Datenrichtlinie
HUNGARORAFT GESELLSCHAFT MIT BESCHRÄNKTER HAFTUNGDATENSCHUTZ- UND DATENVERARBEITUNGSRICHTLINIE UND INFORMATION
(„Information”)
1. ZWECK UND GELTUNGSBEREICH DER INFORMATION
1.1 Zweck dieser Information ist es, die von der Hungaroraft Gesellschaft mit beschränkter Haftung (Sitz: 1028 Budapest, Honvéd utca 15.) („Gesellschaft” oder „Datenverantwortlicher”) angewandten Grundsätze der Datenverarbeitung und des Datenschutzes sowie die Datenschutz- und Datenverarbeitungspolitik der Gesellschaft festzulegen, die die Gesellschaft als Datenverantwortlicher für den Betrieb der Gesellschaft und während dieses Betriebs als für sich verbindlich anerkennt.
1.2 Diese Information enthält die Grundsätze der Verarbeitung der von den Vertragspartnern (wie unten definiert) bereitgestellten Personenbezogenen Daten (wie unten definiert). Die Haupttätigkeit der Gesellschaft ist die Reiseorganisation.
1.3 Bei der Ausgestaltung der Bestimmungen dieser Information hat die Gesellschaft insbesondere, jedoch nicht ausschließlich, die folgenden Rechtsvorschriften berücksichtigt: die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („Datenschutz-Grundverordnung”), das Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit („Info-Gesetz”), das Gesetz V von 2013 über das Bürgerliche Gesetzbuch sowie die Bestimmungen des Gesetzes XLVIII von 2008 über die grundlegenden Bedingungen und bestimmte Beschränkungen der wirtschaftlichen Werbetätigkeit.
1.4 Der Geltungsbereich dieser Information erstreckt sich auf Datenverarbeitungen im Zusammenhang mit den von der Gesellschaft erbrachten Dienstleistungen. Bei diesen Datenverarbeitungen handelt die Gesellschaft gemäß den Bestimmungen dieser Information.
1.5 Zweck dieser Information ist es, die Tätigkeit der Gesellschaft in Bezug auf Datenverarbeitungsvorgänge zu vereinheitlichen, um die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen, die Daten natürlicher Personen rechtmäßig zu verarbeiten und die ordnungsgemäße Verarbeitung Personenbezogener Daten sicherzustellen.
1.6 Diese Information gilt bis zu ihrem Widerruf. Der Datenverantwortliche behält sich das Recht vor, diese Information jederzeit durch einseitige Entscheidung zu ändern.
2. BEGRIFFSBESTIMMUNGEN
Datenverarbeitung: jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten, unabhängig vom angewandten Verfahren, insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Verwenden, Abfragen, Einsehen, Offenlegen, Übermitteln, Verbreiten oder anderweitige Bereitstellen, Veröffentlichen, Abgleichen oder Verknüpfen, Einschränken, Löschen und Vernichten Personenbezogener Daten.
Datenverantwortlicher: die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet.
Datenverarbeiter: der Dienstleister, der Personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet. Bei den in dieser Information genannten Dienstleistungen können die in Abschnitt 9.2 genannten natürlichen und juristischen Personen Datenverarbeiter sein.
Personenbezogene Daten oder Daten: alle Daten oder Informationen, anhand deren eine natürliche Person als Vertragspartner mittelbar oder unmittelbar identifiziert werden kann.
Vertragspartner: die natürliche Person, die die von der Gesellschaft erbrachte Dienstleistung in Anspruch nimmt, daran teilnimmt und in diesem Rahmen die in Abschnitt 7 aufgeführten Daten angibt. Für die Zwecke dieser Information gelten bei einem minderjährigen Vertragspartner sowohl der Minderjährige, der die von der Gesellschaft erbrachte Dienstleistung in Anspruch nimmt, als auch seine gesetzlichen Vertreter als Vertragspartner.
Dienstleistung(en): die vom Datenverantwortlichen erbrachten Dienstleistungen, insbesondere die Ausübung von Reiseorganisationstätigkeiten.
Website: die vom Datenverantwortlichen betriebene Internetseite hungaroraft.hu.
Externer Dienstleister: dritte Dienstleistungspartner, die der Datenverantwortliche im Zusammenhang mit der Bereitstellung der Dienstleistungen unmittelbar oder mittelbar in Anspruch nimmt, an die Personenbezogene Daten zur Bereitstellung der Dienstleistungen übermittelt werden oder übermittelt werden können, beziehungsweise die dem Datenverantwortlichen Personenbezogene Daten übermitteln können.
3. DER DATENVERANTWORTLICHE
In Bezug auf die von dieser Information betroffene Datenverarbeitung ist der Datenverantwortliche:
Name der Gesellschaft: Hungaroraft Kft.
Sitz: 1028 Budapest, Honvéd utca 15.
Handelsregisternummer: 01-09-909939
Steuernummer: 14570829-2-41
Telefonnummer: (+36) 20 9823 203
E-Mail-Adresse: info@hungaroraft.hu
Website: http://hungaroraft.hu/
Ansprechpartner: Gyula Takács
4. ZWECK DER DATENVERARBEITUNG
Die Gesellschaft verarbeitet Personenbezogene Daten ausschließlich zu einem bestimmten Zweck. Die Erhebung und Verarbeitung der Daten erfolgt fair und rechtmäßig. Die Gesellschaft ist bestrebt, nur solche Personenbezogenen Daten zu verarbeiten, die für die Erreichung des Zwecks der Datenverarbeitung unerlässlich und zur Zweckerreichung geeignet sind. Personenbezogene Daten dürfen nur in dem Umfang und für die Dauer verarbeitet werden, die zur Erreichung des Zwecks erforderlich sind.
Zweck der Datenverarbeitung ist die Erbringung von Dienstleistungen im Zusammenhang mit Reiseorganisationstätigkeiten für Vertragspartner. Dazu gehören insbesondere: Kontaktaufnahme und Kontaktpflege mit Vertragspartnern, Informationsübermittlung und Informationsanforderung, Identifizierung des Vertragspartners, Verwaltung und Nachverfolgung der vom Vertragspartner in Anspruch genommenen Dienstleistungen, Bearbeitung und Abwicklung individueller Anfragen, Schutz der Rechte der Vertragspartner sowie Durchsetzung berechtigter Interessen des Datenverantwortlichen.
5. ART DER DATENVERARBEITUNG
5.1 Der Datenverantwortliche speichert die Daten des Vertragspartners auf eigenen Servern, auf Computern des Datenverantwortlichen oder in papierbasierten Registern. Zur Verarbeitung der Personenbezogenen Daten der betroffenen Personen ist ausschließlich der Datenverantwortliche berechtigt.
5.2 Die Bereitstellung von Daten ist in jedem Fall freiwillig, das heißt, die betroffene Person kann frei entscheiden, ob sie die angeforderten Personenbezogenen Daten angibt. Sofern die betroffene Person zustimmt, verarbeitet der Datenverantwortliche die Daten gemäß den geltenden Rechtsvorschriften sowie innerhalb der Grenzen der Einwilligung der betroffenen Personen.
5.3 Zur Vermeidung der unbefugten Nutzung der verarbeiteten Personenbezogenen Daten und damit zusammenhängender Missbräuche wendet der Datenverantwortliche Sicherheitsmaßnahmen an. Die Gesellschaft überprüft ihre Sicherheitsverfahren regelmäßig und entwickelt sie im Einklang mit dem technologischen Fortschritt weiter.
6. RECHTSGRUNDLAGE DER DATENVERARBEITUNG
6.1 Rechtsgrundlage der Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung, da die Inanspruchnahme der von der Gesellschaft erbrachten Reiseorganisationsdienstleistung freiwillig ist und die Vertragspartner durch die Angabe ihrer Personenbezogenen Daten die Erfüllung des der Gesellschaft erteilten Auftrags und die Erbringung der Reiseorganisationsdienstleistung ermöglichen. Im Rahmen des Auftrags der Gesellschaft willigen die Vertragspartner in die Verarbeitung der freiwillig angegebenen Personenbezogenen Daten durch die Gesellschaft ein.
6.2 Rechtsgrundlage der Datenverarbeitung ist außerdem Artikel 6 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung, da die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Partei der Vertragspartner ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage des Vertragspartners erforderlich ist.
7. UMFANG DER VERARBEITETEN DATEN
7.1 Wenn der Vertragspartner bei der Gesellschaft eine Reiseorganisationsdienstleistung in Anspruch nimmt, erfasst der Datenverantwortliche im Zuge der Organisation der Programme zum Zweck der vollständigen Organisation und Durchführung der Programme sowie des Abschlusses der erforderlichen Versicherungen folgende Personenbezogene Daten des Vertragspartners: Name, Wohnanschrift, Geburtsort und Geburtsdatum, Passnummer / Personalausweisnummer, E-Mail-Adresse, Telefonnummer, Körpergröße, Körpergewicht, Schuhgröße.
Rechtsgrundlage der Datenverarbeitung ist die Erfüllung vertraglicher Verpflichtungen. Quelle der Daten ist der Vertragspartner; Ort der Datenverarbeitung ist der Sitz der Gesellschaft; verantwortlich für die Datenverarbeitung ist der Geschäftsführer der Gesellschaft. Die Datenspeicherung erfolgt elektronisch über die Software TREKKSOFT. Der Datenverantwortliche übermittelt die Daten zum Zweck des Abschlusses der erforderlichen Versicherung an Groupama Biztosító. Der Datenverantwortliche löscht die Daten unverzüglich nach vollständiger Erfüllung der vertraglichen Verpflichtungen im Zusammenhang mit dem jeweiligen Programm.
7.2 Wenn der Vertragspartner bei der Gesellschaft eine Reiseorganisationsdienstleistung in Anspruch nimmt, erfasst der Datenverantwortliche unmittelbar vor Beginn des Programms zum Zweck der Durchführung der Programme und der Dokumentation der Verantwortungsübernahme des Vertragspartners folgende Personenbezogene Daten des Vertragspartners: Name, Geburtsort und Geburtsdatum, E-Mail-Adresse.
Rechtsgrundlage der Datenverarbeitung ist die Erfüllung vertraglicher Verpflichtungen. Quelle der Daten ist der Vertragspartner; Ort der Datenverarbeitung ist die slowenische Betriebsstätte der Gesellschaft; verantwortlich für die Datenverarbeitung ist der Geschäftsführer der Gesellschaft. Die Datenspeicherung erfolgt papierbasiert. Der Datenverantwortliche löscht die Daten 5 (fünf) Jahre nach vollständiger Erfüllung der vertraglichen Verpflichtungen im Zusammenhang mit dem jeweiligen Programm.
7.3 Wenn der Vertragspartner bei der Gesellschaft eine Reiseorganisationsdienstleistung in Anspruch nimmt, erfasst der Datenverantwortliche während des Programms zum Zweck der späteren Werbung für seine Dienstleistungen in Form von Foto- oder Videoaufnahmen folgende Personenbezogene Daten des Vertragspartners: Bildnis.
Rechtsgrundlage der Datenverarbeitung ist die Einwilligung des Vertragspartners. Quelle der Daten ist der Vertragspartner; Ort der Datenverarbeitung ist der Sitz der Gesellschaft; verantwortlich für die Datenverarbeitung ist der Geschäftsführer der Gesellschaft. Die Datenspeicherung erfolgt elektronisch. Der Datenverantwortliche löscht die Daten unverzüglich nach Widerruf der Einwilligung des Vertragspartners zur Datenverarbeitung.
7.4 Wenn der Vertragspartner seine ausdrückliche Einwilligung zur Datenverarbeitung der Gesellschaft zu Direktmarketingzwecken erteilt hat, erfasst der Datenverantwortliche bei Erteilung der Einwilligung zum Zweck des Versands aktueller Newsletter, Angebote und sonstiger Direktmarketingmaterialien folgendes Personenbezogenes Datum des Vertragspartners: E-Mail-Adresse.
Rechtsgrundlage der Datenverarbeitung ist die Einwilligung des Vertragspartners. Quelle der Daten ist der Vertragspartner; Ort der Datenverarbeitung ist der Sitz der Gesellschaft; verantwortlich für die Datenverarbeitung ist der Geschäftsführer der Gesellschaft. Die Datenspeicherung erfolgt papierbasiert und elektronisch. Der Versand der Nachrichten erfolgt über das MailChimp-Mailingsystem. Der Datenverantwortliche löscht die Daten unverzüglich nach Widerruf der Einwilligung des Vertragspartners zur Datenverarbeitung.
7.5 Wenn die betroffene Person die Website besucht, erfasst das System des Datenverantwortlichen zum Zweck des ordnungsgemäßen Betriebs der Website und der Identifizierung wiederkehrender Besucher automatisch folgendes Personenbezogenes Datum des Besuchers: IP-Adresse.
Rechtsgrundlage der Datenverarbeitung ist die Einwilligung der betroffenen Person beziehungsweise § 13/A Absatz 3 des Gesetzes CVIII von 2001 über bestimmte Fragen der Dienste des elektronischen Geschäftsverkehrs und der Dienste der Informationsgesellschaft. Quelle der Daten ist der Vertragspartner; Ort der Datenverarbeitung ist der Sitz der Gesellschaft; verantwortlich für die Datenverarbeitung ist der Geschäftsführer der Gesellschaft. Die Datenspeicherung erfolgt elektronisch. Die Speicherung dauert bis zur Beendigung der Vereinbarung zwischen der Gesellschaft und dem Hosting-Dienstleister oder bis zum Löschungsantrag der betroffenen Person an den Hosting-Dienstleister.
8. DAUER DER DATENVERARBEITUNG
Der Datenverantwortliche löscht Personenbezogene Daten, wenn
a) ihre Verarbeitung rechtswidrig ist: Wenn sich herausstellt, dass die Daten rechtswidrig verarbeitet werden, führt der Datenverantwortliche die Löschung unverzüglich durch.
b) die betroffene Person dies verlangt (mit Ausnahme gesetzlich vorgeschriebener Datenverarbeitungen): Die betroffene Person kann die Löschung von Daten verlangen, die auf Grundlage ihrer freiwilligen Einwilligung verarbeitet werden. In diesem Fall löscht der Datenverantwortliche die Daten.
c) die Daten unvollständig oder fehlerhaft sind – und dieser Zustand rechtmäßig nicht behoben werden kann –, sofern die Löschung nicht durch Gesetz ausgeschlossen ist.
d) der Zweck der Datenverarbeitung weggefallen ist oder die gesetzlich festgelegte Frist für die Datenspeicherung abgelaufen ist. Der Datenverantwortliche verarbeitet die Daten so lange, wie die Beziehung zwischen dem Datenverantwortlichen und der betroffenen Person besteht und solange der Datenverantwortliche der betroffenen Person eine Dienstleistung erbringt. Alle sonstigen Daten löscht der Datenverantwortliche, wenn offensichtlich ist, dass die Daten künftig nicht verwendet werden, das heißt, der Zweck der Datenverarbeitung weggefallen ist.
e) dies von einem Gericht oder der Nationalen Behörde für Datenschutz und Informationsfreiheit angeordnet wurde: Wenn ein Gericht oder die Nationale Behörde für Datenschutz und Informationsfreiheit rechtskräftig die Löschung der Daten anordnet, führt der Datenverantwortliche die Löschung durch. Anstelle der Löschung sperrt der Datenverantwortliche – unter Information der betroffenen Person – Personenbezogene Daten, wenn die betroffene Person dies verlangt oder wenn aufgrund der verfügbaren Informationen anzunehmen ist, dass die Löschung die berechtigten Interessen der betroffenen Person verletzen würde. Die so gesperrten Personenbezogenen Daten dürfen ausschließlich so lange verarbeitet werden, wie der Datenverarbeitungszweck besteht, der die Löschung der Personenbezogenen Daten ausgeschlossen hat. Der Datenverantwortliche kennzeichnet die von ihm verarbeiteten Personenbezogenen Daten, wenn die betroffene Person deren Richtigkeit oder Genauigkeit bestreitet, die Unrichtigkeit oder Ungenauigkeit der bestrittenen Personenbezogenen Daten jedoch nicht eindeutig festgestellt werden kann. Bei gesetzlich angeordneten Datenverarbeitungen richten sich die Löschungen nach den gesetzlichen Bestimmungen. Im Falle der Löschung macht der Datenverantwortliche die Daten für eine Identifizierung ungeeignet. Wenn dies gesetzlich vorgeschrieben ist, vernichtet der Datenverantwortliche den Datenträger, der Personenbezogene Daten enthält.
9. INANSPRUCHNAHME VON DATENVERARBEITERN
9.1 Die Gesellschaft ist berechtigt, für die Ausübung ihrer Tätigkeit Datenverarbeiter in Anspruch zu nehmen. Datenverarbeiter treffen keine eigenständigen Entscheidungen und sind ausschließlich gemäß dem mit der Gesellschaft geschlossenen Vertrag und den erhaltenen Weisungen zum Handeln berechtigt. Die Gesellschaft kontrolliert die Arbeit der Datenverarbeiter. Datenverarbeiter dürfen weitere Datenverarbeiter nur mit Zustimmung der Gesellschaft in Anspruch nehmen.
9.2 Von der Gesellschaft eingesetzte Datenverarbeiter:
a) Buchhaltung
Bezeichnung des Datenverarbeiters: HR Training Kft. – Konstanca Járai
Sitz des Datenverarbeiters: 1028 Budapest, Honvéd u. 15.
Telefonnummer des Datenverarbeiters: +36 209 732 932
E-Mail-Adresse des Datenverarbeiters: Konstanca Járai
Der Datenverarbeiter wirkt auf Grundlage eines mit dem Datenverantwortlichen geschlossenen schriftlichen Vertrags an der Buchung der Rechnungslegungsbelege mit. Dabei verarbeitet der Datenverarbeiter den Namen und die Adresse der betroffenen Person in dem für die Rechnungslegungsunterlagen erforderlichen Umfang und für die in § 169 Absatz 2 des Rechnungslegungsgesetzes vorgesehene Dauer und löscht sie anschließend unverzüglich.
b) Datenverarbeitungstätigkeit im Zusammenhang mit Passagierdaten:
Bezeichnung des Datenverarbeiters: TrekkSoft AG
Sitz des Datenverarbeiters: Hauptstraße 15, 3800 Matten b. Interlaken (Schweiz)
E-Mail-Adresse des Datenverarbeiters: info@trekksoft.com
Der Datenverarbeiter betreibt die TREKKSOFT-Software zur Verwaltung von Passagierdaten.
c) Datenverarbeitungstätigkeit im Zusammenhang mit Direktmarketing:
Bezeichnung des Datenverarbeiters: The Rocket Science Group, LLC
Sitz des Datenverarbeiters: 675 Ponce de Leon Ave NE Suite, 5000 Atlanta, GA 30308 USA E-Mail-Adresse des Datenverarbeiters: *
Der Datenverarbeiter betreibt das MailChimp-Mailingsystem zum Versand von Direktmarketingmaterialien.
d) Versicherung
Bezeichnung des Datenverarbeiters: Groupama Biztosító Zrt., Abteilung für Privatkunden-Sachversicherung
Sitz des Datenverarbeiters: 1146 Budapest, Erzsébet királyné útja 1/C
Telefonnummer des Datenverarbeiters: +36 1 373 7537
E-Mail-Adresse des Datenverarbeiters: barbara.brukner@groupama.hu
Der Datenverarbeiter erbringt auf Grundlage eines mit dem Datenverantwortlichen geschlossenen schriftlichen Vertrags Versicherungsdienstleistungen in Bezug auf die Vertragspartner. Dabei verarbeitet der Datenverarbeiter den Namen, das Geburtsdatum und die Wohnanschrift des betroffenen Vertragspartners im erforderlichen Umfang und für die erforderliche Dauer und löscht diese anschließend unverzüglich.
e) Datenverarbeitungstätigkeit im Zusammenhang mit Webhosting-Diensten:
Bezeichnung des Datenverarbeiters: Integrity Kft.
Sitz des Datenverarbeiters: 8000 Székesfehérvár, Gyetvai utca 6.
Telefonnummer des Datenverarbeiters: +36 1 450-26-60
E-Mail-Adresse des Datenverarbeiters: data_processing+2018@integrity.hu
f) Datenverarbeitungstätigkeit im Zusammenhang mit dem Betrieb der Website:
Bezeichnung des Datenverarbeiters: TrekkSoft AG
Sitz des Datenverarbeiters: Hauptstraße 15, 3800 Matten b. Interlaken (Schweiz)
Telefonnummer des Datenverarbeiters: +41 31 528 03 37
E-Mail-Adresse des Datenverarbeiters: info@trekksoft.com
Der Datenverarbeiter wartet auf Grundlage eines mit der Gesellschaft geschlossenen schriftlichen Vertrags in bestimmten Abständen die Website und sichert deren Datenbank aus Sicherheitsgründen.
10. ZUGRIFFSBERECHTIGTE AUF VERARBEITETE DATEN. DATENÜBERMITTLUNG
10.1 Die im Rahmen der in dieser Information beschriebenen Datenverarbeitung verarbeiteten Daten können von Mitarbeitern der Gesellschaft eingesehen werden. Mitarbeiter des Datenverantwortlichen führen individuelle Suchen oder individuelle Vorgänge an den Daten nur auf Anfrage des Vertragspartners oder dann durch, wenn dies zur Erbringung der Dienstleistung erforderlich ist.
10.2 Andere Personen dürfen die von der Gesellschaft verarbeiteten Personenbezogenen Daten nicht kennenlernen und haben keinen Zugriff darauf. Abgesehen von den in Abschnitt 9.2 genannten Datenverarbeitern übermittelt die Gesellschaft die Daten weder innerhalb des Europäischen Wirtschaftsraums noch in Drittländer außerhalb des Europäischen Wirtschaftsraums an Dritte.
10.3 Unabhängig vom Vorstehenden übermittelt die Gesellschaft Personenbezogene Daten nur dann an Dritte, wenn die betroffene Person dem eindeutig – in Kenntnis des Umfangs der übermittelten Daten und des Empfängers der Datenübermittlung – zugestimmt hat oder wenn die Datenübermittlung gesetzlich erlaubt ist. Die Gesellschaft dokumentiert Datenübermittlungen in jedem Fall und führt ein Register über Datenübermittlungen.
11. DATENSICHERHEIT UND DATENSCHUTZVORFALL
11.1 Der Datenverantwortliche sorgt für die Sicherheit der Daten, trifft die technischen und organisatorischen Maßnahmen und legt die Verfahrensregeln fest, die zur Durchsetzung der geltenden Rechtsvorschriften sowie der Daten- und Geheimschutzregeln erforderlich sind. Der Datenverantwortliche schützt die Daten durch geeignete Maßnahmen gegen unbefugten Zugriff, Veränderung, Übermittlung, Offenlegung, Löschung oder Vernichtung sowie gegen zufällige Vernichtung und Beschädigung und gegen den Verlust der Zugänglichkeit infolge einer Änderung der angewandten Technik.
11.2 Ein Datenschutzvorfall ist eine Verletzung der Sicherheit, die zur zufälligen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete Personenbezogene Daten führt. Die Vermeidung und Behandlung von Datenschutzvorfällen sowie die Einhaltung der einschlägigen gesetzlichen Vorgaben obliegen dem Geschäftsführer der Gesellschaft. Mitarbeiter der Gesellschaft sind verpflichtet, dem Geschäftsführer und dem leitenden Angestellten der Gesellschaft zu melden, wenn sie einen Datenschutzvorfall oder ein darauf hinweisendes Ereignis feststellen.
Ein Datenschutzvorfall kann über die zentrale E-Mail-Adresse oder Telefonnummer der Gesellschaft gemeldet werden, über die Mitarbeiter, Vertragspartner und betroffene Personen die zugrunde liegenden Ereignisse und Sicherheitslücken melden können. Im Falle der Meldung eines Datenschutzvorfalls prüft der Geschäftsführer der Gesellschaft unter Einbeziehung des Geschäftsführers die Meldung unverzüglich, identifiziert den Vorfall und entscheidet, ob es sich um einen tatsächlichen Vorfall oder um einen Fehlalarm handelt. Zu prüfen und festzustellen sind:
Zeitpunkt und Ort des Vorfalls;
Beschreibung, Umstände und Auswirkungen des Vorfalls;
Umfang und Anzahl der während des Vorfalls kompromittierten Daten;
Kreis der von den kompromittierten Daten betroffenen Personen;
Beschreibung der zur Behebung des Vorfalls ergriffenen Maßnahmen;
Beschreibung der zur Vermeidung, Behebung oder Verringerung des Schadens ergriffenen Maßnahmen.
Bei Eintritt eines Datenschutzvorfalls werden die betroffenen Systeme, Personen und Daten abgegrenzt und isoliert, und der Geschäftsführer der Gesellschaft sorgt für die Sammlung und Aufbewahrung von Beweisen, die den Eintritt des Vorfalls belegen. Danach kann mit der Behebung der Schäden und der Wiederherstellung des rechtmäßigen Betriebs begonnen werden. Über Datenschutzvorfälle ist ein Register zu führen. Die im Register enthaltenen Daten über Datenschutzvorfälle sind 5 Jahre aufzubewahren.
Wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss die Gesellschaft die betroffene Person unverzüglich über den Datenschutzvorfall informieren. In der Information sind die Art des Datenschutzvorfalls klar und verständlich darzustellen und folgende Informationen und Maßnahmen mitzuteilen:
Name und Kontaktdaten der auskunftgebenden Kontaktperson;
die voraussichtlichen Folgen des Datenschutzvorfalls;
die von der Gesellschaft zur Behebung des Datenschutzvorfalls ergriffenen oder geplanten Maßnahmen.
Die betroffene Person muss nicht individuell informiert werden, sondern ist durch öffentlich zugängliche Informationen zu informieren, wenn
die Gesellschaft geeignete technische und organisatorische Schutzmaßnahmen umgesetzt und diese Maßnahmen auf die vom Datenschutzvorfall betroffenen Daten angewendet hat;
die Gesellschaft nach dem Datenschutzvorfall weitere Maßnahmen ergriffen hat, die sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person voraussichtlich nicht mehr besteht;
die individuelle Information einen unverhältnismäßigen Aufwand erfordern würde.
12. RECHTE IM ZUSAMMENHANG MIT DER DATENVERARBEITUNG, GRUNDSÄTZE DER DATENVERARBEITUNG
12.1 Personenbezogene Daten sind rechtmäßig, fair und für die betroffene Person transparent zu verarbeiten.
12.2 Personenbezogene Daten dürfen nur für bestimmte, eindeutige und rechtmäßige Zwecke erhoben werden.
12.3 Der Zweck der Verarbeitung Personenbezogener Daten muss angemessen und relevant sein, und die Verarbeitung darf nur im erforderlichen Umfang erfolgen. Der Datenverantwortliche verarbeitet Personenbezogene Daten nur zu den in dieser Information beziehungsweise in den geltenden Rechtsvorschriften festgelegten Zwecken. Der Umfang der verarbeiteten Personenbezogenen Daten steht im Verhältnis zum Zweck der Datenverarbeitung und darf darüber nicht hinausgehen.
12.4 Personenbezogene Daten müssen richtig und aktuell sein. Unrichtige Personenbezogene Daten sind unverzüglich zu löschen.
12.5 Personenbezogene Daten sind in einer Form zu speichern, die die Identifizierung der betroffenen Personen nur für die erforderliche Dauer ermöglicht. Eine längere Speicherung Personenbezogener Daten ist nur zulässig, wenn die Speicherung zu Archivzwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt.
12.6 Recht auf Auskunft: Jede Person kann über die angegebenen Kontaktdaten jederzeit Auskunft darüber verlangen, welche ihrer Daten die Gesellschaft auf welcher Rechtsgrundlage, zu welchem Datenverarbeitungszweck, aus welcher Quelle und für welche Dauer verarbeitet. Die Auskunft ist unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen, an die angegebene Kontaktadresse zu senden.
12.7 Recht auf Berichtigung: Jede Person kann über die angegebenen Kontaktdaten jederzeit die Änderung oder Berichtigung jeder von der Gesellschaft verarbeiteten Angabe verlangen. Auf Antrag ist dies unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen, zu veranlassen, und an die angegebene Kontaktadresse ist eine Information zu senden.
12.8 Recht auf Löschung: Jede Person kann über die angegebenen Kontaktdaten schriftlich jederzeit unentgeltlich und ohne Einschränkung die Löschung ihrer Daten verlangen beziehungsweise ihre zuvor erteilte Einwilligung zur Datenverarbeitung widerrufen. Auf Antrag ist dies unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen, vorzunehmen; die von der Gesellschaft verarbeiteten Daten der betroffenen Person sind aus den Registern der Gesellschaft zu löschen, und an die angegebene Kontaktadresse ist eine Information zu senden.
12.9 Daten, die aufgrund einer rechtlichen, gesetzlichen oder vertraglichen Verpflichtung zur Aufbewahrung von Geschäftsunterlagen gespeichert werden müssen, werden anstelle der Löschung gesperrt.
12.10 Recht auf Sperrung/Einschränkung: Jede Person kann über die angegebenen Kontaktdaten die Sperrung ihrer Daten verlangen. Die Sperrung dauert so lange, wie der angegebene Grund die Speicherung der Daten erforderlich macht. Auf Antrag ist dies unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen, vorzunehmen, und an die angegebene Kontaktadresse ist eine Information zu senden.
12.11 Widerspruchsrecht: Jede Person kann über die angegebenen Kontaktdaten der Datenverarbeitung widersprechen. Der Widerspruch ist innerhalb der kürzestmöglichen Zeit, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Einreichung des Antrags, zu prüfen; über seine Begründetheit ist zu entscheiden, und die Entscheidung ist an die angegebene Kontaktadresse mitzuteilen.
12.12 Die für die Inanspruchnahme der Dienstleistungen unerlässlich erforderlichen Personenbezogenen Daten werden vom Datenverantwortlichen auf Grundlage der Einwilligung des betroffenen Vertragspartners und ausschließlich zweckgebunden verwendet.
12.13 In allen Fällen, in denen der Datenverantwortliche Personenbezogene Daten zu einem anderen Zweck als dem ursprünglichen Zweck der Datenerhebung verwenden möchte, informiert er den Vertragspartner darüber, holt dessen vorherige ausdrückliche Einwilligung ein und gibt ihm die Möglichkeit, die Verwendung zu untersagen.
12.14 Der Datenverantwortliche überprüft die angegebenen Personenbezogenen Daten nicht. Für die Richtigkeit der angegebenen Personenbezogenen Daten ist ausschließlich die Person verantwortlich, die sie angegeben hat. Jeder Vertragspartner übernimmt bei Angabe einer E-Mail-Adresse oder Telefonnummer zugleich die Verantwortung dafür, dass ausschließlich er über die angegebene E-Mail-Adresse beziehungsweise Telefonnummer eine Dienstleistung in Anspruch nimmt. Aufgrund dieser Verantwortungsübernahme trägt ausschließlich der Vertragspartner, der die Daten angegeben hat, jede Verantwortung im Zusammenhang mit den angegebenen Daten.
12.15 Personenbezogene Daten einer betroffenen Person, die das 16. Lebensjahr noch nicht vollendet hat, dürfen nur mit Zustimmung einer volljährigen Person verarbeitet werden, die die elterliche Sorge über sie ausübt. Der Datenverantwortliche ist nicht in der Lage, die Berechtigung der zustimmenden Person beziehungsweise den Inhalt ihrer Erklärung zu überprüfen; daher gewährleistet der Vertragspartner beziehungsweise die Person, die die elterliche Sorge über ihn ausübt, dass die Einwilligung den Rechtsvorschriften entspricht. Ohne Einwilligungserklärung erhebt der Datenverantwortliche keine Personenbezogenen Daten über eine betroffene Person unter 16 Jahren – mit Ausnahme der bei der Nutzung der Dienstleistung verwendeten IP-Adresse, deren Erfassung aufgrund der Natur von Internetdiensten automatisch erfolgt.
12.16 Der Datenverantwortliche gibt die von ihm verarbeiteten Personenbezogenen Daten außer an die in dieser Information genannten Datenverarbeiter sowie in bestimmten, in dieser Information genannten Fällen an Externe Dienstleister nicht an Dritte weiter.
12.17 Eine Ausnahme von der in diesem Punkt enthaltenen Bestimmung bildet die Nutzung von Daten in statistisch aggregierter Form, die keinerlei sonstige Daten enthalten darf, die zur Identifizierung des betroffenen Vertragspartners geeignet sind; dadurch stellt sie weder Datenverarbeitung noch Datenübermittlung dar.
12.18 In bestimmten Fällen – bei offiziellen gerichtlichen oder polizeilichen Anfragen, bei Gerichtsverfahren wegen Urheberrechts-, Vermögens- oder sonstiger Rechtsverletzungen beziehungsweise bei deren begründetem Verdacht, bei Beeinträchtigung der Interessen des Datenverantwortlichen, bei Gefährdung der Bereitstellung der Dienstleistungen usw. – macht der Datenverantwortliche die verfügbaren Personenbezogenen Daten des betroffenen Vertragspartners Dritten zugänglich.
12.19 Der Datenverantwortliche benachrichtigt den betroffenen Vertragspartner sowie alle Personen, an die die Personenbezogenen Daten zuvor zu Datenverarbeitungszwecken übermittelt wurden, über die Berichtigung, Einschränkung beziehungsweise Löschung der von ihm verarbeiteten Personenbezogenen Daten. Die Benachrichtigung kann unterbleiben, wenn dies im Hinblick auf den Zweck der Datenverarbeitung die berechtigten Interessen der betroffenen Person nicht verletzt.
12.20 Der Datenverantwortliche sorgt für die Sicherheit der Personenbezogenen Daten, trifft die technischen und organisatorischen Maßnahmen und legt die Verfahrensregeln fest, die sicherstellen, dass die erhobenen, gespeicherten beziehungsweise verarbeiteten Daten geschützt sind, und verhindert deren zufälligen Verlust, rechtswidrige Vernichtung, unbefugten Zugriff, unbefugte Nutzung, unbefugte Veränderung und unbefugte Verbreitung. Der Datenverantwortliche fordert alle Dritten, an die er Personenbezogene Daten übermittelt, zur Erfüllung dieser Verpflichtung auf.
13. MÖGLICHKEITEN DER RECHTSDURCHSETZUNG DER VERTRAGSPARTNER
13.1 Gemäß Artikel 37 Absatz 1 der Datenschutz-Grundverordnung ist die Gesellschaft in Bezug auf die unter diese Information fallende Tätigkeit nicht verpflichtet, einen Datenschutzbeauftragten zu benennen.
13.2 Der Vertragspartner kann sich jederzeit mit einer Beschwerde im Zusammenhang mit der Datenverarbeitung an den in Abschnitt 3 dieser Information genannten Ansprechpartner der Gesellschaft wenden. Der Ansprechpartner prüft die Beschwerde innerhalb von 30 (dreißig) Tagen nach Eingang, ergreift erforderlichenfalls Maßnahmen und informiert den beschwerdeführenden Vertragspartner über das Ergebnis der Prüfung sowie über die ergriffenen Maßnahmen.
13.3 Wenn der Vertragspartner mit dem Ergebnis oder der Maßnahme der Untersuchung der Gesellschaft nicht einverstanden ist oder der Ansicht ist, dass ihm im Zusammenhang mit der Verarbeitung seiner Personenbezogenen Daten eine Rechtsverletzung entstanden ist, kann er sich an die Nationale Behörde für Datenschutz und Informationsfreiheit wenden (Postanschrift: 1530 Budapest, Pf. 5.; Anschrift: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; Telefonnummer: +36 1 391 1400; Fax: +36 1 391 1410; E-Mail-Adresse: ugyfelszolgalat@naih.hu; Web: http://naih.hu).
13.4 Bei Verletzung seiner Rechte kann sich der Vertragspartner an ein Gericht wenden. Für die Entscheidung des Rechtsstreits ist das Gericht zuständig. Die Klage kann – nach Wahl der betroffenen Person – auch vor dem Gericht des Wohnsitzes oder Aufenthaltsorts der betroffenen Person erhoben werden. Auf Anfrage informiert der Datenverantwortliche den Vertragspartner über die Möglichkeit und die Mittel des Rechtsbehelfs.
Budapest, 16. September 2018
© 2018 HungaroRaft Kft. All rights reserved