Datenverwaltungshinweise
Name des Datenverantwortlichen
Firmenname: |
OMETRYS Gesellschaft mit beschränkter Haftung |
Hauptsitz: |
1196 Budapest, Kossuth Lajos u. 100. |
Registernummer: |
01-09-181586 |
Steuernummer: |
24773205-2-43 |
Vertreten durch |
Geschäftsführer Ákos Óvári |
E-Mail: |
info@ometrys.hu |
ALLGEMEINE BESTIMMUNGEN
2.1. Einführung
OMETRYS Kft. erklärt als Datenverwalter und Datenverarbeiter, dass sie ihre Datenverwaltungs- und -verarbeitungstätigkeiten in einer Weise ausführt, dass sie unter allen Umständen die geltenden Gesetze, einschlägigen Vorschriften und behördlichen Beschlüsse einhält, und trifft zu diesem Zweck Folgendes die entsprechenden internen Regeln, technischen und organisatorischen Maßnahmen.
OMETRYS Kft. verpflichtet sich und behält sich gleichzeitig das Recht vor, diese Geschäftsordnung einseitig gemäß den jeweils geltenden gesetzlichen Bestimmungen sowie entsprechend Änderungen ihrer Dienstleistungen zu ändern. OMETRYS Kft. wird die betroffenen Parteien über diese Änderungen informieren.
Der Geltungsbereich dieser Allgemeinen Geschäftsbedingungen erstreckt sich nur auf die Verfahren der OMETRYS Kft. als Datenverantwortlicher, nicht jedoch auf die von den Dienstleistern bereitgestellten Dienste, die Benutzer über das System der OMETRYS Kft. in Anspruch nehmen, und deckt daher insbesondere nicht die Verfahren ab dieser Dienstanbieter als Datenverantwortliche, um die Datenverwaltungsrechte dieser Dienstanbieter sowie die Datenverwaltung dieser Dienstanbieter auf ihren eigenen Websites oder anderen Webschnittstellen festzulegen.
Bei der Erstellung dieser Geschäftsordnung hatte die OMETRYS Kft. insbesondere die folgende Regelung im Auge:
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Verordnung 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „Verordnung“);
- CXII von 2011 zum Recht auf informationelle Selbstbestimmung und Informationsfreiheit. die gesetzlichen Bestimmungen (im Folgenden: „Info tv.“);
- XLVIII von 2008 über die Rahmenbedingungen und bestimmte Grenzen wirtschaftlicher Werbetätigkeit. Gesetz („Grt.“);
- CVIII von 2001 zu bestimmten Fragen elektronischer kommerzieller Dienste und Dienste im Zusammenhang mit der Informationsgesellschaft. Gesetz („tv.“);
- CXIX von 1995 über die Verwaltung von Namens- und Adressdaten zum Zweck der Recherche und der direkten Geschäftsakquise. Act („Direktmarketing tv.”).
2.2. Zweck der Richtlinie
- Der Zweck der Verordnung besteht darin, interne Regeln festzulegen und die Grundlage für Maßnahmen zu schaffen, die sicherstellen, dass die Datenverwaltungs- und Datenverarbeitungsaktivitäten der OMETRYS Kft. den Bestimmungen der geltenden Gesetzgebung entsprechen.
- Ziel der Vorschriften ist es auch, dass OMETRYS Kft. als Datenverwalter und Datenverarbeiter den betroffenen natürlichen Personen umfassend und leicht verständlich darlegt, wie, mit welcher Rechtsgrundlage, wie und für wie lange Sie verwaltet und verarbeitet personenbezogene Daten, welche technischen und organisatorischen Maßnahmen im Zusammenhang mit dem Schutz dieser Daten ergriffen werden und informiert über die Rechte der betroffenen Personen.
- Der Zweck der Vorschriften besteht auch darin, durch den Datenverantwortlichen die Einhaltung der Verordnung und der Grundsätze für den Umgang mit personenbezogenen Daten (Artikel 5 der Verordnung) zu überprüfen.
- Der Zweck der Vorschriften besteht auch darin, als klare Richtlinie für diejenigen zu dienen, die in einem Beschäftigungsverhältnis mit dem Datenverantwortlichen stehen oder im Rahmen ihrer Arbeit in einem Rechtsverhältnis zum Datenverantwortlichen beitragen, hinsichtlich der Datenverwaltungs- und -verarbeitungsprozesse von der Datenverantwortliche.
2.3. Geltungsbereich der Richtlinie
(1) Der Geltungsbereich dieser Ordnung erstreckt sich auf alle Mitarbeiter und sonstigen Mitarbeiter der OMETRYS Kft. in den Fällen, in denen die OMETRYS Kft. personenbezogene Daten natürlicher Personen verwaltet oder verarbeitet oder in irgendeiner Weise auf personenbezogene Daten zugreift.
(2) Der Geltungsbereich der Regelung erstreckt sich nicht auf die Verarbeitung personenbezogener Daten juristischer Personen, einschließlich des Namens und der Form der juristischen Person sowie der Kontaktdaten der juristischen Person.
(3) Wenn in dieser Verordnung für jede Datenverwaltungsaktivität ein separates Informationsblatt oder eine separate Verordnung zur Datenverwaltung angegeben ist, werden wir ein separates Informationsblatt oder eine separate Verordnung zur Information und Verfügung der betroffenen Personen (mit einem Link) herausgeben, damit OMETRYS Kft. , über die von seinen Datenverarbeitern durchgeführten Datenverwaltungsaktivitäten. Diese Verordnungen und Informationen sind Anhänge und Teil dieser Verordnungen, sofern eine beigefügte Verordnung oder Information nicht ausdrücklich etwas anderes vorsieht, gelten die Bestimmungen dieser Verordnungen entsprechend.
2.4. Definitionen
Die maßgeblichen Definitionen für die Anwendung dieser Verordnung sind in Artikel 4 der Verordnung enthalten. Dementsprechend heben wir die Hauptkonzepte hervor:
„personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; Eine natürliche Person kann direkt oder indirekt, insbesondere anhand einer Kennung wie Name, Nummer, Standortdaten, Online-Kennung oder einem oder mehreren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Faktoren identifiziert werden Identität der natürlichen Person identifizierbar;
„betroffene Person“: die natürliche Person, die identifiziert wurde oder anhand von Informationen identifiziert werden kann;
„
Gesundheitsdaten: personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich Daten über Gesundheitsdienstleistungen für die natürliche Person, die Informationen über die Gesundheit der natürlichen Person enthalten;
„
Cookie“: Ein Cookie ist eine kurze Textdatei, die unser Webserver an das betroffene Gerät (sei es ein Computer, ein Mobiltelefon oder ein Tablet) sendet und von diesem ausliest. Es gibt temporäre (Sitzungs-)Cookies, die automatisch von Ihrem Gerät gelöscht werden, wenn Sie Ihren Browser schließen, und es gibt langlebigere Cookies, die für einen längeren Zeitraum auf Ihrem Gerät verbleiben (dies hängt auch von den Einstellungen Ihres Geräts ab);
„Datenverwaltung“: jeder Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder Datendateien auf automatisierte oder nicht automatisierte Weise durchgeführt werden, wie z. B. Erhebung, Aufzeichnung, Organisation, Segmentierung, Speicherung, Umwandlung oder Änderung, Abfrage, Einsicht, Nutzung, Kommunikation, Übermittlung, Verbreitung oder sonstige Bereitstellung, Abstimmung oder Verbindung, Einschränkung, Löschung oder Vernichtung;
„Einschränkung der Datenverwaltung“: Bezeichnung der gespeicherten personenbezogenen Daten mit dem Ziel, ihre künftige Verwaltung einzuschränken;
„Profiling“: jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der personenbezogene Daten dazu verwendet werden, bestimmte persönliche Merkmale einer natürlichen Person, insbesondere Arbeitsleistung, wirtschaftliche Lage, Gesundheitszustand, persönliche Vorlieben, zu bewerten , Interessen, Zuverlässigkeit, werden zur Analyse oder Vorhersage von Verhaltens-, Standort- oder Bewegungsmerkmalen verwendet;
„Pseudonymisierung“: Verarbeitung personenbezogener Daten in einer Weise, dass ohne Hinzuziehung zusätzlicher Informationen nicht mehr festgestellt werden kann, auf welche konkrete natürliche Person sich die personenbezogenen Daten beziehen, sofern diese zusätzlichen Informationen vorliegen gesondert gespeichert werden und durch technische und organisatorische Maßnahmen sichergestellt wird, dass diese personenbezogenen Daten nicht identifizierten oder identifizierbaren natürlichen Personen zugeordnet werden können;
„anonymisierte Daten“: Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, sowie personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann . Die Verordnung gilt nicht für die Verwaltung solcher anonymer Informationen, einschließlich der Datenverwaltung für statistische oder Forschungszwecke;
„Registrierungssystem“: die Datei mit personenbezogenen Daten, die auf beliebige Weise aufgeteilt ist – zentral, dezentral oder funktionell oder geografisch – und die nach bestimmten Kriterien zugänglich ist;
„Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die selbstständig oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; Wenn die Zwecke und Mittel der Datenverwaltung durch das Recht der EU oder eines Mitgliedsstaates bestimmt sind, können der für die Verarbeitung Verantwortliche oder die Besonderheiten bei der Benennung des Verantwortlichen auch durch das Recht der EU oder eines Mitgliedsstaates bestimmt werden;
„
Einschränkung der Datenverwaltung”: Bezeichnung der gespeicherten personenbezogenen Daten mit dem Ziel, ihre künftige Verwaltung einzuschränken;
„Datenverarbeiter“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
„Empfänger“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, an die personenbezogene Daten übermittelt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt. Behörden, die im Rahmen einer Einzelermittlung nach dem Recht der EU oder der Mitgliedstaaten Zugriff auf personenbezogene Daten haben, gelten nicht als Empfänger; Die Verwaltung dieser Daten durch diese Behörden muss den geltenden Datenschutzbestimmungen im Einklang mit den Zwecken der Datenverwaltung entsprechen.
„Dritter“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die nicht mit der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter oder den Personen, die der Verantwortliche sind, identisch ist Bevollmächtigte des Datenverantwortlichen oder Datenverarbeiters waren befugt, die von ihm kontrollierten personenbezogenen Daten zu verwalten;
„
Drittland: ein Land, das nicht Mitgliedsstaat der Europäischen Union und des Europäischen Wirtschaftsraums ist;
„Einwilligung der betroffenen Person“: die freiwillige, für den konkreten Fall und in informierter Weise erfolgende Willensbekundung der betroffenen Person, mit der die betroffene Person durch eine Erklärung oder eine Handlung eindeutig ihre Zustimmung zum Ausdruck bringt dass er der Verarbeitung der ihn betreffenden personenbezogenen Daten zustimmt;
„Datenschutzvorfall“: eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt;
„Datenübermittlung“: Bereitstellung der Daten für einen bestimmten Dritten. Dritte Person, eine natürliche oder juristische Person oder eine Organisation ohne Rechtspersönlichkeit, die mit der betroffenen Person, dem Datenverantwortlichen, dem Datenverarbeiter oder den Personen, die Vorgänge zur Verarbeitung personenbezogener Daten unter der direkten Kontrolle durchführen, identisch ist oder nicht des Datenverantwortlichen oder Datenverarbeiters.
2.5. Grundsätze der Datenverwaltung
OMETRYS Kft. hält sich bei der Behandlung und Verarbeitung der personenbezogenen Daten der betroffenen Personen an die in Artikel 5 der Verordnung festgelegten Grundprinzipien. Dabei werden personenbezogene Daten rechtmäßig, fair und für die Betroffenen transparent behandelt. Die Verarbeitung der Ihnen zur Verfügung gestellten personenbezogenen Daten erfolgt zu den in dieser Verordnung und ihren Anhängen klar definierten und rechtmäßigen Zwecken („
nach dem Grundsatz der Zweckmäßigkeit), entsprechend Ihren Zielen und relevanten Daten soweit erforderlich („
Datenspeicherung). OMETRYS Kft. ist bestrebt, sicherzustellen, dass die von ihr verwalteten personenbezogenen Daten auf dem neuesten Stand sind, und ergreift daher alle angemessenen Maßnahmen, um unrichtige personenbezogene Daten zum Zwecke der Datenverwaltung unverzüglich zu löschen oder zu korrigieren („
Grundsatz der Richtigkeit). >”). OMETRYS Kft. erlaubt die Speicherung personenbezogener Daten nur für den Zeitraum, der zur Erreichung der Ziele der Verwaltung personenbezogener Daten erforderlich ist („
Prinzip der begrenzten Speicherung), mit der Maßgabe, dass eine Speicherung über einen längeren Zeitraum möglich ist erfolgen nur im Einklang mit den Bestimmungen der Verordnung. OMETRYS Kft. ergreift die in der Verordnung geforderten geeigneten technischen und organisatorischen Maßnahmen, um die Rechte und Freiheiten der Betroffenen zu schützen. OMETRYS Kft. verwaltet personenbezogene Daten so, dass durch Anwendung geeigneter technischer oder organisatorischer Maßnahmen die angemessene Sicherheit personenbezogener Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder illegaler Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung von Daten („
Integrität und Vertraulichkeit“).
OMETRYS Kft. stellt im Unterabschnitt „Datensicherheit“ gemäß Punkt 6.1 dieser Geschäftsordnung weitere Informationen zu den Maßnahmen zur Datensicherheit bereit, die zur Einhaltung der oben genannten Datenverwaltungsgrundsätze ergriffen werden. OMETRYS Kft. und ihre Datenverarbeiter führen interne Datenverwaltungsaufzeichnungen über ihre verschiedenen Datenverwaltungsvorgänge („
Grundsatz der Verantwortlichkeit“), um die Einhaltung der dargelegten Grundsätze der Datenverwaltung zu überprüfen.
MÖGLICHE RECHTSGRUNDLAGE DER DATENVERARBEITUNG
3.1. Datenverwaltung auf Grundlage der Einwilligung der betroffenen Person
(1) Die Datenverwaltung auf der Grundlage einer Einwilligung muss in jedem Fall freiwillig, spezifisch, auf angemessenen Informationen beruhend und klar sein. Im Falle einer Datenverwaltung auf der Grundlage einer Einwilligung muss die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten gemäß den Bestimmungen der Verordnung wie folgt eingeholt werden.
(2) Eine Einwilligung liegt auch dann vor, wenn die betroffene Person beim Besuch der Website des für die Verarbeitung Verantwortlichen ein entsprechendes Kästchen ankreuzt, bei der Nutzung von Diensten der Informationsgesellschaft entsprechende technische Einstellungen vornimmt sowie eine sonstige Erklärung oder Handlung abgibt Aus dem Kontext geht klar hervor, dass die betroffene Person mit der geplanten Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Schweigen, ein vorab angekreuztes Kästchen oder Untätigkeit stellen daher keine Einwilligung dar.
(3) Die Zieldefinition muss konkret, detailliert und verständlich sein. Die Einwilligung umfasst alle Datenverarbeitungsvorgänge, die zum gleichen Zweck bzw. zu denselben Zwecken erfolgen. Wenn die Datenverwaltung mehreren Zwecken gleichzeitig dient, ist die Einwilligung für alle Datenverwaltungszwecke gesondert einzuholen, sofern keine andere Rechtsgrundlage vorliegt.
(4) Erteilt der Betroffene seine Einwilligung im Rahmen einer schriftlichen Erklärung auch für andere Angelegenheiten – z.B. Abschluss eines Dienstleistungsvertrags – die Einwilligungsanfrage muss in einer von diesen anderen Fällen deutlich unterscheidbaren Form, in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache erfolgen. Jeder Teil einer solchen Erklärung, der die Einwilligung der betroffenen Person enthält und gegen die Verordnung verstößt, ist unverbindlich. Der Verantwortliche darf den Abschluss oder die Erfüllung eines Vertrags nicht davon abhängig machen, dass eine Einwilligung zur Verarbeitung personenbezogener Daten erteilt wird, die für die Vertragserfüllung nicht erforderlich sind.
(5) Der Widerruf einer Einwilligung muss auf die gleiche einfache Weise möglich sein wie die Erteilung einer Einwilligung.
(6) Sofern die personenbezogenen Daten mit Einwilligung der betroffenen Person erhoben wurden, kann der Verantwortliche die erhobenen Daten, sofern gesetzlich nichts anderes bestimmt ist, zur Erfüllung der jeweiligen rechtlichen Verpflichtung ohne weitere gesonderte Einwilligung und auch nach Widerruf verarbeiten die Einwilligung der betroffenen Person.
(7) Damit eine Einwilligung gültig ist, müssen mindestens die folgenden inhaltlichen Mindestanforderungen erfüllt sein: die Identität des für die Datenverarbeitung Verantwortlichen, der Zweck jedes Datenverarbeitungsvorgangs, für den die Einwilligung beantragt wird, um welche Daten (Art) es sich handelt erhoben und verwendet werden, das Bestehen eines Rechts auf Widerruf der Einwilligung, erteilte Informationen über die Nutzung der Daten zum Zweck der automatisierten Entscheidungsfindung sowie die möglichen Risiken der Datenübermittlung, die sich aus dem Fehlen angemessener Garantien gemäß Artikel 46 ergeben der Verordnung und der Compliance-Entscheidung.
(8) Der Verantwortliche muss nachweisen können, dass die betroffene Person eine gültige Einwilligung erteilt und diese ggf. widerrufen hat. Im Online-Kontext kann der Verantwortliche Informationen über die Sitzung, in der die Einwilligung erteilt wurde, sowie die Dokumentation zum Einwilligungsablauf während der Sitzung und eine Kopie der der betroffenen Person zu diesem Zeitpunkt vorgelegten Informationen aufbewahren. Nach Beendigung der Datenverwaltungstätigkeit darf der Einwilligungsnachweis nicht länger aufbewahrt werden, als dies zur Erfüllung der gesetzlichen Verpflichtung oder zur Geltendmachung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist.
(9) Im Falle des Widerrufs der Einwilligung bleiben einerseits alle Datenverwaltungsvorgänge, die auf der Einwilligung beruhten und vor dem Widerruf der Einwilligung stattgefunden haben, rechtmäßig, und andererseits löscht der Verantwortliche die betreffenden Daten Managementmaßnahmen. Wenn keine andere Rechtsgrundlage vorliegt, die die Datenverwaltung rechtfertigt (z. B. zusätzliche Datenspeicherung), löscht der Datenverwalter die Daten. Liegt für die Datenverarbeitung mehrere Rechtsgrundlagen vor, beispielsweise können Kundendaten auf einem Vertrag und einer Einwilligung basieren, so bedeutet der Widerruf der Einwilligung nicht, dass der Verantwortliche die Daten löschen muss, die er zum Zwecke der Vertragserfüllung verarbeitet mit der betroffenen Person abgeschlossener Vertrag. Der Verantwortliche muss daher von vornherein klar darlegen, welchem Zweck die einzelnen Datenelemente dienen und auf welche Rechtsgrundlage sie sich stützen. Nach dem Widerruf der Einwilligung ist der Datenverantwortliche verpflichtet, die aufgrund der Einwilligung verwalteten Daten zu löschen, sofern kein anderer Zweck vorliegt, der ihre weitere Aufbewahrung rechtfertigen würde. Der Datenverantwortliche darf nicht von der Einwilligung auf andere Rechtsgründe wechseln, es sei denn, diese wurden zuvor festgelegt.
(10) Wenn die Datenverwaltungstätigkeit auf der Einwilligung der betroffenen Person beruht, wirkt sich dies auf die Rechte der betroffenen Person aus. Betroffene Personen können das Recht auf Datenübertragbarkeit haben (Artikel 20 der Verordnung, Punkt 6.3.6 dieser Verordnung), wenn die Datenverwaltung auf einer Einwilligung beruht. Gleichzeitig gilt das Widerspruchsrecht (Artikel 21 der Verordnung, Punkt 6.3.7 dieser Verordnung) nicht, wenn die Datenverarbeitung auf einer Einwilligung beruht, obwohl das Recht, die Einwilligung jederzeit zu widerrufen, zu einem ähnlichen Ergebnis führen kann . Wenn die Datenverarbeitung auf einer Einwilligung beruht, haben betroffene Personen das Recht auf Löschung, wenn die Einwilligung widerrufen wurde, sowie das Recht auf Einschränkung der Datenverarbeitung, das Recht auf Berichtigung und das Recht auf Auskunft.
(11) Bedingungen für die Einwilligung von Kindern
In Anbetracht dessen, dass die sogenannte OMETRYS Kft. Sie bietet einen Business-to-Business-Dienst (B2B) an und erklärt daher, dass sie nicht mit den personenbezogenen Daten von Kindern umgehen möchte, die zum Zeitpunkt der Veröffentlichung der Verordnung das 16. Lebensjahr noch nicht vollendet haben. Da nach der internen Analyse des Datenverantwortlichen seine Datenverarbeitung möglicherweise nicht einmal ein geringes Risiko für die Daten von Kindern darstellt, fordert er bei der Einwilligung in die Datenverarbeitung eine Bestätigung darüber an, ob die betroffene Person das 16. Lebensjahr vollendet hat. Die interne Analyse des Datenverantwortlichen wurde in seine Datenschutzdokumentation aufgenommen.
3.2 Die Datenverwaltung ist erforderlich, um einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist, oder es ist erforderlich, auf Anfrage der betroffenen Person vor Vertragsschluss Maßnahmen zu ergreifen.
Die bei Vertragsschluss angegebenen personenbezogenen Daten sind für die Vertragserfüllung durch den Verantwortlichen erforderlich. In einem solchen Fall besteht ein unmittelbarer und objektiver Zusammenhang zwischen der Verarbeitung der Daten und der Vertragserfüllung. Dieses Interesse stellt eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar. Das Interesse besteht, solange im Zusammenhang mit dem abgeschlossenen Vertrag berechtigte Interessen geltend gemacht werden können – also bis zum Ablauf der allgemeinen 5-Jahres-Frist für die Geltendmachung zivilrechtlicher Ansprüche nach Abwicklung des Vertrages (außer in den Fällen, in denen das Gesetz dies bestimmt). eine kürzere Frist zur Geltendmachung von Ansprüchen).
3.3 Die Datenverwaltung ist zur Erfüllung der gesetzlichen Verpflichtung des Datenverantwortlichen erforderlich
3.3.1. Datenverwaltung zum Zwecke der Erfüllung steuerlicher und buchhalterischer Pflichten
Der Datenverantwortliche verwaltet die gesetzlich definierten Daten natürlicher Personen, die mit ihm als Käufer oder Lieferant Geschäftsbeziehungen eingehen, zum Zweck der Erfüllung gesetzlich vorgeschriebener Steuer- und Buchhaltungspflichten (Buchhaltung, Besteuerung) im Rahmen der Erfüllung gesetzlicher Pflichten. Der Umgang mit den Daten erfolgt insbesondere im Einklang mit Artikel CXXVII von 2017 über die allgemeine Umsatzsteuer. FERNSEHER. §§ 169 und 202 sowie § 167 des Gesetzes C von 2000 über die Rechnungslegung und des Gesetzes CXVII von 1995 über die Einkommensteuer. auf der Grundlage des Gesetzes.
3.3.2. Verwaltung der Zahlerdaten
Der Verantwortliche verarbeitet die personenbezogenen Daten der Betroffenen – Mitarbeiter, deren Familienangehörige, Mitarbeiter, Empfänger sonstiger Leistungen – im Rahmen der steuerrechtlichen Vorgaben, zur Erfüllung gesetzlicher Verpflichtungen, zur Erfüllung gesetzlich vorgeschriebener Steuer- und Beitragspflichten (Steuer, Steuervorauszahlung, Beitragsbemessung, Lohn- und Gehaltsabrechnung, Sozialversicherung, Rentenverwaltung), mit denen CL von 2017 über das Steuersystem. in einem Zahlungsverhältnis gemäß § 7 § 31 des Gesetzes steht (Art.). Der Umfang der verarbeiteten Daten richtet sich nach § 50 Abs. 1 Abs. 1 lit. f DSGVO, wobei gesondert hervorgehoben wird: die natürlichen persönlichen Identifikationsdaten der natürlichen Person, ihr Geschlecht, ihre Staatsangehörigkeit, ihre Steueridentifikationsnummer, ihre Sozialversicherungs-Identifikationsnummer (TAJ-Nummer). Wenn die Steuergesetze hieraus rechtliche Konsequenzen ziehen, kann der Datenverantwortliche die Gesundheitsdaten (Szja tv. § 40.) und die Gewerkschaftsdaten (Szja tv. § 47.(2) b./) der Mitarbeiter zum Zweck der Verarbeitung verarbeiten Erfüllung von Steuer- und Beitragspflichten (Lohnabrechnung, Sozialversicherungsverwaltung).
3.3.3. Nach dem Archivgesetz ist die Datenverwaltung für Dokumente von bleibendem Wert
(1) Der Datenverantwortliche handelt mit dem Rechtstitel, eine gesetzliche Verpflichtung zu erfüllen, wenn das LXVI von 1995 über öffentliche Dokumente, öffentliche Archive und den Schutz von privatem Archivmaterial gilt. Gemäß dem Gesetz (Archivgesetz) werden Dokumente von bleibendem Wert verarbeitet, mit dem Ziel, den Teil des Archivmaterials des Datenverantwortlichen von bleibendem Wert in einem intakten und nutzbaren Zustand für künftige Generationen zu erhalten. Dauer der Datenspeicherung: bis zur Übergabe an das öffentliche Archiv.
(2) Für die Empfänger personenbezogener Daten und weitere Fragen der Datenverwaltung gilt in diesem Fall das Archivgesetz.
3.3.4. Datenverwaltung auf Grundlage anderer gesetzlicher Genehmigungen
Der Datenverwalter verarbeitet personenbezogene Daten auf die in den Anhängen dieser Verordnung angegebene Art und Weise und auf der Rechtsgrundlage. Vor diesem Hintergrund kann der Datenverantwortliche personenbezogene Daten auch auf der Grundlage der spezifischen gesetzlichen Bestimmungen verwalten, die in den Anhängen dieser Verordnung aufgeführt sind. Sollte eine solche Datenverwaltung stattfinden, wird diese in den entsprechenden Anlagen genau vermerkt.
3.4. Die Datenverwaltung ist zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich
Die Rechtsgrundlage für die Datenverwaltung kann auch sein, dass die Datenverwaltung zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist.
Bei einer Datenverarbeitung auf Grundlage eines berechtigten Interesses ist stets eine Interessenabwägung erforderlich, um festzustellen, ob das geltend zu machende Interesse den schutzwürdigen Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person überwiegt personenbezogener Daten. Der Datenverantwortliche ist verpflichtet, die entsprechende Auswertung zu erstellen und aufzubewahren.
INFORMATIONEN DER TEILNEHMER
Unabhängig von der Rechtsgrundlage der Datenverwaltung informiert der Datenverantwortliche die betroffenen Personen wie folgt über die Tatsache der Datenverwaltung:
Der Datenverantwortliche stellt den Betroffenen seine Datenverwaltungsinformationen zur Verfügung. Der Zweck dieser Informationen besteht darin, die betroffenen Personen vor und während der Datenverarbeitung in öffentlich zugänglicher Form klar und detailliert über alle mit der Verarbeitung ihrer Daten zusammenhängenden Tatsachen, insbesondere den Zweck und die Rechtsgrundlage der Datenverarbeitung, zu informieren. wer für die Datenverarbeitung und Datenverarbeitung berechtigt ist, wie lange die Datenverarbeitung dauert und wer die Daten einsehen kann. Die Informationen müssen auch die Rechte und Rechtsbehelfe der betroffenen Person umfassen. Diese Datenverwaltungsinformationen müssen durch Kennzeichnung mit einem separaten Link für jeden der wichtigsten Datenverwaltungsschritte (z. B. bei einer Registrierung, vor der Registrierung, während des Registrierungsprozesses usw.) zur Verfügung gestellt werden. Diese Informationen müssen leicht zugänglich und verständlich sein und die Betroffenen müssen über ihre Verfügbarkeit informiert werden.
Der Verantwortliche ist bestrebt, den betroffenen Personen die Nutzung der mehrstufigen Datenschutzerklärung/Informationsblatt in einer Online-Umgebung zu ermöglichen, sodass die betroffene Person nach der Stelle der Datenschutzerklärung/Informationsblatt suchen kann, zu der sie möchte sofort zugreifen.
BESTIMMTE DATENVERWALTUNG DES DATENVERWALTERS
5.1. Allgemeine Informationen zur vertragsbezogenen Datenverwaltung
5.1.1. Verwaltung der vor Vertragsabschluss verwalteten Daten und der bereits vertraglich vereinbarten Partner – Kundenverzeichnis, Kontaktdaten der Vertreter natürlicher Personen und Kontakte juristischer Personen, Kunden, Lieferanten
(1) OMETRYS Kft. informiert ihre Vertragspartner über die Datenverwaltung.
(2) Im Rahmen der Vertragserfüllung verarbeitet der Verantwortliche die Daten der Partner, die mit ihm einen Vertrag abschließen wollen oder mit ihm einen Vertrag geschlossen haben, zum Zweck des Abschlusses, der Erfüllung, der Beendigung des Vertrages, der Gewährung vertraglicher Preisnachlässe, zur Aufrechterhaltung der Geschäftsbeziehungen und zur Durchsetzung der Vertragserfüllung sowie zur Geltendmachung von Ansprüchen aus dem Vertrag, die zu den oben genannten Zwecken erforderlich sind.
(3) Die Verarbeitung dieser personenbezogenen Daten gilt auch dann als rechtmäßig, wenn die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.
(4) Umfang der personenbezogenen Daten, die verarbeitet werden können: Name, Adresse, Telefonnummer, E-Mail-Adresse der natürlichen Person.
(5) Zweck der Verarbeitung personenbezogener Daten: Erfüllung des Vertrags der OMETRYS Kft. mit ihrem Vertragspartner, Aufrechterhaltung der Geschäftsbeziehungen.
(6) Im Zusammenhang mit einem Vertrag zwischen zwei juristischen Personen ist bei den im Vertrag genannten Ansprechpartnern oder an der Vertragserfüllung beteiligten Mitarbeitern die Rechtsgrundlage für die Datenverarbeitung: Das berechtigte Interesse des Verantwortlichen (das „Interesse“) Die Beurteilungsprüfung wurde in die Datenschutzdokumente des Verantwortlichen aufgenommen.
(7) Empfänger personenbezogener Daten und Kategorien von Empfängern: Mitarbeiter und Subunternehmer des Unternehmens, die Aufgaben im Zusammenhang mit der Kundenbetreuung wahrnehmen, Mitarbeiter und Subunternehmer, die Buchhaltungs- und Steueraufgaben wahrnehmen, sowie Datenverarbeiter.
(8) Dauer der Speicherung personenbezogener Daten: bis zu 5 Jahre nach Bestehen der Geschäftsbeziehung oder der Vertretungsfunktion des Betroffenen.
(9) Rechtsgrundlage für die Datenverarbeitung zu steuerlichen oder buchhalterischen Zwecken im Zusammenhang mit der Vertragsabwicklung ist die Erfüllung der rechtlichen Verpflichtung.
(10) Rechtsgrundlage für die weiteren Schritte, die sich aus der Nichterfüllung des Vertrages ergeben, sowie für sonstige Datenverarbeitungen im Rahmen der Vertragsabwicklung: zur Wahrung des berechtigten Interesses, zum Zweck der Durchsetzung der Leistung des Vertrags (die Interessenabwägungsprüfung wurde in die Datenschutzunterlagen des Verantwortlichen aufgenommen).
(11) Um Missverständnissen vorzubeugen, wird darauf hingewiesen, dass das Widerrufsrecht bei Einwilligungen nicht an die vertragliche Rechtsgrundlage gebunden ist.
5.2 Verwaltung der Besucherdaten auf der Website des Datenverantwortlichen – Allgemeine Informationen zur Verwendung von Cookies
(1) Cookies sind kurze Textdateien, die von der besuchten Website auf dem Computer des Benutzers abgelegt werden. Der Zweck des Cookies besteht darin, die Informationskommunikation und den Internetdienst einfacher und komfortabler zu gestalten. Es gibt viele Arten, aber im Allgemeinen lassen sie sich in zwei große Gruppen einteilen. Zum einen handelt es sich um temporäre Cookies, die die Website nur während einer bestimmten Sitzung auf dem Gerät des Benutzers platziert (z. B. bei der Sicherheitserkennung beim Internetbanking), zum anderen um permanente Cookies (z. B. die Spracheinstellung einer Website), die bis dahin bestehen bleiben dann auf dem Computer, bis der Benutzer es löscht. Basierend auf den Richtlinien der Europäischen Kommission dürfen Cookies [sofern sie nicht für die Nutzung des jeweiligen Dienstes unbedingt erforderlich sind] nur mit dessen Erlaubnis auf dem Gerät des Nutzers platziert werden.
(2) Bei Cookies, für die keine Einwilligung des Nutzers erforderlich ist, ist die Angabe bereits beim ersten Besuch der Website erforderlich. Es ist nicht erforderlich, dass der vollständige Wortlaut der Informationen zu Cookies auf der Website erscheint, es reicht aus, wenn die Websitebetreiber den Kern der Informationen kurz zusammenfassen und über einen Link auf die Verfügbarkeit der vollständigen Informationen hinweisen.
(3) Bei einwilligungspflichtigen Cookies können die Informationen auch mit dem ersten Besuch der Website verknüpft werden, sofern die mit der Verwendung von Cookies verbundene Datenverwaltung bereits mit dem Besuch der Website beginnt. Erfolgt der Einsatz des Cookies im Zusammenhang mit der Nutzung einer vom Nutzer konkret gewünschten Funktion, können die Informationen auch im Zusammenhang mit der Nutzung dieser Funktion erscheinen. In diesem Fall ist es nicht erforderlich, dass der vollständige Text der Informationen über Cookies auf der Website erscheint, eine kurze Zusammenfassung des Kerns der Informationen und ein Link zur Verfügbarkeit der vollständigen Informationen sind ausreichend.
(4) Um festzustellen, ob die betroffene Person das 16. Lebensjahr vollendet hat, fordert der Verantwortliche bei der Einwilligung zur Anmeldung zur Verwendung von Cookies eine Bestätigung darüber an, ob die betroffene Person das 16. Lebensjahr vollendet hat.
(5) OMETRYS Kft. informiert den Besucher über die Verwendung von Cookies auf der Website in der
Richtlinie zur Cookie-Verwaltung. Mit diesen Informationen stellt der Datenverantwortliche sicher, dass der Besucher vor der Nutzung der mit der Informationsgesellschaft verbundenen Dienste der Website und jederzeit während der Nutzung erfahren kann, für welche Datenverwaltungszwecke der Datenverantwortliche welche Arten von Daten verwaltet, einschließlich der Verwaltung von Daten, die nicht direkt mit dem Benutzer verknüpft werden können.
5.3 Allgemeine Informationen zur Datenverwaltung im Zusammenhang mit dem Newsletter-Dienst
(1) Natürliche Personen, die sich auf der Website für den Newsletter-Dienst anmelden, können durch Ankreuzen des entsprechenden Kästchens ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilen. OMETRYS Kft. stellt diese
Datenverwaltungsinformationen mit einem Link bei der Registrierung zur Verfügung. Die Abmeldung vom Newsletter ist durch die betroffene Person jederzeit möglich, indem sie den „Abmelden“-Link im Newsletter nutzt oder eine Erklärung schriftlich oder per E-Mail abgibt, was einen Widerruf der Einwilligung darstellt. In einem solchen Fall sind sämtliche Daten des Abmelders unverzüglich zu löschen, vorbehaltlich der Regelungen des nachstehenden Absatzes (4) zum Nebenzweck der Verarbeitung personenbezogener Daten.
(2) Umfang der verarbeiteten personenbezogenen Daten: E-Mail-Adresse und Name des Newsletter-Abonnenten.
(3) Der Hauptzweck der Verarbeitung personenbezogener Daten ist:
- Versand eines Newsletters über die Produkte und Dienstleistungen des Datenverantwortlichen
- Werbematerial versenden
Rechtsgrundlage für die Datenverwaltung: die Einwilligung der betroffenen Person.
(4) Der sekundäre Zweck der Verarbeitung personenbezogener Daten:
Daten im Zusammenhang mit der Anmeldung und Abmeldung vom Newsletter werden erfasst, damit der Verantwortliche den Grundsatz der Verantwortlichkeit einhalten und die Umstände der Erteilung oder des Widerrufs der Einwilligung ordnungsgemäß überprüfen kann.
Rechtsgrundlage für die Datenverwaltung: das berechtigte Interesse des Datenverantwortlichen (der Interessenbewertungstest wurde in die Datenschutzdokumente des Datenverantwortlichen aufgenommen).
(5) Empfänger personenbezogener Daten: Mitarbeiter und Subunternehmer des Datenverantwortlichen, die Aufgaben im Zusammenhang mit Kundendienst- und Marketingaktivitäten wahrnehmen, Mitarbeiter des IT-Dienstleisters des Datenverantwortlichen als Datenverarbeiter zur Erbringung des Speicherdienstes, E-Mail-Dienst des Datenverantwortlichen Anbieter.
(6) Dauer der Speicherung personenbezogener Daten: bis zum Bestehen des Newsletter-Dienstes oder bis zum Widerruf der Einwilligung des Betroffenen (Löschungsantrag), bzw. 5 Jahre ab dem Datum der Abmeldung vom Newsletter aus Sicht von der sekundäre Zweck der Verarbeitung personenbezogener Daten.
5.4 Community-Richtlinien/Datenverwaltung auf der/den Community-Seite(n) des Datenverantwortlichen
(1) Der Datenverantwortliche kann eine Facebook-Seite unterhalten, um seine Produkte und Dienstleistungen vorzustellen und zu bewerben.
(2) Eine auf der Facebook-Seite des Datenverantwortlichen gestellte Frage gilt nicht als offiziell eingereichte Beschwerde.
(3) Persönliche Daten, die von Besuchern auf der Facebook-Seite des Datenverantwortlichen veröffentlicht werden, werden nicht vom Datenverantwortlichen verwaltet.
(4) Für Besucher gelten die Datenschutz- und Nutzungsbedingungen von Facebook.
(5) Im Falle der Veröffentlichung rechtswidriger oder anstößiger Inhalte kann der Verantwortliche die betroffene Person ohne vorherige Ankündigung von der Mitgliedschaft ausschließen oder ihre Kommentare löschen.
(6) Der Verantwortliche ist nicht für rechtswidrige Dateninhalte und von Facebook-Nutzern veröffentlichte Kommentare verantwortlich. Der Datenverantwortliche ist nicht verantwortlich für Fehler, Fehlfunktionen oder Probleme, die sich aus Änderungen am Betrieb des Systems ergeben, die sich aus dem Betrieb von Facebook ergeben.
(7) Facebook fungiert als Datenverantwortlicher, wenn es Personen Anzeigen auf der Grundlage von Informationen anzeigt, die Personen Facebook direkt zur Verfügung stellen, sowie in Verbindung mit Daten, die Facebook erhält, wenn verschiedene Websites und Anwendungen das Facebook-Pixel und das SDK installieren. In solchen Fällen ist die Community Site für die Einhaltung der Datenschutzbestimmungen verantwortlich.
(8) Im Falle der Nutzung des Facebook-Produkts „Individuelle Zielgruppe, die auf der Grundlage einer Datendatei erstellt wird“ ist der Datenverantwortliche für die Einhaltung der Datenschutzbestimmungen verantwortlich. Dies ist der einzige Fall, in dem Facebook als Datenverarbeiter fungiert . Da der Datenverantwortliche die personenbezogenen Daten der betroffenen Personen an Facebook weiterleitet. In diesem Fall ist der Verantwortliche für die Einholung der Einwilligung verantwortlich, die zur Einholung der Einwilligung erforderliche Erklärung ist in der Anlage zu dieser Ordnung enthalten.
(9) Die Regeln dieses Kapitels gelten auch für alle LinkedIn-, Instagram-, YouTube- und anderen Seiten des Datenverantwortlichen.
5.5 Verwaltung personenbezogener Daten von Bewerbern für den Datenverantwortlichen und die Mitarbeiter des Datenverantwortlichen
Der Verantwortliche weist die Betroffenen darauf hin, dass er eine Stellenausschreibung grundsätzlich nur unter Angabe seiner Identität veröffentlicht. Unter Berücksichtigung der Richtlinien der Datenschutzbehörde werden nur in besonders begründeten Ausnahmefällen und auch dann in begrenztem Umfang (z. B. für einen kurzen, vorübergehenden Zeitraum) anonymisierte Stellenanzeigen veröffentlicht und Bewerbungsunterlagen entgegengenommen vom Datenverantwortlichen verarbeitet.
Der für die Datenverarbeitung Verantwortliche teilt den betroffenen Parteien mit, dass die Ausschreibungsunterlagen in der Regel ein Jahr nach Erhalt gespeichert werden, um sie für etwaige Personalbeschaffungsbedürfnisse zu verwenden, die sich in diesem Zeitraum ergeben könnten. Reicht die betroffene Person ihre Bewerbung im Zusammenhang mit einer unspezifischen Ausschreibung ein, fordert der Verantwortliche innerhalb kürzester angemessener Zeit eine schriftliche Bestätigung des jeweiligen Bewerbers innerhalb von maximal 5 Werktagen an, soweit er diese speichern kann Nach Maßgabe der vorstehenden Bestimmungen eingegangene Bewerbungsunterlagen und die damit verbundenen personenbezogenen Daten des Bewerbers. Wenn die Bestätigung nicht innerhalb der gesetzten Frist eingeht, wird der Datenverantwortliche die Dokumente oder damit verbundenen personenbezogenen Daten nicht speichern oder verarbeiten.
Der für die Verarbeitung Verantwortliche als Arbeitgeber informiert Bewerber hierüber auf seiner Website und im Rahmen der einzelnen Stellenausschreibungen. Rechtsgrundlage für die Speicherung dieser Bewerbungsunterlagen ist demnach die freiwillige Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a) DSGVO). Die Geschäftsleitung hat Zugriff auf die Bewerbungsunterlagen.
Weitere detaillierte Informationen zur Datenverarbeitung durch den Datenverantwortlichen in Bezug auf Mitarbeiter sind in den Informationen zur Datenverwaltung über die Mitarbeiter des Datenverantwortlichen enthalten, die ein Anhang zu diesen Bestimmungen sind und kein öffentliches Dokument sind.
BESTIMMUNGEN IM ZUSAMMENHANG MIT ANDERER DATENVERARBEITUNG
6.1. Datensicherheitsmaßnahmen
(1) In Bezug auf alle Zwecke und Rechte der Datenverwaltung ist der Datenverantwortliche verpflichtet, die technischen und organisatorischen Maßnahmen zu ergreifen und die Verfahrensregeln für die Sicherheit personenbezogener Daten festzulegen, die in der Verordnung und Infotv festgelegt sind. sind für die Durchsetzung erforderlich.
(2) Der Datenverantwortliche ergreift geeignete Maßnahmen, um die Daten vor versehentlicher oder illegaler Zerstörung, Verlust, Änderung, Beschädigung, Übertragung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.
(3) Der Datenverantwortliche klassifiziert und verwaltet personenbezogene Daten als vertrauliche Daten. Generell gilt, dass auf die vom Datenverantwortlichen verwalteten Daten nur die Mitarbeiter des Datenverantwortlichen und andere Mitarbeiter zugreifen können, die an der Umsetzung der in dieser Verordnung festgelegten Datenverwaltungsziele beteiligt sind und auf der Grundlage ihres Arbeitsvertrags ihre rechtlichen Befugnisse ausüben Sie unterliegen im Hinblick auf ihr Anstellungsverhältnis sowie sonstige vertragliche Rechtsverhältnisse, die gesetzlichen Bestimmungen sowie die Weisungen des Verantwortlichen einer Verschwiegenheitspflicht hinsichtlich der ihnen bekannt gewordenen Daten. In diesem Zusammenhang wendet die OMETRYS Kft. die einschlägigen Rechtsvorschriften zur Geheimhaltungspflicht im Hinblick auf die Verwaltung personenbezogener Daten an. Der Datenverantwortliche schränkt den Zugriff auf personenbezogene Daten durch die Festlegung von Berechtigungsstufen ein.
(4) Der Verantwortliche schützt die IT-Systeme durch eine Firewall und sorgt für einen Virenschutz.
(5) Der Datenverantwortliche führt die elektronische Datenverarbeitung und -registrierung mithilfe eines Computerprogramms durch, das den Anforderungen der Datensicherheit entspricht. Das Programm stellt sicher, dass nur diejenigen Personen unter kontrollierten Bedingungen Zugriff auf die Daten haben, die diese zur Erfüllung ihrer Aufgaben benötigen.
(6) Bei der automatisierten Verarbeitung personenbezogener Daten stellen der Verantwortliche und die Auftragsverarbeiter durch zusätzliche Maßnahmen sicher:
- a) Verhinderung unbefugter Dateneingabe;
- b) Verhinderung der Nutzung automatischer Datenverarbeitungssysteme durch Unbefugte, die Datenübertragungsgeräte nutzen;
- c) die Nachweisbarkeit und Feststellbarkeit, an welche Stellen die personenbezogenen Daten mittels Datenübertragungsmitteln übermittelt wurden oder übermittelt werden können;
- d) die Prüfbarkeit und Feststellbarkeit, welche personenbezogenen Daten wann und von wem in die automatischen Datenverarbeitungssysteme eingegeben wurden;
- e) die Wiederherstellbarkeit der installierten Systeme im Falle einer Störung.
(7) Zum Schutz personenbezogener Daten sorgt der Verantwortliche für die Kontrolle der ein- und ausgehenden Kommunikation auf elektronischem Wege.
(8) Auf die laufenden Arbeiten und die in Bearbeitung befindlichen Unterlagen haben nur die zuständigen Sachbearbeiter Zugriff, die Personal-, Lohn- und Arbeitsunterlagen sowie sonstige personenbezogene Daten sind sicher unter Verschluss aufzubewahren.
(9) Ein ausreichender physischer Schutz der Daten und der sie transportierenden Geräte und Dokumente ist sicherzustellen.
6.2. Management von Datenschutzvorfällen
6.2.1. Das Konzept eines Datenschutzvorfalls
Datenschutzvorfall: eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
6.2.2. Bearbeitung und Behebung von Datenschutzvorfällen
- Die Prävention und Bewältigung von Datenschutzvorfällen sowie die Einhaltung der einschlägigen gesetzlichen Vorschriften liegen in der Verantwortung des Leiters des Datenverantwortlichen.
- Zugriffe und Zugriffsversuche müssen auf IT-Systemen protokolliert und fortlaufend analysiert werden.
- Die Verordnung sieht vor, dass ein Datenverwaltungsvorfall, der voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, unverzüglich und möglichst spätestens 72 Stunden nach Kenntniserlangung der Aufsichtsbehörde gemeldet werden muss davon. Kann die 72-Stunden-Frist nicht eingehalten werden, ist der Grund für die Verzögerung anzugeben.
- Betrifft der Vorfall personenbezogene Daten, muss über Umfang, Zeitpunkt und Inhalt der Kontaktaufnahme mit den Betroffenen entschieden werden. Die Verordnung sieht vor, dass die Kontaktaufnahme „unverzüglich“ erfolgen muss, wenn der Vorfall „zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
- Der Datenverantwortliche kann unter Berücksichtigung der besonderen Umstände des Vorfalls von den Bestimmungen dieser Verordnung abweichen, um so wirksam wie möglich Abhilfe zu schaffen.
- Es ist sicherzustellen, dass alle geeigneten technischen Schutz- und Organisationsmaßnahmen umgesetzt sind, um einerseits den Datenschutzvorfall unverzüglich feststellen zu können und andererseits um ihn der Aufsichtsbehörde zu melden und die betroffene Person dringend zu benachrichtigen. Es ist zu prüfen, ob die Meldung unverzüglich erfolgt ist, insbesondere unter Berücksichtigung der Art und Schwere des Datenschutzvorfalls sowie seiner Folgen und nachteiligen Auswirkungen für die betroffene Person. Die Meldung an die Aufsichtsbehörde kann dazu führen, dass diese gemäß ihren in der Verordnung festgelegten Pflichten und Befugnissen eingreift.
6.2.3. Verfahren zur Bearbeitung eines Datenschutzvorfalls
6.2.3.1. Interner Bericht zum Datenschutzvorfall
- In der Praxis können verschiedene Arten von Datenschutzvorfällen auftreten, insbesondere:
- Datenschutzvorfall (Verletzung der Privatsphäre): Dazu gehören Fälle von unbefugtem oder versehentlichem Zugriff auf und Offenlegung personenbezogener Daten;
- Datenänderungsvorfall (Verletzung der Datenintegrität): Dies umfasst Fälle, in denen personenbezogene Daten unbefugt oder versehentlich geändert werden;
- Zugriffsdatenverletzung: versehentlicher oder unbefugter Verlust oder Zerstörung des Zugriffs auf personenbezogene Daten.
- Sollte ein Mitarbeiter des Datenverantwortlichen oder eine andere Person mit Zugriff auf die personenbezogenen Daten des Unternehmens einen Datenschutzvorfall oder eine tatsächliche Bedrohung dadurch feststellen, muss er dies detailliert und unverzüglich dem Vorgesetzten des Datenverantwortlichen melden und dies mitteilen ihm rechtzeitig die nötige Hilfestellung zu geben, um den Datenschutzvorfall möglichst umfassend aufzudecken und zu bewältigen.
- Gemeldete Vorfälle müssen ausgewertet und dokumentiert werden.
Die Bewertung sollte insbesondere Folgendes umfassen:
a) Zeitpunkt und Ort des Vorfalls,
b) die Beschreibung, Umstände und Auswirkungen des Vorfalls,
c) Umfang und Anzahl der während des Vorfalls kompromittierten Daten,
d) der Kreis der von den kompromittierten Daten betroffenen Personen,
e) eine Beschreibung der Maßnahmen zur Verhinderung des Vorfalls,
f) eine Beschreibung der zur Schadensverhütung, -beseitigung und -minderung getroffenen Maßnahmen.
(4) Über Datenschutzvorfälle ist ein Protokoll zu führen, das Folgendes umfasst:
a) den Umfang der betreffenden personenbezogenen Daten,
b) Umfang und Anzahl der von dem Datenschutzvorfall betroffenen Personen,
c) das Datum des Datenschutzvorfalls,
d) die Umstände und Auswirkungen des Datenschutzvorfalls,
e) die Maßnahmen zur Behebung des Datenschutzvorfalls,
f) sonstige Daten, die in den Rechtsvorschriften zur Datenverwaltung aufgeführt sind
(5) Daten zu Datenschutzvorfällen im Register sind für die Dauer von 5 Jahren aufzubewahren.
(6) Der Verantwortliche führt ein Vorfallprotokoll zur Erfassung datenschutzrechtlicher Vorfälle.
6.2.3.2. Externe Informationspflichten
Nach der Feststellung, dass ein Datenschutzvorfall vorliegt, schreibt die Verordnung vor, dass zwei Parteien informiert werden. Dies sind die folgenden:
- Aufsichtsbehörde
- Beteiligt
Der Vorfall muss in Abhängigkeit von der Einschätzung des Risikos für
„die Rechte und Freiheiten natürlicher Personen“ gemeldet werden, sodass in solchen Fällen diese Risikobewertung durchzuführen ist.
6.2.3.3. Aufsichtsbehörde
Gemäß der Verordnung ist die Aufsichtsbehörde für den Datenverantwortlichen die folgende:
Name: |
Nemzeti Adatvédelmi és Információszabadság Hatóság |
Adresse: |
1055 Falk Miksa u. 9-11 |
Telefon: |
+36 1 391 1400 |
Fax: |
+36 1 391 1410 |
Email: |
ugyfelszolgalat@naih.hu |
6.2.3.4. Entscheidung über die Meldung an die Aufsichtsbehörde
In der Verordnung heißt es, dass der Datenverwaltungsvorfall der Aufsichtsbehörde gemeldet werden muss,
„es sei denn, der Datenschutzvorfall stellt voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen dar“.
Auf dieser Grundlage ist der Datenverantwortliche verpflichtet, das Ausmaß und Ausmaß des von dem Datenschutzvorfall ausgehenden Risikos zu bewerten, bevor er über die Meldung entscheidet.
Bei der Risikobewertung sollten unter anderem folgende Aspekte berücksichtigt werden:
- die Art des Vorfalls (siehe z. B. die Kategorien oben);
- die Art, Sensibilität und Menge der von dem Vorfall betroffenen personenbezogenen Daten;
- andere als relevant erachtete Faktoren (einschließlich insbesondere, aber nicht beschränkt auf die Bewertung der Auswirkungen des Vorfalls).
Der Leiter des für die Datenverarbeitung Verantwortlichen ernennt eine Person, die für die Durchführung der oben genannten Risikobewertung, die Umsetzung der mit der Meldung verbundenen Entscheidung, die Erstellung der entsprechenden Dokumentation, die Aufrechterhaltung des Kontakts mit den Beteiligten und die Beantwortung aller weiteren Fragen, die sich daraus ergeben könnten, sowie für die Bearbeitung der Angelegenheiten verantwortlich ist .
Die Methode der Risikobewertung, Begründung und Schlussfolgerungen müssen dokumentiert und von der Geschäftsleitung unterzeichnet werden. Das Ergebnis der Risikobewertung muss eine der folgenden Schlussfolgerungen beinhalten:
- Der Datenschutzvorfall ist nicht meldepflichtig
- Der Datenschutzvorfall muss ausschließlich der Aufsichtsbehörde gemeldet werden
- Der Datenschutzvorfall muss sowohl der Aufsichtsbehörde als auch den Betroffenen gemeldet werden.
6.2.3.5. Art der Meldung an die Aufsichtsbehörde
Wenn aufgrund der Entscheidung eine Meldung an die Aufsichtsbehörde erfolgen muss, schreibt die Verordnung vor, dass diese „unverzüglich und möglichst spätestens 72 Stunden nach Bekanntwerden des Datenschutzvorfalls“ erfolgen soll. Erfolgt die Anzeige aus rechtlichen Gründen nicht fristgerecht, ist in der Anzeige der Grund anzugeben.
Die Meldung an die zuständige Datenschutzbehörde muss ordnungsgemäß und sicher erfolgen.
6.2.3.6. Betroffen
- Entscheidung darüber, ob die betroffenen Parteien informiert werden sollen
In der Verordnung heißt es, dass die betroffene Person über den Datenverwaltungsvorfall informiert werden muss,
„wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“.
Die Verordnung verlangt keine Unterrichtung der betroffenen Parteien, wenn dies
„einen unverhältnismäßigen Aufwand erfordern“ würde. In solchen Fällen müssen die betroffenen Parteien jedoch durch öffentlich veröffentlichte Informationen informiert werden.
- Methode zur Information der Betroffenen
Nachdem entschieden wurde, dass der Vorfall eine Benachrichtigung der betroffenen Parteien erfordert, muss die Information unverzüglich auf der Grundlage des Beschlusses erfolgen.
In der Information der Betroffenen muss die Art des Datenschutzvorfalls klar und verständlich erläutert werden und Folgendes enthalten:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die weitere Informationen bereitstellt;
- eine Beschreibung der voraussichtlichen Folgen des Datenschutzvorfalls; und
- Maßnahmen, die ergriffen oder geplant wurden, um den Datenschutzvorfall zu beheben, einschließlich gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Folgen.
6.3. Rechte der betroffenen Person
6.3.1. Recht auf Vorabinformation
Die betroffene Person hat das Recht, vor Beginn der Datenverwaltung Auskunft über Sachverhalte und Informationen im Zusammenhang mit der Datenverwaltung zu erhalten
Die Informationen müssen insbesondere Folgendes umfassen:
Werden die personenbezogenen Daten der betroffenen Person bei der betroffenen Person erhoben, stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten alle folgenden Informationen zur Verfügung:
- a) die Identität und Kontaktdaten des Datenverantwortlichen und, falls vorhanden, des Vertreters des Datenverantwortlichen;
- b) Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden;
- c) den Zweck der geplanten Verwaltung personenbezogener Daten sowie die Rechtsgrundlage für die Datenverwaltung;
- d) im Falle einer Datenverarbeitung aufgrund der Geltendmachung eines berechtigten Interesses, der berechtigten Interessen des Verantwortlichen oder eines Dritten;
- e) Empfänger personenbezogener Daten und Kategorien von Empfängern;
- f) gegebenenfalls die Tatsache, dass der Datenverantwortliche die personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermitteln möchte;
- g) über die Dauer der Speicherung personenbezogener Daten oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer;
- h) das Recht der betroffenen Person, vom Datenverantwortlichen Zugang zu den sie betreffenden personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen und der Verarbeitung dieser personenbezogenen Daten sowie der Daten zu widersprechen das Recht der betroffenen Person auf Datenübertragbarkeit;
- i) Im Falle einer Datenverarbeitung, die auf der Einwilligung der betroffenen Person beruht, das Recht, die Einwilligung jederzeit zu widerrufen, was keinen Einfluss auf die Rechtmäßigkeit der Datenverarbeitung hat, die auf der Grundlage der Einwilligung vor dem Widerruf durchgeführt wurde;< /li>
- j) über das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
- k) ob die Bereitstellung personenbezogener Daten auf einem Gesetz oder einer vertraglichen Verpflichtung beruht oder Voraussetzung für den Abschluss eines Vertrages ist, sowie ob die betroffene Person zur Bereitstellung personenbezogener Daten verpflichtet ist und welche möglichen Folgen die Nichtbereitstellung haben kann zur Bereitstellung von Daten ggf. haben;
- l) die Tatsache einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie, zumindest in diesen Fällen, verständliche Informationen über die verwendete Logik und die Bedeutung einer solchen Datenverwaltung und die erwarteten Folgen für die betroffene Person.</ li>
6.3.2. Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht, vom Datenverantwortlichen eine Rückmeldung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und wenn eine solche Datenverarbeitung im Gange ist, hat sie das Recht, auf die personenbezogenen Daten und die folgenden Informationen zuzugreifen:
- a) die Zwecke der Datenverwaltung;
- b) Kategorien der betroffenen personenbezogenen Daten;
- c) Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittstaaten und bei internationalen Organisationen;
- d) gegebenenfalls die geplante Dauer der Speicherung personenbezogener Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- e) das Recht der betroffenen Person, vom Datenverantwortlichen die Berichtigung, Löschung oder Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen und der Verarbeitung dieser personenbezogenen Daten zu widersprechen;
- f) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
- g) wenn die Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über ihre Quelle;
- h) die Tatsache der automatisierten Entscheidungsfindung im Sinne von Artikel 22 Absätze (1) und (4) der Verordnung, einschließlich Profiling, sowie, zumindest in diesen Fällen, verständliche Informationen über die verwendete Logik und die Bedeutung einer solchen Datenverwaltung und die zu erwartenden Folgen für die betroffene Person.
Werden personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, Auskunft über die geeigneten Garantien gemäß Artikel 46 der Verordnung für die Übermittlung zu erhalten.
Der Datenverantwortliche stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Datenverwaltung sind. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann der Datenverantwortliche eine angemessene Gebühr basierend auf den Verwaltungskosten erheben. Wenn die betroffene Person den Antrag elektronisch gestellt hat, müssen die Informationen in einem weit verbreiteten elektronischen Format bereitgestellt werden, sofern die betroffene Person nichts anderes verlangt. Das Recht, eine Kopie anzufordern, darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
6.3.3. Recht auf Berichtigung
Auf Verlangen der betroffenen Person berichtigt der Verantwortliche personenbezogene Daten, die für die betroffene Person unrichtig sind, unverzüglich, sofern er die Richtigkeit der Daten glaubhaft nachweist. Unter Berücksichtigung des Zwecks der Datenverwaltung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten, auch mittels einer ergänzenden Erklärung, zu verlangen.
6.3.4. Das Recht auf Löschung („das Recht auf Vergessenwerden“)
Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, die personenbezogenen Daten der betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Gründe vorliegt:
-
- a) die personenbezogenen Daten für den Zweck, für den sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind;
- b) Die betroffene Person widerruft die Einwilligung, die der Datenverarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a) oder Artikel 9 Absatz 2 Buchstabe a) der Verordnung zugrunde liegt, und es gibt keine andere Rechtsgrundlage Grundlage für die Datenverarbeitung;
- c) die betroffene Person legt auf der Grundlage von Artikel 21 Absatz 1 der Verordnung Widerspruch gegen die Datenverarbeitung ein und es liegt kein vorrangiger berechtigter Grund für die Datenverarbeitung vor, oder die betroffene Person legt auf der Grundlage von Artikel 21 Absatz 2 Widerspruch gegen die Datenverarbeitung ein;
- d) personenbezogene Daten wurden illegal verarbeitet;
- e) Personenbezogene Daten müssen gelöscht werden, um die rechtliche Verpflichtung zu erfüllen, die durch das für den Datenverantwortlichen geltende Recht der EU oder der Mitgliedstaaten vorgeschrieben ist;
- f) die Erhebung personenbezogener Daten erfolgte im Zusammenhang mit der Erbringung von Diensten im Zusammenhang mit der Informationsgesellschaft gemäß Artikel 8 Absatz 1 der Verordnung.
Nach Erfüllung der Aufforderung zur Löschung personenbezogener Daten können die vorherigen (gelöschten) Daten nicht mehr wiederhergestellt werden.
Eine Datenlöschung kann nicht veranlasst werden, wenn eine Datenverwaltung erforderlich ist:
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- Erfüllung der für den Verantwortlichen geltenden Verpflichtungen nach dem Recht der EU oder der Mitgliedstaaten, die die Verarbeitung personenbezogener Daten erfordern, oder im öffentlichen Interesse;
- zu Zwecken der Gesundheitsvorsorge oder der Gesundheit am Arbeitsplatz, zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, zur Erstellung einer medizinischen Diagnose, zur Bereitstellung von Gesundheits- oder Sozialfürsorge oder -behandlung oder zur Verwaltung von Gesundheits- oder Sozialsystemen und -diensten auf der Grundlage von EU- oder Mitgliedstaatenrechten oder gemäß an einen Vertrag mit einer medizinischen Fachkraft gebunden sind und diese Daten von einer Fachkraft oder unter der Verantwortung einer Fachkraft verarbeitet werden, die der beruflichen Schweigepflicht unterliegt, die im EU-Recht oder in den Rechtsvorschriften der Mitgliedstaaten oder in den von den zuständigen Stellen der Mitgliedstaaten festgelegten Vorschriften festgelegt ist, oder von einer anderen Person, die es auch ist
- im öffentlichen Interesse im Bereich der öffentlichen Gesundheit, beispielsweise dem Schutz vor schwerwiegenden Gesundheitsbedrohungen, die sich über Grenzen hinweg ausbreiten, oder der Gewährleistung der hohen Qualität und Sicherheit der Gesundheitsversorgung, von Arzneimitteln und Medizinprodukten und erfolgt auf der Grundlage der EU oder mitgliedstaatliches Recht, das angemessen ist und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person, insbesondere im Hinblick auf die berufliche Vertraulichkeit, vorsieht;
- auf der Grundlage des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und der Umgang mit diesen Daten erfolgt durch einen Fachmann oder unter der Verantwortung eines Fachmanns, der der im EU-Recht oder im Recht der Mitgliedstaaten festgelegten Berufsgeheimnispflicht unterliegt , oder in den von den zuständigen Stellen der Mitgliedstaaten festgelegten Regeln oder von einer anderen Person, die ebenfalls der im EU-Recht oder im Recht der Mitgliedstaaten festgelegten Vertraulichkeitsverpflichtung unterliegt, oder in den von den zuständigen Stellen der Mitgliedstaaten festgelegten Regeln;
- Archivierung im öffentlichen Interesse, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke, soweit das Recht auf Löschung die Datenverwaltung voraussichtlich unmöglich macht oder ernsthaft gefährdet, oder
- zur Geltendmachung, Geltendmachung und Verteidigung von Rechtsansprüchen.
Wenn der Datenverantwortliche die personenbezogenen Daten öffentlich gemacht hat und gemäß den Bestimmungen zu deren Löschung verpflichtet ist, wird er unter Berücksichtigung der verfügbaren Technologie und der Kosten der Implementierung die vernünftigerweise zu erwartenden Schritte – einschließlich technischer Maßnahmen – unternehmen um die Datenverarbeiter, die die Daten verarbeiten, darüber zu informieren, dass die betroffene Person von ihnen die Löschung der Links zu den betreffenden personenbezogenen Daten oder der Kopie oder Vervielfältigung dieser personenbezogenen Daten verlangt hat.
In jedem Fall ist der Verantwortliche verpflichtet, die betroffene Person, die den Antrag stellt, über die Ablehnung des Löschantrags unter Angabe des Grundes für die Ablehnung der Löschung zu informieren.
Der Verantwortliche ist verpflichtet, der betroffenen Person die letzte Sicherung mitzuteilen, die noch die personenbezogenen Daten der betroffenen Person enthält.
6.3.5. Das Recht auf Einschränkung der Datenverarbeitung
Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Datenverarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen erfüllt ist:
- a) Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten. In diesem Fall gilt die Beschränkung für den Zeitraum, der es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- b) die Datenverwaltung rechtswidrig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt;
- c) der Datenverantwortliche benötigt die personenbezogenen Daten nicht mehr zum Zweck der Datenverwaltung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen; oder
- d) die betroffene Person hat gemäß Artikel 21 Absatz 1 der Verordnung Widerspruch gegen die Datenverarbeitung eingelegt; in diesem Fall gilt die Beschränkung für den Zeitraum bis zur Feststellung, ob die berechtigten Gründe des Verantwortlichen Vorrang vor den berechtigten Gründen der betroffenen Person haben.
Sofern die Datenverwaltung Beschränkungen unterliegt, dürfen diese personenbezogenen Daten mit Ausnahme der Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person verarbeitet werden oder im wichtigen öffentlichen Interesse der Union oder eines Mitgliedstaats liegen.
Der Verantwortliche informiert die betroffene Person, auf deren Antrag hin die Datenverarbeitung eingeschränkt wurde, vor der Aufhebung der Datenverarbeitungsbeschränkung.
6.3.6. Das Recht auf Datenübertragbarkeit
Der Zweck des Rechts auf Datenübertragbarkeit besteht darin, das bewusste Verhalten betroffener Personen in Bezug auf ihre eigenen personenbezogenen Daten zu fördern, da es ihnen das Verschieben, Kopieren oder Übertragen personenbezogener Daten zwischen IT-Umgebungen (entweder in ihre eigenen Systeme oder in die eigenen Systeme) erleichtert Systeme vertrauenswürdiger Dritter oder an die Systeme neuer Datenverantwortlicher).
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen zur Verfügung gestellt hat und die durch die Aktivitäten der betroffenen Person entstehen, in einem segmentierten, weit verbreiteten, maschinenlesbaren Format zu erhalten, und ist auch berechtigt Die unverbindliche Übermittlung dieser Daten an einen anderen Datenverantwortlichen würde durch den Datenverantwortlichen, dem die personenbezogenen Daten zur Verfügung gestellt wurden, behindert, wenn:
- a) Die Datenverwaltung basiert auf einer Einwilligung oder einem Vertrag. und
- b) Die Datenverwaltung erfolgt automatisiert.
Bei der Ausübung des Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, – sofern dies technisch machbar ist – die direkte Übermittlung personenbezogener Daten zwischen den Verantwortlichen zu verlangen. Im Zusammenhang mit der Datenübertragung versucht der Verantwortliche alles zu tun, was von ihm erwartet wird, um sicherzustellen, dass die Datenübertragung sicher erfolgen kann (z. B. Datenverschlüsselung).
Anonyme oder personenbezogene Daten, die sich nicht auf die betroffene Person beziehen, sowie alle abgeleiteten oder abgeleiteten Daten, die sich auf die betroffene Person beziehen, fallen nicht in den Geltungsbereich der Datenübertragbarkeit.
OMETRYS Kft. weist darauf hin, dass sie nicht dafür verantwortlich ist, ob der Datenverwalter des Empfängers die Datenschutzgesetze einhält, da der sendende Datenverwalter den Empfänger nicht auswählt, sondern im Namen der betroffenen Person handelt. OMETRYS Kft. versucht sicherzustellen, dass es sich bei den übermittelten personenbezogenen Daten tatsächlich um diejenigen handelt, die die betroffene Person übermitteln möchte, und kann in diesem Zusammenhang entweder vor oder vor der Datenübermittlung eine Bestätigung der betroffenen Person anfordern. Der Datenverantwortliche des Empfängers ist dafür verantwortlich, sicherzustellen, dass die übertragenen tragbaren Daten im Hinblick auf die Verarbeitung neuer Daten relevant und nicht übermäßig sind.
OMETRYS Kft. betont hiermit, dass die Datenübertragbarkeit nicht automatisch die Löschung der Daten aus den Datenverwaltungssystemen zur Folge hat und keinen Einfluss auf die ursprüngliche Aufbewahrungsfrist der übermittelten Daten hat. Die betroffene Person kann ihre Rechte ausüben, solange der Verantwortliche die Daten verwaltet.
6.3.7. Das Recht auf Protest
Die betroffene Person hat jederzeit das Recht, aus Gründen, die sich aus ihrer eigenen Situation ergeben, der Verarbeitung ihrer personenbezogenen Daten aufgrund der Geltendmachung eines berechtigten Interesses, einschließlich der Profilierung auf der Grundlage der oben genannten Bestimmungen, zu widersprechen.
In diesem Fall darf der Verantwortliche die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, er weist nach, dass die Datenverarbeitung durch zwingende schutzwürdige Gründe gerechtfertigt ist, die Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person haben oder mit der Übermittlung in Zusammenhang stehen , Durchsetzung oder Verteidigung von Rechtsansprüchen.
Erfolgt die Verarbeitung personenbezogener Daten zum Zwecke der unmittelbaren Geschäftsakquise, hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten zu diesem Zweck einzulegen.
Widerspricht die betroffene Person der Verarbeitung personenbezogener Daten zum Zwecke der unmittelbaren Geschäftsakquise, dürfen die personenbezogenen Daten für diesen Zweck nicht mehr verarbeitet werden.
6.3.8. Widerrufsrecht
Basiert die Datenverwaltung der OMETRYS Kft. auf der Einwilligung der betroffenen Person, ist die betroffene Person berechtigt, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung nicht berührt.
6.3.9. Automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling
Die betroffene Person hat das Recht, nicht von der Tragweite einer ausschließlich auf einer automatisierten Datenverwaltung – einschließlich Profiling – beruhenden Entscheidung erfasst zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt.
Das oben genannte Recht kann nicht ausgeübt werden, wenn die Entscheidung:
- a) für den Abschluss oder die Erfüllung des Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich;
- b) durch das für den Datenverantwortlichen geltende Recht der EU oder eines Mitgliedstaats ermöglicht wird, das auch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht; oder
- c) basiert auf der ausdrücklichen Einwilligung der betroffenen Person.
6.3.10 Die Verwaltungsfrist für die Anfrage des Kunden als betroffene Person
- Der Datenverantwortliche informiert die betroffene Person unverzüglich, in jedem Fall jedoch innerhalb eines Monats nach Eingang des Antrags, über die Maßnahmen, die aufgrund seines Antrags zur Ausübung seiner Rechte ergriffen wurden.
- Bei Bedarf kann diese Frist unter Berücksichtigung der Komplexität des Antrags und der Anzahl der Bewerbungen um weitere 2 Monate verlängert werden. Der Datenverantwortliche wird die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung unter Angabe der Gründe für die Verzögerung informieren.
- Falls die betroffene Person den Antrag auf elektronischem Weg gestellt hat, muss die Auskunft nach Möglichkeit elektronisch erteilt werden, es sei denn, die betroffene Person verlangt etwas anderes.
- Ergreift der Verantwortliche auf Antrag der betroffenen Person keine Maßnahmen, muss er die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, über die Gründe für die Nichtergreifung von Maßnahmen informieren. und darüber, dass die betroffene Person eine Beschwerde bei einer Aufsichtsbehörde einreichen und ihr Beschwerderecht geltend machen kann.
- Wenn die Anfrage der betroffenen Person offensichtlich unbegründet oder – insbesondere aufgrund ihres repetitiven Charakters – übertrieben ist, kann der Datenverantwortliche unter Berücksichtigung der Verwaltungskosten, die mit der Bereitstellung der angeforderten Informationen oder Informationen oder der Durchführung der angeforderten Maßnahmen verbunden sind:
- a) kann eine Gebühr erheben, oder
- b) kann es ablehnen, aufgrund der Anfrage Maßnahmen zu ergreifen.
Es liegt in der Verantwortung des Datenverantwortlichen, nachzuweisen, dass die Anfrage offensichtlich unbegründet oder übertrieben ist.
- Wenn der Datenverantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gestellt hat, kann er die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
6.4. Beschwerde bei der Aufsichtsbehörde
Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht allen betroffenen Personen das Recht zu, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Aufsichtsbehörde des Verantwortlichen:
Name: |
Nemzeti Adatvédelmi és Információszabadság Hatóság |
Adresse: |
1055 Falk Miksa u. 9-11 |
Telefon: |
+36 1 391 1400 |
Fax: |
+36 1 391 1410 |
Email: |
ugyfelszolgalat@naih.hu |
Name:Nationale Behörde für Datenschutz und Informationsfreiheit
Titel:1125 Budapest, Szilágyi Erzsébet fasor 22/C
Telefon:+36 1 391 1400
Fax:+36 1 391 1410
E-Mail:ugyfelszolgalat@naih.hu
Die Bestimmungen des Dekrets und des Informationsgesetzes sowie die Website des NAIH regeln die Einreichung von Beschwerden und deren Bewertungsverfahren.
SCHLUSSBESTIMMUNGEN
7.1. Festlegung und Änderung der Verordnungen
Der Leiter des Datenverantwortlichen ist befugt, die Richtlinie festzulegen und zu ändern.
7.2. Maßnahmen zur Bekanntmachung der Vorschriften
Die Bestimmungen dieser Verordnung müssen allen Mitarbeitern (Angestellten) des Datenverantwortlichen erklärt werden, und in den Arbeitsverträgen muss festgelegt werden, dass die Einhaltung und Durchsetzung eine wesentliche Verpflichtung aller Mitarbeiter (Angestellten) oder Mitwirkenden sein muss.