GDPR-Datenschutzhinweis

ATPI GDPR Datenschutzhinweis

1. Zweck dieses GDPR-Datenschutzhinweises

Dieser Datenschutzhinweis zur DSGVO enthält verpflichtende Informationen gemäß Artikel 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) bezüglich der Transparenz der Verarbeitung personenbezogener Daten. Definitionen bestimmter Begriffe in diesem Datenschutzhinweis zur DSGVO werden im Anhang erläutert.

Im Vereinigten Königreich gilt der General Data Protection Act 2018 (DPA2018) für die Verarbeitung personenbezogener Daten. Der DPA2018 Teil 2 erkennt die DSGVO an und stimmt mit ihr überein; in diesem Dokument werden die Anforderungen der DSGVO daher als die Verarbeitung von Daten in der EU, im EWR und im Vereinigten Königreich umfassend angesehen, sofern nicht anders angegeben.

2. Der Data Controller für persönliche Daten

Der Verantwortliche für die von uns verarbeiteten personenbezogenen Daten ist das Kundenunternehmen von ATPI (der Arbeitgeber der natürlichen Person, deren Daten erhoben werden, im Folgenden als betroffene Person bezeichnet). Der Verantwortliche wird die personenbezogenen Daten seiner Mitarbeiter an ATPI weitergeben, um Reisen im Namen dieser Mitarbeiter im Zusammenhang mit deren Geschäftstätigkeit zu verwalten. ATPI wird als Auftragsverarbeiter, der auf Anweisung des Verantwortlichen und gemäß einem schriftlichen Vertrag mit diesem handelt, diese personenbezogenen Daten anschließend verwenden, um Reisevorkehrungen für die betroffene Person zu erleichtern. Dieser Vertrag bildet die „Rechtsgrundlage“ für die Verarbeitung personenbezogener Daten, die ATPI unter diesen Umständen durchführt.

ATPI ist nur dann Verantwortlicher, wenn es personenbezogene Daten direkt von einer betroffenen Person im Zusammenhang mit einem separaten Vertrag mit dieser erhebt. ATPI fungiert auch als Verantwortlicher für alle personenbezogenen Daten, die über eigene Mitarbeiter gespeichert sind, und verarbeitet Daten gemäß ihrem Arbeitsvertrag mit diesen betroffenen Personen. In beiden Fällen verarbeitet ATPI personenbezogene Daten gemäß Artikel 6 Absatz 1 Buchstabe b der DSGVO (Erfüllung eines Vertrags) und Abschnitt 8 des DPA2018.

3. Ihre Rechte

Als betroffene Person haben Sie im Rahmen der Datenschutz-Grundverordnung Rechte. Diese Rechte können Sie unten einsehen. ATPI wird Ihre Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten stets in vollem Umfang respektieren und hat unten die Angaben zu der Person aufgeführt, an die Sie sich wenden können, wenn Sie Bedenken oder Fragen in Bezug auf die Verarbeitung Ihrer Daten durch uns haben oder wenn Sie Ihre Rechte gemäß der DSGVO ausüben möchten.

4. Kontakt Details

Die Identität und Kontaktdaten des Datenschutzbeauftragten von ATPI lauten wie folgt:

Nikki Matthews, General Counsel
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
Vereinigtes Königreich

5. Grundsätze des Datenschutzes

ATPI hat die folgenden Grundsätze für die Erhebung und Verarbeitung personenbezogener Daten angenommen:

• Personenbezogene Daten werden auf rechtmäßige, faire und transparente Weise verarbeitet.
• Es werden nur die personenbezogenen Daten erhoben, die speziell zur Erfüllung von Reise-, Unterkunfts- oder anderen reisebezogenen Anforderungen erforderlich sind. Diese Daten können direkt von der betroffenen Person erhoben oder ATPI über deren Arbeitgeber zur Verfügung gestellt werden. Diese Daten werden nur zu diesem Zweck verarbeitet.
• Personenbezogene Daten werden nur so lange aufbewahrt, wie sie zur Erfüllung vertraglicher Anforderungen oder zur Bereitstellung von Statistiken für unser Kundenunternehmen erforderlich sind.
• Personenbezogene Daten müssen angemessen und relevant sein und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie erhoben und/oder verarbeitet werden, erforderlich ist. Personenbezogene Daten müssen korrekt sein und, falls erforderlich, auf dem neuesten Stand gehalten werden.
• Die betroffene Person hat das Recht, von ATPI Zugang zu ihren personenbezogenen Daten und deren Berichtigung oder Löschung zu verlangen, Widerspruch gegen die Verarbeitung der Daten einzulegen oder eine Einschränkung der Verarbeitung zu verlangen, sowie das Recht auf Datenübertragbarkeit. In jedem Fall muss ein solcher Antrag schriftlich gestellt werden, wie in Abschnitt 3 oben beschrieben. ATPI ist bei der alternativen Streitbeilegungsstelle (ADR) JAMS in den USA registriert und die betroffenen Personen können sich an JAMS wenden, wenn sie der Meinung sind, dass der Streit zwischen ihnen und ATPI nicht beigelegt werden kann.
• Die betroffene Person hat das Recht, eine Beschwerde direkt bei einer Aufsichtsbehörde (Datenschutzbehörde) in ihrem eigenen Land einzureichen. ATPI nutzt die EU-Datenschutzbehörden (DPAs) als unabhängigen Regressmechanismus (IRM) unserer Organisation für Daten, die aus der EU übertragen werden.
• Personenbezogene Daten werden nur auf der Grundlage der oben in Abschnitt 2 erläuterten Rechtsgrundlage verarbeitet, es sei denn, diese Interessen werden durch die Grundrechte und -freiheiten der betroffenen Person, die immer Vorrang haben, überlagert. Wenn die betroffene Person eine spezifische zusätzliche Einwilligung in die Verarbeitung gegeben hat, kann diese Einwilligung jederzeit widerrufen werden (kann dann aber dazu führen, dass die Reiseanforderungen nicht erfüllt werden können).
• ATPI wird keine personenbezogenen Daten für Überwachungs- oder Profiling-Aktivitäten oder -Prozesse verwenden und keine automatisierten Entscheidungsprozesse einsetzen.

6. Übertragungen an Dritte

Zur Erfüllung der Reisevorkehrungen für eine betroffene Person wird es in den meisten Fällen notwendig sein, personenbezogene Daten über einen Dritten zu verarbeiten (dazu gehören unter anderem Fluggesellschaften, Hotels, Mietwagenfirmen sowie Visa- oder Passunternehmen). Personenbezogene Daten dürfen nur an Drittunternehmen übermittelt oder von diesen verarbeitet werden, wenn diese Unternehmen für die Erfüllung der Reisevorkehrungen notwendig sind.

Personenbezogene Daten dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) oder des Vereinigten Königreichs übermittelt werden, es sei denn, die Übermittlung erfolgt in ein Land oder Gebiet, das von der EU als Land mit einem angemessenen Datenschutzniveau anerkannt ist, oder erfolgt mit Zustimmung der betroffenen Person, oder erfolgt zur Wahrung des berechtigten Interesses von ATPI im Hinblick auf seine vertraglichen Vereinbarungen mit seinen Kunden.

Alle internen Konzernübermittlungen personenbezogener Daten unterliegen schriftlichen Vereinbarungen gemäß dem Intra Group Data Transfer Agreement (IGDTA) des Unternehmens für interne Datenübermittlungen, die auf Standardvertragsklauseln basieren, die von der Europäischen Datenschutzbehörde anerkannt sind.

Anhang – Definitionen bestimmter oben genannter Begriffe:

Personenbezogene Daten:
(Artikel 4 der DSGVO): „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verarbeitung:

(Artikel 4 der DSGVO): bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten oder Datensätzen durchgeführt wird, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, das Löschen oder die Vernichtung.

Rechtsgrundlage für die Verarbeitung:
(Artikel 6 der DSGVO): Mindestens eine davon muss zutreffen, wenn personenbezogene Daten verarbeitet werden:

1. Einwilligung: Die betroffene Person hat ihre eindeutige Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck gegeben.
2. Vertrag: Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich.
3. Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (nicht einschließlich vertraglicher Verpflichtungen).
4. Lebenswichtige Interessen: Die Verarbeitung ist zum Schutz lebenswichtiger Interessen einer Person erforderlich.
5. Öffentliche Aufgabe: Die Verarbeitung ist zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich, und die Aufgabe oder Funktion hat eine klare Rechtsgrundlage.
6. Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich, es sei denn, es gibt einen triftigen Grund zum Schutz der personenbezogenen Daten der betroffenen Person, der diese berechtigten Interessen überwiegt.

Verantwortlicher:
(Artikel 4 der DSGVO): Dies bezeichnet die Person oder das Unternehmen, die/das die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

Auftragsverarbeiter:
(Artikel 4 der DSGVO): bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Rechte der betroffenen Person:
(Kapitel 3 der DSGVO) Jede betroffene Person hat acht Rechte. Diese sind:

1. Das Recht auf Information; Dies bedeutet, dass jeder, der Ihre personenbezogenen Daten verarbeitet, klar darlegen muss, was er verarbeitet, warum und an wen die Daten weitergegeben werden dürfen.
2. Das Auskunftsrecht; dies ist Ihr Recht zu erfahren, welche Daten ein Verantwortlicher über Sie gespeichert hat.
3. Das Recht auf Berichtigung; das Recht, Ihre Daten korrigieren oder ändern zu lassen, wenn die gespeicherten Daten in irgendeiner Weise unrichtig sind.
4. Das Recht auf Löschung; unter bestimmten Umständen können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Dies wird auch als „Recht auf Vergessenwerden“ bezeichnet. Dies würde zutreffen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, Ihre Einwilligung zur Verarbeitung dieser Daten widerrufen wurde oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
5. Das Recht auf Einschränkung der Verarbeitung; dies gibt der betroffenen Person das Recht, eine vorübergehende Einstellung der Verarbeitung personenbezogener Daten zu verlangen, wie in Fällen, in denen ein Streit oder ein Rechtsstreit abgeschlossen werden muss oder die Daten korrigiert werden.
6. Das Recht auf Datenübertragbarkeit; eine betroffene Person hat das Recht, alle von ihr direkt an den Verantwortlichen übermittelten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
7. Das Widerspruchsrecht; die betroffene Person hat das Recht, einer weiteren Verarbeitung ihrer Daten zu widersprechen, die mit dem ursprünglichen Zweck der Erhebung unvereinbar ist, einschließlich Profiling, automatisierter Entscheidungsfindung und Direktmarketing.
8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling; Betroffene Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht.