Kontakt

Richtlinie zur Verarbeitung personenbezogener Daten

C.I. CHOCO GOLD METALS S.A.S.

Version: 1.0

Gültigkeitsdatum: 16. April 2026

Letzte Aktualisierung: 16. April 2026

1. Identifizierung des Verantwortlichen für die Datenverarbeitung

C.I. CHOCO GOLD METALS S.A.S. (nachfolgend „Gesellschaft“ oder „Unternehmen“), eine nach den Gesetzen der Republik Kolumbien gegründete Handelsgesellschaft mit der NIT-Nummer 900245633-9 und Hauptsitz in BogotáKontakt-E-Mail für Datenschutzfragen legal@chocogoldmetals.com, Telefon +57 3118495464ist für die Verarbeitung personenbezogener Daten verantwortlich, die im Rahmen ihrer unternehmerischen, kommerziellen, bergbaulichen, logistischen, vertraglichen, administrativen und Compliance-Aktivitäten erhoben werden.

2. Anwendbarer Rechtsrahmen

Diese Richtlinie wird in Übereinstimmung mit den Bestimmungen der Artikel 15 und 20 der politischen Verfassung Kolumbiens verabschiedet. Gesetz 1581 von 2012, Er Dekret 1074 von 2015 und die Anweisungen, die von der Aufsichtsbehörde für Industrie und Handelin Bezug auf den Schutz personenbezogener Daten. 

3. Anwendungsbereich

Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch das Unternehmen in Bezug auf:

  • Aktionäre und Verwalter.

  • Mitarbeiter, ehemalige Mitarbeiter, Auszubildende und Bewerber.

  • Lieferanten und Auftragnehmer.

  • Ausbeuter, Vermarkter, Betreiber, Transporteure und Verbündete entlang der Bergbaukette.

  • Aktuelle und potenzielle Kunden, darunter institutionelle Käufer, autorisierte Intermediäre, Banken, Raffinerien und Handelspartner.

  • Besucher von Büros, Einrichtungen, digitalen Kanälen und Websites.

  • Drittparteien, deren Daten im Rahmen von Sorgfaltsprüfungen, Compliance-Prüfungen, Rückverfolgbarkeitsprüfungen, Sicherheitsprüfungen, Logistik- und Außenhandelsprozessen verarbeitet werden.

4. Definitionen

Für die Zwecke dieser Richtlinie werden unter anderem die folgenden Definitionen berücksichtigt:

  • Persönliche Daten: Alle Informationen, die mit einer bestimmten oder identifizierbaren natürlichen Person in Verbindung stehen oder mit dieser in Zusammenhang gebracht werden können.

  • Sensible Daten: solche, die die Privatsphäre des Inhabers beeinträchtigen oder deren Missbrauch zu Diskriminierung führen kann.

  • Halter: natürliche Person, deren personenbezogene Daten verarbeitet werden.

  • Behandlung: Jegliche Verarbeitung personenbezogener Daten, wie etwa Erhebung, Speicherung, Verwendung, Weitergabe, Löschung, Übermittlung oder Weitergabe.

  • Verantwortlicher für die Datenverarbeitung: Rechtsperson, die über die Datenbank und/oder die Verarbeitung der Daten entscheidet.

  • Verantwortliche Person für die Behandlung: derjenige, der die Behandlung im Auftrag des Verantwortlichen durchführt.

  • Genehmigung: vorherige, ausdrückliche und informierte Einwilligung der betroffenen Person.

5. Leitprinzipien

Das Unternehmen wird die Grundsätze der Rechtmäßigkeit, des Zwecks, der Freiheit, der Wahrhaftigkeit bzw. Qualität, der Transparenz, des Zugangs und der beschränkten Verbreitung, der Sicherheit, der Vertraulichkeit und der nachgewiesenen Verantwortung gemäß den geltenden Vorschriften anwenden.

6. Personenbezogene Daten, die der Verarbeitung unterliegen

Das Unternehmen kann, soweit dies angemessen und dem jeweiligen Zweck entsprechend, die folgenden Kategorien von Daten erheben und verarbeiten:

  • Identifikationsdaten: Name, Nachname, Art und Nummer des Dokuments, Staatsangehörigkeit, Unterschrift.

  • Kontaktinformationen: Adresse, E-Mail-Adresse, Telefonnummer, Stadt.

  • Berufliche und akademische Informationen: Lebenslauf, Berufserfahrung, Referenzen, Zertifizierungen.

  • Finanz-, Buchhaltungs- und Steuerdaten: Bankinformationen, RUT, Bescheinigungen, Zahlungsbelege.

  • Unternehmens- und Vertretungsdaten: Position, Firma, Befugnisse, Existenz- und Vertretungsbescheinigungen.

  • Compliance-Daten: Informationen, die für SARLAFT/SAGRILAFT, Sperrlisten, PEP, wirtschaftlich Berechtigte, Sorgfaltspflichten und Kenntnisse über Gegenparteien erforderlich sind.

  • Betriebs- und Logistikdaten: Aufzeichnungen über Einfuhr, Transport, Verwahrung, Rückverfolgbarkeit, Dokumentenkette und Validierung von Vorgängen.

  • Bilder oder Videoaufnahmen, die durch Sicherheits- und Zugangskontrollsysteme erfasst wurden.

  • Sensible Daten nur dann, wenn dies unbedingt erforderlich ist und eine rechtliche Genehmigung oder ausdrückliche Erlaubnis vorliegt.

7. Zwecke der Verarbeitung

Personenbezogene Daten werden für einen oder mehrere der folgenden legitimen Zwecke verarbeitet:

7.1 Unternehmens- und Verwaltungszwecke

  • Vertrags-, Handels-, Arbeits- und Unternehmensbeziehungen managen.

  • Verwalten Sie Dateien, Datensätze, Datenbanken, Korrespondenz und Informationssysteme.

  • Zahlungen, Rechnungsstellung, Inkasso, Abstimmungen und Prüfungen durchführen.

7.2 Kommerzielle Zwecke

  • Kontaktanfragen, Angebote, Vorschläge und Verhandlungen bearbeiten.

  • Verwaltung der Vertriebs-, Einkaufs-, Beschaffungs-, Transport-, Export-, Liefer- und Kundendienstprozesse.

  • Pflegen Sie die Kommunikation mit Kunden, potenziellen Kunden, Lieferanten und Partnern.

7.3 Zwecke der Einhaltung von Vorschriften und der Sorgfaltspflicht

  • Überprüfen Sie die Identität, die Rechtsfähigkeit, die Vertretungsbefugnis, die Eignung und den Hintergrund der Vertragspartner.

  • Die Verpflichtungen im Zusammenhang mit der Verhinderung von Geldwäsche, Terrorismusfinanzierung, Korruption, Betrug, Bestechung, nationalen und internationalen Sperrlisten und anderen anwendbaren Compliance-Systemen sind zu erfüllen.

  • Prüfung der Dokumentation zu Bergbau, Handel, Steuern, Zoll, Umwelt und Rückverfolgbarkeit.

  • Unterstützung von Due-Diligence-Prozessen mit Vertragspartnern, erweiterter Due Diligence sowie internen oder externen Audits.

7.4 Betriebliche Zwecke in der Bergbau- und Handelskette

  • Prozesse im Zusammenhang mit Herkunft, Verwahrung, Transport, Legalität, Rückverfolgbarkeit und Vermarktung von Mineralien und Metallen managen.

  • Prüfen Sie die dokumentarische Unterstützung durch Ausbeuter, Lieferanten, Betreiber und andere Akteure in der Lieferkette.

  • Prozesse mit Logistikpartnern, Sicherheitstransportunternehmen, Raffinerien, Banken, Laboren, Behörden und Zollagenten abstimmen, sofern dies angebracht ist und im Rahmen der geltenden Gesetze. 

7.5 Sicherheitszwecke

  • Zugang zu physischen oder digitalen Einrichtungen kontrollieren.

  • Schutz von Menschen, Vermögenswerten, Informationen und Betriebsabläufen.

  • Vorfälle, interne Untersuchungen und Sicherheitsberichte verwalten.

7.6 Beschäftigungszwecke

  • Fortschrittliche Prozesse in den Bereichen Auswahl, Einstellung, Zugehörigkeit, Gehaltsabrechnung, Sozialleistungen, SST, Disziplinarmaßnahmen und Ruhestand.

  • Überprüfen Sie Referenzen, Abschlüsse, Berufserfahrung, Hintergrund und Dokumentation von Kandidaten und Mitarbeitern.

7.7 Rechtliche Zwecke

  • Alle rechtlichen, behördlichen, vertraglichen, gerichtlichen oder administrativen Vorgaben sind zu beachten.

  • Erfüllen Sie Anfragen von zuständigen Behörden.

  • Zur Ausübung der gerichtlichen oder außergerichtlichen Verteidigung des Unternehmens.

7.8 Informations- und Marketingzwecke

  • Senden Sie Unternehmens-, Rechts-, Handels- oder institutionelle Informationen.

  • Versenden Sie Einladungen zu Veranstaltungen, Meetings, Publikationen oder Wirtschaftsnachrichten, sofern die erforderliche Genehmigung vorliegt.

8. Verarbeitung sensibler Daten

Das Unternehmen wird die Verarbeitung sensibler Daten so weit wie möglich einschränken. Ist eine solche Verarbeitung erforderlich, erfolgt sie im Einklang mit den geltenden Gesetzen, wobei die betroffene Person darüber informiert wird, dass die Angabe der Daten freiwillig ist, und es werden verstärkte Sicherheitsmaßnahmen getroffen.

9. Verarbeitung von Daten von Kindern und Jugendlichen

Das Unternehmen verarbeitet keine personenbezogenen Daten von Kindern oder Jugendlichen, außer in gesetzlich zulässigen Fällen und wenn eine solche Verarbeitung dem Wohl des Kindes am besten entspricht und die Achtung seiner Grundrechte gewährleistet. 

10. Rechte der Inhaber

Betroffene Personen haben das Recht auf:

  • Um Ihre persönlichen Daten einzusehen, zu aktualisieren und zu korrigieren.

  • Verlangen Sie einen Nachweis über die erteilte Genehmigung, es sei denn, dies ist gesetzlich nicht erforderlich.

  • Sie haben das Recht, über die Verwendung Ihrer personenbezogenen Daten informiert zu werden.

  • Anfragen und Beschwerden einreichen.

  • Fordern Sie gegebenenfalls die Löschung Ihrer Daten an.

  • Die Genehmigung ist zu widerrufen, wenn keine rechtliche oder vertragliche Verpflichtung der Entfernung entgegensteht.

  • Greifen Sie kostenlos auf Ihre persönlichen Daten zu.

11. Genehmigung des Inhabers

Das Unternehmen wird die vorherige, ausdrückliche und informierte Einwilligung der betroffenen Person spätestens zum Zeitpunkt der Datenerhebung einholen, außer in gesetzlich vorgeschriebenen Ausnahmefällen. Diese Einwilligung kann auf physischem, Erektronischem, digitalem, telefonischem oder vertraglichem Wege oder durch eindeutiges Verhalten eingeholt werden, das vernünftigerweise den Schluss zulässt, dass die betroffene Person ihre Einwilligung erteilt hat. 

12. Fälle, in denen keine Genehmigung erforderlich ist

Die Genehmigung des Inhabers ist in folgenden Fällen nicht erforderlich:

  • Informationen, die von einer öffentlichen oder administrativen Stelle zur Ausübung ihrer gesetzlichen Aufgaben benötigt werden.

  • Daten öffentlicher Natur.

  • Fälle von medizinischen Notfällen oder gesundheitlichen Notfällen.

  • Verarbeitung von Informationen, die nach dem Gesetz für historische, statistische oder wissenschaftliche Zwecke zulässig ist.

  • Daten im Zusammenhang mit der Personenstandsregistrierung.

13. Übermittlung und Weitergabe personenbezogener Daten

Das Unternehmen kann personenbezogene Daten an Dritte in Kolumbien oder im Ausland übermitteln oder weitergeben, sofern dies für die Durchführung seiner Geschäftstätigkeit und zur Wahrung seiner legitimen Zwecke erforderlich ist. Dies umfasst Technologieanbieter, Berater, Wirtschaftsprüfer, Logistikunternehmen, Spediteure, Versicherer, Geschäftspartner, Banken, Raffinerien, Behörden oder Auftragsverarbeiter. In allen Fällen wird ein angemessenes Maß an Schutz, Vertraulichkeit und Sicherheit gemäß den gesetzlichen Bestimmungen und den anwendbaren vertraglichen Instrumenten gewährleistet. 

14. Datenverantwortliche

Dritte, die im Auftrag des Unternehmens als Datenverarbeiter tätig sind, müssen diese Richtlinie, geltendes Recht und die Anweisungen des Unternehmens einhalten und angemessene technische, personelle und administrative Maßnahmen zum Schutz personenbezogener Daten ergreifen.

15. Sicherheitsmaßnahmen

Das Unternehmen wird angemessene Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor Veränderung, Verlust, unbefugter oder betrügerischer Einsichtnahme, Verwendung oder Zugriff zu schützen, wobei die Art der Daten, die Risiken der Verarbeitung und die Besonderheiten des Betriebs berücksichtigt werden.

16. Informationserhaltung

Personenbezogene Daten werden so lange gespeichert, wie es zur Erfüllung der angegebenen Zwecke, geltender rechtlicher oder vertraglicher Verpflichtungen, Verjährungsfristen und der Beweis-, Buchhaltungs-, Regulierungs-, Arbeits-, Steuer-, Compliance- oder Rechtsverteidigungsbedürfnisse des Unternehmens erforderlich ist.

17. Verfahren für Anfragen und Beschwerden

17.1 Anfragen

Die betroffene Person oder deren Rechtsnachfolger können Anfragen bezüglich der in den Datenbanken des Unternehmens gespeicherten personenbezogenen Daten per E-Mail stellen. legal@chocogoldmetals.com oder unter der Adresse AV 26 # 69-63 Of 302.

Die Anfrage wird innerhalb von maximal zehn (10) Werktage Die Frist beginnt mit dem Datum des Eingangs. Sollte eine Bearbeitung innerhalb dieser Frist nicht möglich sein, werden die Gründe für die Verzögerung und der Termin der Bearbeitung mitgeteilt, der nicht überschreiten darf. fünf (5) Werktage nach Ablauf der ersten Amtszeit.

17.2 Ansprüche

Der Eigentümer oder dessen Rechtsnachfolger, die der Ansicht sind, dass die in einer Datenbank enthaltenen Informationen korrigiert, aktualisiert oder gelöscht werden sollten, oder die einen mutmaßlichen Rechtsverstoß feststellen, können eine Beschwerde mittels einer schriftlichen Anfrage an die angegebene E-Mail-Adresse einreichen. legal@chocogoldmetals.com

Der Anspruch muss mindestens Folgendes enthalten: Identifizierung des Inhabers, Beschreibung des Sachverhalts, Kontaktadresse und gegebenenfalls Belege.

Ist der Antrag unvollständig, ist der Antragsteller verpflichtet, innerhalb der folgenden Fristen weitere Informationen bereitzustellen. fünf (5) Werktage nach Erhalt zur Behebung der Mängel. Wenn mehr als zwei Jahre vergehen zwei (2) Monate Werden die angeforderten Informationen nach der Antragstellung nicht übermittelt, wird davon ausgegangen, dass der Antragsteller seinen Antrag zurückgezogen hat.

Sobald der vollständige Antrag eingegangen ist, wird ein entsprechender Vermerk in der Datenbank hinzugefügt. „Anspruch wird bearbeitet“ und der Grund dafür ist, dass dies innerhalb eines Zeitraums von höchstens zwei (2) WerktageDie maximal zulässige Bearbeitungszeit für den Antrag beträgt fünfzehn (15) Werktage, erneuerbar durch acht (8) Werktage insbesondere dann, wenn es Gründe gibt, die dies rechtfertigen.

18. Bereich, der für die Bearbeitung von Habeas-Corpus-Datenanträgen zuständig ist

Die für die Bearbeitung von Anfragen, Beschwerden, Aktualisierungs-, Berichtigungs-, Löschungs- oder Widerrufsanträgen zuständige Abteilung wird sein [Datenschutzbeauftragter / Rechtsabteilung / Generalsekretariat / Compliance]per Post legal@chocogoldmetals.com

19. Sammelkanäle

Das Unternehmen kann personenbezogene Daten unter anderem über folgende Kanäle erheben:

  • Website und Kontaktformulare.

  • E-Mails, Anrufe, Nachrichten und Besprechungen.

  • Verträge, Bestellungen, Angebote und Verknüpfungsprozesse.

  • Physische oder digitale Formulare von Lieferanten, Kunden, Mitarbeitern und Bewerbern.

  • Zutrittskontroll- und Videoüberwachungssysteme.

  • Interaktionen auf Messen, Veranstaltungen, Audits und geschäftlichen oder betrieblichen Besuchen.

20. Videoüberwachung und Zutrittskontrolle

Wenn das Unternehmen Videoüberwachungssysteme oder Zugangskontrollmechanismen einsetzt, werden die gesammelten Informationen zum Zwecke der Sicherheit von Personen, Eigentum und Einrichtungen, der Zugangskontrolle und zur Unterstützung interner Untersuchungen oder Anforderungen zuständiger Behörden verwendet.

21. Änderungen der Richtlinien

Das Unternehmen behält sich das Recht vor, diese Richtlinie jederzeit zu ändern. Wesentliche Änderungen werden auf angemessene Weise, beispielsweise durch Veröffentlichung auf der Unternehmenswebsite, bekannt gegeben.

22. Gültigkeit

Diese Richtlinie tritt in Kraft ab16. April 2026Die Datenbanken, die personenbezogene Daten enthalten, werden für die angemessene und notwendige Zeit verarbeitet, die zur Erfüllung der hierin genannten Zwecke und der geltenden rechtlichen oder vertraglichen Verpflichtungen erforderlich ist.