Privacy policy for GROHE website

Мы благодарим вас за проявленный интерес к нашей компании, а также к нашим продуктам и услугам. Защита вашей конфиденциальности при использовании нашего веб-сайта имеет особое значение для компании GROHE. Настоящая политика конфиденциальности предоставляет информацию о том, как мы, GROHE («поставщик», «мы», «нас»), обрабатываем ваши персональные данные в контексте использования нашего веб-сайта, а также о ваших правах в соответствии с действующими нормами защиты данных.

1. Кто отвечает за обработку ваших персональных данных и к кому можно обратиться?

Компания, указанная в разделе юридической информации, является ответственным за обработку ваших персональных данных в связи с использованием веб-сайта.

Связаться с нами в качестве контролера данных можно, используя контактные данные, указанные в разделе юридической информации.

Вы также можете в любое время обратиться к нашему корпоративному специалисту по защите данных. Связаться с ним можно по следующему адресу электронной почты: DataProtection_KZ@grohe.com

2. С какой целью мы обрабатываем ваши данные и на каком основании?

Мы обрабатываем ваши персональные данные в соответствии с действующими нормами защиты данных, в частности Общим регламентом защиты данных (GDPR) и национальными законами о защите данных, применимыми в каждом конкретном случае.

Правовые основания для обработки включают, в основном, следующее: обработка на основании вашего согласия (статья 6(1) пункт (a) GDPR), для выполнения договорных обязательств (статья 6(1) пункт (b) GDPR), для соблюдения юридических требований (статья 6(1) пункт (c) GDPR) и/или для целей законных интересов (статья 6(1) пункт (f) GDPR). Также могут применяться иные правовые основания.

При использовании нашего веб-сайта конкретные персональные данные или категории данных, цели их обработки и правовые основания зависят главным образом от услуг и функций, которыми вы пользуетесь на сайте. Ниже представлена информация о конкретных персональных данных или категориях данных, целях их обработки и соответствующих правовых основаниях в контексте данного веб-сайта.

2.1. Техническое обеспечение веб-сайта

2.1.1. Хостинг, доставка контента и веб-безопасность

Для обеспечения бесперебойной работы веб-сайта, его функций, услуг и предоставляемого контента, а также для гарантии безопасности сайта, мы используем услуги поставщиков в области веб-хостинга, доставки контента и веб-безопасности в рамках предоставления нашего веб-сайта.

В рамках хостинга данные, обрабатываемые при эксплуатации и использовании веб-сайта, а также весь предоставляемый контент и приложения, хранятся на серверах провайдера веб-хостинга. При использовании услуг поставщиков сети доставки контента (CDN) мы можем обрабатывать данные, связанные с использованием веб-сайта, а также предоставляемый контент и приложения, максимально эффективно и круглосуточно, делая их доступными для пользователей. В рамках использования услуг поставщиков веб-безопасности мы используем их сервисы безопасности и производительности для мониторинга безопасности и работоспособности веб-сайта. Это включает, в частности, обработку технических протокольных данных (см. ниже).

При использовании указанных выше поставщиков данные, которые вы предоставляете при использовании веб-сайта, передаются этим поставщикам или собираются ими и обрабатываются ими в вышеуказанных целях. Персональные данные обрабатываются для защиты наших законных интересов, в частности для обеспечения бесперебойного и безопасного использования веб-сайта и предоставляемых на нём функций, услуг и контента. Правовой основой в данном случае является статья 6(1) пункт (f) GDPR.

2.1.2. Автоматический сбор протокольных данных и файлов журналов сервера

Мы обрабатываем технические протокольные данные при посещении вами веб-сайта. Эти данные необходимы для обеспечения стабильного соединения с сайтом. Также технические протокольные данные сохраняются в виде файлов журналов для обеспечения безопасности и стабильности работы веб-сайта.

Протокольные данные или файлы журналов включают: IP-адрес компьютера, с которого осуществляется доступ, дату и время доступа, имя и URL запрашиваемого файла, веб-сайт, с которого произведён переход (referrer URL), используемый браузер, а при необходимости — операционную систему вашего компьютера и имя вашего интернет-провайдера. Как правило, файлы журналов хранятся в течение семи дней, после чего автоматически удаляются.

Ваши данные обрабатываются для вышеуказанных целей и с целью защиты наших законных интересов, в частности для обеспечения безопасности и функциональности веб-сайта и предоставляемых на нём функций. Правовой основой обработки данных для указанных целей является статья 6(1) пункт (f) GDPR.

2.1.3. Использование файлов cookie и аналогичных технологий

Файлы cookie и аналогичные технологии используются для предоставления веб-сайта, а также конкретных услуг и функций, доступных на сайте.

Cookie — это небольшие текстовые файлы, которые сохраняются на вашем устройстве при посещении веб-сайта. Они позволяют хранить на устройстве определённую информацию, а также получать доступ к уже сохранённой информации (например, настройки языка или данные для входа). В зависимости от хранимой или доступной информации cookie позволяют идентифицировать пользователя платформы.

Некоторые cookie автоматически удаляются после завершения сеанса браузера, т.е. после его закрытия (так называемые сессионные cookie). Другие cookie остаются на вашем устройстве и позволяют распознать ваш браузер при следующем посещении (так называемые постоянные cookie). Также различают cookie первого и третьего лица. Cookie первого лица управляются и читаются нами напрямую. В отличие от них, cookie третьих лиц контролируются и управляются сторонним поставщиком.

Помимо cookie, мы используем аналогичные технологии, которые также сохраняют и/или считывают информацию в вашем браузере или на устройстве, используя локальные объекты хранения или локальную память. К ним относятся JavaScript, веб-объекты хранения, плагины, веб-маяки или счётные пиксели. Другие технологии включают технологии отпечатков (fingerprinting), использование идентификаторов устройств или пользователей, а также entity tags (eTags).

Счётные пиксели — это электронная графика, встроенная на сайт для сбора информации о вашем посещении (например, тип устройства и браузера, IP-адрес, переходы по ссылкам и объектам на сайте). В случае веб-объектов хранения данные сохраняются и считываются в браузере пользователя с помощью JavaScript (либо для текущего сеанса — session storage, либо между сеансами — local storage). При использовании технологий отпечатков данные не собираются через cookie, а фиксируются через аппаратные и программные характеристики устройства. eTag (entity tag) — это ссылочный файл, присваиваемый объекту (например, изображению, тексту или другому файлу), который показывает, какие файлы уже находятся в кэше, а какие нет. Каждый eTag уникален и может быть привязан к конкретному пользователю.

В некоторых случаях мы используем cookie и аналогичные технологии для предоставления сайта и его функций без доступа к информации в вашем браузере или устройстве, либо без её сохранения там. В этом случае соответствующие данные собираются непосредственно на наших серверах (server-side tracking) и, в зависимости от целей конкретной услуги или функции, передаются сторонним поставщикам.

Обратите внимание: использование и объём использования cookie и аналогичных технологий всегда зависит от вашего согласия. Исключение составляют cookie и аналогичные технологии, которые необходимы, в частности, для работы, функций и предоставления услуг веб-сайта. Такие cookie и технологии используются без вашего явного согласия.

Вы можете дать согласие или отозвать его в любое время с помощью программного обеспечения для управления согласием, интегрированного на сайте («Платформа управления согласием»). К платформе можно получить доступ через «баннер cookie» при первом посещении сайта. Также вы можете в любой момент во время посещения сайта перейти к «настройкам cookie» и изменить свой выбор, активируя или деактивируя cookie и аналогичные технологии, требующие согласия. Настройки cookie можно найти в нижней части сайта.

Вы также можете настроить браузер таким образом, чтобы принятие cookie блокировалось в отдельных случаях или во всех случаях. С помощью браузера можно удалять уже сохранённые cookie. Обратите внимание, что функции нашего сайта могут быть ограничены, если вы удалите или не примете определённые cookie.

Дополнительная информация о используемых cookie и о том, как активировать или деактивировать конкретные cookie, доступна в Платформе управления согласием (ссылка «Настройки cookie» или аналогичная в нижней части сайта).

2.1.4. Платформа управления согласием (OneTrust)

Мы используем платформу управления согласием от поставщика OneTrust для обеспечения законного использования cookie и аналогичных технологий (см. предыдущий раздел о cookie и аналогичных технологиях).

Платформа управления согласием — это программное обеспечение, интегрированное на сайте, которое позволяет вам контролировать использование cookie и аналогичных технологий, требующих согласия, в соответствии с законом, давая или отказывая в согласии. Вы также можете в любое время отозвать своё согласие. Согласие фиксируется для целей предоставления юридических доказательств.

В связи с этим обрабатываются ваш IP-адрес и данные, связанные с устройством (псевдонимный идентификатор браузера, тип браузера, страна, тип устройства). Платформа управления согласием использует собственные cookie для сохранения ваших настроек cookie на нашем сайте, что позволяет сохранять ваши настройки при повторном посещении сайта, если вы заранее не удалите cookie. Вы можете изменить свои настройки в любое время.

Обработка персональных данных осуществляется с целью защиты наших законных интересов, в частности для обеспечения законного использования cookie и аналогичных технологий. Правовой основой является статья 6(1) пункт (f) GDPR.

2.1.5. Проверка пользователя (Google reCAPTCHA)

На нашем сайте используется Google reCAPTCHA. Google reCAPTCHA — это сервис идентификации от Google. В Европейском регионе предоставлением сервиса занимается Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland.

Мы используем Google reCAPTCHA в онлайн-формах и процессах подачи заявок, чтобы определить, используется ли сайт человеком или автоматизированной программой. Это позволяет защитить сайт от автоматического сбора данных, спама и обеспечить доступность наших сервисов.

При использовании Google reCAPTCHA обрабатываются ваш IP-адрес и другие данные, связанные с устройством (веб-запрос, тип браузера, язык браузера, дата и время запроса), которые передаются в Google. Также при использовании Google reCAPTCHA устанавливаются различные cookie.

Правовой основой обработки персональных данных является ваше согласие в соответствии со статьёй 6(1) пункт (a) GDPR. Вы можете в любое время отозвать согласие на будущее, изменив настройки в «Настройках cookie». Обратите внимание, что это не влияет на законность обработки, проведённой на основе согласия до момента его отзыва.

Дополнительная информация о Google reCAPTCHA:

https://www.google.com/recaptcha/about/

https://policies.google.com/privacy

2.1.6. Веб-шрифты от Fonts.com

Сайт использует веб-шрифты от Fonts.com для корректного отображения текста. Monotype Imaging Inc. отвечает за предоставление Fonts.com.

При просмотре страницы ваш браузер загружает необходимые веб-шрифты в кэш для правильного отображения текста и шрифтов. Для этого браузер должен подключаться к серверам fonts.com в США, что позволяет Fonts.com получать информацию о посещении нашего сайта через ваш IP-адрес. Fonts.com также собирает другие данные об использовании (включая URL посещённой страницы, referrer URL, тип шрифта, дату и время просмотра страницы).

Использование сервиса осуществляется на основе вашего согласия. Правовой основой обработки персональных данных при использовании Fonts.com является статья 6(1) пункт (a) GDPR. Вы можете в любое время отозвать согласие, деактивировав использование сервиса в «Настройках cookie».

Дополнительная информация о обработке данных Fonts.com:

https://www.fonts.com/info/legal

https://www.fonts.com/info/legal/privacy/

2.1.7. Веб-шрифты от Google Fonts

На сайте используются Google Fonts. Google Fonts — это сервис хостинга веб-шрифтов от Google. В Европейском регионе предоставлением сервиса занимается Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland.

Для корректного отображения шрифтов при каждом посещении сайта шрифты загружаются с серверов Google. В этом процессе ваш браузер отправляет HTTP-запросы к Google Fonts Web API, которые реализуют каскадные таблицы стилей (CSS) шрифтов и загружают указанные CSS файлы и соответствующие шрифты. Эти HTTP-запросы включают:

IP-адрес пользователя для доступа к интернету,

Запрашиваемый URL на сервере Google,

User-Agent, описывающий версию браузера и операционной системы, а также referrer (веб-страницу, на которой должен отображаться шрифт).

Поскольку серверы Google расположены в США и управляются Google LLC, ваши данные также будут храниться на серверах Google в США.

Сервис используется на основе вашего согласия. Правовой основой обработки персональных данных при использовании Google Fonts является статья 6(1) пункт (a) GDPR. Вы можете в любое время отозвать согласие, деактивировав использование сервиса в «Настройках cookie».

Дополнительная информация о обработке данных Google:

https://policies.google.com/privacy

2.2. Веб-сайт – специфические услуги и функции

2.2.1. Услуги и функции для нескольких пользователей

У вас есть возможность использовать функции, услуги и контент, предоставляемые на веб-сайте.

2.2.1.1. Создание и управление личным пользовательским аккаунтом (GROHE user account)

На веб-сайте есть различные услуги и функции, использование которых без ограничений возможно только с личным аккаунтом GROHE (например, использование веб-магазинов GROHE и создание личных заметок с продуктами GROHE).

Чтобы создать аккаунт GROHE, вы должны пройти процедуру регистрации, предусмотренную для этой цели. В рамках процесса регистрации мы обрабатываем данные, необходимые для создания личного аккаунта (обращение, имя, адрес электронной почты, пароль). Для аккаунта GROHE также создается отдельный GROHE ID. GROHE ID — это индивидуальный идентификационный номер, присвоенный аккаунту GROHE. Это позволяет вам использовать наши услуги на разных платформах (например, на этом веб-сайте и в веб-магазинах GROHE).

После успешного создания аккаунта вы можете использовать его для входа на веб-сайт и доступа к соответствующим функциям и услугам. Для входа в личный аккаунт используется безопасная авторизация. Ваши данные для входа (адрес электронной почты, пароль, время входа, GROHE ID) будут обрабатываться. Вы также можете просматривать и изменять свои личные данные в аккаунте (например, адрес электронной почты или пароль).

Обработка данных осуществляется с целью защиты наших законных интересов, в частности для предоставления вышеуказанных функций на веб-сайте надлежащим образом и без перебоев. В этом случае правовой основой для обработки персональных данных является статья 6(1) пункт (f) GDPR. Если вы также используете аккаунт GROHE для доступа к услугам и функциям, в результате которых заключается контракт с нами, обработка поддерживает процесс заключения и исполнения контракта. В этом случае правовой основой для обработки ваших данных является статья 6(1) пункт (b) GDPR.

2.2.1.2. Вход через сервисы единого входа (single sign-on)

С вашим аккаунтом GROHE вы можете войти в ряд услуг, предлагаемых нами на этом веб-сайте или на других веб-сайтах, управляемых нами или нашими дочерними компаниями. В зависимости от услуги вы также можете войти с использованием процедуры единого входа.

Процедура единого входа позволяет войти в соответствующую услугу на веб-сайте через аккаунт другого провайдера. Для этого необходимо, чтобы вы уже были зарегистрированы у соответствующего провайдера и подтвердили вход через процедуру единого входа на нашем веб-сайте с использованием соответствующей кнопки. Аутентификация затем осуществляется напрямую у провайдера процедуры единого входа.

Мы предлагаем следующие процедуры единого входа в нашем приложении:

Facebook Connect: Провайдер услуги Facebook Connect в Европе — Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland (ранее: Facebook Ireland Limited).

Политика конфиденциальности: https://www.facebook.com/about/privacy

Опция отказа: https://www.facebook.com/settings?tab=ads

Google Single Sign-On: Провайдер услуги Google Single Sign-On: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.

Политика конфиденциальности: https://policies.google.com/privacy

Настройки отображения рекламы: https://adssettings.google.com/authenticated

В связи с использованием вышеуказанных процедур единого входа между нами и провайдером обрабатывается и передается ряд данных. Данные включают идентификатор пользователя с информацией о том, что пользователь вошел в соответствующий сервис единого входа под этим идентификатором. Передача дополнительных данных зависит от используемой процедуры единого входа, от выбора раскрытия данных при аутентификации и от того, какие данные вы предоставили в настройках конфиденциальности или других настройках аккаунта провайдера единого входа. Это может включать: адрес электронной почты, данные профиля (имя профиля, фото профиля). Введенный пароль в рамках процедуры единого входа хранится только оператором процедуры и недоступен нам.

Обработка данных осуществляется с целью защиты наших законных интересов, в частности для предоставления вышеуказанных функций на веб-сайте надлежащим образом и без перебоев. Если вы используете процедуру единого входа для входа в аккаунт GROHE с целью использования услуг и функций, в результате которых заключается контракт с нами, обработка поддерживает процесс заключения и исполнения контракта. В этом случае правовой основой обработки данных является статья 6(1) пункт (b) GDPR.

Правовой основой для обработки персональных данных является ваше согласие в соответствии со статьей 6(1) пункт (a) GDPR. Вы можете отозвать свое согласие в любое время с будущим эффектом, зайдя в «Настройки cookie» и изменив свой выбор. Обратите внимание, что это не влияет на законность обработки, осуществленной на основании согласия до момента его отзыва.

2.2.1.10. Рассылка новостей

Вы можете зарегистрироваться на нашем веб-сайте для получения регулярной информации о наших предложениях, продуктах, акциях и услугах.

При регистрации на рассылку новостей мы обрабатываем данные, которые вы вводите в процессе регистрации (имя, адрес, адрес электронной почты, области интересов, целевая группа, компания, страна). Кроме того, мы используем «веб-маяки» (небольшие графические элементы в HTML-письмах) для сбора информации о том, была ли доставлена наша рассылка, была ли она открыта и были ли нажаты ссылки. Это позволяет нам проводить статистический анализ и точно оценивать, насколько хорошо наша рассылка была воспринята вами. Это позволяет нам адаптировать и улучшать рассылку.

Для регистрации используется процедура двойного подтверждения (double opt-in). Это означает, что после вашей регистрации мы отправим вам письмо с просьбой подтвердить регистрацию. Ваша регистрация фиксируется для того, чтобы мы могли предоставить доказательства процесса регистрации в соответствии с законодательными требованиями. Это касается времени регистрации для рассылки, времени подтверждения и вашего IP-адреса.

Правовой основой для предоставления услуги рассылки и для обработки связанных с этим данных является ваше согласие в соответствии со статьей 6(1) пункт (a) GDPR. Вы можете отозвать свое согласие в любое время, например через ссылку для отписки, содержащуюся в каждом письме рассылки. Обратите внимание, что это не влияет на законность обработки, осуществленной на основании согласия до момента его отзыва.

2.2.1.11. Запрос обслуживания клиентов

Вы можете запросить поддержку нашей службы обслуживания клиентов через веб-сайт. Служба поддержки может быть запрошена с использованием онлайн-формы, предоставленной на веб-сайте для этой цели.

Мы обрабатываем данные, предоставленные вами в онлайн-форме. Это включает ваши персональные данные как клиента (например, имя, адрес, адрес электронной почты, телефон, факс, группа клиентов). Также фиксируются данные о месте работы, если оно отличается от вашего адреса клиента. В этом случае мы записываем контактные данные соответствующего контактного лица на конкретном месте работы (например, имя, адрес, телефон, адрес электронной почты). Данные также обрабатываются относительно указанного установщика или партнера по ссылке и дополнительных контактных лиц (например, имя, адрес, адрес электронной почты, телефон, факс), информации о соответствующем продукте (например, тип и количество дефектного изделия, номер изделия, описание продукта, фотографии продукта) и любой другой предоставленной информации (например, дополнительные комментарии и описания).

Правовой основой для обработки является статья 6(1) пункт (b) GDPR. Обработка необходима для инициации и выполнения контракта, на котором основан соответствующий запрос обслуживания.

2.2.1.12. Каналы WhatsApp

Мы предоставляем вам возможность получать и реагировать на последнюю информацию о наших продуктах и предложениях через наши каналы WhatsApp. WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland отвечает за сервис каналов WhatsApp в Европе.

Если вы получаете доступ к одному из наших каналов WhatsApp, мы обрабатываем информацию о том, как вы взаимодействуете с контентом нашего канала (включая вашу реакцию на наш контент) и вашу фотографию профиля. Если вы также сохранены как контакт, мы также обрабатываем ваш полный номер телефона и ваше имя. Кроме этого, мы не обрабатываем никаких ваших данных в связи с нашими каналами WhatsApp.

Правовой основой для использования наших каналов WhatsApp является статья 6(1) пункт (f) GDPR. Цель обработки данных и наш законный интерес в этом случае — предоставить информацию о наших продуктах и предложениях широкой аудитории и фиксировать взаимодействие пользователей с этой информацией.

Обратите внимание, что при использовании каналов WhatsApp ваши данные будут переданы WhatsApp Ireland Limited. WhatsApp Ireland Limited может обрабатывать эти данные в соответствии со своей политикой конфиденциальности. Дополнительная информация доступна в политике конфиденциальности WhatsApp:

https://www.whatsapp.com/legal/channels-privacy-policy-eea

2.2.1.13. WhatsApp Business

Мы предоставляем вам возможность связываться с нами через WhatsApp с использованием сервиса WhatsApp Business. WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland отвечает за сервис WhatsApp Business в Европе.

WhatsApp Business используется для следующих целей: ответы на запросы, предоставление информации и предложений, обслуживание и поддержка клиентов.

Мы обрабатываем следующие персональные данные при использовании WhatsApp Business: номер телефона, имя, история чата и другую информацию и контент, предоставленный вами (например, переданные изображения).

Если контакт связан с инициацией и/или выполнением существующих договорных отношений с вами, правовой основой обработки является статья 6(1) пункт (b) GDPR. В противном случае правовой основой является статья 6(1) пункт (f) GDPR. Цель обработки данных и наш законный интерес в этом случае — иметь возможность надлежащим образом реагировать на отправленные нам запросы.

Обратите внимание, что при использовании каналов WhatsApp ваши данные будут переданы WhatsApp Ireland Limited. Для этой цели мы заключили соглашение об обработке данных с WhatsApp Ireland Limited.

2.2.1.14. Связь с нами

На веб-сайте есть различные способы связи с нами. Если вы связываетесь с нами через контактные варианты, указанные в данной политике конфиденциальности, или через другие контактные варианты, представленные на веб-сайте (например, по электронной почте, через онлайн-форму, через горячую линию поддержки), мы обрабатываем ваши данные для того, чтобы ответить на ваш запрос и в случае последующих вопросов (например, по продуктам или запросам прессы).

Обрабатываемые данные включают ваши контактные данные. В зависимости от выбранного вами способа связи это могут быть: имя, адрес, область деятельности, компания, адрес электронной почты, телефон и факс. Мы также обрабатываем другую информацию, предоставленную вами при обращении (например, содержание сообщения, загруженные или прикрепленные файлы).

Если ответ на отправленный запрос касается инициации и/или выполнения существующих договорных отношений с вами, правовой основой обработки является статья 6(1) пункт (b) GDPR. В противном случае правовой основой является статья 6(1) пункт (f) GDPR. Цель обработки данных и наш законный интерес в этом случае — иметь возможность надлежащим образом реагировать на запросы.

2.2.2. Использование веб-магазинов GROHE

Вы можете использовать наши веб-магазины на веб-сайте для заказа продуктов и аксессуаров. В связи с использованием веб-магазинов GROHE мы обрабатываем ваши персональные данные для целей, описанных ниже:

2.2.2.1. Корзина покупок, процесс заказа

Для размещения заказа в веб-магазинах GROHE необходимо иметь личный аккаунт пользователя GROHE и выполнить вход (см. выше).

В рамках выполнения вашего заказа мы также обрабатываем следующие категории данных: контактные данные (например, имя, адрес, телефон, адрес электронной почты), данные для выставления счета (например, имя и адрес получателя счета) и данные о транзакции (например, выбранные продукты, цена, стоимость доставки, скидки). В зависимости от выбранного способа оплаты также обрабатываются необходимые данные для оплаты и передаются соответствующему поставщику платежных услуг (см. ниже).

Для выполнения заказа мы передаем ваши контактные данные компании, назначенной для доставки. При необходимости для выполнения заказа мы также передаем вашу электронную почту или номер телефона компании, назначенной для доставки (например, для согласования даты доставки).

При использовании веб-магазина в вашем браузере сохраняются cookie-файлы, обеспечивающие работу основных функций веб-магазина. Основные функции включают сохранение содержимого корзины покупок и сохранение данных для входа при просмотре отдельных страниц веб-магазина.

Обработка ваших данных необходима для инициации и выполнения вашего заказа на основе существующих договорных отношений. Правовой основой обработки ваших данных для указанных целей является статья 6(1) пункт (b) GDPR.

2.2.2.2. Оптимизация информации о продуктах и услугах

Для того чтобы предоставлять вам индивидуализированные предложения и информацию по электронной почте о приобретенных продуктах или заказанных услугах, мы собираем определенную информацию из различных внутренних источников, таких как интернет-магазин и регистрация продуктов. Это осуществляется только при условии, что мы уже имеем право предоставлять информацию таким образом (существующая клиентская реклама или согласие) и что вы подтвердили свой адрес электронной почты через процедуру двойного подтверждения.

Мы обрабатываем следующие категории данных в рамках этой обработки: контактные данные (фамилия, имя, адрес), данные о контракте, журналы транзакций, данные о потреблении, данные о заказах и корзинах, данные о продукте (SKU, дата покупки, серийный номер), идентификатор пользователя, страна, устройство и данные о потреблении.

Для этого мы используем SalesForce Data Cloud, который эксплуатируется от нашего имени компанией Salesforce UK Limited, Village 9, Floor 26 Salesforce Tower, 110 Bishopsgate, London, UK.

В случае передачи данных в третьи страны (Великобритания) имеется соответствующее решение о соответствии от Европейской комиссии. В случае передачи данных в США Salesforce имеет сертификацию по «EU-US Data Privacy Framework» (DPF).

Данные обрабатываются на основании статьи 6(1) пункт (f) GDPR (законный интерес), поскольку обработка необходима для оптимизации маркетинговых стратегий и улучшения взаимодействия с клиентами.

2.2.2.3. Обработка платежей, платежные услуги

В процессе оформления заказа в нашем онлайн-магазине вы можете выбрать способ оплаты. Оплата обрабатывается напрямую через поставщика платежных услуг, используемого для соответствующего способа оплаты. Для этого передаются необходимые контактные, платежные и транзакционные данные. В зависимости от используемого вами поставщика платежных услуг могут обрабатываться дополнительные данные (например, данные для входа в аккаунт у соответствующего поставщика платежных услуг).

Передача ваших данных поставщикам платежных услуг и последующая обработка данных этими компаниями необходимы для инициации и выполнения вашего заказа и для существующих договорных отношений.

https://www.klarna.com/international/privacy-policy/

2.2.2.3.3. PayPal

При выборе «PayPal» в качестве способа оплаты персональные данные автоматически передаются в PayPal. PayPal является платежным сервисом компании PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Люксембург.

Следующие данные передаются PayPal и обрабатываются им в связи с использованием PayPal: контактные данные, платежные данные, данные о транзакциях и данные аккаунта PayPal (имя, адрес, адрес электронной почты, телефон). Помимо обработки платежей, PayPal использует эти данные для проверки личности и кредитных проверок.

Дополнительная информация о обработке данных PayPal доступна здесь:

https://www.paypal.com/de/webapps/mpp/ua/privacy-full

2.2.2.4. Использование Zoovu в качестве онлайн-помощника

На сайте используется онлайн-помощник от Zoovu. Провайдер услуги — Zoovu (Germany) GmbH, Skalitzer Straße 104, 10997 Берлин.

Мы используем сервис для поддержки функции поиска продуктов на сайте. Это позволяет пользователям получать подходящие результаты по продуктам. Клики и поведение пользователя анализируются в рамках функции поиска (например, время, проведённое на странице продукта) для оптимизации страниц продуктов.

При использовании поиска обрабатываются следующие данные с помощью cookies: содержимое поискового запроса, IP-адрес, данные устройства (браузер, операционная система, устройство), идентификатор сессии, идентификатор запроса, кликовое поведение.

Сервис используется на основании статьи 6(1) пункта (f) GDPR. В качестве оператора сайта у нас есть законный интерес предоставлять клиентам оптимизированный поиск продуктов и повышать охват и продажи наших продуктов.

2.2.3. Сервисы и функции для профессионалов

На сайте также предоставляются специфические функции, сервисы и контент для профессионалов: установщиков, архитекторов, дизайнеров и операторов шоурумов.

2.2.3.1. Использование платформы GROHE Training Companion

На сайте доступна платформа GROHE Training Companion для сотрудников GROHE Group и профессионалов: https://training.grohe.com/

Платформа предоставляет доступ к учебным материалам (онлайн-уроки, викторины) и информации о продукции GROHE. Дополнительная информация о обработке персональных данных доступна в отдельной политике конфиденциальности платформы.

2.2.3.2. Участие в семинарах GROHE

Профессионалы могут регистрироваться на семинары по установке и обслуживанию продукции GROHE через сайт. Портал регистрации размещен у стороннего провайдера.

При регистрации собираются: данные участника (звание, имя, адрес, e-mail, роль) и данные компании (название, адрес, страна). При наличии питания на семинаре можно указать диетические требования. Также можно добавить комментарии.

Если семинар проводится онлайн, используются технические провайдеры для веб-конференций и вебинаров, обрабатывающие персональные данные.

Правовая основа: статья 6(1) пункт (b) GDPR — обработка необходима для исполнения договора участия в семинаре.

2.2.3.3. Запрос BIM-данных

Профессионалы могут запрашивать BIM-файлы продуктов GROHE через форму на сайте, предоставляя: номер артикула, должность, имя, адрес, телефон, e-mail.

Правовая основа: статья 6(1) пункт (f) GDPR — защита законных интересов компании, предоставление функций сайта.

2.2.3.4. Отслеживание заказов

Профессионалы могут управлять заказами через портал отслеживания. Обрабатываются данные заказа: номер, дата, доставка, позиции, статус. Возможны уведомления по e-mail.

Правовая основа: статья 6(1) пункт (b) GDPR — для исполнения договора, и статья 6(1) пункт (f) GDPR — защита законных интересов.

2.3. Использование инструментов аналитики и маркетинга

2.3.1. Google Tag Manager

Используется для управления тегами сайта. Провайдер в Европе — Google Ireland Limited, Dublin, Ирландия.

Теги отслеживают действия пользователей (клики, посещения страниц и т.д.). Google Tag Manager сам не создает профили пользователей. Данные HTTP-запросов удаляются через 14 дней.

Правовая основа: статья 6(1) пункт (f) GDPR — законный интерес, при согласии пользователя — статья 6(1) пункт (a) GDPR.

2.3.2. Google Analytics

Используется для анализа поведения пользователей на сайте: просмотры страниц, взаимодействие с видео, внутренний поиск, клики и т.д.

Данные включают IP-адрес (анонимизированный), информацию о браузере и устройстве, регион. Используются cookies. Данные хранятся на серверах Google в США, IP-адрес анонимизируется.

Правовая основа: статья 6(1) пункт (a) GDPR — согласие пользователя.

Дополнительно доступны инструкции по отключению:

https://tools.google.com/dlpage/gaoptout?hl=de

Политика конфиденциальности Google: https://policies.google.com/privacy

2.3.3. New Relic

Используется для анализа производительности сайта (скорость запросов, стабильность серверов). Данные: IP, время доступа, браузер.

Правовая основа: согласие пользователя, статья 6(1) пункт (a) GDPR.

https://newrelic.com/termsandconditions/privacy

2.3.4. TikTok Pixel

Позволяет отслеживать действия посетителей сайта и устройств. Данные передаются TikTok в агрегированном виде. Сбор информации включает IP, данные устройства, метаданные (названия страниц, информация о продукте, время загрузки страниц).

Использование основано на согласии, статья 6(1) пункт (a) GDPR.

Дополнительные ссылки:

https://ads.tiktok.com/i18n/official/policy/jurisdiction-specific-terms

https://www.tiktok.com/legal/page/eea/privacy-policy/

2.3.5. Visual Website Optimizer

Используется для A/B-тестирования и оптимизации конверсии. Данные: взаимодействие пользователя, устройство, IP, геолокация, данные конверсий.

Использование основано на согласии, статья 6(1) пункт (a) GDPR.

2.3.6. YouTube Analytics

Позволяет получить статистику взаимодействия с каналом: просмотры, подписки, комментарии, аудитория.

Данные агрегированы, идентифицировать пользователей нельзя.

Использование основано на согласии, статья 6(1) пункт (a) GDPR.

2.3.7. Webtrekk (Mapp)

Аналитика сайта для оптимизации предложений. Используются cookies и пиксели. Данные: устройство, браузер, действия пользователя.

2.3.9. Amazon Advertising (AdSystem)

We use the Amazon Advertising (AdSystem) analytics on the website. The provider of the service in the European region is Amazon Europe Core S.à r.l., 38 Avenue John F. Kennedy, L-1855, Luxembourg.

Amazon Advertising is an advertising network which specialises in providing targeted advertising. We use the Amazon Advertising tag in connection with Amazon Advertising. This is a tool which uses cookies or similar technologies to collect information on how users interact with adverts.

The tool collects the following specified information: HTTP header (e.g. information on the browser, device type, website location, referrer website), tag ID and information specified by us as the website operator (name and ID of the website operator, timestamp of the last website activity, event name, attribute name and values).

Amazon processes the information collected to create campaign reports for us about the website target group, conversion tracking, click events and targeted advertising outside our website (retargeting). This enables us to optimise our advertisements and ad campaigns as a whole, and to design them in line with user interests.

The use of the service is based on your consent. The legal basis for the processing of personal data in connection with the use of Amazon Advertising is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

2.3.10. Akamai mPulse

We use mPulse on our website. The provider responsible for the operation of mPulse in the European region is Akamai Technologies GmbH, Parkring 22, 85748 Garching, Germany.

mPulse is a solution from Akamai for measuring the actual web traffic on our website. The solution enables us to obtain a precise overview of the performance of our website and to identify any causes of latencies and lost revenue. For this, mPulse collects a range of information using a web beacon, analyses this information and makes it available to us in a prepared form.

The information processed includes information about the domain (e.g. domain URL, timestamp and IP address), session data (e.g. session ID and session start time), user agent (e.g. browser family, major version and device type), geographic data (e.g. country and region), bandwidth (e.g. in kbit/s and bandwidth block), timers (e.g. website response time), user-defined metrics (e.g. conversion and revenue) and, depending on the configuration, also analytics data from third party providers (e.g. Google)

The use of the service is based on your consent. The legal basis for the processing of personal data in connection with the use of mPulse is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

Further information regarding data processing by Akamai is available here:

• https://www.akamai.com/legal/privacy-statement

2.3.11. Hotjar

We use Hotjar on the website. The service provider is Hotjar Ltd, Business Centre 5th Floor, Dragonara Road, Paceville St Julian's STJ 3141 Malta.

Hotjar is a service for analysing user behaviour on our website. This service allows us to better understand the needs of our users and to optimise the offer on this website. Using Hotjar's technology, we obtain an improved understanding of our users' experience based on aggregated information (e.g. how much time users spend on which pages, which links they click on, what they like and dislike, etc.) and this helps us to tailor our offer based on our users' feedback.

Hotjar works with cookies and other technologies to collect information about the behaviour of our users and about their end devices (in particular, IP address of the device (collected and stored only in anonymised form), screen size, device type (unique device identifiers), information about the browser used, location (country only) and information on usage in the context of clicks and scrolls on the individual pages. Hotjar stores this information in a pseudonymised user profile. The information is used neither by Hotjar nor us to identify individual users nor is it merged with other data about individual users.

Hotjar uses this information to create aggregated heat maps which can be used to determine which areas of the website individual users prefer to view. We also receive aggregated information on how long users stayed on a page and when they left it. We can also determine at which point users break away from their entries in the forms provided (so-called conversion funnels).

The use of the service is based on your consent. The legal basis for the processing of personal data in connection with the use of Hotjar is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

For more information, please see Hotjar's privacy policy:

• https://www.hotjar.com/legal/policies/privacy

2.3.12. Pinterest Tag

We use the Pinterest Tag analytics on the website. The provider of the service in the European region is Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland

The Pinterest tag is a code snippet integrated in the pages of our website. The Pinterest tag allows information on website visitors’ browsing habits to be collected, stored and analysed in pseudonymised form. The information can be assigned to a user as a specific person with the help of additional information that Pinterest has stored about the user, e.g. based on ownership of an account on the "Pinterest” social network.

Pinterest uses an algorithm to analyse surfing behaviour and can then display specific product recommendations to visitors as personalised ad campaigns. Pinterest can also combine the information collected via the Pinterest tag with other information which Pinterest has collected via other websites or in connection with the use of the social network "Pinterest" and in this way create pseudonymised user profiles.

The use of the service is based on your consent. The legal basis for the processing of personal data in connection with the use of the Pinterest Tag is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

Further information on the processing of your data by Pinterest and on exercising your rights as a data subject with respect to Pinterest can be found here:

• https://policy.pinterest.com/privacy-policy

2.3.13. LinkedIn Insight Tag

Our website uses the “LinkedIn Insight Tag” service from LinkedIn. The provider of this service in the European region is LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Ireland.

The LinkedIn Insight Tag enables information about visitors to our website to be collected. This information enables user behaviour of visitors to our website to be measured (e.g. whether visitors to our website take a specific action – conversion measurement). Conversion measurement can also take place across all devices. We can use the data obtained in this way to improve the relevance of our ads. The LinkedIn Insight Tag also offers a retargeting function which allows us to display targeted advertising to visitors to our website outside of the website. According to LinkedIn, this does not involve identification of the advertising recipient.

In connection with the use of LinkedIn Insight Tag, a unique LinkedIn browser cookie is created in a user's browser and allows collection of the following data: URL, referrer URL, IP address, device and browser properties (user agent) and timestamp. The IP addresses are shortened or (if they are used to reach members across devices) hashed. The direct identifiers of LinkedIn members are deleted by LinkedIn within seven days in order to pseudonymise the data. The remaining pseudonymised data is then deleted within 180 days. If a website visitor is registered with LinkedIn, LinkedIn can link the key professional data stored (e.g. career level, company size, country, location, industry and job title) with the above data and analyse it.

LinkedIn does not share the personal data of members with us and provides reports and communications (in which members are not identified) about the website audience and ad performance. LinkedIn members can control the use of their personal data for advertising purposes in their account settings. To deactivate the Insight Tag on our website ("opt-out") click here.

The use of the service is based on your consent. The legal basis for the processing of personal data in connection with the use of the LinkedIn Insight Tag is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

Further information on the processing of your data by LinkedIn and on exercising your rights as a data subject with respect to LinkedIn can be found here:

• https://linkedin.com/legal/privacy-policy

2.3.14. Bazaarvoice Analytics

We work with Bazaarvoice to provide customers with rating options for our products. Bazaarvoice uses cookies to process information from users and to monitor user behaviour on multiple websites. The provider of the service is Bazaarvoice, Inc, 10901 Stonelake Blvd Austin, TX 78759, USA.

The data you provide each time you submit a product review (e.g. name, email address, rating) is recorded. Your IP address is also stored temporarily to prevent fraud (for 18 months; if fraud is suspected, indefinitely). The data provided will be processed for the purpose of using the product review and is displayed on the website.

We also use Bazaarvoice for analysis purposes. This is to understand how submitted product reviews are used by users, how the content and offers offered on our website are used after the product reviews have been accessed and which sub-pages on the website are opened. Cookies and similar technologies are used for this purpose on our website. Information is also collected on the browser used by you. Identification with you occurs via a randomly generated numerical value only. The information is not combined indirectly with personal data such as your name or email address.

The processing of personal data in connection with submitting product reviews is Article 6(1) point (f) GDPR. The purpose of data processing and our legitimate interest in this case is to facilitate a review of our products. If personal data is processed for analysis purposes and cookies are used for this, then the processing is based on your consent. The legal basis for the processing in this case is Article 6(1) point (a) GDPR. You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

2.3.15. Conversion Tracking

On our website, we use a range of services from providers for the purpose of conversion tracking. These services enable us to statistically record and improve the effectiveness of our offers and adverts.

Conversion tracking involves recording information and user interactions in connection with the use of the offers and functions provided on our website and with the use of the functions and advertising placed by us on other websites (example: If you click on one of our adverts on another website and then register for our newsletter on our website).

The information collected as part of this includes the IP address and data on the device used (e.g. device ID, operating system, browser type), the nature and time of interaction, the content of the respective function or advert and the user's reaction (e.g. registration for newsletters, accessing a product website, entering certain search queries, clicking on individual adverts).

The respective information and interactions are usually recorded by the respective third-party providers storing cookies on the user's end device and analysing tags integrated on our website. When an interaction is carried out, your browser sends a request from the cookie via the respective implemented tag to the advertising network or the server of the respective third-party provider. The request is used to transmit specific information about the action.

Based on the information and interactions collected, we receive statistics from the third-party providers about user behaviour on our website. This enables us to improve the targeting of our advertisements and to optimise the offers and functions provided on our website. We are also able to draw users' attention to our offers and products again, e.g. by placing customised advertising tailored to the interests of the respective user on other websites of the respective third-party providers and the advertising networks operated by them.

Conversion tracking services are used on the basis of your consent. The legal basis for the processing of your personal data is Article 6(1) point (a) GDPR You can revoke your consent at any time by deactivating the use of the service in the “Cookie settings”.

Further information is available below on the conversion tracking services we use:

2.3.15.1. Google Conversion Tracking

Google Conversion Tracking is a tracking and analysis tool that links data from the Google Ads advertising network to actions on our website. The provider in Europe is Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland.

Further information regarding data processing by Google is available here:

• https://support.google.com/google-ads/answer/1722022
• https://policies.google.com/privacy?hl=de
• https://policies.google.com/technologies/ads

2.3.15.2. DoubleClick Floodlights

DoubleClick Floodlights is a conversion tracking and analysis tool for the Google Marketing Platform. This involves the recording of conversions from the individual functional areas of the Google Marketing Platform (e.g. Campaign Manager 360, Display & Video 360 and Search Ads 360) from and other tracking systems (e.g. Google Ads and Google Analytics) and linking them to actions on our website. The provider in Europe is Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland.

Further information regarding data processing by Google is available here:

• https://support.google.com/searchads/answer/7298761?hl=de
• https://policies.google.com/privacy?hl=de
• https://policies.google.com/technologies/ads

2.3.15.3. Meta Conversion Tracking

Meta Conversion Tracking is a conversion tracking and analysis tool that links data from the Meta advertising network to actions on our website. The provider in Europe is Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland (previously: Facebook Ireland Limited).

Further information on data processing by Meta is available here:

https://www.facebook.com/about/privacy

2.3.15.4. Pinterest Conversion Tracking

Pinterest Conversion-Tracking is a conversion tracking and analysis tool that links referrals from a pin on the Pinterest platform to our website and the actions taken there. The provider in Europe is Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland.

Further information on data processing by Pinterest is available here:

• https://help.pinterest.com/en/business/article/track-conversions-with-pinterest-tag
• https://policy.pinterest.com/de/privacy-policy

2.3.16. Use of social media plugins

Social media plugins from various social network providers are integrated on this website. These plugins allow you to interact with the content on this website by sharing or saving the content, for example, in the social networks you are a member of. The plugins are identified by a logo of the provider or an addition (e.g. “Like” or “Share”).

When you visit our website, a direct connection is established via the plugin between your browser and the provider's server. In this way, the provider is informed that you have visited this website with your IP address. Further data is typically also sent to the provider's servers, such as browser type and version, date and time of the visit, user ID, websites visited, HTTP headers and interaction (clicking on the plugin). If you have a profile on the respective social network, the social network provider can link this information to your profile. If you do not want the provider to be able to match your visit to this website with your profile, please log out of your user account on the social network.

Please note that certain plugins are only supported if you are logged into your account on the respective social network and have given your consent to the use of cookies. Certain plugins are otherwise not supported.

The legal basis for the use of these plugins and the data processing this entails is your consent. The legal basis for the processing in this case is Article 6(1) point (a) GDPR.

We use social media plugins from the following providers on the website:

2.3.16.1. Meta

We use social media plugins from Meta, such as the Meta Share Button or Meta Sharer (previously Facebook Like Button). The provider of this service in the European region is Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland.

In connection with the use of Meta's social media plugins, your data will be transmitted to servers of Meta Platforms, Inc. in the USA. Meta Platforms, Inc. has certification under the “EU-US Data Privacy Framework” (DPF).

Further information on the processing of your data by Meta and on exercising your rights as a data subject with respect to Meta can be found here:

• https://www.facebook.com/about/privacy

2.3.16.2. Pinterest

We use social media plugins from Pinterest, such as the Pinterest “Save” button. The provider of this service in the European region is Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland.

In connection with the use of Pinterest's social media plugins, your data will be transferred to servers of Pinterest, Inc. in the US. Data between Pinterest Europe Ltd. and Pinterest, Inc. is transferred based on the EU Standard Contractual Clauses.

Further information on the processing of your data by Pinterest and on exercising your rights as a data subject with respect to Pinterest can be found here:

• https://policy.pinterest.com/privacy-policy

2.3.16.3. LinkedIn

We use social media plugins from LinkedIn. The provider of this service in the European region is LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Ireland.

In connection with the use of LinkedIn's social media plugins, your data will be transferred to servers of the LinkedIn Corporation in the US. The LinkedIn Corporation has certification under the “EU-US Data Privacy Framework” (DPF).

Further information on the processing of your data by LinkedIn and on exercising your rights as a data subject with respect to LinkedIn can be found here:

• https://linkedin.com/legal/privacy-policy

2.3.17. Remarketing

We use remarketing technologies to display targeted advertising based on your previous interactions with our website. Third-party providers such as Google, Meta, Amazon, TikTok, LinkedIn, YouTube and DoubleClick may use cookies or similar technologies to track which pages you have visited in order to show you personalised advertising on other websites or platforms. You can object to remarketing cookies at any time using the opt-out functions of the respective providers:

• Google & YouTube: https://adssettings.google.com/
• Meta (Facebook): https://www.facebook.com/settings/?tab=ads
• Amazon: https://www.amazon.com/adprefs
• TikTok: https://support.tiktok.com/en/account-and-privacy/personalized-ads-and-data/personalization-and-data
• LinkedIn: https://www.linkedin.com/psettings/advertising

Please refer to the respective data privacy policies for further information on how our remarketing partners process data, as well as the sections above in chapter 2.3.

The legal basis for the processing of your personal data is Article 6(1) point (a) GDPR You can revoke your consent at any time by deactivating the use of the services in the “Cookie settings”.

2.4. Other processing purposes

In addition to the above processing purposes, we also process your personal data for the following reasons:

• To fulfil our statutory retention obligations, our statutory accountability obligations, our statutory monitoring obligations or our obligations under data protection law. The legal basis for this processing is Article 6(1) point (c) GDPR.
• To exercise any legal rights or to defend ourselves against claims. The legal basis for this processing is Article 6(1) point (f) GDPR and Section 24 of the Federal Data Protection Act, BDSG.
• To respond to and comply with official requests. The legal basis for this processing is Article 6(1) point (c) and (e) GDPR.
• In the context of transactions or reorganisations. The legal basis for this processing is Article 6(1) point (b) and (f) GDPR.

2.5. To what extent do we process your data under joint controllership?

As a basic principle, we process your data under our own responsibility. We also process your data for the purpose of specific processing activities with other companies under joint controllership in accordance with Article 26 GDPR. Further information is provided below regarding those processing activities for which this is the case and the consequences in terms of data protection associated with this.

2.5.1. Joint controllership with Meta Platforms

We are joint controllers with Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland in relation to the use of the Meta Pixel, Meta Conversion Tracking and Meta Social Media Plugins (Meta Sharer) services.

If personal data is collected on our website in connection with the use of this service and transferred to Meta, then we and Meta Platforms Ireland Limited are jointly responsible for this data processing (Article 26 GDPR). The joint controllership is limited exclusively to the collection of data and its transfer to Meta Platforms Ireland Limited. The processing by Meta Platforms Ireland Limited following the transfer is not part of the joint responsibility. The obligations for which we are jointly responsible are set out in a joint controllership agreement.

According to this arrangement, we are responsible for issuing data protection information when using social media plugins and for the correct technical implementation on our website. Meta Platforms Ireland Limited is responsible for safeguarding the rights of data subjects insofar as this concerns data processed within the scope of joint controllership. For this purpose, you are able to contact Meta Platforms Ireland Limited directly to exercise your rights as a data subject. If you contact us to exercise your rights as a data subject, we will forward this to Meta Platforms Ireland Limited.

Further information on the joint controllership agreement, the processing of your data by Meta Platforms and the exercising of your data subject rights with respect to Meta Platforms can be found here:

• https://www.facebook.com/legal/controller_addendum
• https://www.facebook.com/about/privacy

2.5.2. Joint controllership with Pinterest

We are joint controllers with Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland in connection with the Pinterest Tag,Pinterest Conversion Tracking service and Pinterest social media plugins.

Insofar as personal data is collected on our website using these services and transferred to Pinterest, we and Pinterest Europe Ltd. are jointly responsible for this data processing (Article 26 GDPR). The joint controllership is limited exclusively to the collection of data and its transfer to Pinterest Europe Ltd. The processing carried out by Pinterest Europe Ltd. following the referral is not part of the joint controllership. The obligations for which we are jointly responsible are set out in a joint controllership agreement.

According to this arrangement, we are responsible for issuing data protection information when using social media plugins and for the correct technical implementation on our website. Pinterest Europe Ltd is responsible for safeguarding the rights of data subjects insofar as this concerns data processed within the scope of joint controllership. For this purpose, you are able to contact Pinterest Europe Ltd. directly to exercise your right as a data subject. If you contact us to exercise you rights as a data subject, we will forward this to Pinterest Europe Ltd.

Further information on the joint controllership agreement, the processing of your data by Pinterest and the exercising of your data subject rights with respect to Pinterest can be found here:

• https://business.pinterest.com/de/pinterest-advertising-services-agreement
• https://policy.pinterest.com/privacy-policy

2.5.3. Joint controllership with TikTok

We are joint controllers with TikTok Information Technologies UK Limited, 6th Floor, One London Wall, London, EC2Y 5EB, United Kingdom ("TikTok UK") and TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Ireland ("TikTok Ireland") in relation to the TikTok Pixel service.

The joint controllership encompasses the collection and transfer of event data processed in connection with the service. There is an agreement in place with TikTok regarding processing as joint controllers. This agreement determines the distribution of data privacy obligations between us, as the provider of the website, and TikTok. In this agreement, both parties have agreed, among other things,

• that we, as the provider of the website, are responsible for providing visitors with information in accordance with Article 13 and 14 GDPR on the joint processing of personal data;
• that TikTok is responsible for enabling persons concerned to exercise their rights as data subjects in accordance with Articles 15 to 20 GDPR with regard to the personal data stored by TikTok after joint processing.

The existing agreement with TikTok on joint controllership containing the determinations made as well as information on data processing by TikTok and the possibility of asserting the rights of data subjects can be accessed here:

• https://ads.tiktok.com/i18n/official/policy/jurisdiction-specific-terms
• https://www.dataprivacyframework.gov/list

3. For how long do we store your data?

We generally process your personal data in connection with the use of our website for the duration of the respective user session, unless storage beyond this time is necessary for the fulfilment of the respective processing purposes. In this case, we process your personal data provided this is necessary for the fulfilment of the respective processing purpose. This is determined, in particular, by the nature and functionality of the respective service or function which you use on the website.

We are also subject to various statutory retention and documentation obligations. The retention and documentation periods specified in these cases are up to ten years.

Finally, the storage period is also determined by the statutory limitation periods, which, for example, can be up to thirty years in accordance with Sections 195 et seqq. of the German Civil Code (BGB), although the regular limitation period is three years.

4. Who do we transfer your data to?

We transfer your personal data to a range of recipients outside our company.

This includes external service providers who support us in connection with the provision of the app and its content. Your personal data is processed by external service providers exclusively on our behalf and in accordance with our instructions. These recipients are so-called processors (see Article 4(8) GDPR). Your personal data is also transmitted to recipients who process your personal data under their own responsibility (see Article 4(7) GDPR).

These recipients or categories of recipients are listed below:

Recipient and Nature of the services

• Adyen N.V., Simon Carmiggeltstraat 6-50, 1011 DJ Amsterdam, Netherlands - Payment service provider
• Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Park, Dublin 24, Ireland - Online platform provider for webinars (Adobe Connect)
• Akamai Technologies GmbH, Parkring 22, 85748 Garching, Germany, Akamai Technologies, Inc., 145 Broadway, Cambridge, MA 02142 USA - Provider of content delivery (Akamai Edge) and analytics services (Akamai mPulse)
• Amazon Europe Core S.à r.l., 38 Avenue John F. Kennedy, L-1855, Luxembourg - Provider of Amazon Advertising;
• Amazon Web Services EMEA SARL, 38, avenue John F. Kennedy, L-1855 Luxembourg - Hosting services provider
• Bazaarvoice, Inc., 10901 Stonelake Blvd Austin, TX 78759, USA - Provider of online services for product reviews
• Cloudflare, Inc., 101 Townsend Street San Francisco, CA 94107, USA - Provider of web performance and security services
• Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland - Provider of Google reCAPTCHA, Google Analytics, Google Tag Manager, Google Conversion Tracking, DoubleClick Floodlights, Google Maps, YouTube Analytics, Google Fonts
• Hotjar Ltd, Business Centre 5th Floor, Dragonara Road, Paceville St Julian's STJ 3141 Malta - Analytics provider (Hotjar)
• IBM Deutschland GmbH, IBM-Allee 1 71139 Ehningen, Germany - Hosting services provider
• Klarna Bank AB, Sveavägen 46, 111 34 Stockholm, Sweden - Payment service provider
• LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Ireland - Provider of LinkedIn Insight Tag, social media plugins
• Mastercard International Incorporated, 2000 Purchase Street in the hamlet of Purchase, New York, USA - Providers of credit card services, payment service providers
• Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland - Provider of Meta Pixel, Meta Conversion Tracking
• Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland - Provider of Azure AD (identity and access management service)
• Monotype Imaging Inc., 600 Unicorn Park Drive, Woburn, Massachusetts 01801, USA - Provider of online service for fonts
• New Relic Inc., 188 Spear Street, Suite 1000 San Francisco, CA 94105, USA - Provider of New Relic Analytics
• F5, Inc., 801 5th Avenue, Seattle, WA 98104, USA (formerly: Nginx, Inc.) - Provider of web server management and traffic processing services.
• OneTrust GmbH, Friedentraße 22B, 81671 Munich, Germany - Provider of Consent Management Platform
• PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal L-2449, Luxembourg - Payment service provider
• Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland - Provider of Pinterest Tag, Conversion Tracking
• salesforce.com Germany GmbH, Erika-Mann-Strasse 31-37, 80636 Munich, Germany - Provider of online customer management platform (CRM system)
• Salesforce UK Limited, village 9, floor 26 Salesforce Tower, 110 Bishopsgate, London, United Kingdom - Provider of online customer management platform (CRM system)
• STR8 GmbH & Co. KG, Callinstraße 43, 30167 Hanover, Germany - Provider of the online portal for seminar portal hosting
• SAP Deutschland SE & Co. KG, Hasso-Plattner-Ring 7 69190 Walldorf, Germany - Webshop software provider
• Stripe, Inc., 354 Oyster Point Boulevard, San Francisco, California, 94103, USA - Payment services provider
• TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Ireland TikTok Information Technologies UK Limited, WeWork, 125 Kingsway, London, WC2B 6NH, United Kingdom - TikTok Pixel provider
• Webtrekk GmbH, Schönhauser Allee 148, 10435 Berlin, Germany - Provider of the Webtrekk analytics
• Webex Communications Deutschland GmbH, Hansaallee 249 c/o Cisco Systems GmbH, 40549 Düsseldorf, Germany - Provider of online web communication platform
• Wingify Software Pvt. Ltd., 1104, KLJ TOWER, North, Netaji Subhash Place, Pitampura, Delhi, 110034, India - Visual Website Optimiser provider
• United Parcel Service Deutschland S.à r.l. & Co. OHG, Görlitzer Straße 1, 41460 Neuss, Germany - Transport company (transport of orders)
• WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland. - Provider of WhatsApp Channels and Business
• Zoovu (Germany) GmbH, Skalitzer Straße 104, 10997 Berlin - Provider of online assistance services
• Group companies of the Lixil Group, of which GROHE is a part. - Support in the operation of the website (technical support, hosting, support with processing requests), provision of services relating to logistics, IT security, administration, sales and customer care, communication

5. Is data transferred to a third country?

In connection with the use of the website, your personal data will also be transferred to recipients in third countries, i.e. countries outside the EU and the European Economic Area (EEA).

Data will only be transferred to third countries if there is a relevant legal basis for this. This means that we will only transfer your data provided the EU Commission has decided there is an adequate level of data protection for the respective third country (a so-called EU adequacy decision, see Article 45 GDPR), appropriate guarantees are provided for the protection of your personal data (see Article 46 GDPR) or there is a statutory derogation (see Art. 49 GDPR). Appropriate guarantees within the meaning of Article 46 GDPR include the EU standard data protection clauses published by the EU Commission.

There is currently a Data Privacy Framework (DPF) agreement for the transfer of data into the US. This is an agreement between the European Union and the US, the purpose of which is to ensure compliance with European data protection standards for data processing in the US in accordance with Article 45 GDPR. Every DPF-certified company undertakes to comply with these data protection standards. Further information about this can be found under the following link:

• https://www.dataprivacyframework.gov/list

In connection with your use of the website, your data will be transferred to the following recipients, who process your data in a third country.

Recipient and Legal basis

• Akamai Technologies, Inc., 145 Broadway, Cambridge, MA 02142 USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Bazaarvoice, Inc., 10901 Stonelake Blvd Austin, TX 78759, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Cloudflare, Inc., 101 Townsend Street San Francisco, CA 94107, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• F5, Inc., 801 5th Avenue, Seattle, WA 98104, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Monotype Imaging Inc., 600 Unicorn Park Drive, Woburn, Massachusetts 01801, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• New Relic Inc., 188 Spear Street, Suite 1000 San Francisco, CA 94105, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Stripe, Inc., 354 Oyster Point Boulevard, San Francisco, California, 94103, USA - EU-U.S. Data Privacy Framework (EU adequacy decision)
• Salesforce UK Limited, village 9, floor 26 Salesforce Tower, 110 Bishopsgate, London, United Kingdom - EU adequacy decision for the UK
• TikTok Information Technologies UK Limited, WeWork, 125 Kingsway, London, WC2B 6NH, United Kingdom - EU adequacy decision for the UK
• Wingify Software Pvt. Ltd., 1104, KLJ TOWER, North, Netaji Subhash Place, Pitampura, Delhi, 110034, India - EU standard data protection clauses (Module 2)
• Group companies of the Lixil Group, of which GROHE is a part. - EU standard data protection clauses (Module 2)

If you would like further information on the transfer to third countries, please contact the office named in section 1.

Please note that the respective recipients who process your data may also transfer your data to recipients in third countries. Further information regarding this can be found in the corresponding data protection information for these recipients. Where possible, links are provided for these recipients in this data privacy policy.

6. Which sources does your data come from?

We process personal data which you provide to us directly or which we receive from third parties. These third parties include the respective providers and service providers we use in connection with the operation of the website and the functionalities and services provided on the website (see the above information in section 4).

7. Do you have an obligation to provide your data?

You are neither legally nor contractually obliged to provide us with personal data. This does not apply to data required for registration and logging into the GROHE user account or for services for which binding registration is required (product registration, registration for GROHE seminars). Without this data, we cannot provide you with these services or functions.

When you use the website, protocol data is also automatically transmitted by your browser (see section 2.1.2). The website cannot be viewed without this technical data.

You will otherwise only be asked to provide the data required for the provision of our functions and services on the website. Please note that without this personal data, we may not be able to provide you with the full range of functions on the website and our functions and services may be limited.

8. Does automated decision-making including profiling take place in line with Article 22 GDPR?

Automated decision-making including profiling in accordance with Article 22 GDPR does not take place.

9. What rights do you have?

You have the right of access under Article 15 GDPR, the right to rectification under Article 16 GDPR, the right to erasure under Article 17 GDPR, the right to restriction of processing under Article 18 GDPR and the right to data portability under Article 20 GDPR. If we process your personal data on the basis of your consent, you can revoke this consent at any time. There are no formal requirements relating to how consent is revoked.

If your personal data is processed for the purpose of our legitimate interests in accordance with Article 6(1) point (f) GDPR, you can object to this processing in accordance with the legal requirements in Article 21 GDPR.

To exercise the above rights, you can contact the office named in section 1.

10. Information about your right to object pursuant to Article 21 and your right to lodge a complaint pursuant to Article 77 GDPR

You have the right to object, on grounds relating to your particular situation, at any time to processing of personal data concerning you which is based on Article 6(1) point (f) GDPR; this also applies to any profiling based on this provision within the meaning of Article 4(4) GDPR.

Where you object to the processing, we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms or unless the data is being processed for the establishment, exercise or defence of legal claims.

There are no formal requirements relating to how the objection is made and, where possible, it should be submitted to the office named under section 1 of the privacy policy.

There is also the right to lodge a complaint with a data protection supervisory authority in accordance with Article 77 GDPR if you believe that your personal data is being processed unlawfully. The right to lodge a complaint exists without prejudice to any other administrative or judicial remedy.

An overview of the European data protection supervisory authorities is available here:

• https://www.edpb.europa.eu/about-edpb/about-edpb/members_en

An overview of the data protection supervisory authorities operating in Germany is available here:

• https://www.bfdi.bund.de/DE/Service/Anschriften/

11. Data security

We use 128-bit TLS encryption to ensure the security of the data transferred to us. You are able to recognise encrypted connections such as these by the prefix “https://” in the page link in the address bar of your browser. Unencrypted pages are identified by “http://”. SSL encryption means that all of the data you transmit to our website cannot be read by third parties.

12. Changes to the privacy policy

In order to ensure our privacy policy complies with the current legal requirements and reflects the technical setup of our websites at all times, we reserve the right to make changes at any time.

Status 31.07.2025