GDPR 合规声明

 酒店冠军

从2018年5月25日起,通用数据保护条例(GDPR)将在整个欧盟适用。这些新的隐私规则适用于处理来自欧盟个人(包括Hotelchamp及其客户)的个人数据的每个组织。 GDPR 取代并扩展了前欧盟指令及其国家实施法律的范围。违规的罚款门槛也大大提高了。 


本文档的目的是:

  • I向您介绍GDPR;
  • 让您知道我们作为Hotelchamp所做的并将继续为遵守GDPR而做的事情;和
  • 帮助您在使用Hotelchamp的产品和服务时遵守规定;


只要我们认为这将有助于更好地实现上述目的,我们可能会更新此文档。


关于本文件

关于GDPR的文章已经写了很多,并说过 将来还会说和写更多的东西。即使不是最重要的法律,它也被广泛认为是适用于欧盟数字部门的最重要的法律之一。 


GDPR 的核心价值在于 人(“数据主体”)应该控制自己的个人数据。当组织控制个人数据(任何有关某人的信息或可用于识别某人的信息)时,该组织必须遵守以下规定 关键义务 .

关于GDPR


  • 所有个人数据处理都必须遵守 基本原则 ,例如合法性,公平性,透明度,目的限制,数据最小化,准确性,存储限制,完整性和机密性以及责任制);

  • 个人数据的所有处理都必须建立在有效且适用的基础上 GDPR 中列出的法律依据 (例如,如果数据主体已经给出了 知情同意 ,或者如果处理是 必要 与数据主体签订合同 );

  • 必须告知数据主体 处理有关它们的哪些信息, 原因(包括适用的法律依据),有效期以及获得担保的方式;

  • 以下 数据主体的权利 必须遵守,并且必须明确告知数据主体其对以下各项的权利:

关于本文件

  1. 获得 访问 处理有关他们的数据;

  2. 有他们的数据 更正的 , 已擦除 要么 受限制的 不正确或不再需要时;

  3. 目的 对他们的数据进行某些处理;

  4. 拿他们的数据 与他们一起到另一个提供者;

  5. 不受剖析自动化决策 未经他们的同意;

  6. 抱怨 向监管机构说明其个人数据的处理方式;
  • 组织不仅仅偶尔处理个人数据,还必须 保持最新记录 (概述)他们处理的各种个人数据,何种数据主体,原因(适用的法律依据),使用多长时间,使用哪些数据处理器以及在何处使用;

  • 核心活动围绕处理个人数据的组织必须任命一名 数据保护官(DPO),负责帮助他们遵守GDPR的隐私专家,并应就所有重要的隐私事务向其咨询;

  • 对于 新型高风险的个人数据处理方式 , 一种 数据保护影响评估(DPIA) 必须先执行;

  • 个人数据必须得到适当保护 防止意外或非法破坏,损失,更改和未经授权的披露或访问;

  • 如果发生 个人数据安全漏洞,监管机构和/或受影响的数据主体必须是 已通知 ;

  • 设计系统 用于处理个人数据, 隐私 应该实施 根据设计,默认情况下;

  • 如果与另一方(“处理器”)签约以代表该组织处理个人数据,则 数据处理协议 是必须的;

  • 加工 个人数据不得外包给欧洲经济区以外的国家,除非 具体合适 保障措施 合同规定的地方 示范条款,具有约束力的公司规则,或诸如 欧美隐私保护盾 .

GDPR 的重要术语和定义


“个人资料”

GDPR 第4(1)条


“个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是可以参考诸如姓名,识别号,位置数据,在线标识符之类的标识符,或者可以参考特定于身体,生理,该自然人的遗传,心理,经济,文化或社会身份

这个定义非常广泛:与已识别或可识别自然人(称为“数据主体”)相关的所有信息。重要的是,这不仅涵盖直接识别人员的“个人身份信息”(在美国司法辖区中通常称为“ PII”),还包括姓名,地址和电话号码;而且还有IP地址,有关个人兴趣的信息以及通过cookie存储和读取的许多信息。即使不知道某人的姓名,客户个人资料仍然包含个人数据。 

“处理中”

GDPR 第4(2)条


“处理”是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动化方式进行,例如收集,记录,组织,构造,存储,改编或更改,检索,咨询,使用,通过传播,传播或其他方式公开,对齐或组合,限制,擦除或破坏

这个定义也很广泛。 “处理”是使用个人数据执行的所有操作:不仅查看或修改数据,而且仅存储,传输甚至删除数据。 


“控制器”

GDPR 第4(7)条


“控制人”是指自然人或法人,公共当局,代理机构或其他机构,这些机构单独或与他人共同确定处理个人数据的目的和方式;如果此类处理的目的和方式是由联盟或成员国法律确定的,则其控制人或提名的具体标准可以由联盟或成员国法律规定

本质上,控制者是确定为什么以及如何处理个人数据的一方。通常这是与个人签订合同以向其提供产品或服务的一方。例如。通常,酒店是处理其客人个人数据的控制者。

“处理器”

GDPR 第4(8)条


“处理者”是指代表控制者处理个人数据的自然人或法人,公共机构,代理机构或其他机构;

处理器是由控制器委派代表控制器处理个人数据的一方。 

酒店冠军 为遵守GDPR所做的并将继续做的事情

酒店冠军 作为处理器

GDPR 规定的某些义务适用于“控制者”(决定为何和如何处理个人数据的一方),而其他义务适用于“处理者”(代表控制者处理个人数据的一方)。

酒店冠军 的产品和服务旨在帮助酒店经营者增加直接预订,建立宾客关系并有效地管理更多的在线营销活动。因此,Hotelchamp会代表后者处理有关(可能的)旅馆客人的个人数据,因此有资格在此方面作为处理者。


酒店冠军 的 数据处理协议 规范Hotelchamp对您(潜在)客人的个人数据的处理,并帮助您在使用Hotelchamp的产品和服务时证明其符合GDPR的要求。 

酒店冠军 作为控制器

酒店冠军 还处理有关酒店经营者本人及其代表和雇员的个人数据。在这种情况下,Hotelchamp确定了处理活动的目的和方式,因此有资格担任控制人。 


酒店冠军 的 隐私政策 规范您自己的个人数据以及使用,购买或管理Hotelchamp产品或服务的员工或同事的处理,并为您提供所有必需的信息和数据主体的权利。

数据处理原理

处理个人数据必须符合GDPR的基本原则。我们将竭尽全力,并将继续这样做,以将这些数据处理原则应用于我们产品,服务和组织的核心。

合法,公正和透明

只有在我们认为出于GDPR的合法目的而认为必要时,我们才会处理个人数据,并且我们将竭尽全力为我们的所有个人数据处理活动提供完整而简洁,易于访问和可理解的信息。


除了我们的隐私政策和数据处理协议,我们还提供建议的文本,您可以考虑将其纳入您的隐私政策中,以向您的(潜在)客人解释为什么您使用我们的产品和服务来帮助您以高效且高效的方式处理其个人数据安全的方式。 


我们当然只是提供建议,因为您作为酒店经营者是客人个人数据的控制者,而您最终将根据GDPR决定如何以及为什么希望处理他们的数据。



目的限制

我们仅将个人数据用于收集目的,如我们的隐私政策和数据处理协议中所述。例如,Hotelchamp不会使用预订过程中收集的电子邮件地址代表自己发送其他酒店的广告。


数据最小化

我们仅将个人数据用于收集目的,如我们的隐私政策和数据处理协议中所述。例如,Hotelchamp不会使用预订过程中收集的电子邮件地址代表自己发送其他酒店的广告。

为您提供最佳的产品和服务,我们处理的个人数据不会超出我们认为绝对必要的数量。除非我们首先获得您的明确,明确的知情同意,否则我们不会将在为您提供产品和服务时收集到的任何个人数据与我们在其他地方可能获得的任何其他个人数据相结合。如果您与Hotelchamp的协议已终止,我们将根据您的请求将您的数据退还给您,并且/或者将从您的酒店服务器中删除这些数据。


准确性

精度原理也是控制器的要求。这意味着数据应在必要时保持最新,并应始终尽可能准确。如果您需要我们帮助您更正有关您的客人或您自己的某些数据,请告知我们,我们将竭尽所能。 


储存限制

个人数据的保留时间不应超过达到预定目标所需的时间。这意味着,如果不再需要个人数据,则应将其安全删除。


诚信与保密


为了保护,保护和保存个人数据,控制器应实施信息安全框架。如我们的安全性文件所述(请参阅下文),Hotelchamp采取了适当的技术和组织措施来保护个人数据。


问责制


精度原理也是控制器的要求。这意味着数据应在必要时保持最新,并应始终尽可能准确。如果您需要我们帮助您更正有关您的客人或您自己的某些数据,请告知我们,我们将竭尽所能。 

我们专门起草了本文档,以帮助证明我们对上述原则的遵守,并且在决定购买我们的产品和服务时也可以帮助您证明您的遵守情况。


我们还起草并通过了一些相关的内部文件和政策,帮助我们证明我们实际上将GDPR的原则和义务付诸实践。有关更多信息,请参见下文。 


处理个人数据的合法依据


GDPR 第6条为处理个人数据提供了有效的法律依据。此列表是详尽无遗的,这意味着列出的这些依据是唯一有效的法律依据,并且这些依据中的至少一项必须始终有效且适用于证明对任何个人数据进行处理是合理的。


  1. 知情同意;
  2. 履行合同;
  3. 遵守法律义务;
  4. 数据主体的重要利益;
  5. 履行公共任务;
  6. 控权人追求的合法利益


当您要求我们提供产品或服务或要求我们提供相关信息时,我们会处理您的信息以与您签订合同或进行适当的准备(例如,提供适合您需求的报价)。  


当您与我们签订使用我们的产品和服务的协议时,我们将处理您(潜在)客人的个人数据,以执行我们的协议。有关我们的加工活动和目的的更全面描述,请参见 隐私政策


我们的措施证明了GDPR的合规性


除本合规声明外,还采用了以下文档和政策来符合GDPR并能够证明GDPR的合规性。 

  • 我们的加工目的;
  • 我们处理信息的数据主体的类别;
  • 个人数据的类型(例如姓名等);
  • 数据主体的权利(例如更正,删除,限制,异议,投诉)



可以找到我们的外部隐私政策  这里


外部隐私政策


我们已彻底审查了我们的隐私政策,以提供GDPR所需的所有相关信息。这包括有关以下内容的信息: 


  • 适用加工活动的描述;
  • 适用的目的和说明;
  • 安全和保密措施;
  • 适用的子处理器和程序 
  • (子)处理器;
  • 个人数据泄露通知义务;
  • 协助义务,以确保数据主体的权利;
  • 终止时返回或删除个人数据;
  • 审核和检查。


可以通过电子邮件请求针对Hotelchamp客户的数据处理协议 [email protected]

数据处理协议

我们的数据处理协议是由法律专家起草的,目的是纳入GDPR的所有要求。例如,我们的DPA包含以下规定:

安全文件

我们已经实施了定期评估和更新我们的安全措施的流程,并且已记录了当前的安全措施。根据GDPR的建议,在相关且可能的情况下,我们实施加密和假名化以保护个人数据并增强隐私。为了避免过于频繁地更新文档,并且为了防止滥用我们的安全性信息而进行维护,我们的安全性文档侧重于提供安全措施的高级概述,而不是提供详细的(技术性的)信息说明。


加工活动的内部记录


根据GDPR,数据控制器和数据处理器都必须记录处理活动。 酒店冠军 保留有关正在处理其个人数据以及目的的记录。我们还记录了我们向谁传输数据,以及我们为保护数据采取了哪些安全措施。 


内部隐私政策

我们已经起草并通过了一项内部隐私政策,该政策向员工概述了他们必须如何处理Hotelchamp的个人数据,以及Hotelchamp如何处理其个人数据。


设计和默认情况下我们产品和服务的隐私权


在(进一步)开发我们的产品和服务时,我们将隐私作为主要要求之一。例如,我们已经对使用废弃预订工具的法律要求进行了分析。在此工具中,我们为提醒电子邮件的收件人提供了退出的可能性。我们服务的标准设置允许处理最少的数据量。 


数据保护官

在某些情况下,GDPR要求任命一名数据保护官(DPO)。 酒店冠军 已任命一名DPO,负责就隐私事宜为Hotelchamp提供建议。


数据保护影响评估


如果Hotelchamp在将来计划进行对数据主体构成高风险的个人数据处理(例如大规模处理敏感数据或基于配置文件的自动决策),它将为客户提供帮助在开始提供这些服务之前执行任何必需的数据保护影响评估。


适当的国际转移保障


GDPR 需要适当的保护措施,以在欧洲经济区(EEA)之外转移个人数据,欧洲经济区包括所有欧盟国家和非欧盟国家冰岛,列支敦士登和挪威。当我们将数据存储在EEA之外时,我们确保与相关第三方签订《欧盟标准合同条款》,或者确保相关的美国服务提供商已获得Privacy Shield认证。


分级为4 +©2018 酒店冠军 。版权所有。