Datenschutz

GDPR-Datenschutzhinweis

Allgemeine Datenschutzverordnung (GDPR) Artikel 13 der Verordnung EU 2016/679

ATPI GDPR Datenschutzhinweis

1. Zweck dieses GDPR-Datenschutzhinweises

Dieser GDPR-Datenschutzhinweis enthält die obligatorischen Informationen, die gemäß Artikel 13 und 14 der Europäischen Datenschutzgrundverordnung (GDPR) in Bezug auf die Transparenz der Verarbeitung personenbezogener Daten erforderlich sind. Definitionen bestimmter Begriffe in dieser GDPR-Datenschutzmitteilung werden im Anhang erläutert. Im Vereinigten Königreich gilt das Allgemeine Datenschutzgesetz 2018 (DPA2018) für die Verarbeitung personenbezogener Daten. Der DPA2018 Teil 2 erkennt die DSGVO an und stimmt mit ihr überein; in diesem Dokument wird daher davon ausgegangen, dass die Anforderungen der DSGVO die Verarbeitung von Daten in der EU, dem EWR und dem Vereinigten Königreich umfassen, sofern nicht anders angegeben.

2. Der Data Controller für persönliche Daten

Der Datenverantwortliche für die von uns verarbeiteten personenbezogenen Daten ist das Kundenunternehmen von ATPI (der Arbeitgeber der natürlichen Person, deren Daten erfasst werden, im Folgenden als betroffene Person bezeichnet). Der für die Verarbeitung Verantwortliche wird die personenbezogenen Daten seiner Mitarbeiter an ATPI weitergeben, um die Reisen im Namen dieser Mitarbeiter im Zusammenhang mit ihrem Geschäft zu verwalten. ATPI, als Datenverarbeiter, der auf Anweisung des für die Verarbeitung Verantwortlichen im Rahmen eines schriftlichen Vertrags mit diesem handelt, wird diese personenbezogenen Daten anschließend verwenden, um die Reisearrangements für die betroffene Person zu erleichtern. Dieser Vertrag bildet die “Rechtsgrundlage” für die von ATPI unter diesen Umständen durchgeführte Verarbeitung personenbezogener Daten. ATPI ist nur dann ein für die Datenverarbeitung Verantwortlicher, wenn es personenbezogene Daten direkt von einer betroffenen Person im Zusammenhang mit einem separaten Vertrag mit dieser Person erhebt. ATPI agiert auch als Data Controller für alle personenbezogenen Daten seiner eigenen Mitarbeiter, indem es Daten im Rahmen seines Arbeitsvertrags mit diesen betroffenen Personen verarbeitet. In beiden Fällen verarbeitet ATPI personenbezogene Daten gemäß Artikel 6.1(b) der DSGVO (Erfüllung eines Vertrags) und Abschnitt 8 des DSG2018.

3. Ihre Rechte

Als betroffene Person haben Sie im Rahmen der Datenschutz-Grundverordnung Rechte. Diese Rechte können Sie unten einsehen. ATPI wird Ihre Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten stets in vollem Umfang respektieren und hat unten die Angaben zu der Person aufgeführt, an die Sie sich wenden können, wenn Sie Bedenken oder Fragen in Bezug auf die Verarbeitung Ihrer Daten durch uns haben oder wenn Sie Ihre Rechte gemäß der DSGVO ausüben möchten.

4. Kontakt Details

Die Identität und Kontaktdaten des Datenschutzbeauftragten bei ATPI lauten wie folgt: Nikki Matthews, General Counsel
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
Vereinigtes Königreich

5. Grundsätze des Datenschutzes

ATPI hat die folgenden Grundsätze für die Erhebung und Verarbeitung personenbezogener Daten angenommen:

  • Personenbezogene Daten werden auf rechtmäßige, faire und transparente Weise verarbeitet.
  • Es werden nur die personenbezogenen Daten erhoben, die speziell zur Erfüllung von Reise-, Unterkunfts- oder anderen reisebezogenen Anforderungen erforderlich sind. Diese Daten können direkt von der betroffenen Person erhoben oder ATPI über deren Arbeitgeber zur Verfügung gestellt werden. Diese Daten werden nur zu diesem Zweck verarbeitet.
  • Personenbezogene Daten werden nur so lange aufbewahrt, wie sie zur Erfüllung vertraglicher Anforderungen oder zur Bereitstellung von Statistiken für unser Kundenunternehmen erforderlich sind.
  • Personenbezogene Daten müssen angemessen und relevant sein und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie erhoben und/oder verarbeitet werden, erforderlich ist. Personenbezogene Daten müssen korrekt sein und, falls erforderlich, auf dem neuesten Stand gehalten werden.
  • Die betroffene Person hat das Recht, von ATPI Zugang zu ihren personenbezogenen Daten und deren Berichtigung oder Löschung zu verlangen, Widerspruch gegen die Verarbeitung der Daten einzulegen oder eine Einschränkung der Verarbeitung zu verlangen, sowie das Recht auf Datenübertragbarkeit. In jedem Fall muss ein solcher Antrag schriftlich gestellt werden, wie in Abschnitt 3 oben beschrieben. ATPI ist bei der alternativen Streitbeilegungsstelle (ADR) JAMS in den USA registriert und die betroffenen Personen können sich an JAMS wenden, wenn sie der Meinung sind, dass der Streit zwischen ihnen und ATPI nicht beigelegt werden kann.
  • Die betroffene Person hat das Recht, eine Beschwerde direkt bei einer Aufsichtsbehörde (Datenschutzbehörde) in ihrem eigenen Land einzureichen. ATPI nutzt die EU-Datenschutzbehörden (DPAs) als unabhängigen Regressmechanismus (IRM) unserer Organisation für Daten, die aus der EU übertragen werden.
  • Personenbezogene Daten werden nur auf der Grundlage der oben in Abschnitt 2 erläuterten Rechtsgrundlage verarbeitet, es sei denn, diese Interessen werden durch die Grundrechte und -freiheiten der betroffenen Person, die immer Vorrang haben, überlagert. Wenn die betroffene Person eine spezifische zusätzliche Einwilligung in die Verarbeitung gegeben hat, kann diese Einwilligung jederzeit widerrufen werden (kann dann aber dazu führen, dass die Reiseanforderungen nicht erfüllt werden können).
  • ATPI wird keine personenbezogenen Daten für Überwachungs- oder Profiling-Aktivitäten oder -Prozesse verwenden und keine automatisierten Entscheidungsprozesse einsetzen.
6. Übertragungen an Dritte

Um die Reisearrangements für eine betroffene Person zu erfüllen, wird es in den meisten Fällen notwendig sein, personenbezogene Daten über Dritte zu verarbeiten (dazu gehören unter anderem Fluggesellschaften, Hotels, Autovermietungen und Unternehmen, die Visa oder Pässe ausstellen). Personenbezogene Daten werden nur dann an Drittunternehmen weitergegeben oder von diesen verarbeitet, wenn diese Unternehmen für die Durchführung der Reise erforderlich sind. Personenbezogene Daten dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) oder des Vereinigten Königreichs übermittelt werden, es sei denn, die Übermittlung erfolgt in ein Land oder Gebiet, das von der EU als Land mit einem angemessenen Datenschutzniveau anerkannt ist, oder sie erfolgt mit Zustimmung der betroffenen Person oder zur Wahrung des berechtigten Interesses von ATPI im Hinblick auf die vertraglichen Vereinbarungen mit seinen Kunden. Alle konzerninternen Übertragungen personenbezogener Daten unterliegen schriftlichen Vereinbarungen im Rahmen der konzerninternen Datenübertragungsvereinbarung (Intra Group Data Transfer Agreement, IGDTA) des Unternehmens für interne Datenübertragungen, die auf den von der Europäischen Datenschutzbehörde anerkannten Standardvertragsklauseln basieren. Anhang – Definitionen bestimmter oben genannter Begriffe: Personenbezogene Daten:
(Artikel 4 der GDPR): ‘Personenbezogene Daten’ sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (‘betroffene Person’) beziehen; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Verarbeitung:

(Artikel 4 der DSGVO): bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Löschen oder Vernichten. Rechtsgrundlage für die Verarbeitung:
(Artikel 6 der GDPR): Mindestens eine davon muss zutreffen, wenn personenbezogene Daten verarbeitet werden: 1. Einwilligung: Die betroffene Person hat ihre eindeutige Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck gegeben. 2. Vertrag: Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich. 3. Gesetzliche Verpflichtung: Die Verarbeitung ist erforderlich, um das Gesetz einzuhalten (ohne vertragliche Verpflichtungen). 4. Lebenswichtige Interessen: Die Verarbeitung ist erforderlich, um das Leben einer Person zu schützen. 5. Öffentliche Aufgabe: Die Verarbeitung ist erforderlich, um eine Aufgabe im öffentlichen Interesse zu erfüllen, und die Aufgabe oder Funktion hat eine klare gesetzliche Grundlage. 6. Berechtigte Interessen: Die Verarbeitung ist für die berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, es sei denn, es gibt einen guten Grund, die personenbezogenen Daten der Person zu schützen, der diese berechtigten Interessen überwiegt. Data Controller:
(Artikel 4 der DSGVO): Dies ist die Person oder das Unternehmen, das die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Datenverarbeiter:
(Artikel 4 der DSGVO): bezeichnet eine natürliche oder juristische Person, eine Behörde, eine Agentur oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Rechte der betroffenen Person:
(Kapitel 3 der GDPR) Jede betroffene Person hat acht Rechte. Diese sind: 1. Das Recht, informiert zu werden. Das bedeutet, dass jeder, der Ihre personenbezogenen Daten verarbeitet, klarstellen muss, was er verarbeitet, warum und an wen die Daten weitergegeben werden können.
2. Das Recht auf Auskunft: Sie haben das Recht zu erfahren, welche Daten über Sie bei einem für die Datenverarbeitung Verantwortlichen gespeichert sind.
3. Das Recht auf Berichtigung: Sie haben das Recht, Ihre Daten korrigieren oder ändern zu lassen, wenn die gespeicherten Daten in irgendeiner Weise falsch sind.
4. Das Recht auf Löschung: Unter bestimmten Umständen können Sie die Löschung Ihrer personenbezogenen Daten verlangen. Dies wird auch als ‘Recht auf Vergessenwerden’ bezeichnet. Dies gilt, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden, Ihre Zustimmung zur Verarbeitung dieser Daten zurückgezogen wurde oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. 5. Das Recht, die Verarbeitung einzuschränken; dies gibt der betroffenen Person das Recht, einen vorübergehenden Stopp der Verarbeitung personenbezogener Daten zu verlangen, z.B. wenn ein Streitfall oder ein Rechtsfall abgeschlossen werden muss oder die Daten korrigiert werden. 6. Das Recht auf Datenübertragbarkeit; eine betroffene Person hat das Recht zu verlangen, dass alle Daten, die sie dem für die Verarbeitung Verantwortlichen direkt zur Verfügung gestellt hat, in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format bereitgestellt werden. 7. Das Recht auf Widerspruch; die betroffene Person hat das Recht, einer Weiterverarbeitung ihrer Daten zu widersprechen, die mit dem Hauptzweck, für den sie erhoben wurden, unvereinbar ist, einschließlich Profiling, Automatisierung und Direktmarketing.

8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling; Betroffene Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht.