Erläuterungstext zum Gesetz über den Schutz personenbezogener Daten und zur GDPR-Politik
Diese Auskunft erfolgt gemäß Artikel 10 des "Gesetzes zum Schutz personenbezogener Daten" mit der Nummer 6698 und aufgrund einer gesetzlichen Verpflichtung.
Dieser Text wurde im Rahmen der im Gesetz über den Schutz personenbezogener Daten enthaltenen Themen und unter Einhaltung der im Gesetz erwähnten Elemente von den Unternehmen erstellt, von denen jedes den Titel des für die Datenverarbeitung Verantwortlichen in Bezug auf seine juristische Person in allen unseren Einrichtungen trägt, die innerhalb der Özyer-Gruppe tätig sind und im Rahmen des Hotelmanagements für den Schutz personenbezogener Daten dienen.
Lykia Turizm Yatırımları Sanayi ve Ticaret Anonim Şirketi (Liberty Lykia)
Ayfaba Turizm Yatırımları İnşaat Anonim Şirketi (Liberty Fabay)
Özyer Turizm Sanayi ve Ticaret A.Ş. (Liberty Lara, Liberty Kuşadası, Sundia By Liberty Suncity)
Ölüdeniz Otelcilik Turizm Sanayi ve Ticaret A.Ş. (Sundia By Liberty Ölüdeniz)
Fethiye Enerji Sanayi ve Ticaret Anonim Şirketi (Sundia Exclusive By Liberty Fethiye)
Hez Turizm Yatırımları San. Ve Tic. A.Ş (Liberty Signa)
Gülmete Turizm Yatırımları Aş. (XO Cape Arnna)
Alle oben aufgeführten Unternehmen werden im folgenden Text als Tochtergesellschaften bezeichnet.
Dieser Text wurde in Übereinstimmung mit dem Gesetz und der Verordnung, die eine sekundäre Regulierung des Gesetzes ist, und anderen Gesetzen erstellt, um die persönlichen Daten der
Gäste,
Gastkandidaten,
Besucher,
Angestellten,
Partner der Tochtergesellschaften sowie Angestellten anderer Unternehmen, mit denen es in geschäftlicher Partnerschaft steht, und ohne Einschränkung alle Gesprächspartner, in Übereinstimmung mit dem Gesetz und der Verordnung und anderen Gesetzen, in der Eigenschaft als Datenverantwortlicher zu verarbeiten und zu schützen, um die maximale Aufbewahrungsdauer zu bestimmen, die für den Zweck, für den sie verarbeitet werden, erforderlich ist, um die persönlichen Daten am Ende der angegebenen Aufbewahrungsdauer zu löschen, zu vernichten oder zu anonymisieren, und um das Verfahren zur Erfüllung der Anfragen der betroffenen Personen mit den verarbeiteten persönlichen Daten zu bestimmen.
Der Zweck dieses Textes und der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten der Liberty Hotels Group besteht darin, Sie, die Sie ein Hotel auf den Websites unserer Tochtergesellschaften buchen, die Websites durchsuchen oder die von unseren Tochtergesellschaften bereitgestellten Formulare ausfüllen, über die von unseren Tochtergesellschaften eingegangenen Verpflichtungen zum Schutz ihrer personenbezogenen Daten zu informieren.
Insbesondere informieren wir Sie darüber, welche personenbezogenen Daten wir von Ihnen erheben, wie wir sie verwenden, wie wir sie weitergeben, wie wir sie schützen und schließlich, wie Sie Ihre Rechte in Bezug auf diese Daten ausüben können.
1. Zweck der Verarbeitung personenbezogener Daten
Unsere Tochtergesellschaften verarbeiten die personenbezogenen Daten, die Sie uns zur Verfügung stellen und die für Sie relevant sind, in folgenden Fällen:
Wenn Sie unsere Websites durchsuchen;
Wenn Sie eine Reservierung direkt über die Website in den folgenden Hotels vornehmen: Liberty Lykia, Liberty Lara, Liberty Fabay, Sundia Exclusive By Liberty Fethiye, Sundia By Liberty Oludeniz, Sundia By Liberty Suncity, Liberty Signa, Liberty Kuşadası, XO Cape Arnna.
Wenn Sie zugestimmt haben, unsere Newsletter und andere Marketing-/Werbeinformationen von uns zu erhalten;
Wenn Sie sich mit uns in Verbindung setzen möchten, um Fragen an unsere Partner zu stellen, eine Beschwerde einzureichen oder sich über das Kontaktformular um eine Stelle zu bewerben.
Personenbezogene Daten (Vorname, Nachname, Geburtsdatum, Identitäts- und Passdaten, Arbeits-, Privat- und Mobiltelefonnummer, E-Mail-Adresse, Geschlecht, Adresse, Beruf, Ausbildung, Familienstand, Kfz-Kennzeichen, Unterkunft, Kreditkarten-, Ausgaben- und Flugdaten, Einkaufsdaten, Rechnungsdaten, Konsumpräferenzen usw.).
Durchführung der erforderlichen Arbeiten durch die Geschäftsbereiche, um sicherzustellen, dass die Beteiligten von den angebotenen Produkten und Dienstleistungen profitieren,
Um Produkte und Dienstleistungen anbieten zu können, muss mit den Beteiligten über die Produkte und Dienstleistungen kommuniziert werden, die sie erhalten oder erhalten sollen,
Anpassung und Empfehlung von Produkten und Dienstleistungen entsprechend ihrem Geschmack, ihren Nutzungsgewohnheiten und Bedürfnissen,
Produkt-/Dienstleistungsangebot, (kann für Marketingaktivitäten verwendet werden),
Modellierung, Berichterstattung, Bewertung, Umsetzung der Politik der menschlichen Werte,
Gewährleistung der rechtlichen und geschäftlichen Sicherheit von Personen, die in einer Beziehung zu unseren Tochtergesellschaften stehen,
Festlegung und Umsetzung von Handels- und Geschäftsstrategien,
Für die Zwecke von Studien über bestehende oder neue Produkte unserer Tochtergesellschaften und die Identifizierung potenzieller Kunden, usw.
Im Zusammenhang mit Tourismus-, Marketing-, Werbe- und Verkaufsförderungsaktivitäten und aufgrund gesetzlicher Verpflichtungen werden personenbezogene Daten unter den Bedingungen und zu den Zwecken der Verarbeitung personenbezogener Daten verarbeitet, die in den Artikeln 5 und 6 des Gesetzes zum Schutz personenbezogener Daten festgelegt sind.
2. Allgemeine Grundsätze
Unsere Tochtergesellschaften handeln im Rahmen der folgenden Grundsätze bei allen Transaktionen im Zusammenhang mit personenbezogenen Daten, einschließlich, aber nicht beschränkt auf die Erfassung, die Verarbeitung, die Speicherung, den Schutz, die Löschung, die Vernichtung und die Anonymisierung von personenbezogenen Daten:
Einhaltung der Gesetze und Treu und Glauben,
Richtigkeit und Aktualität der Daten, soweit erforderlich,
Verarbeitung zu spezifischen, eindeutigen und rechtmäßigen Zwecken,
Relevanz, Begrenzung und Verhältnismäßigkeit in Bezug auf den Zweck, für den sie verarbeitet werden,
Speicherung, Aufbewahrung für den Zeitraum, der in den einschlägigen Rechtsvorschriften vorgesehen oder für den Zweck, für den sie verarbeitet werden, erforderlich ist, und Löschung, Vernichtung oder Anonymisierung personenbezogener Daten am Ende dieses Zeitraums unter Berücksichtigung des Antrags der betroffenen Person oder der regelmäßigen Löschungsfristen,
schnellstmögliche Beantwortung der Anfragen der betroffenen Personen bezüglich ihrer in Artikel 11 des Gesetzes festgelegten Rechte,
Ergreifung aller erforderlichen technischen und administrativen Maßnahmen, die im Gesetz, in der Richtlinie der Liberty Hotels Group zur Speicherung und Vernichtung personenbezogener Daten und in allen anderen einschlägigen Rechtsvorschriften für alle Vorgänge im Zusammenhang mit der Speicherung, Löschung, Vernichtung oder Anonymisierung personenbezogener Daten vorgesehen sind,
Aufzeichnung aller Vorgänge im Zusammenhang mit der Löschung, Vernichtung und Anonymisierung der in diesem Text genannten personenbezogenen Daten und deren Aufbewahrung für mindestens 3 Jahre, unter Ausschluss anderer gesetzlicher Verpflichtungen.
3. Weitergabe personenbezogener Daten
Personenbezogene Daten können von den Geschäftseinheiten verwendet werden, um die notwendigen Arbeiten durchzuführen, damit die Interessenten von den von unseren Tochtergesellschaften angebotenen Produkten und Dienstleistungen profitieren können, um Produkte und Dienstleistungen anzubieten, um über die erhaltenen oder zu erhaltenden Produkte und Dienstleistungen zu kommunizieren, um Produkte und Dienstleistungen zu empfehlen, indem sie an den Geschmack, die Nutzungsgewohnheiten und die Bedürfnisse der Kunden angepasst werden, um Produkte/Dienstleistungen anzubieten (zur Verwendung in Marketingaktivitäten), zur Gewährleistung der rechtlichen und kommerziellen Sicherheit von Personen, die in einer Beziehung zu unseren Tochtergesellschaften stehen, zur Festlegung und Umsetzung der kommerziellen und geschäftlichen Strategien der Tochtergesellschaften, der Geschäftspartner, der Lieferanten, der Aktionäre, der mit den Tochtergesellschaften verbundenen Unternehmen unserer Gruppe, der gesetzlich befugten öffentlichen Einrichtungen, der staatlichen Sicherheitsorgane und der Privatpersonen im Rahmen der in den Artikeln 8 und 9 des Gesetzes über den Schutz personenbezogener Daten genannten Bedingungen und Zwecke der Datenverarbeitung.
3.1. Personenbezogene Daten der Gäste
3.1.1. Daten von Gästen, die mit Personen in Verbindung gebracht werden können
Personenbezogene Daten (Identifizierung) wie Vorname, Nachname, Personalausweis- oder Reisepassnummer, Alter, Geschlecht, Geburtsdatum,
Personenbezogene Daten wie Adresse, Telefonnummer, E-Mail-Adresse usw. (Kontakt),
Personenbezogene Daten wie die ersten 6 und letzten 4 Ziffern von Bankkreditkarten oder die Nummer von Bankkarten, Name, Vorname des Karteninhabers, Gültigkeitsdatum usw., die übermittelt werden, um die Zahlung für die erbrachte Dienstleistung sicherzustellen (Zahlung),
Informationen und Dokumente mit personenbezogenen Daten im Zusammenhang mit dem Reiseprodukt (Flug, Unterkunft, Transfer, Gesundheitstourismus usw.), das aufgrund der erbrachten Leistung erworben wurde (Leistungskomponenten),
Persönliche Daten wie die IP-Nummer (Standort) mit der Möglichkeit der Personalisierung,
Persönliche Daten (Gewohnheiten), die es ermöglichen, die angebotene Dienstleistung entsprechend den Wünschen und Erwartungen des Gastes zu personalisieren (dünnes Kissen, Jasminduft, übergroßer Bademantel, usw.)
Statistische Daten, die keine Möglichkeit bieten, eine direkte Beziehung zur Person herzustellen; Anonymisierte Informationen, die von Lösungspartnern erhalten werden, von denen digitale Marketingdienste bezogen werden, um das Profil des Gastes zu bestimmen und seine Vorlieben zu erfahren und die angebotenen Dienstleistungen entsprechend diesem Profil zu verbessern, sowie Gästedaten, die von den angeschlossenen Unternehmen anonymisiert werden können.
3.1.2. Quellen der personenbezogenen Daten von Gästen
Unsere angeschlossenen Unternehmen erhalten die Gästedaten direkt von der betroffenen Person oder ihrem Vertreter, von Reiseveranstaltern, Agenturen, Webseiten, Call-Centern, Mobiltelefonanwendungen, Social-Media-Konten, Geschäfts- und Lösungspartnern, die Dritte sind, sowie aus Quellen, die von der betroffenen Person selbst veröffentlicht wurden.
Personenbezogene Daten, die nicht direkt von der betroffenen Person durch unsere angeschlossenen Unternehmen erlangt und an die angeschlossenen Unternehmen übermittelt werden, um Unterkunftsleistungen in Anspruch zu nehmen, gelten als dem Willen der betroffenen Person entsprechend und in Übereinstimmung mit dem Gesetz. Im Falle von Zweifeln in dieser Hinsicht haben die angeschlossenen Unternehmen unverzüglich die erforderlichen Maßnahmen und Vorkehrungen zu treffen. Erforderlichenfalls löschen, vernichten oder anonymisieren sie die personenbezogenen Daten unverzüglich gemäß den in dieser Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten der Liberty Hotels Group dargelegten Grundsätzen.
3.1.3. Gründe für die Erhebung, Verarbeitung und Übermittlung von Daten von Gästen
Unsere Tochtergesellschaften erheben, verarbeiten und übermitteln personenbezogene Daten nur zu den in den Artikeln 5, 6, 8 und 9 des Gesetzes genannten legitimen Zwecken im Rahmen der in Artikel 2 des vorliegenden Textes genannten allgemeinen Grundsätze. In Ermangelung einer ausdrücklichen Zustimmung der betroffenen Person können unsere Tochtergesellschaften personenbezogene Daten erheben, verarbeiten oder übermitteln, wenn eine oder mehrere der folgenden, in den Artikeln 5 und 6 des Gesetzes genannten Bedingungen vorliegen, und zwar nur in dem Umfang und für die Dauer, wie es die jeweilige Situation erfordert:
Sie ist eindeutig gesetzlich vorgeschrieben,
Sie ist zwingend erforderlich zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person, die aufgrund tatsächlicher Unmöglichkeit nicht in der Lage ist, ihre Einwilligung zu erteilen, oder deren Einwilligung nicht rechtsgültig ist,
Die Verarbeitung personenbezogener Daten ist erforderlich, sofern sie in direktem Zusammenhang mit der Begründung oder Erfüllung des von der betroffenen Person mit den angeschlossenen Unternehmen geschlossenen Vertrags steht,
Die Verarbeitung ist für die Mitgliedsorganisationen zwingend erforderlich, um ihrer gesetzlichen Verpflichtung als für die Datenverarbeitung Verantwortlicher nachzukommen,
Die personenbezogenen Daten wurden von der betroffenen Person öffentlich gemacht,
Die Verarbeitung der Daten ist für die Begründung, die Ausübung oder den Schutz eines Rechts zwingend erforderlich,
Die Datenverarbeitung ist für die berechtigten Interessen der Tochtergesellschaften als Inhaber der Datenverarbeitung zwingend erforderlich, sofern sie die Grundrechte und Grundfreiheiten der betroffenen Person nicht beeinträchtigt.
Unsere Tochtergesellschaften erheben, verarbeiten oder übermitteln personenbezogene Daten zu den folgenden Zwecken, ohne darauf beschränkt zu sein, sofern dies nicht gegen die allgemeinen Grundsätze verstößt, auf der Grundlage der oben genannten Rechtsgrundlagen
Damit die Geschäftsbereiche die notwendigen Arbeiten durchführen können, damit die Gäste von den Produkten und Dienstleistungen unserer Tochtergesellschaften profitieren können,
Anpassung der von unseren Tochtergesellschaften angebotenen Produkte und Dienstleistungen an den Geschmack, die Nutzungsgewohnheiten und die Bedürfnisse der Gäste sowie deren Empfehlung und Angebot an sie,
Verbesserung der Qualität der von unseren Tochtergesellschaften angebotenen Dienstleistungen und Verbesserung der Qualitätspolitik,
Information der Gäste und potenziellen Gäste über allgemeine und spezielle Kampagnen, Werbeaktionen, Promotionen, Rabatte und ähnliche Vorteile, die von unseren Tochtergesellschaften angeboten werden,
Wenn sich Besucher mit ihren Benutzernamen und Passwörtern anmelden, um Dienstleistungen aus den von unseren Tochtergesellschaften angebotenen Kanälen zu erhalten, die persönlichen Daten, Präferenzen, Transaktionen und Browsing-Zeiten in den entsprechenden Kanälen sowie die erhaltenen Daten, um die von ihnen angeforderten Informationen und Dienstleistungen zu liefern,
Mitteilungen (Erneuerung, Kündigung usw.) über alle Arten von Kundenkarten, die von unseren angeschlossenen Unternehmen und verwandten Organisationen ausgegeben wurden und/oder werden sollen, sowie über die Mitgliedschaft auf der Website unserer angeschlossenen Unternehmen und verwandten Organisationen, über alle Arten der Kommunikation mit den Gästen, um sie über Änderungen, Neuerungen und Ähnliches zu informieren, die in der Politik der persönlichen Daten und den Mitgliedschaftsbedingungen in Bezug auf die neuen angebotenen Dienstleistungen und Produkte auftreten können,
Gewährleistung der rechtlichen und kommerziellen Sicherheit der betreffenden Personen, die in geschäftlichen Beziehungen zu unseren Partnern und unseren Tochtergesellschaften stehen (Verwaltungsvorgänge für die von den Partnern durchgeführte Kommunikation, Gewährleistung der physischen Sicherheit und Kontrolle der Orte, die den Partnern gehören, Bewertungsprozesse von Geschäftspartnern/Gästen/Lieferanten (bevollmächtigt oder Angestellte), Prozesse zur Einhaltung von Rechtsvorschriften, finanzielle Angelegenheiten usw.),
Bereitstellung von Auskünften über Informationen, Aktivitäten und Dienstleistungen, die von den betreffenden Personen bei den angeschlossenen Unternehmen angefordert werden,
Festlegung und Umsetzung der Handels- und Geschäftsstrategien unserer Tochtergesellschaften,
Sicherstellung der Umsetzung der Menschenrechtspolitik unserer Tochtergesellschaften und Erfüllung einer gesetzlichen Verpflichtung, wenn dies in der Gesetzgebung eindeutig festgelegt ist oder wenn dies erforderlich ist
Es ist unerlässlich, die informierte Zustimmung der Gäste zu den direkt und indirekt erhobenen personenbezogenen Daten einzuholen. Unsere Tochtergesellschaften können jedoch personenbezogene Daten von Gästen oder potenziellen Gästen auch ohne ausdrückliche Zustimmung verarbeiten, wenn dies auf die in Artikel 5 Absatz 2 des Gesetzes genannten Fälle beschränkt ist. Ist dies nicht mehr erforderlich, werden die Daten unverzüglich gelöscht, vernichtet oder anonymisiert, wenn der Gast oder potenzielle Gast nicht einwilligt.
Unsere Tochtergesellschaften verarbeiten personenbezogene Daten nur für die von ihnen erbrachten Dienstleistungen und legitimen Zwecke und verwenden die erworbenen Daten in keiner Weise für Dienstleistungen, die den gesetzlichen Vorschriften und der Ehrlichkeit widersprechen, auch nicht, wenn die ausdrückliche Zustimmung des Gastes im Rahmen der oben genannten Grundsätze vorliegt.
3.1.4. Übermittlung der personenbezogenen Daten von Gästen
Unsere Tochtergesellschaften können die erhaltenen Daten weitergeben, um ihre Ziele auf der Grundlage der in diesem Text genannten Rechtsgrundlagen zu erreichen und um ihre Verpflichtungen aus den mit Geschäfts- und Lösungspartnern, Unterkunfts- und Transferdienstleistern und anderen Dritten geschlossenen Verträgen zu erfüllen.
Die angeschlossenen Unternehmen können im Rahmen der vom Vorstand festgelegten Grundsätze personenbezogene Daten im In- und Ausland übermitteln, um die aus den in Artikel 8 des Gesetzes genannten Gründen erbrachten Dienstleistungen zu erfüllen. Die Übermittlung personenbezogener Daten aus anderen als den in Art. 8/2 des Gesetzes genannten Gründen ist von der Zustimmung der betroffenen Person abhängig.
Unsere Tochtergesellschaften handeln grundsätzlich im Rahmen des Gesetzes, anderer einschlägiger Rechtsvorschriften und der Beschlüsse des Verwaltungsrats und ergreifen die erforderlichen technischen und administrativen Maßnahmen bei der Weitergabe von Daten an die Personen und Organisationen, an die sie diese weitergeben.
Unsere Tochtergesellschaften können personenbezogene Daten an die folgenden Personen und Institutionen zum Zweck der Leistungserbringung weitergeben:
An Lieferanten und Subunternehmer, von denen die angeschlossenen Unternehmen die notwendigen Dienstleistungen beziehen, um ihren Gästen Beherbergungsleistungen zu bieten und gleichzeitig ihre kommerziellen Aktivitäten zu erfüllen,
für den Fall, dass der Gast Flug- und Beherbergungsleistungen zusammen als Paket in Anspruch nehmen möchte, an die entsprechenden Fluggesellschaften,
für den Fall, dass der Gast einen privaten Straßentransfer vom Flughafen zum Hotel, in dem er übernachten wird, und/oder vom Hotel, in dem er übernachtet hat, zum Flughafen wünscht, an die Anbieter und Beförderungsunternehmen, die diesen Transferdienst erbringen,
an Lösungspartner, um die kommerziellen Aktivitäten für die von unseren Tochtergesellschaften angebotenen Beherbergungsdienstleistungen zu gewährleisten,
an öffentliche Einrichtungen und Organisationen, um gesetzliche Verpflichtungen zu erfüllen,
an Dritte oder öffentliche Einrichtungen und Organisationen, um eine Bedrohung für das Leben, die körperliche Unversehrtheit und die Sicherheit von Personen zu beseitigen, um ungesetzliche Handlungen im Falle von Betrug, geistigen Rechten und Verletzungen und Verstößen gegen die Datenpolitik zu beseitigen oder zu verhindern,
zur Wahrung der berechtigten Interessen unserer Tochtergesellschaften und deren Rechte und Interessen sowohl gegen eigene Ansprüche als auch gegen Ansprüche, die an sie gestellt werden, Rechtsanwälte und Rechtsberater und Wirtschaftsprüfungsgesellschaften.
3.2. Personenbezogene Daten von Arbeitnehmern und Arbeitnehmerkandidaten
Unsere Tochtergesellschaften können die personenbezogenen Daten der von ihnen beschäftigten Arbeitnehmer zum Zweck der Erfüllung des bestehenden Arbeitsvertrags, der Erfüllung der gegenseitigen Verpflichtungen und der Erfüllung der gesetzlichen Verpflichtungen, die ihnen als Arbeitgeber obliegen, verarbeiten und auf diese Zwecke beschränken, sofern sie die ausdrückliche Zustimmung erhalten. In diesem Fall müssen sich unsere Tochtergesellschaften auf die in Artikel 2 dieses Textes genannten allgemeinen Grundsätze stützen, ihre Mitarbeiter aufklären und die Sicherheit ihrer personenbezogenen Daten gewährleisten.
Unsere Tochtergesellschaften können die personenbezogenen Daten in den Lebensläufen und den damit zusammenhängenden Dokumenten, die ihnen im Rahmen des Bewerbungsverfahrens der Arbeitnehmerkandidaten, die sich bei ihnen um eine Anstellung bewerben, vorgelegt werden, bis zur endgültigen Entscheidung über die Bewerbung verarbeiten, sofern sie die ausdrückliche Zustimmung einholen. Wird die Bewerbung negativ beschieden, so werden die personenbezogenen Daten nach Ablauf der festgelegten Aufbewahrungsfrist vollständig gelöscht, vernichtet oder anonymisiert. Wird die Bewerbung teilweise oder vollständig positiv entschieden, hängt die Aufbewahrung und weitere Verarbeitung der erhaltenen personenbezogenen Daten von den Bedingungen des neu zu begründenden Rechtsverhältnisses ab.
Personenbezogene Daten mit besonderen Eigenschaften
Personenbezogene Daten besonderer Art, die in Artikel 6 des Gesetzes aufgeführt sind, sind: Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte oder andere Glaubensrichtungen, Aussehen und Kleidung, Verein, Stiftung oder Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilung und Sicherheitsmaßnahmen, biometrische und genetische Daten.
Unsere Tochtergesellschaften ergreifen zusätzliche Maßnahmen zur Verarbeitung, Übermittlung, Löschung, Vernichtung oder Anonymisierung der in diesem Text genannten personenbezogenen Daten sowie von Daten besonderer Art. Vorbehalten bleiben die Transaktionen, die aufgrund gesetzlicher Verpflichtungen oder gesetzlich vorgeschriebener Situationen vorgenommen werden müssen.
Unsere Tochtergesellschaften handeln bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Einklang mit den in Artikel 6 des Gesetzes festgelegten Bedingungen. Für die Verarbeitung sensibler personenbezogener Daten sind neben den in diesem Text genannten Verfahren und Grundsätzen auch die in der einschlägigen Gesetzgebung festgelegten angemessenen Maßnahmen zu ergreifen.
Unsere Tochtergesellschaften können die gesundheitsbezogenen personenbezogenen Daten von Mitarbeitern und Gästen bei Vorliegen einer der folgenden Bedingungen verarbeiten, sofern sie angemessene, in der einschlägigen Gesetzgebung festgelegte Maßnahmen ergreifen, sie gemäß den allgemeinen Grundsätzen verarbeiten und zur Vertraulichkeit verpflichtet sind:
Ausdrückliche Zustimmung der betroffenen Person, die die personenbezogenen Daten betrifft,
Schutz der öffentlichen Gesundheit,
Vorbeugende Medizin,
Durchführung von medizinischen Diagnose-, Behandlungs- und Pflegeleistungen,
Planung und Verwaltung von Gesundheitsdiensten und deren Finanzierung,
Verwaltung von Human Values-Prozessen für Arbeitnehmer. In Ermangelung der ausdrücklichen Zustimmung der betroffenen Person,
Sensible personenbezogene Daten, die nicht die Gesundheit und das Sexualleben betreffen, nur in den gesetzlich vorgeschriebenen Fällen,
Personenbezogene Daten, die sich auf die Gesundheit und das Sexualleben beziehen, dürfen nur zu Zwecken des Schutzes der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnose, der Behandlung und der Pflegedienste, der Planung und Verwaltung von Gesundheitsdiensten und der Finanzierung, von Personen, die der Schweigepflicht unterliegen, oder von befugten Einrichtungen und Organisationen verarbeitet werden.
4. Methode der Erhebung personenbezogener Daten und Rechtsgrundlagen
Personenbezogene Daten werden von unseren Tochtergesellschaften in allen Arten von mündlichen, schriftlichen oder elektronischen Medien erhoben, um die angebotenen Produkte und Dienstleistungen im Einklang mit den oben genannten Zwecken innerhalb des festgelegten gesetzlichen Rahmens zu erbringen und um ihre Verpflichtungen aus dem Vertrag und dem Gesetz vollständig und korrekt zu erfüllen. Die aus diesem Rechtsgrund erhobenen personenbezogenen Daten können zu den in Artikel 1 dieses Textes genannten Zwecken im Rahmen der in den Artikeln 5 und 6 des Gesetzes über den Schutz personenbezogener Daten genannten Bedingungen und Zwecke der Verarbeitung personenbezogener Daten verarbeitet und übermittelt werden.
5. Sensibilisierung für den Schutz und die Verarbeitung von personenbezogenen Daten, Überwachung
Unsere Tochtergesellschaften stellen sicher, dass die erforderlichen Schulungen für die Geschäftseinheiten organisiert werden, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten und des unrechtmäßigen Zugriffs auf Daten zu schärfen und den Schutz der Daten zu gewährleisten.
Unsere Tochtergesellschaften richten die erforderlichen Systeme ein, um sicherzustellen, dass ihre bestehenden und neuen Mitarbeiter für den Schutz personenbezogener Daten sensibilisiert sind, und arbeiten gegebenenfalls mit Beratern zusammen. In diesem Sinne werten unsere Tochtergesellschaften die Teilnahme an einschlägigen Schulungen, Seminaren und Informationsveranstaltungen aus und organisieren parallel zu den Aktualisierungen der einschlägigen Rechtsvorschriften neue Schulungen.
6. Voraussetzungen für die Verarbeitung personenbezogener Daten
Mit Ausnahme der ausdrücklichen Zustimmung des Inhabers der personenbezogenen Daten kann die Grundlage für die Verarbeitung personenbezogener Daten nur eine der folgenden Bedingungen sein, oder es können mehrere Bedingungen die Grundlage für dieselbe Verarbeitung personenbezogener Daten sein. Handelt es sich bei den verarbeiteten Daten um personenbezogene Daten besonderer Art, so gelten die Bedingungen im Abschnitt über personenbezogene Daten besonderer Art.
6.1. Vorhandensein der ausdrücklichen Zustimmung des Inhabers der personenbezogenen Daten
Eine der Voraussetzungen für die Verarbeitung personenbezogener Daten ist die ausdrückliche Einwilligung der betroffenen Person. Die ausdrückliche Einwilligung der betroffenen Person muss sich auf ein bestimmtes Thema beziehen, auf Informationen beruhen und aus freiem Willen erfolgen.
6.2. Ausdrückliche Festlegung in der Gesetzgebung
Wenn die Verarbeitung personenbezogener Daten der betroffenen Person ausdrücklich im Gesetz vorgesehen ist, d. h. wenn das einschlägige Gesetz eine ausdrückliche Bestimmung über die Verarbeitung personenbezogener Daten enthält, kann das Vorliegen dieser Bedingung für die Datenverarbeitung erwähnt werden.
6.3. Versäumnis, die ausdrückliche Zustimmung der betroffenen Person wegen tatsächlicher Unmöglichkeit einzuholen
Die personenbezogenen Daten der betroffenen Person dürfen verarbeitet werden, wenn die Verarbeitung der personenbezogenen Daten der Person, die ihre Einwilligung wegen tatsächlicher Unmöglichkeit nicht erteilen kann oder deren Einwilligung nicht als gültig anerkannt werden kann, zwingend erforderlich ist, um ihr Leben oder die körperliche Unversehrtheit einer anderen Person zu schützen.
6.4. Unmittelbare Relevanz für das Zustandekommen oder die Ausführung des Vertrags
Sofern sie in unmittelbarem Zusammenhang mit der Begründung oder Erfüllung eines Vertrags steht, dessen Vertragspartei die betroffene Person ist, kann diese Voraussetzung als erfüllt angesehen werden, wenn die Verarbeitung personenbezogener Daten erforderlich ist.
6.5. Erfüllung gesetzlicher Verpflichtungen durch das Unternehmen
Personenbezogene Daten der betroffenen Person dürfen verarbeitet werden, wenn die Verarbeitung für unser Unternehmen zur Erfüllung seiner rechtlichen Verpflichtungen zwingend erforderlich ist.
6.6. Offenlegung personenbezogener Daten durch den Inhaber
Wenn die betroffene Person ihre personenbezogenen Daten offengelegt hat, können die betreffenden personenbezogenen Daten nur zum Zweck der Veröffentlichung verarbeitet werden.
6.7. Die Datenverarbeitung ist für die Begründung oder den Schutz eines Rechts zwingend erforderlich
Personenbezogene Daten der betroffenen Person dürfen verarbeitet werden, wenn die Datenverarbeitung für die Begründung, die Ausübung oder den Schutz eines Rechts zwingend erforderlich ist.
6.8. Erfordernis der Datenverarbeitung für das berechtigte Interesse unseres Unternehmens
Sofern die Grundrechte und -freiheiten des Inhabers der personenbezogenen Daten nicht beeinträchtigt werden, können die personenbezogenen Daten des Inhabers der personenbezogenen Daten verarbeitet werden, wenn die Datenverarbeitung für die berechtigten Interessen unseres Unternehmens erforderlich ist.
7. Rechte der Inhaber personenbezogener Daten
Gemäß Artikel 11 des Gesetzes über den Schutz personenbezogener Daten haben Sie als betroffene Person folgende Rechte
Zu erfahren, ob personenbezogene Daten verarbeitet werden,
Auskunft zu verlangen, wenn Ihre personenbezogenen Daten verarbeitet wurden,
zu erfahren, zu welchem Zweck die personenbezogenen Daten verarbeitet werden und ob sie zweckentsprechend verwendet werden,
zu erfahren, an welche Dritten im In- und Ausland personenbezogene Daten weitergegeben werden,
die Berichtigung personenbezogener Daten im Falle einer unvollständigen oder unrichtigen Verarbeitung zu verlangen und die Mitteilung der in diesem Rahmen vorgenommenen Transaktion an Dritte, an die personenbezogene Daten übermittelt werden, zu verlangen,
die Vernichtung der personenbezogenen Daten zu verlangen, wenn die Gründe für ihre Verarbeitung wegfallen, obwohl sie gemäß den Bestimmungen des Gesetzes über den Schutz personenbezogener Daten und der damit zusammenhängenden Gesetze verarbeitet werden, und die Mitteilung der in diesem Rahmen vorgenommenen Transaktion an Dritte zu verlangen, an die die personenbezogenen Daten übermittelt werden,
sich der Entstehung eines Ergebnisses zum Nachteil der Person zu widersetzen, indem die verarbeiteten Daten ausschließlich durch automatisierte Systeme analysiert werden,
im Falle eines Schadens, der durch die unrechtmäßige Verarbeitung personenbezogener Daten entstanden ist, den Ersatz des Schadens zu verlangen.
Gemäß Artikel 13 Absatz 1 des Gesetzes über den Schutz personenbezogener Daten ist der Inhaber der personenbezogenen Daten verpflichtet, seinen Antrag auf Ausübung der oben genannten Rechte "schriftlich" an unsere Tochtergesellschaften zu richten, und zwar auf dem nachstehend angegebenen Weg oder auf einem anderen vom Datenschutzausschuss festgelegten Weg. In diesem Zusammenhang werden im Folgenden die Kanäle und Verfahren erläutert, über die der Antrag im Rahmen von Artikel 11 des Gesetzes über den Schutz personenbezogener Daten schriftlich bei unseren Tochtergesellschaften eingereicht wird. Für die Ausübung der oben genannten Rechte muss der Antrag, der identifizierende Informationen und Erklärungen zu den beantragten Rechten enthält, um die in Artikel 11 des Gesetzes über den Schutz personenbezogener Daten genannten Rechte auszuüben; Sie können das Antragsformular ausfüllen und eine unterschriebene Kopie des Formulars mit identifizierenden Dokumenten an unsere E-Mail-Adressen "kvkk@libertyhotels.com, kvkk@libertyhospitality.com, kvkk@sundiabyliberty.com, kvkk@sundiahotels.com" per E-Mail senden, Sie können es unseren Hotels der Liberty Hospitality Group persönlich übergeben, Sie können es unseren Hotels der Liberty Hospitality Group per Einschreiben mit Rückschein über einen Notar oder auf andere im Gesetz über den Schutz personenbezogener Daten festgelegte Weise zusenden.
7.1. Beantwortung von Anträgen durch unsere Tochtergesellschaften
Unsere Tochtergesellschaften ergreifen die notwendigen administrativen und technischen Maßnahmen, um die vom Inhaber der personenbezogenen Daten zu stellenden Anträge in Übereinstimmung mit dem Gesetz und dem abgeleiteten Recht zu bearbeiten.
Wenn der Inhaber personenbezogener Daten seinen Antrag bezüglich der in Abschnitt 7 ("Rechte des Inhabers personenbezogener Daten") genannten Rechte ordnungsgemäß bei unseren verbundenen Unternehmen einreicht, werden unsere verbundenen Unternehmen den entsprechenden Antrag so schnell wie möglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen, je nach Art des Antrags, kostenlos bearbeiten. Erfordert der Vorgang jedoch zusätzliche Kosten, kann eine Gebühr gemäß dem vom Verwaltungsrat festgelegten Tarif erhoben werden.
8. Aufzeichnungsmedien für personenbezogene Daten
Die angeschlossenen Unternehmen speichern die oben genannten personenbezogenen Daten auf den folgenden Speichermedien:
Elektronische Medien und physische Medien
9. Löschung, Vernichtung und Anonymisierung von personenbezogenen Daten
Unsere Tochtergesellschaften löschen, vernichten oder anonymisieren die personenbezogenen Daten, die im Rahmen der in diesem Text und dem Gesetz festgelegten Grundsätze und Verfahren in Übereinstimmung mit dem Gesetz, den einschlägigen Rechtsvorschriften, den Beschlüssen des Verwaltungsrats und den Leitlinien erhalten wurden, von Amts wegen oder auf ordnungsgemäßen Antrag der betroffenen Person während der regelmäßigen Vernichtungsprozesse, wenn der Zweck und die rechtlichen Gründe für die Verarbeitung der Daten wegfallen.
Die durchgeführten Löschungs-, Vernichtungs- oder Anonymisierungsvorgänge werden protokolliert, und die Aufzeichnungen über die Löschungs-, Vernichtungs- oder Anonymisierungsvorgänge werden mindestens drei Jahre lang aufbewahrt, unbeschadet der sonstigen Verpflichtungen unserer angeschlossenen Unternehmen als für die Datenverarbeitung Verantwortliche.
Während des Prozesses der Löschung, Vernichtung oder Anonymisierung personenbezogener Daten werden von den angeschlossenen Unternehmen alle möglichen technischen und administrativen Maßnahmen ergriffen.
Dabei handelt es sich um den Vorgang, bei dem personenbezogene Daten für die betreffenden Nutzer unzugänglich und in keiner Weise wiederverwendbar gemacht werden.
Der Datenverarbeiter prüft im Auftrag unserer verbundenen Unternehmen, dass keine Möglichkeit des Zugriffs auf die Daten besteht und stellt dies in einem Bericht fest.
9.1. Techniken zur Löschung personenbezogener Daten
Persönliche Daten auf Papier: Sie werden nach der Blackout-Methode gelöscht.
Office-Dateien auf dem zentralen Server: Sie werden mit dem Löschbefehl des Betriebssystems gelöscht.
Persönliche Daten auf tragbaren Datenträgern: Werden mit der entsprechenden Software gelöscht.
Datenbanken: Die entsprechenden Zeilen mit personenbezogenen Daten werden mit Datenbankbefehlen unlesbar gemacht.
9.2. Vernichtung von personenbezogenen Daten
Es handelt sich um einen Prozess, bei dem personenbezogene Daten für jede Person unzugänglich gemacht werden, so dass die Daten unter keinen Umständen wiederhergestellt oder verwendet werden können.
Persönliche Daten in lokalen Systemen: Vernichtung durch Entmagnetisierung, physische Zerstörung oder Überschreiben.
Personenbezogene Daten in Peripheriesystemen:
Netzwerkgeräte (Switcher, Router, etc.): Die Daten werden durch physische Zerstörungsmethoden wie Verbrennen, Zerschneiden in kleine Stücke unzugänglich gemacht.
Sim-Karten und Festspeicherkarten: Die Daten werden durch Verfahren wie Schmelzen oder Verbrennen optischer oder magnetischer Medien unzugänglich gemacht.
Optische Discs: Die Daten werden durch physikalische Zerstörungsmethoden wie Überschreiben oder Verbrennen, Zerbrechen in kleine Stücke, Schmelzen unzugänglich gemacht.
Peripheriegeräte mit festen Datenaufzeichnungsmedien: Die Daten werden durch physikalische Zerstörungsmethoden wie Überschreiben oder Verbrennen, Zerschneiden in kleine Stücke oder Einschmelzen unzugänglich gemacht.
Personenbezogene Daten auf Papier- und Mikrofiche-Medien: Werden durch den Einsatz von Aktenvernichtern vernichtet.
Personenbezogene Daten, die durch Scannen vom ursprünglichen Papierformat auf elektronische Medien übertragen werden, werden mit einer geeigneten Software entsprechend dem Medium, auf dem sie sich befinden, gelöscht.
Cloud-Umgebung: Bei der Speicherung und Nutzung personenbezogener Daten in diesen Systemen erfolgt der Zugriff mit einem Passwort. Der Zugang von externem Personal zu Zwecken wie Wartung und Reparatur erfolgt unter der Aufsicht von autorisiertem Personal, das zu Zwecken wie Wartung und Reparatur von externem Personal kommt. Die Datenträger der abgelaufenen Server werden vernichtet, indem sie in kleine Stücke zerlegt werden.
9.3. Anonymisierung von personenbezogenen Daten
Es handelt sich um die Entfernung oder Veränderung aller direkten und/oder indirekten Identifikatoren in einem Datensatz, wodurch die Identifizierung der betroffenen Personen verhindert wird oder die Fähigkeit verloren geht, innerhalb einer Gruppe so unterscheidbar zu sein, dass sie nicht mit einer realen Person in Verbindung gebracht werden kann.
Techniken zur Anonymisierung von personenbezogenen Daten: Bei der Anonymisierung personenbezogener Daten wird eine der Methoden angewandt, die im Text der einschlägigen Rechtsvorschriften aufgeführt sind.
9.4. Fristen für die Löschung, Vernichtung und Anonymisierung von personenbezogenen Daten
Sofern keine Verpflichtung zur Aufbewahrung der personenbezogenen Daten der betroffenen Person für den gesetzlich vorgeschriebenen Zeitraum gemäß den gesetzlichen Verpflichtungen besteht, werden die mit Zustimmung der betroffenen Person verarbeiteten Daten gemäß dem Antrag der betroffenen Person spätestens innerhalb von 30 Tagen nach Übermittlung des Antrags an unsere Mitgliedsorganisationen gelöscht, vernichtet oder anonymisiert.
Für personenbezogene Daten, die aus den in Artikel 5 des Gesetzes genannten Gründen verarbeitet werden und für die keine ausdrückliche Einwilligung erforderlich ist, werden die personenbezogenen Daten während der ersten regelmäßigen Löschungs-, Vernichtungs- oder Anonymisierungsfrist am Ende des Zeitraums nach dem Wegfall des Grundes und der rechtlichen Rechtfertigung gelöscht, vernichtet oder anonymisiert.
In den Fällen, in denen personenbezogene Daten aus den in Artikel 5 des Gesetzes genannten Gründen verarbeitet werden, ohne dass eine ausdrückliche Zustimmung erforderlich ist, der Betroffene jedoch die Löschung verlangt, werden die personenbezogenen Daten von den mit Zustimmung verarbeiteten Daten getrennt und unter Einschränkung der Berechtigungs- und Kontrollmatrizen gespeichert, so dass nur die mit den rechtlichen Verpflichtungen verbundenen Stellen darauf zugreifen können, und sie werden unverzüglich nach Wegfall der in Artikel 5 des Gesetzes genannten rechtlichen Gründe vernichtet oder anonymisiert.
10. Technische und administrative Maßnahmen
10.1. Administrative Maßnahmen
Im Rahmen von Verwaltungsmaßnahmen:
Unsere Tochtergesellschaften beschränken die Genehmigungs- und Kontrollmatrizen, indem sie die Stellenbeschreibungen für den internen Zugriff auf verarbeitete und gespeicherte personenbezogene Daten berücksichtigen.
Für den Fall, dass die von unseren Tochtergesellschaften verarbeiteten personenbezogenen Daten unrechtmäßig in die Hände anderer gelangen, benachrichtigt sie die betroffene Person so schnell wie möglich.
Unsere Tochtergesellschaften stellen sachkundiges und erfahrenes Personal für die Verarbeitung personenbezogener Daten ein und sorgen für die notwendigen Schulungen und Warnungen.
Unsere Tochtergesellschaften führen die notwendigen Audits zur Datensicherheit im Rahmen ihrer eigenen Rechtseinheit und in allen Konzernunternehmen durch oder lassen sie durchführen. Sie ergreift die erforderlichen Maßnahmen in Bezug auf die im Rahmen der Audits festgestellten Probleme.
10.2. Technische Maßnahmen
Die notwendigen internen Kontrollen werden im Rahmen der eingerichteten Systeme durchgeführt.
Sie führen die Prozesse der Risikobewertung der Informationstechnologien und der Analyse der Auswirkungen auf das Geschäft im Rahmen der eingerichteten Systeme durch.
Es wird sichergestellt, dass die technische Infrastruktur bereitgestellt wird, um zu verhindern, dass personenbezogene Daten die Organisation verlassen, und dass Berechtigungs- und Kontrollmatrizen erstellt werden.
Sie sorgt für die Kontrolle von Systemschwachstellen, indem sie in regelmäßigen Abständen und bei Bedarf Penetrationstests in Auftrag gibt.
Es wird sichergestellt, dass die Zugriffsberechtigungen der in den IT-Abteilungen tätigen Mitarbeiter auf personenbezogene Daten unter Kontrolle gehalten werden.
Umgebungen, in denen personenbezogene Daten gespeichert werden, sind mit hochsicheren Passwörtern oder kryptografischen Methoden geschützt, und ein Missbrauch wird durch Firewall und SSL-Protokoll (Secure Socket Layer) verhindert. Physisch gespeicherte Daten werden in Archiven aufbewahrt, zu denen nur von den Tochtergesellschaften autorisierte Personen Zugang haben.
In den Umgebungen, in denen personenbezogene Daten gespeichert werden, werden die erforderlichen Maßnahmen zur Gewährleistung der Cybersicherheit getroffen. In diesem Zusammenhang wird ein DDOS-Service von Internetdienstleistern zum Schutz vor Cyberangriffen in Anspruch genommen.
Außerdem wird Sicherheitssoftware eingesetzt, um die Sicherheit der virtuellen Server zu gewährleisten.
Alle Transaktionen und Bewegungen auf den Datenträgern, die personenbezogene Daten enthalten, werden überwacht, und im Falle von Sicherheitsverletzungen werden Risikoanalysen durchgeführt und Schwachstellen sofort beseitigt.
Der physische Schutz der Speichermedien, der Cyber-Systeme und der Server, die personenbezogene Daten enthalten, wird durch spezielle Sicherheitsvorrichtungen und Berechtigungskontrollen gewährleistet.
Personenbezogene Daten werden in Backup-Datenträgern und Servern sowie in verschlossenen Tresoren vor externen Risiken wie Feuer und Überschwemmung geschützt.
Die im ISP-Systemraum aufbewahrten Daten werden täglich über Punkt-zu-Punkt-Leitungen gesichert.
Für den Zugang zu den Aufzeichnungsumgebungen sind Berechtigungskontrollen vorgesehen.
Eine DLP-Lösung wird eingesetzt, um das Risiko von Datenverlusten zu vermeiden.
Externe Medienanschlüsse werden gegen das Risiko eines Verlusts durch die Behörden verschlossen gehalten.