INFORMATIONEN ZUR DATENVERARBEITUNG

 

Das Armin Trade Kft. – im Weiteren: Unternehmen – kommt durch Bekanntgabe vorliegenden Informationsblattes seiner Pflicht nach, die Betroffenen über die Datenverwaltung aufgrund von einer vom EUROPAISCHEN PARLAMENT und RAT (EU) verabschiedeten Verordnung Nr. 2016/679 zu informieren, in dessen Sinne, nach dem Wortlaut einzelner Punkte der Verordnung jede Informationsweitergabe in bündiger, verständlicher, übersichtlicher und leicht zugänglicher Form den Betroffenen der Datenverwaltung zur Verfügung gestellt werden müssen.

 

  1. BENENNUNG DES DATENVERWALTERS

 

Das Unternehmen informiert die Betroffenen, dass das Institut bzgl. der Verwaltung der personenbezogenen Daten der Angestellten als Datenverarbeiter zu betrachten ist.

 

FIRMENNAME:

Armin Trade Kft.

SITZ:

4024 Debrecen, Kossuth utca 22. II/4

STEUERNUMMER:

14328402-2-09

VERTRETER:

Sándor Zsolt Kovács

E-MAIL:

info@armintrade.hu

WEBSEITE:

www.armintrade.hu

 

Die personenbezogenen Daten können von Personen, die eine Berechtigung zur Datenverwaltung der vom Unternehmen vergebenen Zulassung bzw. von Personen, Organisationen, die in einem Vertragsverhältnis mit dem Unternehmen bzgl. der Datenverwaltung stehen, eingesehen werden, in einem vom Unternehmen vorgegebenen Umfang und in einem ihnen durch ihre Aufgabendurchführung zustehenden notwendigen Maß.

 

  1. BENENNUNG DER DATENVERARBEITER

 

(1) Vom Unternehmen werden zur Datenverwaltung der freiwillig zur Verfügung gestellten personenbezogen-en Daten externe Datenverarbeiter zum Betrieb und zur Pflege seiner Website in Anspruch genommen,

 

FIRMENNAME: Tarhely.eu Szolgáltató Kft.

SITZ: 1097 Budapest, Könyves Kálmán körút 12-14.

STEUERNUMMER: 14571332-2-42

E-MAIL: support@tarhely.eu

WEBSEITE: tarhely.eu

TÄTIGKEIT: Serverhosting, Systemadministrationsdienst

 

 

III. BEGRIFFSBESTIMMUNGEN

 

1.   "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

 

2.   "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

 

3.   "Einschränkung der Verarbeitung" die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

 

4.  "Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

 

5.   "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

 

6.   "Dateisystem" jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

 

7.   "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

 

8.   "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

 

9.   "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

 

10.   "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

 

11.   "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

 

12.  "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

 

13.  "Unternehmen" eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

 

IV. DIE RECHSTGRUNDLAGEN FÜR DIE DATENVERARBEITUNG

1. Einwilligung der betroffenen Person

(1) Die Rechtsmäßigkeit der Datenverwaltung von personenbezogenen Daten muss auf der Einwilligung der Betroffenen beruhen oder muss über sonstige juristische, durch Rechtsregelungen festgelegte Grundlagen verfügen.

(2) Im Falle der Einwilligung der Datenverwaltung personenbezogener Daten kann der Betroffene seine Einwilligung zur Verwaltung seiner personenbezogenen Daten in folgenden Formen angeben:

a) schriftlich, in Form einer Erklärung bzgl. der Einwilligung zur Datenverwaltung personenbezogener Daten,

b) elektronisch, mit dem ausdrücklichen Verhalten auf der Webseite des Unternehmen, durch Ankreuzung des Kontrollkästchens, wenn technische Einstellungen für die Nutzung der Dienste der Informationsgesellschaft vorgenommen werden,oder in einer sonstigen Erklärung oder in einer Handlung, die im gegebenen Zusammenhang die eindeutige Einwilligung des Betroffenen zur geplanten Verwaltung seiner personenbezogenen Daten signalisiert.

(3) Das Schweigen, das im Voraus ausgefüllte Quadrat oder das Nicht-Handeln sind nicht als Einwilligung zu deuten.

(4) Die Einwilligung erstreckt sich auf die zum gleichen Zweck verrichtete/n gesamte Datenverarbeitungstätigkeit/en.

(5) Falls die Datenverarbeitung gleichzeitig mehrfachen Zwecken dient, muss die Einwilligung für alle datenverarbeitenden Ziele erteilt werden. Wenn der Betroffene seine Einwilligung nach einem elektronischen Aufruf erteilt, muss die Einwilligung eindeutig und kurz/bündig formuliert sein, diese darf die in Anspruche jener Dienstleistung nicht verhindern, zu welcher die Einwilligung erbeten wurde.

(6) Der Betroffene ist berechtigt, seine Einwilligung jederzeit zurückzuziehen. Der Abbruch der Einwilligung betrifft nicht die Rechtsmäßigkeit der Datenverarbeitung der bis dahin gültige Einwilligung. Vor der Abgabe der Einwilligung muss der Betroffene darüber informiert werden. Der Abbruch der Einwilligung muss genauso auf einfache Weise ermöglicht werden wie die Einwilligung selbst.

 

2. Durchführung des Vertrags

Die Datenverwaltung gilt als rechtmäßig, wenn diese zu einer Vertragserfüllung notwendig ist, in der die/der Betroffene, die eine Partei darstellt oder noch vor Abschluss des Vertrags die Datenverwaltung auf Bitte des Betroffenen notwendig ist.

  1. Die Einwilligung des/der Betroffenen zur Verwaltung der zur Vertragserfüllung nicht notwendigen personenbezogenen Daten kann nicht Voraussetzung der Vertragsschließung sein.

 

3. Die Erfüllung der rechtlichen Verpflichtungen des Datenverarbeiters oder der Schutz der lebenswichtigen Interessen der/des Betroffenen bzw. sonstiger natürlichen Personen

Die Rechtsgrundlage der Datenverwaltung bei der Erfüllung rechtlicher Verpflichtungen wird vom Gesetz festgelegt, so ist die Einwilligung der Betroffenen zur Verwaltung seiner/ihrer personenbezogenen Daten nicht notwendig.

  1. Der Datenverwalter ist verpflichtet, die/den Betroffenen über das Ziel, die Rechtsgrundlage, die Zeitdauer, über die Person des Datenverwalters in Kenntnis zu setzen, sie/ihn des Weiteren auch über seine Rechte und die Möglichkeiten des Rechtsbehelfs zu informieren.
  2. Der Datenverarbeiter ist nach Widerruf der Einwilligungserklärung der betroffenen Person berechtigt, jenen Datensatz zu verwalten/zu verarbeiten, der zur Erfüllung der auf ihn/sie bezogenen rechtlichen Verpflichtung notwendig ist.

 

4. Die Durchführung einer Aufgabe im Rahmen einer im Allgemeininteresse oder unter den an den Datenverwalter delegierten hoheitlichen Befugnisse, die Geltendmachung der berechtigten Interessen des Datenverarbeiters oder einer dritten Person.

Der Datenverarbeiter – incl. verstanden jenen Datenverarbeiter, dem die personenbezogenen Daten mitgeteilt werden können – oder auch die berechtigten Interessen einer dritten Partei können eine Rechtsgrundlage für die Datenverarbeitung schaffen, wenn die Interessen der betroffenen Person, ihre/seine grundlegenden Rechte und Freiheiten keine Priorität genießen, seine rationalen Erwartungen aufgrund seiner Beziehung zum Datenverarbeiter berücksichtigt werden. Von so einem berechtigten Interesse kann z.B. die Rede sein, wenn zwischen der betroffenen Person und dem Datenverarbeiter eine relevante und entsprechende Beziehung besteht, z.B. in Fällen, wenn die betroffene Person ein Klient des Datenverarbeiters ist oder bei ihm angestellt, beschäftigt ist.

  1. Zur Feststellung des berechtigten Interesses muss unbedingt und mit größter Umsicht v.a. untersucht werden, ob die betroffene Person im Zeitpunkt der Datensammlung und damit im Zusammenhang rational damit rechnen kann, dass es zur Datenverarbeitung aus dem gegebenen Zweck kommen kann.
  2. Die Interessen und die grundlegenden Rechte der betroffenen Person genießen gegenüber den Interessen des Datenverarbeiters Priorität, wenn die personenbezogenen Daten unter Umständen verwaltet werden, während dieser die betroffenen Personen auf weitere Datenverwaltung nicht rechnen. 

 

V. RECHTE IN BEZUG AUF DIE DATENVERWALTUNG DER BETROFFENEN PERSON

1. Bezüglich der personenbezogenen Daten erteilt das Unternehmen folgende Informationen:

Die betroffene Person hat das Recht:

  1. zur Information vor Beginn der Datenverarbeitung,
  2. das Recht dazu, vom Datenverwalter eine Rückmeldung darüber zu bekommen, ob die Datenverwaltung seiner personenbezogenen Daten bereits im Laufe ist und wenn dies der Fall ist, ist die Person berechtigt, bzgl. ihrer personenbezogenen Daten und die folgenden Informationen,
  3. die Berichtigung oder Löschung ihrer Daten zu verlangen, eine Information vom Datenverarbeiter über die Erfüllung dieses Wunsches zu bekommen,
  4. um die Einschränkung der Verarbeitung zu bitten und darüber informiert zu werden,
  5. zur Datenübertragbarkeit,
  6. die betroffene Person hat ein Widerspruchsrecht, wenn die personenbezogenen Daten der Person für gemeinnützige Zwecke gebraucht werden oder auf die berechtigten Interessen des Datenverarbeiters bezugnehmend verwaltet werden.
  7. die Person hat das Recht, nicht ausschließlich auf einer automatisierten Verarbeitung einschließlich Profilierung – beruhenden Entscheidung unterworfen zu werden,
  8. zur Einreichung einer Beschwerde bei der Aufsichtsbehörde. Das Beschwerderecht kann von der betroffenen Person an folgenden Stellen eingereicht werden: Nemzeti Adatvédelmi és Információszabadság Hatóság, cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., Telefon: +36 (1) 391-1400; Fax:+36(1)391-1410., Webseite: http://www.naih.hu E-Mail: ugyfelszolgalat@naih.hu
  9.  
  10. die betroffene Person hat das Recht zu einem effektiven Rechtsbehelf gegenüber einer Aufsichtsbehörde,
  11. die betroffene Person hat das Recht zu einem gerichtlichen Rechtsbehelf gegenüber dem Datenverwalter oder Datenverarbeiter
  12. Information über die Datenschutzverletzung.

 

2. Detaillierte Information über die Rechte der betroffenen Person

Auskunftsrecht

(1) Die betroffene Person hat das Recht dazu, vor Beginn der Verwaltung ihrer/seiner personenbezogenen Daten über die mit der Datenverwaltung zusammenhängenden Informationen Auskunft zu erhalten.

(2) Die betroffene Person hat das Recht über die zur Verfügung gestellten Informationen, wenn die

personenbezogenen Daten von der betroffenen Person selbst gesammelt werden:

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

  1. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und;
  5.  
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

 

(3) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilierung gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

(4)   Wurden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. die Kategorien personenbezogener Daten, die verarbeitet werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

 

(2)   Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber einer fairen und transparenten Verarbeitung zu gewährleisten:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    1. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen;
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

(3)   Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4)   Die Absätze 1 bis 3 finden keine Anwendung, wenn und soweit:

  1. die betroffene Person bereits über die Informationen verfügt;
  2. die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit;
  3. die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeigneten Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder;
  4. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Auskunftsrecht der betroffenen Person

(1)  Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. als möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Das Recht zur Berichtigung und Löschung der betroffenen Person

Das Recht zur Berichtigung

 (1) Die betroffene Person ist dazu berechtigt, dass der Datenverarbeiter auf ihre Bitte ohne Begründung, die auf die betreffende Person bezogenen ungenauen Daten unverzüglich berichtigt. In Anbetracht des Zwecks der Datenverwaltung hat die betroffene Person das Recht, die Ergänzung der noch fehlenden personenbezogenen Daten – unter anderem in Form einer zusätzlichen Erklärung – zu verlangen.

Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
  2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
  3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein;
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3)   Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  2. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
  4. die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2)  Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung von Rechtsansprüchen oder Verteidigung gegen Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

 

(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

 

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

(1) Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

(2) Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Recht auf Datenübertragbarkeit

(1)   Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern:

  1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

 

(2)   Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

(3)  Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

(4)   Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

 

Widerspruchsrecht

1Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2)   Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3)   Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

(4)   Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.

(5)   Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.

(6)   Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

 

Recht auf Enthebung der automatisierten Entscheidung

(1)   Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2)   Absatz 1 gilt nicht, wenn die Entscheidung:

  1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist;
  2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
  3. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3)   In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4)  Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

 

Das Recht auf Klage und Rechtsbehelf

Recht auf Klage bei der zuständigen Aufsichtsbehörde.

(1) Die betroffene Person ist aufgrund der Verordnung des Artikels 77. dazu berechtigt, eine Klage bei der Aufsichtsbehörde einzureichen, wenn nach Beurteilung der betroffenen Person die Verarbeitung ihrer personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Ihr Recht zur Klage kann die betroffene Person unter den folgenden Erreichbarkeiten ausüben:

Nemzeti Adatvédelmi és Információszabadság Hatóság cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., Telefon: +36 (1) 391-1400, Fax: +36 (1) 391-1410, Webseite: http://www.naih.hu, E-Mail: ugyfelszolgalat@naih.hu

(3) Die Aufsichtsbehörde, zu der die Klage eingereicht wurde, ist verpflichtet, den Kläger über den Lauf des Klageverfahrens und dessen Ergebnisse zu informieren, einschließlich, dass laut Artikel 78. der Verordnung der Kläger das Recht auf Rechtsbehelf hat.

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1)   Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2)   Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3)   Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4)   Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

 

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

(1)   Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2)   Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

 

Beschränkungen

(1)   Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

  1. die nationale Sicherheit;
  2. die Landesverteidigung;
  3. die öffentliche Sicherheit;
  4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  5. den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
  6. den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  7. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
  8. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
  9. den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  10. die Durchsetzung zivilrechtlicher Ansprüche.

(2)   Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf die Zwecke der Verarbeitung oder die Verarbeitungskategorien:

  1. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
  2. die Kategorien personenbezogener Daten,
  3. den Umfang der vorgenommenen Beschränkungen,
  4. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
  5. die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
  6. die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
  7. die Risiken für die Rechte und Freiheiten der betroffenen Personen und
  8. das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
  9.  

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

(2)   Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.

(3)   Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4)   Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

 

VI. VERFAHREN IM FALLE DES GESUCHS DER BETROFFENEN PERSON

(1) Das Unternehmen fördert die Ausübung der Rechte der betroffenen Person, sie kann das Gesuch der betroffenen Person aufgrund des in diesem Informationsblatt Festgelegten zur Ausübung ihrer/seiner Rechte nicht zurückweisen, ausgenommen den Fall, dass bewiesen werden kann, dass die betroffene Person nicht identifizierbar ist.

(2) Das Unternehmen hat unverzüglich, doch auf jeden Fall einen Monat nach dem Eingang des Gesuchs die betroffene Person über die aufgrund des Gesuchs getroffenen Maßnahmen zu informieren. Im Notfall und unter Berücksichtigung der Komplexität des Gesuchs sowie der Zahl der Gesuche, kann diese Frist um weitere 2 Monate verlängert werden. Über die Verlängerung der Frist mit Angabe der Gründe der Verlängerung muss die betroffene Person einen Monat nach Eingang des Gesuchs informiert werden.

(3) Falls die betroffene Person das Gesuch auf elektronischem Wege eingereicht hat, muss die Information nach Möglichkeit auch auf elektronischem Wege gegeben werden, wenn die betroffene Person darüber nicht anders verfügt.

(4)   Falls das Unternehmen aufgrund des Gesuchs keine Maßnahmen einleitet, muss einen Monat nach Eingang des Gesuchs die betroffene Person unverzüglich über die Gründe der Verzögerung informiert werden, bzw. auch darüber, dass die betroffene Person bei der Aufsichtsbehörde eine Klage einreichen kann und vom Recht des Rechtsbehelfs Gebrauch machen kann.

(5) Das Unternehmen gewährt der betroffenen Person die Information und die Maßnahmen unentgeltlich: Rückmeldung über die Datenverwaltung der personenbezogenen Daten, der Zugang zu den verwalteten Daten, die Berichtigung, die Ergänzung, die Löschung, die Einschränkung der Datenverwaltung, die Datenübertragbarkeit, die Information über die Datenschutzverletzung.

(6) Falls das Gesuch der betroffenen Person eindeutig unbegründet ist oder – besonders wegen seines wiederholenden Charakters – übertrieben ist, kann der Datenverarbeiter für die durch die Auskunft der verlangten Information entstandenen administrativen Unkosten einen Preis von 5000 HUF erheben oder er kann die weiteren Maßnahmen aufgrund des Gesuchs verweigern.

 

(7) Das Gesuch ist eindeutig unbegründet oder der Beweis seines übertriebenen Charakters belastet den Datenverarbeiter.

(8) Ohne Verletzung von Artikel 11. der Verordnung, falls der Datenverarbeiter begründete Zweifel hegt, können laut Artikel 15-21. der Verordnung bezüglich der einreichenden natürlichen Person weitere, zur Bestärkung ihrer/seiner Identifikation zusätzliche Informationen verlangt oder eingeholt werden.

 

IX. VERFAHREN IM FALLE EINER VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN (PERSONAL DATA BREACH)

(1) Eine Verletzung des Schutzes personenbezogener Daten ist im Sinne der Verordnung die Verletzung der Sicherheit, das die weitergeleiteten, gespeicherten oder auf eine andere Weise verarbeiteten personenbezogenen Daten aus Zufall oder durch die unrechtsmäßige Vernichtung, Veränderung, den Verlust, die unrechtsmäßige Veröffentlichung oder den Zugang dazu als Ergebnis hat.

(2) Als Datenschutzverletzung wird der Verlust oder der Diebstahl von Datenträgern mit personenbezogenen Daten (Laptop, Handy) eingestuft, bzw. auch wenn  der Datenverarbeiter den Kode zur Entschlüsselung der geheim gehaltenen Datensätzen verliert oder dieser nicht mehr zugänglich ist, des Weiteren, ein durch ein Ransomware (Erpresservirus) verursachte Infektion, wodurch die vom Datenverarbeiter verwalteten Daten unzugänglich sind bis zur Entrichtung des Erlösergeldes, der Angriff auf das Informationssystem, eine falsch verschickte Mail mit personenbezogenen Daten, die Veröffentlichung einer Liste der Adressaten, etc.

(3) Im Falle der Wahrnehmung einer Datenschutzverletzung hat der Vertreter des Unternehmens unverzüglich Ermittlungen einzuleiten, um die Identifikation der Datenschutzverletzung und dessen eventuelle Folgen aufzudecken. Zur Beseitigung der Schäden müssen die entsprechenden Maßnahmen getroffen werden.

(4) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(5)   Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(6)   Die Meldung gemäß Absatz 3 enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(7)   Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(8)   Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

 

VI. DATENVERWALTUNG DER WEBSEITE

Informationen zu den Besucherdaten der Unternehmenswebseite

(1) Bei Besuchen auf der Website des Unternehmens werden ein oder mehrere Cookies - ein kleines Paket von Informationen, die vom Server an den Browser gesendet werden - bei jeder an den Server gerichteten Anfrage an den Server zurückgesendet - und an den Computer des Besuchers der Website gesendet. Ihr Browser ist eindeutig identifizierbar, wenn die Person, die die Website besucht, explizit (aktiv) ihr Browserverhalten auf der Website nach eindeutigen und eindeutigen Informationen eingibt.

(2) Cookies dienen lediglich der Verbesserung der Benutzererfahrung und der Automatisierung der Anmeldung. Die auf dieser Website verwendeten Cookies enthalten keine personenbezogenen Daten, die persönlich identifizierbar sind. Das Unternehmen führt keine personenbezogenen Daten in diesem Kreis durch.

 

Registrierung, Newsletter-Abonnement

 

(1) Die Rechtsgrundlage der Datenverwaltung für die Registrierung, Newsletter-Abonnement, ist die Einwilligung der Betroffenen, durch Ankreuzung des Kontrollkästchens „Registrierung” bzw. „Newsletter-Abonnement”, nachdem ihre Informationen zur Verwaltung ihrer Daten bekanntgeben werden.

(2) Der Kreis der Betroffenen Personen im Falle von Registrierung, Newsletter- Abonnement:  Alle natürliche Personen, die den Newsletter des Unternehmens abonnieren oder auf der Webseite registrieren möchten und stimmen der Verarbeitung Ihren persönlichen Daten zu.

(3) Der Kreis der verwalteten Daten bei Newsletter-Abonnement: Name, E-Mail-Adresse.

(4) Der Kreis der verwalteten Daten bei Registrierung: Name, Adresse, E-Mail-Adresse, Telefonnummer, Anmeldekennwort.

(5) Der Zweck der Datenverwaltung im Falle der Newsletter-Abonnement besteht darin, Informationen über die Dienste, Produkte und Änderungen des Unternehmens, Informationen über Neuigkeiten und Ereignisse bereitzustellen.

(6) Der Zweck der Datenverwaltung im Falle der Registrierung: Kontaktaufnahme zur Vorbereitung eines Vertragsabschlusses, Gewährung von kostenlosen Dienstleistungen für den Betroffenen auf der Website, Zugang zu nicht öffentlichen Inhalten auf der Website.

(7) Die Empfänger der Daten (die die Daten kennenlernen dürfen) bei Newsletter-Abonnement, bei der Registrierung: Der Leiter des Unternehmens, der Mitarbeiter des Kundenbeziehungen, die Datenverarbeitungspersonal des Unternehmens-Website.

(8) Die Dauer der Datenverarbeitung bei Newsletter-Abonnement und -Anmeldung: Bei Newsletter-Abonnements bis zur Abmeldung bei der Registrierung bis zur Löschung auf Verlangen des Betroffenen.

(9) Die betroffene Person kann sich jederzeit vom Newsletter abmelden oder die Löschung ihrer Registrierung (sowie ihrer persönlichen Daten) beantragen. Um vom Newsletter abzumelden, muss man auf den Link zur Abmeldung in der E-Mail-Fußzeile klicken oder es kann per Post an den Sitz des Unternehmens versendet werden.

 

Datenverwaltung im Zusammenhang mit Direktmarketingaktivitäten

(1) Die Rechtsgrundlage für das Direktmarketing-Datenverwaltung des Unternehmens ist die klare und ausdrückliche Zustimmung der Betroffenen durch Ankreuzung des Kontrollkästchens „Beitrag zu Direktmarketinganfragen”. nachdem ihre Informationen zur Verwaltung Ihrer Daten bekanntgeben werden.

(2) Die Einwilligung des Betroffenen kann auch auf Papierbasis durch Ausfüllen des eines Datenblattes, welches im Anhang 2 dieser Verordnung gefunden werden kann, erteilt werden.

(3) Der Kreis der Betroffenen: Jede natürliche Person, der ihre ausdrückliche Zustimmung erteilt, Ihre persönlichen Daten für Direktmarketingzwecke zu verwalten.

(4) Datenverwaltungsziele: Erbringung von Dienstleistungen, Verkauf von Waren, Versenden von Angeboten, Benachrichtigung von Geschäften per E-Mail oder Brief.

(5) Empfänger personenbezogener Daten: Der Leiter des Unternehmens, Mitarbeiter, die Kundendienstaufgaben und Marketingaufgaben erfüllen.

 

(6) Die persönlichen Daten, die verwaltet werden, sind: Name, Adresse, Telefonnummer, E-Mail-Adresse.

(7) Die Dauer der Datenverarbeitung: bis zum Widerruf der für Direktmarketingzwecke verwendeten personenbezogenen Daten. 

 

Webshop-bezogene Datenverwaltung

(1) Die vorstehenden Bestimmungen gelten für die Registrierung, für die Datenverwaltungsaktivitäten im Zusammenhang mit der Newsletter-Anmeldung und für die Besucherinformationen.

(2) Online, elektronische Vertragsabschlüsse auf der Website des Unternehmens fallen in den Bereich vom Gesätz CVIII von 2001 (Eker Tv.). Der Zweck der Datenverwaltung ist neben den oben Genannten, ist die Erfüllung der Verpflichtung zur Bereitstellung der gesetzlich vorgeschriebenen Verbraucherinformationen nachzuweisen, Nachweis des Vertragsschlusses, Vertragsabschluss, Festlegung, Modifizierung dessen Inhalts, Überwachung ihrer Erfüllung, Abrechnung der resultierenden Gebühr (en) und die Durchsetzung damit zusammenhängender Ansprüche.

(3) Rechtsgrundlage für das Datenverwaltung ist, im Falle des Kaufs im Webshop, die Erfüllung des Vertrages, die Erfüllung der gesetzlichen Verpflichtung.

(4) Von der Datenverwaltung betroffene Datenkategorien: Namen der Kunden, Adressen, Telefonnummern, Anmeldekennwörter, Bankkonto-Nummern. 

(5) Kategorien der Personen, die von der Datenverwaltung betroffenen sind: jede natürliche Person, die sich auf das Webshop des Unternehmens anmeldet, sich auf das Newsletter abonniert, kauft.

(6) Die Kategorien der Adressaten der Daten sind folgende: Der Leiter des Unternehmens, Mitarbeiter der Kundenbeziehungen und Vertriebsaufgaben, das Datenverarbeitungspersonal, das die Geschäftswebsite verwaltet, und die Mitarbeiter des Unternehmens, die die Buchhaltungsaufgaben ausführen.

(7) Der Ort der Datenverwaltung ist der Sitz des Unternehmens.

(8) Zeitdauer der Datenverwaltung: 5 Jahre nach Ende des Vertrags.

 

VII. DIE DATENVERARBEITUNGSTÄTIGKEITEN IM ZUSAMMENHANG MIT DER ERFÜLLUNG DES VERTRAGS

(1) Das Unternehmen verwaltet die Daten der mit ihr in einem Vertragsverhältnis stehenden Personen – Geschäftspartner, Kunden, Lieferer – im Zusammenhang mit dem Vertragsverhältnis. Über die Datenverwaltung personenbezogener Daten müssen die betroffenen Personen informiert werden.

(2) Der Kreis der Betroffenen: alle natürlichen Personen, die mit dem Unternehmen in einem Vertragsverhältnis stehen.

(3) Die Rechtsgrundlage der Datenverwaltung ist die Erfüllung des Vertrags, Zweck der Datenverwaltung ist die Kontakthaltung, die aus dem Vertrag vorgehende Geltendmachung der Rechte, die Sicherung der vertraglichen Verpflichtungen.

(4) Adressaten der persönlichen Daten: der Leiter des Unternehmens, die Arbeitnehmer im humanpolitischen Bereich des Unternehmens, die Kollegen im Bereich der Buchführung, die Datenverarbeite.

(5) Kreis der verwalteten personenbezogenen Daten: Name, Wohnort, Sitz Telefon, E-Mail-Adresse, Steuernummer, Bankkontonummer, Einzelunternehmerlizenznummer, Primärerzeuger.

(6) Zeitdauer der Datenverwaltung: 5 Jahre nach Ende des Vertrags.

 

VIII. INFORMATION ÜBER DIE DATENVERWALTUNG IM ZUSAMMENHANG MIT DEM EINSATZ DES ELEKTRONISCHEN ÜBERWACHUNGSSYSTEMS

(1) Unser Unternehmen betreibt in dem Clientraum/auf seinem Gelände und in den zugehörigen Einheiten ein elektronisches Überwachungs- und Speicherungssystem (Kamerasystem) mit dem Eintreten auf das überwachte, mit den Tafeln gekennzeichneten Gelände (Räumlichkeit) wird das elektronische Überwachungssystem das Abbild des Betroffenen festhalten und speichern.

(2) Die Rechtsgrundlage der Überwachung durch Kameras besteht in die freiwillige Einwilligung der Betroffenen durch die an den von unserem Unternehmen ausgelegten Tafeln angebrachten Informationen. Die Einwilligung der betroffenen Person kann auch in einer ausgesprochen konkludenten Verhaltensweise bekundet werden. Als solche konkludenten Verhaltensweisen sind zu betrachten, wenn die betroffene Person den Raum oder das Gebiet betritt, an der/in dem die Überwachungskameras angebracht sind, bzw. wenn er/sie sich in diesen aufhält. Wenn Sie Ihre Einwilligung nicht erteilen möchten, betreten Sie nicht die mit dem Alarmzeichen gekennzeichneten Räume oder Einheiten.

(3) Ziel der Erstellung dieser Aufnahmen ist der Schutz von Menschenleben, Schutz der körperlichen Unversehrtheit, Schutz der persönlichen Freiheit, im Interesse des Personen- und Vermögensschutzes die Vorbeugung, die Wahrnehmung, der Beweis von Verstößen, die Dokumentation von im Clientraum vorkommenden eventuellen Unfällen, und der zur Erfüllung der Aufgaben der Versicherung notwendige Schutz des für die Öffentlichkeit zugänglichen Privatgebietes. Durch das Überwachungssystem mit Kameras wird keine Stimme dokumentiert.

 (4) Die Rechtsgrundlage der Überwachung durch Kameras besteht in die freiwillige Einwilligung der Betroffenen durch die an den von unserem Unternehmen ausgelegten Tafeln angebrachten Informationen. Die Einwilligung der betroffenen Person kann auch in einer ausgesprochen konkludenten Verhaltensweise bekundet werden. Als solche konkludenten Verhaltensweisen sind zu betrachten, wenn die betroffene Person den Raum oder das Gebiet betritt, an der/in dem die Überwachungskameras angebracht sind, bzw. wenn er/sie sich in diesen aufhält.

(5) Der Sitz der durch das elektronische Kamerasystem dokumentierten Aufnahmen (personenbezogen Daten) ist unser Unternehmen, die Aufnahmen werden 3 Arbeitstage nach der Dokumentierung.

(6) Der Kreis der bearbeiteten Daten: die durch das Kamerasystem gespeicherten betroffenen Abbilder und einige persönliche Daten.

(7) Die durch das Kamerasystem gespeicherten personenbezogenen Daten können eingesehen werden: vom Leiter des Unternehmens, von den das Kamerasystem betreibenden Arbeitnehmern, vom Datenverarbeiter des Betreibers zum Zweck der Aufdeckung von Rechtsverletzungen und zur Kontrolle des Betriebs.

 

IX. VERORDNUNGEN BEZÜGLICH DES DATENSCHUTZES

(1) Das Unternehmen kann personenbezogene Daten nur in Einklang der in der vorliegenden Regelung angegebenen Tätigkeiten nach dem Zweck der Datenverarbeitung verwalten.

(2) Das Unternehmen kümmert sich um den Schutz der Daten und übernimmt die Verantwortung dafür, dass alle technischen und organisatorischen Maßnahmen getroffen werden, die für den Datenschutz unentbehrlich sind zur Geltendmachung der diesbezüglichen Rechtsregelungen, zum Daten- und Geheimhaltungsschutz bzw. erarbeitet die notwendigen Schritte zur Geltendmachung oben angeführter Rechtsregelungen.

(3) Das Unternehmen schützt mit entsprechenden Maßnahmen die Daten vor einem unberechtigten Zugang, vor einer Veränderung, der Weiterleitung, der Bekanntmachung, der Löschung oder Vernichtung der Daten, bzw. vor einer zufälligen Vernichtung und Verletzung, des Weiteren vor einer durch angewandte technische Veränderungen entstandene Unzugänglichkeit der Daten.

(4) Die vom Unternehmen im Interesse des Datenschutzes durchzuführenden technischen und organisatorischen Maßnahmen werden in der Datenschutzregelung des Unternehmens festgehalten.

(5) Bei der Bestimmung und Anwendung der den Datenschutz dienenden Maßnahmen muss der jeweilige Entwicklungsstand der Technik berücksichtigt werden, von mehreren möglichen datenverarbeitenden Lösungen muss jene Lösung gewählt werden, die den höheren Schutz der personenbezogenen Daten garantiert, außer den Fall, wenn dies übermäßig große Schwierigkeiten verursachen würde.

 

X. REGELN IM ZUSAMMENHANG MIT DER DATENVERWALTUNG

1. Allgemeine Regeln im Zusammenhang mit der Datenverwaltung

(1) Die Rechte und Verpflichtungen des Datenverwalters bei der Verarbeitung der personenbezogenen Daten werden vom Gesetz festgelegt sowie im Rahmen von Sonderregelungen bzgl. der Datenverwaltung vom Datenverwalter bestimmt.

(2) Das Unternehmen deklariert, dass im Laufe der Tätigkeit der Datenverwalter keine Kompetenz zu relevanten Entscheidungen bzgl. der Datenverwaltung besitzt, die ihm zugeleiteten personenbezogenen Daten ausschließlich nach Anweisungen des Datenverwalters bearbeitet werden können, zu eigenen Zwecken eine Datenverarbeitung nicht durchgeführt werden kann, des Weiteren ist er verpflichtet, die personenbezogenen Daten zu speichern und aufzubewahren.

(3) Über die Rechtmäßigkeit der Anordnungen bezüglich der Datenverarbeitungsvorgänge ist das Unternehmen gegenüber dem Datenverwalter verantwortlich.

(4) Das Unternehmen ist verpflichtet, den betroffenen Personen über die Person, den Ort der Datenverwaltung Informationen zu geben.

(5) Das Unternehmen beauftragt den Datenverwalter mit weiteren Inanspruchnahmen zur Datenverwaltung.

(6) Der Vertrag bzgl. der Datenverwaltung muss in eine schriftliche Form gefasst werden. Mit der Datenverwaltung kann jene Organisation nicht beauftragt werden, die mit Interessen in der die personenbezogenen Daten aufarbeitenden Geschäftstätigkeit beteiligt ist.

 

Debrecen, 01.05.2018