Datenschutzrichtlinie

Sky-tours.com (juristische Bezeichnung: Big Sky Group SA) muss bestimmte Informationen über Einzelpersonen sammeln und verwenden.

Hierzu können Kunden, Lieferanten, Geschäftskontakte, Mitarbeiter und andere Personen gehören, mit denen die Organisation in Verbindung steht oder mit denen sie möglicherweise in Kontakt treten muss.

Diese Richtlinie beschreibt, wie diese personenbezogenen Daten erhoben, verarbeitet und gespeichert werden müssen, um die Datenschutzstandards des Unternehmens zu erfüllen und die gesetzlichen Bestimmungen einzuhalten.

Warum diese Richtlinie existiert

Diese Datenschutzrichtlinie gewährleistet, dass Sky-tours.com:

  • dem Datenschutzgesetz entspricht und der guten Praxis folgt 
  • die Rechte von Mitarbeitern, Kunden und Partnern schützt
  • offen dafür ist, wie Daten von Einzelpersonen gespeichert und verarbeitet werden
  • sich vor den Risiken einer Datenverletzung schützt

Datenschutzgesetz

Das Datenschutzgesetz von 1998 beschreibt, wie Organisationen - einschließlich Sky-tours.com - personenbezogene Daten sammeln, verarbeiten und speichern müssen. 

Diese Regeln gelten unabhängig davon, ob Daten elektronisch, auf Papier oder auf anderen Materialien gespeichert werden.

Um dem Gesetz Folge zu leisten, müssen persönliche Informationen gesammelt, fair verwendet, sicher gespeichert und nicht rechtswidrig verbreitet werden.

Das Datenschutzgesetz wird durch acht wichtige Grundsätze untermauert. Diese besagen, dass persönliche Daten:

  1. Fair und rechtmäßig verarbeitet werden müssen.
  2. Nur für bestimmte, rechtmäßige Zwecke erlangt werden dürfen.
  3. Angemessen, relevant und nicht übertrieben sein müssen.
  4. Genau und auf dem aktuellen Stand seien müssen.
  5. Nicht länger als nötig gehalten werden dürfen.
  6. Gemäß den Rechten der betroffenen Personen verarbeitet werden müssen.
  7. Auf angemessene Weise geschützt werden müssen.
  8. Nicht außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden darf, es sei denn, dieses Land oder Territorium gewährleistet auch ein angemessenes Schutzniveau.

Umfang der Richtlinie

Diese Richtlinie gilt für:

  • Den Hauptsitz von Sky-tours.com
  • Alle Niederlassungen von Sky-tours.com
  • Alle Mitarbeiter und Freiwilligen von Sky-tours.com
  • Alle Auftragnehmer, Lieferanten und andere Personen, die im Auftrag von Sky-tours.com arbeiten
Sie gilt für alle Daten, die das Unternehmen in Bezug auf identifizierbare Personen besitzt, auch wenn diese Informationen technisch nicht unter das Datenschutzgesetz von 1998 fallen. Dies kann umfassen:
  • Namen von Personen
  • Postanschriften
  • E-Mailadressen
  • Telefonnummern
  • plus andere Informationen in Bezug auf Einzelpersonen.

Datenschutzrisiken

Diese Richtlinie schützt Sky-tours.com vor einigen sehr realen Datensicherheitsrisiken, einschließlich:

  • Verstöße gegen die Vertraulichkeit Zum Beispiel, Informationen, die unangemessen ausgegeben werden.
  • Versäumnis, eine Wahl anzubieten. Zum Beispiel sollten alle Personen frei wählen können, wie das Unternehmen Daten verwendet, die sich auf sie beziehen.
  • Reputationsverlust. Zum Beispiel könnte das Unternehmen leiden, wenn Hacker erfolgreich Zugriff auf sensible Daten erhalten.

Verantwortlichkeiten

Jeder, der für oder mit Sky-tours.com arbeitet, trägt Verantwortung dafür, dass die Daten ordnungsgemäß erfasst, gespeichert und verarbeitet werden.

Jedes Team, das personenbezogene Daten verarbeitet, muss sicherstellen, dass es in Übereinstimmung mit diesen Richtlinien und Datenschutzgrundsätzen behandelt und verarbeitet wird. 

Diese Menschen haben jedoch wesentliche Verantwortungsbereiche:

  • Der  Aufsichtsrat ist letztendlich dafür verantwortlich, dass Sky-tours.com seinen gesetzlichen Verpflichtungen nachkommt.
  • Die Datenschutzbeauftragte, Elisabeth Quezada, ist dafür verantwortlich, dass:

          Der Vorstand über die Verantwortlichkeiten, Risiken und Probleme des Datenschutzes auf dem Laufenden gehalten wird.

          Alle Datenschutzverfahren und zugehörigen Richtlinien gemäß einem vereinbarten Zeitplan überprüft werden.

          Datenschutzschulungen und -beratung für die von dieser Richtlinie betroffenen Personen vermittelt wird.

          Mit Datenschutzfragen von Mitarbeitern und anderen Personen, die unter diese Richtlinie fallen, umgegangen wird

          Mit Anfragen von Einzelpersonen zur Einsicht der Daten, die von Sky-tours.com über sie gehalten werden, (auch "Zugangsanfrage von Betroffenen" genannt) umgegangen wird

          Verträge oder Vereinbarungen mit Dritten, die mit den sensiblen Daten des Unternehmens umgehen könnten, geprüft und genehmigt werden.

  • Der IT-Manager, Raman Deep, ist dafür verantwortlich, dass:

          Alle Systeme, Dienste und Geräte, die zum Speichern von Daten angewandt werden, akzeptable Sicherheitsstandards erfüllen.

          Regelmäßiger Überprüfungen und Scans durchgeführt werden, um sicherzustellen, dass die Sicherheitshardware und -software ordnungsgemäß funktioniert.

          Drittanbieterdienste, die das Unternehmen zur Speicherung oder Verarbeitung von Daten in Erwägung zieht, bewertet werden. Zum Beispiel Cloud-Computing-Dienste.

  • Die Marketingleiterin, Elisabeth Cardus, ist dafür verantwortlich, dass:

          Datenschutzerklärungen, die mit Mitteilungen wie E-Mails und Briefen verknüpft sind genehmigt werden.

          Mit Datenschutzanfragen von Journalisten oder Medien wie Zeitungen umgegangen wird.

          Bei Bedarf mit anderen Mitarbeitern zusammengearbeitet wird, um sicherzustellen, dass Marketinginitiativen die Datenschutzgrundsätze einhalten.

Allgemeine Personalrichtlinien

  • Die einzigen Personen, die auf Daten zugreifen können, die unter diese Richtlinie fallen, sollten diejenigen sein, die sie für ihre Arbeit benötigen.
  • Daten sollten nicht informell geteilt werden. Wenn Zugang zu vertraulichen Informationen erforderlich ist, können Mitarbeiter dies von ihren Vorgesetzten anfordern.
  • Sky-tours.com bietet Schulungen für alle Mitarbeiter an, um ihnen zu helfen, ihre Verantwortlichkeiten beim Umgang mit Daten zu verstehen.
  • Mitarbeiter sollten alle Daten sicher aufbewahren, indem sie sinnvolle Vorsichtsmaßnahmen treffen und die folgenden Richtlinien befolgen.
  • Insbesondere, müssen starke Kennwörter verwendet werden und sollten niemals geteilt werden.
  • Personenbezogene Daten sollten nicht an unbefugte Personen, entweder innerhalb des Unternehmens oder extern, offengelegt werden.
  • Daten sollten regelmäßig überprüft und aktualisiert werden, wenn es sich herausstellt, dass sie veraltet sind. Wenn sie nicht mehr benötigt werden, sollten sie gelöscht und entsorgt werden.
  • Mitarbeiter sollten Hilfe von ihrem direkten Vorgesetzten oder dem Datenschutzbeauftragten anfordern, wenn sie sich über einen Aspekt des Datenschutzes unsicher sind. 

Datenspeicherung

Diese Regeln beschreiben, wie und wo Daten sicher gespeichert werden sollten. Fragen zum sicheren Speichern von Daten können an den IT-Manager oder Datencontroller gerichtet werden.

Wenn Daten auf Papier gespeichert sind, sollten sie an einem sicheren Ort aufbewahrt werden, wo sie für Unbefugte nicht sichtbar sind.

Diese Richtlinien gelten auch für Daten, die normalerweise elektronisch gespeichert werden, aber aus irgendeinem Grund ausgedruckt wurden:

  • Wenn nicht benötigt, sollten das Papier oder die Dateien aufbewahrt in einer verschlossenen Schublade oder einem Aktenschrank aufbewahrt werden.
  • Mitarbeiter sollten sicherstellen, dass Papier und Ausdrucke nicht dort liegengelassen werden, wo Unbefugte sie sehen könnten, wie z. B. auf einem Drucker.
  • Datenausdrucke sollten geschreddert und sicher entsorgt werden, wenn sie nicht mehr benötigt werden.

Wenn Daten elektronisch gespeichert werden müssen sie vor unbefugtem Zugriff, versehentlichem Löschen und böswilligen Hackerversuchen geschützt werden:

  • Daten sollten durch starke Kennwörter geschützt werden, die regelmäßig geändert und nie zwischen den Mitarbeitern geteilt werden.
  • Wenn Daten auf Wechselmedien gespeichert werden(wie eine CD oder DVD),  sollten diese bei Nichtbenutzung sicher verschlossen bleiben.
  • Daten sollten nur auf designierten Laufwerken und Servern gespeichert werden, und sollten nur auf anerkannte Cloud-Computing-Dienste hochgeladen werden.
  • Server mit persönlichen Daten sollten an einem sicheren Ort, abseits von allgemeinen Büroflächen, platziert werden.
  • Daten sollten häufig gesichert (Backup) werden. Diese Backups sollten regelmäßig gemäß den Standard-Backup-Verfahren des Unternehmens getestet werden.
  • Daten sollten niemals direkt auf Laptops oder anderen mobile Geräten wie Tablets oder Smartphones gespeichert werden.
  • Alle Server und Computer, die Daten enthalten, sollten durch genehmigte Sicherheitssoftware und eine Firewall geschützt werden.

Datennutzung

Personenbezogene Daten haben für Sky-tours.com keinen Wert, es sei denn, das Unternehmen kann davon Gebrauch machen. Wenn jedoch personenbezogene Daten abgerufen und verwendet werden, besteht die größte Gefahr von Verlust, Korruption oder Diebstahl:

  • Bei der Arbeit mit personenbezogenen Daten sollten die Mitarbeiter dafür sorgen, dass die Bildschirme ihrer Computer immer gesperrt sind, wenn sie unbeaufsichtigt bleiben.
  • Persönliche Daten sollten nicht informell geteilt werden. Insbesondere sollten sie niemals per E-Mail versendet werden, da diese Form der Kommunikation nicht sicher ist.
  • Daten müssen verschlüsselt werden, bevor sie elektronisch übertragen werden. Der IT-Manager kann erklären, wie Daten an autorisierte externe Kontakte gesendet werden.
  • Persönliche Daten sollten niemals außerhalb des Europäischen Wirtschaftsraums übertragen werden.
  • Mitarbeiter sollten keine Kopien von personenbezogenen Daten auf ihren eigenen Computern speichern. Sie sollten immer auf die zentrale Kopie aller Daten zugreifen und diese aktualisieren.

Datengenauigkeit

Das Gesetz verlangt, dass Sky-tours.com angemessene Schritte unternimmt, um sicherzustellen, dass die Daten korrekt und aktuell sind.

Je wichtiger die Richtigkeit der persönlichen Daten ist, desto größer ist der Aufwand, den Sky-tours.com für die Gewährleistung ihrer Richtigkeit aufbringen sollte.

Es liegt in der Verantwortung aller Mitarbeiter, die mit Daten arbeiten, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass sie so genau und aktuell wie möglich sind. 

  • Daten werden an so wenigen Orten wie nur möglich aufbewahrt. Mitarbeiter sollten keine unnötigen zusätzlichen Datensätze erstellen.
  • Personal sollte jede Gelegenheit ergreifen, um sicherzustellen, dass die Daten aktualisiert werden. Zum Beispiel durch Bestätigung der Daten eines Kunden, wenn sie anrufen.
  • Sky-tours.com wird es den Betroffenen einfach machen, um die Informationen zu aktualisieren, die Sky-tours.com über sie hält. Zum Beispiel über die Unternehmenswebseite.
  • Daten sollten aktualisiert werden, wenn Ungenauigkeiten festgestellt werden. Wenn ein Kunde beispielsweise nicht mehr unter seiner gespeicherten Telefonnummer erreichbar ist, sollte sie aus der Datenbank entfernt werden.
  • Es liegt in der Verantwortung des Marketing-Managers sicherzustellen Marketing-Datenbanken gegen Industrie-Unterdrückungsdateien alle sechs Monate zu prüfen.

Zugangsanfragen von Betroffenen

Alle Personen, die Gegenstand von personenbezogenen Daten von Sky-tours.com sind, sind berechtigt:

  • Zu fragen, welche Informationen die Firma über sie hält und warum.
  • Zu fragen, wie man Zugang  zu ihnen erhält.
  • Informiert zu werden, wie man sie auf dem neuesten Stand hält. 
  • Informiert zu werden, wie das Unternehmen seinen Datenschutzverpflichtungen nachkommt.

Wenn eine Person das Unternehmen anruft, das diese Informationen anfordert, wird dies als eine Zugangsanfrage eines Betroffenen bezeichnet. 

Zugangsanfragen von Betroffenen durch Einzelpersonen sollten per E-Mail an den Datenverantwortlichen unter eliq@sky-tours.com gesendet werden. Der Datenverantwortliche kann ein Standardanforderungsformular bereitstellen, obwohl Einzelpersonen diese nicht verwenden müssen.

Für Einzelpersonen werden 10 EUR pro Anfrage berechnet. Der Datenverantwortliche wird sich bemühen, die relevanten Daten innerhalb von 14 Tagen zur Verfügung zu stellen.

Der Datenverantwortliche überprüft stets die Identität von Personen, die eine entsprechende Zugriffsanfrage stellen, bevor er Informationen weitergibt.

Offenlegung von Daten aus anderen Gründen

Unter bestimmten Umständen erlaubt das Datenschutzgesetz die Weitergabe personenbezogener Daten an Strafverfolgungsbehörden ohne Zustimmung der betroffenen Person.

Unter diesen Umständen legt Sky-tours.com die angeforderten Daten offen. Der Datenverantwortliche stellt jedoch sicher, dass die Anfrage berechtigt ist, und ersucht den Vorstand und gegebenenfalls die Rechtsberater des Unternehmens um Unterstützung.

Bereitstellung von Informationen

Sky-tours.com ist bestrebt sicherzustellen, dass Personen wissen, dass ihre Daten verarbeitet werden und dass sie verstehen:

  • Wie die Daten verwendet werden.
  • Wie sie ihre Rechte ausüben können.

Zu diesem Zweck verfügt das Unternehmen über eine Datenschutzerklärung, in der dargelegt wird, wie personenbezogene Daten vom Unternehmen verwendet werden.

Eine Version dieser Datenschutzerklärung ist auch auf der Webseite des Unternehmens verfügbar.