LSH Készházak Zrt.

DATENSCHUTZ- UND DATENVERARBEITUNGSPOLITIK

Anwendung der Datenschutz- und Datenverarbeitungspolitik

Bezeichung der Organisation: LSH Készházak Zrt.

Firmensitz: Ungarn, 2461 Tárnok, Egyenlőség utca 43

Verantwortliche Person für den Inhalt der Richtlinie: Bakos Dániel

Datum des Inkrafttretens der Richtlinie:

  1. Oktober 2021

Diese Richtlinie legt die Regeln zum Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten fest. Die in dieser Richtlinie festgelegten Bestimmungen sind bei konkreten Datenverarbeitungstätigkeiten sowie bei der Herausgabe von Anweisungen und Informationen zur Regelung der Datenverarbeitung anzuwenden.

Die Verpflichtung zur Ernennung eines Datenschutzbeauftragten gilt für alle öffentlichen Behörden oder andere Stellen, die öffentliche Aufgaben wahrnehmen (unabhängig davon, welche Daten verarbeitet werden), sowie für andere Organisationen, deren Haupttätigkeit in der systematischen, großflächigen Überwachung von Personen besteht oder die in großem Umfang besondere Kategorien personenbezogener Daten verarbeiten.

Die Organisation hat einen Datenschutzbeauftragten ernannt.

Im Falle der Ernennung eines Datenschutzbeauftragten:

Name: Bakos Dániel

Position: Kaufmännischer Leiter

Kontakt: hello@lapraszerelthaz.hu

Geltungsbereich der Richtlinie

Diese Richtlinie ist bis auf Widerruf gültig und gilt für die Organe der Organisation, die Mitarbeiter und den Datenschutzbeauftragten der Organisation.

Datum: 1. Oktober 2021

Ziel der Richtlinie

Ziel dieser Richtlinie ist es, die Vorschriften der anderen internen Richtlinien der Organisation im Bereich der Datenverarbeitung zu harmonisieren, um die grundlegenden Rechte und Freiheiten natürlicher Personen zu schützen und die ordnungsgemäße Verarbeitung personenbezogener Daten sicherzustellen.

Die Organisation beabsichtigt, in ihrer Tätigkeit vollständig den rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten zu entsprechen, insbesondere den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

Ein weiteres wichtiges Ziel der Herausgabe dieser Richtlinie ist es, sicherzustellen, dass die Mitarbeiter der Organisation durch das Verständnis und die Einhaltung dieser Richtlinie in der Lage sind, die Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise durchzuführen.

Wesentliche Begriffe und Definitionen

die DSGVO (Datenschutz-Grundverordnung): die neue Datenschutzverordnung der Europäischen Union
Datenverantwortlicher: die natürliche oder juristische Person, die Behörde, Agentur oder jede andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt; wenn die Zwecke und Mittel der Verarbeitung durch Unionsrecht oder nationales Recht festgelegt werden, kann das Unions- oder nationales Recht auch besondere Vorschriften für die Bezeichnung des Datenverantwortlichen oder der Bestimmung des Datenverantwortlichen festlegen;
Datenverarbeitung: jede durch automatisierte oder nicht-automatisierte Mittel vorgenommene Handlung oder Gesamtheit von Handlungen im Zusammenhang mit personenbezogenen Daten oder Datensätzen, wie etwa Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Veränderung oder Modifikation, Abfrage, Einsichtnahme, Nutzung, Offenlegung, Übertragung, Verbreitung oder auf andere Weise zugänglich machen, Zusammenführen oder Verknüpfen, Einschränkung, Löschung oder Vernichtung;
Datenverarbeiter: die natürliche oder juristische Person, die Behörde, Agentur oder jede andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;
Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; eine natürliche Person ist identifizierbar, die direkt oder indirekt, insbesondere anhand einer Kennung wie Name, Nummer, Standortdaten, Online-Kennung oder eines oder mehrerer Faktoren, die die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person betreffen, identifiziert werden kann;
Dritte: eine natürliche oder juristische Person, eine Behörde, Agentur oder eine andere Stelle, die nicht die betroffene Person, der Datenverantwortliche oder der Datenverarbeiter ist oder nicht unter der direkten Aufsicht des Datenverantwortlichen oder des Datenverarbeiters handelt und der die personenbezogenen Daten verarbeitet;
Einwilligung der betroffenen Person: eine freiwillige, konkrete, informierte und eindeutige Willensbekundung der betroffenen Person, durch die sie ihr Einverständnis zur Verarbeitung ihrer personenbezogenen Daten durch Erklärung oder eine andere eindeutige bestätigende Handlung äußert;
Einschränkung der Datenverarbeitung: die Kennzeichnung personenbezogener Daten mit dem Ziel, ihre zukünftige Verarbeitung zu begrenzen;
Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne zusätzliche Informationen nicht mehr einer bestimmten natürlichen Person zugeordnet werden können, vorausgesetzt, dass diese zusätzlichen Informationen getrennt aufbewahrt werden und technische und organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass die personenbezogenen Daten nicht ohne weiteres mit identifizierten oder identifizierbaren natürlichen Personen verbunden werden können;
Datenbank: eine Sammlung personenbezogener Daten, die in irgendeiner Weise – zentralisiert, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten – organisiert ist und nach bestimmten Kriterien zugänglich ist;
Datenschutzvorfall: eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt, die übertragen, gespeichert oder auf andere Weise verarbeitet werden;

Richtlinien zur Datenverarbeitung

Die Verarbeitung personenbezogener Daten muss rechtmäßig, fair und für die betroffene Person transparent erfolgen.

Die Erhebung personenbezogener Daten darf nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken erfolgen.

Der Zweck der Verarbeitung personenbezogener Daten muss angemessen und relevant sein und darf nur im erforderlichen Umfang erfolgen.

Die personenbezogenen Daten müssen korrekt und auf dem neuesten Stand sein. Unrichtige personenbezogene Daten sind unverzüglich zu löschen.

Die personenbezogenen Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist. Eine längere Speicherung personenbezogener Daten ist nur zulässig, wenn die Speicherung zu Zwecken des öffentlichen Interesses, der Archivierung, wissenschaftlicher und historischer Forschung oder zu statistischen Zwecken erfolgt.

Die Verarbeitung personenbezogener Daten muss so erfolgen, dass mit geeigneten technischen oder organisatorischen Maßnahmen die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung, versehentlichem Verlust, Zerstörung oder Schädigung.

Die Grundsätze des Datenschutzes müssen auf alle Informationen angewendet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Der Mitarbeiter, der mit der Verarbeitung personenbezogener Daten betraut ist, trägt die disziplinarische, haftungsrechtliche, ordnungswidrigkeitsrechtliche und strafrechtliche Verantwortung für die rechtmäßige Verarbeitung der personenbezogenen Daten. Falls der Mitarbeiter Kenntnis davon erlangt, dass die von ihm verarbeiteten personenbezogenen Daten ungenau, unvollständig oder veraltet sind, ist er verpflichtet, diese zu berichtigen oder die Berichtigung beim für die Datenerfassung verantwortlichen Mitarbeiter zu veranlassen.

Verarbeitung personenbezogener Daten

Da natürliche Personen durch die Online-Identifikatoren, die durch ihre genutzten Geräte, Anwendungen, Werkzeuge und Protokolle bereitgestellt werden, wie z. B. IP-Adressen und Cookie-Identifikatoren, mit bestimmten Geräten oder Identifikatoren in Verbindung gebracht werden können, sind diese Daten in Verbindung mit anderen Informationen geeignet und können verwendet werden, um Profile der betroffenen Person zu erstellen und diese zu identifizieren.

Die Datenverarbeitung darf nur erfolgen, wenn die betroffene Person ihre freiwillige, konkrete, informierte und eindeutige Einwilligung zur Verarbeitung der Daten durch eine bekräftigende Handlung, wie einer schriftlichen – einschließlich elektronisch abgegebenen – oder mündlichen Erklärung, erteilt.

Einwilligung zur Datenverarbeitung liegt auch vor, wenn die betroffene Person beim Besuch der Webseite ein entsprechendes Kästchen ankreuzt. Schweigen, ein voreingestelltes Kästchen oder Nicht-Handeln gelten nicht als Einwilligung.

Einwilligung wird auch dann angenommen, wenn ein Benutzer während der Nutzung elektronischer Dienstleistungen technische Einstellungen vornimmt oder eine Erklärung bzw. Handlung vornimmt, die im jeweiligen Zusammenhang eindeutig die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten zeigt.

Gesundheitsdaten umfassen solche Informationen über den Gesundheitszustand der betroffenen Person, die Informationen über den physischen oder psychischen Gesundheitszustand in der Vergangenheit, Gegenwart oder Zukunft der betroffenen Person enthalten. Dazu gehören unter anderem:

  • die Registrierung zu Gesundheitsdienstleistungszwecken;
  • die Zuordnung einer Zahl, eines Zeichens oder einer anderen Identifikation zur betroffenen Person zu Gesundheitszwecken;
  • Informationen, die aus der Untersuchung oder Analyse von Körperteilen oder Körperstoffen – einschließlich genetischer Daten und biologischer Proben – stammen;
  • Informationen im Zusammenhang mit der Erkrankung, Behinderung, Krankheitsrisiken, Krankengeschichte, klinischer Behandlung oder physiologischen oder biomedizinischen Zustand der betroffenen Person, unabhängig von der Quelle, die zum Beispiel ein Arzt, ein anderes medizinisches Personal, ein Krankenhaus, ein medizinisches Gerät oder ein diagnostischer Test sein kann.

Genetische Daten sind personenbezogene Daten, die mit den vererbten oder erworbenen genetischen Merkmalen einer natürlichen Person zusammenhängen und die Ergebnisse der Analyse einer biologischen Probe, die von der betroffenen Person genommen wurde – insbesondere durch Chromosomenanalyse, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Untersuchungen oder jede andere Analyse, die vergleichbare Informationen liefert – darstellen.

Die Verarbeitung personenbezogener Daten von Kindern

Personenbezogene Daten von Kindern verdienen einen besonderen Schutz, da Kinder sich der mit der Verarbeitung personenbezogener Daten verbundenen Risiken, Folgen sowie der damit verbundenen Garantien und Rechte möglicherweise weniger bewusst sind. Dieser besondere Schutz gilt insbesondere für die Nutzung personenbezogener Daten von Kindern zu Marketingzwecken sowie für die Erstellung von persönlichen oder Nutzerprofilen.

Personenbezogene Daten müssen auf eine Weise verarbeitet werden, die ein angemessenes Sicherheitsniveau und die vertrauliche Behandlung der Daten gewährleistet, unter anderem, um unbefugten Zugriff auf personenbezogene Daten und auf die zur Verarbeitung verwendeten Geräte zu verhindern sowie deren unbefugte Nutzung zu vermeiden.

Es müssen alle angemessenen Schritte unternommen werden, um unrichtige personenbezogene Daten zu berichtigen oder zu löschen.

Rechtmäßigkeit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

  • die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt;
  • die Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen, an dem die betroffene Person eine Partei ist, oder um auf Anfrage der betroffenen Person vor Abschluss des Vertrages Maßnahmen zu ergreifen;
  • die Verarbeitung ist erforderlich, um eine rechtliche Verpflichtung des Datenverantwortlichen zu erfüllen;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist erforderlich, um eine Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Datenverantwortlichen übertragen wurde, zu erfüllen;
  • die Verarbeitung ist erforderlich, um berechtigte Interessen des Datenverantwortlichen oder eines Dritten zu wahren, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn die betroffene Person ein Kind ist.

Rechtmäßigkeit der Datenverarbeitung im Rahmen von Verträgen und rechtlichen Verpflichtungen

Gemäß den obigen Bestimmungen gilt die Verarbeitung personenbezogener Daten als rechtmäßig, wenn sie im Rahmen eines Vertrages oder der Absicht, einen Vertrag zu schließen, erforderlich ist.

Wenn die Verarbeitung der personenbezogenen Daten im Rahmen der Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen erfolgt oder wenn sie zur Erfüllung einer Aufgabe im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt erforderlich ist, muss die Verarbeitung auf einer Rechtsgrundlage beruhen, die im Unionsrecht oder im Recht eines Mitgliedstaates festgelegt ist.

Die Verarbeitung wird als rechtmäßig betrachtet, wenn sie zum Schutz des Lebens der betroffenen Person oder der Interessen einer anderen natürlichen Person erfolgt, wie oben erwähnt. Die Verarbeitung personenbezogener Daten zum Schutz der lebenswichtigen Interessen einer anderen natürlichen Person kann grundsätzlich nur dann erfolgen, wenn keine andere Rechtsgrundlage für die Verarbeitung der betreffenden Daten vorhanden ist.

Einige Arten der Verarbeitung personenbezogener Daten können sowohl einem wichtigen öffentlichen Interesse als auch den lebenswichtigen Interessen der betroffenen Person dienen, z. B. in Fällen, in denen die Verarbeitung zu humanitären Zwecken erforderlich ist, einschließlich der Verfolgung von Epidemien und ihrer Ausbreitung oder in einer humanitären Notlage, insbesondere bei Naturkatastrophen oder von Menschen verursachten Katastrophen.

Der Datenverantwortliche – einschließlich des Datenverantwortlichen, mit dem personenbezogene Daten geteilt werden können – oder ein berechtigtes Interesse eines Dritten kann die Grundlage für die Datenverarbeitung bilden. Ein solches berechtigtes Interesse kann zum Beispiel bestehen, wenn eine relevante und angemessene Beziehung zwischen der betroffenen Person und dem Datenverantwortlichen besteht, z. B. wenn die betroffene Person Kunde des Datenverantwortlichen oder bei ihm angestellt ist.

Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen

Die Verarbeitung personenbezogener Daten zur Betrugsprävention gilt ebenfalls als berechtigtes Interesse des Datenverantwortlichen. Die Verarbeitung personenbezogener Daten zu Zwecken der direkten Geschäftsanbahnung wird ebenfalls als auf berechtigtem Interesse basierend betrachtet.

Um festzustellen, ob ein berechtigtes Interesse vorliegt, muss unter anderem sorgfältig geprüft werden, ob die betroffene Person bei der Erhebung der personenbezogenen Daten und in diesem Zusammenhang vernünftigerweise damit rechnen kann, dass die Daten zu diesem Zweck verarbeitet werden. Die Interessen und Grundrechte der betroffenen Person können gegenüber den Interessen des Datenverantwortlichen Vorrang haben, wenn die personenbezogenen Daten unter solchen Umständen verarbeitet werden, bei denen die betroffenen Personen nicht mit einer weiteren Verarbeitung rechnen.

Das berechtigte Interesse des Datenverantwortlichen umfasst auch die Verarbeitung personenbezogener Daten durch öffentliche Behörden, Notfallteams für IT-Notfälle, Netzwerksicherheitsvorfallmanagementeinheiten, Betreiber von elektronischen Kommunikationsnetzen und Dienstleister sowie Sicherheitsdienstleister, wenn diese Verarbeitung unbedingt erforderlich und verhältnismäßig ist, um die Netz- und Informationssicherheit zu gewährleisten.

Die Verarbeitung personenbezogener Daten für einen anderen Zweck als den ursprünglichen Erhebungszweck ist nur dann zulässig, wenn die Verarbeitung mit den ursprünglichen Zwecken der Datenverarbeitung, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine separate Rechtsgrundlage erforderlich, die von derjenigen abweicht, die die Erhebung der personenbezogenen Daten ermöglicht hat.

Die Verarbeitung personenbezogener Daten durch offiziell anerkannte religiöse Organisationen zu Zwecken, die in der Verfassung oder im internationalen öffentlichen Recht festgelegt sind, gilt als auf öffentlichem Interesse basierend.

Einwilligung der betroffenen Person, Bedingungen

Wenn die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person basiert, muss der Datenverantwortliche in der Lage sein, nachzuweisen, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
Wenn die betroffene Person ihre Einwilligung im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, muss die Bitte um Einwilligung klar von diesen anderen Angelegenheiten getrennt und deutlich erkennbar gemacht werden.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der Datenverarbeitung, die auf der Einwilligung bis zum Widerruf basierte. Vor der Einwilligung muss die betroffene Person darüber informiert werden. Der Widerruf der Einwilligung muss ebenso einfach möglich sein wie die Erteilung der Einwilligung.
Bei der Feststellung, ob die Einwilligung freiwillig erteilt wurde, muss soweit wie möglich berücksichtigt werden, ob die Erteilung der Einwilligung zur Verarbeitung personenbezogener Daten, die für die Vertragserfüllung nicht erforderlich sind – einschließlich der Bereitstellung von Dienstleistungen – als Voraussetzung für die Vertragserfüllung gestellt wurde.
Die Verarbeitung personenbezogener Daten im Zusammenhang mit Diensten der Informationsgesellschaft, die direkt an Kinder gerichtet sind, ist nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat. Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, ist die Verarbeitung personenbezogener Daten nur dann und in dem Maße rechtmäßig, wenn die Einwilligung von der Person erteilt oder genehmigt wurde, die die elterliche Sorge über das Kind ausübt.

Verarbeitung personenbezogener Daten, die besondere Kategorien betreffen

Die Verarbeitung personenbezogener Daten, die sich auf rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft beziehen, sowie auf personenbezogene Daten, die der Identifizierung natürlicher Personen dienen, wie genetische und biometrische Daten, Gesundheitsdaten und personenbezogene Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person, ist unzulässig, es sei denn, die betroffene Person hat ausdrücklich ihre Einwilligung zur Verarbeitung dieser personenbezogenen Daten für einen oder mehrere spezifische Zwecke erteilt.

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten sowie über damit verbundene Sicherheitsmaßnahmen darf nur erfolgen, wenn dies durch eine öffentliche Behörde im Rahmen ihrer Datenverarbeitung geschieht.

Verarbeitung von Daten ohne Identifikation

Wenn die Zwecke, zu denen der Datenverantwortliche personenbezogene Daten verarbeitet, nicht oder nicht mehr die Identifizierung der betroffenen Person erfordern, ist der Datenverantwortliche nicht verpflichtet, zusätzliche Informationen aufzubewahren.

Wenn der Datenverantwortliche nachweisen kann, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, wird er, wenn möglich, die betroffene Person entsprechend informieren.

Informationen für die betroffene Person, ihre Rechte

Das Prinzip einer fairen und transparenten Datenverarbeitung erfordert, dass die betroffene Person über die Tatsache und den Zweck der Datenverarbeitung informiert wird.

Wenn die personenbezogenen Daten von der betroffenen Person erhoben werden, muss die betroffene Person darüber informiert werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, sowie über die Folgen der Nichtbereitstellung der Daten. Diese Informationen können auch durch standardisierte Symbole ergänzt werden, damit die betroffene Person eine allgemeine und leicht verständliche Information über die geplante Datenverarbeitung erhält, die gut sichtbar, leicht verständlich und gut lesbar ist.

Die Informationen zur Verarbeitung personenbezogener Daten der betroffenen Person müssen zum Zeitpunkt der Datenerhebung bereitgestellt werden, und wenn die Daten nicht von der betroffenen Person, sondern aus einer anderen Quelle erhoben wurden, müssen sie unter Berücksichtigung der Umstände der Erhebung innerhalb einer angemessenen Frist bereitgestellt werden.

Die betroffene Person hat das Recht, auf die über sie gesammelten Daten zuzugreifen und dieses Recht regelmäßig und in einem angemessenen Zeitraum auszuüben, um die Rechtmäßigkeit und Überprüfung der Datenverarbeitung zu gewährleisten. Jeder betroffenen Person muss das Recht eingeräumt werden, insbesondere die Zwecke der Verarbeitung personenbezogener Daten zu erfahren und, wenn möglich, die Dauer der Verarbeitung.

Die betroffene Person hat insbesondere das Recht, ihre personenbezogenen Daten löschen zu lassen und deren weitere Verarbeitung zu verhindern, wenn die personenbezogenen Daten für die ursprünglichen Zwecke der Datenerhebung oder anderweitig nicht mehr erforderlich sind, oder wenn die betroffene Person ihre Einwilligung zur Verarbeitung der Daten zurückgezogen hat.

Wenn die personenbezogenen Daten zu Zwecken der direkten Geschäftsanbahnung verarbeitet werden, muss der betroffenen Person das Recht eingeräumt werden, jederzeit und kostenlos gegen die Verarbeitung ihrer personenbezogenen Daten zu diesem Zweck Widerspruch einzulegen.

Überprüfung personenbezogener Daten

Um sicherzustellen, dass die Speicherung personenbezogener Daten auf den notwendigen Zeitraum begrenzt ist, legt der Datenverantwortliche Fristen für die Löschung oder regelmäßige Überprüfung fest.

Die vom Geschäftsführer der Organisation festgelegte regelmäßige Überprüfungsfrist: 1 Jahr.

Aufgaben des Datenverantwortlichen

Der Datenverantwortliche wendet angemessene interne Datenschutzvorschriften an, um eine rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten. Diese Regelungen umfassen den Zuständigkeitsbereich und die Verantwortung des Datenverantwortlichen.

Es ist die Pflicht des Datenverantwortlichen, geeignete und effektive Maßnahmen umzusetzen und in der Lage zu sein, nachzuweisen, dass die Datenverarbeitungstätigkeiten mit den geltenden Gesetzen übereinstimmen.

Diese Regelungen müssen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen werden.

Der Datenverantwortliche führt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie des variierenden Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen durch. Auf dieser Grundlage überprüft der Datenverantwortliche die anderen internen Regelungen und passt sie bei Bedarf an.

Der Datenverantwortliche oder der Datenverarbeiter führt ein angemessenes Verzeichnis der Datenverarbeitungstätigkeiten, die auf seinem Zuständigkeitsbereich basieren. Jeder Datenverantwortliche und Datenverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und diese Verzeichnisse auf Anfrage zur Überprüfung der betroffenen Datenverarbeitungsvorgänge zugänglich zu machen.

Rechte im Zusammenhang mit der Datenverarbeitung

Recht auf Auskunft

Jede Person hat das Recht, über die angegebenen Kontaktmöglichkeiten Auskunft darüber zu verlangen, welche Daten die Organisation verarbeitet, auf welcher Rechtsgrundlage, zu welchem Zweck, aus welcher Quelle und wie lange die Daten gespeichert werden. Auf Anfrage muss innerhalb von 30 Tagen, jedoch unverzüglich, eine Auskunft an die angegebene Kontaktadresse gesendet werden.

Recht auf Berichtigung

Jede Person hat das Recht, über die angegebenen Kontaktmöglichkeiten die Berichtigung ihrer personenbezogenen Daten zu verlangen. Auf Anfrage muss dies unverzüglich, jedoch innerhalb von 30 Tagen, erledigt werden, und eine Mitteilung muss an die angegebene Kontaktadresse gesendet werden.

Recht auf Löschung

Jede Person hat das Recht, über die angegebenen Kontaktmöglichkeiten die Löschung ihrer personenbezogenen Daten zu verlangen. Auf Anfrage muss dies unverzüglich, jedoch innerhalb von 30 Tagen, erledigt werden, und eine Mitteilung muss an die angegebene Kontaktadresse gesendet werden.

Recht auf Sperrung, Einschränkung der Verarbeitung

Jede Person hat das Recht, über die angegebenen Kontaktmöglichkeiten die Sperrung ihrer personenbezogenen Daten zu verlangen. Die Sperrung dauert so lange, wie die angegebene Notwendigkeit die Speicherung der Daten erfordert. Auf Anfrage muss dies unverzüglich, jedoch innerhalb von 30 Tagen, erledigt werden, und eine Mitteilung muss an die angegebene Kontaktadresse gesendet werden.

Recht auf Widerspruch

Jede Person hat das Recht, über die angegebenen Kontaktmöglichkeiten gegen die Datenverarbeitung Widerspruch einzulegen. Der Widerspruch muss innerhalb der kürzestmöglichen Zeit, jedoch spätestens innerhalb von 15 Tagen, geprüft werden. Es muss eine Entscheidung über die Begründetheit des Widerspruchs getroffen werden und eine Mitteilung an die angegebene Kontaktadresse gesendet werden.

Möglichkeiten der Rechtsdurchsetzung im Zusammenhang mit der Datenverarbeitung

Nationales Datenschutz- und Informationsfreiheitsamt

Postanschrift: 1530 Budapest, Pf. 5.
Adresse: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-Mail: ugyfelszolgalat (at) naih.hu
URL: https://naih.hu
Koordinaten: N 47°30’56“; O 18°59’57“

Im Falle einer Verletzung der Rechte der betroffenen Person kann diese gegen den Datenverantwortlichen vor Gericht gehen. Das Gericht wird den Fall mit Priorität behandeln. Die Klage kann von der betroffenen Person – nach Wahl – vor dem zuständigen Bezirksgericht ihres Wohnsitzes oder Aufenthaltsortes eingereicht werden.

Empfänger, Empfängergruppen:

Im Rahmen der Vermittlung unserer Dienstleistungen werden die verarbeiteten Daten in unserem Verwaltungs- und CRM-System von unserem Unternehmen verwaltet. MiniCRM Zrt. speichert und verarbeitet die eingegebenen Daten im MiniCRM-Management-System als Auftragsverarbeiter.

Auftragsverarbeiter, integriertes Verwaltungssystem (MiniCRM): MiniCRM Zrt.

Adresse: 1075 Budapest, Madách Imre út 13-14
Telefonnummer: +36 1 999 0402
E-Mail: help@minicrm.hu

Aufgaben der Organisation zur Gewährleistung des Datenschutzes

Datenschutzbewusstsein. Es muss sichergestellt werden, dass die Fachkompetenz für die Einhaltung der Vorschriften gewährleistet ist. Es ist unerlässlich, dass die Mitarbeiter fachlich geschult werden und die Datenschutzvorschriften kennen.
Die Ziele der Datenverarbeitung, die Kriterien, sowie das Konzept der personenbezogenen Datenverarbeitung müssen überprüft werden. Die rechtmäßige Datenverarbeitung und -verarbeitung muss im Einklang mit der Datenschutz- und Datenverarbeitungsrichtlinie sichergestellt werden.
Angemessene Information der betroffenen Person. Es muss darauf geachtet werden, dass – wenn die Datenverarbeitung auf der Einwilligung der betroffenen Person beruht – im Zweifelsfall der Datenverantwortliche nachweisen kann, dass die betroffene Person der Datenverarbeitung zugestimmt hat.
Die Information, die der betroffenen Person bereitgestellt wird, muss prägnant, leicht zugänglich und verständlich sein, daher muss sie in klarer und verständlicher Sprache formuliert und dargestellt werden.
Die Anforderungen an transparente Datenverarbeitung verlangen, dass die betroffene Person über die Tatsache und die Zwecke der Datenverarbeitung informiert wird. Diese Information muss vor Beginn der Datenverarbeitung gegeben werden, und das Recht auf Information gilt während der gesamten Dauer der Datenverarbeitung.
Die wesentlichen Rechte der betroffenen Person in Bezug auf die Datenverarbeitung sind:

Zugang zu den personenbezogenen Daten, die sie betreffen;

Berichtigung der personenbezogenen Daten;

Löschung der personenbezogenen Daten;

Einschränkung der Verarbeitung der personenbezogenen Daten;

Widerspruch gegen die Erstellung von Profilen und gegen automatisierte Verarbeitung;

Recht auf Datenübertragbarkeit.
Der Datenverantwortliche muss die betroffene Person ohne unangemessene Verzögerung, jedoch spätestens innerhalb eines Monats nach Eingang des Antrags informieren. Wenn dies aufgrund der Komplexität des Antrags oder der Anzahl der Anfragen erforderlich ist, kann diese Frist um weitere zwei Monate verlängert werden. Die Informationspflicht kann durch den Betrieb eines sicheren Online-Systems gewährleistet werden, über das die betroffene Person schnell und einfach auf die benötigten Informationen zugreifen kann.
Es muss eine Überprüfung der durch die Organisation durchgeführten Datenverarbeitungen durchgeführt werden, um das Recht auf informationelle Selbstbestimmung sicherzustellen. Auf Anfrage der betroffenen Person müssen ihre Daten unverzüglich gelöscht werden, wenn die betroffene Person ihre Einwilligung zur Datenverarbeitung zurückgezogen hat.
Die Einwilligung der betroffenen Person muss unmissverständlich darauf hinweisen, dass die betroffene Person mit der Verarbeitung ihrer Daten einverstanden ist. Wenn die Datenverarbeitung auf der Einwilligung der betroffenen Person beruht, muss der Datenverantwortliche im Zweifelsfall nachweisen, dass die betroffene Person der Verarbeitung zugestimmt hat.
Im Falle der Verarbeitung personenbezogener Daten von Kindern müssen besondere Anforderungen an die Einhaltung der Datenschutzbestimmungen gestellt werden. Die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Diensten der Informationsgesellschaft, die direkt an Kinder gerichtet sind, ist nur dann rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat. Im Falle von Kindern, die das 16. Lebensjahr noch nicht vollendet haben, ist die Verarbeitung von personenbezogenen Daten nur dann und in dem Umfang rechtmäßig, wenn die Einwilligung von der Person, die die elterliche Sorge über das Kind ausübt, erteilt oder genehmigt wurde.
Im Falle der unrechtmäßigen Verarbeitung oder Verarbeitung personenbezogener Daten besteht eine Meldepflicht gegenüber der Aufsichtsbehörde. Der Datenverantwortliche muss den Vorfall ohne unangemessene Verzögerung – spätestens jedoch 72 Stunden nach Kenntniserlangung des Vorfalls – bei der Aufsichtsbehörde melden, es sei denn, der Vorfall stellt kein Risiko für die Rechte der betroffenen Personen dar.
In bestimmten Fällen kann es erforderlich sein, vor der Durchführung der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Bei der Datenschutz-Folgenabschätzung muss geprüft werden, wie die geplanten Datenverarbeitungsvorgänge die Sicherheit der personenbezogenen Daten betreffen. Wenn die Datenschutz-Folgenabschätzung ergibt, dass die Datenverarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt, muss der Datenverantwortliche vor der Durchführung der Verarbeitung mit der Aufsichtsbehörde konsultieren.
Wenn die Haupttätigkeiten des Datenverantwortlichen Datenverarbeitungsoperationen umfassen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische, umfangreiche Überwachung der betroffenen Personen erfordern, muss ein Datenschutzbeauftragter benannt werden. Die Benennung eines Datenschutzbeauftragten dient der Verstärkung der Datensicherheit.

Datensicherheit

Die Daten müssen durch geeignete Maßnahmen geschützt werden, insbesondere vor unbefugtem Zugriff, Veränderung, Übertragung, Offenlegung, Löschung oder Zerstörung sowie vor zufälliger Zerstörung und Beschädigung. Außerdem muss der Zugriff auf Daten verhindert werden, wenn dieser aufgrund von Änderungen der angewandten Technik unzugänglich wird.

Zum Schutz elektronisch verarbeiteter Datensätze in den Aufzeichnungen muss eine geeignete technische Lösung sichergestellt werden, die gewährleistet, dass die in den Aufzeichnungen gespeicherten Daten nicht direkt miteinander verbunden und der betroffenen Person zugeordnet werden können.

Bei der Planung und Anwendung der Datensicherheit muss die jeweils aktuelle technologische Entwicklung berücksichtigt werden. Unter mehreren möglichen Datenverarbeitungslösungen ist diejenige zu wählen, die einen höheren Schutz personenbezogener Daten gewährleistet, es sei denn, die Umsetzung würde dem Datenverantwortlichen unverhältnismäßige Schwierigkeiten bereiten.

Datenschutzbeauftragter

Die Ernennung eines Datenschutzbeauftragten ist gemäß den folgenden Kriterien obligatorisch:

  • die Datenverarbeitung wird durch öffentliche Behörden oder andere Stellen, die öffentliche Aufgaben wahrnehmen, durchgeführt, ausgenommen die Gerichte im Rahmen ihrer gerichtlichen Tätigkeit;
  • die Haupttätigkeiten des Datenverantwortlichen oder des Auftragsverarbeiters umfassen Datenverarbeitungsoperationen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische, umfangreiche Überwachung der betroffenen Personen erforderlich machen;
  • die Haupttätigkeiten des Datenverantwortlichen oder des Auftragsverarbeiters beinhalten die Verarbeitung einer großen Anzahl von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

Wenn die Ernennung eines Datenschutzbeauftragten erforderlich ist, gelten die folgenden Regeln:

Der Datenschutzbeauftragte muss aufgrund seiner Fachkompetenz und insbesondere aufgrund seiner Expertenkenntnisse im Bereich Datenschutzrecht und -praxis sowie seiner Eignung zur Durchführung der Datenverarbeitung ernannt werden.

Der Datenschutzbeauftragte kann auch ein Mitarbeiter des Datenverantwortlichen oder des Auftragsverarbeiters sein, kann seine Aufgaben jedoch auch im Rahmen eines Dienstleistungsvertrages ausführen.

Der Datenverantwortliche oder der Auftragsverarbeiter ist verpflichtet, den Namen und die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese der Aufsichtsbehörde mitzuteilen.

Rechte und Status des Datenschutzbeauftragten

Der Datenverantwortliche muss sicherstellen, dass der Datenschutzbeauftragte in alle Angelegenheiten zum Schutz personenbezogener Daten in angemessener Weise und rechtzeitig eingebunden wird. Es muss sichergestellt werden, dass die notwendigen Ressourcen zur Verfügung stehen, damit der Datenschutzbeauftragte seine fachlichen Kenntnisse auf Expertenniveau aufrechterhalten kann.

Der Datenschutzbeauftragte darf in Ausübung seiner Aufgaben keine Weisungen von Dritten entgegennehmen. Der Datenverantwortliche oder der Auftragsverarbeiter darf den Datenschutzbeauftragten im Zusammenhang mit der Ausübung seiner Aufgaben weder entlassen noch mit Sanktionen belegen. Der Datenschutzbeauftragte ist direkt der obersten Führungsebene des Datenverantwortlichen oder des Auftragsverarbeiters gegenüber verantwortlich.

Betroffene Personen können sich in allen Angelegenheiten im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte an den Datenschutzbeauftragten wenden.

Der Datenschutzbeauftragte ist in Ausübung seiner Aufgaben zur Verschwiegenheit verpflichtet oder unterliegt einer Verpflichtung zur vertraulichen Behandlung der Daten.

Der Datenschutzbeauftragte kann auch andere Aufgaben wahrnehmen, jedoch dürfen keine Interessenkonflikte in Bezug auf diese Aufgaben bestehen.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte:

  • informiert und berät den Datenverantwortlichen oder den Auftragsverarbeiter sowie die Mitarbeiter, die mit der Datenverarbeitung befasst sind;
  • überwacht die Einhaltung der internen Vorschriften des Datenverantwortlichen oder des Auftragsverarbeiters zum Schutz personenbezogener Daten;
  • gibt auf Anfrage fachliche Beratung zur Datenschutz-Folgenabschätzung und überwacht die Durchführung dieser Bewertung;
  • arbeitet mit der Aufsichtsbehörde zusammen.

Datenschutzvorfall

Ein Datenschutzvorfall ist eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, Verlust, Veränderung, unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.

Ein Datenschutzvorfall kann ohne geeignete und rechtzeitige Maßnahmen physische, materielle oder immaterielle Schäden für natürliche Personen verursachen, einschließlich des Verlustes der Kontrolle über ihre personenbezogenen Daten oder der Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Missbrauch von Identitätsdaten.

Ein Datenschutzvorfall muss ohne unangemessene Verzögerung und spätestens innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden, es sei denn, es kann in Übereinstimmung mit dem Grundsatz der Rechenschaftspflicht nachgewiesen werden, dass der Vorfall wahrscheinlich keine Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Die betroffene Person muss unverzüglich informiert werden, wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt, damit sie die erforderlichen Maßnahmen ergreifen kann.

Verarbeitung personenbezogener Daten für Verwaltungs- und Aufzeichnungszwecke

Die Organisation kann in den Fällen, die zu ihren Tätigkeiten gehören, personenbezogene Daten zu Verwaltungs- und Aufzeichnungszwecken verarbeiten.

Die Grundlage der Datenverarbeitung ist die freiwillige und ausdrückliche Zustimmung der betroffenen Person, die auf einer angemessenen Information basiert. Nach der detaillierten Information – die den Zweck, die Rechtsgrundlage, die Dauer und die Rechte der betroffenen Person umfasst – muss die betroffene Person auf die freiwillige Natur der Datenverarbeitung hingewiesen werden. Die Zustimmung zur Datenverarbeitung muss schriftlich festgehalten werden.

Die Datenverarbeitung zu Verwaltungs- und Aufzeichnungszwecken dient den folgenden Zielen:

  • die Verarbeitung der Daten von Mitgliedern und Mitarbeitern der Organisation, die auf gesetzlichen Verpflichtungen basiert;
  • die Verarbeitung von Daten der Personen, die in einem Auftragsverhältnis mit der Organisation stehen, zu Kontakt-, Abrechnungs- und Aufzeichnungszwecken;
  • die Kontaktinformationen von natürlichen Personen, die bei anderen Organisationen, Institutionen oder Unternehmen, mit denen die Organisation geschäftlich verbunden ist, tätig sind, welche auch persönliche Identifikations- und Kontaktinformationen umfassen können.

Die oben genannte Datenverarbeitung beruht einerseits auf gesetzlichen Verpflichtungen und andererseits auf der ausdrücklichen Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten (z. B. im Rahmen eines Arbeitsvertrags oder einer Registrierung als Partner auf der Webseite usw.).

Bei schriftlich übermittelten Dokumenten, die personenbezogene Daten enthalten (z. B. Lebensläufe, Bewerbungen, andere Anträge), wird davon ausgegangen, dass die betroffene Person ihre Zustimmung zur Datenverarbeitung gegeben hat. Nach Abschluss des Vorgangs – wenn keine weitere Zustimmung zur Verwendung vorliegt – müssen diese Dokumente vernichtet werden. Der Vorgang der Vernichtung muss protokolliert werden.

Im Falle der Datenverarbeitung zu Verwaltungszwecken werden personenbezogene Daten ausschließlich in den jeweiligen Akten und Aufzeichnungen gespeichert. Diese Datenverarbeitung dauert bis zur Entsorgung der zugrunde liegenden Akten.

Die Datenverarbeitung zu Verwaltungs- und Aufzeichnungszwecken muss jährlich überprüft werden, um sicherzustellen, dass die personenbezogenen Daten nur so lange wie nötig gespeichert werden. Unrichtige personenbezogene Daten müssen unverzüglich gelöscht werden.

Auch bei der Datenverarbeitung zu Verwaltungs- und Aufzeichnungszwecken muss die Einhaltung der geltenden Gesetze gewährleistet sein.

Datenverarbeitung zu anderen Zwecken

Wenn die Organisation eine Datenverarbeitung durchführen möchte, die in dieser Richtlinie nicht enthalten ist, muss ihre interne Richtlinie entsprechend angepasst und die notwendigen Unterregelungen für den neuen Datenverarbeitungszweck hinzugefügt werden.

Sonstige Dokumente im Zusammenhang mit der Richtlinie

Es müssen alle Dokumente und Vorschriften, die beispielsweise die schriftliche Einwilligung zur Datenverarbeitung oder die für Webseiten erforderliche Datenschutzerklärung umfassen, mit dieser Datenschutzrichtlinie verknüpft und zusammen behandelt werden.

Gesetzliche Grundlagen der Datenverarbeitung

  • Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten, sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
  • Gesetz CXXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit.
  • Gesetz LXVI von 1995 über die Archivierung öffentlicher Dokumente und den Schutz von Archivmaterialien.
  • Verordnung 335/2005 (XII. 29.) über die allgemeinen Anforderungen an die Dokumentenverwaltung öffentlicher Einrichtungen.
  • Gesetz CVIII von 2001 über den elektronischen Handel und bestimmte Fragen im Zusammenhang mit Diensten der Informationsgesellschaft.
  • Gesetz C von 2003 über die elektronische Kommunikation.