Richtlinie zum Datenschutz und zur Datenverwaltung
Zeitpunkt der Veröffentlichung: 22-05-2018
Spätester Termin für die 1. Überprüfung: Änderung des Gesetzes
Datum des Inkrafttretens der mit der ersten Überarbeitung eingeführten Änderungen:
Abschnitte, die bei der 1. Überprüfung geändert wurden:
Spätester Termin für die 2. Überprüfung:
Erstellt von: Éva Anikó Szabó, Geschäftsführer
15-05-2018
RICHTLINIE ZUR DATENVERWALTUNG [gemäß GDPR]
Identifikationsdaten für das Unternehmen als Datenverwalter:
- Tiszaparti Termálfürdő Kft.
- H-6060 Tiszakécske, Szabolcska u. 43.
- T.: 76/541-100
- www.barack.hu
- info@barack.hu
Das Unternehmen als Vertreter des Datenverwalters:
- Éva Anikó Szabó
- H-6060 Tiszakécske, Strand u. 4.
- T.: 20/410 8188
- eva.szabo@barack.hu
Unsere Datenschutzrichtlinie entspricht den geltenden Gesetzen, insbesondere:
- Gesetz LXIII. von 1992 über den Schutz personenbezogener Daten und über die Weitergabe von Daten von öffentlichem Interesse
- Gesetz CVIII. von 2001 zu bestimmten Fragen des elektronischen Geschäftsverkehrs und der Dienste der Informationsgesellschaft
- Gesetz XLVII von 2008 über die Grundbedingungen und bestimmte Einschränkungen der Wirtschaftswerbung
- Gesetz CXII von 2011 über das Recht auf Selbstbestimmung und Informationsfreiheit
- Gesetz CXIX von 1995 über Verwalten von Namens- und Adressinformationen für Forschungs- und Direktmarketingzwecke
- Verordnung (EU) Nr. 2016/679 / EU vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Verordnung 95/45 / EG.
Inhaltsverzeichnis
Auslegungsbestimmungen5
1Ziel der Richtlinie7
2Datenschutz-Grundsätze7
3Rechtmäßigkeit der Datenverwaltung8
3.1Persönliche Daten, ausgenommen besondere Daten8
3.2Sonderdaten9
4Informationspflicht und Verantwortlichkeiten des Unternehmens9
4.1Informationen zur Datenverwaltung9
4.1.1Gemeinsame Regeln9
4.1.2Informationen, die zur Verfügung zu stellen sind, wenn Daten von der betroffenen Person gesammelt werden10
4.1.3Informationen, die zur Verfügung zu stellen sind, wenn die Daten nicht von der betroffenen Person erhoben werden10
4.2Rechte des Betroffenen11
4.2.1Recht auf Zugang11
4.2.2Recht auf Berichtigung12
4.2.3Recht auf Löschung („Recht auf Vergessen”) 12
4.2.4Recht auf Einschränkung der Datenverwaltung13
4.2.5Recht auf Protest14
4.2.5.1Das Recht im Fall von Direktmarketing zu protestieren14
4.2.5.2Profilerstellung14
4.2.6Recht auf Datenübertragbarkeit14
4.2.7Das Recht, in Einzelfällen über automatisierte Entscheidungen, einschließlich Profilerstellung, zu entscheiden15
4.2.8Recht auf Rechtsbehelf16
4.2.8.1Recht auf Beschwerde16
4.2.8.2 Gerichtliche Überprüfung der Entscheidung der Aufsichtsbehörde, bzw. sonstige Rechtsbehelf-Möglichkeiten16
4.2.8.3Recht auf Inanspruchnahme einer Gerichtsbarkeit (Klagerecht)16
4.2.8.4Andere Anspruchsmöglichkeiten16
4.2.8.5Recht auf Schadenersatz17
4.2.8.6Verwaltungsstrafe17
4.2.8.7Strafrechtliche und / oder verwaltungsrechtliche Sanktionen17
4.3Verfahrensregeln17
4.3.1Prüfung des Antrags17
4.3.2Gebühr für bereitgestellte Informationen, erteilte Informationen und ergriffene Maßnahmen18
4.3.3Überprüfung der Identität des Antragstellers18
5Datenübertragung18
6Datenschutzvorfall18
6.1Mitteilung an die Aufsichtsbehörde19
6.2Information der betroffenen Person19
7Datenverwaltungs-Register20
7.1Aufzeichnung von Datenverwaltungs-Aktivitäten20
7.2Aufzeichnung von Datenschutzvorfällen20
8Datenschutzbeauftragter21
9Datenschutz-Folgenabschätzung21
10Schulung22
11Gemeinsame Datenverwaltung, Datenverarbeitung22
12Sicherheit der Datenverwaltung22
13Sonstige Verfügungen22
14Geltungsbereich und Überprüfungsverfahren22
Auslegungsbestimmungen
Datenverarbeiter: die natürliche oder juristische Person, Behörde, Agentur oder jede andere Stelle, die im Namen des Datenverwalters personenbezogene Daten verarbeitet;
Datenverwaltung: jede Operation oder Kombination von Operationen, ob automatisiert oder nicht automatisiert, an personenbezogenen Daten oder Dateien, wie z. B. Sammlung, Aufzeichnung, Systematisierung, Klassifizierung, Speicherung, Umwandlung oder Änderung, Abruf, Zugriff, Verwendung, Kommunikation, Verteilung oder sonstige Bereitstellung, Ausrichtung oder Verbindung, Einschränkung, Löschung oder Zerstörung, Ausrichtung oder Verbindung, Einschränkung, Löschung oder Vernichtung;
Datenverwalter: das Unternehmen und jede natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten einzeln oder in Kombination mit anderen bestimmt; wenn die Zwecke und Mittel der Datenverarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten festgelegt sind, können der Datenverwalter oder die spezifischen Kriterien für die Benennung des Datenverwalters durch das Unionsrecht oder das Recht der Mitgliedstaaten festgelegt werden;
Datenschutzverletzung: Eine Sicherheitsverletzung, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt;
biometrische Daten: personenbezogene Daten, die durch ein bestimmtes technisches Verfahren zu den physischen, physiologischen oder Verhaltensmerkmalen einer natürlichen Person gewonnen wurden und die eine eindeutige Identifizierung einer natürlichen Person ermöglichen oder bestätigen, z. B. ein Gesichtsbild oder daktyloskopische Daten;
Empfänger: jede natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob sie von Dritten stammen oder nicht. Behörden, die im Rahmen einer bestimmten Untersuchung gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten Zugang zu personenbezogenen Daten haben, gelten nicht als Empfänger. Die Verarbeitung dieser Daten durch diese Behörden muss den geltenden Datenschutzbestimmungen für die Zwecke der Datenverarbeitung entsprechen.
Gesundheitsdaten: personenbezogene Daten in Bezug auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich Informationen über die Gesundheitsleistungen für die natürliche Person, die Informationen über die Gesundheit der Person enthalten;
Betroffener: Die natürliche Person, deren personenbezogene Daten verarbeitet werden;
Erklärung der betroffenen Person: eine freiwillige, konkrete und auf entsprechender Information basierende Äußerung des Willens der betroffenen Person, mit der die betroffene Person ihre Zustimmung zur Verarbeitung personenbezogener Daten, die sie betreffen, erklärt oder unmissverständlich durch seine Handlungen ausdrückt;
EU-Mitgliedstaat: Mitgliedstaaten der Europäischen Union, also Österreich, Belgien, Bulgarien, Zypern, Tschechische Republik, Dänemark, Vereinigtes Königreich, Estland, Finnland, Frankreich, Griechenland, Niederlande, Kroatien, Irland, Polen, Lettland, Litauen, Luxemburg, Ungarn, Malta, Deutschland, Italien, Portugal, Rumänien, Spanien, Schweden, Slowakei und Slowenien;
Aufsichtsbehörde: eine unabhängige Behörde, die von einem Mitgliedstaat der Europäischen Union gemäß Artikel 51 der GDPR errichtet wurde;
GDPR: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, weiterhin zur Aufhebung der Verordnung (EG) Nr. 95/46 (Allgemeine Datenschutzverordnung);
genetische Daten: alle personenbezogenen Daten in Bezug auf die genetischen Merkmale einer natürlichen Person, ob ererbt oder erworben, die eindeutige Informationen über die Physiologie oder den Gesundheitszustand dieser Person enthalten und in erster Linie aus der Analyse einer von dieser natürlichen Person entnommenen biologischen Probe stammen;
Drittperson: jede natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die weder mit der betroffen Person identisch ist, noch mit dem Datenverwalter, dem Datenverarbeiter oder mit Personen, die zur Verarbeitung personenbezogener Daten unter unmittelbarer Kontrolle des Datenverwalters oder des Datenverarbeiters zur Verarbeitung personenbezogener Daten beauftragt wurden;
Sensible Daten: Persönliche Daten, die zu besonderen Kategorien von persönlichen Daten gehören,
Internationale Organisation: eine Organisation, die dem internationalen Völkerrecht oder einer ihrer nachgeordneten Einrichtungen unterliegt, oder eine andere Einrichtung, die durch ein Abkommen zwischen zwei oder mehr Ländern errichtet wurde oder auf Grund eines solchen Abkommens zustande kam;
Profilerstellung: Jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der bestimmte persönliche Merkmale einer natürlichen Person bewertet werden, insbesondere werden zur Analyse oder zur Vorhersage Daten in Bezug auf die Arbeitsleistung, den finanziellen Status, die Gesundheit, die persönlichen Vorlieben, das Interesse, die Zuverlässigkeit, das Verhalten, der Aufenthaltsort oder die Bewegung verwendet;
personenbezogene Daten: alle Informationen zu einer bestimmten oder bestimmbaren natürlichen Person ("betroffene Person"); identifizierbar ist die natürliche Person, die direkt oder indirekt, insbesondere aufgrund eines oder mehrerer Faktoren wie Name, Nummer, lokale Position, Online-Identifikation oder physische, physiologische, genetische, intellektuelle, wirtschaftliche, kulturelle oder soziale Identität der natürlichen Person identifiziert werden kann;
besondere Kategorien personenbezogener Daten: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder philosophischen Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische und biometrische Daten in Bezug auf die individuelle Identifizierung natürlicher Personen, Gesundheitsdaten und Daten zum sexuellen Leben oder sexuellen Orientierung natürlicher Personen
Unternehmen: Tiszaparti Termálfürdő Kft. 6060 Tiszakécske, Szabolcska u. 43., als Datenverwalter
1Ziel der Richtlinie
Der Zweck der Datenschutzrichtlinie besteht darin, solche Maßnahmen einzuführen und konsequent anzuwenden, die eine genaue und sichere Verarbeitung der personenbezogenen Daten der Interessengruppen gewährleisten, und die eine einheitliche Datenverwaltung auf Unternehmensebene gemäß den geltenden EU- und nationalen Datenschutzbestimmungen sicherstellen.
Gleichzeitig bietet die Datenschutzrichtlinie den Betroffenen präzise, transparente und leicht zugängliche Informationen zum Zugriff auf ihre vom Unternehmen verwalteten personenbezogenen Daten und bestimmt und informiert über die Vorschriften des Unternehmens bezüglich der Rechte des Betroffenen.
2Datenschutz-Grundsätze
Vor der Verarbeitung personenbezogener Daten muss in jedem Fall sorgfältig geprüft werden, ob eine solche wirklich erforderlich ist. Mit der Verarbeitung personenbezogener Daten darf nur begonnen werden, wenn kein Zweifel daran besteht, dass der Zweck der Verarbeitung auf andere Weise nicht erfüllt werden kann.
Das Unternehmen ist verpflichtet, die personenbezogenen Daten der betroffenen Personen auf rechtmäßige, ethische und transparente Weise zu verwalten. Niemand darf durch Handlungen, Abhilfemaßnahmen oder Klagen gegen das Unternehmen oder eine andere in diesen Regeln definierte Behörde oder durch die Verweigerung oder den Widerruf seiner Zustimmung im Falle einer einwilligungsbasierten Datenverarbeitung benachteilig werden.
Die Erhebung der personenbezogenen Daten der betroffenen Person darf nur zu festgelegten, ausdrücklichen und legitimen Zwecken erfolgen. Das Unternehmen ist verpflichtet, jegliche Datenverarbeitung, die mit dem Zweck der betreffenden personenbezogenen Daten nicht vereinbar ist, von vornherein zu vermeiden oder nachträglich einzustellen. Das Unternehmen ist berechtigt, personenbezogene Daten nur im erforderlichen Umfang zu verarbeiten und personenbezogene Daten zu löschen, für die der Zweck der Datenverarbeitung entfällt oder deren Rechtsgrundlage nicht mehr zu rechtfertigen ist.
Das Unternehmen ist verpflichtet, solche Kontrollmechanismen einzuführen, die dafür geeignet sind, dass bereits im Voraus, beziehungsweise nachträglich auf Filterbasis garantiert wird, dass
(i)die personenbezogenen Daten dem Zwecke der Datenverarbeitung bereits zum Zeitpunkt der Datenerhebung und während des gesamten Zeitraums der Datenverwaltung entsprechen, weiterhin dass
(ii)sich der Umfang der Datenverwaltung sowohl in Bezug auf den Umfang der Daten als auch auf die Dauer der Datenverwaltung auf das Notwendigste beschränkt.
Die vom Unternehmen verwalteten personenbezogenen Daten müssen korrekt und aktuell sein. Das Unternehmen muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass die verwalteten personenbezogene Daten aktuell sind;
(i)dass personenbezogene Daten, die nicht mehr für die Zwecke benötigt werden, für die die Daten verarbeitet werden, und die in der Zwischenzeit nicht mehr benötigt werden, gelöscht werden;
(ii)ungenaue personenbezogene Daten korrigiert oder gelöscht werden.
Personenbezogene Daten müssen in der Form gespeichert werden, die eine Identifizierung der betroffenen Person nur für die Zeit ermöglicht, die erforderlich ist, um den Zweck zu erreichen, für den die personenbezogenen Daten verarbeitet werden.
Die Verarbeitung personenbezogener Daten muss so erfolgen, dass durch geeignete technische oder organisatorische Maßnahmen die angemessene Sicherheit personenbezogener Daten gewährleistet wird, einschließlich Maßnahmen zum Schutz personenbezogener Daten vor unbefugter oder rechtswidriger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung.
3Rechtmäßigkeit der Datenverwaltung
Voraussetzungen für eine rechtmäßige Datenverwaltung sind die ordnungsgemäße Definition der Grundlage für die Datenverwaltung und die Erfüllung zusätzlicher Bedingungen, die an die gewählte Rechtsgrundlage geknüpft sind. Das Erfordernis der Rechtmäßigkeit setzt somit im engeren Sinne das Bestehen einer angemessenen Rechtsgrundlage für die Datenverarbeitung voraus und bedeutet im weiteren Sinne, dass personenbezogene Daten nur in Übereinstimmung mit dem auf diese Rechtsgrundlage anwendbaren Recht verarbeitet werden dürfen.
Hinsichtlich der von ihm ausgeübten Tätigkeit kann das Unternehmen abhängig von der Art und den Umständen der Datenverarbeitung aus den folgenden Hauptrechtsgrundlagen für die personenbezogenen Daten der betroffenen Person auswählen. Die in Unterabsatz 1 genannten wichtigsten Rechtsgrundlagen gelten für alle personenbezogenen Daten mit Ausnahme der besonderen Kategorien personenbezogener Daten, während Unterabsatz 2 besondere Bestimmungen zu den Rechtsgrundlagen für die besonderen Kategorien personenbezogener Daten enthält.
3.1 Persönliche Daten, ausgenommen besondere Daten
Das Unternehmen kann die personenbezogenen Daten der betroffenen Person, mit Ausnahme der besonderen Daten, insbesondere auf folgender Rechtsgrundlage behandeln:
(i)Zustimmung: Das Unternehmen kann der Verarbeitung der personenbezogenen Daten zustimmen, sofern die Zustimmung freiwillig ist (Anhang 1A, 1B, 1C). Wenn das Unternehmen die personenbezogenen Daten eines Kindes unter 16 Jahren im Zusammenhang mit Diensten der Informationsgesellschaft verwaltet, die direkt für Kinder unter 16 Jahren erbracht werden, ist die Datenverarbeitung in der Regel nur dann und in dem Umfang rechtmäßig, wenn die Einwilligung von dem Erziehungsberechtigten erteilt wurde, beziehungsweise er die Datenverwaltung genehmigte. Der Betroffene erklärt sich freiwillig damit einverstanden und ist jederzeit zum Widerruf berechtigt. Der Widerruf berührt nicht die Rechtmäßigkeit der zuvor vorgenommenen Verarbeitung der Daten.
(ii)Vorbereitung beziehungsweise Erfüllung des Vertrags: Diese Rechtsgrundlage gilt für die zur Erfüllung eines Vertrages erforderliche Datenverarbeitung (z. B. Dienstleistungsvertrag, Arbeitsvertrag, Studienvertrag), bei der die betroffene Person die eine Vertragspartei ist, oder wenn eine Verarbeitung erforderlich ist, um auf Anforderung des Betroffenen vor Vertragsschluss tätig zu werden.
(iii)Erfüllung rechtlicher Pflichten: Datenverwaltung, die nach Unionsrecht oder nationalem Recht erforderlich ist.
(iv)Berechtigtes Interesse: Dies schließt die Verarbeitung von Daten ein, die erforderlich sind, um die berechtigten Interessen des Unternehmens oder eines Dritten geltend zu machen. Das berechtigte Interesse des Unternehmens oder eines Dritten wird in der Datenschutzerklärung für den jeweiligen Zweck der Datenverarbeitung festgehalten. Eine Datenverwaltung, die auf einem berechtigten Interesse beruht, kann nur erfolgen, wenn das Unternehmen eine Abwägungsprüfung durchführt, in der aufgezeichnet und geprüft wird, ob das berechtigte Interesse des Unternehmens mit den Rechten der betroffenen Personen auf Schutz der Privatsphäre im ausgeglichenen Verhältnis steht, beziehungsweise wodurch das Gleichgewicht zwischen den Interessen des Unternehmens und des Betroffenen sichergestellt werden kann. Die Abwägungsprüfung ist kein Teil der Richtlinie zur Datenverwaltung.
(v)[Andere Rechtsgrundlagen für die Datenverarbeitung, die für den jeweiligen Zweck der Datenverarbeitung spezifisch sind: Datenverarbeitung im Zusammenhang mit dem vitalen Interesse der betroffenen Person oder einer anderen natürlichen Person oder Datenverarbeitung im Zusammenhang mit der Erfüllung einer Aufgabe bei der Ausübung der dem Unternehmen übertragenen behördlichen Befugnisse.]
Wenn das Unternehmen Daten vom Betroffenen erhebt und der Betroffene die auf den oben genannten Rechtsgrundlagen verarbeiteten Daten nicht zur Verfügung stellt, kann dies zur Ablehnung oder Unmöglichkeit der Vorbereitung oder Durchführung eines Vertrags führen (z. B. Nichtaufnahme eines Arbeitsverhältnisses). Wenn die betroffene Person nur einen Teil der zu übermittelnden Daten nicht zur Verfügung stellt, muss anhand der nicht vollständig zur Verfügung gestellten Daten beurteilt werden, ob die fehlende Datenlieferung beispielsweise den Abschluss eines Vertrags oder dessen Bestehen verhindern kann. Bei der vertraglichen Datenverwaltung kann das Unternehmen die Rechtsfolgen der Unmöglichkeit nur dann geltend machen, wenn es nachweist, dass es den Vertrag ohne die zur Verfügung gestellten Daten nicht ausführen kann.
3.2 Sonderdaten
Aufgrund der Grundrechte und -freiheiten natürlicher Personen sind sensible Daten von Natur aus empfindlich und riskant und bedürfen eines besonderen Schutzes. Das Unternehmen kann die sensible Daten der betroffenen Person, in erster Linie die Gesundheitsdaten, insbesondere für folgende Zwecke oder rechtlichen Grundlagen behandeln:
(i)GDPR, Artikel 9, Absatz (2), Punkt a): Die betroffene Person kann, wenn der freiwillige Charakter der Einwilligung nachgewiesen werden kann, der Verarbeitung ihrer personenbezogenen Daten zustimmen (Anhänge 1A, 1B, 1C). Der Betroffene erklärt sich freiwillig damit einverstanden und ist jederzeit zum Widerruf berechtigt. Der Widerruf berührt nicht die Rechtmäßigkeit der zuvor vorgenommenen Verarbeitung der Daten.
(ii)GDPR, Artikel 9, Absatz (2), Punkt b): Zum Beispiel kann das Unternehmen, wenn es nach EU- oder Mitgliedstaatrecht oder nach einem Tarifvertrag nach dem Recht eines Mitgliedstaats autorisiert ist, Daten verarbeiten, um seinen Verpflichtungen nachzukommen und seine spezifischen Rechte aus dem Arbeitsrecht, dem Recht zur sozialen Sicherheit und zum sozial auszuüben.
(iii)GDPR, Artikel 9, Absatz (2), Punkt f): Diese Rechtsgrundlage ist anwendbar, wenn die Verarbeitung von sensiblen Daten zum Zwecke der Unterbreitung, Verfolgung oder Verteidigung von Rechtsansprüchen erforderlich ist.
4Informationspflicht und Verantwortlichkeiten des Unternehmens
Das Unternehmen ist verpflichtet, die betroffene Person in übersichtlicher, transparenter und leicht zugänglicher Form mit klaren und eindeutigen Informationen zu versorgen und die betroffene Person über ihre Rechte zu informieren. Darüber hinaus kann das Unternehmen auf Ersuchen der betroffenen Person Maßnahmen ergreifen, die bestimmten Verfahrensregeln unterliegen.
4.1 Information zur Datenverwaltung
Je nachdem, ob das Unternehmen personenbezogene Daten von der betroffenen Person erhebt oder nicht, muss es der betroffenen Person bestimmte Informationen zur Datenverwaltung zur Verfügung stellen. Die allgemeinen und besonderen Regeln dieser Datenschutzinformation sind in den folgenden Abschnitten zusammengefasst.
4.1.1 Gemeinsame Regeln
Im Rahmen der Informationspflichten hat das Unternehmen der betroffenen Person Folgendes mitzuteilen:
(i)Die Identität und Kontaktdaten des Unternehmens und, falls vorhanden, seines Vertreters,
(ii)es einen Datenschutzbeauftragten nicht beschäftigt,
(iii)den Zweck der beabsichtigten Verarbeitung personenbezogener Daten und die Rechtsgrundlage für die Verarbeitung,
(iv)im Falle der Datenverarbeitung nach Artikel 6, Absatz (1), Punkt f) der GDPR die berechtigten Interessen des Unternehmens oder eines Dritten,
(v)gegebenenfalls die Empfänger der personenbezogenen Daten oder Kategorien von Empfängern, falls vorhanden,
(vi)gegebenenfalls die Tatsache, dass das Unternehmen beabsichtigt, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und das Vorhandensein oder Fehlen einer Entscheidung der Europäischen Kommission über die Angemessenheit oder bei Daten gemäß Artikel 46 der GDPR, Artikel 47 oder Artikel 49, Absatz (1) Unterabsatz 2 der GDPR die entsprechenden und angemessenen Garantien, und einen Hinweis auf Möglichkeiten, eine Kopie davon zu erhalten, oder auf deren Verfügbarkeit,
(vii)den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Bestimmung dieses Zeitraums,
(viii)das Recht der betroffenen Person, vom Datenverwalter Zugang zu den personenbezogenen Daten zu verlangen, diese zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, und ihr Recht, der Verarbeitung dieser personenbezogenen Daten zu widersprechen, und das Recht der betroffenen Person auf Datenübertragbarkeit,
(ix)bei Datenverwaltung gemäß GDPR Artikel 6. Absatz (1) Punkt a) oder GDPR Artikel 9. Absatz (2) Punkt a) das Recht, die Einwilligung jederzeit zu widerrufen, wodurch die Rechtmäßigkeit der Datenverarbeitung aufgrund der Einwilligung vor dem Widerruf nicht betroffen ist,
(x)über das Beschwerderecht bei der Aufsichtsbehörde,
(xi)die Tatsache der automatisierten Entscheidungsfindung gemäß Artikel 22, Absätze (1) und (4) der GDPR, einschließlich der Profilerstellung, und zumindest in diesen Fällen die angewandte Logik und verständliche Informationen darüber, welche Bedeutung eine solche Datenverwaltung hat und die erwarteten Konsequenzen für die betroffene Person.
4.1.2 Informationen, die zur Verfügung zu stellen sind, wenn Daten von der betroffenen Person gesammelt werden
Für den Fall, dass das Unternehmen personenbezogene Daten von der betroffenen Person erhebt, informiert es die betroffene Person darüber hinaus, ob die Bereitstellung der personenbezogenen Daten auf einer gesetzlichen oder vertraglichen Verpflichtung oder einer Voraussetzung für den Abschluss eines Vertrags beruht und ob die betroffene Person dazu verpflichtet ist und welche Folgen sich daraus ergeben, wenn die Daten nicht zur Verfügung gestellt werden.
Die Informationen müssen zum Zeitpunkt des Erhalts der persönlichen Daten bereitgestellt werden. Wenn die betroffene Person jedoch bereits über die oben genannten Informationen verfügt, ist es nicht erforderlich, sie darüber zu informieren.
4.1.3 Informationen, die zur Verfügung zu stellen sind, wenn die Daten nicht von der betroffenen Person erhoben werden
Für den Fall, dass das Unternehmen die personenbezogenen Daten nicht von der betroffenen Person erhebt, ist es verpflichtet, die betroffene Person darüber hinaus über die persönliche Kategorie der betroffenen Person und die Quelle der personenbezogenen Daten zu informieren, sowie gegebenenfalls darüber, ob die Daten aus öffentlich zugänglichen Quellen stammen.
Das Unternehmen ist zu folgenden Zeitpunkten verpflichtet, Informationen zur Verfügung zu stellen:
(i)unter Berücksichtigung der konkreten Umstände, unter denen die personenbezogenen Daten verarbeitet werden, innerhalb einer angemessenen Frist ab Erhalt der personenbezogenen Daten, jedoch nicht später als einen Monat,
(ii)wenn personenbezogene Daten zur Kontaktaufnahme mit der betroffenen Person verwendet werden, mindestens beim ersten Kontakt mit der betroffenen Person, oder
(iii) wenn erwartet wird, dass die Daten an einen anderen Empfänger weitergegeben werden, spätestens dann, wenn die personenbezogenen Daten zum ersten Mal weitergegeben werden.
Es ist nicht erforderlich, die obigen Informationen anzugeben, wenn
(i)der Betroffene bereits über diese Informationen verfügt,
(ii)die Bereitstellung der fraglichen Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, insbesondere zur Archivierung im öffentlichen Interesse, für wissenschaftliche und historische Zwecke oder zu statistischen Zwecken, im Falle einer Datenverarbeitung, die unter den Bedingungen und Garantien von GDPR Artikel 89, Absatz (1) durchgeführt wird, oder wenn die in Absatz (1) dieses Artikels genannte Verpflichtung die Ziele dieser Verarbeitung wahrscheinlich unmöglich macht oder ernsthaft gefährdet. In solchen Fällen muss der für die Datenverwalter geeignete Maßnahmen ergreifen, um die Rechte, Freiheiten und berechtigten Interessen der betroffenen Person zu schützen, unter anderem indem er die Informationen öffentlich zugänglich macht,
(iii)die Erfassung oder Übermittlung der Daten wird ausdrücklich durch das auf den Datenverwalter anwendbare Unions- oder nationale Recht vorgeschrieben, das geeignete Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person vorsieht, oder
(iv)personenbezogene Daten müssen auf Grundlage der in einem EU- oder ihr Mitgliedstaat vorgeschriebenen fachlichen Geheimhaltungspflicht, einschließlich auch der gesetzlichen Geheimhaltungspflicht, vertraulich bleiben.
4.2 Rechte des Betroffenen
Die betroffene Person kann von dem Unternehmen den Zugang zu den personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung verlangen und der Verarbeitung dieser personenbezogenen Daten widersprechen. Die betroffene Person hat auch das Recht auf Datenübertragbarkeit und Rechtsbehelf, sowie das Recht, in Einzelfällen über eine automatisierte Entscheidungsfindung einschließlich Profilerstellung zu entscheiden.
Das Unternehmen ist verpflichtet, bestimmte betroffene Rechte im Rahmen der in Punkt 4.1 genannten Informationen offenzulegen.
4.2.1 Recht auf Zugang
Die betroffene Person hat das Recht, vom Unternehmen eine Rückmeldung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und im Falle einer solchen Verarbeitung Zugang zu den personenbezogenen Daten und den folgenden Informationen zu erhalten:
(i)die Zwecke der Verarbeitung der betreffenden personenbezogenen Daten,
(ii)die Kategorien der betreffenden personenbezogenen Daten,
(iii)die Kategorien von Empfängern, an die die personenbezogenen Daten der betroffenen Person weitergegeben wurden oder werden, insbesondere Empfänger aus Drittländern; internationale Organisationen (im Falle von Übermittlungen an Empfänger aus Drittländern und an internationale Organisationen ist die betroffene Person berechtigt, Informationen darüber anzufordern, ob die Übermittlung angemessen abgesichert ist),
(iv)den vorgesehenen Zeitraum, für den die betreffenden personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums,
(v)die Rechte der betroffenen Person (Recht auf Berichtigung, Löschung oder Einschränkung, Recht auf Datenübertragbarkeit und Widerspruchsrecht gegen die Verarbeitung dieser personenbezogenen Daten),
(vi)das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen,
(vii)wenn die Daten vom Unternehmen nicht von der betroffenen Person bezogen wurden, alle verfügbaren Informationen über die Quelle,
(viii)die Tatsache, dass eine automatisierte Entscheidung über die betreffenden personenbezogenen Daten getroffen wird, einschließlich Profilerstellung; wenn eine solche Datenverarbeitung durchgeführt wird, müssen die Informationen die verwendete Logik sowie die Bedeutung und die wahrscheinlichen Folgen für die betroffene Person dieser Verarbeitung enthalten.
Sofern der Betroffene es nicht anders verlangt, werden die angeforderten Informationen in einem üblichen elektronischen Format bereitgestellt, wenn der Betroffene seinen Antrag elektronisch eingereicht hat.
Vor Erfüllung des Antrags kann das Unternehmen von dem Betroffenen eine Klärung des Antragsinhalts, eine genaue Spezifikation der angeforderten Informationen oder Datenverwaltungsaktivitäten verlangen.
Wenn das Auskunftsrecht des Betroffenen gemäß diesem Abschnitt die Rechte und Freiheiten Dritter beeinträchtigt, insbesondere die Geschäftsgeheimnisse oder das geistige Eigentum Dritter, hat das Unternehmen das Recht, die Erfüllung des Antrags des Betroffenen in dem erforderlichen und angemessenen Ausmaß abzulehnen.
Für den Fall, dass der Antragsteller die oben genannten Informationen in mehrfacher Ausfertigung anfordert, ist das Unternehmen berechtigt, eine verhältnismäßige und angemessene Gebühr für die Verwaltungskosten für die Erstellung der zusätzlichen Kopien zu erheben.
Wenn das Unternehmen die von der betroffenen Person angegebenen personenbezogenen Daten nicht verarbeitet, muss es die betroffene Person darüber auch schriftlich informieren.
4.2.2 Recht auf Berichtigung
Der Betroffene hat das Recht, die Berichtigung seiner personenbezogenen Daten zu verlangen. Sind die personenbezogenen Daten der betroffenen Person unvollständig, hat die betroffene Person das Recht, die Ergänzung der personenbezogenen Daten zu verlangen.
Bei der Ausübung des Rechts auf Berichtigung / Ergänzung hat die betroffene Person mitzuteilen, welche Daten ungenau oder unvollständig sind, und teilt der Gesellschaft die genauen und vollständigen Daten mit. Das Unternehmen hat in begründeten Fällen das Recht, die betroffene Person aufzufordern, dem Unternehmen geeignete Informationen, insbesondere in Form von Dokumenten, zur Verfügung zu stellen.
Das Unternehmen korrigiert, ergänzt die Daten ohne unbegründete Verzögerung.
Das Unternehmen informiert die Personen, denen es die personenbezogenen Daten des Betroffenen mitgeteilt hat, unverzüglich nach der Erfüllung des Antrags des Betroffenen auf Berichtigung, sofern dies nicht unmöglich ist oder keinen unverhältnismäßigen Aufwand seitens des Unternehmens erfordert. Auf Ersuchen der betroffenen Person informiert sie das Unternehmen über diese Empfänger.
4.2.3 Recht auf Löschung („Recht auf Vergessen”)
Die betroffene Person hat das Recht das Unternehmen aufzufordern, dass es seine personenbezogenen Daten ohne unbegründete Verzögerung löscht, wenn einer der folgenden Gründe vorliegt:
(i)von der betroffenen Person bereitgestellte personenbezogene Daten werden nicht für den Zweck benötigt, für den sie von dem Unternehmen erhoben oder auf andere Weise verarbeitet wurden;
(ii)das Unternehmen hat die personenbezogenen Daten (einschließlich sensibler Daten) auf der Grundlage der Einwilligung der betroffenen Person verarbeitet, die betroffene Person hat ihre Einwilligung schriftlich widerrufen, und es gibt keine andere Rechtsgrundlage für die Datenverarbeitung;
(iii)die betroffene Person widerspricht einer Datenverarbeitung aufgrund des berechtigten Interesses des Unternehmens, und es gibt keinen zwingenden berechtigten Grund dafür, dass das Unternehmen Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person hat oder im Zusammenhang mit der Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen steht;
(iv)das Unternehmen hat die personenbezogenen Daten unrechtmäßig verarbeitet;
(v)die von dem Unternehmen verwalteten Daten müssen gelöscht werden, um allen für das Unternehmen geltenden rechtlichen Verpflichtungen nach Unionsrecht oder nationalem Recht nachzukommen;
(vi)die betroffene Person protestiert gegen die Datenverwaltung, und es gibt keinen zwingenden Grund für die Datenverwaltung.
Die betroffene Person muss ihren Antrag auf Löschung schriftlich stellen und angeben, welche personenbezogenen Daten sie aus welchem Grund löschen möchte.
Im Falle der Ausübung des Widerrufsrechts hat das Unternehmen die in Punkt 4.3 festgelegten Verfahrensregeln einzuhalten.
Wenn das Unternehmen dem Löschungsantrag der betroffenen Person zustimmt, löscht es die von ihm verarbeiteten personenbezogenen Daten aus allen Aufzeichnungen und informiert die betroffene Person entsprechend.
Für den Fall, dass das Unternehmen verpflichtet ist, die personenbezogenen Daten der betroffenen Person zu löschen, ergreift das Unternehmen alle angemessenen Maßnahmen, einschließlich des Einsatzes technischer Maßnahmen, die dazu notwendig sind, die für die Verarbeitung Verantwortlichen zu informieren, die aufgrund ihrer Offenlegung Kenntnis von den personenbezogenen Daten der betroffenen Person erlangt haben. Das Unternehmen hat andere für die Verarbeitung Verantwortliche in ihrer Information darüber zu benachrichtigen, dass die betroffene Person die Löschung von Links zu ihren personenbezogenen Daten oder von Kopien beziehungsweise Kopien der Kopien dieser personenbezogenen Daten beantragt hat.
Das Unternehmen hat die Personen, denen es die personenbezogenen Daten des Betroffenen mitgeteilt hat, unverzüglich nach Erfüllung des Antrags auf Löschen der personenbezogenen Daten zu informieren, sofern dies nicht unmöglich ist oder vom Unternehmen einen unverhältnismäßigen Aufwand erfordert. Auf Ersuchen der betroffenen Person informiert sie das Unternehmen über diese Empfänger.
Das Unternehmen ist nicht verpflichtet, personenbezogene Daten zu löschen, wenn die Verarbeitung erforderlich ist für:
(i)die Ausübung des Rechts auf freie Meinungsäußerung und Information,
(ii)die Erfüllung einer Verpflichtung nach ungarischem oder EU-Recht, zur Verarbeitung personenbezogene Daten, die auf das Unternehmen installiert wurden,
(iii)die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder bei der Ausübung der dem Unternehmen übertragenen behördlichen Befugnisse zu erfüllen ist,
(iv)die Umsetzung des öffentlichen Interesses auf dem Gebiet der Volksgesundheit,
(v)Archivierung im öffentlichen Interesse, zu wissenschaftlichen und historischen Forschungszwecken oder zu statistischen Zwecken, vorausgesetzt, die Ausübung des Rechts auf Vergessen der betroffenen Person würde die Datenverarbeitung wahrscheinlich unmöglich machen oder ernsthaft beeinträchtigen,
(vi)die Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen.
4.2.4 Recht auf Einschränkung der Datenverwaltung
Die betroffene Person hat das Recht zu beantragen, dass das Unternehmen die Verwendung oder Verarbeitung personenbezogener Daten einschränkt, wenn einer der folgenden Gründe vorliegt:
(i)die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten (in diesem Fall setzt sich die Einschränkung fort, bis das Unternehmen die Richtigkeit der Daten überprüft),
(ii)das Unternehmen hat die personenbezogenen Daten rechtswidrig verarbeitet, der Betroffene fordert jedoch eine Beschränkung statt einer Löschung an,
(iii)der Zweck der Datenverwaltung für das Unternehmen besteht nicht mehr, die betroffene Person braucht sie jedoch, um rechtliche Ansprüche einzureichen, geltend zu machen oder zu verteidigen.
(iv)Die betroffene Person widerspricht einer Datenverarbeitung aufgrund berechtigter Interessen des Unternehmens, und das Unternehmen hat keinen zwingenden berechtigten Grund, der ihm Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person einräumt oder im Zusammenhang mit der Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen steht. In diesem Fall gilt die Beschränkung so lange, bis festgestellt wird, ob die berechtigten Gründe des Unternehmens Vorrang vor den berechtigten Gründen der betroffenen Person haben.
Im Falle einer Einschränkung dürfen personenbezogene Daten außer der Speicherung nur mit Zustimmung der betroffenen Person oder zum Zwecke der Abgabe, Durchsetzung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen oder zu wichtigen Zwecken des öffentlichen Interesses Der Union oder eines europäischen Mitgliedstaates der Union verarbeitet werden.
Das Unternehmen informiert die betroffene Person vor der Aufhebung der Einschränkung der Datenverwaltung.
Das Unternehmen informiert die Personen, denen es die personenbezogenen Daten der betroffenen Person mitgeteilt hat, unverzüglich nach Erfüllung des Antrags der betroffenen Person auf Beschränkung, sofern dies nicht unmöglich ist oder keinen unverhältnismäßigen Aufwand seitens des Unternehmens erfordert. Auf Ersuchen der betroffenen Person informiert sie das Unternehmen über diese Empfänger.
4.2.5 Recht auf Protest
Da das Unternehmen keine Daten von öffentlichem Interesse verwaltet und keine öffentlichen Befugnisse hat, keine wissenschaftlichen oder geschichtlichen Forschungen durchführt, beziehungsweise auch die Datenverwaltung nicht zu statistischen Zwecken erfolgt, kann bei der Datenverarbeitung aus berechtigten Interessen ein Widerspruchsrecht entstehen.
Wenn die Verarbeitung der Daten der betroffenen Person auf einem berechtigten Interesse beruht, besteht eine wichtige Gewährleistungsbestimmung darin, dass die betroffene Person im Zusammenhang mit der Datenverarbeitung angemessene Informationen und das Recht erhält, Widerspruch einzulegen. Auf dieses Recht muss spätestens bei der ersten Kontaktaufnahme mit dem Betroffenen ausdrücklich hingewiesen werden.
Auf dieser Grundlage hat der Betroffene das Recht, der Verarbeitung seiner personenbezogenen Daten zu widersprechen. In diesem Fall kann das Unternehmen die Daten des Betroffenen nicht mehr verarbeiten, es sei denn, es kann nachgewiesen werden, dass:
(i)die Verarbeitung der Daten durch das Unternehmen durch solche zwingenden Gründe gerechtfertigt wird, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder
(ii)die Datenverwaltung bezieht sich auf die Einreichung, Durchsetzung oder Verteidigung der gesetzlichen Ansprüche des Unternehmens.
4.2.5.1 Das Recht im Fall von Direktmarketing zu protestieren
Auch die GDPR erkennt an, dass bei der Datenverarbeitung für den Direktvertrieb, in der Praxis eher als Direktmarketing bezeichnet, ein berechtigtes Interesse an der damit verbundenen Datenverarbeitung besteht.
Daher ist der Betroffene bei Direktmarketingaktivitäten des Unternehmens auch berechtigt, der Verarbeitung seiner personenbezogenen Daten zu diesem Zweck zu widersprechen; im Gegensatz zu anderen berechtigten Interessen an der Datenverarbeitung kann das Unternehmen aufgrund des Protests jedoch nicht prüfen, ob es die Daten der betroffene Person weiterhin verarbeiten darf.
Wenn die betroffene Person der Verarbeitung von Daten für Direktmarketingzwecke widerspricht, kann das Unternehmen die Daten für diesen Zweck nicht mehr verarbeiten.
4.2.5.2 Profilerstellung
Während der Profilerstellung werden die persönlichen Merkmale der Betroffenen durch eine automatisierte Methode bewertet. Solche Auswertungen können beispielsweise verwendet werden, um Merkmale der Leistung, der finanziellen Situation, der Gesundheit, der persönlichen Vorlieben, des Interesses, der Zuverlässigkeit, des Verhaltens, des Standorts oder der Bewegung der betroffenen Person zu analysieren oder vorherzusagen.
Das Widerspruchsrecht erstreckt sich auf die Profilerstellung aufgrund eines berechtigten Interesses als eine bestimmte Datenverwaltungsoperation. Für den Fall, dass die Profilerstellung für Direktmarketingzwecke erfolgt, muss die Profilerstellung auf der Grundlage persönlicher Daten bei Protest der betroffenen Person sofort eingestellt werden.
4.2.6 Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, personenbezogene Daten, die von dem Unternehmen verwaltet werden, in einem strukturierten, üblichen, maschinenlesbaren Format zu erhalten und diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dabei von der Gesellschaft behindert zu werden.
Das Recht auf Datenübertragbarkeit wird in Bezug auf die personenbezogenen Daten ausgeübt, die der Betroffene dem Unternehmen zur Verfügung gestellt hat
(i)Die Datenverwaltung basiert auf der Zustimmung der betroffenen Person oder auf der vertraglichen Grundlage, und
(ii)die Datenverwaltung erfolgt automatisiert.
Sofern es technisch möglich ist, leitet das Unternehmen die personenbezogenen Daten auf Anfrage des Betroffenen direkt an einen anderen für die Verarbeitung Verantwortlichen weiter, der im Antrag des Betroffenen angegeben ist. Das Recht auf Datenübertragbarkeit gemäß diesem Abschnitt verpflichtet die für die Datenverarbeitung Verantwortlichen nicht zur Installation oder Wartung technisch kompatibler Datenverarbeitungssysteme.
Im Rahmen der Datenübertragbarkeit hat das Unternehmen dem Betroffenen die Datenträger kostenlos zur Verfügung zu stellen.
Beeinträchtigt das Recht auf Datenübertragung des Unternehmens die Rechte und Freiheiten Dritter, insbesondere die Geschäftsgeheimnisse oder das geistige Eigentum Dritter, so ist das Unternehmen berechtigt, die Erfüllung des Antrags der betroffenen Person im erforderlichen Umfang abzulehnen.
Maßnahmen im Bereich der Datenübertragbarkeit bedeuten keine Löschung der Daten. Sie werden von dem Unternehmen so lange aufbewahrt, wie das Unternehmen einen ordnungsgemäßen Zweck oder eine Rechtsgrundlage für die Verarbeitung der Daten hat.
4.2.7 Das Recht, in Einzelfällen über automatisierte Entscheidungen, einschließlich Profilerstellung, zu entscheiden
Das Konzept der automatisierten Entscheidungsfindung wird von der GDPR nicht definiert, sondern umfasst im Wesentlichen alle Prozesse, die dazu führen, dass Eingabedaten nur mithilfe eines computergestützten, nicht menschlichen Eingriffs nach vorher festgelegten Gesichtspunkten/Algorithmen ausgewertet werden und zu einer Entscheidung führen, die bedeutende Konsequenzen für den Betroffenen hat. Beispielsweise führt die GDPR die automatische Ablehnung von Online-Kreditanträgen oder die Online-Personalauswahl ohne menschliches Eingreifen an.
Im Gegensatz dazu wird das Konzept der Profilerstellung von der GDPR genau definiert, wie aus dem vorhergehenden Absatz hervorgeht. Dies bedeutet, dass die persönlichen Merkmale der Interessengruppen durch eine automatisierte Methode bewertet werden. Wenn im Unternehmen automatisierte Entscheidungen in Bezug auf die personenbezogenen Daten der betroffenen Person getroffen werden, einschließlich Profilerstellung, wird dies in der Datenschutzerklärung angegeben. In diesem Fall muss das Richtlinie zur Datenverwaltung Informationen zur verwendeten Logik sowie zur Bedeutung und zu den erwarteten Folgen einer solchen Datenverwaltung für die betroffene Person enthalten.
Die betroffene Person hat das Recht zu verlangen, dass keine Entscheidung getroffen wird, die ausschließlich auf einer automatisierten Datenverwaltung einschließlich Profilerstellung beruht, die rechtliche Auswirkungen hätte oder durch die sie erheblich betroffen wird.
Die betroffene Person ist nicht berechtigt, eine Befreiung von der Entscheidung aufgrund einer automatisierten Datenverarbeitung zu beantragen, wenn diese Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder wenn die Entscheidung durch das Recht der Europäischen Union oder eines Mitgliedstaats ermöglicht wird oder auf der ausdrücklichen Zustimmung der betroffenen Person beruht.
Wenn die automatisierte Datenverarbeitung für den Abschluss oder die Erfüllung des Vertrags erforderlich ist oder auf der Zustimmung des Betroffenen beruht, hat der Betroffene das Recht, das Eingreifen des Menschen durch das Unternehmen zu verlangen, seine Ansichten zu äußern und der Entscheidung zu widersprechen.
Das Unternehmen ist nach besten Kräften darum bemüht, die Einbeziehung spezieller Kategorien personenbezogener Daten in die automatisierte Entscheidungsfindung zu vermeiden. Ist dies jedoch unvermeidlich, darf eine automatisierte Entscheidungsfindung in Bezug auf bestimmte Kategorien personenbezogener Daten nur vorgenommen werden, wenn die Datenverarbeitung auf der Zustimmung der betroffenen Person beruht oder geeignete Maßnahmen nach dem Recht der Europäischen Union oder der Mitgliedstaaten und im öffentlichen Interesse ergriffen werden.
4.2.8 Recht auf Rechtsbehelf
Die betroffene Person kann an das nach geltendem Recht zuständige Gericht einen Antrag einreichen.
4.2.8.1 Recht auf Beschwerde
Wenn die betroffene Person der Ansicht ist, dass die Verarbeitung personenbezogener Daten durch das Unternehmen gegen die geltenden Datenschutzgesetze, insbesondere die GDPR, verstößt, ist sie berechtigt, eine Beschwerde bei der Nationalen Behörde für Datenschutz und Informationsfreiheit einzureichen.
Kontaktdaten der nationalen Behörde für Datenschutz und Informationsfreiheit:
Webseite: http://naih.hu/
Anschrift: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Postanschrift: H-1530 Budapest, Pf.: 5.
Telefon: +36-1-391-1400
Telefax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu
Die betroffene Person hat das Recht, eine Beschwerde bei einer anderen Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt hat, beschäftigt ist oder gegen die sie mutmaßlich verstößt.
4.2.8.2 Gerichtliche Überprüfung der Entscheidung der Aufsichtsbehörde, bzw. sonstige Rechtsbehelf-Möglichkeiten
Die betroffene Person und das Unternehmen haben Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine rechtsverbindliche Entscheidung der Aufsichtsbehörde, insbesondere bezüglich der Ausübung der Kontrolle, Korrektur und Genehmigungsbefugnisse der Aufsichtsbehörde, und gegen die Entscheidung, Beschwerden als unbegründet zu betrachten oder zurückzuweisen. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gilt jedoch nicht für nicht rechtsverbindliche Maßnahmen der Aufsichtsbehörden, wie beispielsweise von der Aufsichtsbehörde ausgegebene Stellungnahmen oder Empfehlungen.
Darüber hinaus hat die betroffene Person Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach Artikel 55 oder 56 der GDPR zuständige Aufsichtsbehörde die Beschwerde nicht bearbeitet, oder die betroffene Person innerhalb von drei Monaten über die Verfahrensentwicklungen oder das Ergebnis ihrer Beschwerde nicht informiert.
Die Klage gegen die Aufsichtsbehörde wird vor den Gerichten des EU-Mitgliedstaats erhoben, in dem die Aufsichtsbehörde niedergelassen ist.
4.2.8.3 Recht auf Inanspruchnahme einer Gerichtsbarkeit (Klagerecht)
Unabhängig von seinem Recht, sich zu beschweren, kann der Betroffene rechtliche Schritte einleiten, wenn bei der Verwaltung seiner persönlichen Daten seine Rechte gemäß der GDPR verletzt wurden.
Das Unternehmen kann als für die Verarbeitung Verantwortlicher mit Sitz in Ungarn vor einem ungarischen Gericht verklagt werden.
Der Betroffene kann laut aktuellem Informationsgesetz § 21, Absatz (1) die Klage auch bei dem Gerichtshof an seinem Wohnort einreichen. Die Kontaktdaten der ungarischen Gerichte finden Sie unter folgendem Link: http://birosag.hu/torvenyszekek.
In Anbetracht der Tatsache, dass das Unternehmen keine Behörde ist, die in Ausübung ihrer öffentlichen Befugnisse handelt, kann die betroffene Person auch beim zuständigen Gericht des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage erheben, wenn die betroffene Person ihren gewöhnlichen Aufenthalt in einem anderen Mitgliedstaat der Europäischen Union hat.
4.2.8.4 Andere Anspruchsmöglichkeiten
Die betroffene Person hat das Recht, einer gemeinnützigen Organisation oder Vereinigung, die nach dem Recht eines Mitgliedstaats der Europäischen Union gegründet wurde, die Einreichung einer Beschwerde in seinem Namen, die gerichtliche Überprüfung einer Entscheidung der Aufsichtsbehörde, die Erhebung einer Klage und die Erhebung einer Beschwerde anzuvertrauen, deren erklärtes Ziel es ist, dem öffentlichen Interesse zu dienen und die Rechte und Freiheiten der betroffenen Personen in Bezug auf personenbezogene Daten zu schützen.
4.2.8.5 Recht auf Schadenersatz
Das Unternehmen haftet für alle materiellen oder immateriellen Schäden, die eine andere Person infolge eines Verstoßes gegen die folgenden Gesetze erleidet:
(i)GDPR,
(ii)delegierte Rechtsakte und Durchführungs-Rechtsakte, die gemäß der GDPR erlassen wurden,
(iii)Rechtsvorschriften der Mitgliedstaaten zur Klärung der Bestimmungen der GDPR.
Das Unternehmen haftet nicht für Schäden, wenn es nachweist, dass es für das Ereignis, das den Schaden verursacht hat, in keiner Weise verantwortlich ist.
Der Geschädigte kann bei den Gerichten, die in dem in Abschnitt 4.2.8.3 genannten Mitgliedstaat zuständig sind, eine Schadensersatzklage erheben.
4.2.8.6 Verwaltungsstrafe
Die Verhängung einer Geldbuße und Festsetzung der Höhe der Geldbuße hängt laut Artikel 83 der GDPR von verschiedenen Umständen ab, so beispielsweise der Schwere der Rechtsverletzung.
4.2.8.7 Strafrechtliche und / oder verwaltungsrechtliche Sanktionen
Auf der Grundlage der Ermächtigung durch GDPR.
4.3 Verfahrensregeln
Das Unternehmen ist verpflichtet, seiner Verpflichtung zur Bereitstellung von Informationen nachzukommen und die oben genannten Maßnahmen zu ergreifen und dabei so zu verfahren, wie es darin vorgesehen ist. Zusätzlich zu den oben aufgeführten Sonderregeln hat das Unternehmen folgende Verfügungen zu beachten.
4.3.1 Prüfung des Antrags
Die folgenden Verfahrensregeln gelten für Maßnahmen, die in Bezug auf die in den Abschnitten 4.2.1 bis 4.2.7 genannten Rechte der betroffenen Person beantragt werden.
Die betroffene Person kann ihren Antrag bei dem Vertreter des für die Verarbeitung Verantwortlichen einreichen.
Der Antrag kann schriftlich per E-Mail oder auf Papier gestellt werden. Der Antrag kann auch auf dem in Anlage 2 befindlichen Formular mit der Benennung „Antrag” eingereicht werden. Wenn das Unternehmen den Antrag nicht in einem Formular einreicht, wird der Antrag nach seinem Inhalt beurteilt. Wenn die betroffene Person das Ersuchen auf elektronischem Wege übermittelt hat, werden die Informationen soweit wie möglich auf elektronischem Wege übermittelt, sofern die betroffene Person nichts anderes anfordert.
Die betroffene Person muss im Antrag angeben, für welche personenbezogenen Daten sie beim Unternehmen Maßnahmen beantragt.
Das Unternehmen hat den Antrag innerhalb von 1 (einem) Monat nach Eingang des schriftlichen Antrags zu prüfen. Bei Bedarf kann das Unternehmen unter Berücksichtigung der Komplexität des Antrags oder der Anzahl der anstehenden Anträge die Frist für die Prüfung des Antrags um weitere 2 (zwei) Monate verlängern. Die betroffene Person ist innerhalb von 1 (einem) Monat nach Eingang des Antrags über die Tatsache der Verlängerung und die Gründe für die Verzögerung zu informieren.
Wenn der Antrag der betroffenen Person begründet ist, muss das Unternehmen die angeforderte Maßnahme innerhalb der Frist des Verfahrens ausführen und der betroffenen Person schriftliche Informationen zur Ausführung übermitteln.
Wenn das Unternehmen die Anfrage des Betroffenen nicht bearbeitet, informiert es den Betroffenen unverzüglich, spätestens jedoch innerhalb eines (1) Monats nach Eingang der Anfrage, über die Gründe für das Ausbleiben der Maßnahmen, und darüber, dass die betroffene Person eine Beschwerde bei einer Aufsichtsbehörde einreichen und sich an die Gerichte wenden kann.
4.3.2 Gebühr für bereitgestellte Informationen, erteilte Informationen und ergriffene Maßnahmen
Das Unternehmen stellt die in den Abschnitten 4.1, 4.2.1 - 4.2.7 und 6.2 genannten Informationen, die Informationen zu den Rechten der betroffenen Person und die beantragten Maßnahmen kostenlos zur Verfügung. Wenn der Antrag der betroffenen Person offensichtlich unbegründet ist oder, insbesondere aufgrund seines Wiederholungscharakters, übertrieben ist, kann das Unternehmen für die Verwaltungskosten der Bereitstellung der angeforderten Informationen oder Daten, bzw. für das Ergreifen der angeforderten Maßnahmen.
(i)einen angemessenen Betrag in Rechnung stellen oder
(ii)kann sich weigern, auf den Antrag zu reagieren.
4.3.3 Überprüfung der Identität des Antragstellers
Falls die Gesellschaft begründete Zweifel an der Identität der Person hat, die gemäß den Absätzen 4.2.1 bis 4.2.6 dieser Regeln einen Antrag einreicht, kann sie die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
5 Datenübertragung
Das Unternehmen kann personenbezogene Daten der betroffenen Person zu einem bestimmten Zweck übermitteln, insbesondere zur Erfüllung eines Vertrags mit einem Dritten oder zur Erfüllung einer gesetzlichen Verpflichtung oder Beschäftigungsverpflichtung aus einem Arbeitsverhältnis.
Mit Ausnahme der gesetzlichen Datenübermittlung werden die personenbezogenen Daten der betroffenen Person von dem Unternehmen nur an Empfänger mit Sitz in der Europäischen Union übermittelt, oder an Empfänger, die angemessene Garantien dafür bieten, dass ihre Datenverarbeitung den Anforderungen der GDPR entspricht.
Überträgt das Unternehmen personenbezogene Daten an ein Drittland, d.h. an ein Land außerhalb der Europäischen Union, oder an eine internationale Organisation (oder stellt sie einem für die Verarbeitung Verantwortlichen oder einer internationalen Organisation in einem Drittland zur Verfügung), hat das Unternehmen sicherzustellen, dass der Empfänger im Drittland beziehungsweise die Internationale Organisation in Verbindung mit den personenbezogenen Daten des Betroffenen den gleichen Schutz der Daten wie das Unternehmen bietet, der den Verfügungen von Artikel V. des GDPR entspricht.
Wenn Daten an ein Drittland oder eine internationale Organisation übermittelt werden, die kein angemessenes Schutzniveau für personenbezogene Daten gemäß Artikel V der GDPR gewährleisten kann (z. B. bestimmte asiatische oder afrikanische Länder), kann die Übermittlung nur dann ohne Zustimmung der betroffenen Person erfolgen, wenn die Übertragung Artikel 49 der GPDR entspricht. Ist dies nicht der Fall, ist für die Übermittlung personenbezogener Daten die ausdrückliche Zustimmung der betroffenen Person erforderlich.
6 Datenschutzvorfall
Im Falle eines Datenschutzvorfalls muss das Unternehmen die folgenden Regeln einhalten und folgenden Regeln entsprechend vorgehen.
6.1 Mitteilung an die Aufsichtsbehörde
Das Unternehmen teilt die Datenschutzvorfälle der Aufsichtsbehörde ohne unbegründete Verzögerung nach Erhalt der Informationen mit, die sich auf die von ihm verarbeiteten Daten beziehen, und zwar spätestens 72 Stunden nach Erhalt der Informationen, mindestens mit folgendem Inhalt:
(i)eine Beschreibung der Art des Datenschutzvorfalls, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen, der Kategorien und der ungefähren Anzahl der von dem Vorfall betroffenen Daten,
(ii)Name und Erreichbarkeit des Vertreters des für die Verarbeitung Verantwortlichen,
(iii)die wahrscheinlichen Folgen, die sich aus dem Datenschutzvorfall ergeben,
(iv)vom für die Verarbeitung Verantwortlichen ergriffene oder geplante Maßnahmen zur Behebung des Datenschutzvorfalls, einschließlich Maßnahmen zur Minderung etwaiger nachteiliger Folgen.
Wenn es nicht möglich ist, die oben genannten Informationen gleichzeitig zur Verfügung zu stellen, können sie anschließend der Aufsichtsbehörde ohne unbegründete Verzögerung genauer mitgeteilt werden. Erfolgt die Benachrichtigung nicht innerhalb von 72 Stunden, sind die Gründe für die Verzögerung anzugeben.
Es ist nicht erforderlich, einen Datenschutzvorfall zu melden, wenn der Datenschutzvorfall voraussichtlich die Rechte und Freiheiten natürlicher Personen nicht gefährdet. Die Wahrscheinlichkeit und der Schweregrad des Risikos werden auf der Grundlage einer objektiven Bewertung in Abhängigkeit von Art, Umfang, Umständen und Zwecken der Datenverarbeitung bestimmt. Zu den Risiken gehört beispielsweise, wenn es vorkommen kann, dass aufgrund des Vorfalls die Betroffenen diskriminiert werden, ihre Identität missbraucht wird, sie finanzielle Verluste erleiden, eventuell ihr guter Ruf geschädigt wird oder sie andere erhebliche wirtschaftliche oder soziale Nachteile erleiden können.
6.2 Information der betroffenen Person
Wenn eine betroffene Person, insbesondere ein Mitarbeiter des Unternehmens, Kenntnis von einem Datenschutzvorfall erlangt, hat sie den Vertreter des Unternehmens unverzüglich zu benachrichtigen. Die Gebühr für die Benachrichtigung wird gemäß Abschnitt 4.3.2 berechnet.
In allen Fällen, in denen ein Datenschutzvorfall wahrscheinlich ein erhebliches Risiko für die Rechte und Freiheiten einer betroffenen Person darstellt und das Unternehmen von dem Datenschutzvorfall Kenntnis erlangt, muss es die betroffene Person(en) unverzüglich darüber informieren. Die Informationen müssen eine klare und eindeutige Beschreibung folgender Punkte enthalten:
(i)den Charakter des Datenschutzvorfalls;
(ii)Name und Erreichbarkeit des Vertreters des für die Verarbeitung Verantwortlichen,
(iii)die wahrscheinlichen Folgen, die sich aus dem Datenschutzvorfall ergeben;
(iv)vom Unternehmen ergriffene oder geplante Maßnahmen zur Behebung des Datenschutzvorfalls, einschließlich gegebenenfalls Maßnahmen zur Minderung etwaiger nachteiliger Folgen des Datenschutzvorfalls.
Die Information der betroffenen Person sind nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
(i)Das Unternehmen hat geeignete technische und organisatorische Sicherheitsmaßnahmen ergriffen und diese auf die vom Datenschutzvorfall betroffenen Daten angewendet, insbesondere solche Maßnahmen, wie beispielsweise die Verwendung von Verschlüsselung, die die personenbezogenen Daten für Unbefugte unverständlich macht,
(ii)das Unternehmen hat nach dem Datenschutzvorfall solche Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person nicht länger besteht,
(iii)die Information würde einen unverhältnismäßig hohen Aufwand erfordern. In solchen Fällen müssen die Betroffenen durch Informationen, die auf die vor Ort übliche Weise veröffentlicht werden, öffentlich informiert werden, oder es müssen ähnliche Maßnahmen ergriffen werden, um eine gleichermaßen wirksame Information der Betroffenen zu gewährleisten.
Wenn das Unternehmen die betroffene Person noch nicht über den Datenvorfall informiert hat, kann die Aufsichtsbehörde nach Prüfung, ob der Datenvorfall wahrscheinlich ein hohes Risiko darstellt, die Benachrichtigung der betroffenen Person anordnen oder kann feststellen, dass eine der oben genannten Bedingungen erfüllt ist, so dass die Information des Betroffenen nicht erforderlich ist.
7 Datenverwaltungs-Register
7.1 Aufzeichnung von Datenverwaltungs-Aktivitäten
Das Unternehmen und der Vertreter des Unternehmens führen ein schriftliches Protokoll, einschließlich eines elektronischen Dokuments, über die Datenverarbeitungstätigkeiten, für die sie gemäß Artikel 30 der GDPR verantwortlich sind, das die folgenden Informationen enthält:
(i)Name und Erreichbarkeit des Unternehmens, Name und Erreichbarkeit des Vertreter des Datenverwalters,
(ii)Zweck der Datenverwaltung,
(iii)die Beschreibung der Kategorien der betroffenen Person und der personenbezogenen Daten,
(iv)die Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt werden oder in Zukunft mitgeteilt werden, einschließlich Empfängern aus Drittländern oder internationalen Organisationen,
(v)gegebenenfalls Informationen über die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung des Drittlands oder der internationalen Organisation und einer Beschreibung der angemessenen Garantien für die Übermittlung nach Artikel 49, Absatz (1), Unterabsatz 2 der GDPR,
(vi)soweit möglich, Fristen für die Löschung der verschiedenen Datenkategorien,
(vii)nach Möglichkeit eine allgemeine Beschreibung der in Artikel 32, Absatz (1) der GDPR genannten technischen und organisatorischen Maßnahmen.
Das Unternehmen und der Vertreter des Unternehmens müssen auf Aufforderung der Aufsichtsbehörde die Aufzeichnungen zur Verfügung stellen:
-wenn die Verarbeitung der Daten durch den für die Verarbeitung Verantwortlichen wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt,
-wenn die Datenverwaltung keinen gelegentlichen Charakter hat, oder
-wenn sich die Datenverwaltung auf die Sonderkategorie der personenbezogenen Daten erstreckt oder wenn oder die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Haftungsentscheidungen und Straftaten erfolgt.
7.2 Aufzeichnung von Datenschutzvorfällen
Das Unternehmen zeichnet die Datenschutzvorfälle mit folgenden Informationen auf:
(i)Fakten, die in Zusammenhang mit dem Datenschutzvorfall stehen,
(ii)deren Auswirkungen und
(iii)die zur Behebung ergriffenen Maßnahmen.
Die Aufsichtsbehörde kann Einsicht in diese Aufzeichnungen nehmen und kann kontrollieren, ob die Verfügungen von Artikel 33 der GDPR eingehalten werden.
8 Datenschutzbeauftragter
Das Unternehmen legt keinen Datenschutzbeauftragten fest und beauftragt keinen.
9 Datenschutz-Folgenabschätzung
Im Rahmen der Datenschutz-Folgenabschätzung muss das Unternehmen eine Überprüfung der Datenverarbeitung durchführen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann. Die Folgenabschätzung muss wenigstens die folgenden Informationen beinhalten:
(i)eine systematische Beschreibung der beabsichtigten Datenverarbeitungsvorgänge und der Zweck der Datenverarbeitung, gegebenenfalls einschließlich des berechtigten Interesses, das der für die Verarbeitung Verantwortliche geltend machen will,
(ii)Prüfung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitungsvorgänge im Hinblick auf die Zwecke der Datenverwaltung,
(iii)Untersuchung von Risiken für die Rechte und Freiheiten der betroffenen Person,
(iv)die Vorstellung der Risikomanagementmaßnahmen, einschließlich Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Überprüfung der Einhaltung der GDPR unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer Personen.
Die Folgenabschätzung umfasst:
(v)eine systematische und umfassende Bewertung bestimmter persönlicher Merkmale natürlicher Personen auf der Grundlage einer automatisierten Datenverwaltung, einschließlich Profilerstellung, und auf deren Grundlage Entscheidungen mit Rechtswirkung oder mit erheblicher Wirkung auf die natürliche Person getroffen werden,
(va) besondere Kategorien personenbezogener Daten oder die Verarbeitung einer großen Anzahl personenbezogener Daten im Zusammenhang mit Entscheidungen und strafrechtlicher Verantwortlichkeit,
(vb)großräumige systematische Beobachtung öffentlicher Orte.
Die Aufsichtsbehörde kann weitere Datenverwaltungsvorgänge festlegen, die in Abhängigkeit von der Durchführung der Datenfolgenabschätzung durchzuführen sind.
Eine Folgenabschätzung muss nicht durchgeführt werden, wenn folgende Bedingungen erfüllt sind:
(i)wenn das Unionsrecht oder das für den Datenverwalter geltende Recht eines Mitgliedstaats die Rechtsgrundlage für die Verarbeitung von Daten nach Artikel 6, Absatz (1), Punkt c) oder e) der GDPR vorschreibt, und
(ii)dieses Recht auch den spezifischen Datenverarbeitungsvorgang oder die fraglichen Vorgänge regelt,
(iii)sowie bei der Annahme dieser Rechtsgrundlage bereits als Teil einer allgemeinen Folgeabschätzung eine Datenschutz-Folgeabschätzung durchgeführt wurde.
Obwohl die oben genannten Bedingungen erfüllt sind und keine Folgenabschätzung erforderlich wäre, ist eine Folgenabschätzung notwendig, wenn die Mitgliedstaaten es für erforderlich halten, vor der Datenverwaltung eine solche Folgenabschätzung durchzuführen,
Wird aufgrund der Datenschutz-Folgenabschätzung der Schluss gezogen, dass die geprüfte Datenverarbeitung ohne bestimmte Minderungsmaßnahmen ein hohes Risiko darstellen könnte, muss das Unternehmen vor der Verarbeitung gemäß Artikel 36 GDPR die Aufsichtsbehörde konsultieren.
10 Schulung
Das Unternehmen ist dafür verantwortlich, bei Personen, die sich mit Datenverwaltungsaufgaben im Unternehmen befassen, das Datenschutz-Bewusstsein zu steigern und sie zu schulen.
Mitarbeiter, die im Datenmanagement beschäftigt sind, werden regelmäßig in Übereinstimmung mit Gesetzesänderungen geschult.
11 Gemeinsame Datenverwaltung, Datenverarbeitung
Das Unternehmen führt keine gemeinsame Datenverwaltung durch und beschäftigt keine externen Datenverarbeiter.
12 Sicherheit der Datenverwaltung
Kurze Beschreibung von IT
13 Sonstige Verfügungen
In dieser Richtlinie sind.l, unter "Unionsrecht" oder unter "Europäische Union" auch das in den EWR-Mitgliedstaaten geltende Recht und die EWR-Mitgliedstaaten zu verstehen.
14 Geltungsbereich und Überprüfungsverfahren
Die Datenschutzrichtlinie tritt am 25. Mai 2018 in Kraft und ist unbefristet gültig. Mit dem Inkrafttreten der Datenschutz-Richtlinie verlieren frühere interne Regelungen oder Anweisungen des Arbeitgebers, mit denen das Unternehmen personenbezogene Daten im Rahmen der Datenschutz-Richtlinie verarbeitet hat, ihre Gültigkeit.
Bis zum Stichtag des Inkrafttretens der Datenschutzrichtlinie wird diese jedes Jahr einmal überprüft, wobei sich die Überprüfung auch auf den Inhalt aller Anlagen der Datenschutz-Richtlinie erstreckt. Falls erforderlich, nimmt der Unternehmensvertreter als Überprüfungsbeauftragter im Einklang mit rechtlichen und internen organisatorischen Änderungen angemessene Änderungen an den Datenschutzrichtlinien vor und stellt sicher, dass die geänderten Datenschutzrichtlinien in Kraft sind und veröffentlicht werden und dass Personen, die den Datenschutzrichtlinien unterliegen über deren geänderten Inhalt in Kenntnis gesetzt werden.
Die Kenntnis und Einhaltung der Bestimmungen der Datenschutzrichtlinie sind für alle Vertreter, leitenden Angestellten und Beauftragten des Unternehmens bindend und diese müssen ihre Pflichten in voller Übereinstimmung mit den Bestimmungen der Datenschutzrichtlinie erfüllen.
Im Falle einer Gesetzesänderung oder im Falle einer Änderung dieser Richtlinie wird die Informationsschrift im Lichte einer solchen Änderung oder auf andere Weise geändert, und die Betroffenen müssen über den Wortlaut der Änderung informiert werden.
Die Datenschutz-Richtlinie beinhaltet folgende Anlagen:
1. Anlage A (itt 1A kell!)
Anlage 1 B.
Tisakécske, 15 Mai 2018
Tiszaparti Termálfürdő Kft.
H-6060 Tiszakécske, Szabolcska u. 43.
__________________________
Éva Anikó Szabó, Geschäftsführer
TISZAPARTI TERMÁLFÜRDŐ KFT.
H-6060 Tiszakécske, Szabolcska M. u. 43.
INFORMATIONSBLATT ZUR DATENVERWALTUNG
Dieses Informationsblatt zur Datenverwaltung ("Informationsblatt") informiert die betroffene Person über den Umgang mit personenbezogenen Daten, die im Zusammenhang mit der Nutzung des Beherbergungsdienstes gemäß Artikel 13 oder 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ("GDPR") bereitgestellt werden.
1 Erreichbarkeiten des Datenverwalters:
Firmenname des Datenverwalters Tiszaparti Termálfürdő Kft. (im Weiteren: Datenverwalter)
Firmensitz: H-6060 Tiszakécske, Szabolcska u. 43.
Postanschrift: H-6060 Tiszakécske, Szabolcska u. 43.
E-Mail-Adresse: info@barack.hu
Telefonnummer: 76/ 541-100
Webseite: www.barack.hu
Der Datenverwalter beschäftigt keinen Datenschutzbeauftragten.
Vertreter des Datenverwalters:
Éva Anikó Szabó, Geschäftsführer
E-Mail-Adresse: info@barack.hu
Telefonnummer: 20/4108188
2 Die Verwaltung der Daten des Betroffenen
2.1 Kreis der Betroffenen
Der Datenverwalter verwaltet personenbezogene Daten im Zusammenhang mit der Nutzung des Beherbergungsdienstes.
2.2 Die Kategorien der verwalteten personenbezogenen Daten
Bei der Nutzung des Beherbergungsdienstes verwaltet der Datenverwalter die die folgenden personenbezogenen Daten der betroffenen Person:
Name, Wohnanschrift, Geburtsdatum
Die betroffene Person stellt dem für die Verarbeitung Verantwortlichen die verarbeiteten personenbezogenen Daten über einen Vertrag, ein Anmeldeformular oder eine Internetschnittstelle zur Verfügung.
Der für die Datenverarbeitung Verantwortliche erhebt die verarbeiteten personenbezogenen Daten aus folgenden Quellen: personenbezogene Daten der betroffenen Person unter Verwendung eines Vertrags, eines Benachrichtigungsformulars und einer Internetschnittstelle.
2.3 Zweck, Rechtsgrundlage und Dauer der Datenverwaltung
Personenbezogene Daten dürfen nur zu bestimmten Zwecken verarbeitet werden, um Rechte auszuüben und Pflichten zu erfüllen. Alle Phasen des Datenmanagements müssen diesem Zweck dienen.
Es dürfen nur personenbezogene Daten verarbeitet werden, die zum Zweck der Datenverwaltung erforderlich sind, für den Zweck geeignet sind und nur in dem Umfang und für die Zeit, die für den Zweck erforderlich sind.
Die betroffene Person muss in klarer, verständlicher und detaillierter Form über alle Tatsachen im Zusammenhang mit der Verarbeitung ihrer Daten unterrichtet werden, insbesondere über den Zweck und die Rechtsgrundlage der Datenverarbeitung, den für die Verarbeitung Verantwortlichen und die Dauer der Datenverarbeitung Die Information muss sich auch auf die Rechte und die Möglichkeiten eines Rechtsbehelfs des Betroffenen in Verbindung mit der Verwaltung seiner personenbezogenen Daten erstrecken.
Die verarbeiteten personenbezogenen Daten müssen folgende Anforderungen erfüllen:
a) ihre Erhebung und Verwaltung ist fair und rechtmäßig;
b) sie sind genau, vollständig und aktuell;
c) sie werden so gespeichert, dass die betroffene Person nur für die zum Zweck der Speicherung erforderliche Zeit identifiziert werden kann.
Es ist verboten, eine allgemeine und einheitliche Identifikationsnummer zu verwenden, die uneingeschränkt verwendet werden kann.
2.3.1 Vorbereitung auf den Abschluss eines Vertrags über die Erbringung von Beherbergungsleistungen und die Erfüllung des Vertrags über die Erbringung von Beherbergungsleistungen:
Die Verarbeitung personenbezogener Daten ist für die Vorbereitung und Durchführung eines Vertrags über die Erbringung von Beherbergungsdienstleistungen (im Weiteren "Vertrag") erforderlich.
Die detaillierten Bedingungen für die Erbringung von Dienstleistungen im Rahmen des Vertrags sind in den Allgemeinen Geschäftsbedingungen (im Weiteren „AGB“) und den darin genannten Dokumenten festgelegt.
Zu diesem Zweck muss der für die Datenverarbeitung Verantwortliche insbesondere:
- personenbezogene Daten im Zusammenhang mit der Reservierung von vertraglich festgelegten Zimmern verwalten, damit der für die Datenverarbeitung Verantwortliche die Erfüllung dieser vertraglichen Verpflichtung überprüfen kann; personenbezogene Daten analysieren, um die Höhe der Vergütung zu bestimmen; die Kontaktdaten der betroffenen Person verwalten, um den Kontakt während der Vorbereitung und Durchführung des Vertrags aufrechtzuerhalten; die betroffene Person anhand ihrer persönlichen Daten identifizieren.
- die zur Vertragserfüllung notwendigen personenbezogenen Daten verwalten, um die Erfüllung der in den AGB festgelegten Pflichten zu kontrollieren und zu monitorisieren.
Die Dauer der vorliegenden Datenverwaltung entspricht der Dauer der Vertragsvorbereitung, beziehungsweise bei dessen Abschluss der Vertragsdauer.
Da der für die Datenverarbeitung Verantwortliche ohne die Bereitstellung der oben genannten personenbezogenen Daten den Vertrag nicht vorbereiten und den Vertrag nicht abschließen und ausführen kann, ist die betroffene Person verpflichtet, dem für die Datenverarbeitung Verantwortlichen die personenbezogenen Daten zur Verfügung zu stellen. Bei Nichtbereitstellung der Daten ist der für die Verarbeitung Verantwortliche berechtigt, den Abschluss eines Vertrages mit der betroffenen Person oder die Ausführung des Vertrages zu verweigern.
Bei Nichtzustandekommen oder bei Erlöschen des Vertrags löscht der für die Datenverarbeitung Verantwortliche die personenbezogenen Daten nicht, sondern bewahrt sie für den in Abschnitt 2.3.5 genannten Zweck und auf der genannten Rechtsgrundlage auf.
2.3.2 Erfüllung rechtlicher Pflichten
Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten der betroffenen Person für den folgenden Zeitraum zu folgenden rechtlichen Zwecken: Bezüglich des Einhaltens der gesetzlichen Pflichten, verfügt die einschlägige Rechtsregel des Gesetzes II. von 2007, Artikel 73, Absatz (2) über die Einreise und den Aufenthalt von Personen aus Drittländern wie folgt: "Die in Absatz 1 genannten Daten des Drittstaatsangehörigen, der sich in einer gewerblichen oder einer anderen von einer juristischen Person unterhaltenen Unterkunft aufhält, werden vom Gastgeber gemäß dem vorgeschriebenen Formular (Gästebuch) aufbewahrt." Eine solche rechtliche Verpflichtung ist weiterhin beispielsweise das Gesetz C von dem Jahr 2000, Artikel 169., Absatz (2), über die Rechnungslegung, dem zufolge „[a] der Buchhaltungsbeleg, einschließlich der Hauptbuchkonten, Analyse- und Buchhaltungsunterlagen, die direkt und indirekt für die Buchhaltung verwendet werden, mindestens 8 Jahre lang in lesbarer Form aufbewahrt werden und unter Bezugnahme auf die Buchhaltungsunterlagen abrufbar sein müssen. "
Die auf der Erfüllung einer gesetzlichen Verpflichtung beruhende Datenverwaltung darf jedoch nicht über das gesetzlich Erforderliche hinausgehen.
Beispielsweise darf im Falle einer auf einer gesetzlichen Verpflichtung beruhenden Datenverwaltung der für die Verarbeitung Verantwortliche keine personenbezogenen Daten für einen anderen als den gesetzlich festgelegten Zweck erheben und die personenbezogenen Daten nicht länger als gesetzlich vorgeschrieben speichern und nicht an andere als die gesetzlich vorgeschriebenen Personen oder Organisationen weitergeben. Sollte die Datenverwaltung aus irgendeinem Grund über die gesetzliche Verpflichtung hinausgehen, z.B. der für die Datenverarbeitung Verantwortliche erhebt auch andere Daten, die über den Geltungsbereich des Gesetzes hinausgehen, oder speichert sie länger als im Gesetz enthaltenen ist, ist die Datenverwaltung über diesen Rechtsbereich hinaus nur dann rechtmäßig, wenn eine ordnungsgemäße Rechtsgrundlage dafür vorliegt (z. B. berechtigtes Interesse).
2.3.3 Zustimmung des Betroffenen
Die Verarbeitung personenbezogener Daten erfolgt mit Zustimmung der betroffenen Person (seine freiwillige und ausdrückliche Willensbekundung, die auf konkreten und entsprechenden Informationen beruht). Die Zustimmung des Betroffenen erfolgt
(i)getrennt von anderen Erklärungen im Vertrag über die Erbringung von Beherbergungsleistungen,
(ii)in einer separaten Erklärung, die der Informationsschrift beigefügt ist,
(iii)auf eine andere Weise, beispielsweise über bestimmte Online-Schnittstellen.
Die Einwilligung ist freiwillig und die betroffene Person hat das Recht, ihre Einwilligung jederzeit und unbegrenzt durch Benachrichtigung des für die Verarbeitung Verantwortlichen zu widerrufen. Der Betroffene kann die Mitteilung an eine der Kontaktadressen in Abschnitt 1 der Informationsschrift senden.
Der Widerruf der Einwilligung hat keine Konsequenzen für den Betroffenen. Der Widerruf der Einwilligung berührt jedoch nicht die Rechtmäßigkeit der aufgrund der Einwilligung bereits erfolgten Verarbeitung der Daten vor dem Widerruf.
Wenn der für die Datenverarbeitung Verantwortliche Dienste der Informationsgesellschaft für Kinder unter 16 Jahren erbringt, ist die Verarbeitung personenbezogener Daten eines Kindes unter 16 Jahren grundsätzlich nur dann und in dem Maße gesetzlich zulässig, wenn von einem Elternteil die Zustimmung erteilt wurde, der die elterliche Verantwortung für das Kind ausübt.
Bei der Gesetzgebung zur Einhaltung der GDPR hat der Gesetzgeber die Möglichkeit, ein Alter unter 16 Jahren festzulegen, weiterhin ist er berechtigt, die mit Zustimmung des Betroffenen die Verwaltung der besonderen Kategorie der personenbezogenen Daten einzuschränken.
2.3.4 Vorlage, Durchsetzung und Schutz von Rechtsansprüchen aus dem Vertrag
Der für die Verarbeitung Verantwortliche bewahrt die personenbezogenen Daten der betroffenen Person gemäß der allgemeinen Verjährungsfrist des Gesetzes V von 2013 zum Bürgerlichen Gesetzbuch für die Dauer von fünf Jahren nach dem Scheitern des Vertrags oder der Beendigung des Vertrags auf.
Der Zweck der Datenverwaltung gemäß dieser Klausel besteht darin, dem für die Verarbeitung Verantwortlichen die Durchsetzung von Rechten und Ansprüchen aus dem Vertrag zu ermöglichen oder sich im Falle solcher Rechtsansprüche oder Ansprüche zu verteidigen.
Der Datenverwalter trifft keine automatisierten Entscheidungen, einschließlich Profilerstellung.
3 Empfänger personenbezogener Daten
Der für die Verarbeitung Verantwortliche übermittelt die personenbezogenen Daten der betroffenen Person auf die gesetzlich vorgeschriebene Weise.
Der Datenverwalter verwaltet die personenbezogener Daten des Betroffenen, um seinen gesetzlichen Pflichten Genüge zu tun, beispielsweise des Gesetzes II. von 2007, Artikel 73, Absatz (2) über die Einreise und den Aufenthalt von Personen aus Drittländern, das Folgendes aussagt: "Die in Absatz 1 genannten Daten des Drittstaatsangehörigen, der sich in einer gewerblichen oder einer anderen von einer juristischen Person unterhaltenen Unterkunft aufhält, werden vom Gastgeber gemäß dem vorgeschriebenen Formular (Gästebuch) aufbewahrt und übertragen."
Der Datenverwalter führt keine gemeinsame Datenverwaltung durch.
4 Rechte des Betroffenen
4.1 Zugangsrecht
Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Rückmeldung zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und im Falle einer solchen Verarbeitung Zugang zu den personenbezogenen Daten und den folgenden Informationen zu erhalten:
(i)die Zwecke der Verarbeitung der betreffenden personenbezogenen Daten,
(ii)die Kategorien der betreffenden personenbezogenen Daten,
(iii)die Kategorien von Empfängern, an die die personenbezogenen Daten der betroffenen Person weitergegeben wurden oder werden, insbesondere Empfänger aus Drittländern; internationale Organisationen (im Falle von Übermittlungen an Empfänger aus Drittländern und an internationale Organisationen ist die betroffene Person berechtigt, Informationen darüber anzufordern, ob die Übermittlung angemessen abgesichert ist),
(iv)den vorgesehenen Zeitraum, für den die betreffenden personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums,
(v)die Rechte der betroffenen Person (Recht auf Berichtigung, Löschung oder Einschränkung, Recht auf Datenübertragbarkeit und Widerspruchsrecht gegen die Verarbeitung dieser personenbezogenen Daten),
(vi)das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen,
(vii)wenn die Daten vom für die Verarbeitung Verantwortlichen nicht von der betroffenen Person bezogen wurden, dann alle verfügbaren Informationen über die Quelle,
(viii)die Tatsache, dass eine automatisierte Entscheidung über die betreffenden personenbezogenen Daten getroffen wird, einschließlich Profilerstellung; wenn eine solche Datenverarbeitung durchgeführt wird, müssen die Informationen die verwendete Logik sowie die Bedeutung und die wahrscheinlichen Folgen für die betroffene Person dieser Verarbeitung enthalten.
Sofern der Betroffene es nicht anders verlangt, werden die angeforderten Informationen in einem üblichen elektronischen Format bereitgestellt, wenn der Betroffene seinen Antrag elektronisch eingereicht hat.
Der für die Datenverarbeitung Verantwortliche kann die betroffene Person auffordern, den Inhalt der Anfrage zu konkretisieren und die angeforderten Informationen oder Datenverwaltungsaktivitäten anzugeben, bevor die Anfrage bearbeitet wird.
Wenn das Auskunftsrecht des Betroffenen nach diesem Abschnitt die Rechte und Freiheiten Dritter, insbesondere die Geschäftsgeheimnisse oder das geistige Eigentum Dritter, beeinträchtigt, hat der für die Verarbeitung Verantwortliche das Recht und das Recht, den Antrag des Betroffenen indem notwendigen und angemessenen Maß abzulehnen.
Für den Fall, dass die betroffene Person die oben genannten Informationen in mehrfacher Ausfertigung anfordert, ist der für die Verarbeitung Verantwortliche berechtigt, eine verhältnismäßige und angemessene Gebühr für die Verwaltungskosten für die Erstellung der zusätzlichen Kopien zu erheben.
Wenn die vom Betroffenen angegebenen personenbezogenen Daten nicht vom für die Verarbeitung Verantwortlichen verwaltet werden, muss er den Betroffenen auch schriftlich informieren.
4.2 Recht auf Berichtigung
Der Betroffene hat das Recht, die Berichtigung seiner personenbezogenen Daten zu verlangen. Sind die personenbezogenen Daten der betroffenen Person unvollständig, hat die betroffene Person das Recht, die Ergänzung der personenbezogenen Daten zu verlangen.
Bei der Ausübung des Rechts auf Berichtigung / Ergänzung muss die betroffene Person angeben, welche Daten ungenau oder unvollständig sind, und muss dem für die Verarbeitung Verantwortlichen auch die genauen und vollständigen Daten mitteilen. Der für die Verarbeitung Verantwortliche hat in begründeten Fällen das Recht, die betroffene Person aufzufordern, ihm die berichtigten Daten in geeigneter Weise – in erster Linie durch schriftliche Dokumente - nachzuweisen.
Die betroffene Person muss die Berichtigung oder Ergänzung der Daten unverzüglich vornehmen.
Der für die Datenverwalter teilt dies den Personen, denen er die personenbezogenen Daten des Betroffenen mitgeteilt hat, unverzüglich nach Erledigung des Antrags der betroffenen Person auf Berichtigung mit, sofern dies nicht unmöglich ist oder keinen unverhältnismäßigen Aufwand seitens des für die Verarbeitung Verantwortlichen erfordert. Auf Bitte des Betroffenen unterrichtet der Datenverwalter diesen über die Empfänger.
4.3 Recht auf Löschung („Recht auf Vergessen”)
Die betroffene Person hat das Recht zu beantragen, dass der für die Verarbeitung Verantwortliche ihre persönlichen Daten unverzüglich löscht, wenn einer der folgenden Gründe vorliegt:
(i)die von der betroffenen Person angegebenen personenbezogenen Daten werden nicht für den Zweck benötigt, für den sie vom für die Verarbeitung Verantwortlichen erhoben oder auf andere Weise verarbeitet wurden,
(ii)der für die Verarbeitung Verantwortliche hat die personenbezogenen Daten (einschließlich sensibler Daten) mit Zustimmung der betroffenen Person verarbeitet, die betroffene Person hat ihre schriftliche Zustimmung widerrufen, und es gibt keine andere Rechtsgrundlage für die Datenverarbeitung.
(iii)die betroffene Person widerspricht der Datenverarbeitung auf der Grundlage des berechtigten Interesses des für die Verarbeitung Verantwortlichen, und es gibt keinen zwingenden berechtigten Grund dafür, dass der für die Verarbeitung Verantwortliche Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person hat oder der im Zusammenhang mit der Einreichung, Durchsetzung oder dem Schutz von Rechtsansprüchen steht.
(iv)der für die Verarbeitung Verantwortliche hat die personenbezogenen Daten unrechtmäßig verarbeitet,
(v)die vom für die Verarbeitung Verantwortlichen verarbeiteten Daten müssen gelöscht werden, um den für den für die Verarbeitung Verantwortlichen geltenden rechtlichen Verpflichtungen nach EU- oder nationalem Recht nachzukommen.
(vi)die betroffene Person protestiert gegen die Datenverwaltung, und es gibt keinen zwingenden Grund für die Datenverwaltung.
Die betroffene Person muss ihren Antrag auf Löschung schriftlich stellen und angeben, welche personenbezogenen Daten sie aus welchem Grund löschen möchte.
Nimmt der für die Verarbeitung Verantwortliche den Löschungsantrag der betroffenen Person an, löscht er die verarbeiteten personenbezogenen Daten aus allen seinen Aufzeichnungen und teilt dies der betroffenen Person mit.
Für den Fall, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die personenbezogenen Daten der betroffenen Person zu löschen, ergreift der für die Verarbeitung Verantwortliche alle angemessenen Maßnahmen, einschließlich der Anwendung technischer Maßnahmen, um die für die Verarbeitung Verantwortlichen zu informieren, denen er die personenbezogenen Daten des Betroffenen aufgrund ihrer Offenlegung mitgeteilt hat. Der für die Verarbeitung Verantwortliche muss die anderen Datenverwalter informieren, wenn die betroffene Person die Löschung von Links zu ihren personenbezogenen Daten oder einer Kopie oder eines Zweitexemplars dieser personenbezogenen Daten beantragt hat.
Der für die Verarbeitung Verantwortliche teilt den Personen, denen er die personenbezogenen Daten des Betroffenen mitgeteilt hat, unverzüglich nach Bearbeitung des Antrags auf Ausübung seines Löschrechts mit, sofern dies nicht unmöglich ist oder einen unverhältnismäßigen Aufwand seitens des für die Verarbeitung Verantwortlichen erfordert. Auf Bitte des Betroffenen unterrichtet der Datenverwalter diesen über die Empfänger.
Der für die Verarbeitung Verantwortliche ist nicht verpflichtet, personenbezogene Daten zu löschen, wenn deren Verarbeitung erforderlich ist für:
(i)die Ausübung des Rechts auf freie Meinungsäußerung und Information,
(ii)die Erfüllung der Verpflichtung nach ungarischem oder EU-Recht, auf dem Datenverantwortlichen installierte personenbezogene Daten zu verarbeiten,
(iii)die Erfüllung der Aufgaben, die im öffentlichen Interesse stehen, oder dem Datenverwalter im Rahmen der Erfüllung behördlicher Befugnis übertragen wurden,
(iv)die Umsetzung des öffentlichen Interesses auf dem Gebiet der Volksgesundheit,
(v)Archivierung im öffentlichen Interesse, zu wissenschaftlichen und historischen Forschungszwecken oder zu statistischen Zwecken, vorausgesetzt, die Ausübung des Rechts auf Vergessen der betroffenen Person würde die Datenverarbeitung wahrscheinlich unmöglich machen oder ernsthaft beeinträchtigen,
a)die Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen.
4.4 Recht auf Einschränkung der Datenverwaltung
Der Betroffene hat das Recht zu beantragen, dass der für die Verarbeitung Verantwortliche die Verwaltung und die Verwendung der ihn betreffenden personenbezogenen Daten einschränkt, wenn einer der folgenden Gründe vorliegt:
(i)der Betroffene bestreitet die Richtigkeit der personenbezogenen Daten (in diesem Fall wird die Beschränkung so lange fortgesetzt, bis der für die Datenverarbeitung Verantwortliche die Richtigkeit der Daten überprüft),
(ii)der für die Verarbeitung Verantwortliche hat die personenbezogenen Daten unrechtmäßig verarbeitet, der Betroffene fordert jedoch eine Einschränkung anstelle einer Löschung an,
(iii)für den für die Verarbeitung Verantwortlichen existiert der Zweck der Datenverwaltung nicht mehr, aber der Betroffene beansprucht sie für die Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen,
(iv)die betroffene Person widerspricht einer Datenverarbeitung auf der Grundlage des berechtigten Interesses des für die Verarbeitung Verantwortlichen, und es gibt keinen zwingenden berechtigten Grund dafür, dass der für die Verarbeitung Verantwortliche Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person hat oder im Zusammenhang mit der Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen steht; in diesem Fall bleibt die Beschränkung in Kraft, bis festgestellt wird, ob die berechtigten Gründe des für die Verarbeitung Verantwortlichen Vorrang vor den berechtigten Gründen der betroffenen Person haben.
Im Falle einer Einschränkung dürfen personenbezogene Daten außer der Speicherung nur mit Zustimmung der betroffenen Person oder zum Zwecke der Abgabe, Durchsetzung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen oder zu wichtigen Zwecken des öffentlichen Interesses Der Union oder eines europäischen Mitgliedstaates der Union verarbeitet werden.
Der für die Datenverarbeitung Verantwortliche unterrichtet den Betroffenen im Voraus über die Aufhebung der Einschränkung der Datenverwaltung.
Der für die Verarbeitung Verantwortliche teilt, nach Abschluss der Aufforderung, das Recht der betroffenen Person auf Beschränkung geltend zu machen, den Personen, denen er die personenbezogenen Daten der betroffenen Person mitgeteilt hat, unverzüglich mit, es sei denn, dies ist unmöglich oder erfordert seitens des für die Verarbeitung Verantwortlichen einen unverhältnismäßigen Aufwand. Auf Bitte des Betroffenen unterrichtet der Datenverwalter diesen über die Empfänger.
4.5 Recht auf Protest
Da der für die Datenverarbeitung Verantwortliche keine Datenverarbeitung im öffentlichen Interesse durchführt und keine behördlichen Befugnisse hat, die Datenverarbeitung nicht zu wissenschaftlichen oder historischen Forschungen oder zu statistischen Zwecken erfolgt, kann sich inseinem Fall das Recht ergeben, der Datenverarbeitung aus berechtigten Gründen zu widersprechen.
Wenn die Verarbeitung der Daten der betroffenen Person auf einem berechtigten Interesse beruht, besteht eine wichtige Gewährleistungsbestimmung darin, dass die betroffene Person im Zusammenhang mit der Datenverarbeitung angemessene Informationen und das Recht erhält, Widerspruch einzulegen. Auf dieses Recht muss spätestens bei der ersten Kontaktaufnahme mit dem Betroffenen ausdrücklich hingewiesen werden.
Auf dieser Grundlage hat der Betroffene das Recht, der Verarbeitung seiner personenbezogenen Daten zu widersprechen. In diesem Fall darf der für die Verarbeitung Verantwortliche die Daten des Betroffenen nicht weiterverarbeiten, es sei denn, es kann nachgewiesen werden, dass
(i)die Verarbeitung der Daten durch den für die Verarbeitung Verantwortlichen durch zwingende berechtigte Gründe gerechtfertigt wird, die Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person haben
(ii)die Datenverwaltung sich auf die Einreichung, Validierung oder Verteidigung der rechtlichen Anforderungen des für die Verarbeitung Verantwortlichen bezieht.
4.5.1 Widerspruchsrecht bei Direktmarketing
Bei Direktmarketingaktivitäten des für die Verarbeitung Verantwortlichen hat der Betroffene das Recht, der Verarbeitung seiner personenbezogenen Daten zu diesem Zweck zu widersprechen, im Gegensatz zu anderen Datenverarbeitungen, die auf einem berechtigten Interesse beruhen, kann der für die Verarbeitung Verantwortliche nicht prüfen, ob er die Daten auch im Falle eines Protests weiter verarbeiten darf.
Widerspricht die betroffene Person der Datenverwaltung für Direktmarketingzwecke, kann der für die Verarbeitung Verantwortliche die Daten der betroffenen Person zu diesem Zweck nicht mehr verarbeiten.
4.5.2 Profilerstellung
Während der Profilerstellung werden die persönlichen Merkmale der Betroffenen durch eine automatisierte Methode bewertet. Solche Auswertungen können beispielsweise verwendet werden, um Merkmale der Leistung, der finanziellen Situation, der Gesundheit, der persönlichen Vorlieben, des Interesses, der Zuverlässigkeit, des Verhaltens, des Standorts oder der Bewegung der betroffenen Person zu analysieren oder vorherzusagen.
Das Widerspruchsrecht erstreckt sich auf die Profilerstellung aufgrund eines berechtigten Interesses als eine bestimmte Datenverwaltungsoperation. Für den Fall, dass die Profilerstellung für Direktmarketingzwecke erfolgt, muss die Profilerstellung auf der Grundlage persönlicher Daten bei Protest der betroffenen Person sofort eingestellt werden.
Ort der Datenverwaltung im Unternehmen:
Tiszaparti Termálfürdő Kft. H-6060 Tiszakécske, Szabolcska M. u. 43.
Name und Anschrift unserer externen Dienstleister:
Google Adwords
Dublin, Barrow street 4.
Hostware GmbH
H-1149 Budapest, Róna u. 120.
NetHotel Booking Kft.
H-8200 Veszprém, Baksa tér 1/a.
Newsletter-System:
Der Benutzer hat die Möglichkeit, den Newsletter-Service zu abonnieren, indem er seinen Namen und seine E-Mail-Adresse auf der Website barack.hu eingibt. Auf diese Weise stimmen Sie dem Versenden Ihres Newsletters per E-Mail zu, weiterhin der Versendung anderer Angebote und Informationen und der Verwaltung Ihrer persönlichen Daten zu diesem Zweck.
Stammkundenkarten-System
Die Tiszaparti Termálfürdő Kft. verwaltet ihre zum Stammkundenkarten-System gehörenden personenbezogenen Daten zum Zwecke des Betriebs des Stammkundenkarten-Systems.
Zimmerreservierungssystem eine:
Es ist möglich, eine Hotelreservierung mit dem auf barack.hu verfügbaren Formular zu beantragen.
Nutzung der Hotelleistungen:
Bei der Nutzung der Hotelleistungen muss der Gast ein Anmeldungsformular des Hotels ausfüllen. Mit der Unterzeichnung des Anmeldungsformulars erklärt sich der Gast damit einverstanden, dass der Dienstleister die erforderlichen Daten verwaltet, um seinen Verpflichtungen nach geltendem Recht nachzukommen.
Kontaktsystem:
Durch Übermittlung Ihres Namens, Ihrer E-Mail-Adresse und Ihrer Nachricht können Sie den Dienstanbieter über das Formular auf der Website oder per E-Mail kontaktieren.
4.6 Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, personenbezogene Daten, die von dem für die Verarbeitung Verantwortlichen verwaltet werden, in einem strukturierten, üblichen und maschinenlesbaren Format zu empfangen und an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der für die Verarbeitung Verantwortliche dies verhindert.
Das Recht auf Datenübertragbarkeit wird in Bezug auf die dem für die Verarbeitung Verantwortlichen von der betroffenen Person übermittelten personenbezogenen Daten ausgeübt
(i)Die Datenverwaltung basiert auf der Zustimmung der betroffenen Person oder auf der vertraglichen Grundlage, und
(ii)die Datenverwaltung erfolgt automatisiert.
Sofern es technisch möglich ist, leitet der für die Verarbeitung Verantwortliche auf Anfrage der betroffenen Person die personenbezogenen Daten direkt an einen anderen für die Verarbeitung Verantwortlichen weiter, der im Antrag der betroffenen Person angegeben ist. Das Recht auf Datenübertragbarkeit gemäß diesem Abschnitt verpflichtet die für die Datenverarbeitung Verantwortlichen nicht zur Installation oder Wartung technisch kompatibler Datenverarbeitungssysteme.
Im Bereich der Datenübertragbarkeit stellt der für die Verarbeitung Verantwortliche dem Betroffenen die Datenträger kostenlos zur Verfügung.
Für den Fall, dass das Recht des für die Datenverarbeitung Verantwortlichen auf Datenübertragbarkeit die Rechte und Freiheiten Dritter, insbesondere die Geschäftsgeheimnisse oder das geistige Eigentum Dritter, beeinträchtigt, hat der für die Datenverarbeitung Verantwortliche das Recht, den Antrag der betroffenen Person im erforderlichen Umfang abzulehnen.
Maßnahmen im Bereich der Datenübertragbarkeit stellen keine Löschung von Daten dar. Sie werden vom für die Verarbeitung Verantwortlichen so lange aufbewahrt, wie der für die Verarbeitung Verantwortliche einen ordnungsgemäßen Zweck oder eine ordnungsgemäße Rechtsgrundlage für die Verwaltung der Daten hat.
4.7 Das Recht, in Einzelfällen über automatisierte Entscheidungen, einschließlich Profilerstellung, zu entscheiden
Der Betroffene hat das Recht zu verlangen, dass er von einer Entscheidung ausgeschlossen wird, die ausschließlich auf einer automatisierten Datenverarbeitung einschließlich Profilerstellung beruht, die rechtliche Auswirkungen hätte oder wenn er von dieser wesentlich betroffen würde.
Die betroffene Person ist nicht berechtigt, eine Befreiung von der Entscheidung aufgrund einer automatisierten Datenverarbeitung zu beantragen, wenn diese Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder wenn die Entscheidung durch das Recht der Europäischen Union oder eines Mitgliedstaats ermöglicht wird oder auf der ausdrücklichen Zustimmung der betroffenen Person beruht.
Wenn die automatisierte Datenverarbeitung für den Abschluss oder die Erfüllung des Vertrags erforderlich ist oder auf der Zustimmung der betroffenen Person beruht, hat die betroffene Person das Recht, den für die Datenverarbeitung Verantwortlichen um menschliches Eingreifen zu ersuchen, ihre Ansichten zum Ausdruck zu bringen und der Entscheidung zu widersprechen.
Der für die Datenverarbeitung Verantwortliche bemüht sich nach Kräften, die Einbeziehung sensibler personenbezogener Daten in die automatisierte Entscheidungsfindung zu vermeiden. Ist dies jedoch unvermeidlich, darf eine automatisierte Entscheidungsfindung in Bezug auf bestimmte Kategorien personenbezogener Daten nur vorgenommen werden, wenn die Datenverarbeitung auf der Zustimmung der betroffenen Person beruht oder geeignete Maßnahmen nach dem Recht der Europäischen Union oder der Mitgliedstaaten und im öffentlichen Interesse ergriffen werden.
4.8 Recht auf Rechtsbehelf
4.8.1 Für Rechtsbehelf und Beschwerden steht das Büro des Datenschutzbeauftragten zur Verfügung:
Name: Büro des Datenschutzbeauftragten
Sitz: H-1051 Budapest, Nádor u. 22.
Postanschrift: H-1387 Budapest, Pf.: 40.
Telefon: 06.1.475.7186, 475.7100
Telefax: 06.1.269.3541
E-mail: adatved@obh.hu
4.8.2. Recht auf Beschwerde
Wenn der Betroffene der Ansicht ist, dass die Verarbeitung personenbezogener Daten durch den Datenschutzbeauftragten gegen die geltenden Datenschutzgesetze, insbesondere die GDPR, verstößt, hat er das Recht, sich an die Nationale Behörde für Datenschutz und Informationsfreiheit zu wenden.
Kontaktdaten der nationalen Behörde für Datenschutz und Informationsfreiheit:
Webseite: http://naih.hu/
Anschrift: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Postanschrift: H-1530 Budapest, Pf.: 5.
Telefon: +36-1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu
Die betroffene Person hat das Recht, eine Beschwerde bei einer anderen Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt hat, beschäftigt ist oder gegen die sie mutmaßlich verstößt.
4.8.3 Recht auf Inanspruchnahme einer Gerichtsbarkeit (Klagerecht)
Unabhängig von seinem Recht, sich zu beschweren, kann der Betroffene rechtliche Schritte einleiten, wenn bei der Verwaltung seiner persönlichen Daten seine Rechte gemäß der GDPR verletzt wurden.
Gegen den für die Datenverarbeitung Verantwortlichen mit Sitz in Ungarn kann vor einem ungarischen Gericht Klage erhoben werden.
Der Betroffene kann laut aktuellem Informationsgesetz § 21, Absatz (1) die Klage auch bei dem Gerichtshof an seinem Wohnort einreichen. Die Kontaktdaten der ungarischen Gerichte finden Sie unter folgendem Link: http://birosag.hu/torvenyszekek.
Da der für die Verarbeitung Verantwortliche keine Behörde ist, die in Ausübung behördlicher Rechte in einem Mitgliedstaat handelt, kann die betroffene Person auch beim zuständigen Gericht des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage erheben, wenn die betroffene Person ihren gewöhnlichen Wohnsitz in einem anderen Mitgliedstaat der Europäischen Union hat.
4.8.4 Andere Anspruchsmöglichkeiten
Die betroffene Person hat das Recht, einer gemeinnützigen Organisation oder Vereinigung, die nach dem Recht eines Mitgliedstaats der Europäischen Union gegründet wurde, die Einreichung einer Beschwerde in seinem Namen, die gerichtliche Überprüfung einer Entscheidung der Aufsichtsbehörde, die Erhebung einer Klage und die Erhebung einer Beschwerde anzuvertrauen, deren erklärtes Ziel es ist, dem öffentlichen Interesse zu dienen und die Rechte und Freiheiten der betroffenen Personen in Bezug auf personenbezogene Daten zu schützen.
5. Sonstige Verfügungen
Für den Fall, dass der für die Verarbeitung Verantwortliche berechtigte Gründe hat, an der Identität der Person zu zweifeln, die den Antrag gemäß den Abschnitten 3.1 - 3.6 der Informationsschrift gestellt hat, kann der für die Verarbeitung Verantwortliche die Bereitstellung zusätzlicher Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Der für die Verarbeitung Verantwortliche behält sich das Recht vor, die Informationsschrift jederzeit zu ändern. Der für die Datenverarbeitung Verantwortliche veröffentlicht die Änderung auf der Website, per Post usw. mindestens 30 Tage vor Inkrafttreten der Änderung.
* * *
Tiszakécske, 22 Mai 2018
____________________________
Tiszaparti Termálfürdő Kft.
Vertreten durch: Éva Anikó Szabó