隐私声明 根据2016年4月27日欧洲议会和理事会关于在处理个人数据和此类数据自由流动方面保护自然人的条例(EU)2016/679,并废除指令95 / 46 / EC(通用数据保护条例)和其他相关法规(以下简称:法规),本公司盛大旅行社采用以下内容:
隐私声明
GRAND TOUR d.o.o.,一家根据克罗地亚法律成立的公司,总部设在斯普利特,Majstora Jurja 9,OIB:72135626612(以下简称:Grand Tour),有义务遵守和执行本条例,具体如下:
- 条例的基本条款
- 控制人 – 指自然人或法人,公共权力机构,机构或其他机构,单独或与他人共同确定处理个人数据的目的,条件和方法; 如果此类处理的目的和方式由联邦法律或成员国法律确定,则控制人或其提名的具体标准可由联盟或成员国法律预见; – 处理 – 指对个人数据或个人数据集执行的任何操作或操作集,无论是否通过自动化方式,如收集,记录,组织,结构,存储,改编或更改,检索,咨询,使用, 通过传播,传播或以其他方式提供,同步或组合,限制,删除或破坏的披露;
- 个人数据 – 指与已识别或可识别的自然人或(“数据主体”)有关的任何信息; 可识别的自然人是可以直接或间接识别的人,特别是通过参考诸如姓名,识别号,位置数据,在线标识符或一个或多个特定于物理,生理, 该自然人的遗传,心理,经济,文化或社会认同;
- 处理器 – 指代表控制器处理个人数据的自然人或法人,公共机构,机构或其他机构。 – 第三方 – 指除数据主体,控制者,处理者和在控制者或处理者直接授权下有权处理个人数据的人员之外的自然人或法人,公共权力机构,机构或团体; – 收件人 – 指公开个人数据的自然人或法人,公共机构,代理机构或其他机构,无论是否为第三方。 但是,根据联盟或成员国法律在特定调查框架内接收个人数据的公共当局不得视为接收者; 这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则;
- 与处理个人数据有关的原则: 盛大旅行社作为控制者或个人数据处理者,有义务调整技术和组织流程,以便根据以下原则收集,存储和处理个人数据,特别小心处理个人数据:
- 处理的合法性,公平性和透明性:处理应按照一定的法律依据进行,公平透明的处理原则要求数据主体了解处理操作的存在及其目的,控制人应当 为数据主体提供必要的任何进一步信息,以确保公平和透明的处理,同时考虑到处理个人数据的具体情况和背景,此外,应告知数据主体是否存在分析以及此类分析的后果 ;
- 目的限制:数据应按指定,明确和合法的目的收集,不得以不符合这些目的的方式进一步处理; 但是,应允许为公共利益,科学或历史研究目的或统计目的进一步处理归档目的;
- 数据最小化:数据应足够,相关并限于与处理目的有关的数据;
- 数据是准确和最新的:数据应准确,并在必要时保持最新; 若存在数据偏误,与目的不符等情况,必须采取一切合理步骤尽快删除或修改信息。
- 储存限制:数据应以允许识别数据主体的形式保存不超过处理个人数据的目的; 个人数据可以存储较长时间,因为个人数据仅出于公共利益,科学或历史研究目的或统计目的进行归档处理,但须实施法规规定的适当保护措施;
- 完整性和机密性:意味着数据的处理方式应确保适当的安全性,包括防止未经授权或非法处理以及意外丢失,破坏或损坏;
- 问责制:控制人应负责并能够证明遵守这些原则。 根据本隐私声明的Grand Tour程序适用于向我们(员工,外部客户,商业伙伴和任何其他第三方)披露或提供任何类型的个人数据的所有自然人和法人。
- 处理的合法性和法律依据: 作为控制人或处理人的Grand Tour,应在以下基础上合法处理个人数据:
- 数据主体已经同意为一个或多个特定目的处理他或她的个人数据
- 处理是履行数据主体所在的合同所必需的
- 就控制人所受法律责任而言
- 保护数据主体或其他自然人的重要利益
- 执行为公共利益或行使控制权的官方权力而执行的任务
- 为了控制人或第三方追求的合法利益。 处理数据的法律依据应根据联盟法律或Grand Tour所适用的成员国的法律确定。
- 加工目的: 收集个人资料是为了履行Grand Tour的法律义务,并根据公司的有效注册履行业务运作。 应收集人力资源的使用和管理数据,包括监督专业工作的质量,行使就业权利和义务,以及基于旅行社服务和其他官方或商业目的的权利和义务。 收集的数据应是适当且相关的,并且仅为达到处理个人数据的目的所需的数量。
- 与数据相关的人员类别 数据收集主要涉及直接与Grand Tour作为雇主订立雇佣合同的所有人(固定期限雇佣合同,永久工作合同,服务合同等),以及作为客户使用的所有人 Grand Tour的服务。 经事先同意,个人数据可能会被收集,处理并进一步用于所有使用Grand Tour旅行服务的客户或与Grand Tour法律活动相关的任何其他服务。 这些人有权随时撤回其同意,并要求停止进一步处理和保留其数据,但根据法律规定的目的和期限处理和保留数据除外。 收集还应适用于本隐私声明和规则第5点中提到的所有其他外部客户和业务伙伴以及其他第三方。
- 数据类别和集合: Grand Tour应作为控制人或处理人处理以下类别的个人数据:
- 员工的个人信息
- 外部客户的个人信息
- 商业伙伴/联系人/第三方的个人信息。 根据规定,Grand Tour应建立并保存个人数据的收集以及包含收集基本信息的记录。 数据集的名称: 收集员工的个人数据 收集员工的工资和账户 外部客户的集合 业务伙伴和第三方的集合 根据业务需要,可以根据“条例”添加,修改和删除数据收集。
- 收集和存储数据的方法 Grand Tour Management应指定负责保护个人数据/官员的人员,以及对雇主以外的人员进行的决定,该人员有权监督,收集,处理,使用和提交个人数据。 上述人员的数据应在公告栏和Grand Tour网站上公布。 在收集任何个人数据之前,Grand Tour员工应告知数据主体控制器或处理器的身份,处理目的和处理的法律依据。 个人数据应以口头或书面形式直接从数据主体收集,也可以其他合法方式收集。为了避免未经授权访问个人数据,书面形式的数据(个人数据收集)存储在寄存器,锁定的房间或访问受限的机柜中,计算机上的数据通过分配员工已知的个人用户名和密码来保护。 处理此数据,用于存储在受适当IT和技术保护保护的服务器上的进一步安全性和机密性。 个人文件的销毁应特别小心(切割,切碎等)。
- 存储和使用数据的时间段 保留员工的记录/收集应在雇佣当天开始,并在雇佣终止之日终止。 员工数据是根据法律法规保存的持久价值的文档,包括保存档案和记录以及文档保留期限的特殊规则。 其他外部客户和业务伙伴以及第三方的记录/收集应在合同或其他业务关系建立之时保留,并在完成收集数据的目的后停止保留,双方协议到期或终止,即或根据上述人员的具体书面请求。 根据本段提出的上述人员的数据,其中提供了根据法律规定保存的持久价值的文件,应按照特殊法律规定保存,包括根据保存档案和记录的特殊规则和文件 保留期限。
- 向其他用户提供个人数据 如果需要,收集中包含的个人数据应根据法律规定,同意,合同或其他业务关系的框架,根据Grand Tour和其他用户的合法建立活动,提交给其他用户,所有这些都在 按照规定,Grand Tour数据保护政策,本隐私声明以及Grand Tour的其他行为。 应保存提交给其他用户的个人数据,其他用户以及收集数据的目的的特别记录。
- 个人数据保护措施 作为主计长或处理者,Grand Tour应以保证个人数据安全的方式处理个人数据,保护其免受未经授权的访问,非法处理,意外丢失,破坏或损坏。 Grand Tour将根据组织和技术措施执行上述所有操作。 作为主计长或处理者,Grand Tour应执行以下IT,组织和技术措施:
- 保护系统免受内部和外部风险
- 防止未经授权的访问
- 以物理形式保护数据
- 最小化处理,假名
- 规则的提供 – 数据保护政策
- 数据所有者的责任
- 定期培训员工。 处理个人数据的Grand Tour员工应遵守法规,Grand Tour数据保护政策,本隐私声明和Grand Tour其他行为的规定,保护个人数据所需的技术和组织数据保护措施。
- 控制人或处理人的义务: 作为主计长或作为处理者的Grand Tour,应在最迟提交请求后30天内,应每位数据主体的要求,或其法定代理人或代理人的请求:
- 发布处理的个人数据副本,不收取第一份副本的费用(遵守公平和透明原则以及访问数据的数据权利),
- 纠正与数据主题相关的不准确的个人数据(遵守及时性和准确性原则以及数据主体纠正其数据的权利)
- 删除上述案件之一中的个人信息(遵守存储限制原则和数据被删除数据的权利(被遗忘的权利))
- 从互联网上删除数据主体的个人数据以及包含这些个人数据,复制或重建的任何链接(符合存储限制原则和受处理限制的数据权利)
- 在上述一种情况下限制个人信息的处理(遵守存储限制原则和受处理限制的数据权)
- 如果数据主体在与控制人签订合同终止后请求数据主体的个人数据以结构化,机器可读的形式(USB,CD,电子邮件)传输给另一个控制人(遵守权利) 受数据传输的数据)
- 警告或协助数据主体提交投诉,如果为了直接营销目的而首次联系数据主体(潜在买方),则数据将根据合法利益进行处理(遵守 投诉的原则和受投诉的数据的权利)
- 授权负责人接收数据主体的请求并管理请求解决流程(如果尚未指定个人数据保护官)
- 提供一种方法,使数据主体根据概况反对控制器的决定,并实施规定的保护措施。
- 数据主体的权利
- 获得通知的权利 – 数据主体有权知道将收集哪些数据,为什么,谁将收集数据,数据的目的和地点,
- 访问权 – 数据主体可以要求查看控制人可以获得有关数据主题的哪些信息,
- 纠正的权利 – 数据主体可以在他们认为数据不正确的情况下请求更正数据,
- 擦除权 – 如果不再需要数据主体可以请求删除数据,除非有合法依据拒绝删除数据,
- 限制处理的权利 – 如果有理由,数据主体有权要求暂停数据处理,
- 数据(部分)的可移植性权利 – 数据主体有权要求控制人在便携式媒体上提交其个人数据,以便将其转移到另一个控制人,
- 对象权 – 数据主体有权停止数据处理,
- 自动化个人决策的权利,包括分析,不适用于数据主体。 数据主体将被告知有关个人数据如何被收集,使用,披露或以其他方式处理的个人数据的处理,以及这些个人数据的处理或处理程度。 任何与处理个人数据有关的信息和通信都应易于访问,并且对数据主体是可理解的,因为它应提供以清晰简单的语言编写的信息。 数据主体应熟悉财务主任的身份以及在财务主任网站或总部/营业场所内处理的目的。Grand Tour应告知数据主体有关处理个人数据的风险,规则,保护措施和权利,以及他们通过网站或场所行使与数据处理相关的权利的方式 他们开展活动的总公司/营业场所。
- 隐私权声明的法律价值 本隐私声明是Grand Tour的一般行为,包含处理个人数据与整个业务流程相关的所有必要文件,以及与其他控制器,处理器和技术服务(无论是内部还是外部)的关系, 本宣言的组成部分。