Datenschutzerklärung
Gültig ab: 15. Juli 2026 · Zuletzt geändert: 15. Juli 2026
Die TOSKY Inc. (nachfolgend "das Unternehmen") erstellt und veröffentlicht die folgende Datenschutzerklärung gemäß dem Personal Information Protection Act (PIPA) der Republik Korea und den einschlägigen Gesetzen, um die personenbezogenen Daten der betroffenen Personen zu schützen und damit verbundene Beschwerden zügig zu bearbeiten. Diese Erklärung gilt für die vom Unternehmen betriebene Unternehmenswebsite (nachfolgend "Website").
§ 1 (Kategorien der verarbeiteten personenbezogenen Daten)
Das Unternehmen erhebt und verwendet im Rahmen der nachstehenden Zwecke nur die für die Leistungserbringung erforderlichen personenbezogenen Daten im Mindestumfang. Bei der Einholung der Einwilligung unterscheidet das Unternehmen zwischen Pflicht- und freiwilligen Angaben, sodass betroffene Personen dies klar erkennen können. Die Annahme einer Anfrage oder einer Bewerbung wird nicht deshalb verweigert, weil freiwillige Angaben nicht gemacht wurden.
- Bei einer geschäftlichen Anfrage (Kontaktformular)
- a. Pflichtangaben: Firmenname, Name der Ansprechperson, E-Mail-Adresse, angefragtes Produkt bzw. angefragte Lösung, Inhalt der Anfrage
- b. Freiwillige Angaben: Telefonnummer, Unternehmensgröße
- c. Automatisch erfasst: Zeitpunkt der Einwilligung in die Erhebung und Verwendung personenbezogener Daten sowie die Spracheinstellung zum Zeitpunkt der Übermittlung
- Bei einer Bewerbung (Sofortbewerbung)
- a. Pflichtangaben: Name, E-Mail-Adresse, Telefonnummer, Lebenslaufdatei sowie die darin von der bewerbenden Person angegebenen Informationen
- b. Freiwillige Angaben: Nachricht zur Bewerbung
- c. Automatisch erfasst: Zeitpunkt der Einwilligung in die Erhebung und Verwendung personenbezogener Daten sowie die Stellenausschreibung, auf die sich die Bewerbung bezieht
- d. Welche Angaben die Lebenslaufdatei enthält, entscheidet die bewerbende Person selbst. Das Unternehmen verlangt nicht, dass Lebensläufe Registrierungsnummern oder sonstige eindeutige Kennnummern oder sensible Daten im Sinne des PIPA enthalten.
- Bei der Nutzung der Website automatisch erzeugte und erhobene Angaben
- Im Rahmen des Betriebs des Webservers und des Content Delivery Network (CDN) können IP-Adresse, Zugriffszeitpunkt sowie Browser- und Geräteinformationen automatisch als Zugriffsprotokolle erfasst werden.
- Angaben, die das Unternehmen nicht erhebt
- Die Website bietet weder eine Registrierung noch kostenpflichtige Zahlungsfunktionen an. Das Unternehmen erhebt daher keine Kontodaten, Passwörter, Zahlungsmitteldaten oder Transaktionshistorien.
- Das Unternehmen erhebt über die Website keine Registrierungsnummern oder sonstigen eindeutigen Kennnummern, keine sensiblen Daten und keine Standortdaten.
§ 2 (Zwecke der Verarbeitung personenbezogener Daten)
Das Unternehmen verarbeitet personenbezogene Daten zu den nachstehenden Zwecken. Bei einer Änderung des Zwecks ergreift das Unternehmen die nach § 18 PIPA erforderlichen Maßnahmen.
- Entgegennahme und Prüfung geschäftlicher Anfragen, Beratung und Beantwortung der Anfrage sowie Verwaltung des Bearbeitungsverlaufs
- Entgegennahme und Prüfung von Bewerbungen, Identifizierung und Kontaktaufnahme mit bewerbenden Personen, Durchführung des Auswahlverfahrens und Mitteilung des Ergebnisses
- Versand von Benachrichtigungs-E-Mails, um die zuständigen Mitarbeitenden des Unternehmens über den Eingang einer Anfrage oder Bewerbung zu informieren
- Gewährleistung der Sicherheit des Website-Betriebs, Störungsbehebung und Verhinderung missbräuchlicher Nutzung
§ 3 (Speicher- und Nutzungsdauer, Verfahren und Methode der Vernichtung)
- Werden personenbezogene Daten nicht mehr benötigt, etwa weil die Speicherdauer abgelaufen ist oder der Verarbeitungszweck erreicht wurde, vernichtet das Unternehmen sie unverzüglich. Sind personenbezogene Daten nach anderen Rechtsvorschriften aufzubewahren, werden sie getrennt von anderen personenbezogenen Daten gespeichert und verwaltet.
- Die Speicherdauer der einzelnen Kategorien ist wie folgt.
| Kategorie | Speicher- und Nutzungsdauer |
|---|---|
| Daten geschäftlicher Anfragen (Firmenname, Name der Ansprechperson, E-Mail, Telefonnummer, Unternehmensgröße, Inhalt der Anfrage) | Unverzügliche Vernichtung, sobald der Zweck der Bearbeitung der Anfrage erreicht ist |
| Bewerbungsdaten (Name, E-Mail, Telefonnummer, Nachricht zur Bewerbung) | Unverzügliche Vernichtung nach Ablauf von 180 Tagen nach Abschluss des Auswahlverfahrens |
| Lebenslaufdateien | Unverzügliche Vernichtung nach Ablauf von 180 Tagen nach Abschluss des Auswahlverfahrens (Vernichtung von Bewerbungsunterlagen nach § 11 des Fair Hiring Procedure Act) |
| Zugriffsprotokolle der Website | Bis zur Erreichung des Zwecks der Sicherheitsgewährleistung und Störungsbehebung |
- Verfahren der Vernichtung: Das Unternehmen bestimmt die personenbezogenen Daten, für die ein Vernichtungsgrund vorliegt, und vernichtet sie nach Freigabe durch die/den Datenschutzbeauftragte(n).
- Methode der Vernichtung
- a. Daten in elektronischer Form: dauerhafte Löschung mit einem Verfahren, das eine Wiederherstellung ausschließt. Lebenslaufdateien werden nach Ablauf der im Speicher konfigurierten Aufbewahrungsdauer gelöscht.
- b. Daten in Papierform: Schreddern oder Verbrennen.
- Betroffene Personen können die Löschung ihrer personenbezogenen Daten nach § 6 auch vor Ablauf der Speicherdauer verlangen; das Unternehmen vernichtet die Daten unverzüglich, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 4 (Weitergabe personenbezogener Daten an Dritte)
Das Unternehmen verarbeitet personenbezogene Daten ausschließlich im Rahmen der in § 1 und § 2 genannten Zwecke und gibt sie grundsätzlich nicht an Dritte weiter. Eine Weitergabe an Dritte erfolgt nur im nach dem PIPA zulässigen Umfang, etwa mit Einwilligung der betroffenen Person oder soweit gesetzlich zulässig. Gibt das Unternehmen personenbezogene Daten mit Einwilligung der betroffenen Person an Dritte weiter, informiert es vorab über den Empfänger, den Zweck der Weitergabe, die weitergegebenen Angaben, die Speicher- und Nutzungsdauer, das Recht zur Verweigerung der Einwilligung sowie etwaige Nachteile einer Verweigerung und holt die Einwilligung ein.
Derzeit gibt das Unternehmen keine über die Website erhobenen personenbezogenen Daten an Dritte weiter.
§ 5 (Auftragsverarbeitung personenbezogener Daten)
- Zur reibungslosen Erbringung seiner Leistungen lässt das Unternehmen Teile der Verarbeitung personenbezogener Daten wie folgt im Auftrag durchführen.
| Auftragnehmer | Inhalt der beauftragten Tätigkeit | Speicher- und Nutzungsdauer |
|---|---|---|
| Amazon Web Services | Hosting von Website-Server und Datenbank, Aufbewahrung der Lebenslaufdateien in nicht öffentlichem Speicher sowie Betrieb des Content Delivery Network (CDN) | Bis zur Beendigung des Auftragsverarbeitungsvertrags oder bis zum Ablauf der Speicherdauer nach § 3 |
- Beauftragt das Unternehmen die Verarbeitung personenbezogener Daten, legt es gemäß § 26 PIPA im Vertrag das Verbot der Verarbeitung über den Zweck der beauftragten Tätigkeit hinaus, technische und organisatorische Schutzmaßnahmen, Beschränkungen der Unterbeauftragung, die Beaufsichtigung des Auftragnehmers sowie Haftungsfragen wie Schadensersatz fest und überwacht, ob der Auftragnehmer die personenbezogenen Daten sicher verarbeitet.
- Ändern sich der Inhalt der beauftragten Tätigkeit oder der Auftragnehmer, veröffentlicht das Unternehmen dies unverzüglich in dieser Datenschutzerklärung.
- Im Zusammenhang mit der vorstehenden Auftragsverarbeitung werden die über die Website erhobenen personenbezogenen Daten in einer Cloud-Region innerhalb der Republik Korea (AWS-Region Seoul) gespeichert.
§ 6 (Rechte und Pflichten der betroffenen Personen und deren Ausübung)
- Betroffene Personen können gegenüber dem Unternehmen jederzeit die folgenden Rechte ausüben.
- a. Recht auf Auskunft über personenbezogene Daten
- b. Recht auf Berichtigung oder Löschung personenbezogener Daten
- c. Recht auf Einschränkung der Verarbeitung personenbezogener Daten
- d. Recht auf Widerruf der Einwilligung in die Verarbeitung personenbezogener Daten
- Die Rechte können schriftlich, per E-Mail oder auf anderem Wege über die in § 7 genannten Kontaktdaten der/des Datenschutzbeauftragten (E-Mail dev@tosky.co.kr, Telefon 02-453-4628) ausgeübt werden; das Unternehmen wird entsprechenden Anträgen unverzüglich nachkommen.
- Das Unternehmen teilt der betroffenen Person das Ergebnis (einschließlich einer Ablehnung oder teilweisen Einschränkung) innerhalb von 10 Tagen nach Eingang eines Antrags auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung mit. Im Fall eines Widerrufs der Einwilligung ergreift das Unternehmen unverzüglich die nach den einschlägigen Gesetzen erforderlichen Maßnahmen.
- Lehnt das Unternehmen einen Antrag aus gesetzlich zulässigen Gründen ab oder schränkt es ihn ein, teilt es der betroffenen Person zugleich den Grund und die Möglichkeit des Widerspruchs mit.
- Betroffene Personen können ihre Rechte durch eine Vertretung, etwa eine gesetzliche Vertretung oder eine bevollmächtigte Person, ausüben. In diesem Fall ist eine Vollmacht nach dem in der Bekanntmachung über die Methoden der Verarbeitung personenbezogener Daten vorgesehenen Formular (Anlage Nr. 11) vorzulegen.
- Betroffene Personen dürfen personenbezogene Daten und die Privatsphäre anderer, die das Unternehmen verarbeitet, nicht unter Verstoß gegen das PIPA oder sonstige einschlägige Gesetze verletzen.
§ 7 (Datenschutzbeauftragte(r) und für Auskunftsanträge zuständige Stelle)
Das Unternehmen hat wie nachstehend eine/einen Datenschutzbeauftragte(n) benannt, die/der die Gesamtverantwortung für die Verarbeitung personenbezogener Daten trägt und Beschwerden sowie Abhilfeersuchen betroffener Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten bearbeitet. Betroffene Personen können sämtliche Anfragen, Beschwerden und Abhilfeersuchen zum Datenschutz, die sich aus der Nutzung der Website ergeben, an die nachstehenden Kontaktdaten richten; das Unternehmen wird unverzüglich antworten und tätig werden.
| Angabe | Inhalt |
|---|---|
| Datenschutzbeauftragter | Byungkwon Yoo / CEO |
| Zuständige Abteilung | Datenschutzteam |
| Telefon | 02-453-4628 |
| dev@tosky.co.kr | |
| Für Auskunftsanträge zuständige Stelle | Datenschutzteam (Kontaktdaten wie oben) |
| Erreichbarkeit | Werktags 10:00 – 17:00 Uhr (KST) |
§ 9 (Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten)
Gemäß § 29 PIPA und der zugehörigen Durchführungsverordnung ergreift das Unternehmen die folgenden Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten.
- Organisatorische Maßnahmen: Aufstellung, Umsetzung und regelmäßige Überprüfung eines internen Verwaltungsplans, Beschränkung des Kreises der mit personenbezogenen Daten befassten Personen und deren Schulung sowie Kriterien für die Erteilung, Änderung und Entziehung von Zugriffsrechten
- Technische Maßnahmen: Beschränkung und Kontrolle des Zugriffs auf das Verarbeitungssystem, Speicherung der Authentifizierungsdaten von Administratoren mittels Einweg-Verschlüsselung, Verschlüsselung der Übertragung mittels HTTPS, Aufbewahrung der Zugriffsprotokolle und Schutz vor deren Fälschung oder Verfälschung sowie Installation und Betrieb von Schutzsoftware gegen Schadprogramme
- Maßnahmen für Lebenslaufdateien: Lebenslaufdateien werden in einem nicht öffentlichen Speicher aufbewahrt, auf den von außen nicht unmittelbar zugegriffen werden kann. Sie werden ausschließlich über einen zeitlich befristeten Zugriffslink bereitgestellt, der beim Aufruf durch berechtigte Mitarbeitende im Administrationsbereich erzeugt wird und nach 15 Minuten abläuft.
- Physische Maßnahmen: Physische Schutzmaßnahmen und Zutrittskontrollen für das Cloud-Rechenzentrum, in dem personenbezogene Daten gespeichert werden, werden durch den in § 5 genannten Auftragnehmer umgesetzt; das Unternehmen überwacht diese Maßnahmen.
§ 10 (Benachrichtigung und Meldung von Datenschutzverletzungen)
- Erlangt das Unternehmen Kenntnis von einem Verlust, Diebstahl oder Abfluss personenbezogener Daten (nachfolgend "Verletzung"), benachrichtigt es die betroffenen Personen gemäß § 34 PIPA innerhalb von 72 Stunden schriftlich oder auf andere Weise über die betroffenen Kategorien personenbezogener Daten, den Zeitpunkt und die Umstände der Verletzung, die Maßnahmen, mit denen betroffene Personen Schäden minimieren können, die Gegenmaßnahmen und Abhilfeverfahren des Unternehmens sowie die für Schadensmeldungen und Beratung zuständige Stelle und deren Kontaktdaten.
- Ist eine Benachrichtigung innerhalb von 72 Stunden nicht möglich, weil dringende Maßnahmen zur Verhinderung einer Ausweitung der Verletzung oder eines weiteren Abflusses erforderlich sind oder weil unabwendbare Umstände wie eine Naturkatastrophe vorliegen, benachrichtigt das Unternehmen die betroffenen Personen unverzüglich nach Wegfall dieser Gründe.
- Liegt ein berechtigter Grund vor, etwa weil die Kontaktdaten der betroffenen Person nicht bekannt sind, kann die Benachrichtigung durch eine mindestens 30-tägige Veröffentlichung auf der Website ersetzt werden.
- Sind personenbezogene Daten von 1.000 oder mehr betroffenen Personen betroffen, sind sensible Daten oder eindeutige Kennnummern betroffen oder sind personenbezogene Daten durch unbefugten externen Zugriff betroffen, meldet das Unternehmen die Verletzung innerhalb von 72 Stunden nach Kenntniserlangung der Personal Information Protection Commission oder der Korea Internet & Security Agency.
- Tritt eine Verletzung ein, erarbeitet das Unternehmen Gegenmaßnahmen zur Minimierung des Schadens und setzt die erforderlichen Maßnahmen um.
§ 11 (Abhilfe bei Verletzung der Rechte betroffener Personen)
Betroffene Personen können sich zur Streitbeilegung oder Beratung an die nachstehenden Stellen wenden, um Abhilfe bei einer Verletzung ihrer personenbezogenen Daten zu erlangen. Diese Stellen sind vom Unternehmen unabhängig; bitte wenden Sie sich an sie, wenn Sie mit der Bearbeitung Ihrer Beschwerde oder Ihres Abhilfeersuchens durch das Unternehmen nicht zufrieden sind oder ausführlichere Unterstützung benötigen.
- Meldestelle für Verletzungen personenbezogener Daten: 118 (privacy.kisa.or.kr)
- Schlichtungsausschuss für Streitigkeiten über personenbezogene Daten: 1833-6972 (www.kopico.go.kr)
- Abteilung für Cyberkriminalität der Obersten Staatsanwaltschaft: 1301 (www.spo.go.kr)
- Nationales Ermittlungsbüro der koreanischen Polizei: 182 (ecrm.police.go.kr)
Werden Rechte oder Interessen einer betroffenen Person durch eine Maßnahme oder Unterlassung des Unternehmens im Zusammenhang mit einem Antrag auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung verletzt, kann die betroffene Person zudem nach Maßgabe des Administrative Appeals Act ein Widerspruchsverfahren einleiten.
§ 12 (Änderungen dieser Datenschutzerklärung)
- Ergänzt, streicht oder ändert das Unternehmen Inhalte dieser Datenschutzerklärung, kündigt es die Gründe und Inhalte der Änderung mindestens 7 Tage vor deren Inkrafttreten auf der Website an (mindestens 30 Tage vorher bei Änderungen, die für betroffene Personen nachteilig oder wesentlich sind).
- Bei einer Änderung dieser Datenschutzerklärung ergreift das Unternehmen Maßnahmen, damit betroffene Personen die Inhalte vor und nach der Änderung leicht vergleichen können.
Diese Datenschutzerklärung gilt ab dem 15. Juli 2026.