Dateschutzrichtlinn

1. Allgemeng Bestëmmungen

next2u S.à r.l. - S. ("Firma" oder "mir") veraarbecht a schützt perséinlech Daten vu registréierten an net-registréierten Benotzer vun next2u – jiddereen deen op eis Websäit zougräift, sou wéi déi, déi d'Firma iwwer all déi op der Websäit opgelëscht Mëttele kontaktéieren ("Benotzer" oder "Dir").

Dës Dateschutzrichtlinn ass entwéckelt ginn fir dem General Data Protection Regulation (GDPR - EU Reglement 2016/679) an de Gesetzer vum Groussherzogtum Lëtzebuerg ze entspriechen. Mir engagéieren eis, Är Privatsphär ze schützen an ze garantéieren, datt Är perséinlech Daten gesetzmäisseg, fair an transparent verarbeecht ginn an Iwwereneestëmmung mat de GDPR Prinzipien.

Andeems Dir eis perséinlech Daten zur Verfügung stellt, stëmmt Dir hirer Veraarbechtung an Iwwereneestëmmung mat dëser Richtlinn an den uwendbaren GDPR Ufuerderungen zou.

2. Definitiounen

Perséinlech Daten – all Informatiounen, déi sech op eng direkt oder indirekt identifizéiert oder identifizéierbar Persoun (Betraffe) bezéien.

Veraarbechtung vu perséinlechen Daten – d'Duerchféieren vun Aktiounen oder enger Rei vun Aktiounen op perséinlechen Daten, dorënner Sammlung, Enregistrement, Systematiséierung, Akkumulatioun, Späicherung, Verbesserung, Aktualiséierung an Ännerung, Récupératioun, Benotzung, Bereetstellung, Zougang, Blockéierung, Läschung a Zerstéierung – mat oder ouni automatiséierte Datenveraarbechter.

Mir kënnen Är Daten op déi opgefouert Manéiere veraarbechten fir d'Zwecker, déi an der Sektioun 4 vun dëser Richtlinn beschriwwe sinn.

Verantwortleche fir perséinlech Daten – eng Regierungsbehörde, kommunal Behörde, juristesch Persoun oder Individuum, dat onofhängeg oder gemeinsam mat aneren d'Veraarbechtung vu perséinlechen Daten organiséiert an/oder duerchféiert an och d'Zwecker vun der Veraarbechtung vu perséinlechen Daten, d'Zesummesetzung vun de perséinlechen Daten, déi verarbeecht solle ginn, an d'Aktiounen (Operatiounen), déi op perséinlechen Daten duerchgefouert ginn, bestëmmt.

D'Firma ass de Verantwortlechen iwwer déi perséinlech Daten, déi mir a Verbindung mat Ärer Benotzung vun next2u (inklusiv der Websäit) kréien.

3. Wéi eng Daten mir veraarbechten

Dir gitt eis perséinlech Daten wann:

• Dir Iech op next2u registréiert;
• Dir next2u Servicer benotzt (z.B. Annoncë verëffentlechen, etc);
• Dir Iech fir Newsletteren aschreift;
• Dir un Evenementer, Fuerschungen a Ëmfroen deelhëlt;
• Dir eis schreift oder uruft (z.B. de Support kontaktéiert oder de Reklamatiounsformular vum Riichteninhaber benotzt);
• Dir mat anere Benotzer kommunizéiert;
• Dir Rechter ausübt oder Verpflichtungen no eise Bedéngungen a Konditiounen erfëllt:

Äert Apparat iwwerdreet automatesch technesch Daten:

• Informatiounen, déi a Cookien gespäichert sinn
• Browser Informatiounen
• Astellungen
• Zougangs Datumen an Zäiten
• Ugefruerde Säiteadressen
• Websäit oder App Aktivitéiten
• Apparat Spezifikatsiounen
• IP Adress

Aner nëtzlech Linken:

• Notzungsbedéngungen
• Servicevertrag
• Cookie Richtlinn

4. Zwecker vun der Veraarbechtung vu perséinlechen Daten

Mir veraarbechten d'perséinlech Daten vun de Benotzer fir déi folgend Zwecker:

• Iech Zougang zu next2u a sengen Servicer ubidden:
  • Iech erlaben, e Profil unzeleeën
  • Annoncë verëffentlechen
  • next2u benotzen
  • Mat Ärer Zoustëmmung, Iech Partnerservicer ubidden
  • Veraarbechtete Daten: Email, Benotzernumm, Adress, Fotoen, Videoen an aner Daten a Verbindung mat next2u Servicer.
• De stabile Betrib an d'Sécherheet vun next2u garantéieren:
  • D'Benotzererfarung verbesseren
  • D'Servicequalitéit verbesseren
  • Marketingaktivitéiten
  • Nei Servicer a Websäitfunktiounen entwéckelen
  • Veraarbechtete Daten: Technesch Daten, Verhaltensmetriken, Transaktiounsdaten.
• Verstéiss verhënneren a stoppen:
  • Verstéiss géint Gesetzer
  • Verstéiss géint next2u seng Notzungsbedéngungen an aner Reegelen
  • Benotzer viru Bedruch an anere onéierlechen Aktiounen schützen
  • Veraarbechtete Daten: All Daten, déi néideg sinn fir Betrugsverhinnerung a Sécherheetsëmsetzung.
• Gesetzlech Verpflichtungen erfëllen:
  • Comptabilitéit
  • Steierberichterstattung
  • Äntwerten op Regierungsufroe
  • Veraarbechtete Daten: Email, Adress.
• Äntwerten op Är Ufroen ubidden:
  • Veraarbechtete Daten: Email, Inhalt vun der Ufro.
• Marketingmessagen schécken:
  • Messagen iwwer next2u a eis Partner
  • Veraarbechtete Daten: Email.
• Personaliséiert Offeren uweisen:
  • Offeren, déi Iech interesséiere kéinten
  • Veraarbechtete Daten: Email, Apparatidentifikatoren, next2u Benotzungsdaten, Standortdaten.
• Är Participatioun organiséieren:
  • Participatioun un Evenementer
  • Fuerschungen an Ëmfroen
  • Veraarbechtete Daten: Email a fräiwëlleg zur Verfügung gestallt Informatiounen.

5. Gesetzlech Basis fir d'Veraarbechtung (GDPR Konformitéit)

Am Aklang mat Artikel 6 vum GDPR veraarbechte mir Är perséinlech Daten op Basis vun de folgenden gesetzlechen Grondsätz:

• Är Zoustëmmung (Artikel 6(1)(a) GDPR): Ginn wann Dir Iech op next2u registréiert, Iech umellt, next2u Servicer benotzt, mat next2u Interfacen interagéiert, spezifesch Knäppercher klickt, Uriff weiderfouert oder aner Aktiounen ausféiert. Dir hutt d'Recht, Är Zoustëmmung zu all Moment zeréckzezéien.
• Vertraglech Verpflichtungen (Artikel 6(1)(b) GDPR): Veraarbechtung, déi néideg ass fir d'Ausféierung, Ännerung oder Ufhebung vu Verträg wéi next2u seng Notzungsbedéngungen an aner Serviceverträg.
• Legitim Interessen (Artikel 6(1)(f) GDPR): Schutz vun der Firma oder drëtte Parteien, Betrugsverhinnerung, Sécherheet a Serviceverbesserung, virausgesat datt dëst Är fundamental Rechter a Fräiheeten net iwwerschreift.
• Gesetzlech Ufuerderungen (Artikel 6(1)(c) GDPR): Konformitéit mat regulatoresche Verpflichtungen no EU a Lëtzebuerger Gesetz.

6. Transfer un drëtt Parteien a grenziwwerschreidend Datentransfer

Am Aklang mat Artikelen 44-49 vum GDPR kënne mir perséinlech Daten un drëtt Parteien transferéieren, wann néideg fir next2u Servicer ubidden oder mat Ärer Zoustëmmung. Datentransfer enthalen:

• Bannent eisem Firmegrupp (z.B. Clientsservice, Betrugsverhinnerung, Sécherheet, etc.).
• Un Infrastrukturfournisseuren: Mir benotzen OVH (OVHcloud) als eise Cloud Infrastrukturfournisseur. All Daten si gespäichert an OVH Datenzentren, déi an der Europäescher Unioun leien, wat voll GDPR Konformitéit garantéiert. OVH veraarbecht perséinlech Daten fir eis ënner ugemessenen Datenveraarbechtungsverträg (Artikel 28 GDPR).
• Un Partner (z.B. Liwwerservicer, Finanzorganisatiounen, Telekommunikatiounsfournisseuren an Reklammservicer). Mir garantéiere datt all drëttparten Verarbeechter d'GDPR Ufuerderungen respektéieren duerch ugemessen Datenveraarbechtungsverträg (Artikel 28 GDPR).
• Un Regierungsbehörden wann et vum Gesetz verlaangt gëtt oder wann néideg fir gesetzlech Verpflichtungen nozekomme.

All Datentransfer ausserhalb vum Europäesche Wirtschaftsraum (EWR), wann et se gëtt, ginn mat ugemessenen Schutzmoossnamen duerchgefouert, wéi Standard Vertragsklauselen, déi vun der Europäescher Kommissioun guttgeheescht sinn, fir GDPR-Niveau Schutz vun Äre perséinlechen Daten ze garantéieren.

7. Datenveröffentlechung op next2u

Wann Dir Annoncë, Rezensioune oder Informatiounen an Ärem Kont op next2u verëffentlecht, ginn d'perséinlech Daten, déi an deene Informatiounen enthale sinn, verfügbar fir eng onbestëmmten Unzuel vu Leit. Dir offenbärt déi Daten selwer, ouni eis als Dateverantwortlechen en getrennten Accord zur Verfügung ze stellen. D'Firma transferéiert Är perséinlech Daten net. Mir veraarbechten déi Daten fir den Zweck, de Vertrag mat Iech, deen op Är Initiativ ofgeschloss gouf, ze erfëllen.

Den Zweck, fir deen d'Benotzer Daten op next2u verëffentlechen, ass Kontakt mat engem potenziellen Keefer (Client) opzehuelen, deen un engem Deal mat der Annonz interesséiert ass. Benotzer veraarbechten d'Daten vun anere Benotzer net fir aner Zwecker. Dat heescht:

• Dir kënnt Benotzer net uruffen oder Message schécken fir Är Wueren oder Servicer unzebidden.
• Dir kënnt d'Daten vun de Benotzer net kopéieren fir se op anere Servicer ze verëffentlechen.
• Dir kënnt d'Informatiounen vun next2u Benotzer net fir Scoring Zwecker benotzen.

8. Sécherheetsmoossnamen an Dateschutzmoossnamen (Artikel 32 GDPR)

Verantwortlech Haltung iwwer perséinlech Daten ass de Betribsstandard vun der Firma. Am Aklang mat Artikel 32 vum GDPR setzen mir ugemessen technesch an organisatoresch Moossnamen ëm fir e Sécherheetsgrad ze garantéieren, deen dem Risiko vun der Veraarbechtung vu perséinlechen Daten entsprécht.

Fir perséinlech Daten ze schützen:

• Hunn mir eng ëmfaassend Datenveraarbechtungsrichtlinn op der Websäit verëffentlecht an Iwwereneestëmmung mat de GDPR Transparenzufuerderungen (Artikelen 12-14).
• Hunn mir lokal Akten iwwer d'Veraarbechtung a Schutz vu perséinlechen Daten gouttgeheescht an Aklang mam GDPR Verantwortlechkeetsprinzip (Artikel 5(2)).
• Garantéiere mir datt d'Mataarbechter mat dësen Dokumenter un hirem éischten Dag an der Firma vertraut sinn a kontinuéierlech GDPR Bewosstsinn erhalen.
• Féiere mir regelméisseg Trainingssessiounen fir d'Mataarbechter iwwer Dateschutz an GDPR Konformitéit duerch.
• Iwwerpréiwe mir regelméisseg d'Prozesser an Dokumenter vun der Firma fir GDPR Konformitéit an Ausriichtung mat dem Lëtzebuerger Dateschutzgesetz.
• Féiere mir Dateschutz-Folgeoschätzungen (DPIA) duerch wéi verlaangt vum Artikel 35 vum GDPR fir Risiken a potenziellen Schued vun Datenveraarbechtungsaktivitéiten ze bewäerten.
• Ënner Berücksichtegung vu Risikobewäertunge wielen mir ugemessen technesch an organisatoresch Moossnamen aus fir GDPR Konformitéit ze garantéieren.
• Setzen mir de Prinzip vun der Dateminimaliséierung ëm a ginn Zougang zu perséinlechen Daten nëmmen un déi Mataarbechter vun der Firma, déi et wierklech brauche fir hir Aufgaben ze erfëllen (Need-to-Know Basis).
• Wenden mir ëmfaassend gesetzlech, organisatoresch an technesch Moossnamen un, inklusiv Pseudonymiséierung, Verschlësselung, Zogangskontrollen a regelméisseg Sécherheetstest fir d'Sécherheet vu perséinlechen Daten ze garantéieren.

Wann mir Moossnamen zum Schutz vu perséinlechen Daten huelen, baséiere mir op:

• GDPR Ufuerderungen a gesetzlech Verpflichtungen no EU a Lëtzebuerger Gesetz.
• Dem etabléierte Schutzgrad vu perséinlechen Daten baséierend op Risikobewäertung.
• Industrie Best Practices a Sécherheetsstandarden, déi zu eise Veraarbechtungsaktivitéite passen.
• Engem risikooriientéierten Approche beim Wielen vun optimalen Schutzmoossnamen (Artikel 32 GDPR).
• Dem Prinzip vun der Verantwortlechkeet an dem Beweis vu GDPR Konformitéit (Artikel 5(2)).
• Prioritéit vun de Rechter a legitime Interessen vun de Betraffenen.

Am Fall vun enger perséinlecher Dateverlätzung informéiere mir déi relevant Iwwerwaachungsbehörde bannent 72 Stonnen wéi verlaangt vum Artikel 33 vum GDPR an informéiere betraff Betraffener wann néideg vum Artikel 34.

9. Späicherung vu perséinlechen Daten an Datenlokalisiérung

Mir registréieren, systematiséieren, akkumuléieren, späicheren, kläre (aktualiséieren, änneren) an extrahéiere Är perséinlech Daten mat Hëllef vun Datenbanken, déi an der EU leien, wat d'Konformitéit mat de GDPR Datenlokalisiérungsprinzipien garantéiert.

Eis technesch Infrastruktur gëtt vu OVH (OVHcloud) zur Verfügung gestallt, mat all Daten gespäichert an OVH Datenzentren, déi an der Europäescher Unioun leien. Dëst garantéiert datt all Datenveraarbechtung am Europäesche Wirtschaftsraum (EWR) stattfënnt an voll GDPR Konformitéit behält.

Mir späicheren Är Daten am Aklang mat de Datenveraarbechtungsperioden, déi néideg sinn fir d'Veraarbechtungszwecker ze erreechen, déi an der Sektioun 4 vun dëser Richtlinn spezifizéiert sinn, am Aklang mam GDPR Prinzip vun der Späicherungslimitatioun (Artikel 5(1)(e)).

10. Datenspäicherungsperioden (Artikel 5(1)(e) GDPR)

Am Aklang mam GDPR Prinzip vun der Späicherungslimitatioun stoppe mir d'Veraarbechtung vun Äre perséinlechen Daten bannent de Fréschte, déi vum Gesetz festgeluecht sinn:

• Beim Erreeche vun de Veraarbechtungszwecker, déi an der Sektioun 4 vun dëser Richtlinn spezifizéiert sinn, oder wann et net méi néideg ass, se z'erreechen (ausser et ginn aner Grondsätz fir d'Veraarbechtung, déi vum Gesetz virgesinn sinn).

Zum Beispill, fir eis Verpflichtungen ze erfëllen, Verstéiss géint Gesetzer, eis Reegelen ze verhënneren an ze ënnerdrécken, Benotzer vu betrieglechen an anere onéierlechen Aktiounen ze schützen, souwéi op Ufroen ze äntweren, mussen mir Daten bannent de Fréschte veraarbechten, déi am Aklang mam Gesetz festgeluecht sinn (prozessual, steierëlech, zivilrechtlech, comptabel, etc.).

Ziler wéi d'Méiglechkeet ubidden, next2u Servicer ze benotzen, de stabile Betrib an d'Sécherheet vu Servicer garantéieren, d'Benotzererfarung verbesseren, d'Qualitéit vu Servicer, Servicer a Marketingaktivitéiten, d'Verschécke vu Marketingmessagen ginn erreecht beim Enn vun de Verpflichtungen, déi aus Verträg mat eis entstinn.

• Beim Oflaf vun der Zoustëmmungsperiod oder beim Réckzug vun der Zoustëmmung (ausser et ginn aner Grondsätz fir d'Veraarbechtung, déi vum Gesetz virgesinn sinn). Zum Beispill, am Fall vun der Veraarbechtung fir den Zweck vun der Organisatioun vun der Participatioun un Evenementer, Fuerschungen an Ëmfroen.

Mir wäerte Är Daten och stoppen ze veraarbechten:

• Wann mir ongesetzlech Veraarbechtung detektéieren, wann et onméiglech ass, Gesetzméissegkeet ze garantéieren.
• Wann d'Firma liquidéiert gëtt.

No Oflaf vun de festgeluechte Fréschten läsche mir automatesch d'Daten aus den Informatioussystemer. Wann d'Daten ouni automatesch Veraarbechtungstools verarbeecht ginn (z.B. Pabeierufroen), zerstéiere mir déi materell Träger.

11. Läschen vun Ärem Kont op next2u

Fir Ären next2u Kont an all Daten dran ze läschen, gitt op d'"Privacy & Data" Säit op der Websäit oder an der Applikatioun a wielt d'Kontläschoptioun. Wann et onofgeschlossen Transaktiounen gëtt, waart bis se fäerdeg sinn ier Dir mat der Läschung weiderfuert.

Mir wäerte stoppen, Är perséinlech Daten ze veraarbechten a läsche se am Aklang mat de gesetzlechen Ufuerderungen. Mir wäerten net an der Lag sinn, Är Daten ze restauréieren, och wann Dir Är Meenung spéider ännert.

D'Gesetz verlaangt datt mir d'Benotzerinformatiounen fir op d'mannst ee Joer no der Läschung vun engem Kont späicheren.

12. Är GDPR Rechter

Ënnert dem GDPR hutt Dir déi folgend Rechter wat Är perséinlech Daten ugeet:

• Recht op Zougang (Artikel 15): Dir kënnt Informatiounen iwwer déi perséinlech Daten ufroen, déi mir iwwer Iech veraarbechten.
• Recht op Berichtigung (Artikel 16): Dir kënnt d'Korrektur vun onfehlerhafte oder onvollstännege perséinlechen Daten ufroen.
• Recht op Läschung (Artikel 17 - "Recht op Vergiess ginn"): Dir kënnt d'Läschung vun Äre perséinlechen Daten ënner bestëmmte Ëmstänn ufroen.
• Recht op Aschränkung vun der Veraarbechtung (Artikel 18): Dir kënnt ufroen datt mir d'Veraarbechtung vun Äre perséinlechen Daten a spezifesche Situatiounen limitéieren.
• Recht op Dateportabilitéit (Artikel 20): Dir kënnt Är perséinlech Daten an engem strukturéierte, allgemeng benotzte Format kréien an un en anere Verantwortlechen iwwerdroen.
• Recht op Asproch (Artikel 21): Dir kënnt géint d'Veraarbechtung baséierend op legitime Interessen oder fir direkt Marketingzwecker Asproch erhiewen.
• Recht op Zoustëmmung zeréckzezéien (Artikel 7(3)): Wou d'Veraarbechtung op Zoustëmmung baséiert, kënnt Dir se zu all Moment zeréckzéien ouni d'Gesetzméissegkeet vun der Veraarbechtung virun dem Réckzug ze beaflossen.
• Recht op Reklamatioun (Artikel 77): Dir hutt d'Recht eng Reklamatioun bei der Lëtzebuerger Nationaler Kommissioun fir Dateschutz (CNPD) oder Ärer lokaler Iwwerwaachungsbehörde anzereichen, wann Dir mengt datt Är Rechter verläscht goufen.

Fir ee vun dëse Rechter auszeüben, Zoustëmmung zeréckzezéien oder iwwer Dateschutz ze informéieren, kontaktéiert de Clientsservice.

13. Detailer vum Dateverantwortlechen

Dateverantwortlechen:
next2u S.à r.l. - S.
14A Rue du Bambusch
L-8213, Mamer, Lëtzebuerg

Iwwerwaachungsbehörde:
Commission Nationale pour la Protection des Données (CNPD)
15, Boulevard du Jazz
L-4370 Belvaux, Lëtzebuerg
Websäit: https://cnpd.public.lu