Rechtliche hinweise
RECHTLICHER HINWEIS
1. Identifizierung des Betreibers
Im Einklang mit dem Gesetz 34/2002 vom 11. Juli über die Dienste der Informationsgesellschaft und den elektronischen Handel wird der Benutzer darüber informiert, dass der Betreiber der Website www.onahotels.com as Unternehmen CLUBOTEL LA DORADA, S.L. ist, dessen Identifikationsdaten wie folgt lauten:
Identität: CLUBOTEL LA DORADA, S.L – im Folgenden Ona Hotels & Apartments -.
Steueridentifikationsnummer (NIF): B61502035
Sitz: C/ Calabria 129, entresuelo, 08015, Barcelona
E-Mail-Adresse: info@onahotels.com
Registerdaten: Die Gesellschaft ist im Handelsregister von Barcelona in Band 30.215, Folio 64, Blatt Nr. B-168866, eingetragen.
2. Zugriff auf die Website
Der rechtliche Hinweis regelt den Zugriff auf die Webseite und ihre Nutzung durch die Benutzer und soll die Leistungen des Unternehmens bekannt machen und den allgemeinen Zugang für alle Internetnutzer ermöglichen.
Wer auf die Website zugreift und/oder sie nutzt, erhält die Eigenschaft eines Benutzers und akzeptiert vorbehaltlos jede einzelne der vorliegenden allgemeinen Bedingungen sowie alle anderen spezifischen Bedingungen, die gegebenenfalls die Nutzung des Portals oder der damit verbundenen Dienste regeln.
Der Benutzer muss den rechtlichen Hinweis sowie die Datenschutz- und Cookie-Richtlinien sorgfältig lesen, wenn er die Website nutzen möchte. Ona Hotels & Apartments behält sich das Recht vor, jederzeit und ohne Vorankündigung Änderungen oder Aktualisierungen der Inhalte und Leistungen, der vorliegenden Zugangs- und Nutzungsbedingungen und im Allgemeinen aller Elemente vorzunehmen, die das Design und die Konfiguration der Website ausmachen. Wenn Sie die Zugangs- und Nutzungsbedingungen nicht akzeptieren, bitten wir Sie, von der Nutzung der Website und ihrer Inhalte abzusehen.
3. Nutzung der Website
Der Benutzer verpflichtet sich, die Website sowie die Informationen über die Leistungen und Aktivitäten in voller Achtung der geltenden Vorschriften, der allgemein anerkannten guten Sitten und Gebräuche, der öffentlichen Ordnung, der Zugangs- und Nutzungsbedingungen und aller anderen für die Webseite festgelegten Bedingungen umsichtig zu nutzen.
Darüber hinaus verpflichtet sich der Benutzer, die Inhalte nicht für Zwecke oder Ziele zu verwenden, die illegal sind, in diesem Text verboten sind, die Rechte und Interessen Dritter verletzen oder die in irgendeiner Weise die normale Nutzung der Inhalte, andere Benutzer oder sonstige Internetnutzer (Hardware und Software) schädigen, unbrauchbar machen, überlasten, beeinträchtigen oder behindern können.
4. Funktionsweise der Website
Im Falle der Nichteinhaltung der Bedingungen des rechtlichen Hinweises oder der Datenschutz- und Cookie-Richtlinien behält sich Ona Hotels & Apartments das Recht vor, den Zugang zu seiner Website einzuschränken, auszusetzen und/oder auszuschließen und alle dafür erforderlichen technischen Maßnahmen zu ergreifen. Ona Hotels & Apartments wird sein Möglichstes tun, eine reibungslose Funktion der Website zu gewährleisten, Fehler zu vermeiden oder zu beheben und die Inhalte auf dem neuesten Stand zu halten. Ona Hotels & Apartments übernimmt jedoch keine Garantie für die Verfügbarkeit und Kontinuität bzgl. des Zugriffs auf die Website oder dafür, dass die Inhalte keine Fehler aufweisen.
5. Verantwortung
Der Benutzer trägt die alleinige Verantwortung für die Nutzung jeglicher Informationen oder Mechanismen der Website.
Ona Hotels & Apartments haftet nicht für Schäden an der Hardware und/oder Software des Benutzers, die durch den Zugriff auf und die Nutzung der Website entstehen. Ona Hotels & Apartments übernimmt auch keine Haftung für Schäden, die durch den Zugriff auf und/oder die Nutzung der Informationen auf der Website entstehen können, insbesondere nicht für Schäden, die in Informatiksystemen entstehen oder durch Viren und/oder Cyberattacken, Abstürze, Unterbrechungen und das Fehlen oder Defekte der Kommunikation und/oder des Internets verursacht werden.
Der Benutzer haftet für alle Schäden, die Ona Hotels & Apartments entstehen können, wenn er die Verpflichtungen nicht einhält, denen er aufgrund dieses rechtlichen Hinweises, der geltenden Bestimmungen, der Datenschutz-Richtline und der Cookie-Richtlinie unterliegt.
6. Richtlinie in Sachen „Links“ (verlinkende und verlinkte Websites)
6.1 Verlinkende Websites
Dritte, die beabsichtigen, auf einer Website einen Link zu dieser Website einzubauen, müssen die geltenden Rechtsvorschriften einhalten und dürfen keine unangemessenen, illegalen, pornografischen, gewalttätigen etc. Inhalte aufnehmen.
Ona Hotels & Apartments haftet unter keinen Umständen für den Inhalt der verlinkenden Website, noch fördert, garantiert, überwacht oder empfiehlt Ona Hotels & Apartments den Inhalt der verlinkenden Website.
Verstößt die verlinkende Website gegen eine der vorgenannten Bestimmungen, ist sie verpflichtet, den Link unverzüglich zu entfernen.
6.2 Verlinkte Websites
Diese Website kann Links zu Websites Dritter enthalten, die dem Nutzer den Zugriff ermöglichen. Ona Hotels & Apartments haftet jedoch nicht für den Inhalt dieser verlinkten Websites. Es liegt in der Verantwortung des Benutzers, die Zugriffsmöglichkeiten zu akzeptieren und zu überprüfen, wenn er sie aufruft.
Solche Links oder Verweise bedeuten keine Unterstützung, Zustimmung, Kommerzialisierung oder irgendeine Beziehung zwischen der Website und den Personen oder Organisationen, die die entsprechenden Websites betreiben, auf denen sie zu finden sind.
7. Geistiges und gewerbliches Eigentum an den Inhalten
Alle geistigen Eigentumsrechte an den Inhalten der Website und ihrer grafischen Gestaltung liegen ausschließlich bei Ona Hotels & Apartments oder bei Dritten, die deren Nutzung genehmigt haben, so dass Ona Hotels & Apartments die alleinige Ausübung der Nutzungsrechte zusteht. Aus diesem Grund und entsprechend den Bestimmungen der geltenden Rechtsvorschriften über Rechte an geistigem und gewerblichem Eigentum.
Ona Hotels & Apartments erteilt keinerlei Lizenzen oder Nutzungsgenehmigungen bezüglich seiner Rechte an geistigem und gewerblichem Eigentum oder sonstigem Eigentum oder Rechte im Zusammenhang mit der Website und den Leistungen oder Inhalten derselben.
Die Wiedergabe und vorübergehende Speicherung der Inhalte der Website ist in dem Umfang gestattet, der für die Nutzung und Anzeige der Website auf einem persönlichen Gerät unbedingt erforderlich ist.
Für die Rechtmäßigkeit der Rechte an geistigem oder gewerblichem Eigentum im Zusammenhang mit den von den Benutzern zur Verfügung gestellten Inhalten sind ausschließlich diese selbst verantwortlich. Der Benutzer stellt Ona Hotels & Apartments dementsprechend von jeglichen Ansprüchen Dritter schadlos, die sich aus der unrechtmäßigen Nutzung von Inhalten auf der Website ergeben.
8. Werbung
Auf der Website können Werbung oder gesponserte Inhalte gezeigt werden. Die Werbetreibenden oder Sponsoren sind die alleinigen Verantwortlichen dafür, dass das zur Aufnahme in die Website eingereichte Material den jeweils geltenden Gesetzen entspricht.
Ona Hotels & Apartments haftet nicht für Fehler, Ungenauigkeiten oder Unregelmäßigkeiten, die in den Werbeinhalten oder denen der Sponsoren enthalten sein können. 9. Anwendbares Recht
Der rechtliche Hinweis unterliegt spanischem Recht und ist nach diesem auszulegen.
Für die Beilegung von etwaigen Konflikten, die sich aus dem Zugriff auf die Website ergeben, unterwerfen Sie sich den zuständigen Gerichten in Übereinstimmung mit den Rechtsvorschriften in Bezug auf Verbraucher und Benutzer. 10. Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem rechtlichen Hinweis haben, können Sie uns über die E-Mail-Adresse info@onahotels.com kontaktieren.
DATENSCHTZRICHTLINIE
Dokumentenkontrolle:
Prüfungsindex:
1. Einleitung
Ziel dieser Richtlinie ist es, die Leitlinien festzulegen, die alle Ebenen der Unternehmen der Gruppe Ona Hotels & Apartments im Hinblick auf den Schutz personenbezogener Daten zu befolgen haben.
Diese Richtlinie enthält eine Beschreibung der wichtigsten menschlichen, organisatorischen, technologischen und dokumentarischen Elemente, die die Unternehmen zum Schutz personenbezogener Daten einsetzen, um Verletzungen der Rechte und Freiheiten der betroffenen Personen zu verhindern. Im Einzelnen zielt diese Politik darauf ab, das Grundrecht auf Datenschutz sämtlicher natürlicher Personen zu gewährleisten, die mit den zur Gruppe gehörenden Unternehmen in Verbindung stehen, und somit deren Recht auf Ehre und Privatsphäre bei der Verarbeitung der verschiedenen Arten von personenbezogenen Daten zu achten, unabhängig von der Quelle und dem Zweck der Verarbeitung.
Auf allen Ebenen der Unternehmen wird für die tatsächliche und wirksame Anwendung der in dieser Datenschutzrichtlinie festgelegten Leitlinien gesorgt, so dass durch dieses System der Selbstregulierung die Beseitigung von Verhaltensweisen erreicht wird, die die vom Unternehmen verarbeiteten personenbezogenen Daten gefährden könnten.
2. Einleitung
· Gesellschaftsbereich. - Diese Richtlinie gilt für alle Unternehmen der Gruppe, die hier identifiziert werden, wobei CLUBOTEL LA DORADA, S.L. die Muttergesellschaft der Gruppe Ona Hotels & Apartments ist, der Marke, unter der die Unternehmen auf dem Markt auftreten.
· Personalbereich. - Diese Richtlinie gilt für alle Ebenen der Gruppe Ona Hotels & Apartments, einschließlich der Verwaltungsorgane, Führungspositionen, Kontrollorgane und des gesamten Personals.
· Beziehungsbereich. - Der Anwendungsbereich dieser Richtlinie erstreckt sich, soweit möglich, auf die Lieferanten, Berater, Kunden und andere Dritte der Unternehmen.
· Geografischer Bereich. - Diese Richtlinie gilt für die öffentlichen und privaten Beziehungen, die die Unternehmen in jedwedem geografischen Bereich eingehen.
3. Geltende Bestimmungen
Diese Richtlinie entspricht den folgenden Bestimmungen:
· Datenschutz-Grundverordnung der EU (DSGVO)
· Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte
· Gesetz 34/2002 vom 11. Juli 2002 über die Dienste der Informationsgesellschaft und den elektronischen Geschäftsverkehr
· Organgesetz 1/1982 vom 5. Mai 1982 über den zivilrechtlichen Schutz des Rechts auf Ehre, persönliche und familiäre Privatsphäre und des eigenen Bildes
Die notwendigen Anpassungen dieser Richtlinie werden entsprechend den Änderungen der Gesetzgebung sowie den Kriterien vorgenommen, die festgelegt sind in:
- Leitfäden, Berichten und Beschlüssen der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos)
- Leitfäden, Berichten und Beschlüssen der Aufsichtsbehörden der übrigen Mitgliedstaaten der Europäischen Union
- Artikel-29-Arbeitsgruppe
- Urteilen des Gerichtshofs der Europäischen Union
- Urteilen des Nationalen Gerichtshofs, des Obersten Gerichtshofs und des Verfassungsgerichts
4. Geschäftsrisiken in Sachen Datenschutz
Die Unternehmen üben ihre Tätigkeit aus, indem sie touristische Hotel-Dienstleistungen anbieten.
Aufgrund ihrer besonderen Natur, der Komplexität der anwendbaren Vorschriften und der Höhe der darin vorgesehenen Strafen ergeben sich Risiken wie der unbefugte Zugriff, die unbefugte Vervielfältigung, die unbefugte Übermittlung oder Weitergabe an Dritte und andere in der DSGVO und den lokalen Vorschriften vorgesehene Verstöße.
Die Risiken, die sich aus der Nichteinhaltung der gesetzlichen Datenschutzverpflichtungen ergeben, lauten wie folgt:
1) Verwaltungsrechtliche Strafen
2) Verletzung der Privatsphäre
3) Schadensersatz
4) Rufschädigungen
Der Schutz personenbezogener Daten gehört zu den Werten von Ona Hotels & Apartments und ist ein vorrangiges Ziel der Unternehmen, das eine Reihe von rechtlichen, technischen und organisatorischen Maßnahmen erfordert, die in dieser Richtlinie zusammengefasst und in den eigenen Regeln und Verfahren detailliert beschrieben sind.
5. Datenschutzziele
Die Ziele von Ona Hotels & Apartments in Sachen Datenschutz sind auf die geschäftlichen Ziele abgestimmt, wobei die Einhaltung der für die ausgeübte Tätigkeit maßgeblichen gesetzlichen Verpflichtungen Vorrang hat.
Angesichts der von Ona Hotels & Apartment angebotenen Hoteldienstleistungen ist der Schutz der Privatsphäre und der Daten der Gäste von entscheidender Bedeutung. Daher wird die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union und des Organgesetzes über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte als ein wesentliches Ziel angesehen.
Auf allen Ebenen des Unternehmens wird danach gestrebt, die Zielsetzungen im Bereich Datenschutz sowie die in dieser Richtlinie dargelegten Grundsätze und Verpflichtungen einzuhalten.
Das Unternehmen kann Regeln und Verfahren ausarbeiten, die diese Richtlinie weiter entwickeln, spezifizieren und detaillieren.
6. Datenschutzgrundsätze
Ona Hotels & Apartment beachtet die nachfolgend beschriebenen Prinzipien:
-Grundsatz der Rechtmäßigkeit: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie auf der Einwilligung der betroffenen Person oder auf einer anderen gesetzlich verankerten Legitimationsgrundlage beruht.
-Grundsatz der Transparenz: Die betroffene Person muss über alle Umstände im Zusammenhang mit der Verarbeitung informiert werden.
-Grundsatz der Loyalität: Personenbezogene Daten dürfen nicht unter anderen als den mitgeteilten Umständen verarbeitet werden.
-Grundsatz der Zweckbindung: Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
-Grundsatz der Datenminimierung: Personenbezogene Daten sollten in Bezug auf die Verarbeitungszwecke angemessen, relevant und auf das Notwendige beschränkt sein. Dieser und der vorhergehende Grundsatz werden im Grundsatz der Notwendigkeit und im Grundsatz der Verhältnismäßigkeit, die für Folgenabschätzungen Anwendung finden, weiter ausgeführt.
-Grundsatz der Richtigkeit: Personenbezogene Daten müssen richtig sein und erforderlichenfalls aktualisiert werden. Dabei sind alle angemessenen Maßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
-Grundsatz der Begrenzung der Aufbewahrungsfrist: Personenbezogene Daten dürfen nur so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht.
-Grundsatz der Integrität und Vertraulichkeit: Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, was den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung einschließt, indem geeignete technische oder organisatorische Maßnahmen getroffen werden. Personenbezogene Daten sind nur für zugriffsberechtigte Benutzer zugänglich und dürfen ohne entsprechende Genehmigung nicht an Dritte weitergegeben werden.
-Grundsatz der proaktiven Verantwortung: Die Unternehmen sind für die Einhaltung der Datenschutzbestimmungen verantwortlich und müssen in der Lage sein, diese Einhaltung nachzuweisen.
-Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Neue Verarbeitungen, Projekte, Dienstleistungen und Produkte werden vorab auf ihre Auswirkungen auf den Datenschutz geprüft.
7. Rollen und Verantwortlichkeiten
Alle Rollen und Verantwortlichkeiten werden differenziert und, soweit möglich, in der Stellenbeschreibung individuell zugewiesen. Zusätzlich zu dieser individuellen Zuweisung sind alle Personen, die zu Ona Hotels & Apartment gehören, unabhängig von der Ebene, verpflichtet, die in Sachen Informationssicherheit festgelegten Regeln, Verfahren und Kontrollen einzuhalten.
Die Hauptverantwortung für die Kontrolle in Sachen Datenschutz liegt beim Datenschutzbeauftragten, der extern ernannt wurde.
Ona Hotels & Apartment hat Regeln und Verfahren eingeführt, die die Pflichten des Personals in Bezug auf den Datenschutz festlegen.
Die Unternehmen ergreifen die erforderlichen Maßnahmen, um sicherzustellen, dass ihre Mitarbeiter in verständlicher Weise über die Datenschutzpflichten, die ihre Aufgaben betreffen, und über die Folgen einer Nichteinhaltung aufgeklärt werden.
8. Register für Verarbeitungstätigkeiten
Die Unternehmen führen ein Verarbeitungsverzeichnis, in dem sie die Einzelheiten der Verarbeitungen festhalten, die sie als Verantwortlicher genehmigt haben, sowie ein weiteres Verzeichnis der Verarbeitungen, die sie als Auftragsverarbeiter für diejenigen Unternehmen durchgeführt haben, für die sie im Rahmen eines entsprechenden Verwaltungsvertrags als Verwalter tätig sind.
Gemäß dem Grundsatz des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen und in Anbetracht der Tatsache, dass es den Kontrollorganen nicht möglich ist, jede einzelne Tätigkeit im Zusammenhang mit personenbezogenen Daten, die in den einzelnen Abteilungen durchgeführt wird, zu kennen, muss jede neue Verarbeitung oder jede Verarbeitung, die die im Verarbeitungsverzeichnis zugewiesenen Attribute und Merkmale verändert, dem Datenschutzbeauftragten mitgeteilt werden, damit er sie bewerten und genehmigen kann, wenn sie kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Darüber hinaus informieren die Unternehmen alle betroffenen Personen über die Verarbeitung personenbezogener Daten mittels Informations- und Einwilligungsklauseln gemäß Art. 13 und 14 der DSGVO.
9. Risikoanalyse
Alle Verarbeitungen, die dieser Sicherheitsrichtlinie unterliegen, durchlaufen eine Risikoanalyse, in der die Bedrohungen und Risiken, denen sie ausgesetzt sind, bewertet werden. Diese Analyse wird in regelmäßigen Abständen wiederholt.
Ona Hotels & Apartments führt in regelmäßigen Abständen eine Analyse der den Datenschutz betreffenden Risiken und Bedrohungen durch.
Die Risikoanalyse erfolgt über eine Karte der inhärenten Risiken, in der die Bruttorisiken vor der Durchführung von Präventions-, Aufdeckungs- und Minderungskontrollen bewertet werden, gefolgt von einer Karte der Restrisiken, in der die Nettorisiken nach der Durchführung von Kontrollen automatisch bewertet werden.
9.1. Richtlinien zur Minimierung von Risiken
Um Risiken zu verwalten und zu minimieren, wendet Ona Hotels & Apartment physische, personelle, administrative und netzwerkbezogene Sicherheitsmaßnahmen an, wie zum Beispiel:
· Sicherheit der logischen Zugänge: Ona Hotels & Apartment wendet Sicherheitsmaßnahmen für den Schutz der logischen Zugänge an.
· Logischer Zugang von Personen zu den Computersystemen: Ona Hotels & Apartment wird ein System mit Zwei-Faktor-Authentifizierung einsetzen. Zum einen wird der Benutzer vom Systemadministrator bestimmt, und der Benutzer selbst vergibt sein eigenes Passwort. Zum anderen erhält der Benutzer einen Code, um diese Authentifizierung zu bestätigen.
Das Passwort ist stets unlesbar, auch für den Administrator. Falls erforderlich (z.B. wenn der Benutzer es vergessen hat), kann der Systemadministrator einen Prozess zur Änderung des Passworts durch den Benutzer einleiten, ohne dass das vorherige Passwort benötigt wird.
· Kontrolle des Zugriffs auf Daten und Ressourcen: Ona Hotels & Apartment legt die Regeln und Verfahren fest, nach denen die in diesem Abschnitt genannten Kontrollmaßnahmen entwickelt, spezifiziert und detailliert werden.
· Betriebssysteme: Für den Zugriff und die Nutzung aller in den Computersystemen des Unternehmens verwendeten Betriebssysteme ist eine Validierung und Authentifizierung erforderlich.
· Viren und Malware: Auf allen Computern von Ona Hotels & Apartment ist Anti-Virus- und Anti-Malware-Software installiert und wird regelmäßig aktualisiert. Außerdem gibt es Firewalls, die den Netzverkehr kontrollieren und unbefugtes Eindringen erkennen.
Die Benutzer werden zeitgerecht über die grundlegenden Maßnahmen informiert, die zu ergreifen sind, um das Eindringen von Viren und Malware zu verhindern.
· Benutzerverwaltung: Die Liste aller Netzbenutzer, die zum Zugriff auf das Informationssystem berechtigt sind, muss aktualisiert werden, wobei die Zugriffsebenen so abgegrenzt werden, dass die Vertraulichkeit und Integrität der Daten gewährleistet ist. Ferner führt Ona Hotels & Apartment Zugriffskontrollen und Überwachungen hinsichtlich der den Mitarbeitern zur Verfügung gestellten Computersysteme durch, um die Informationen zu schützen.
· Zugangsbeschränkung: Um auf die IT-Ressourcen zugreifen zu können, muss ein Benutzerkonto zugewiesen und auf den Domain-Servern registriert sein. Mit der Zugangsberechtigung wird das erforderliche Profil erstellt, mit dem die in den Anwendungen verfügbaren Funktionen und Rechte entsprechend den Kompetenzen des jeweiligen Benutzers konfiguriert werden, wobei die Politik verfolgt wird, dass nur die für die Ausführung der anvertrauten Funktionen unbedingt erforderlichen Rechte zugewiesen werden. Ebenso kommt eine Zwei-Faktor-Authentifizierung hinsichtlich des Zugangs zu den Domain-Servern zum Einsatz.
· Sicherheit von WLAN und drahtlosen Netzen: Das Unternehmen ergreift geeignete Maßnahmen zum Schutz vor unberechtigtem Zugriff auf das WLAN der Entität.
· Server und physische Medien: Im Allgemeinen werden alle vertraulichen Informationen und personenbezogenen Daten auf externen Servern mit geeigneten Sicherheitsmaßnahmen in Sachen Datenschutz und Informationssicherheit gespeichert.
· Sicherungskopien: Alle Sicherungskopien enthalten alle Informationen, die zur Wiederherstellung des Dienstes im Falle einer Datenbeschädigung oder eines Informationsverlustes erforderlich sind (Daten, Programme, Konfigurationsdateien und sogar Images von bestimmten Servern). Ferner gibt es Protokolle für die Datensicherung und -wiederherstellung.
Für alle relevanten Systeme werden Sicherheitsstandards festgelegt, die zumindest die folgenden Informationen umfassen: Periodizität der Sicherungskopien, Aufbewahrungsfristen für Sicherungskopien, Standort der Sicherungsmedien, Verfahren zur Wiederherstellung von Informationen, Verfahren zur Wiederherstellung und Überprüfung der Integrität der gesicherten Informationen.
· Authentifizierung: Benutzercodes und Passwörter sind persönlich und nicht übertragbar. Der Benutzer trägt die alleinige Verantwortung für die Folgen, die sich aus ihrem Missbrauch, ihrer Weitergabe oder ihrem Verlust ergeben können.
· Sicherheit am Arbeitsplatz: Die Mitarbeiter werden über die vom Unternehmen aufgestellten Regeln, die im Hinblick auf die Sicherheit am Arbeitsplatz anzuwenden sind, informiert. Dazu gehören die automatische Sperrung von Geräten – nach einer bestimmten Zeit der Inaktivität muss das Passwort zur Aktivierung eingegeben werden – sowie die Einhaltung der Null-Papier-Politik an den Arbeitsplätzen.
· Mobile Geräte: Das Unternehmen wird angemessene Sicherheitsmaßnahmen für mobile Geräte des Unternehmens einführen.
Benutzer, denen mobile Geräte des Unternehmens zugewiesen wurden, müssen die spezifischen Regeln für die Nutzung einhalten und die entsprechenden Sicherheitsmaßnahmen beachten.
10. Vertragliche Verpflichtungen
Ona Hotels & Apartments verpflichtet sich, neben den gesetzlichen Datenschutzanforderungen auch die spezifischen Datenschutzanforderungen zu erfüllen, die von seinen Kunden und Lieferanten in Bezug auf die personenbezogenen Daten verlangt werden, zu denen es aufgrund seiner vertraglichen Beziehungen mit ihnen Zugang hat.
Ona Hotels & Apartment legt besonderes Augenmerk auf die vertraglichen Verpflichtungen, welche die Verarbeitung von personenbezogenen Daten mit sich bringen.
Ona Hotels & Apartments erstellt und aktualisiert ein Verzeichnis, in dem es die Verpflichtungen im Zusammenhang mit dem Schutz personenbezogener Daten, auf die seitens Ona Hotels & Apartments zugegriffen wird oder die verarbeitet werden, identifiziert und priorisiert.
Ona Hotels & Apartments kontrolliert in regelmäßigen Abständen, ob die vertraglichen Verpflichtungen in Sachen Datenschutz auf allen Ebenen der Gruppe bekannt sind.
11. Lieferantenkontrolle unter dem Blickwinkel des Datenschutzes
Ona Hotels & Apartments erstellt ein Verzeichnis aller Zulieferer, die personenbezogene Daten im Auftrag von Unternehmen der Gruppe verarbeiten oder die direkt oder indirekt Zugang zu von der Gruppe verwalteten personenbezogenen Daten haben.
Sollte es notwendig sein, einen neuen Dienst zu kontrahieren, der eine Datenverarbeitung erfordert, wird das Unternehmen eine Lieferantenselektion und ein Bewertungsverfahren durchführen, wobei die gesetzlich in Sachen Datenschutz geforderten Garantien berücksichtigt werden.
Bei der Bewertung wird denjenigen Lieferanten Vorrang eingeräumt, die die besten Datenschutzgarantien bieten.
Die Beziehung zu Lieferanten, die personenbezogene Daten verarbeiten oder direkt oder indirekt Zugang zu ihnen haben, wird stets in einem Vertrag geregelt, der einen besonderen Abschnitt über die vom Lieferanten zu erfüllenden Verpflichtungen enthält. Zu diesen Verpflichtungen gehören mindestens die in Artikel 28 der Datenschutz-Grundverordnung genannten.
12. Aufbewahrungsfristen für Daten
Ona Hotels & Apartments speichert personenbezogene Daten so, dass die Identifizierung der betroffenen Personen nur so lange möglich ist, wie es für die Zwecke der Verarbeitung dieser Daten erforderlich ist. Hierzu erstellt das Unternehmen eine Tabelle mit den Speicherfristen für die Daten, die es speichern muss oder deren Speicherung es für angemessen hält, und aktualisiert diese.
Bei der Erstellung dieser Tabelle werden die Verjährungsfristen für Verstöße und die durch die DSGVO und das Organgesetz über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte festgelegten Beschränkungen berücksichtigt. Gesetzliche, sektorielle und vertragliche Verpflichtungen, die möglicherweise längere Aufbewahrungsfristen erfordern, werden ebenfalls berücksichtigt.
Ona Hotels & Apartments berücksichtigt bei der Unterrichtung der betroffenen Personen über ihre Rechte auch die ihnen mitgeteilten Fristen.
Bei der Vernichtung von Dokumenten gilt es, die Vertraulichkeit während des gesamten Prozesses zu gewährleisten.
13. Management von Sicherheitslücken und -vorfällen
Jede Situation, die die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität oder Rückverfolgbarkeit der Informationen des Unternehmens gefährden könnte, gilt als Sicherheitslücke.
Das Unternehmen hat daher geeignete Maßnahmen zur Cybersicherheit zu ergreifen, einschließlich des Schutzes vor Bedrohungen durch Kommunikationsnetze, wie z. B. Cyberangriffe, Denial-of-Service-Angriffe, unbefugte Zugriffe und Systementführungen oder Ransomware, um nur einige zu nennen.
Jede Person, die von einem Vorfall, der den Datenschutz beeinträchtigen könnte, Kenntnis erlangt oder einen entsprechenden Verdacht hegt, ist dies unverzüglich über die zu diesem Zweck eingerichteten Kanäle zu melden.
Falls die Sicherheitslücke oder der Sicherheitsvorfall ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnte, ist die zuständige Aufsichtsbehörde, d.h. die Agencia Española de Protección de Datos, spätestens 72 Stunden nach Bekanntwerden der Lücke oder des Vorfalls zu benachrichtigen.
Ona Hotels & Apartments verfügt über ein Protokoll, in dem das von der Einrichtung angewandte System zur Meldung und Verwaltung von Sicherheitsvorfällen und -lücken festgelegt ist, um zu gewährleisten, dass Sicherheitsvorfälle und Schwachstellen im Zusammenhang mit den Computersystemen erfasst und angemessen behandelt werden, durch geeignete Reparatur- und Abhilfemaßnahmen und die Wiederherstellung des normalen Betriebsniveaus der betroffenen Dienste. Dabei besteht die Möglichkeit, Korrekturmaßnahmen zu ergreifen, um ihre Ursachen zu beseitigen und ihnen in Zukunft vorzubeugen.
14. Schulung und Sensibilisierung
Alle Mitarbeiter von Ona Hotels & Apartments sind verpflichtet, die Datenschutzpolitik zu kennen und einzuhalten. Aus diesem Grund bemüht sich Ona Hotels & Apartments um ständige Schulungen und Sensibilisierungsmaßnahmen in Sachen Datenschutz auf allen Unternehmensebenen.
Die Schulungen können in Form von Präsenzveranstaltungen oder e-Learning-Kursen stattfinden.
Die Sensibilisierung kann sich auf Kommunikations- und Schulungsmaterialien und -instrumente aller Art stützen, mit denen das Bewusstsein für die Risiken von Verstößen auf allen Unternehmensebenen geschärft werden kann.
Jeder Mitarbeiter ist verpflichtet, diese Richtlinie und die für seine Stellung relevanten Protokolle einzuhalten und alle festgestellten Sicherheitsvorfälle zu melden.
15. Prävention von Verstößen
Das Hauptziel von Ona Hotels & Apartments mit dieser Richtlinie und den Regeln, Verfahren und Kontrollen, die sie ausmachen, ist es, Verletzungen der Rechte und Freiheiten der betroffenen Personen zu verhindern und die Vorschriften zum Schutz personenbezogener Daten einzuhalten.
Der wichtigste Bezugsrahmen für die Erreichung dieses Ziels ist die Datenschutz-Grundverordnung, die zwei Kategorien von Verstößen unterscheidet: schwerwiegende und sehr schwerwiegende Verstöße.
Bei schwerwiegenden Verstößen können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Kategorie fallen z. B. unzureichende technische oder organisatorische Maßnahmen, die Beauftragung von Datenverarbeitern ohne ausreichende Garantien, die Nichtmeldung einer Datenschutzverletzung usw. Bei sehr schwerwiegenden Verstößen können Strafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Kategorie fallen z. B. unrechtmäßige Verarbeitungen, unrechtmäßige Einwilligungen, Verstöße gegen die Vertraulichkeitspflicht usw.
16. Aktualisierung und Verbesserung dieser Richtlinie
Diese Richtlinie wird in regelmäßigen Abständen aktualisiert, um Änderungen und Verbesserungen im Bereich des Datenschutzes Rechnung zu tragen. Ona Hotels & Apartments verifiziert in regelmäßigen Abständen die Anwendung der Präventions- und Kontrollmaßnahmen. Wenn relevante Verstöße gegen diese Richtlinie, wesentliche Änderungen oder Änderungen in den Informationssystemen des Unternehmens festgestellt werden, schlägt Ona Hotels & Apartments die notwendigen Änderungen vor.
1. Identifizierung des Betreibers
Im Einklang mit dem Gesetz 34/2002 vom 11. Juli über die Dienste der Informationsgesellschaft und den elektronischen Handel wird der Benutzer darüber informiert, dass der Betreiber der Website www.onahotels.com as Unternehmen CLUBOTEL LA DORADA, S.L. ist, dessen Identifikationsdaten wie folgt lauten:
Identität: CLUBOTEL LA DORADA, S.L – im Folgenden Ona Hotels & Apartments -.
Steueridentifikationsnummer (NIF): B61502035
Sitz: C/ Calabria 129, entresuelo, 08015, Barcelona
E-Mail-Adresse: info@onahotels.com
Registerdaten: Die Gesellschaft ist im Handelsregister von Barcelona in Band 30.215, Folio 64, Blatt Nr. B-168866, eingetragen.
2. Zugriff auf die Website
Der rechtliche Hinweis regelt den Zugriff auf die Webseite und ihre Nutzung durch die Benutzer und soll die Leistungen des Unternehmens bekannt machen und den allgemeinen Zugang für alle Internetnutzer ermöglichen.
Wer auf die Website zugreift und/oder sie nutzt, erhält die Eigenschaft eines Benutzers und akzeptiert vorbehaltlos jede einzelne der vorliegenden allgemeinen Bedingungen sowie alle anderen spezifischen Bedingungen, die gegebenenfalls die Nutzung des Portals oder der damit verbundenen Dienste regeln.
Der Benutzer muss den rechtlichen Hinweis sowie die Datenschutz- und Cookie-Richtlinien sorgfältig lesen, wenn er die Website nutzen möchte. Ona Hotels & Apartments behält sich das Recht vor, jederzeit und ohne Vorankündigung Änderungen oder Aktualisierungen der Inhalte und Leistungen, der vorliegenden Zugangs- und Nutzungsbedingungen und im Allgemeinen aller Elemente vorzunehmen, die das Design und die Konfiguration der Website ausmachen. Wenn Sie die Zugangs- und Nutzungsbedingungen nicht akzeptieren, bitten wir Sie, von der Nutzung der Website und ihrer Inhalte abzusehen.
3. Nutzung der Website
Der Benutzer verpflichtet sich, die Website sowie die Informationen über die Leistungen und Aktivitäten in voller Achtung der geltenden Vorschriften, der allgemein anerkannten guten Sitten und Gebräuche, der öffentlichen Ordnung, der Zugangs- und Nutzungsbedingungen und aller anderen für die Webseite festgelegten Bedingungen umsichtig zu nutzen.
Darüber hinaus verpflichtet sich der Benutzer, die Inhalte nicht für Zwecke oder Ziele zu verwenden, die illegal sind, in diesem Text verboten sind, die Rechte und Interessen Dritter verletzen oder die in irgendeiner Weise die normale Nutzung der Inhalte, andere Benutzer oder sonstige Internetnutzer (Hardware und Software) schädigen, unbrauchbar machen, überlasten, beeinträchtigen oder behindern können.
4. Funktionsweise der Website
Im Falle der Nichteinhaltung der Bedingungen des rechtlichen Hinweises oder der Datenschutz- und Cookie-Richtlinien behält sich Ona Hotels & Apartments das Recht vor, den Zugang zu seiner Website einzuschränken, auszusetzen und/oder auszuschließen und alle dafür erforderlichen technischen Maßnahmen zu ergreifen. Ona Hotels & Apartments wird sein Möglichstes tun, eine reibungslose Funktion der Website zu gewährleisten, Fehler zu vermeiden oder zu beheben und die Inhalte auf dem neuesten Stand zu halten. Ona Hotels & Apartments übernimmt jedoch keine Garantie für die Verfügbarkeit und Kontinuität bzgl. des Zugriffs auf die Website oder dafür, dass die Inhalte keine Fehler aufweisen.
5. Verantwortung
Der Benutzer trägt die alleinige Verantwortung für die Nutzung jeglicher Informationen oder Mechanismen der Website.
Ona Hotels & Apartments haftet nicht für Schäden an der Hardware und/oder Software des Benutzers, die durch den Zugriff auf und die Nutzung der Website entstehen. Ona Hotels & Apartments übernimmt auch keine Haftung für Schäden, die durch den Zugriff auf und/oder die Nutzung der Informationen auf der Website entstehen können, insbesondere nicht für Schäden, die in Informatiksystemen entstehen oder durch Viren und/oder Cyberattacken, Abstürze, Unterbrechungen und das Fehlen oder Defekte der Kommunikation und/oder des Internets verursacht werden.
Der Benutzer haftet für alle Schäden, die Ona Hotels & Apartments entstehen können, wenn er die Verpflichtungen nicht einhält, denen er aufgrund dieses rechtlichen Hinweises, der geltenden Bestimmungen, der Datenschutz-Richtline und der Cookie-Richtlinie unterliegt.
6. Richtlinie in Sachen „Links“ (verlinkende und verlinkte Websites)
6.1 Verlinkende Websites
Dritte, die beabsichtigen, auf einer Website einen Link zu dieser Website einzubauen, müssen die geltenden Rechtsvorschriften einhalten und dürfen keine unangemessenen, illegalen, pornografischen, gewalttätigen etc. Inhalte aufnehmen.
Ona Hotels & Apartments haftet unter keinen Umständen für den Inhalt der verlinkenden Website, noch fördert, garantiert, überwacht oder empfiehlt Ona Hotels & Apartments den Inhalt der verlinkenden Website.
Verstößt die verlinkende Website gegen eine der vorgenannten Bestimmungen, ist sie verpflichtet, den Link unverzüglich zu entfernen.
6.2 Verlinkte Websites
Diese Website kann Links zu Websites Dritter enthalten, die dem Nutzer den Zugriff ermöglichen. Ona Hotels & Apartments haftet jedoch nicht für den Inhalt dieser verlinkten Websites. Es liegt in der Verantwortung des Benutzers, die Zugriffsmöglichkeiten zu akzeptieren und zu überprüfen, wenn er sie aufruft.
Solche Links oder Verweise bedeuten keine Unterstützung, Zustimmung, Kommerzialisierung oder irgendeine Beziehung zwischen der Website und den Personen oder Organisationen, die die entsprechenden Websites betreiben, auf denen sie zu finden sind.
7. Geistiges und gewerbliches Eigentum an den Inhalten
Alle geistigen Eigentumsrechte an den Inhalten der Website und ihrer grafischen Gestaltung liegen ausschließlich bei Ona Hotels & Apartments oder bei Dritten, die deren Nutzung genehmigt haben, so dass Ona Hotels & Apartments die alleinige Ausübung der Nutzungsrechte zusteht. Aus diesem Grund und entsprechend den Bestimmungen der geltenden Rechtsvorschriften über Rechte an geistigem und gewerblichem Eigentum.
Ona Hotels & Apartments erteilt keinerlei Lizenzen oder Nutzungsgenehmigungen bezüglich seiner Rechte an geistigem und gewerblichem Eigentum oder sonstigem Eigentum oder Rechte im Zusammenhang mit der Website und den Leistungen oder Inhalten derselben.
Die Wiedergabe und vorübergehende Speicherung der Inhalte der Website ist in dem Umfang gestattet, der für die Nutzung und Anzeige der Website auf einem persönlichen Gerät unbedingt erforderlich ist.
Für die Rechtmäßigkeit der Rechte an geistigem oder gewerblichem Eigentum im Zusammenhang mit den von den Benutzern zur Verfügung gestellten Inhalten sind ausschließlich diese selbst verantwortlich. Der Benutzer stellt Ona Hotels & Apartments dementsprechend von jeglichen Ansprüchen Dritter schadlos, die sich aus der unrechtmäßigen Nutzung von Inhalten auf der Website ergeben.
8. Werbung
Auf der Website können Werbung oder gesponserte Inhalte gezeigt werden. Die Werbetreibenden oder Sponsoren sind die alleinigen Verantwortlichen dafür, dass das zur Aufnahme in die Website eingereichte Material den jeweils geltenden Gesetzen entspricht.
Ona Hotels & Apartments haftet nicht für Fehler, Ungenauigkeiten oder Unregelmäßigkeiten, die in den Werbeinhalten oder denen der Sponsoren enthalten sein können. 9. Anwendbares Recht
Der rechtliche Hinweis unterliegt spanischem Recht und ist nach diesem auszulegen.
Für die Beilegung von etwaigen Konflikten, die sich aus dem Zugriff auf die Website ergeben, unterwerfen Sie sich den zuständigen Gerichten in Übereinstimmung mit den Rechtsvorschriften in Bezug auf Verbraucher und Benutzer. 10. Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem rechtlichen Hinweis haben, können Sie uns über die E-Mail-Adresse info@onahotels.com kontaktieren.
DATENSCHTZRICHTLINIE
Dokumentenkontrolle:
Abteilung: | ||
Erstellt: | TARINAS-VILADRICH ADVOCATS I PROCURADORS SLP | IKT-Abteilung |
Geändert: | ||
Geprüft: | ||
Genehmigt: |
Prüfung Nr. | Grund | Ausgabe |
0 | Erstellung des Dokuments | 01/2024 |
Ziel dieser Richtlinie ist es, die Leitlinien festzulegen, die alle Ebenen der Unternehmen der Gruppe Ona Hotels & Apartments im Hinblick auf den Schutz personenbezogener Daten zu befolgen haben.
Diese Richtlinie enthält eine Beschreibung der wichtigsten menschlichen, organisatorischen, technologischen und dokumentarischen Elemente, die die Unternehmen zum Schutz personenbezogener Daten einsetzen, um Verletzungen der Rechte und Freiheiten der betroffenen Personen zu verhindern. Im Einzelnen zielt diese Politik darauf ab, das Grundrecht auf Datenschutz sämtlicher natürlicher Personen zu gewährleisten, die mit den zur Gruppe gehörenden Unternehmen in Verbindung stehen, und somit deren Recht auf Ehre und Privatsphäre bei der Verarbeitung der verschiedenen Arten von personenbezogenen Daten zu achten, unabhängig von der Quelle und dem Zweck der Verarbeitung.
Auf allen Ebenen der Unternehmen wird für die tatsächliche und wirksame Anwendung der in dieser Datenschutzrichtlinie festgelegten Leitlinien gesorgt, so dass durch dieses System der Selbstregulierung die Beseitigung von Verhaltensweisen erreicht wird, die die vom Unternehmen verarbeiteten personenbezogenen Daten gefährden könnten.
2. Einleitung
· Gesellschaftsbereich. - Diese Richtlinie gilt für alle Unternehmen der Gruppe, die hier identifiziert werden, wobei CLUBOTEL LA DORADA, S.L. die Muttergesellschaft der Gruppe Ona Hotels & Apartments ist, der Marke, unter der die Unternehmen auf dem Markt auftreten.
· Personalbereich. - Diese Richtlinie gilt für alle Ebenen der Gruppe Ona Hotels & Apartments, einschließlich der Verwaltungsorgane, Führungspositionen, Kontrollorgane und des gesamten Personals.
· Beziehungsbereich. - Der Anwendungsbereich dieser Richtlinie erstreckt sich, soweit möglich, auf die Lieferanten, Berater, Kunden und andere Dritte der Unternehmen.
· Geografischer Bereich. - Diese Richtlinie gilt für die öffentlichen und privaten Beziehungen, die die Unternehmen in jedwedem geografischen Bereich eingehen.
3. Geltende Bestimmungen
Diese Richtlinie entspricht den folgenden Bestimmungen:
· Datenschutz-Grundverordnung der EU (DSGVO)
· Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte
· Gesetz 34/2002 vom 11. Juli 2002 über die Dienste der Informationsgesellschaft und den elektronischen Geschäftsverkehr
· Organgesetz 1/1982 vom 5. Mai 1982 über den zivilrechtlichen Schutz des Rechts auf Ehre, persönliche und familiäre Privatsphäre und des eigenen Bildes
Die notwendigen Anpassungen dieser Richtlinie werden entsprechend den Änderungen der Gesetzgebung sowie den Kriterien vorgenommen, die festgelegt sind in:
- Leitfäden, Berichten und Beschlüssen der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos)
- Leitfäden, Berichten und Beschlüssen der Aufsichtsbehörden der übrigen Mitgliedstaaten der Europäischen Union
- Artikel-29-Arbeitsgruppe
- Urteilen des Gerichtshofs der Europäischen Union
- Urteilen des Nationalen Gerichtshofs, des Obersten Gerichtshofs und des Verfassungsgerichts
4. Geschäftsrisiken in Sachen Datenschutz
Die Unternehmen üben ihre Tätigkeit aus, indem sie touristische Hotel-Dienstleistungen anbieten.
Aufgrund ihrer besonderen Natur, der Komplexität der anwendbaren Vorschriften und der Höhe der darin vorgesehenen Strafen ergeben sich Risiken wie der unbefugte Zugriff, die unbefugte Vervielfältigung, die unbefugte Übermittlung oder Weitergabe an Dritte und andere in der DSGVO und den lokalen Vorschriften vorgesehene Verstöße.
Die Risiken, die sich aus der Nichteinhaltung der gesetzlichen Datenschutzverpflichtungen ergeben, lauten wie folgt:
1) Verwaltungsrechtliche Strafen
2) Verletzung der Privatsphäre
3) Schadensersatz
4) Rufschädigungen
Der Schutz personenbezogener Daten gehört zu den Werten von Ona Hotels & Apartments und ist ein vorrangiges Ziel der Unternehmen, das eine Reihe von rechtlichen, technischen und organisatorischen Maßnahmen erfordert, die in dieser Richtlinie zusammengefasst und in den eigenen Regeln und Verfahren detailliert beschrieben sind.
5. Datenschutzziele
Die Ziele von Ona Hotels & Apartments in Sachen Datenschutz sind auf die geschäftlichen Ziele abgestimmt, wobei die Einhaltung der für die ausgeübte Tätigkeit maßgeblichen gesetzlichen Verpflichtungen Vorrang hat.
Angesichts der von Ona Hotels & Apartment angebotenen Hoteldienstleistungen ist der Schutz der Privatsphäre und der Daten der Gäste von entscheidender Bedeutung. Daher wird die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union und des Organgesetzes über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte als ein wesentliches Ziel angesehen.
Auf allen Ebenen des Unternehmens wird danach gestrebt, die Zielsetzungen im Bereich Datenschutz sowie die in dieser Richtlinie dargelegten Grundsätze und Verpflichtungen einzuhalten.
Das Unternehmen kann Regeln und Verfahren ausarbeiten, die diese Richtlinie weiter entwickeln, spezifizieren und detaillieren.
6. Datenschutzgrundsätze
Ona Hotels & Apartment beachtet die nachfolgend beschriebenen Prinzipien:
-Grundsatz der Rechtmäßigkeit: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie auf der Einwilligung der betroffenen Person oder auf einer anderen gesetzlich verankerten Legitimationsgrundlage beruht.
-Grundsatz der Transparenz: Die betroffene Person muss über alle Umstände im Zusammenhang mit der Verarbeitung informiert werden.
-Grundsatz der Loyalität: Personenbezogene Daten dürfen nicht unter anderen als den mitgeteilten Umständen verarbeitet werden.
-Grundsatz der Zweckbindung: Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
-Grundsatz der Datenminimierung: Personenbezogene Daten sollten in Bezug auf die Verarbeitungszwecke angemessen, relevant und auf das Notwendige beschränkt sein. Dieser und der vorhergehende Grundsatz werden im Grundsatz der Notwendigkeit und im Grundsatz der Verhältnismäßigkeit, die für Folgenabschätzungen Anwendung finden, weiter ausgeführt.
-Grundsatz der Richtigkeit: Personenbezogene Daten müssen richtig sein und erforderlichenfalls aktualisiert werden. Dabei sind alle angemessenen Maßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
-Grundsatz der Begrenzung der Aufbewahrungsfrist: Personenbezogene Daten dürfen nur so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht.
-Grundsatz der Integrität und Vertraulichkeit: Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, was den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung einschließt, indem geeignete technische oder organisatorische Maßnahmen getroffen werden. Personenbezogene Daten sind nur für zugriffsberechtigte Benutzer zugänglich und dürfen ohne entsprechende Genehmigung nicht an Dritte weitergegeben werden.
-Grundsatz der proaktiven Verantwortung: Die Unternehmen sind für die Einhaltung der Datenschutzbestimmungen verantwortlich und müssen in der Lage sein, diese Einhaltung nachzuweisen.
-Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Neue Verarbeitungen, Projekte, Dienstleistungen und Produkte werden vorab auf ihre Auswirkungen auf den Datenschutz geprüft.
7. Rollen und Verantwortlichkeiten
Alle Rollen und Verantwortlichkeiten werden differenziert und, soweit möglich, in der Stellenbeschreibung individuell zugewiesen. Zusätzlich zu dieser individuellen Zuweisung sind alle Personen, die zu Ona Hotels & Apartment gehören, unabhängig von der Ebene, verpflichtet, die in Sachen Informationssicherheit festgelegten Regeln, Verfahren und Kontrollen einzuhalten.
Die Hauptverantwortung für die Kontrolle in Sachen Datenschutz liegt beim Datenschutzbeauftragten, der extern ernannt wurde.
Ona Hotels & Apartment hat Regeln und Verfahren eingeführt, die die Pflichten des Personals in Bezug auf den Datenschutz festlegen.
Die Unternehmen ergreifen die erforderlichen Maßnahmen, um sicherzustellen, dass ihre Mitarbeiter in verständlicher Weise über die Datenschutzpflichten, die ihre Aufgaben betreffen, und über die Folgen einer Nichteinhaltung aufgeklärt werden.
8. Register für Verarbeitungstätigkeiten
Die Unternehmen führen ein Verarbeitungsverzeichnis, in dem sie die Einzelheiten der Verarbeitungen festhalten, die sie als Verantwortlicher genehmigt haben, sowie ein weiteres Verzeichnis der Verarbeitungen, die sie als Auftragsverarbeiter für diejenigen Unternehmen durchgeführt haben, für die sie im Rahmen eines entsprechenden Verwaltungsvertrags als Verwalter tätig sind.
Gemäß dem Grundsatz des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen und in Anbetracht der Tatsache, dass es den Kontrollorganen nicht möglich ist, jede einzelne Tätigkeit im Zusammenhang mit personenbezogenen Daten, die in den einzelnen Abteilungen durchgeführt wird, zu kennen, muss jede neue Verarbeitung oder jede Verarbeitung, die die im Verarbeitungsverzeichnis zugewiesenen Attribute und Merkmale verändert, dem Datenschutzbeauftragten mitgeteilt werden, damit er sie bewerten und genehmigen kann, wenn sie kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Darüber hinaus informieren die Unternehmen alle betroffenen Personen über die Verarbeitung personenbezogener Daten mittels Informations- und Einwilligungsklauseln gemäß Art. 13 und 14 der DSGVO.
9. Risikoanalyse
Alle Verarbeitungen, die dieser Sicherheitsrichtlinie unterliegen, durchlaufen eine Risikoanalyse, in der die Bedrohungen und Risiken, denen sie ausgesetzt sind, bewertet werden. Diese Analyse wird in regelmäßigen Abständen wiederholt.
Ona Hotels & Apartments führt in regelmäßigen Abständen eine Analyse der den Datenschutz betreffenden Risiken und Bedrohungen durch.
Die Risikoanalyse erfolgt über eine Karte der inhärenten Risiken, in der die Bruttorisiken vor der Durchführung von Präventions-, Aufdeckungs- und Minderungskontrollen bewertet werden, gefolgt von einer Karte der Restrisiken, in der die Nettorisiken nach der Durchführung von Kontrollen automatisch bewertet werden.
9.1. Richtlinien zur Minimierung von Risiken
Um Risiken zu verwalten und zu minimieren, wendet Ona Hotels & Apartment physische, personelle, administrative und netzwerkbezogene Sicherheitsmaßnahmen an, wie zum Beispiel:
· Sicherheit der logischen Zugänge: Ona Hotels & Apartment wendet Sicherheitsmaßnahmen für den Schutz der logischen Zugänge an.
· Logischer Zugang von Personen zu den Computersystemen: Ona Hotels & Apartment wird ein System mit Zwei-Faktor-Authentifizierung einsetzen. Zum einen wird der Benutzer vom Systemadministrator bestimmt, und der Benutzer selbst vergibt sein eigenes Passwort. Zum anderen erhält der Benutzer einen Code, um diese Authentifizierung zu bestätigen.
Das Passwort ist stets unlesbar, auch für den Administrator. Falls erforderlich (z.B. wenn der Benutzer es vergessen hat), kann der Systemadministrator einen Prozess zur Änderung des Passworts durch den Benutzer einleiten, ohne dass das vorherige Passwort benötigt wird.
· Kontrolle des Zugriffs auf Daten und Ressourcen: Ona Hotels & Apartment legt die Regeln und Verfahren fest, nach denen die in diesem Abschnitt genannten Kontrollmaßnahmen entwickelt, spezifiziert und detailliert werden.
· Betriebssysteme: Für den Zugriff und die Nutzung aller in den Computersystemen des Unternehmens verwendeten Betriebssysteme ist eine Validierung und Authentifizierung erforderlich.
· Viren und Malware: Auf allen Computern von Ona Hotels & Apartment ist Anti-Virus- und Anti-Malware-Software installiert und wird regelmäßig aktualisiert. Außerdem gibt es Firewalls, die den Netzverkehr kontrollieren und unbefugtes Eindringen erkennen.
Die Benutzer werden zeitgerecht über die grundlegenden Maßnahmen informiert, die zu ergreifen sind, um das Eindringen von Viren und Malware zu verhindern.
· Benutzerverwaltung: Die Liste aller Netzbenutzer, die zum Zugriff auf das Informationssystem berechtigt sind, muss aktualisiert werden, wobei die Zugriffsebenen so abgegrenzt werden, dass die Vertraulichkeit und Integrität der Daten gewährleistet ist. Ferner führt Ona Hotels & Apartment Zugriffskontrollen und Überwachungen hinsichtlich der den Mitarbeitern zur Verfügung gestellten Computersysteme durch, um die Informationen zu schützen.
· Zugangsbeschränkung: Um auf die IT-Ressourcen zugreifen zu können, muss ein Benutzerkonto zugewiesen und auf den Domain-Servern registriert sein. Mit der Zugangsberechtigung wird das erforderliche Profil erstellt, mit dem die in den Anwendungen verfügbaren Funktionen und Rechte entsprechend den Kompetenzen des jeweiligen Benutzers konfiguriert werden, wobei die Politik verfolgt wird, dass nur die für die Ausführung der anvertrauten Funktionen unbedingt erforderlichen Rechte zugewiesen werden. Ebenso kommt eine Zwei-Faktor-Authentifizierung hinsichtlich des Zugangs zu den Domain-Servern zum Einsatz.
· Sicherheit von WLAN und drahtlosen Netzen: Das Unternehmen ergreift geeignete Maßnahmen zum Schutz vor unberechtigtem Zugriff auf das WLAN der Entität.
· Server und physische Medien: Im Allgemeinen werden alle vertraulichen Informationen und personenbezogenen Daten auf externen Servern mit geeigneten Sicherheitsmaßnahmen in Sachen Datenschutz und Informationssicherheit gespeichert.
· Sicherungskopien: Alle Sicherungskopien enthalten alle Informationen, die zur Wiederherstellung des Dienstes im Falle einer Datenbeschädigung oder eines Informationsverlustes erforderlich sind (Daten, Programme, Konfigurationsdateien und sogar Images von bestimmten Servern). Ferner gibt es Protokolle für die Datensicherung und -wiederherstellung.
Für alle relevanten Systeme werden Sicherheitsstandards festgelegt, die zumindest die folgenden Informationen umfassen: Periodizität der Sicherungskopien, Aufbewahrungsfristen für Sicherungskopien, Standort der Sicherungsmedien, Verfahren zur Wiederherstellung von Informationen, Verfahren zur Wiederherstellung und Überprüfung der Integrität der gesicherten Informationen.
· Authentifizierung: Benutzercodes und Passwörter sind persönlich und nicht übertragbar. Der Benutzer trägt die alleinige Verantwortung für die Folgen, die sich aus ihrem Missbrauch, ihrer Weitergabe oder ihrem Verlust ergeben können.
· Sicherheit am Arbeitsplatz: Die Mitarbeiter werden über die vom Unternehmen aufgestellten Regeln, die im Hinblick auf die Sicherheit am Arbeitsplatz anzuwenden sind, informiert. Dazu gehören die automatische Sperrung von Geräten – nach einer bestimmten Zeit der Inaktivität muss das Passwort zur Aktivierung eingegeben werden – sowie die Einhaltung der Null-Papier-Politik an den Arbeitsplätzen.
· Mobile Geräte: Das Unternehmen wird angemessene Sicherheitsmaßnahmen für mobile Geräte des Unternehmens einführen.
Benutzer, denen mobile Geräte des Unternehmens zugewiesen wurden, müssen die spezifischen Regeln für die Nutzung einhalten und die entsprechenden Sicherheitsmaßnahmen beachten.
10. Vertragliche Verpflichtungen
Ona Hotels & Apartments verpflichtet sich, neben den gesetzlichen Datenschutzanforderungen auch die spezifischen Datenschutzanforderungen zu erfüllen, die von seinen Kunden und Lieferanten in Bezug auf die personenbezogenen Daten verlangt werden, zu denen es aufgrund seiner vertraglichen Beziehungen mit ihnen Zugang hat.
Ona Hotels & Apartment legt besonderes Augenmerk auf die vertraglichen Verpflichtungen, welche die Verarbeitung von personenbezogenen Daten mit sich bringen.
Ona Hotels & Apartments erstellt und aktualisiert ein Verzeichnis, in dem es die Verpflichtungen im Zusammenhang mit dem Schutz personenbezogener Daten, auf die seitens Ona Hotels & Apartments zugegriffen wird oder die verarbeitet werden, identifiziert und priorisiert.
Ona Hotels & Apartments kontrolliert in regelmäßigen Abständen, ob die vertraglichen Verpflichtungen in Sachen Datenschutz auf allen Ebenen der Gruppe bekannt sind.
11. Lieferantenkontrolle unter dem Blickwinkel des Datenschutzes
Ona Hotels & Apartments erstellt ein Verzeichnis aller Zulieferer, die personenbezogene Daten im Auftrag von Unternehmen der Gruppe verarbeiten oder die direkt oder indirekt Zugang zu von der Gruppe verwalteten personenbezogenen Daten haben.
Sollte es notwendig sein, einen neuen Dienst zu kontrahieren, der eine Datenverarbeitung erfordert, wird das Unternehmen eine Lieferantenselektion und ein Bewertungsverfahren durchführen, wobei die gesetzlich in Sachen Datenschutz geforderten Garantien berücksichtigt werden.
Bei der Bewertung wird denjenigen Lieferanten Vorrang eingeräumt, die die besten Datenschutzgarantien bieten.
Die Beziehung zu Lieferanten, die personenbezogene Daten verarbeiten oder direkt oder indirekt Zugang zu ihnen haben, wird stets in einem Vertrag geregelt, der einen besonderen Abschnitt über die vom Lieferanten zu erfüllenden Verpflichtungen enthält. Zu diesen Verpflichtungen gehören mindestens die in Artikel 28 der Datenschutz-Grundverordnung genannten.
12. Aufbewahrungsfristen für Daten
Ona Hotels & Apartments speichert personenbezogene Daten so, dass die Identifizierung der betroffenen Personen nur so lange möglich ist, wie es für die Zwecke der Verarbeitung dieser Daten erforderlich ist. Hierzu erstellt das Unternehmen eine Tabelle mit den Speicherfristen für die Daten, die es speichern muss oder deren Speicherung es für angemessen hält, und aktualisiert diese.
Bei der Erstellung dieser Tabelle werden die Verjährungsfristen für Verstöße und die durch die DSGVO und das Organgesetz über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte festgelegten Beschränkungen berücksichtigt. Gesetzliche, sektorielle und vertragliche Verpflichtungen, die möglicherweise längere Aufbewahrungsfristen erfordern, werden ebenfalls berücksichtigt.
Ona Hotels & Apartments berücksichtigt bei der Unterrichtung der betroffenen Personen über ihre Rechte auch die ihnen mitgeteilten Fristen.
Bei der Vernichtung von Dokumenten gilt es, die Vertraulichkeit während des gesamten Prozesses zu gewährleisten.
13. Management von Sicherheitslücken und -vorfällen
Jede Situation, die die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität oder Rückverfolgbarkeit der Informationen des Unternehmens gefährden könnte, gilt als Sicherheitslücke.
Das Unternehmen hat daher geeignete Maßnahmen zur Cybersicherheit zu ergreifen, einschließlich des Schutzes vor Bedrohungen durch Kommunikationsnetze, wie z. B. Cyberangriffe, Denial-of-Service-Angriffe, unbefugte Zugriffe und Systementführungen oder Ransomware, um nur einige zu nennen.
Jede Person, die von einem Vorfall, der den Datenschutz beeinträchtigen könnte, Kenntnis erlangt oder einen entsprechenden Verdacht hegt, ist dies unverzüglich über die zu diesem Zweck eingerichteten Kanäle zu melden.
Falls die Sicherheitslücke oder der Sicherheitsvorfall ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnte, ist die zuständige Aufsichtsbehörde, d.h. die Agencia Española de Protección de Datos, spätestens 72 Stunden nach Bekanntwerden der Lücke oder des Vorfalls zu benachrichtigen.
Ona Hotels & Apartments verfügt über ein Protokoll, in dem das von der Einrichtung angewandte System zur Meldung und Verwaltung von Sicherheitsvorfällen und -lücken festgelegt ist, um zu gewährleisten, dass Sicherheitsvorfälle und Schwachstellen im Zusammenhang mit den Computersystemen erfasst und angemessen behandelt werden, durch geeignete Reparatur- und Abhilfemaßnahmen und die Wiederherstellung des normalen Betriebsniveaus der betroffenen Dienste. Dabei besteht die Möglichkeit, Korrekturmaßnahmen zu ergreifen, um ihre Ursachen zu beseitigen und ihnen in Zukunft vorzubeugen.
14. Schulung und Sensibilisierung
Alle Mitarbeiter von Ona Hotels & Apartments sind verpflichtet, die Datenschutzpolitik zu kennen und einzuhalten. Aus diesem Grund bemüht sich Ona Hotels & Apartments um ständige Schulungen und Sensibilisierungsmaßnahmen in Sachen Datenschutz auf allen Unternehmensebenen.
Die Schulungen können in Form von Präsenzveranstaltungen oder e-Learning-Kursen stattfinden.
Die Sensibilisierung kann sich auf Kommunikations- und Schulungsmaterialien und -instrumente aller Art stützen, mit denen das Bewusstsein für die Risiken von Verstößen auf allen Unternehmensebenen geschärft werden kann.
Jeder Mitarbeiter ist verpflichtet, diese Richtlinie und die für seine Stellung relevanten Protokolle einzuhalten und alle festgestellten Sicherheitsvorfälle zu melden.
15. Prävention von Verstößen
Das Hauptziel von Ona Hotels & Apartments mit dieser Richtlinie und den Regeln, Verfahren und Kontrollen, die sie ausmachen, ist es, Verletzungen der Rechte und Freiheiten der betroffenen Personen zu verhindern und die Vorschriften zum Schutz personenbezogener Daten einzuhalten.
Der wichtigste Bezugsrahmen für die Erreichung dieses Ziels ist die Datenschutz-Grundverordnung, die zwei Kategorien von Verstößen unterscheidet: schwerwiegende und sehr schwerwiegende Verstöße.
Bei schwerwiegenden Verstößen können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Kategorie fallen z. B. unzureichende technische oder organisatorische Maßnahmen, die Beauftragung von Datenverarbeitern ohne ausreichende Garantien, die Nichtmeldung einer Datenschutzverletzung usw. Bei sehr schwerwiegenden Verstößen können Strafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Kategorie fallen z. B. unrechtmäßige Verarbeitungen, unrechtmäßige Einwilligungen, Verstöße gegen die Vertraulichkeitspflicht usw.
16. Aktualisierung und Verbesserung dieser Richtlinie
Diese Richtlinie wird in regelmäßigen Abständen aktualisiert, um Änderungen und Verbesserungen im Bereich des Datenschutzes Rechnung zu tragen. Ona Hotels & Apartments verifiziert in regelmäßigen Abständen die Anwendung der Präventions- und Kontrollmaßnahmen. Wenn relevante Verstöße gegen diese Richtlinie, wesentliche Änderungen oder Änderungen in den Informationssystemen des Unternehmens festgestellt werden, schlägt Ona Hotels & Apartments die notwendigen Änderungen vor.