Datenschutz- und Datenverwaltungsrichtlinien der AUSTRAUTO GmbH
1300 Flughafen-Wien, Object 134, Parkhaus 4
Car Rental Center 0A2804, U-SAVE Car Rental
Vertreter Herr Marco Liello Geschäftsführer
Firmenbuchnummer: FN 485386d
Steuernummer: ATU73093038
1. Zweck der Datenverwaltungsrichtlinien
Der Zweck dieser Richtlinien ist, dass bei der Datenverwaltung der AUSTRAUTO GmbH (1300 Flughafen-Wien, Object 134, Parkhaus 4 Car Rental Center 0A2804) als Datenverantwortliche der Schutz der personenbezogenen Daten aller Personen, mit denen die Gesellschaft ein mit Datenverwaltungstätigkeiten verbundenes Rechtsgeschäft eingeht, auf höchstmöglichem Niveau berücksichtigt wird. Darüber hinaus muss die Datenverwaltung dem verfassungsrechtlichen Prinzip der informationellen Selbstbestimmung und den Bestimmungen der Verordnung des Europäischen Parlaments zum Allgemeinen Datenschutz entsprechen. Der Zweck dieser Richtlinien besteht auch darin, die vom Datenverantwortlichen erhobenen sensiblen Informationen vor Informationsmissbrauch zu schützten.
2. Anwendungsbereich der Richtlinien
Der persönliche Anwendungsbereich dieser Richtlinien umfasst alle Mitarbeiter der Gesellschaft, unabhängig von der Art des Rechtsverhältnisses (Dienstverhältnis, Auftrag) und alle Personen die sich auf dem Standort / in den Büros der Gesellschaft aufhält. Der sachliche Anwendungsbereich der Richtlinien umfasst alle von der Gesellschaft verwalteten personenbezogenen Daten. Die Form, der Fundort/Speicherort der personenbezogenen Daten, der Weg deren Einholung betreffen die Stufe des Datenschutzes nicht. Diese Richtlinien gelten für alle Phasen der Datenverwaltung.
3. Rechtliche Hinweise
Diese Richtlinien unterliegen den folgenden Gesetzen:
- Datenschutz-Grundverordnung (der Republik Österreich)
- Die EU- Verordnung (EU) 2016/679 (GPDR – zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
4. Grundsätze und Richtlinien der Datenverwaltung
1. Personenbezogene Daten dürfen nur zu bestimmten Zwecken, zur Ausübung von Rechten und zur Erfüllung von Verpflichtungen verarbeitet werden. Jede Phase der Datenverwaltung muss den Datenverwaltungszweck erfüllen, die Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erhoben und verarbeitet werden.
2. Die von unserer Gesellschaft verwalteten personenbezogenen Daten müssen hinsichtlich der Datenverwaltung angemessen und relevant sein.
3. Personenbezogene Daten dürfen nur in dem Umfang und nur für denjenigen Zeitraum verwaltet werden, der für die Verwaltungszwecke der personenbezogenen Daten notwendig ist.
4. Die verwalteten Daten bleiben solange personenbezogen, bis die Verbindung zur betroffenen Person anhand dieser Daten wieder hergestellt werden kann. Die Verbindung zur betroffenen Person ist wiederherstellbar, wenn der Datenverantwortliche über die für die Wiederherstellung des Personenbezugs erforderlichen technischen Bedingungen verfügt.
5. Bei der Verwaltung der Daten müssen die Genauigkeit, die Vollständigkeit und – wenn das zum Zweck der Datenverwaltung notwendig ist – die Aktualität der Daten gewährleistet werden.
6. Unsere Gesellschaft verwaltet nur Daten
– mit Einwilligung der betroffenen Person, oder
– zwecks Erfüllung von vertraglichen Verpflichtungen des Datenverantwortlichen
– zwecks Erfüllung von Verpflichtungen aufgrund gesetzlicher Anordnung
– auf verbindliche behördliche Aufruf
– wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist, und gesetzlich oder durch einen Beschluss der örtlichen Selbstverwaltung – aufgrund gesetzlicher Anordnung, in dem darin festgelegten Umfang – angeordnet ist (im Folgenden: obligatorische Datenverwaltung).
7. Personenbezogene Daten können auch verwaltet werden, wenn sich die Einholung der Einwilligung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist, bzw. die Verwaltung personenbezogener Daten
– zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Datenverantwortliche unterliegt, oder
– zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist, sofern die Durchsetzung dieser Interessen die Einschränkung des Rechtes der betroffenen Person zum Schutz ihrer personenbezogener Daten nicht überwiegen.
8. Ist der Zweck der Datenverwaltung auf der Grundlage der Einwilligung der betroffenen Person die Umsetzung eines mit dem Datenverantwortlichen abgeschlossenen schriftlichen Vertrages, muss der Vertrag alle Informationen enthalten, die die betroffene Person im Sinne dieses Gesetzes über die Verwaltung personenbezogener Daten kennen muss, insbesondere den Umfang der zu verwaltenden Daten, die Dauer der Datenverwaltung, den Verwendungszweck, die Tatsache der Übermittlung der Daten, ihre Empfänger und die Inanspruchnahme eines Auftragsverarbeiters. Der Vertrag muss eindeutig festhalten, dass die betroffene Person mit der Unterzeichnung des Vertrags ihre Einwilligung zur Verwaltung ihrer personenbezogenen Daten für die vertraglich festgelegten Zwecke erteilt.
5. Rechte der Betroffenen
1. Der betroffenen Person muss vor Beginn der Datenverwaltung mitgeteilt werden, ob die Datenverwaltung auf ihrer Einwilligung oder einer Verpflichtung beruht.
2. Die betroffene Person muss eindeutig und ausführlich über alle Sachverhalte zur Verwaltung ihrer Daten informiert werden, insbesondere über den Zweck und die Rechtsgrundlage der Datenverwaltung, über die Person der zur Verwaltung und Verarbeitung der Daten befugten Verantwortlichen, über den Zeitraum der Datenverwaltung, und wem die Daten zugänglich sind. Die Informationen müssen auch die Rechte und Rechtsmittel der betroffenen Person bezüglich der Verwaltung ihrer personenbezogenen Daten umfassen.
3. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: die Verarbeitungszwecke; die Kategorien personenbezogener Daten, die verarbeitet werden; die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden; falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten. Auf Antrag stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. um ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten. (Recht auf Zugriff.)
4. Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. 2Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. (Recht auf Berichtigung)
5. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft (Recht auf Vergessenwerden):
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
- Zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
6. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
– Die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
– Die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
– Der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
– die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
7. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
- Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
8. Der Antrag der betroffenen Person auf Durchsetzung der Rechte aus diesem Kapitel wird sobald wie möglich aber nicht mehr als 15 Tage nach der Einreichung geprüft werden. Der Antragsteller wird schriftlich über die Entscheidung in Kenntnis gesetzt.
6. Sicherheit personenbezogener Daten
1. Der Datenverantwortliche muss die Datenverwaltungsvorgänge so gestalten und durchführen, dass der Schutz der Privatsphäre der betroffenen Personen gewährleistet ist.
2. Der Datenverantwortliche sorgt für die Sicherheit der Daten, ergreift die entsprechenden technischen und organisatorischen Maßnahmen und legt die entsprechenden Verfahrensregeln fest, um den Anforderungen des Infogesetzes zu entsprechen.
3. Unsere Gesellschaft schützt die Daten insbesondere gegen unbefugten Zugriff, Änderung, Weiterleitung, Veröffentlichung, Löschung oder Vernichtung, sowie gegen unbeabsichtigte Vernichtung, Beschädigung, bzw. Nichtverfügbarkeit wegen Veränderungen in der eingesetzten Technologie.
4. Unser Unternehmen stellt sicher, dass nur Mitarbeiter, die an der Ausführung der Aufgabe beteiligt sind, Zugriff auf die betreffenden Daten erhalten, und dass die Computer- und Netzwerksicherheit gewährleistet ist.
5. Die Daten werden elektronisch verarbeitet und gespeichert, so dass die personenbezogenen Daten gescannt auf dem Server der Gesellschaft gespeichert werden. Die Mitarbeiter der Gesellschaft bei ihren Datenverarbeitungs- und Datenspeicherungsaufgaben arbeiten mit allen Mitteln, die Kenntnisnahme der Daten bzw. eine Identifizierung der betroffenen Person von unbefugten dritten Parteien zu vermeiden. Die verwalteten personenbezogenen Daten werden voneinander getrennt gespeichert.
In Verbindung mit den gespeicherten Daten legt unsere Gesellschaft alle zumutbare technische-organisatorische Maßnahmen fest, damit unbefugte, dritte Personen nicht von personenbezogenen Daten Kenntnis nehmen, verfügt über den entsprechenden Virenschutz gegen unbefugte Zugriffe, und ergreift jede rationale Maßnahmen gegen drohende Gefahr im Internet. Die Computers der Gesellschaft sind obendrein mit einzelnen Passwörter geschützt, gekannt nur von den Mitarbeitern, die von der Datenverwaltung betroffen sind.
6. Unsere Gesellschaft wendet zum Schutz des menschlichen Lebens, der körperlichen Unversehrtheit und des Vermögens ein Überwachungskamera-System an. Die festgehaltenen Aufnahmen werden an die Fa. Release Zrt. (1095 Budapest, Dandár Str. 22, Ungarn) weitergeleitet, und nach 14 Tagen nach der Aufnahme gelöscht. Unsere Gesellschaft legt alle zumutbare technische-organisatorische Maßnahmen fest zu vermeiden dass unbefugte dritte Parteien die Aufnahmen erreichen können, und legt alle zumutbare informatische, organisatorische Maßnahmen gegen die Beschädigung, Verlust, Veränderung der Aufnahmen fest.
7. Die Gesellschaft verfügt über die folgende Website: www.usaveaustria.at
Die genannte Website verfügt über eigene Datenschutzmechanismen, wodurch die die dort angegebenen personenbezogene Daten gegen unbefugten Zugriff, Veränderung, Verlust, Löschen der Daten entsprechend geschützt werden, bzw. unbefugte dritte Personen können die dort angegebenen Daten nicht erreichen.
8. Die Mitarbeiter der Austrauto GmbH verpflichten sich, die während der Wahrnehmung ihrer Aufgaben erhaltenen personenbezogenen Daten zeitlich unbegrenzt aufzubewahren. Die Mitarbeiter verpflichten sich, die betreffenden Daten ausschließlich zur Erfüllung ihrer Pflichten zu verwenden, bzw. sie nicht an Dritte weiterzugeben.
7. Datenschutzvorfall und Rechtsbehelfsmöglichkeiten
1. Der Datenschutzverantwortliche meldet der nach dem Artikel 55 zuständigen Behörde den Datenschutzvorfall ohne wohlbegründeten Verzug, möglicherweise spätestens innerhalb 72 Stunden nach der Kenntnisnahme vom Datenschutzvorfall, ausgenommen den Fall, wenn der Datenschutzvorfall keine Risiken für die Rechte und Freiheit natürlicher Personen hat. Wird die Einmeldung nicht innerhalb 72 Stunden getätigt, müssen auch die Dokumente über den Grund des Verzugs beigefügt werden.
2. Wenn der Datenschutzvorfall ein vermutbar hohes Risiko auf die Rechte und Freiheit ist, hat der Datenschutzverantwortliche den Betroffenen ohne wohlbegründeten Verzug in Kenntis vom Datenschutzvorfall zu setzen.
3. Durch Einreichung eines Antrags bei der Behörde kann jeder eine Untersuchung einleiten, indem er sich auf eine Rechtsverletzung bezüglich der Verwaltung personenbezogener Daten bezieht, oder auf die Verletzung des Auskunftsrechts über Daten von öffentlichem Interesse oder Daten, die im öffentlichen Interesse zugänglich gemacht worden sind, oder auf die unmittelbare Möglichkeit dieser Rechtsverletzungen verweist.
4. Sind sie ein ausländischer Staatsbürger, können Sie sich an die von Ihrer Wohnhaft zuständigen Datenschutzbehörde wenden.
5. Wenn die Behörde kein Verwaltungsverfahren oder Gerichtsverfahren einleitet, kann sie über die Untersuchung, die sie auf der Grundlage des Antrags durchgeführt hat, ein Bericht erstellen.
6. Bei Verletzung ihrer Rechte kann sich die betroffene Person an das Gericht wenden.
Bei Datenschutzvorfall informierende Person:
Herr Zsigmond Papp Station Manager
Telefon: +43 1 7007 36540, Handynummer: +43 676 325 7246
E-Mail: zspapp@usaveaustria.at oder info@usaveaustria.at
8. Schlussbestimmungen
Die vorliegenden Richtlinien treten am 14.06.2021 in Kraft.