1. EINFÜHRUNG
GAT d.o.o. turistička agencija, Osipovica 31, 52203 Medulin, ID: HR-AB-52-140115916 (im weiteren Text : GAT) führt personenbezogene Datenschutzmaßnahmen gemäß dem Datenschutzgesetz (DSGVO), gesetzlichen und aufsichtsrechtlichen Verpflichtungen aus. Der Geschäftsführer von GAT ist fest entschlossen, die kontinuierliche und effektive Etablierung dieser Politik sicherzustellen und erwartet dies auch von seinen Mitarbeitern und Geschäftspartnern. Jeder Verstoß gegen diese Richtlinie kann zu Disziplinarmaßnahmen oder geschäftlichen Sanktionen führen. Diese Richtlinie erwartet ein bestimmtes Verhalten von GAT, ihren Fest-, Temporär- und Gelegenheitsangestellten sowie derer Geschäftspartnern und Dritten in Bezug auf die Erhebung, Verwendung, Verwahrung, Übertragung, Offenlegung oder Löschung der personenbezogenen Daten, die in den Geschäftsprozessen von GAT verarbeitet werden.
2. BEGRIFFSBESTIMMUNGEN
- „personenbezogene Daten“ : alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
- „Verarbeitung“ : jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
- „Einschränkung der Verarbeitung“ : die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
- „Profiling“ : jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
- „Pseudonymisierung“ : die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
- „Dateisystem“ : jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
- „Verantwortlicher“ : die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
- „Auftragsverarbeiter“ : eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
- „Empfänger“ : eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
- „Dritter“ : eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
- „Einwilligung“ : der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
- „Verletzung des Schutzes personenbezogener Daten“ : eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
- „genetische Daten“ : personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
- „biometrische Daten“ : mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
- „Gesundheitsdaten“ : personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
- „Hauptniederlassung“ :
- im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
- im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
- „Vertreter“ : eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
- „Unternehmen“ : eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
- „verbindliche interne Datenschutzvorschriften“ : Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
- „Aufsichtsbehörde“ : eine von einem Mitgliedstaat eingerichtete unabhängige staatliche Stelle;
- „grenzüberschreitende Verarbeitung“ entweder
- eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
- eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
- „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
3. DATENERHEBUNG
Durch verschiedene Formen der Interaktion mit GAT (Nutzung der Website, senden einer Anfrage per E-Mail oder Post) werden personenbezogene Daten gesammelt, die Folgendes enthalten, aber nicht darauf beschränkt sind :
- - Name, Vorname,
- - E-Mail,
- - Telefonnummer,
- - Anschrift,
- - Datum und Geburtsjahr,
- - Gesundheitsdaten.
G
GAT kann durch verschiedene Formen der Interaktion auch Daten erfassen, die nicht zur Gruppe personenbezogener Daten gehören, aber nicht darauf beschränkt sind :
- - Standortdaten,
- - den Typ und die Version des von Ihnen verwendeten Internetbrowsers,
- - die Art der Nutzung der Website von GAT.
3.1. DATENVERWENDUNG
GAT verwendet personenbezogene Daten für folgende Zwecke :
- Erbringung von Dienstleistungen den Kunden gegenüber in Übereinstimmung mit den vertraglichen Verpflichtungen – GAT kann personenbezogene Daten während der Bereitstellung von vertraglich vereinbarten Dienstleistungen verwenden sowie zur Realisierung der Zusammenarbeit durch verschiedene Formen der Kommunikation.
- Marketing- und Verkaufsaktivitäten – GAT kann personenbezogene Daten nutzen, um über neue Vorteile, Rabatte oder ähnliche Aktivitäten zu informieren.
- Mitarbeiterschutz – GAT kann personenbezogene Daten weitergeben, insofern GAT der Meinung ist, dass diese zum Schutz und zur Gesundheit seiner Mitarbeiter, Besucher, Eigentums und/oder Nutzers notwendig oder angemessen ist.
- Gesetzliche Verpflichtung zur Meldung und Verarbeitung von Daten.
-
3.2. DATENERHEBUNG
Die Datenerhebung personenbezogener Daten erfolgt auf folgende Weisen :
- Direkt von der betroffenen Person – indem die betroffene Person GAT per E-Mail mit einer Anfrage kontaktiert, indem sich die betroffene Person auf der Website von GAT registriert oder indem die betroffene Person die Räumlichkeiten von GAT aufsucht,
- Indirekt – Informationen, die sich auf anderen Websites befinden und öffentlich zugänglich sind (z.B. Websites, soziale Netzwerke, offenes Forum), Daten durch Verwendung von Cookies, Links und ähnlichen Technologien.
4. COOKIES
Cookies ermöglichen GAT statistische Daten zum Nutzverhalten unter www.gat.hr zu sammeln (z.B. auf welchen Teilen während des Internetauftritts sich die Nutzer am längsten und am kürzesten aufhalten), welcher Internetbrowser dabei genutzt wird (z.B. Internet Explorer, Opera, Safari, Google Chrome, Firefox) und Ähnliches. Cookies sind kleine Datenmengen, die von der Website von GAT an den Computer des Benutzers gesendet werden und als anonyme Kennung dienen. Cookies dienen auch dazu, die Navigation durch die Webseiten zu erleichtern (z.B. müssen Sie nicht jedes Mal Ihre Registrieungsdaten neu eingeben). Cookies werden nicht dazu verwendet, um auf Nutzerdaten zuzugreifen oder Nutzeraktivitäten zu verfolgen, nachdem Sie die Website von GAT verlassen haben. GAT behält sich das Recht vor, Cookies auf der Website zu verwenden, allerdings kann jeder Benutzer den Empfang von Cookies durch „Bearbeiten/Ändern“ der Einstellungen in seinem Internetbrowser verbieten.
5. DIGITALES MARKETING
GAT verschickt Werbematerial über digitale Kommunikationskanäle, denjenigen, die einer solchen Kommunikationsform eingewilligt haben. Nutzer haben jederzeit das Recht den Promotion-Service zu deaktivieren. GAT stellt die notwendigen Tools zur Verfügung, um aus der Benachrichtungsdatenbank gelöscht zu werden. Der Nutzer wird zum Zeitpunkt des ersten Kontakts oder in einer beliebigen Phase der Ausübung der Dienstleistungen über die Verwendung seiner Daten für digitale Marketingzwecke informiert.
6. ANFORDERUNGEN DER NUTZER
GAT gewährleistet die Ausübung von Nutzerrechten in Bezug auf folgendes :
- - Datenzugang,
- - Einspruch gegen die Datenverarbeitung,
- - Einschränkung der Datenverarbeitung,
- - Datenübertragung,
- - Korrektur der Daten,
- - Datenlöschung.
Der Antrag eines Nutzers auf seine Rechte wird schriftlich oder mündlich gestellt. Wenn eine Person einen Antrag zu einem der oben genannten Rechte stellt, wird GAT einen solchen Antrag in Übereinstimmung mit allen anwendbaren Gesetzen und Vorschriften zum Datenschutz prüfen. GAT behält sich das Recht vor, in Ausnahmefällen, in denen Anfragen unangemessen sind, Kosten für die Bearbeitung von Kundenanfragen zu berechnen. Benutzer haben das Recht, auf der Grundlage des eingereichten Antrags und nach erfolgreicher Überprüfung ihrer Identität auf Folgendes hingewiesen zu werden :
- - - Zweck der Verarbeitung personenbezogener Daten;
- - die Quelle der personenbezogenen Daten, insofern diese nicht vom Nutzer bereitgestellt wurden;
- - die Kategorie personenbezogener Daten;
- - Empfänger oder Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden können sowie den Standort dieser Empfänger;
- - die beabsichtigte Aufbewahrungszeit der personenbezogenen Daten oder eine Erläuterung für die geplante Aufbewahrungszeit;
- - die Verwendung automatisierter Entscheidungen, einschließlich der Profilerstellung;
Alle Anträge auf Zugang oder Berichtigung personenbezogener Daten sind an den Geschäftsführer von GAT zu richten, der nach Erhalt jeden Antrag evidentiert. Nach Erhalt des schriftlichen Antrags ist mit einer Rückmeldung innerhalb von 30 Tagen zu rechnen. Sollte es innerhalb von 30 Tagen nicht möglich sein vollständig zu antworten, ist folgendes dem Antragsteller zu melden :
- - Bestätigung des eingegangen Antrags;
- - alle Informationen, die vorliegen;
- - Angaben zu den angeforderten Informationen oder Änderungen, die an den Antragsteller nicht weitergeleitet werden, den Grund für die Ablehnung sowie die möglichen Beschwerdeverfahren;
- - das vorrausichtliche Datum, zu dem die restlichen Angaben übermittelt werden;
- - anfallende Kosten, die der Antragsteller übernehmen muss (insofern der Antrag übermäßig ist);
- - Name und Kontaktinformation der Einzelpersonen/Unternehmen, an die sich der Antragsteller für weitere Informationen wenden kann;
7. AUFBEWAHRUNGSZEIT DER PERSONENBEZOGENEN DATEN
GAT wird personenbezogene Daten nicht länger als erforderlich aufbewahren, in Bezug auf deren Zweck für den sie erhoben wurden oder für die eine rechtliche oder vertragliche Frist festgelegt wurde. Die genauen Aufbewahrungszeiten finden Sie unter „Datenschutzrichtlinie“. Unter Berücksichtigung der minimalen und maximalen gesetzlichen und vertraglichen Verpflichtungen. Nach Ablauf der Aufbewahrungsfrist wird GAT die personenbezogenen Daten so löschen, dass sie nicht rekonstruiert oder gelesen werden können.
8. INTERNE DATENSCHUTZVORSCHRIFTEN
GAT führt physiche, technische und organisatorische Maßnahmen durch, um die Sicherheit der personenbezogenen Daten zu gewährleisten (z.B. Verhinderung von Verlust oder Beschädigung, unbefugte Änderungen, Zugriff, Verarbeitung und andere Bedrohungen, denen personenbezogene Daten durch menschliche Aktivitäten ausgesetzt sein können). Die Mindestanzahl an Sicherheitsmaßnahmen, die GAT zum Schutz personenbezogener Daten vornimmt, sind im Dokument „Informationssicherheitspolitik“ und anderen damit verbundenen Richtlinien und Verfahren aufgeführt. Die ergriffenen Sicherheitsmaßnahmen haben Folgendes zum Ziel :
- verhindern, dass unbefugte Zugang zu einem Datenverarbeitungssystem erhalten, dass personenbezogene Daten verarbeitet;
- verhindern, dass Personen, die das Recht haben, das Datenverarbeitungssystem zu nutzen, auf personenbezogene Daten zugreifen, die außerhalb ihrer Notwendigkeiten und Befugnisse sind;
- sicherstellen, dass personenezogene Daten bei der elektronischen Übertragung oder während der Übertragung nicht ohne Genehmigung gelesen, kopiert geändert oder gelöscht werden;
- die Verfügarkeit des Datenverarbeitungssystems sichern, um feststellen zu können, von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden;
- sicherstellen, dass im Falle einer Datenverarbeitung seitens eines Auftragsverarbeiters, die Daten nur gemäß den Anweisungen des Verarbeitungsverwalters verarbeitet werden können,
- sicherstellen, dass personenbezogene Daten vor unberechtigter Zerstörung oder Verlustes geschützt sind;
- sicherstellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben wurde, auch separat bearbeitet werden können;
- sicherstellen, dass perseonenbezogene Daten nicht länger als nötig aufbewahrt werden.
9. ANFORDERUNGEN DURCH RECHTVORSCHRIFTEN
Unter bestimmten Umständen ist es erlaubt personenbezogene Daten ohne Wissen oder Zustimmung der betroffenen Person weiterzugeben. Die Offenlegung personenbezogener Daten ist zu folgenden Zwecken erlaubt :
- - Prävention oder Aufdeckung von Straftaten,
- - Festnahme oder Verfolgung des Täters,
- - Veranlagung oder Erhebung von Steuern oder Gebühren,
- - durch richterliche Anordnung oder ein anderes Gesetz.
10. DATENÜBERTRAGUNG
GAT behält sich das Recht vor, personenbezogene Daten innerhalb der Unternehmensgruppe sowie an Dritte zu übertragen, wobei der Grundsatz des angemessenen Rechtschutzes für die Rechte und Freiheiten der Nutzer zu beachten ist.
Die Übermittlung der personenbezogenen Daten erfolgt nur, wenn mindestens eine der folgenden Bedingungen erfüllt ist :
- die Übertragung ist notwendig für die Erfüllung der vertraglichen Verpflichtungen/Dienstleistungen;
- die Übertragung ist notwendig für die Umsetzung der Vorsorgemaßnahmen, die auf Wunsch der betroffenen Person getroffen wurden,
- die Übertragung ist notwendig für den Abschluss oder die Ausführung eines mit einem Dritten im Interesse der betroffenen Person geschlossenen Vertrags;
- die Übertragung ist aufgrund wichtiger öffentlicher Interessen rechtsverbindlich;
- die Übertragung ist notwendig für die Errichtung, Durchsetzung oder Verteidigung von gesetzlichen Anforderungen;
- die Übertragung ist wichtig, um die lebenswichtigen Interessen der betroffenen Person zu schützen.
10.1. DATENÜBERTRAGUNG ZWISCHEN DEN FILIALEN
Um effizient Geschäfte zu tätigen, kann es dazu kommen, dass es notwendig ist, personenbezogene Daten von einer Filiale in eine andere zu übertragen. In diesem Fall ist GAT für den Schutz der übermittelten personenbezogenen Daten verantwortlich. GAT verwaltet die Übermittlung personenbezogener Daten zwischen Zweigstellen, bei denen der Empfänger im Drittland ist, mit klar definierten Sicherheitsmaßnahmen. Bei der Übermittlung personenbezogener Daten an ein anderes Unternehmen mit Sitz in einem Drittland werden folgende Schutzmaßnahmen angewendet :
- es werden nur diejenigen Daten weitergeleitet, die für einen bestimmten Übertragungszweck benötigt werden (z.B. um eine Transaktion abzuschließen oder eine bestimmte Dienstleistung zu erbringen);
- während der Übertragung der personenbezogenen Daten werden angemessene Sicherheitsmaßnahmen gewährleistet (einschließlich Passwortschutz und Verschlüsselung, falls erforderlich).
11. BESCHWERDEN
Bei Beschwerden bezüglich der Einhaltung dieser und anderer datenschutzrelevanter Richtlinien wenden Sie sich bitte an gat@pu.t-com.hr. Im Falle einer Beschwerde werden wir die gesamte Situation in Bezug auf die Verwendung und Offenlegung von personenbezogenen Daten in Übereinstimmung mit diesen Richtlinien untersuchen und versuchen sie so schnell wie möglich zu lösen.
12. PERSÖNLICHER DATENSCHUTZ VON KINDERN
GAT ist als Reisebüro auf die Erfüllung vertraglich vereinbarter Dienstleistungen konzentriert, womit die Website von GAT nicht für Minderjährige gedacht ist. Ausgenommen sind Leistungen, die mit vorheriger Zustimmung von Erziehungsberechtigten (z.B. Eltern, Pflegeeltern) durchgeführt werden (Einwilligung ducrh den Träger der elterlichen Verantwortung).
13. KONTAKT
Kontaktinformationen des Datenschutzbeauftragten :
Bernobić Alen, tel : 098 335213, e-mail :gat@pu.t-com.hr
GAT – TURISTIČKA AGENCIJA d.o.o. za turizam i turistička agencija
Osipovica 31, 52203 Medulin, Hrvatska
Handelsgericht : Trgovački sud u Pazinu
Registernummer (MBS) : 040115916
(OIB) : 78253818338
ID kod: HR-AB-52-140115916
Tel : +385 98 335213
Tel/Fax : +385 52 576799
e-mail:gat@pu.t-com.hr