Informationen zur Verarbeitung Ihrer Daten
Schön, dass Sie sich für den Datenschutz in unserem Hotel und auf unserer Website interessieren. Die europäische Datenschutz-Grundverordnung wirkt sich auch auf unser Hotel in der Schweiz aus. Mit dieser Dokumentation informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die Neueret AG im Rahmen der Inanspruchnahme unserer Leistungen.
Verantwortliche für die Datenverarbeitung
NEUERET AG
Hotel LE GRAND CHALET
Neueretstrassse 43
3780 Gstaad
Telefon : +41 33 748 76 76
Telefax : +41 33 748 76 77
E-Mail: hotel@grandchalet.ch
Umsatzsteuer-Identifikationsnummer: CHE-101.523.005 Mwst.
Datenschutzkonzept
Zweck und Umfang
Das vorliegende Datenschutzkonzept von der Neueret AG/Hotel Le Grand Chalet trägt der Bedeutung und dem Stellenwert des Datenschutzes im Sinne der Achtung der Privatsphäre und der Persönlichkeitsrechte ihrer Gäste, ihrer Mitarbeitenden und allenfalls auch ihrer Geschäftspartner:innen Rechnung. Es bildet die verbindliche Grundlage für alle datenschutzrelevanten Massnahmen und Aktivitäten in der Neueret AG/ Hotel Le Grand Chalet, namentlich für das Bearbeiten von
- Personendaten der Gäste;
- Personendaten der Mitarbeitenden, inklusive Daten über Stellenbewerbe:innen und ehemalige Mitarbeitende;
- Informationen über Geschäftspartner:innen und weitere Dritte, soweit Personendaten betroffen sind
Gesetzliche Grundlagen
Grundlage für dieses Datenschutzkonzept ist das Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG; SR 235.1) und die Verordnung über den Datenschutz vom 31. August.2022 (DSV; SR 235.11) sowie gegebenenfalls das Datenschutzrecht des Kantons Berns.
Begriffe
Wichtige Begriffe sind in Anhang 1 definiert.
Geltungsbereich
Das vorliegende Datenschutzkonzept gilt für alle Organe und Mitarbeiter:innen der Neueret AG/Hotel Le Grand Chalet die im Rahmen der Erfüllung ihrer Funktionen und Aufgaben Personendaten bearbeiten.
Es gilt ebenfalls für externe Personen und Firmen, sofern sie sich durch entsprechende schriftliche Vereinbarung zu dessen Einhaltung verpflichten.
Zielsetzung
Das Hauptziel dieses Konzepts ist die Gewährleistung des Schutzes der Persönlichkeit natürlicher Personen vor widerrechtlicher oder unverhältnismässiger Bearbeitung der Daten von Personen gemäss Ziffer 1. Dieses Konzept soll als verbindliche Richtlinie alle für im Hotel Le Grand Chalet tätigen Personen darin unterstützen, in Eigenverantwortung datenschutzrechtlich einwandfrei zu handeln.
Mit der Umsetzung dieser Zielsetzung vermeidet die Neueret AG/ Hotel Le Grand Chalet auch materielle Nachteile und Imageschäden, welche ihr aufgrund von datenschutzwidrigen Handlungen erwachsen könnten.
Grundsätze des Datenschutzes
Rechtmässigkeit
Rechtmässig ist die Datenbearbeitung, wenn sie durch die Einwilligung der betroffenen Person, eine gesetzliche Ermächtigung oder ein überwiegendes öffentliches oder privates Interesse gerechtfertigt ist.
Verhältnismässigkeit
Die Datenerhebung muss erforderlich sein, zudem soll ein überwiegendes Interesse an der Erhebung bestehen. Datenerhebungen auf Vorrat sind widerrechtlich, nicht mehr benötigte Daten sind zu vernichten.
Zweckbindung
Die Daten dürfen nur zum Zweck bearbeitet werden, der bei der Erhebung der Daten genannt wurde. Ihre Daten dürfen zu keinem für die betroffene Person nicht erkennbaren Zweck bearbeitet werden.
Transparenz
Die Datenerhebung und -bearbeitung muss klar erkennbar sein. Die notwendigen Informationen sollen direkt bei der betroffenen Person beschafft werden.
Datenqualität
Es muss sichergestellt sein, dass die bearbeiteten Daten richtig, vollständig und aktuell sind. Unrichtige und unvollständige Daten sind zu korrigieren oder zu vernichten.
Treu und Glauben
Widersprüchliches und rechtmissbräuchliches Verhalten ist unzulässig.
Datensicherheit: Massnahmen
Mit organisatorischen und technischen Massnahmen sollen der Datenschutz gewährleistet und Personendaten insbesondere vor dem Zugang Unbefugter, Missbrauch, Vernichtung, Verlust, technischen Fehlern, Fälschung, Diebstahl etc. geschützt werden.
Organisatorische Massnahmen
Zugang zu Personendaten besteht bei der Neueret AG/ Hotel Le Grand Chalet nach dem Grundsatz «So viel wie nötig, so wenig wie möglich».
Der Datenschutzverantwortliche regelt deshalb in Zusammenarbeit mit den jeweils zuständigen Führungspersonen für jede Datensammlung, wer unter welchen Bedingungen Zugang zu Personendaten hat und wie dies überwacht wird.
Er führt ein Verzeichnis der Bearbeitungstätigkeiten gemäss den gesetzlichen Anforderungen und hält dieses aktuell.
Er regelt zudem, wem Zugang zu archivierten Daten gewährt wird.
Technische Massnahmen
Der Schutz elektronisch bearbeiteter Daten wird insbesondere durch die Verwendung und regelmässige umfassende Verschlüsselung, den Einsatz von Firewalls, Virenschutzprogrammen etc. und die Protokollierung von Zugriffen gewährleistet.
Durch Zugangs- und Personendatenträgerkontrollen wird verhindert, dass unbefugte Personen Zugang zu Datenbeständen haben oder diese verändern, zerstören, entwenden etc.
Archivierung
Personendaten, die für die Bearbeitung nicht mehr benötigt werden, werden gemäss den Richtlinien der/des Datenschutzverantwortlichen aufbereitet und während der definierten Dauer archiviert.
Vernichtung
Daten von untergeordneter Bedeutung werden unmittelbar nach Erreichen des Bearbeitungszwecks vernichtet (physisch zerstört oder elektronisch unwiederbringlich gelöscht). Die/Der Datenschutzverantwortliche bestimmt die Einzelheiten.
Rechte der betroffenen Personen
Dem Ziel, im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt zu handhaben, dienen die folgenden Handlungsanleitungen
Aufklärung/Orientierung
Gäste sowie Mitarbeitende werden beim Eintritt über ihre datenschutzrechtlichen Rechte und Pflichten informiert.
Der/Die Datenschutzverantwortliche orientiert sie danach angemessen über die Beschaffung sie betreffender Personendaten.
Auskunfts-/Einsichtsrecht
Die von der Bearbeitung ihrer Daten betroffene Person darf über Erhebung, Herkunft, Inhalt, Zweck, Kategorie und Rechtsgrundlage Auskunft verlangen und in die Datensammlung Einsicht zu nehmen. Sie hat auch das Recht auf die Bekanntgabe der an der Sammlung Beteiligten und Datenempfänger.
Die Auskunft bzw. Einsicht verlangende Person muss sich über ihre Identität ausweisen.
Die Auskunft ist innert 30 Tagen in allgemeinverständlicher Weise, schriftlich und kostenlos zu erteilen.
Die Erteilung von Auskünften und die Einsichtsrechte dürfen ausnahmsweise beschränkt oder verweigert werden, wenn wichtige und überwiegende öffentliche Interessen oder besonders schützenswerte Interessen von Dritten entgegenstehen.
Besteht das Risiko, dass die betroffene Person (v.a. Minderjährige) mit der Auskunftserteilung oder Einsichtnahme einer zu hohen Belastung ausgesetzt werden könnte, kann sie eine andere Person bestimmen, der an ihrer Stelle Auskunft erteilt bzw. Einsicht gewährt wird.
Recht auf Berichtigung
Widerrechtlich oder unrichtig bearbeitete sowie unrichtige Daten müssen berichtigt oder vernichtet werden.
Sperrung/Verweigerung der Datenbekanntgabe
Jede betroffene Person kann die Bekanntgabe ihrer Daten sperren lassen, wenn sie ein schutzwürdiges Interesse nachweist. Dies gilt dann nicht, wenn die Datenbekanntgabe eine gesetzliche Verpflichtung darstellt, aufgrund überwiegender Interessen Dritter erforderlich ist oder zur Aufklärung von mutmasslich rechtsmissbräuchlichen Handlungen der betroffenen Person erforderlich ist.
Handlungsanleitungen
Dem Ziel, dass im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt gehandhabt werden, dienen die folgenden Handlungsanleitungen:
Verhalten bei telefonischen und schriftlichen Anfragen
Ohne ausdrückliche Einwilligung der betroffenen Person oder ohne entsprechende gesetzliche Erlaubnis dürfen Personendaten nicht an Aussenstehende weitergegeben werden.
Bei telefonischen Anfragen ist die eindeutige Identifizierung der anfragenden Person sicherzustellen. Werden Telefongespräche aufgezeichnet, muss darauf hingewiesen werden und die Zustimmung des/der Gesprächspartner:in eingeholt werden.
Grundsätze der E-Mail-Nutzung
E-Mails können durch Dritte mitgelesen oder verändert werden. Grundsätzlich sollen deshalb möglichst wenig Personendaten per E-Mail übermittelt werden und sie sollen keine sensiblen Informationen oder Angaben über Passwörter und andere Zugangsdaten enthalten.
Per E-Mail dürfen besonders schützenswerte Daten grundsätzlich nur verschlüsselt übermittelt werden, sofern die betroffene Person keine gegenteilige, schriftliche Erklärung abgegeben hat.
Zu beruflichen Zwecken bearbeitete Personendaten dürfen nicht auf privaten Geräten gespeichert werden.
Im Übrigen sind auch die Vorschriften im Reglement von Hotel Le Grand Chalet über die Informatiknutzung zu beachten.
Verwendung Bild-/Tonaufnahmen
Auf Bild-, Film- und/oder Tonaufnahmen erkennbar dürfen nur Personen festgehalten werden, welche dazu ihre Einwilligung gegeben haben.
Die Einwilligung der betroffenen Person muss freiwillig, ausdrücklich und nach vorgängiger Aufklärung über den Zweck und die Verwendung der Aufnahmen erfolgen. Die Zustimmung kann schriftlich oder – bei Anwesenheit mehrerer Personen – mündlich oder nonverbal erfolgen und ist zu dokumentieren.
Verantwortlichkeiten
Management
Das Management ist auf strategischer Ebene für die Gewährleistung des Datenschutzes bei der Neueret AG/ Hotel Le Grand Chalet verantwortlich.
Er nimmt den Datenschutz als relevantes Thema in sein Risikomanagement-System auf und beurteilt die entsprechenden Risiken in strategisch stufengerechter Weise.
Er erlässt das vorliegende Datenschutzkonzept und überprüft dieses regelmässig.
Er bestimmt die/den Datenschutzverantwortliche:n, regelt ihre/seine Aufgaben, Verantwortlichkeiten und Kompetenzen unter Berücksichtigung der Vorschriften der Gesetzgebung in einem Pflichtenheft und nimmt ihre/seine regelmässige Berichterstattung entgegen.
Geschäftsleitung
Die Geschäftsleitung ist in Zusammenarbeit mit der/dem Datenschutzverantwortlichen zuständig für die Umsetzung dieses Konzepts und für die Einhaltung der datenschutzrechtlichen Vorgaben im Rahmen aller Datenbearbeitungen auf operativer Ebene.
Sie sorgt in geeigneter Weise dafür, dass alle Mitarbeitenden regelmässig für die Belange des Datenschutzes sensibilisiert und über die Vorgaben dieses Konzepts und deren Anwendung im beruflichen Alltag informiert werden.
Datenschutzverantwortliche:r
Der Datenschutzverantwortliche nimmt betriebsintern die Aufgaben gemäss der Gesetzgebung und dem Pflichtenheft wahr.
Er ist nach innen und aussen die Ansprechperson für alle Fragen bezüglich des Datenschutzes.
Er prüft die Rechtmässigkeit der Datenbearbeitung bei der Neueret AG/ Hotel Le Grand Chalet.
Er verfügt über ein Weisungsrecht, soweit dies für die Einhaltung der Gesetzgebung und die Umsetzung dieses Konzepts erforderlich ist.
Er erstattet gegebenenfalls Meldungen an die Datenschutzbeauftragten des Bundes und/oder des Kantons.
Er berichtet dem Verwaltungsrat und der Geschäftsleitung regelmässig über die Datenbearbeitung des Hotel Le Grand Chalet, weist dabei auf erkannte Risiken hin und gibt Empfehlungen für mögliche Verbesserungen ab. Über besondere Vorkommnisse von grösserer Tragweite orientiert sie/er unverzüglich.
Er führt regelmässige Datenschutz-Audits durch und zieht hierfür bei Bedarf externe Unterstützung bei.
Er steht dem Verwaltungsrat, der Geschäftsleitung, der Leitung HR, den Mitarbeitenden sowie den Gästen bei datenschutzrechtlichen Fragen beratend zur Verfügung.
Leitung HR
Die Leitung HR ist für die sorgfältige und datenschutzkonforme Bearbeitung der Personendaten der Mitarbeitenden im Rahmen der Personalarbeit verantwortlich.
Führungspersonen
Die Vorgesetzten aller Stufen nehmen eine Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, dem Datenschutz bei ihrem Handeln am Arbeitsplatz Rechnung zu tragen.
Sie sind in ihren Verantwortungsbereichen für die Durchsetzung und Einhaltung des Datenschutzes verantwortlich, insbesondere im Rahmen dieses Konzepts und der Geschäftsprozesse.
Sie sorgen in Zusammenarbeit mit der/dem Datenschutzverantwortlichen für die datenschutzmässige Sensibilisierung und handlungsorientierte Anleitung der Mitarbeitenden.
Mitarbeitende
Alle Mitarbeitenden von Hotel Le Grand Chalet, welche Personendaten bearbeiten, tragen dem Datenschutz eigenverantwortlich Rechnung und handeln dabei insbesondere gemäss dem vorliegenden Konzept und den Weisungen der/des Datenschutzverantwortlichen.
Sie wenden sich bei Fragen und Unsicherheiten an ihre Vorgesetzten oder an die/den Datenschutzverantwortlichen.
Dieses Konzept gilt ab 1. September 2023
Gstaad
Hotel Le Grand Chalet
Pedro Ferreira, Co-Direktor und Datenschutzbeauftragter