ANLEITUNG NR. 1/2024 (18.06.)

DER WISER Group Kft. einheitliche Datenschutz- und Datenverwaltungsrichtlinie

Versionsnummer: V.001
Datum des Inkrafttretens: 18. Juni 2024.
Genehmigt durch: Geschäftsführer László Kozák
Zugriff: Nur für den internen Gebrauch

 

  1. ALLGEMEINE BESTIMMUNGEN
    1.1 ZWECK DER REGELN

Das Europäische Parlament und der Rat (EU) 2016/679. zum Schutz natürlicher Personen bei der Verwaltung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Verordnung 95/46/EG, d. h. auf Grundlage der Datenschutz-Grundverordnung (DSGVO) des Europäische Union, WISER Group Kft. als Datenverantwortlicher (im Folgenden: „Datencontroller„) Zum Zweck der Aufzeichnung der von ihr durchgeführten Datenverwaltungsaktivitäten, der Gewährleistung der Rechte der betroffenen Personen und der Festlegung der allgemeinen Datenschutzordnung gelten die nachstehend definierten Vorschriften (im Folgenden: „Vorschriften") ist erfunden. Mit dieser Verordnung möchte der Datenverantwortliche die Rechtsordnung seines Betriebs, die Durchsetzung der verfassungsrechtlichen Grundsätze des Datenschutzes und der Anforderungen der Datensicherheit sicherstellen und den unbefugten Zugriff auf Daten sowie deren unbefugte Änderung oder Offenlegung verhindern.

1.2 GELTUNGSBEREICH DER REGELN

Der materielle Geltungsbereich der Verordnung umfasst alle Prozesse, die von einer Organisationseinheit des Datenverantwortlichen durchgeführt werden und bei denen personenbezogene Daten verarbeitet werden, unabhängig davon, ob die Datenverwaltung oder Datenverarbeitung ganz oder teilweise computergestützt (elektronisch) oder manuell erfolgt.

Der persönliche Geltungsbereich dieser Ordnung umfasst die Mitarbeiter des Datenverantwortlichen, Personen, die in anderen Rechtsverhältnissen beruflich beschäftigt sind, sowie jede natürliche oder juristische Person, die von der Datenverwaltung betroffen ist.

Diese Verordnung gilt ab dem auf der Außenseite angegebenen Datum bis zu ihrer Aufhebung.

1.3 DEFINITIONEN

"betroffen„: natürliche Person, die anhand von Informationen identifiziert oder identifizierbar ist;

"persönliche Daten": alle Informationen über die betroffene Person;

"Beitrag": die freiwillige, eindeutige und eindeutige Willensbekundung der betroffenen Person auf der Grundlage angemessener Informationen, mit der die betroffene Person durch eine Erklärung oder ein sonstiges Verhalten, das ihren Willen eindeutig zum Ausdruck bringt, mitteilt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist;

"Datencontroller„: die natürliche oder juristische Person oder Organisation ohne Rechtspersönlichkeit, die innerhalb des durch Gesetz oder einen zwingenden Rechtsakt der Europäischen Union festgelegten Rahmens unabhängig oder gemeinsam mit anderen den Zweck der Datenverwaltung, die Datenverwaltung (einschließlich der verwendetes Gerät) relevante Entscheidungen trifft und umsetzt bzw. durch den Datenverarbeiter umsetzen lässt;

"Datenverarbeitung": Unabhängig vom verwendeten Verfahren ist jeder mit den Daten oder der Vorgangsreihe durchgeführte Vorgang, insbesondere das Erheben, Erfassen, Aufzeichnen, Ordnen, Speichern, Verändern, Verwenden, Abfragen, Übermitteln, Offenlegen, Koordinieren oder Verknüpfen, Sperren, Löschen usw Vernichtung der Daten sowie Verhinderung ihrer weiteren Verwendung, Anfertigung von Fotos, Audio- oder Videoaufzeichnungen sowie Aufzeichnung physischer Merkmale, die zur Identifizierung der Person geeignet sind (z. B. Fingerabdruck oder Handflächenabdruck, DNA-Probe, Irisbild);

"Datentransfer": Bereitstellung der Daten für bestimmte Dritte;

"Datenverarbeitung„: die Gesamtheit der Datenverarbeitungsvorgänge, die von einem Datenverarbeiter durchgeführt werden, der im Namen oder auf Anfrage des Datenverantwortlichen handelt;

"Datenprozessor": die natürliche oder juristische Person oder Organisation ohne Rechtspersönlichkeit, die – im Rahmen und unter den Bedingungen, die durch das Gesetz oder einen zwingenden Rechtsakt der Europäischen Union festgelegt sind – personenbezogene Daten im Namen oder auf Anweisung des Datenverantwortlichen verarbeitet;

"dritte Person": eine natürliche oder juristische Person oder eine Organisation ohne Rechtspersönlichkeit, die nicht mit der betroffenen Person, dem Datenverwalter, dem Datenverarbeiter oder den Personen identisch ist, die Vorgänge zur Verarbeitung personenbezogener Daten unter der direkten Kontrolle des Datenverwalters durchführen oder Datenverarbeiter;

"Datenschutzvorfall": eine Verletzung der Datensicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Übermittlung oder Offenlegung übermittelter, gespeicherter oder anderweitig verarbeiteter personenbezogener Daten oder zum unbefugten Zugriff darauf führt;

"Gesundheitsdaten„: personenbezogene Daten über den körperlichen oder geistigen Gesundheitszustand einer natürlichen Person, einschließlich Daten über die für die natürliche Person erbrachten Gesundheitsdienstleistungen, die Informationen über den Gesundheitszustand der natürlichen Person enthalten;

"Profilierung": Jede automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, die persönlichen Merkmale der betroffenen Person zu bewerten, zu analysieren oder vorherzusagen, insbesondere solche im Zusammenhang mit ihrer Arbeitsleistung, ihrer wirtschaftlichen Lage, ihrer Gesundheit, ihren persönlichen Vorlieben oder Interessen, ihrer Zuverlässigkeit, ihrem Verhalten, ihrem Aufenthaltsort usw Bewegung;

"Adressat„: die natürliche oder juristische Person oder Organisation ohne Rechtspersönlichkeit, der oder der personenbezogene Daten vom Datenverantwortlichen oder Datenverarbeiter zur Verfügung gestellt werden.

1.4 RICHTLINIEN ZUR DATENVERWALTUNG

Der Datenverantwortliche beachtet beim Umgang mit personenbezogenen Daten stets die folgenden Richtlinien:

Personenbezogene Daten dürfen nur für einen klar definierten, rechtmäßigen Zweck verarbeitet werden, um ein Recht auszuüben und eine Pflicht zu erfüllen. In allen Phasen der Datenverwaltung muss der Zweck der Datenverwaltung erfüllt werden, die Erhebung und Verwaltung der Daten muss fair und rechtmäßig erfolgen. ("Rechtmäßigkeit, ordnungsgemäßes Verfahren und Transparenz")

Es dürfen nur personenbezogene Daten verarbeitet werden, die für die Verwirklichung des Zwecks der Datenverwaltung unbedingt erforderlich und zur Erreichung des Zwecks geeignet sind. Personenbezogene Daten dürfen nur in dem Umfang und für die Dauer verarbeitet werden, die zur Erreichung des Zwecks erforderlich sind. ("Zielstrebigkeit")

Personenbezogene Daten müssen für die Zwecke der Datenverwaltung angemessen und relevant sein und auf das Notwendige beschränkt sein. ("Datenspeicherung")

Bei der Datenverwaltung ist darauf zu achten, dass die Richtigkeit, Vollständigkeit und ggf. Aktualität der Daten gewährleistet sind und die Identifizierung der betroffenen Person nur für den für die Zwecke der Datenverwaltung erforderlichen Zeitraum möglich ist. ("Genauigkeit")

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur für den Zeitraum ermöglicht, der zur Erreichung der Ziele der Verwaltung personenbezogener Daten erforderlich ist. Bei der Datenverarbeitung behalten personenbezogene Daten ihre Qualität, solange die Beziehung zum Betroffenen wiederhergestellt werden kann. Die Beziehung zur betroffenen Person kann wiederhergestellt werden, wenn der Verantwortliche über die für die Wiederherstellung erforderlichen technischen Voraussetzungen verfügt. ("begrenzte Speicherkapazität")

Im Rahmen der Datenverwaltung ist eine angemessene Sicherheit personenbezogener Daten durch den Einsatz geeigneter technischer oder organisatorischer Maßnahmen zu gewährleisten, insbesondere solche, die einen Schutz vor unbefugter oder rechtswidriger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Beschädigung bieten. ("Integrität und Vertraulichkeit")

Der Datenverantwortliche ist für die Einhaltung der oben genannten Richtlinien verantwortlich und muss die Einhaltung nachweisen können. ("Rechenschaftspflicht")

1.5 DATEN DES DATENVERANTWORTLICHEN

Name: WISER Group GmbH

Adresse: 1065 Budapest, Révay köz 4.

Steuernummer: 27928181-2-41

Firmenregistrierungsnummer: 01-09-357551

Registergericht: Gesellschaftsgericht des Hauptstadtgerichts

Gesetzlicher Vertreter: Geschäftsführer László Kozák

Email: info@wisergroup.hu

Telefonnummer: +36 30 336 08 16

  1. REGELN ZUR DATENVERWALTUNG
    2.1 ZWECK DER DATENVERWALTUNG

Der Datenverantwortliche verwendet personenbezogene Daten für Zwecke, die im Zusammenhang mit seinem Betrieb anfallen, für Beschäftigungszwecke, für Marketingzwecke, für den Betrieb von Geräten zur Personen- und Eigentumssicherheit, für Dokumentenverwaltungsprozesse, IT-Dienste und damit verbundene Informationssicherheit der Betrieb zum Zweck der Nutzung von Datenbeständen und gemäß den Angaben im Gründungsdokument der Organisation zum Zwecke der Bereitstellung anderer grundlegender Aktivitäten verwaltet wird. Wenn die gesetzlichen Voraussetzungen erfüllt sind, ist der Datenverantwortliche berechtigt, eine neue Datenverwaltungsaktivität einzuleiten. Die individuelle Datenverwaltung und ihre Einzelheiten werden im Datenverwaltungsaktivitätsregister des Datenverantwortlichen erfasst (Nr. 1 annektieren) ist im Lieferumfang enthalten.

2.2 RECHTSGRUNDLAGEN FÜR DIE DATENVERWALTUNG

Die Verarbeitung personenbezogener Daten durch den Datenverantwortlichen ist nur dann rechtmäßig, wenn und soweit mindestens eine der folgenden Bedingungen erfüllt ist:

  1. die Betroffenen gab sein Einverständnis Ihre personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zu verarbeiten;
  2. Datenmanagement ist so zur Vertragserfüllung erforderlich sind, bei dem die betroffene Person eine der Parteien ist, oder es erforderlich ist, auf Antrag der betroffenen Person vor Vertragsschluss Maßnahmen zu ergreifen;
  3. Die Datenverwaltung obliegt dem Datenverantwortlichen zur Erfüllung einer rechtlichen Verpflichtung notwendig;
  4. Verantwortlicher für die Datenverarbeitung ist die betroffene Person oder eine andere natürliche Person Schutz lebenswichtiger Interessen notwendig wegen;
  5. Datenmanagement öffentliches Interesse oder eine dem Verantwortlichen erteilte behördliche Genehmigung für die Ausführung einer im Rahmen ihrer Ausübung wahrgenommenen Aufgabe erforderlich sind;
  6. Die Daten werden vom Verantwortlichen oder einem Dritten verwaltet zur Durchsetzung seiner berechtigten Interessen erforderlich, es sei denn, diese Interessen überwiegen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.

    2.2 BEITRAGSBEDINGUNGEN

Eine Einwilligung ist eine freiwillige, für den bestimmten Fall und in eindeutiger Weise erfolgende Willensbekundung der betroffenen Person, mit der die betroffene Person durch eine Erklärung oder eine unmissverständliche ausdrückliche Handlung zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Der Betroffene kann seine Einwilligung – in speicherbarer Form – in einem Vertrag, auf einem dafür vorgesehenen Formular (Nr. 7 annektieren), in elektronischer Form oder auf Papier. Der Betroffene kann seine Einwilligung jederzeit widerrufen. Bei Einwilligung kann nur eine solche Datenverarbeitung durchgeführt werden, bei der die Einhaltung der Voraussetzungen der Vorabinformation und Freiwilligkeit nachgewiesen werden kann. Eine Freiwilligkeit kann nicht gerechtfertigt werden, wenn die Einwilligung in die Verarbeitung von Daten ausschließlich im Interesse des Verantwortlichen von den betroffenen Personen in einem Unterordnungsverhältnis, massenhaft und ausnahmslos innerhalb eines definierten Personenkreises erteilt wurde.

Erteilt die betroffene Person ihre Einwilligung im Rahmen einer schriftlichen Erklärung, die sich auch auf andere Sachverhalte bezieht, muss das Einwilligungsersuchen in einer von diesen anderen Sachverhalten klar unterscheidbaren Form, in verständlicher und leicht zugänglicher Form sowie in klarer Form erfolgen und einfache Sprache. Die Einwilligung kann in jeder Form erfolgen, bei der die Identifizierung der betroffenen Person möglich ist und die Tatsache der Einwilligung protokolliert wird, also insbesondere:

  1. schriftlich (mit Unterschrift der betroffenen Person);
  2. elektronisch nach individueller Identifizierung der betroffenen Person, wenn der Tatbestand der Einwilligung erfasst (protokolliert) wird;
  3. elektronisch in einer Nachricht, die von der vom betreffenden Datenverantwortlichen registrierten E-Mail-Adresse gesendet wird, sofern die Nachricht aufgezeichnet und unverändert gespeichert wird.
    • INTERESSENABwägungstest

In bestimmten Fällen hat der Datenverantwortliche die Möglichkeit, Daten ohne Einwilligung zu verarbeiten, wenn ein berechtigtes Interesse dies zulässt, sofern der Datenverantwortliche seiner Pflicht zur vorherigen Information nachkommt. Wenn die Rechtsgrundlage für die Datenverarbeitung durch das berechtigte Interesse gerechtfertigt ist, führt der Datenverantwortliche eine Interessenprüfung durch, um die Rechtmäßigkeit der Datenverarbeitung zu prüfen (Nr. 2 annektieren), bei dem die Notwendigkeit des Zwecks der Datenverwaltung und die verhältnismäßige Einschränkung der Rechte und Freiheiten der betroffenen Personen geprüft und ordnungsgemäß begründet werden.

Bei der Durchführung der Interessenabwägung ermittelt der Datenverantwortliche sein berechtigtes Interesse an der Datenverwaltung sowie das Interesse des Beteiligten und das entsprechende Grundrecht, das den Gegenpunkt der Gewichtung bildet. Die Voraussetzungen für die Abwägung widerstreitender Rechte und Interessen werden vom Verantwortlichen stets unter Berücksichtigung der konkreten Umstände des Einzelfalls geprüft. Bei der Beurteilung berücksichtigt der Datenverantwortliche insbesondere die Art und Sensibilität der verarbeiteten oder zu verarbeitenden Daten, den Umfang ihrer Bekanntheit, die Schwere etwaiger Verstöße usw.

Im Rahmen der Interessenabwägung führt der Verantwortliche auch eine Prüfung der Notwendigkeit und Verhältnismäßigkeit durch, wonach sich Ausnahmen vom Schutz personenbezogener Daten und Schutzbeschränkungen im Rahmen des unbedingt Notwendigen halten müssen. Art und Umfang der verarbeiteten Daten dürfen das zur Durchsetzung berechtigter Interessen erforderliche Maß nicht überschreiten. Die Prüfung der Verhältnismäßigkeit umfasst eine Beurteilung des Verhältnisses zwischen den Zielen und den gewählten Mitteln. Die gewählten Werkzeuge dürfen nicht über das Maß der Notwendigkeit hinausgehen, müssen aber auch zur Erreichung des vorgegebenen Ziels geeignet sein. Anhand der Gewichtung bestimmt der Verantwortliche, ob personenbezogene Daten verarbeitet werden dürfen.

Die betroffenen Personen werden über die Ergebnisse der Prüfung informiert, aus denen klar hervorgeht, auf welcher Grundlage ein berechtigtes Interesse besteht und warum die Verarbeitung personenbezogener Daten durch den Datenverantwortlichen ohne Zustimmung der betroffenen Person als verhältnismäßige Einschränkung angesehen werden kann. Warum überwiegt das berechtigte Interesse des Datenverantwortlichen an der Datenverarbeitung die Interessen und Rechte der betroffenen Person? Der Datenverantwortliche informiert die betroffenen Personen über die Datenschutzgarantien, die angesichts der fehlenden Einwilligung gelten, und über die Möglichkeit, gegen die Datenverwaltung Einspruch einzulegen. Das Ergebnis der Abwägung zwischen gegensätzlichen Interessen und Rechten kann nicht vorgegeben werden, ohne dass der Datenverantwortliche angesichts der konkreten Umstände des Einzelfalls ein anderes Ergebnis zulässt, weshalb der Datenverantwortliche in jedem Fall eine gesonderte Interessenabwägung durchführt.

Ein mögliches Szenario, von dem sich der Datenverantwortliche das Recht vorbehält, abzuweichen:

  1. Vor Beginn der geplanten Datenverwaltung prüft der Datenverantwortliche, ob die Verarbeitung personenbezogener Daten zur Erreichung seines Ziels unbedingt erforderlich ist: Gibt es alternative Lösungen, mit denen das geplante Ziel ohne Verarbeitung personenbezogener Daten erreicht werden kann?
  2. Der Datenverantwortliche definiert sein berechtigtes Interesse so genau wie möglich.
  3. Der Datenverantwortliche bestimmt den Zweck der Datenverwaltung, welche personenbezogenen Daten und wie lange das berechtigte Interesse die Datenverwaltung erfordert.
  4. Der Datenverantwortliche bestimmt, welche Interessen die betroffenen Personen in Bezug auf die jeweilige Datenverwaltung haben können (z. B. welche Aspekte die betroffenen Personen gegen die Datenverwaltung vorbringen könnten).
  5. Der Verantwortliche wägt seine berechtigten Interessen und die Interessen und Grundrechte der betroffenen Personen ab und entscheidet auf dieser Grundlage, ob die personenbezogenen Daten verarbeitet werden dürfen. Der Datenverantwortliche stellt fest, warum das berechtigte Interesse des Datenverantwortlichen – und die darauf basierende Datenverarbeitung – die in Schritt 4 definierten Rechte und Erwartungen der Beteiligten verhältnismäßig einschränkt.
  6. Der Datenverantwortliche bestimmt, welche Garantien die Notwendigkeit und Verhältnismäßigkeit der Datenverwaltung gewährleisten können (selbstverständlich können auch andere Garantiemaßnahmen angewendet werden).

    2.3 UMGANG MIT BESONDEREN DATEN

Der Begriff der besonderen Daten wird in der DSGVO nicht allgemein definiert, sondern nur einige seiner Kategorien genannt (personenbezogene Daten bezüglich der rassischen oder ethnischen Herkunft, der politischen Meinung, der religiösen oder weltanschaulichen Überzeugungen, der Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten). zur eindeutigen Identifizierung natürlicher Personen, Gesundheitsdaten und personenbezogene Daten über das Sexualleben oder die sexuelle Orientierung natürlicher Personen) oder gesondert definieren. Besondere Daten können nur verarbeitet werden, wenn

  1. die betroffene Person hat der Verarbeitung dieser personenbezogenen Daten für einen bestimmten Zweck ausdrücklich zugestimmt und das Recht der EU oder eines Mitgliedstaats verbietet die Erteilung der Einwilligung nicht;
  2. Die Datenverarbeitung ist für den Datenverantwortlichen oder die betroffene Person erforderlich, um ihren Pflichten nachzukommen und ihre spezifischen Rechte auszuüben, die sich aus den Rechtsvorschriften für Beschäftigung, soziale Sicherheit und Sozialschutz ergeben, sofern es EU- oder Mitgliedsstaatengesetze gibt, die ebenfalls angemessene Garantien zum Schutz vorsehen Grundrechte und Interessen der betroffenen Person oder des Mitgliedstaats, in dem ein gesetzlicher Tarifvertrag dies ermöglicht;
  3. Die Datenverarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich, sofern die betroffene Person aufgrund ihrer körperlichen oder rechtlichen Unfähigkeit nicht in der Lage ist, ihre Einwilligung zu erteilen.
  4. Bei der Datenverwaltung handelt es sich um personenbezogene Daten, die die betroffene Person ausdrücklich öffentlich gemacht hat.
  5. Die Datenverwaltung ist zur Geltendmachung, Durchsetzung und Wahrung von Rechtsansprüchen erforderlich;
  6. die Datenverarbeitung aufgrund eines erheblichen öffentlichen Interesses auf der Grundlage des EU-Rechts oder des Rechts der Mitgliedstaaten erforderlich ist, in einem angemessenen Verhältnis zum angestrebten Ziel steht, den wesentlichen Inhalt des Rechts auf Schutz personenbezogener Daten respektiert und angemessene und angemessene Vorschriften vorschreibt spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person;
  7. Die Datenverarbeitung ist für Zwecke der Gesundheitsvorsorge oder des Arbeitsschutzes, zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, zur Erstellung einer medizinischen Diagnose, zur Bereitstellung von Gesundheits- oder Sozialfürsorge oder -behandlung oder zur Verwaltung von Gesundheits- oder Sozialsystemen und -diensten auf der Grundlage von EU-Recht oder Recht der Mitgliedstaaten erforderlich oder gemäß einem mit einem medizinischen Fachpersonal geschlossenen Vertrag;
  8. Die Datenverarbeitung ist für die Archivierung im öffentlichen Interesse, für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke auf der Grundlage des EU-Rechts oder des Rechts der Mitgliedstaaten erforderlich und steht in einem angemessenen Verhältnis zum angestrebten Ziel und respektiert den wesentlichen Inhalt des Rechts auf Schutz personenbezogener Daten Daten und ist geeignet, die Grundrechte und Interessen der betroffenen Person zu wahren und schreibt konkrete Maßnahmen vor.

    2.4 VORHERIGE INFORMATIONSPFLICHT

Wenn die personenbezogenen Daten der betroffenen Person bei der betroffenen Person erhoben werden, stellt der Datenverantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten alle folgenden Informationen zur Verfügung, es sei denn und soweit die betroffene Person bereits darüber verfügt Information:

  1. die Identität und Kontaktdaten des Datenverantwortlichen und gegebenenfalls des Vertreters des Datenverantwortlichen;
  2. ggf. die Kontaktdaten des Datenschutzbeauftragten;
  3. den Zweck der geplanten Verarbeitung personenbezogener Daten sowie die Rechtsgrundlage der Datenverarbeitung;
  4. im Falle einer Datenverarbeitung auf Grundlage berechtigter Interessen, der berechtigten Interessen des Verantwortlichen oder eines Dritten;
  5. ggf. Empfänger personenbezogener Daten und ggf. Kategorien von Empfängern;
  6. gegebenenfalls die Tatsache, dass der für die Datenverarbeitung Verantwortliche die personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermitteln möchte, sowie das Vorliegen oder Fehlen einer Compliance-Entscheidung der Kommission oder die Angabe angemessener und geeigneter Garantien sowie die Methoden zum Erhalten von Kopien davon oder ihrer Verfügbarkeitsreferenz;
  7. die Dauer der Speicherung personenbezogener Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  8. das Recht der betroffenen Person, vom Verantwortlichen Zugang zu den sie betreffenden personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen und der Verarbeitung dieser personenbezogenen Daten zu widersprechen, sowie das Recht der betroffenen Person auf Datenübertragbarkeit;
  9. das Recht, die Einwilligung jederzeit zu widerrufen, was keinen Einfluss auf die Rechtmäßigkeit der Datenverarbeitung hat, die aufgrund der Einwilligung vor dem Widerruf erfolgt ist;
  10. das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;
  11. ob die Bereitstellung der personenbezogenen Daten auf einer gesetzlichen oder vertraglichen Verpflichtung beruht oder Voraussetzung für den Abschluss eines Vertrages ist, sowie ob die betroffene Person zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche möglichen Folgen die Nichtbereitstellung der Daten haben kann haben;
  12. die Tatsache einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie, zumindest in diesen Fällen, die angewandte Logik und verständliche Informationen über die Bedeutung einer solchen Datenverwaltung und die erwarteten Folgen für die betroffene Person.

Wurden die personenbezogenen Daten nicht von der betroffenen Person erhoben, gibt der Verantwortliche die Datenquelle an und gibt gegebenenfalls an, ob die Daten aus öffentlich zugänglichen Quellen stammen. Der Datenverantwortliche stellt die Informationen wie folgt zur Verfügung:

  1. unter Berücksichtigung der besonderen Umstände der Verarbeitung personenbezogener Daten innerhalb eines angemessenen Zeitraums ab der Erhebung der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats;
  2. wenn die personenbezogenen Daten zum Zweck der Kontaktaufnahme mit der betroffenen Person verwendet werden, zumindest bei der ersten Kontaktaufnahme mit der betroffenen Person; oder
  3. wenn damit zu rechnen ist, dass die Daten einem anderen Empfänger übermittelt werden, spätestens jedoch bei der erstmaligen Übermittlung der personenbezogenen Daten.

Die vorstehenden Informationen sind der betroffenen Person in prägnanter, transparenter, verständlicher und leicht zugänglicher Form, klar und verständlich formuliert, in der Regel schriftlich, auch elektronisch, mitzuteilen. Möchte der Verantwortliche eine weitere Datenverarbeitung personenbezogener Daten zu einem anderen Zweck als dem Zweck ihrer Erhebung durchführen, muss er die betroffene Person vor der weiteren Datenverarbeitung über diesen anderen Zweck und alle relevanten Zusatzinformationen informieren.

2.5 AUFZEICHNUNG DER DATENVERWALTUNGSAKTIVITÄTEN

Der Datenverantwortliche führt Aufzeichnungen über die in seinem Verantwortungsbereich durchgeführten Datenverwaltungsaktivitäten. Das Verzeichnis der einheitlichen Datenverwaltungstätigkeiten des Verantwortlichen ist Anlage Nr. 1 dieser Ordnung. Dieses Register enthält folgende Informationen:

  1. den Namen und die Kontaktdaten des Datenverantwortlichen sowie gegebenenfalls den Namen und die Kontaktdaten des gemeinsamen Datenverantwortlichen, des Vertreters des Datenverantwortlichen und des Datenschutzbeauftragten;
  2. die Zwecke der Datenverwaltung;
  3. Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten;
  4. Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Informationen über die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation, und im Falle einer Übermittlung gemäß Artikel 49 Absatz 1 Unterabsatz 2 der DSGVO, eine Beschreibung der entsprechenden Garantien;
  6. wenn möglich Fristen für die Löschung unterschiedlicher Datenkategorien;
  7. möglichst eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

    2.6 FOLGENSTUDIE UND VORHERIGE KONSULTATION

Wenn ein neuer Datenverwaltungsprozess aufgrund seiner Art, seines Umfangs, seiner Umstände und Ziele voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, führt der Datenverantwortliche vor Beginn der Datenverwaltung eine Folgenabschätzung durch wie der Datenverwaltungsprozess die betroffenen personenbezogenen Daten schützt Ähnliche Datenverwaltungsvorgänge, die ähnliche Risiken bergen, können im Rahmen einer einzigen Folgenabschätzung durchgeführt werden. Die Durchführung der Datenschutz-Folgenabschätzung ist Aufgabe der Organisationseinheit Datenmanagement, wobei das Folgenabschätzungsdokument eine untrennbare Anlage zu dieser Verordnung bildet (Nr. 3 annektieren) verwenden. Um die Risiken und andere Aspekte der Folgenabschätzung zu bewerten, holt die Organisationseinheit für die Datenverwaltung die Stellungnahme des Datenschutzbeauftragten des Datenverantwortlichen ein, sofern eine solche verwendet wird. Die Durchführung einer Datenschutz-Folgenabschätzung ist zwingend erforderlich:

  1. groß angelegte, systematische Überwachung öffentlicher Plätze, beispielsweise durch den Einsatz eines elektronischen Überwachungssystems (Kamera), das diese Bedingungen erfüllt;
  2. im Falle der Verarbeitung einer Vielzahl von Gesundheits- und anderen besonderen Daten;
  3. bei einer methodischen und umfassenden Auswertung bestimmter persönlicher Merkmale natürlicher Personen, die auf einer automatisierten Datenverwaltung, einschließlich Profiling, basiert und auf deren Grundlage Entscheidungen getroffen werden, die gegenüber der natürlichen Person rechtliche Wirkung entfalten oder die natürliche Person in ähnlicher Weise erheblich beeinträchtigen basieren;
  4. bei Datenverarbeitungen, die in der Liste der Aufsichtsbehörde aufgeführt sind und für die eine Datenschutz-Folgenabschätzung zwingend erforderlich ist.

Die Durchführung einer Datenschutz-Folgenabschätzung ist nicht erforderlich bei einer (obligatorischen) Datenverwaltung aufgrund eines Gesetzes, einer Datenverwaltung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, sowie bei einer Datenverwaltung, die in der Liste der Aufsichtsbehörde enthalten ist der Datenverwaltung von der Datenschutz-Folgenabschätzung ausgenommen. Die Folgenabschätzung umfasst mindestens:

  1. zur methodischen Beschreibung der geplanten Datenverwaltungsvorgänge sowie des Zwecks und der Rechtsgrundlage der Datenverwaltung; einschließlich, im Falle einer Datenverarbeitung auf Grundlage einer Interessenabwägung, des berechtigten Interesses, das der Verantwortliche durchsetzen möchte;
  2. Prüfung der Notwendigkeit und Verhältnismäßigkeit von Datenverwaltungsvorgängen unter Berücksichtigung der Zwecke der Datenverwaltung;
  3. um Risiken zu prüfen, die die Rechte und Freiheiten der betroffenen Personen beeinträchtigen; Und
  4. Darstellung der Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien und Datensicherheitsmaßnahmen, die die berechtigten Interessen der betroffenen Parteien berücksichtigen, um die Einhaltung der Gesetze und dieser Vorschriften nachzuweisen.

Nach der Durchführung der Folgenabschätzung veranlasst die Organisationseinheit des Datenverantwortlichen bei Bedarf, zumindest aber im Falle einer Änderung des Risikos, das von den Datenverwaltungsvorgängen ausgeht, die Überprüfung der Folgenabschätzung, im Rahmen derer die Risikobewertung erfolgt wird erneut durchgeführt. Die Risiken müssen mindestens alle drei Jahre überprüft werden. Das Ergebnis der abgeschlossenen Folgenabschätzung ist dem Datenschutzbeauftragten des Verantwortlichen zu übermitteln. Der Datenschutzbeauftragte kann zur Folgenabschätzung Stellung nehmen.

Stellt die Datenschutz-Folgenabschätzung fest, dass die geplante Datenverwaltung ohne getroffene Maßnahmen zur Risikominderung tatsächlich ein hohes Risiko mit sich bringen würde, konsultiert der Verantwortliche ggf. mit Unterstützung des Datenschutzes die Aufsichtsbehörde Datenschutzbeauftragter vor der Verarbeitung der personenbezogenen Daten.

2.7 DATENÜBERTRAGUNG

Datenweitergabe, wenn die Daten einem bestimmten Dritten zugänglich gemacht werden, einschließlich der Möglichkeit, die Daten einzusehen oder einen Auszug zu erstellen. Die Datenübertragung innerhalb des Organisationssystems des Datenverantwortlichen als Datenverantwortlicher, die Übermittlung von Daten an einen Datenverarbeiter und der Zugriff auf die eigenen personenbezogenen Daten der betroffenen Person gelten nicht als Datenübermittlung. Übermittlung von Daten in ein Drittland Übermittlung von Daten in ein Land außerhalb der Mitgliedstaaten des Europäischen Wirtschaftsraums (im Folgenden: EWR). Offenlegung, wenn die Daten jemandem zugänglich gemacht werden.

Der Datenverantwortliche behandelt personenbezogene Daten vertraulich. Eine Datenübermittlung, eine Datenübermittlung an ein Drittland oder eine internationale Organisation sowie eine Offenlegung personenbezogener Daten darf nur unter vollständiger Einhaltung aller einschlägigen Vorschriften, entsprechend den Bestimmungen der DSGVO, erfolgen.

Über die Datenübermittlung, die Datenübermittlung an ein Drittland oder eine internationale Organisation sowie die Weitergabe personenbezogener Daten entscheidet die Organisationseinheit Datenmanagement. Bei Zweifeln an der Rechtmäßigkeit muss sich der Leiter der Organisationseinheit schriftlich oder elektronisch an den Datenschutzbeauftragten des Verantwortlichen wenden, der eine Stellungnahme zur Rechtmäßigkeit der geplanten Datenverwaltungsvorgänge abgibt.

Die im Organisationssystem des Datenverantwortlichen als Datenverantwortlichen verwalteten personenbezogenen Daten können – in dem für die Erfüllung der Aufgabe erforderlichen Umfang und für die Zeit – an eine Organisationseinheit übermittelt werden, die die Daten zur Erfüllung ihrer in der DSGVO festgelegten Aufgaben benötigt Gesetz, interne Vorschriften oder Anweisungen.

2.8 DATENVERARBEITUNG

Der Datenverantwortliche kann für bestimmte Datenverwaltungsvorgänge einen Datenverarbeiter einsetzen. Der Datenverarbeiter führt die Datenverarbeitung für den Datenverantwortlichen im Auftrag des Datenverantwortlichen, in dessen Auftrag und gegebenenfalls nach dessen spezifischen Weisungen durch. Die Datenverarbeiter führen die Datenverwaltung gemäß den Anweisungen des Datenverantwortlichen durch, sie können keine inhaltlichen Entscheidungen über die Datenverwaltung treffen, sie können nur die ihnen bekannt gewordenen personenbezogenen Daten gemäß den Bestimmungen des Datenverantwortlichen verarbeiten, sie können jedoch nicht Datenverarbeitung zu eigenen Zwecken durchführen und zur Speicherung, Aufbewahrung und Geheimhaltung verpflichtet sind. Datenverarbeiter dürfen ohne die vorherige schriftliche Genehmigung des Datenverantwortlichen im Einzelfall oder im Allgemeinen keine weiteren Datenverarbeiter einsetzen.

Die Bedingungen der Datenverarbeitung in einer schriftlichen Vereinbarung (Nr. 4 annektieren) muss gebucht werden. Der Vertrag kann auch im Rahmen eines anderen Vertrages geschlossen werden. Eine Datenverarbeitung kann auch auf Grundlage gesetzlicher Vorschriften erfolgen, wobei sich die rechtlichen Regelungen für das Datenverarbeitungsverhältnis nach den gesetzlichen Vorschriften richten. Der Abschluss eines schriftlichen Vertrages ist nicht erforderlich, wenn das Datenverarbeitungs-Rechtsverhältnis durch die jeweilige Gesetzgebung vollständig geregelt ist.

Die Datenverarbeitungsvereinbarung enthält mindestens:

  1. Gegenstand, Zweck, Dauer der Datenverarbeitung, Art der personenbezogenen Daten und Umfang der Betroffenen;
  2. dass der Datenverarbeiter – sofern gesetzlich nichts anderes bestimmt ist – die Datenverarbeitung gemäß den schriftlichen Weisungen des Datenverantwortlichen durchführt, sowie die Umstände der Weisungserteilung, darunter insbesondere der Name der Organisationseinheit bzw. der hierzu befugten Person Also.
  3. ob der Datenverarbeiter berechtigt ist, einen zusätzlichen Datenverarbeiter einzusetzen, und, wenn er berechtigt ist, die Verpflichtung zur Bereitstellung von Informationen über den Einsatz oder Ersatz des zusätzlichen Datenverarbeiters;
  4. Datensicherheitsmaßnahmen des Datenverarbeiters;
  5. das Verfahren zur Information über Datenschutzvorfälle;
  6. Kooperationsregeln im Zusammenhang mit der Gewährleistung der Rechte der betroffenen Person;
  7. die Geheimhaltungspflicht des Datenverarbeiters;
  8. die Verpflichtung, dass der Datenverarbeiter alle personenbezogenen Daten (einschließlich vorhandener Kopien) löscht oder sie nach Beendigung der Datenverarbeitung an den Datenverantwortlichen zurückgibt, gemäß der Entscheidung des Datenverantwortlichen, sofern gesetzlich nichts anderes bestimmt ist;
  9. dass der Datenverarbeiter alle Informationen bereitstellt, die zur Erfüllung der gesetzlichen Verpflichtungen des Datenverantwortlichen erforderlich sind;
  10. dass der Datenverarbeiter dem Datenverantwortlichen alle Informationen zur Verfügung stellt, die zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung erforderlich sind, und bei der Kontrolle, Vor-Ort-Inspektion oder Prüfung der Datenverwaltung mitwirkt;
  11. ggf. die zusätzlichen Rechte und Pflichten des Datenverwalters und Datenverarbeiters.

    3.0 DATENSICHERHEIT

    3.1. INTEGRIERTER UND STANDARDSCHUTZ

Der Datenverantwortliche unter Berücksichtigung des Stands von Wissenschaft und Technik und der Implementierungskosten sowie der Art, des Umfangs, der Umstände und Zwecke der Datenverwaltung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen setzt sowohl bei der Festlegung der Art der Datenverwaltung als auch bei der Datenverwaltung geeignete technische und organisatorische Maßnahmen – beispielsweise Pseudonymisierung – ein, die zum einen darauf abzielen, Datenschutzgrundsätze, wie z. B. die Datenspeicherung, wirksam umzusetzen, und zum anderen zum anderen, die zur Erfüllung der datenschutzrechtlichen Anforderungen und zum Schutz der Rechte der betroffenen Personen erforderlichen Garantien in den Datenverwaltungsprozess einzubeziehen.

Der Datenverantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass er ein angemessenes Maß an Datensicherheit gewährleistet, einschließlich insbesondere der Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die zur Verwaltung personenbezogener Daten verwendet werden, sowie in im Falle eines Vorfalls, den persönlichen Zugriff auf Daten und die zeitnahe Wiederherstellung der Datenverfügbarkeit. Bei der Festlegung des angemessenen Sicherheitsniveaus sind insbesondere die mit der Datenverwaltung verbundenen Risiken zu berücksichtigen, die sich insbesondere aus der unbeabsichtigten oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verwaltete personenbezogene Daten ergeben .

3.2 PHYSIKALISCHER SCHUTZ

Um die Sicherheit papierbasierter personenbezogener Daten zu gewährleisten, speichert der Datenverantwortliche die Dokumente in einem gut verschlossenen Raum, der mit Feuer- und Sachschutz ausgestattet ist. Manuell verwaltete Dokumente mit personenbezogenen Daten werden zur Erfüllung der Aufbewahrungspflicht des Verantwortlichen in einem Aktenschrank aufbewahrt, der ebenfalls abschließbar ist, nur eingeschränkten Zugang hat und mit Feuer- und Vermögensschutz ausgestattet ist. Dokumente, die personenbezogene Daten enthalten, können nur von berechtigten Personen eingesehen werden, niemand sonst hat darauf Zugriff und sie können nicht an Dritte weitergegeben werden. Nach Ablauf der Aufbewahrungspflicht vernichtet der Verantwortliche die Unterlagen.

3.3 IT-SCHUTZ

Um die Sicherheit der auf dem Computer oder im Netzwerk gespeicherten personenbezogenen Daten zu gewährleisten, wendet der Datenverantwortliche die folgenden Garantiemaßnahmen an:

  • Die für die Datenverwaltung verwendeten Computer sind Eigentum des Datenverantwortlichen oder er hat an ihnen die gleichen Rechte wie der Eigentümer.
  • Der Zugriff auf die Daten auf dem Computer ist nur mit einer gültigen, persönlichen und identifizierbaren Berechtigung – zumindest mit Benutzername und Passwort – möglich. Der Datenmanager sorgt dafür, dass Passwörter in begründeten Fällen geändert werden.
  • Der Zugriff auf die auf dem Server gespeicherten Daten ist nur den dazu berechtigten und dafür vorgesehenen Personen gestattet;
  • Wenn der Zweck der Datenverwaltung erreicht wurde, die Frist für die Datenverwaltung abgelaufen ist, wird die Datei mit den Daten unwiederbringlich gelöscht;
  • kümmert sich kontinuierlich um den Virenschutz im Netzwerk, das personenbezogene Daten verarbeitet;
  • verhindert, dass Unbefugte mit den verfügbaren Computergeräten und deren Anwendung auf das Netzwerk zugreifen.

Der vom Datenverantwortlichen verwaltete Fluss personenbezogener Daten erfolgt elektronisch über Server und ihre physische Speicherung erfolgt über Datenspeicher.

KONTROLLE DER AKTIVITÄTEN DER MITARBEITER

Das Verhalten des Arbeitnehmers im Zusammenhang mit dem Arbeitsverhältnis kann überwacht werden. In diesem Zusammenhang kann der Verantwortliche als Arbeitgeber auch ein technisches Gerät einsetzen, worüber der Arbeitnehmer vorab schriftlich informiert wird. Mangels abweichender Vereinbarung darf der Verantwortliche vom Arbeitgeber zur Arbeitserbringung bereitgestellte informationstechnische bzw. computertechnische Geräte und Systeme ausschließlich zum Zweck der Erfüllung des Arbeitsverhältnisses nutzen. Im Rahmen seiner Prüfung kann der Datenverantwortliche als Arbeitgeber die Daten im Zusammenhang mit dem Arbeitsverhältnis einsehen, die auf dem zur Erfüllung des Arbeitsverhältnisses verwendeten Computergerät gespeichert sind. Aus Sicht des Kontrollrechts gelten auch die Daten, die zur Überprüfung der Einhaltung der Beschränkung im Falle eines Verbots der privaten Nutzung erforderlich sind, als Daten im Zusammenhang mit dem Beschäftigungsverhältnis. Dieser Absatz gilt auch dann, wenn der Arbeitnehmer aufgrund der Vereinbarung der Parteien zur Erfüllung des Arbeitsverhältnisses ein eigenes Computergerät nutzt.

Unabhängig von der Art der Datenaufzeichnung sind die Mitarbeiter verpflichtet, die von ihnen genutzten oder in ihrem Besitz befindlichen Datenträger, die personenbezogene Daten enthalten, sicher aufzubewahren und vor unbefugtem Zugriff, Änderung, Übertragung, Offenlegung, Löschung oder Zerstörung sowie vor versehentlicher Zerstörung und Beschädigung zu schützen . Datenaufzeichnungsgeräte und Datenträger dürfen bei der Verarbeitung personenbezogener Daten nur in verschlüsselter (normkonformer) Form eingesetzt werden. Der Verantwortliche kann die weitere Durchsetzung der Anforderungen an die Datensicherheit durch gesonderte interne Regelungen und Weisungen sicherstellen. In allen Fällen sind die Mitarbeiter des Datenverantwortlichen verpflichtet, gemäß den in internen Vorschriften und Anweisungen festgelegten Verfahren zu handeln, die ein hohes Maß an Datensicherheit gewährleisten.

Die Mitarbeiter des Datenverantwortlichen, die Datenverwaltung oder Datenverarbeitung durchführen, sind verpflichtet, personenbezogene Daten, von denen sie im Rahmen ihrer Tätigkeit erfahren, vertraulich zu behandeln und geheim zu halten. Nur wer über eine Vertraulichkeitserklärung verfügt (Nr. 5 annektieren) tat.

3.4. VORGEHENSWEISE BEI DATENSCHUTZVORFÄLLEN

Ein Datenschutzvorfall ist eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. Wenn ein Mitarbeiter des Datenverantwortlichen einen Verdacht auf einen Datenschutzvorfall feststellt oder vom Datenverarbeiter einen Hinweis auf einen Datenschutzvorfall erhält, gelten in den Datenschutzvorfallmanagementbestimmungen des Datenverantwortlichen (Nr. 6 annektieren) müssen gemäß dem festgelegten Verfahren befolgt werden.

  1. AUFGABEN

    4.1 HAFTUNG

Im Hinblick auf die Organisationsstruktur des Datenverantwortlichen legt die Geschäftsführung des Datenverantwortlichen die Organisation des Datenschutzes, die Aufgaben und Befugnisse im Zusammenhang mit dem Datenschutz und den damit verbundenen Aktivitäten fest und ernennt – sofern erforderlich – die Person, die für die Überwachung der Datenverwaltung verantwortlich ist. der Datenschutzbeauftragte.

Verwaltung des Datenverantwortlichen

  1. ist dafür verantwortlich, die notwendigen Voraussetzungen für die Ausübung der Rechte der betroffenen Personen zu schaffen;
  2. ist dafür verantwortlich, die persönlichen, materiellen und technischen Bedingungen sicherzustellen, die zum Schutz der vom Datenverantwortlichen verwalteten personenbezogenen Daten erforderlich sind;
  3. ist verantwortlich für die Beseitigung etwaiger Mängel oder rechtswidriger Umstände, die bei der Datenverwaltungskontrolle festgestellt werden, für die Einleitung und Durchführung des zur Feststellung der Verantwortlichkeit einer anderen Person erforderlichen Verfahrens;
  4. überwacht die Tätigkeit des Datenschutzbeauftragten, sofern vorhanden;
  5. kann eine Untersuchung anordnen, um den Sachverhalt aufzudecken;
  6. genehmigt die Datenschutzrichtlinien des Datenverantwortlichen.

Bei der Umsetzung dieser Ordnung richten sich die Pflichten und Verantwortlichkeiten der einzelnen Organisationseinheiten und Personen nach den internen Regelungen über die Organisation, den Betrieb und die Tätigkeiten des Verantwortlichen sowie durch die Stellenbeschreibungen/Aufgabenbeschreibungen der Mitarbeiter. Die Leiter der Organisationseinheiten des Datenverantwortlichen sind dafür verantwortlich, dass die Datenverwaltung der von ihnen geleiteten Organisationseinheit im Einklang mit den Gesetzen und dieser Verordnung erfolgt.

Vor der Erhebung personenbezogener Daten informiert der Mitarbeiter des Verantwortlichen die betroffene Person über den wesentlichen Inhalt der Datenverwaltung. Die Datenverarbeitungsmitarbeiter des Datenverantwortlichen sind verpflichtet, die von ihnen erhaltenen personenbezogenen Daten als Geschäftsgeheimnis zu bewahren und diese Daten gemäß den Vorschriften und anderen organisatorischen Anweisungen zu behandeln. Die Mitarbeiter des Datenverantwortlichen stellen im Rahmen ihrer Tätigkeit sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben und dass personenbezogene Daten so gespeichert und aufbewahrt werden, dass sie von Unbefugten nicht eingesehen, bekannt, verändert oder vernichtet werden können.

Im Rahmen der eigenen Tätigkeit/Verantwortung des Mitarbeiters

  • ist für die Verarbeitung, Änderung, Löschung, Übermittlung und Offenlegung der Daten sowie für eine genaue und nachvollziehbare Dokumentation der Daten verantwortlich;
  • verwaltet und bewahrt die bei der Erfüllung seiner Aufgaben erfassten Daten auf und gewährleistet die sichere Handhabung und Speicherung von Aufzeichnungen;
  • stellt sicher, dass kein Unbefugter auf die Daten der von ihm geführten Aufzeichnungen zugreifen kann;
  • hält sich an die Datenverwaltungsgesetze und internen Anweisungen;
  • nimmt an internen Fachschulungen zum Thema Datenmanagement und Datenschutz teil;
  • ist verpflichtet, die Ausführung von Weisungen zu verweigern, die im Widerspruch zu den Gesetzen zur Datenverwaltung und zum Datenschutz sowie internen Weisungen stehen.

    5.0 RECHTE UND RECHTSMITTEL

Die in den folgenden Punkten aufgeführten Rechte der betroffenen Person können durch eine Anfrage an den für die Verarbeitung Verantwortlichen ausgeübt werden. Der Datenverantwortliche prüft den Antrag auf Geltendmachung der Rechte so schnell wie möglich, spätestens jedoch 25 (fünfundzwanzig) Tage nach seiner Einreichung, und teilt der betroffenen Person seine Entscheidung schriftlich oder, falls die betroffene Person den Antrag gestellt hat, mit elektronisch, auf elektronischem Wege.

5.1 INFORMATIONEN ZUM UMGANG MIT IHREN PERSONENBEZOGENEN DATEN

Auf Anfrage der betroffenen Person erteilt der Verantwortliche Auskunft über die von ihm verwalteten oder von dem von ihm beauftragten oder ihm zur Verfügung stehenden Datenverarbeiter verarbeiteten Daten der betroffenen Person, deren Herkunft, den Zweck, die Rechtsgrundlage, die Dauer der Datenverarbeitung, Name und Anschrift des Auftragsverarbeiters und seiner mit der Datenverarbeitung verbundenen Tätigkeiten, die Umstände des Datenschutzvorfalls, seine Auswirkungen und die zu seiner Verhinderung getroffenen Maßnahmen sowie – im Falle der Weitergabe personenbezogener Daten der betroffenen Person – die Rechtsgrundlage und Empfänger der Datenübermittlung.

5.2 ZUGRIFF AUF PERSONENBEZOGENE DATEN

Die betroffene Person hat das Recht, vom Datenverantwortlichen eine Rückmeldung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und wenn eine solche Datenverarbeitung im Gange ist, hat sie das Recht, auf die personenbezogenen Daten und die folgenden Informationen zuzugreifen:

  1. die Zwecke der Datenverwaltung;
  2. Kategorien betroffener personenbezogener Daten;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere auch bei Empfängern in Drittländern und bei internationalen Organisationen;
  4. gegebenenfalls die geplante Dauer der Speicherung personenbezogener Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Recht der betroffenen Person, vom Datenverantwortlichen die Berichtigung, Löschung oder Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen und der Verarbeitung dieser personenbezogenen Daten zu widersprechen;
  6. das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
  7. sofern die Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über deren Herkunft;
  8. die Tatsache einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie, zumindest in diesen Fällen, verständliche Informationen über die verwendete Logik und die Bedeutung einer solchen Datenverwaltung und die erwarteten Folgen für die betroffene Person.

Werden personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt, so steht der betroffenen Person das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.

Der Datenverantwortliche stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Datenverwaltung sind. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann der Datenverantwortliche eine angemessene Gebühr basierend auf den Verwaltungskosten erheben. Wenn die betroffene Person den Antrag elektronisch gestellt hat, müssen die Informationen in einem weit verbreiteten elektronischen Format bereitgestellt werden, sofern die betroffene Person nichts anderes verlangt.

Das Recht, eine Kopie anzufordern, darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

5.3 RECHT AUF KORREKTUR

Die betroffene Person hat das Recht, vom Verantwortlichen auf Antrag unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung des Zwecks der Datenverwaltung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

5.4 RECHT AUF LÖSCHEN (RECHT AUF VERGESSEN WERDEN)

Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, die personenbezogenen Daten der betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Gründe vorliegt:

  1. die personenbezogenen Daten für den Zweck, für den sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind;
  2. Die betroffene Person widerruft die Einwilligung, die der Datenverwaltung zugrunde liegt, und es gibt keine andere Rechtsgrundlage für die Datenverwaltung.
  3. die betroffene Person widerspricht der Datenverarbeitung und es besteht kein vorrangiger Rechtsgrund für die Datenverarbeitung;
  4. personenbezogene Daten wurden unrechtmäßig verarbeitet;
  5. Die personenbezogenen Daten müssen gelöscht werden, um die gesetzliche Verpflichtung zu erfüllen, die durch das für den Datenverantwortlichen geltende Recht der EU oder der Mitgliedstaaten vorgeschrieben ist.
  6. Die Erhebung personenbezogener Daten erfolgte im Zusammenhang mit der Bereitstellung von Diensten im Zusammenhang mit der Informationsgesellschaft.

Wenn der Datenverantwortliche die personenbezogenen Daten offengelegt hat und gemäß dem Vorstehenden zu deren Löschung verpflichtet ist, ergreift er angemessene Maßnahmen, einschließlich technischer Maßnahmen, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, um den Datenverantwortlichen darüber zu informieren die Daten, die die betroffene Person von ihr angefordert hat, die Links zu den betreffenden personenbezogenen Daten zu löschen oder eine Kopie oder ein Duplikat dieser personenbezogenen Daten anzufertigen.

Eine Datenlöschung kann nicht veranlasst werden, wenn die Datenverwaltung erforderlich ist: zum Zweck der Ausübung des Rechts auf freie Meinungsäußerung und Information; zum Zweck der Erfüllung der für den Verantwortlichen geltenden Verpflichtungen nach dem Recht der EU oder der Mitgliedstaaten, die die Verarbeitung personenbezogener Daten erfordern, oder zur Ausführung einer Aufgabe, die im öffentlichen Interesse liegt oder im Rahmen der Ausübung öffentlicher Gewalt erfolgt der Datenverantwortliche; mit Auswirkungen auf den Bereich der öffentlichen Gesundheit oder für archivarische, wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke auf der Grundlage eines öffentlichen Interesses; oder zur Geltendmachung, Geltendmachung oder Verteidigung von Rechtsansprüchen.

5.5 DAS RECHT AUF EINSCHRÄNKUNG DER DATENVERARBEITUNG

Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Datenverarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen erfüllt ist:

  1. Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten. In diesem Fall gilt die Beschränkung für den Zeitraum, der es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  2. die Datenverarbeitung rechtswidrig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt;
  3. Der Datenverantwortliche benötigt die personenbezogenen Daten nicht mehr zum Zweck der Datenverwaltung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen. Besessenheit
  4. die betroffene Person hat der Datenverarbeitung widersprochen; in diesem Fall gilt die Beschränkung für den Zeitraum bis zur Feststellung, ob die berechtigten Gründe des Verantwortlichen Vorrang vor den berechtigten Gründen der betroffenen Person haben.

Unterliegt die Datenverarbeitung aufgrund des Vorstehenden Einschränkungen, so erfolgt die Verarbeitung der personenbezogenen Daten mit Ausnahme der Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Geltendmachung oder Verteidigung von Rechtsansprüchen oder zum Schutz Verletzung der Rechte einer anderen natürlichen oder juristischen Person oder eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats.

Der Verantwortliche informiert die betroffene Person, auf deren Antrag hin die Datenverarbeitung eingeschränkt wurde, vor der Aufhebung der Datenverarbeitungsbeschränkung.

Der Datenverantwortliche informiert alle Empfänger über die Berichtigung, Löschung oder Einschränkung der Datenverwaltung, denen die personenbezogenen Daten mitgeteilt wurden, es sei denn, dies erweist sich als unmöglich oder erfordert einen unverhältnismäßig großen Aufwand. Auf Anfrage der betroffenen Person informiert der Verantwortliche über diese Empfänger.

5.6 RECHT AUF DATENÜBERTRAGBARKEIT

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem segmentierten, weit verbreiteten und maschinenlesbaren Format zu erhalten, und ist außerdem berechtigt, diese Daten ohne Behinderung durch die Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln Verantwortlicher, der die personenbezogenen Daten bereitgestellt hat, wenn:

  1. Die Datenverwaltung basiert auf der Einwilligung der betroffenen Person oder einem Vertrag. Und
  2. Die Datenverwaltung erfolgt automatisiert.

Bei der Ausübung des oben beschriebenen Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, – sofern dies technisch möglich ist – die direkte Übermittlung personenbezogener Daten zwischen den Verantwortlichen zu verlangen. Durch die Ausübung dieses Rechts darf das Recht auf Löschung nicht verletzt werden. Das oben genannte Recht gilt nicht, wenn die Datenverarbeitung im öffentlichen Interesse liegt oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im Rahmen der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Das im Absatz genannte Recht darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

5.7 WIDERRUFSRECHT

Die betroffene Person hat jederzeit das Recht, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen. Die Ausübung dieses Rechts berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung.

5.8 EINREICHUNG EINER BESCHWERDE BEI EINER AUFSICHTSBEHÖRDE

Die zuständige nationale Datenschutz- und Informationsfreiheitsbehörde (im Folgenden: „Behörden„) kann eine Untersuchung einleiten, um die Rechtmäßigkeit des Vorgehens des Datenverantwortlichen zu untersuchen, wenn der Datenverantwortliche die Durchsetzung der Rechte der betroffenen Person einschränkt oder seinen Antrag auf Durchsetzung dieser Rechte ablehnt, und die betroffene Person kann die Durchführung der Maßnahmen verlangen Das datenschutzrechtliche Verfahren der Behörde gilt, wenn der Verantwortliche oder der von ihm beauftragte oder in seinem Auftrag handelnde Datenverarbeiter nach seiner Einschätzung gegen gesetzliche oder verbindliche Vorschriften zum Umgang mit personenbezogenen Daten verstößt der Europäischen Union.

Name: Nationale Behörde für Datenschutz und Informationsfreiheit

Hauptsitz: 1055 Budapest, Falk Miksa utca 9-11

Postanschrift: 1363 Budapest, Pf.: 9.

Telefon: +36 (1) 391 1400

Fax: 06 1 391 1410

Email: ugyfelszolgalat@naih.hu

Webseite: http://www.naih.hu

5.9 RECHT AUF GERICHT

Der Betroffene kann gegen den Verantwortlichen oder – im Zusammenhang mit Datenverarbeitungsvorgängen im Rahmen der Tätigkeit des Auftragsverarbeiters – gegen den Auftragsverarbeiter vor Gericht gehen, wenn seiner Meinung nach der Verantwortliche oder der von ihm beauftragte Auftragsverarbeiter bzw auf der Grundlage seiner Weisungen seine personenbezogenen Daten in Übereinstimmung mit dem Gesetz oder der Europäischen Union verarbeitet hat. Die Behandlung erfolgt unter Verstoß gegen die im zwingenden Rechtsakt der Union festgelegten Vorschriften.

Der Datenverantwortliche oder der Datenverarbeiter ist verpflichtet nachzuweisen, dass die Datenverwaltung den Vorschriften für die Verwaltung personenbezogener Daten entspricht, die in der Gesetzgebung oder einem zwingenden Rechtsakt der Europäischen Union festgelegt sind.

Die Klage kann der Betroffene nach seiner Wahl auch bei dem für seinen Wohnsitz zuständigen Gericht erheben. Partei der Klage kann auch eine Person sein, die ansonsten nicht geschäftsfähig ist. Die Behörde kann in den Rechtsstreit eingreifen, um den Fall für die betroffene Person zu gewinnen.

  1. SCHLUSSBESTIMMUNGEN

In Angelegenheiten, die in den Bestimmungen nicht gesondert geregelt sind, gelten die Bestimmungen der einschlägigen Datenschutzgesetze. Wenn es aufgrund einer Gesetzesänderung oder aus anderen Gründen erforderlich ist, wird die Geschäftsführung den Inhalt der Geschäftsordnung anpassen. Die in den Bestimmungen enthaltenen Bestimmungen müssen in Übereinstimmung mit den anderen geltenden Vorschriften des Datenverantwortlichen ausgelegt werden. Sollte es einen Widerspruch zwischen den oben genannten Bestimmungen und den Bestimmungen anderer vor dem Inkrafttreten dieser Verordnung geltender Vorschriften zur Verwaltung personenbezogener Daten geben, haben diese Bestimmungen Vorrang. Bei der Umsetzung dieser Ordnung werden die Pflichten und Verantwortlichkeiten der einzelnen Organisationseinheiten und Personen durch die internen Anweisungen zur Organisation, zum Betrieb und zur Tätigkeit des Datenverantwortlichen bestimmt.

ANHÄNGE

 

  1. NEIN. Anhang – Registrierung von Datenverwaltungsaktivitäten
  2. NEIN. Anhang – Interessenausgleichstest
  3. NEIN. Anhang – Folgenabschätzungsblatt
  4. NEIN. Anhang – Datenverarbeitungsvertrag
  5. NEIN. Anhang – Vertraulichkeitserklärung
  6. NEIN. Anhang – Vorschriften zum Umgang mit Datenschutzvorfällen
  7. NEIN. Anhang – Muster einer Einwilligungserklärung zur Datenverwaltung

 

de_DEDE
hu_HUHU en_GBEN zh_CNZH ko_KRKO it_ITIT fr_FRFR de_DEDE