Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO
- Verantwortlicher
Ute Pont und Kathrin Krimpmann
Bahnhofstr. 13
48607 Ochtrup
Telefon: 02553/720820
E-Mail: wuensche@ochtrup-reist.de
- Gesetzlicher Vertreter
Ute Pont und Kathrin Krimpmann
- Vertreter in der EU (Art. 27 DS-GVO)
Hier nicht zutreffend bzw. relevant
- Datenschutzbeauftragter
Ute Pont und Kathrin Krimpmann
- Zuständige Aufsichtsbehörde
Die Landesbeauftragte für den Datenschutz und Informationsfreiheit
Kavalleriestraße 2-4
40213 Düsseldorf
Tel: 0211-384240
Email: poststelle@ldi.nrw.de
Die Meldung des Datenschutzbeauftragten des Reisebüros an die Behörde ist noch nicht erfolgt. (was regelmäßig der Fall sein wird)
- Regelungen zur Datensicherheit
Die Regelungen zur Datensicherheit sind aus der Anlage „I“ zu dieser Übersicht nach § 9 BDSG (alt) bzw. Art. 32 Abs. 1 DS-GVO dargestellt. Sie werden im regelmäßigen Prüfabstand durch die Geschäftsleitung in Absprache mit dem beauftragten Systemadministrator und dem Datenschutzbeauftragten (falls zutreffend) auf den jeweiligen Stand der Technik gebracht.
- Regelungen zur Datenlöschung
Grundsätzlich gelten für alle Bereiche der Datenverarbeitung im Reisebüro die gesetzlichen Regelungen zur automatisierten Löschung von Daten. Diese werden durch Voreinstellungen in den einzelnen Datenverarbeitungsprogrammen und eine systematische Katalogisierung der in kartei- bzw. papierform gespeicherter Daten gewährleistet.
- Sachverhalte zu Drittstaatenübermittlungen
Personenbezogene Daten werden zur Vertragsabwicklung von Reisedienstleistungen auch an Empfänger mit Sitz in Drittstaaten übermittelt. Hierbei gilt aus unserer Sicht das Prinzip der Datensparsamkeit. Nur die notwendigsten Daten werden übermittelt.
Anlage Nr. 1
Bezeichnung der Verarbeitungstätigkeit
Personalverwaltung (intern)
Verantwortliche Führungskraft
Ute Pont und Kathrin Krimpmann
Zwecke der Verarbeitung
Lohn- und Gehaltsabrechnung
Personaldisposition
Personalführung und -rekrutierung
Rechtsgrundlagen der Verarbeitung
Vertragliche Verpflichtungen aus dem Arbeitsverhältnis
Gesetzliche Verpflichtung aus den Vorschriften des BGB, SGB, EStG und HGB
Beschreibung der Kategorie betroffener Personen und der Kategorie personenbezogener Daten
a) Betroffene Personengruppen
i. Mitarbeiter
ii. Bewerber
b) Kategorien personenbezogener Daten
Mitarbeiter-Stammdaten:
Adresse, Geburtstag, Bankverbindung, Steuermerkmale, Lohngruppe, Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen, Urlaubs- und Überstundenaufzeichnungen, Mitarbeiterbeurteilungen
Bewerbungen mit Kontaktdaten, Qualifikationen, bisherige Tätigkeiten, Arbeitszeugnisse, Gehaltsvorstellungen, Lebensläufen
Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. noch offenzulegen sind (Art. 30 Abs. 1 lit. D DS-GVO)
- Banken
- Sozialversicherungsträger
- Finanzbehörden
- Gläubiger bei Lohn- und Gehaltspfändung
- Träger einer Betriebsrente
- Zuständige Steuerberaterkammer und IHK
- Auftragsverarbeiter für die Gehaltsabrechnung Steuerbüro Steffers, Ochtrup
Datenübermittlung in Drittländer oder internationale Organisationen (Art. 30 Abs.1 lit. E DS-GVO)
Hier nicht zutreffend bzw. relevant
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)
Bei Bewerberdaten nach Abschluss der Stellenbesetzung, außer weitere Aufbewahrung (gesperrt) auf ausdrücklichen Wunsch des Bewerbers. Ansonsten werden Bewerberdaten nach den gesetzlichen Vorschriften nach sechs Monaten gelöscht.
Für Mitarbeiterdaten gelten die handels-, sozial- und steuerrechtlichen Aufbewahrungspflichten.
Darüber hinaus werden die personenbezogenen Daten ausgeschiedener Mitarbeiter oder in den Ruhestand versetzten Mitarbeiter automatisch archiviert und dadurch für eine weitere Verarbeitung gesperrt.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 lit. g i.V.m. Art. 32 Abs.1 DS-GVO)
Die technischen und organisatorischen Maßnahmen zur Verwirklichung der datenschutzrechtlichen Schutzziele im Büro sind in einem eigenen Punkt Technisch Organisatorische Maßnahmen aufgelistet.
Anlage Nr. 2
Bezeichnung der Verarbeitungstätigkeit
Kundenverwaltung / Reisevermittlung
Verantwortliche Führungskraft
Ute Pont und Kathrin Krimpmann
Bahnhofstr. 13
48607 Ochtrup
Telefon: 02553/720820
E-Mail: wuensche@ochtrup-reist.de
Zwecke der Verarbeitung
- Abwicklung der vertraglich geschuldeten Dienstleistung im Zusammenhang mit einer Reisevermittlung (Pauschalreisen)
- Vermittlung von Reiserücktrittsversicherungen und sonstigen mit Reisedienstleistungen im Zusammenhang stehenden Versicherungsverträgen
- Vermittlung von Flügen
- Vermittlung von Bahntickets und Bahnreisen
- Vermittlung von Hotelleistungen
- Vermittlung von Eintrittskarten
- Vermittlung von Individualreisen
Rechtsgrundlagen der Verarbeitung
Vertragliche Verpflichtungen aus dem Auftragsverhältnis
Gesetzliche Verpflichtung aus den Vorschriften des BGB und HGB
Beschreibung der Kategorie betroffener Personen und der Kategorie personenbezogener Daten
Betroffene Personengruppen
a)Kunden
b)Mitarbeiter von gewerblichen Kunden
Kategorien personenbezogener Daten
Name, Adresse (Anschrift und E-mail), Geburtsdatum, Bankverbindung, Kreditkartennummern, körperliche Gebrechen (Behinderungen, wenn vom Kunden besondere Hinweise für Hotel oder Flug etc. gemacht werden), Reisepass- bzw. Personalausweisdaten, Reisevorlieben, gereiste Reisen
Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. noch offenzulegen sind (Art. 30 Abs. 1 lit. D DS-GVO)
a) Reiseunternehmen für Pauschalreisen, Hotels und Fluggesellschaften
b) Auftragsverarbeiter für die Buchungsabwicklung und Rechnungserstellung (Schmetterling International GmbH & Co. KG),
c) Versicherungsgesellschaften,
d) Deutsche Bahn,
e) Fluggesellschaften,
f) Hotel- und Beherbergungsbetriebe,
g) Busunternehmen,
h) Botschaften für Visumangelegenheiten,
Datenübermittlung in Drittländer oder internationale Organisationen (Art. 30 Abs.1 lit. E DS-GVO)
Personenbezogene Daten werden zur Vertragsabwicklung von Reisedienstleistungen auch an Empfänger mit Sitz in Drittstaaten übermittelt. Hierbei gilt aus unserer Sicht das Prinzip der Datensparsamkeit. Nur die notwendigsten Daten werden übermittelt.
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)
Für jegliche Kundendaten gelten die handels- und steuerrechtlichen Aufbewahrungspflichten.
Darüber hinaus werden die personenbezogenen Daten ehemaliger Kunden automatisch archiviert und dadurch für eine weitere Verarbeitung gesperrt, bis diese endgültig gelöscht werden.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 lit. g i.V.m. Art. 32 Abs.1 DS-GVO)
Die technischen und organisatorischen Maßnahmen zur Verwirklichung der datenschutzrechtlichen Schutzziele im Büro sind in einem eigenen Punkt Technisch Organisatorische Maßnahmen aufgelistet.
-
Auswärtiges Amt
Reise- und Sicherheitshinweise
-
Reisemedizin
Zentrum für Reisemedizin
-
Deutsche Bahn
Reise Service, Onlinebuchung und Fahrpläne der DB
-
Reisecheckliste
Ihre persönliche Reiseapp