Regulierung
Auf der Grundlage des Artikels 3 Abs. 1. der Datenschutz-Grundverordnung (EU) Nr. 2016/679 sowie des Art. 30 des Gesellschaftsvertrags der Gesellschaft Mon Perin d.d. Bale, Trg La Musa 2, Personenidentifikationsnummer (OIB) 06374155285, erlässt der Vorstand der Gesellschaft am 24. Mai 2018 die folgende
RICHTLINIE ÜBER DIE VERARBEITUNG UND DEN SCHUTZ PERSONENBEZOGENER DATEN
I. ALLGEMEINE BESTIMMUNGEN
Artikel 1
Angesichts des freien Verkehrs personenbezogener Daten ist die Gesellschaft Mon Perin d.d. Bale (im weiteren Textverlauf: Gesellschaft) für Zwecke des Schutzes personenbezogener Daten bei der Verarbeitung solcher Daten verpflichtet, die Datenschutz-Grundverordnung (EU) Nr. 2016/679 (im weiteren Textverlauf: Grundverordnung) und das Gesetz über die Anwendung der Datenschutz-Grundveroddnung (veröffentlicht im kroatischen Amtsblatt „Narodne novine“ Nr. (NN 42/18) anzuwenden.
Artikel 2
Die Gesellschaft gilt im Sinne des Art. 4 Ziffer 7 der Grundverordnung als Verantwortlicher der Verarbeitung von personenbezogenen Daten. In der Grundverordnung sind der Zweck und die Mittel der Verarbeitung von personenbezogenen Daten im Einklang mit der nationalen Gesetzgebung und/oder dem Recht der EU festgelegt.
Artikel 3
Im Sinne der Grundverordnung haben folgende Ausdrücke die folgende Bedeutung:
„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
„Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
„Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt;
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
„Einwilligung der betroffenen Person“ ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
„Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Artikel 4
Die personenbezogenen Daten von natürlichen Personen werden von der Gesellschaft rechtmäßig, fair und transparent verarbeitet. Es werden nur angemessene und erhebliche personenbezogene Daten verarbeitet, und zwar ausschließlich für festgelegte, eindeutige und legitime Zwecke. Sie werden nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet.
Die personenbezogenen Daten, die die Gesellschaft verarbeitet, sind sachlich richtig und erforderlichenfalls auf dem neusten Stand. Diejenigen personenbezogenen Daten, die unrichtig sind, werden unverzüglich gelöscht oder berichtigt.
Die Gesellschaft verarbeitet personenbezogene Daten ausschließlich in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch Anwendung geeigneter technischer und organisatorischer Maßnahmen;
Personenbezogene Daten werden von der Gesellschaft so lange gespeichert, wie es der Zweck erfordert, zu dem sie erhoben wurden. In der Regel werden Sie für die Dauer des Vertragsverhältnisses, und nach Ende des Vertragsverhältnisses so lange, wie es gesetzlich vorgeschrieben oder nach anwendbarem Recht erlaubt ist, gespeichert. Die Regeln der Gesellschaft, die sich auf die Speicherung von personenbezogenen Daten beziehen, enthalten anwendbare Verjährungsfristen und erfüllen die dafür vorgesehenen Rechtsvorschriften.
II. VERARBEITUNG VON PERSONENBEZOGENEN DATEN
Artikel 5
Die Gesellschaft verarbeitet personenbezogene Daten nur, wenn eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich;
- die Verarbeitung ist zur Erfüllung von rechtlichen Verpflichtungen der Gesellschaft erforderlich;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen der Gesellschaft oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Artikel 6
Die Einwilligung der betroffenen Person, die sie der Gesellschaft für die Verarbeitung der sie betreffenden personenbezogenen Daten gibt, erfolgt freiwillig, in schriftlicher Form, in einer leicht verständlichen, klaren und einfachen Sprache, mit klar angegebenem Zweck der Verarbeitung. Sie sollte keine missbräuchlichen Klauseln beinhalten.
Handelt es sich um die Verarbeitung von personenbezogenen Daten eines Kindes, dass das sechzehnte Lebensjahr noch nicht vollendet hat, so ist diese Verarbeitung nur rechtmäßig, wenn die in Absatz 1 dieses Artikels beschriebene Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird (Eltern oder Vormund des Kindes).
Die Einwilligung umfasst auch den Austausch von personenbezogenen Daten mit den folgenden Gesellschaften, die mit der Gesellschaft verbunden sind: Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o., Freelancer Jasmina Cuccurin (Italien), ebenso wie den Austausch von personenbezogenen Daten der betroffenen Person mit den Firmen Google Ireland, Facebok Ireland ltd., Instragam Inc.
Artikel 7
Im Verfahren der Verarbeitung von personenbezogenen Daten stellt die Gesellschaft in entsprechender Weise (schriftlich oder mündlich) der betroffenen Person alle Informationen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten bereit, vor allem über den Zweck der Datenverarbeitung, die Rechtsgrundlage der Datenverarbeitung, die berechtigten Interessen der Gesellschaft, die Absicht der Übermittlung der personenbezogenen Daten an Drittpersonen, den Zeitraum, in dem die personenbezogenen Daten gespeichert werden, die Rechte der betroffenen Person auf Auskunft über ihre personenbezogenen Daten und auf Berichtigung oder Löschung ihrer personenbezogenen Daten und über das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht u. a.
III. RECHTE DER BETROFFENEN PERSON
Artikel 8
Die Gesellschaft wird Anträge der betroffenen Personen oder ihres gesetzlichen Vertreters oder Bevollmächtigten unverzüglich, jedoch spätestens innerhalb eines Monats ab dem Tag er Zustellung des jeweiligen Antrags, bearbeiten und:
- die betroffene Person über den Zweck, für den ihre personenbezogenen Daten verarbeitet werden sollen, über die Kategorien personenbezogener Daten, die verarbeitet werden, über die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, denen die personenbezogenen Daten offengelegt wurden oder offengelegt werden sollen, über die vorgesehene Dauer, für die die personenbezogenen Daten gespeichert werden, und, falls die personenbezogenen Daten nicht von der betroffenen Person erhoben wurden, über die Quelle, aus die personenbezogenen Daten stammen, informieren;
- der betroffenen Person einen Ausdruck der sie betreffenden personenbezogenen Daten, die sich im Speichersystem befinden, zustellen;
- unrichtige Daten berichtigen oder Daten ergänzen;
- die personenbezogenen Daten der betreffenden Personn löschen, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder sofern die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützte, widerrufen hat.
Die in Abs. 1 dieses Artikels genannte Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die Gesellschaft wird die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung, unterrichten.
Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern die betroffene Person nichts anderes angibt.
Sollte der Antrag der betroffenen Person aus Abs. 1 dieses Artikels abgewiesen werden, so unterrichtet die Gesellschaft die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür.
Artikel 9
Die Informationen gemäß Art. 8 werden von der Gesellschaft unentgeltlich zur Verfügung gestellt.
Jedoch kann die Gesellschaft bei offenkundig unbegründeten oder exzessiven Anträgen der betroffenen Person ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung berücksichtigt werden.
Artikel 10
Sollte die betroffene Person der Ansicht sein, die Gesellschaft hätte eines ihrer Rechte, die ihr im Einklang mit der Grundverordnung zustehen, verletzt, kann sie bei der zuständigen Behörde einen Antrag auf Feststellung der Rechtsverletzung stellen.
IV. DATEISYSTEM
Artikel 11
Die Gesellschaft erhebt und verarbeitet die folgenden Kategorien von personenbezogenen Daten:
- Vor- und Zuname des Nutzers der Dienstleistung der Gesellschaft/der betroffenen Person
- Wohnsitzadresse/Aufenthaltsort der betroffenen Person
- Staatsangehörigkeit der betroffenen Person
- Geburtsdatum der betroffenen Person
- Geburtsstaat der betroffenen Person
- Geschlecht der betroffenen Person
- Bezeichnung des Personaldokument der betroffenen Person
- Angaben zur Zahlung, wie z. B. Kontonummern und sonstige Informationen in Bezug auf Karten, die als Zahlungsmittel verwendet werden
- E-Mail-Adresse der betroffenen Person
- Personenidentifikationsnummer (oder eine entsprechende Kennnummer der betroffenen Person, die nicht aus der Republik Kroatien kommt)
- Angaben zu Behinderungen der betroffenen Person
- IP-Adresse des Geräts, interne Identifikationsnummer, MAC-Adresse des Geräts, E-Mail-Adresse der Person, die ein WLAN-System nutzt, Ländercode des Landes, die ein WLAN-System nutzt, Datum und Uhrzeit des Einloggens ins System
- Telefonnummern/Handynummern
- Bezeichnung der Handelsgesellschaft und ihre Angaben (wenn die Handelsgesellschaft Dienstleistungsnutzer ist)
- Daten, die über die Videoüberwachung der Objekte und des Campingplatzes der Gesellschaft Mon Perin erhoben wurden
Darüber hinaus verarbeitet die Gesellschaft auch folgende Daten:
- personenbezogene Daten der Angestellten der Gesellschaft
- personenbezogene Daten zu Kandidaten, die im Rahmen von Stellenausschreibungen an einem Auswahlverfahren teilnehmen
- personenbezogene Daten von externen Mitarbeitern, im Einklang mit der separaten Richtlinie zum Schutz von personenbezogenen Daten aus Arbeitsverhältnissen, die den Angestellten (Arbeitern) und den externen Mitarbeitern der Gesellschaft zur Verfügung steht.
Artikel 12
Die Gesellschaft führt ein Verzeichnis aller Verarbeitungstätigkeiten in Bezug auf die im Artikel 11 dieser Richtline genannten personenbezogenen Daten. Das Verzeichnis befindet sich im Anhang dieser Richtlinie und ist Bestandteil dieser Richtlinie.
Das Verzeichnis der Verarbeitungstätigkeiten enthält mindestens folgende Angaben:
- den Namen und die Kontaktdaten der Gesellschaft, des Vertreters/der Vertreter der Gesellschaft und des Datenschutzbeauftragten
- den Zweck der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
Artikel 13
Der Vorstand der Gesellschaft verpflichtet sich, einen Beschluss über die für die Verarbeitung und den Schutz der personenbezogenen Daten aus Art. 11 dieser Richtlinie zuständigen Personen zu fassen.
V. DATENSCHUTZBEAUFTRAGTER
Artikel 14
Die Gesellschaft bennent einen Datenschutzbeauftragten.
Der Datenschutzbeauftragte muss über eine entsprechende Qualifikation verfügen und muss ein Angestellter der Gesellschaft sein.
Die Kontaktdaten des Datenschutzbeauftragten sind auf der Website der Gesellschaft zugänglich.
Der Datenschutzbeauftragte unterrichtet und berät die verantwortlichen Personen der Gesellschaft und der Angestellten, die Verarbeitungen von personenbezogenen Daten durchführen, hinsichtlich ihrer Pflichten nach der Grundverordnung, überwacht die Einhaltung der Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten, überwacht die Umsetzung der Rechte der betroffenen Personen und kooperiert mit der Aufsichtsbehörde.
Der Datenschutzbeauftragte ist zur Vertraulichkeit aller Informationen verpflichtet, die er während der Ausübung seiner Aufgaben erfährt.
VI. MASSNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN
Artikel 15
Um unbefugte Zugriffe auf personenbezogene Daten zu vermeiden, werden die Daten in Schriftform in Ordner, in zugeschlossene Schränke abgelegt. Daten, die im Computer gespeichert sind, werden durch einen Benutzernamen und ein Passwort geschützt, die nur diejenigen Angestellten kennen, die für die Verarbeitung personenbezogener Daten zuständig sind. Um eine zusätzliche Sicherheit und Vertraulichkeit der Daten zu gewährleisten, werden die personenbezogenen Daten auf externen Speichermedien gespeichert.
Artikel 16
Die Gesellschaft wird je nach Bedarf, aber vor allem bei der Veröffentlichung von Daten, die einer spezifischen betroffenen Person zugeordnet werden können, eine technisch Datenschutzmaßnahme der Pseudonymisierung treffen.
Artikel 17
Die für die Verarbeitung von personenbezogenen Daten zuständige Personen sind dazu verpflichtet, die personenbezogenen Daten vor vor unbeabsichtigtem Verlust oder unbeabsichtigter Zerstörung, vor unbefugtem Zugriff oder unbefugten Änderungen, vor unbefugten Veröffentlichungen und anderen Missbrauchsformen zu schützen.
VII. SCHLUSSBESTIMMUNGEN
Artikel 18
Diese Richtlinie tritt am Tag ihrer Veröffentlichung in Kraft.
Diese Richtlinie wird auch auf der Website der Gesellschaft veröffentlicht: www.www.camping-monperin.hr
Mon Perin d.d., Bale
Massimo Piutti
Präsident des Vorstands
ANHANG
Verzeichnisformular der Verarbeitungstätigkeiten
VERZEICHNIS DER TÄTIGKEITEN DER VERARBEITUNG VON PERSONENBEZOGENEN DATEN
Verantwortlicher:
Die Gesellschaft „Mon Perin d.d.“
Adresse: Trg La Musa 2
Sitz: Bale
Telefonnummer: +385 (0)52 824 338
Fax: +385 (0)52 824 282
E-Mail: [email protected]
Verantwortliche Person der Gesellschaft:
Massimo Piutti, Präsident des Vorstands, und Ivan Maričić, Vorstandsmitglied
Datenschutzbeauftragter
Telefonnummer: +385 (0)52 824 338
E-Mail: [email protected]
Zweck der Verarbeitung (Beschreibung):
Verarbeitung von personenbezogenen Daten der betroffenen Personen
Rechtsgrundlage der Verarbeitung:
- Verordnung und Rechtsvorschriften,
- berechtigte Interessen der Gesellschaft;
- Erfüllung der vertraglichen Pflichten der Gesellschaft;
- Einwilligung
Form der Einwilligung der betroffenen Personen für die Erhebung und Verarbeitung ihrer personenbezogenen Daten:
schriftliche Einwilligung der betroffenen Personen
Kategorien der betroffenen Personen und der Daten
- Gäste
- Angestellte
- Geschäftspartner
Datenkategorien:
- Vor- und Zuname des Nutzers der Dienstleistung der Gesellschaft/der betroffenen Person
- Wohnsitzadresse/Aufenthaltsort der betroffenen Person
- Staatsangehörigkeit der betroffenen Person
- Geburtsdatum der betroffenen Person
- Geburtsstaat der betroffenen Person
- Geschlecht der betroffenen Person
- Bezeichnung des Personaldokument der betroffenen Person
- Angaben zur Zahlung, wie z. B. Kontonummern und sonstige Informationen in Bezug auf Karten, die als Zahlungsmittel verwendet werden
- E-Mail-Adresse der betroffenen Person
- Personenidentifikationsnummer (oder eine entsprechende Kennnummer der betroffenen Person, die nicht aus der Republik Kroatien kommt)
- Angaben zu Behinderungen der betroffenen Person
- IP-Adresse des Geräts, interne Identifikationsnummer, MAC-Adresse des Geräts, E-Mail-Adresse der Person, die ein WLAN-System nutzt, Ländercode des Landes, die ein WLAN-System nutzt, Datum und Uhrzeit des Einloggens ins System
- Telefonnummern/Handynummern
- Bezeichnung der Handelsgesellschaft und ihre Angaben (wenn die Handelsgesellschaft Dienstleistungsnutzer ist)
Darüber hinaus verarbeitet die Gesellschaft auch folgende Daten:
- personenbezogene Daten der Angestellten der Gesellschaft
- personenbezogene Daten zu Kandidaten, die im Rahmen von Stellenausschreibungen an einem Auswahlverfahren teilnehmen
- personenbezogene Daten von externen Mitarbeitern, im Einklang mit der separaten Richtlinie zum Schutz von personenbezogenen Daten aus Arbeitsverhältnissen, die den Angestellten (Arbeitern) und den externen Mitarbeitern der Gesellschaft zur Verfügung steht.
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden:
Tourismusministerium, Kroatien Tourismuszentrale, e-visitor, Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o. (Kroatien), Freelancer Jasmina Cuccurin (Italien), ebenso wie den Austausch von personenbezogenen Daten der betroffenen Person mit den Firmen Google Ireland, Facebok Ireland ltd., Instragam Inc.
Vorgesehene Fristen der Löschung von personenbezogenen Daten: Personenbezogene Daten werden von der Gesellschaft so lange gespeichert, wie es der Zweck erfordert, zu dem sie erhoben wurden. In der Regel werden Sie für die Dauer des Vertragsverhältnisses, und nach Ende des Vertragsverhältnisses so lange, wie es gesetzlich vorgeschrieben oder nach anwendbarem Recht erlaubt ist, gespeichert. Die Regeln der Gesellschaft, die sich auf die Speicherung von personenbezogenen Daten beziehen, enthalten anwendbare Verjährungsfristen und erfüllen die dafür vorgesehenen Rechtsvorschriften.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
Daten in Papierform werden in der Akte, in zugeschlossenen Brandschutzschränken aufbewahrt. Daten, die im Computer gespeichert sind, werden durch einen Benutzernamen und ein Passwort geschützt, die nur diejenigen Angestellten kennen, die für die Verarbeitung personenbezogener Daten zuständig sind. Um eine zusätzliche Sicherheit und Vertraulichkeit der Daten zu gewährleisten, werden die personenbezogenen Daten auf externen Speichermedien gespeichert.