1. Rollen der Parteien
Der Kunde ist Verantwortlicher für die Daten seiner Gäste. Guest Intelligence agiert als Auftragsverarbeiter und verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Kunden.
2. Datenkategorien und Betroffene
Verarbeitete Daten: Identität, Kontaktdaten, Aufenthaltshistorie, Präferenzen, schriftlicher Austausch mit dem Hotel. Betroffene: vergangene, aktuelle und potenzielle Gäste des Hauses.
3. Verarbeitungsorte
Die Daten werden ausschließlich innerhalb der Europäischen Union (Frankreich und Deutschland) gehostet und verarbeitet. Eine Übermittlung außerhalb der EU erfolgt nur mit geeigneten vertraglichen Garantien und vorheriger Information des Kunden.
4. Sicherheitsmaßnahmen
TLS 1.3-Verschlüsselung in Transit, AES-256-Verschlüsselung im Ruhezustand, rollenbasierte Zugriffskontrolle, Zugriffsprotokollierung, verschlüsselte tägliche Backups, jährliche Penetrationstests.
5. Weitere Auftragsverarbeiter
Guest Intelligence pflegt eine aktuelle Liste der Unter-Auftragsverarbeiter und informiert den Kunden über jede Änderung. Der Kunde kann aus berechtigtem Grund innerhalb von 30 Tagen widersprechen.
6. Unterstützung des Verantwortlichen
Guest Intelligence unterstützt den Kunden bei der Beantwortung von Betroffenenrechten, der Durchführung von DSFA und der Meldung von Datenschutzverletzungen innerhalb der gesetzlichen Fristen.
7. Meldung von Verletzungen
Jede Datenschutzverletzung wird dem Kunden ohne ungebührliche Verzögerung und spätestens innerhalb von 48 Stunden nach Entdeckung gemeldet, mit den nötigen Informationen zur Bewertung und Meldung an die Aufsichtsbehörde.
8. Ende der Leistung
Bei Vertragsende wählt der Kunde zwischen vollständiger Rückgabe und sicherer Löschung der Daten. Soweit nicht gesetzlich vorgeschrieben, werden alle Daten innerhalb von 30 Tagen gelöscht und auf Anfrage ein Löschzertifikat ausgestellt.