die Behandlung zu anderen Zwecken mit dem Zweck vereinbar ist, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, insbesondere berücksichtigt:
a) jede verbindung zwischen dem zweck, zu dem die personenbezogenen daten erhoben wurden, und dem zweck der späteren verarbeitung;
b) den kontext, in dem die personenbezogenen daten erhoben wurden, insbesondere in bezug auf das verhältnis zwischen den betroffenen personen und dem für die verarbeitung verantwortlichen;
c) die Art der personenbezogenen Daten, insbesondere wenn besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder wenn personenbezogene Daten über strafrechtliche Verurteilungen und Verstöße gemäß Artikel 10 verarbeitet werden;
d) die möglichen folgen einer späteren verarbeitung für die betroffenen personen;
e) die existenz angemessener schutzmaßnahmen, wie verschlüsselung oder pseudonymisierung.