Suncani Hvar Hotels

Datenschutz

Zusammenfassung

Die Datenschutzpolitik (“Datenschutzpolitik”) regelt den Schutz personenbezogener Daten in der Gesellschaft SUNČANI HVAR d.d., Ive Miličića 3, 21 450 Hvar, PIN 29834131149 (“Gesellschaft”). Sie enthält Regeln zum Datenschutz und reflektiert die durch GDPR und andere nationale Rechtsvorschriften über den Schutz personenbezogener Daten erforderliche Regeln zum Datenschutz. 

Die Gesellschaft nimmt den Datenschutz sehr ernst und geht mit den personenbezogenen Daten bei ihren Geschäftsaktivitäten sorgfältig, behutsam und verantwortungsbewusst um. Eine Verletzung des Schutzes personenbezogener Daten zieht ernsthafte rechtliche und wirtschaftliche Folgen für die Gesellschaft, ihre Mitarbeiter und Datensubjekte mit sich. Zudem kann dadurch der Ruf der Gesellschaft geschädigt werden. Durch Anwendung der Datenschutzpolitik in der Gesellschaft wird das Risiko einer Datenschutzverletzung minimalisiert.

Information Memorandum   

Anwendbarkeit

Diese Datenschutzpolitik ist rechtsverbindlich für die Gesellschaft und ihre Mitarbeiter. Dies umfasst die Verarbeitung aller personenbezogenen Daten, auf die sich GDPR und nationale Rechtsvorschriften beziehen. 

1. Zuständigkeits- und Verfahrensordnung 

Dieser Artikel beschreibt die Verfahren, welche die Gesellschaft bei der Verarbeitung personenbezogener Daten anwendet. Darüber hinaus enthält der Artikel eine kurze Beschreibung der Kompetenzverteilung und der Hauptrollen in der Gesellschaft im Bereich der Verarbeitung personenbezogener Daten. 

1.1 Generelle Verpflichtung

Die Gesellschaft hat und wird weiterhin angemessene technische und organisatorische Maßnahmen vornehmen, um personenbezogene Daten vor Missbrauch, Verlust oder Schaden zu bewahren und mit ihnen in Einklang mit GDPR und den nationalen Rechtsvorschriften zum Datenschutz umgehen. Der Datenschutz bezieht sich auf die Verarbeitung personenbezogener Daten der Partner der Gesellschaft, der Mitarbeiter und ihrer Familienmitglieder, Stellenbewerber, Kunden und anderer Personen, dessen personenbezogene Daten von der Gesellschaft verarbeitet werden. 

1.2 Grundprinzipien des Datenschutzes 

Die Gesellschaft beachten die GDPR-Grundprinzipien bei der Verarbeitung personenbezogener Daten. Die Grundprinzipien sind:

  • Grundsatz der Rechtmäßigkeit – mindestens eine Rechtsgrundlage muss vor der Verarbeitung personenbezogener Daten festgelegt werden;
  • Grundsatz der Beschränkung des Verwendungszweckes – Verarbeitung personenbezogener Daten ausschließlich für die im Vorhinein definierten Zwecke; 
  • Grundsatz der Datenminimierung – Verarbeitung ausschließlich erforderlicher, relevanter und adäquater personenbezogener Daten für jegliche legitime Zwecke;
  • Grundsatz der Richtigkeit und Transparenz – offene und transparente Verarbeitung in Bezug zum Datensubjekt;
  • Grundsatz der Integrität und Vertraulichkeit, Grundsatz “Kenntnis nur, wenn nötig” – Umsetzung von erforderlichen organisatorischen und technischen Maßnahmen, um die Beschränkung des Zugriffs auf personenbezogene Daten zu sichern und um einer nicht autorisierten und unrechtmäßigen Verarbeitung vorzubeugen;
  • Grundsatz der Richtigkeit – Verarbeitung korrekter und aktualisierter personenbezogener Daten;
  • Kontrolliertes Änderungsmanagement-Regime – eine Umwandlung des derzeitigen Verarbeitungssystems in eine neue Methode ist ein Subjekt des DSB oder Controllers und eine potentielle anschließende Vorbereitung für die Datenschutzfolgenabschätzung;
  • Definition der Rollen der Beteiligten am Datenschutz in der Gesellschaft.

1.3 Rechtliche Grundlagen und Zwecke der Verarbeitung personenbezogener Daten 

Die Verarbeitung personenbezogener Daten basiert immer auf der Rechtsgrundlage, die die Einwilligung zur Verarbeitung personenbezogener Daten, die Erfüllung einer rechtlichen Verpflichtung, die Erfüllung eines Vertrages, das legitime Interesse, das öffentliche Interesse oder den Schutz der Interessen des Datensubjektes einbezieht. 

1.4 Verarbeitung von Sonderkategorien personenbezogener Daten und personenbezogener Daten in Verbindung mit strafrechtlichen Fragen 

Sonderkategorien personenbezogener Daten und personenbezogene Daten in Verbindung mit strafrechtlichen Fragen sind besonders sensibel und aus diesem Grund wird ein hohes Maß an Schutz angewendet. Jegliche Verarbeitung von Sonderkategorien personenbezogener Daten muss mit dem DSB besprochen werden. 

1.5 Transfer personenbezogener Daten 

Die Gesellschaft darf Dritten nur unter bestimmten Bedingungen den Zugang zu personenbezogenen Daten ermöglichen (einschließlich Datentransfer innerhalb der Gruppe). Personenbezogene Daten dürfen Dritten lediglich als einem auf der Grundlage eines Abkommens über die Verarbeitung personenbezogener Daten bestellten Verarbeiter zu Verfügung gestellt werden. Personenbezogene Daten dürfen auch Dritten zu Verfügung gestellt werden, die auf der Grundlage relevanter Abkommen als Controller oder Joint-Controller handeln.  

Sollten Anforderungen für eine Berichtigung oder Löschung personenbezogener Daten oder für die Beschränkung der Verarbeitung bestehen, wird die Gesellschaft, unter bestimmten Umständen, die relevanten dritten Personen, denen Zugang zu den personenbezogenen Daten ermöglicht wurde, darüber in Kenntnis setzen, außer wenn dies nicht möglich ist oder unzureichenden Einsatz erfordert. Die Gesellschaft informiert das Datensubjekt über dritte Personen, denen die betroffenen personenbezogenen Daten offenbart wurden, nur wenn das Datensubjekt dies beantragt. 

Unter bestimmten Bedingungen kann die Gesellschaft personenbezogene Daten an Drittstaaten außerhalb des EWR oder der Europäischen Union oder andere internationale Organisationen übermitteln. Um gesetzliche Rahmenbedingungen zu bestimmen, unter denen personenbezogene Daten an Drittstaaten oder internationale Organisationen weitergeleitet werden dürfen, wird sich die Gesellschaft mit dem DBS beraten. 

1.6 Rechte des Datensubjektes

Die Gesellschaft unternimmt alle erforderlichen Schritte, um die im GDPR vorgesehenen Rechte des Datensubjektes auszuüben. Betreffend die Verarbeitung personenbezogener Daten haben Datensubjekte das Zugangsrecht zu personenbezogenen Daten, das Recht auf Berichtigung, Beschränkung der Verarbeitung, Übertragung oder Löschung personenbezogener Daten, Einspruchsrecht gegen die Verarbeitung der Daten und Ausschlussrecht als Datensubjekt für Entscheidungen, die ausschließlich auf der automatisierten Verarbeitung von personenbezogenen Daten beruhen. 

Das Datensubjekt kann die Ausübung seiner Rechte durch einen schriftlichen oder mündlichen Antrag beantragen. Um effizienten Schutz der durch die Gesellschaft verarbeitenden personenbezogenen Daten zu sichern und um dem Missbrauch personenbezogener Daten vorzubeugen, hat die Gesellschaft die untenstehenden Regeln zur Verifizierung der Identität des Datensubjektes eingeführt. 

Schriftlicher Antrag 

Um die Ausübung bestimmter Rechte zu fordern, muss das Datensubjekt das dieser Datenschutzpolitik beigelegte oder beim DBS erhältliche Formular ausfüllen. Die Unterschrift des Datensubjektes auf dem Antragsformular muss öffentlich beglaubigt werden. Sie können Ihre Unterschrift beim öffentlichen Notar, Rechtsanwalt und Konsulat beglaubigen oder im Falle der Zustellung des Formulars per E-Mail an die Adresse des DBS, können Sie Ihre Unterschrift elektronisch zertifizieren. Wird ein schriftlicher Antrag unmittelbar an die Gesellschaft in ihren Räumlichkeiten zugestellt, ist keine Verifikation der Unterschrift erforderlich, jedoch sollten Sie Ihren gültigen Personalausweis vorlegen.

Mündlicher Antrag 

Datensubjekte können ihren Antrag auf Ausübung eines bestimmtes Rechtes persönlich an der Adresse der Gesellschaft stellen: Ive Miličića 3, 21 450 Hvar, Kroatien. Ihre Identität wird durch den von der Gesellschaft dazu bestimmten Mitarbeiter bestätigt (z. B. an der Rezeption), und zwar durch Vorlegung eines der folgenden Dokumente: Personalausweis, Reisepass oder anderer Ausweis mit Fotografie, der für eine klare Identifikation ausreicht.

Die Ausübung der Rechte des Datensubjektes berührt nicht die Rechter dritter Personen. Sollte der Antrag des Datensubjektes unbegründet oder übertrieben sein, insbesondere wegen seines repetitiven Charakters, kann die Gesellschaft eine angemessene Gebühr für die Zwecke der Erwiderung des Antrags fordern, und zwar bis zur Höhe der erforderlichen Kosten der Bereitstellung der vorstehend genannten Informationen oder der Ermöglichung der Ausübung Ihrer Rechte.

Die Gesellschaft sichert effiziente Kommunikation und Zusammenarbeit, um alle eingegangenen Anträge in angemessener Zeit zu bearbeiten. Alle Abteilungen der Gesellschaft arbeiten eng zusammen, um dem betroffenen Datensubjekt innerhalb der gesetzlichen Frist eine Antwort zu gewähren. 

1.7 Rollen und Verantwortlichkeiten 

Die Gesellschaft und ihre Satzungsorgane sind dafür zuständig, die Übereinstimmung mit GDPR und relevanten nationalen Rechtsvorschriften zum Datenschutz zu sichern. 

1.8 DSB

Die Gesellschaft hat einen DSB bestellt, der die funktionale und organisatorische Verantwortung dafür trägt, die Übereinstimmung mit den Rechtsvorschriften und internen Vorschriften der Gesellschaft in Verbindung mit dem Datenschutz zu sichern.

Sie können sich per E-Mail an dataprotection@suncanihvar.com oder per Post an die Anschrift Ive Miličića 3, 21 450 Hvar, Kroatien, an den DSB wenden.

1.9 Pflichten der Dateneigentümer und aller Mitarbeiter

Alle Dateneigentümer innerhalb der Gesellschaft und alle Mitarbeiter sind verpflichtet, die personenbezogenen Daten in Übereinstimmung mit den internen Richtlinien der Gesellschaft, GDPR und anderen nationalen Datenschutzvorschriften zu verarbeiten.

1.10 Benachrichtigung über Datenschutzverstoß 

Die Gesellschaft wird den DSB umgehend über jegliche vermeintlichen Datenschutzverstöße informieren, in jedem Falle nicht später als 24 Stunden nach dem Ereignis. Falls der Datenschutzverstoß den Anforderungen für die Benachrichtigung der jeweiligen Aufsichtsbehörde und/oder des Datensubjektes entspricht, wird der DSB diese Verpflichtung innerhalb von 72 Stunden nach Datenschutzverstoß erfüllen. 

1.11 Löschung personenbezogener Daten

Die Gesellschaft verarbeitet personenbezogene Daten nur innerhalb der dazu erforderlichen Zeit. Personenbezogene Daten werden unter folgenden Umständen gelöscht oder anonymisiert: 

  • Ablauf des Zweckes der Verarbeitung personenbezogener Daten, ohne dass ein anderer legitimer Zweck als Ersatz vorhanden ist;
  • personenbezogene Daten werden nicht mehr für den Zweck gebraucht, für den sie verarbeitet wurden;
  • Widerruf der Einwilligung des Datensubjektes, ohne dass eine andere Rechtsgrundlage für die Verarbeitung vorhanden ist;
  • Einwand des Datensubjektes gegen die Verarbeitung, ohne dass andere geltende, begründete Gründe vorhanden sind; und
  • rechtswidrige Verarbeitung personenbezogener Daten. 

Die Gesellschaft legt einen Schwerpunkt auf die Verfolgung der erforderlichen Sicherheitsmaßnahmen bei der Löschung oder Anonymisierung. 

1.12 Veröffentlichung personenbezogener Daten in öffentlichen Medien und im Intranet

Die Gesellschaft darf personenbezogene Daten im Intranet, Internet oder anderen Medien nur im Falle der Einwilligung des betroffenen Datensubjektes veröffentlichen, außer in Sonderfällen, wenn andere Rechtsgrundlagen gelten. 

2. Grundlegende Begriffe/Abkürzungen

2.1 Datensubjekt

Eine identifizierte oder identifizierbare Person, dessen personenbezogene Daten verarbeitet werden; eine identifizierbare Person ist eine Person, die entweder mittelbar oder unmittelbar identifiziert werden kann, überwiegend unter Bezugnahme auf einen bestimmten Identifikator wie Name, Identifikations-Nr., Standortsdaten, Online-Identifikator oder eines oder mehrere Sonderelemente der physischen, physiologischen, genetischen,  psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der Person.

2.2 Datenverantwortlicher

Eine natürliche oder juristische Person, Behörde, Agentur oder ein anderes Organ, das alleine oder zusammen mit anderen, die Zwecke und Instrumente der Verarbeitung personenbezogener Daten bestimmt. 

2.3 Verarbeiter

Eine natürliche oder juristische Person, Behörde, Agentur oder ein anderes Organ, das personenbezogene Daten im Namen des Datenverantwortlichen verarbeitet.

2.4 Personenbezogene Daten

Jegliche Informationen über die identifizierte oder identifizierbare Person.

2.5 Sonderkategorie 

Personenbezogene Daten, die Informationen über die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Anschauungen oder Gewerkschaftsmitgliedschaft umfassen, sowie die Verarbeitung genetischer Daten, biometrischer Daten für die Zwecke der eindeutigen Identifikation einer natürlichen Person, Daten in Verbindung mit der Gesundheit oder Daten in Verbindung mit dem Sexualleben oder der sexuellen Orientation einer natürlichen Person.

2.6 GDPR

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

2.7 Nationales Datenschutzgesetz der Mitgliedstaaten

Von den Mitgliedstaaten in Übereinstimmung mit der DSGVO angenommene Rechtsvorschriften zum Schutz personenbezogener Daten.

2.8 Verarbeitung personenbezogener Daten 

Jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder einer Reihe an personenbezogenen Daten durchgeführt werden, ungeachtet ob automatisch oder nicht, wie z. B. Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Anfrage, Nutzung, Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, Kombination oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.

2.9 DSB

Datenschutzbeauftragte.

2.10 Anonymisierte Informationen 

Informationen, die sich nicht auf die identifizierte oder identifizierbare Person beziehen, einschließlich anonymisierte personenbezogene Daten, so dass das Datensubjekt nicht identifiziert wurde oder nicht identifiziert werden kann. 

2.11 Dritte Person

Jede juristische oder natürliche Person, die kein Mitarbeiter der Gesellschaft ist, außer des Datensubjektes. 

2.12 Einwilligung 

Jegliche frei abgegebene, spezifische, informierte und eindeutige Angabe der Wünsche des Datensubjektes, welche er oder sie in einer Erklärung oder durch eine positiv bejahende Handlung äußert und somit die Verarbeitung der ihn oder sie betreffenden personenbezogenen Daten akzeptiert.

Annex Nr. 1 – Fragebogen

GDPR Datensubjekt Fragebogen   

Information Memorandum   

Hinweise

  • Bitte, füllen Sie dieses Formular lesbar aus.
  • Unrichtige, nicht lesbare oder unvollständige Daten können eine unrichtige Verarbeitung oder eine Zurückweisung des Antrags nach sich ziehen.
  • Um den Antrag zu bearbeiten, kann ein Datensubjekt eindeutig wie folgt identifiziert werden:
    • Verifizierung der Unterschrift im Falle eines per Post eingereichten schriftlichen Antrags,
    • Identifikation auf Grund des Identifikationsausweises des Datensubjektes im Falle des persönlich eingereichten Antrags,
    • Elektronisch verifiziert bedeutet gesendet durch das Datensubjekt.
  • Der Antrag kann per Post an die registrierte Anschrift der Gesellschaft gesendet werden oder physisch an der registrierten Anschrift innerhalb der allgemeinen Geschäftszeiten eingereicht werden.
  • Der Antrag muss immer als „GDPR Antrag “ (z. B. auf einem Briefumschlag) gekennzeichnet werden, ansonsten kann die Verarbeitung prolongiert werden.
  • Im Falle der Vertretung des Datensubjektes, legen Sie bitte ein Dokument bei, auf dessen Grundlage Sie das Datensubjekt vertreten (Vollmacht).
  • E-Mail ist nicht obligatorisch und erleichtert die Bearbeitung des Antrags.

Im Falle jeglicher Fragen in Verbindung mit GDPR Anträgen, wenden Sie sich gerne an uns an die E-Mail-Adresse dataprotection@suncanihvar.com. Ebenso erinnern wir daran, dass E-Mail-Kommunikation kein 100% sicheres Kommunikationsmittel ist und die Sicherheit, die Quelle und die Zustellung nicht garantiert werden können.