Die
Datenschutz- und Datensicherheitsrichtlinie der Hungary-Meat Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
mit den Änderungen in konsolidierter Fassung
Einführung:
Die Hungary-Meat Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (im Folgenden: Datenverantwortlicher, Gesellschaft) achtet bei ihrer geschäftlichen und wirtschaftlichen Tätigkeit besonders auf den Schutz personenbezogener Daten, die Einhaltung der gesetzlichen Vorschriften sowie die sichere und faire Datenverarbeitung. Die Hungary-Meat Kft. behandelt daher die personenbezogenen Daten gemäß dieser Richtlinie vertraulich und trifft alle erforderlichen Sicherheits-, technischen und organisatorischen Maßnahmen, um die Sicherheit der Daten und die Einhaltung der Datenschutz- und Datensicherheitsvorschriften zu gewährleisten. Der Datenverantwortliche legt großen Wert auf die Achtung und Durchsetzung der Rechte aller betroffenen natürlichen Personen (im Folgenden: Betroffener) in Bezug auf die Datenverarbeitung.
Der Datenverantwortliche verpflichtet sich daher, dass seine Datenverarbeitung in Bezug auf seine Dienstleistungen den Anforderungen dieser Richtlinie und den geltenden Gesetzen entspricht. Die Hungary-Meat Kft. handelt bei der Verarbeitung, Registrierung, Bearbeitung und Übermittlung personenbezogener Daten der Betroffenen gemäß dem Informationsfreiheitsgesetz von 2011 (Infotv.) und der Verordnung (EU) 2016/679 (GDPR-Verordnung) sowie den entsprechenden gesetzlichen Bestimmungen.
Diese Richtlinie wurde auf der Grundlage der folgenden geltenden Gesetze erstellt:
Diese Datenschutz- und Datensicherheitsrichtlinie ist in Verbindung mit allen anderen internen Richtlinien des Datenverantwortlichen zu verstehen, die einen Bezug zum Datenschutz haben. Die Begriffe in dieser Richtlinie und ihren Anhängen entsprechen den in der GDPR-Verordnung definierten Begriffen.
I. Daten des Datenverantwortlichen:
Hungary-Meat Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
Handelsregister-Nummer: 03-09-104730
Sitz: 6100 Kiskunfélegyháza, Majsai út 30
Steuernummer: 11421702-2-03
E-Mail des Datenverantwortlichen: hm@hungarymeat.hu
Vertreter des Datenverantwortlichen: Geschäftsführer László Kovács
Webseite: https://www.hungarymeat.com
Der Datenverantwortliche verarbeitet die ihm zur Verfügung gestellten personenbezogenen Daten stets in Übereinstimmung mit den geltenden ungarischen und europäischen Gesetzen sowie ethischen Anforderungen und trifft stets die erforderlichen technischen, organisatorischen und Sicherheitsmaßnahmen, die für eine sichere Datenverarbeitung notwendig sind und die Sicherheit der Daten gewährleisten.
Der Datenverantwortliche verpflichtet sich zur einseitigen Einhaltung dieser Richtlinie und fordert seine Kunden auf, die Bestimmungen der Richtlinie zu akzeptieren. Die jeweils aktuelle Version der Datenschutzrichtlinie ist auf der Webseite des Datenverantwortlichen, im zentralen Büro des Datenverantwortlichen sowie im Arbeitsbüro des Datenverantwortlichen einsehbar. Die Gesellschaft legt großen Wert auf die Einhaltung der ungarischen gesetzlichen Anforderungen an die Datenverarbeitung in Verbindung mit ihrer Tätigkeit und behält sich das Recht vor, diese Richtlinie zu ändern und die geänderte Richtlinie öffentlich – in der üblichen Weise – bekannt zu machen. Informationen zur Auslegung dieser Richtlinie sowie zu Fragen oder Problemen im Zusammenhang mit den Dienstleistungen der Hungary-Meat Kft. können über die auf der Webseite unter dem Menüpunkt Kontakt angegebenen Kontaktdaten oder elektronisch per E-Mail an hm@hungarymeat.hu eingeholt werden.
II.Allgemeine Regeln des Datenschutzes
II.1. Ziel und Geltungsbereich des Datenschutzes
Ziel der Datenschutz- und Datensicherheitsrichtlinie ist es, die rechtlichen Rahmenbedingungen der beim Datenverantwortlichen stattfindenden Datenverarbeitungen zu definieren, die Umsetzung der verfassungsmäßigen Datenschutzgrundsätze und des Rechts auf informationelle Selbstbestimmung sicherzustellen, die Einhaltung der Datensicherheitsanforderungen zu fördern und unrechtmäßige Datenverarbeitungen zu verhindern. Diese Datenschutz- und Datensicherheitsrichtlinie legt die aus datenschutzrechtlicher Sicht wichtigen Aufgaben und Verantwortlichkeiten in der Datensicherheit fest.
Der Geltungsbereich dieser Richtlinie erstreckt sich auf den Datenfluss zu den vom Datenverantwortlichen in Anspruch genommenen Auftragsverarbeitern sowie auf die Kommunikation personenbezogener Daten zwischen dem Datenverantwortlichen und anderen Datenverantwortlichen. Dementsprechend erstreckt sich der persönliche Geltungsbereich dieser Richtlinie auf den Datenverantwortlichen, seine Mitarbeiter sowie auf die mit ihm in vertraglicher oder sonstiger Beziehung stehenden Personen, die personenbezogene Daten verarbeiten oder verarbeiten lassen. Der Geltungsbereich der Richtlinie erstreckt sich nicht auf die Datenverarbeitung durch juristische Personen oder Organisationen, die keine juristischen Personen sind. Der Geltungsbereich dieser Richtlinie erstreckt sich weiterhin auf alle Datenverarbeitungen, Datenübermittlungen und Informationsweitergaben am Sitz und an den Betriebsstätten des Datenverantwortlichen, die ausschließlich natürliche Personen (Beschäftigte, Kunden, Vertragspartner) betreffen, sowie auf Tätigkeiten im Zusammenhang mit der in dieser Richtlinie definierten Behandlung und dem Schutz von Daten als Geschäftsgeheimnisse.
Der sachliche Geltungsbereich der Richtlinie erstreckt sich auf alle vom Datenverantwortlichen verarbeiteten personenbezogenen Daten, auf die gesamten Verarbeitungsvorgänge, unabhängig von deren Entstehungsort, Verarbeitungsort oder Erscheinungsform.
LEITUNG/AUFSICHT: Diese Richtlinie wird vom Geschäftsführer der Hungary-Meat Kft. genehmigt und aufbewahrt. Die Richtlinie wird mindestens einmal jährlich überprüft und genehmigt.
VERANTWORTUNG UND MELDUNG: Für die Umsetzung dieser Richtlinie ist der Geschäftsführer verantwortlich. Jeder Beschäftigte ist verpflichtet, Verstöße oder Umgehungen der Richtlinie oder den Verdacht darauf über die üblichen Meldewege, insbesondere durch Kontaktaufnahme mit dem Datenschutzbeauftragten, zu melden.
II.2. Grundsätze der Datenverarbeitung und Rechtsgrundlage der Datenverarbeitung
Grundsätze der Datenverarbeitung:
Zweckbindung – personenbezogene Daten dürfen nur zu einem bestimmten Zweck, zur Ausübung eines Rechts oder zur Erfüllung einer Verpflichtung verarbeitet werden.
Fairness – die Datenverarbeitung muss in jeder Phase der Datenverarbeitung dem Zweck der Datenverarbeitung entsprechen, die Erhebung und Verarbeitung der Daten muss fair und rechtmäßig sein.
Datenminimierung – es dürfen nur personenbezogene Daten verarbeitet werden, die für die Erreichung des Zwecks der Datenverarbeitung unverzichtbar sind.
Notwendigkeit – personenbezogene Daten dürfen nur in dem für die Erreichung des Zwecks erforderlichen Umfang und nur so lange verarbeitet werden, wie es für die Erreichung des Zwecks notwendig ist.
Datenqualität – bei der Datenverarbeitung ist die Genauigkeit, Vollständigkeit und – falls erforderlich – die Aktualität der Daten zu gewährleisten.
Datenschutz – der Datenverantwortliche und der Auftragsverarbeiter sind verpflichtet, die Privatsphäre der Betroffenen zu schützen und die Sicherheit der Daten zu gewährleisten, technische und organisatorische Maßnahmen zu ergreifen und Verfahrensregeln aufzustellen, die zur Durchsetzung der Vorschriften des Infotv. sowie der sonstigen Datenschutz- und Geheimhaltungsvorschriften erforderlich sind.
Rechtsgrundlage der Datenverarbeitung:
Personenbezogene Daten dürfen nur dann und nur in dem Umfang verarbeitet werden, wie mindestens eine der folgenden Bedingungen erfüllt ist:
Es dürfen nur personenbezogene Daten verarbeitet werden, die für die Erreichung des Zwecks der Datenverarbeitung unverzichtbar und geeignet sind und nur in dem für die Erreichung des Zwecks erforderlichen Umfang und für die erforderliche Dauer. Personenbezogene Daten dürfen nur dann übermittelt oder Datenverarbeitungen zusammengeführt werden, wenn die betroffene Person eingewilligt hat oder das Gesetz dies zulässt und die Bedingungen der Datenverarbeitung für jede personenbezogene Datenart erfüllt sind. Personenbezogene Daten dürfen aus dem Land – unabhängig vom Datenträger oder der Übertragungsmethode – nur dann an einen Datenverantwortlichen oder Auftragsverarbeiter in einem Drittland übermittelt werden, wenn die betroffene Person ausdrücklich eingewilligt hat oder das Gesetz dies zulässt und im Drittland ein angemessenes Schutzniveau für die Verarbeitung der übermittelten Daten gewährleistet ist.
Bei einer verpflichtenden Datenverarbeitung legt das Gesetz oder die kommunale Verordnung, die die Datenverarbeitung anordnet, den Zweck und die Bedingungen der Datenverarbeitung, den Umfang der zu verarbeitenden Daten und deren Verfügbarkeit, die Dauer der Datenverarbeitung sowie die Person des Datenverantwortlichen fest. Das Gesetz kann im öffentlichen Interesse die Offenlegung personenbezogener Daten anordnen, sofern der Umfang der Daten ausdrücklich angegeben wird. In allen anderen Fällen bedarf die Offenlegung der Einwilligung der betroffenen Person, bei besonderen Daten der schriftlichen Einwilligung der betroffenen Person. Im Zweifelsfall ist davon auszugehen, dass die betroffene Person keine Einwilligung erteilt hat. Die Einwilligung der betroffenen Person ist anzunehmen, wenn die betroffene Person die Daten im Rahmen ihrer öffentlichen Tätigkeit oder zum Zweck der Offenlegung angegeben oder übermittelt hat. In einem Verfahren auf Antrag der betroffenen Person ist davon auszugehen, dass die betroffene Person der Verarbeitung ihrer notwendigen Daten zugestimmt hat. Auf diesen Umstand ist die betroffene Person hinzuweisen. Die betroffene Person kann ihre Einwilligung auch im Rahmen eines schriftlichen Vertrags mit dem Datenverantwortlichen zum Zwecke der Erfüllung der Vertragsbedingungen erteilen. In diesem Fall muss der Vertrag alle Informationen enthalten, die die betroffene Person im Hinblick auf die Verarbeitung personenbezogener Daten wissen muss, insbesondere die Bestimmung der zu verarbeitenden Daten, die Dauer der Datenverarbeitung, den Zweck der Verwendung, die Übermittlung der Daten und die Inanspruchnahme eines Auftragsverarbeiters. Der Vertrag muss unmissverständlich klarstellen, dass die betroffene Person mit ihrer Unterschrift in die Verarbeitung ihrer Daten gemäß den Vertragsbestimmungen einwilligt.
Das Recht auf Schutz personenbezogener Daten und das Persönlichkeitsrecht der betroffenen Person dürfen – sofern das Gesetz keine Ausnahme macht – nicht durch andere Interessen der Datenverarbeitung, einschließlich der Öffentlichkeit von Daten von öffentlichem Interesse, verletzt werden.
II.3. Grundlagen der Datenverarbeitung
Ist die Rechtsgrundlage der Datenverarbeitung die Einwilligung der betroffenen Person, so gilt die erforderliche vorherige und ausdrückliche Einwilligung zur Verarbeitung personenbezogener Daten nur dann als rechtlich akzeptabel, wenn alle drei inhaltlichen Anforderungen, nämlich
Im Falle einer auf Einwilligung basierenden Datenverarbeitung muss die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten schriftlich erteilt werden. Die Einwilligung zur Datenverarbeitung kann durch eine schriftliche Erklärung der betroffenen Person oder durch Ausfüllen und Unterzeichnen eines vom Datenverantwortlichen bereitgestellten Formulars erteilt werden. Die Einwilligung zur Datenverarbeitung gilt auch dann als erteilt, wenn die betroffene Person beim Besuch der Webseite der Gesellschaft das entsprechende Kästchen zur Einwilligung ankreuzt, technische Einstellungen zur Inanspruchnahme von Dienstleistungen der Informationsgesellschaft vornimmt oder jede andere Erklärung oder Handlung abgibt, die im betreffenden Zusammenhang eindeutig auf die Einwilligung der betroffenen Person zur geplanten Verarbeitung ihrer personenbezogenen Daten hinweist. Schweigen, ein vom Datenverantwortlichen vorausgewähltes Kästchen oder Untätigkeit gelten nicht als Einwilligung. Die Einwilligung erstreckt sich unabhängig von der Art ihrer Erteilung auf alle Datenverarbeitungstätigkeiten zum selben Zweck. Wenn die Datenverarbeitung mehreren Zwecken dient, muss die Einwilligung für alle Zwecke der Datenverarbeitung erteilt werden.
Wenn die betroffene Person ihre Einwilligung im Rahmen einer schriftlichen Erklärung erteilt, die sich auch auf andere Angelegenheiten bezieht, muss der Antrag auf Einwilligung klar von diesen anderen Angelegenheiten unterscheidbar, in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache gestellt werden. Jeder Teil einer solchen Erklärung, der gegen die GDPR-Verordnung verstößt, ist nicht verbindlich.
Der Datenverantwortliche darf den Abschluss oder die Erfüllung eines Rechtsgeschäfts nicht von der Einwilligung zur Verarbeitung personenbezogener Daten abhängig machen, die für den Abschluss oder die Erfüllung des Rechtsgeschäfts nicht erforderlich sind. Der Widerruf der Einwilligung muss in ebenso einfacher Weise möglich sein wie ihre Erteilung. Wurde die Erhebung personenbezogener Daten mit Einwilligung der betroffenen Person durchgeführt, kann der Datenverantwortliche die erhobenen Daten auch nach Widerruf der Einwilligung weiterverarbeiten, sofern dies zur Erfüllung einer gesetzlichen Verpflichtung oder zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist und diese Interessen die Beschränkung des Rechts auf Schutz personenbezogener Daten und Persönlichkeitsrechte der betroffenen Person verhältnismäßig berücksichtigen.
Der Datenverantwortliche veröffentlicht auf seiner Webseite eine Datenschutzerklärung, die die betroffenen Personen umfassend über alle Aspekte der Verarbeitung ihrer Daten informiert, insbesondere über den Zweck und die Rechtsgrundlage der Datenverarbeitung, die berechtigte Person zur Datenverarbeitung und -verarbeitung, die Dauer der Datenverarbeitung sowie darüber, ob die Daten der betroffenen Person auf Grundlage berechtigter Interessen des Datenverantwortlichen verarbeitet werden und wer Zugriff auf die Daten hat. Die betroffenen Personen sind über die Verfügbarkeit der Datenschutzerklärung zu informieren.
Personenbezogene Daten dürfen auch dann verarbeitet werden, wenn die Einholung der Einwilligung der betroffenen Person unmöglich oder mit unverhältnismäßigem Aufwand verbunden wäre und die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen erforderlich ist oder zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist und diese Interessen die Beschränkung des Rechts auf Schutz personenbezogener Daten und Persönlichkeitsrechte der betroffenen Person verhältnismäßig berücksichtigen.
Ist die betroffene Person aufgrund ihrer Handlungsunfähigkeit oder anderer unvermeidbarer Umstände nicht in der Lage, ihre Einwilligung zu erteilen, so dürfen ihre personenbezogenen Daten in dem Maße verarbeitet werden, wie dies zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer Personen sowie zur Abwehr oder Vermeidung unmittelbarer Gefahren für das Leben, die körperliche Unversehrtheit oder das Eigentum von Personen erforderlich ist.
Wurde die Erhebung personenbezogener Daten mit Einwilligung der betroffenen Person durchgeführt, kann der Datenverantwortliche die erhobenen Daten auch nach Widerruf der Einwilligung weiterverarbeiten, sofern dies zur Erfüllung einer gesetzlichen Verpflichtung oder zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist und diese Interessen die Beschränkung des Rechts auf Schutz personenbezogener Daten und Persönlichkeitsrechte der betroffenen Person verhältnismäßig berücksichtigen.
In bestimmten Fällen basiert die Datenverarbeitung ohne Einwilligung auf einer anderen Rechtsgrundlage gemäß Artikel 6 der GDPR-Verordnung.
II.4. Speicherung der Daten
Die verarbeiteten Daten sind so zu speichern, dass Unbefugte keinen Zugriff darauf haben.
Bei papierbasierten Datenträgern ist dies durch die Einrichtung eines physischen Aufbewahrungs- und Archivierungssystems zu gewährleisten, bei elektronisch verarbeiteten Daten durch den Einsatz eines zentralen Berechtigungsverwaltungssystems. Papierbasierte Datenträger sind mithilfe eines Aktenvernichters oder durch Inanspruchnahme eines externen, auf Aktenvernichtung spezialisierten Unternehmens zu vernichten.
Die Methode der IT-gestützten Speicherung der Daten ist so zu wählen, dass eine Löschung – auch bei unterschiedlichen Löschfristen – nach Ablauf der Löschfrist bzw. bei sonstigem Bedarf durchgeführt werden kann. Die Löschung muss unwiderruflich sein. Bei elektronischen Datenträgern (Festplatten, optische Datenträger, Magnetdatenträger, Drucker, Speicher von Multifunktionsgeräten, Flash-Speicher (NAND), SIM-Karten, mobile Geräte, Telefone, PDAs, Tablets, Laptops usw.) ist die physische Vernichtung der Datenträger gemäß den Vorschriften zur Aussortierung elektronischer Datenträger durchzuführen, ggf. nach vorheriger sicherer und unwiderruflicher Löschung der Daten. Die Vernichtung der Datenträger ist zu überwachen, zu dokumentieren und die Dokumentation ist in einer nachvollziehbaren Weise aufzubewahren und ggf. zu archivieren.
II.5. Rechte der Betroffenen:
Die betroffene Person hat das Recht, vom Datenverantwortlichen jederzeit Auskunft über die von ihm verarbeiteten, sie betreffenden personenbezogenen Daten zu verlangen, die Berichtigung ihrer personenbezogenen Daten zu verlangen, die Löschung, den Widerruf oder die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen – mit Ausnahme der verpflichtenden Datenverarbeitung – und sie hat das Recht auf Datenübertragbarkeit, Widerspruch und Rechtsmittel gemäß dieser Richtlinie und kann dies per Brief an die in dieser Richtlinie angegebene E-Mail-Adresse des Datenverantwortlichen tun:
II.5.1. Recht auf vorherige Information
Die betroffene Person hat das Recht, vor Beginn der Datenverarbeitung über die damit verbundenen Tatsachen und Informationen informiert zu werden. (Artikel 13-14 GDPR-Verordnung)
A.) Bereitstellende Informationen, wenn personenbezogene Daten von der betroffenen Person erhoben werden:
Bei neu begonnenen Datenverarbeitungen, bei denen der Datenverantwortliche personenbezogene Daten von der betroffenen Person erhebt, sind der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten - und wenn die betroffene Person nachträglich Auskunft verlangt, auch zu diesem Zeitpunkt - die folgenden Informationen zur Verfügung zu stellen:
1. Identität und Kontaktdaten des Datenverantwortlichen und gegebenenfalls seines Vertreters;
2. Kontaktdaten des Datenschutzbeauftragten (Verantwortlicher für den Datenschutz);
3. Zweck der geplanten Verarbeitung der personenbezogenen Daten sowie die Rechtsgrundlage der Verarbeitung;
4. wenn die Verarbeitung auf berechtigten Interessen beruht, die berechtigten Interessen des Datenverantwortlichen oder eines Dritten;
5. Empfänger der personenbezogenen Daten, sofern vorhanden, sowie die Kategorien von Empfängern;
6. gegebenenfalls die Tatsache, dass der Datenverantwortliche beabsichtigt, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses oder, bei einer solchen Übermittlung, geeignete und angemessene Garantien sowie die Mittel, um eine Kopie davon zu erhalten oder wo sie verfügbar sind;
7. Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
8. Information über das Recht der betroffenen Person, vom Datenverantwortlichen Zugang zu den sie betreffenden personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung (Sperrung) zu verlangen und der Verarbeitung dieser personenbezogenen Daten zu widersprechen sowie das Recht auf Datenübertragbarkeit;
9. wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, die Information, dass die Einwilligung jederzeit widerrufen werden kann, ohne die Rechtmäßigkeit der auf der Einwilligung bis zum Widerruf beruhenden Verarbeitung zu berühren;
10. das Recht der betroffenen Person, bei einer Aufsichtsbehörde Beschwerde einzureichen;
11. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist oder für den Abschluss eines Vertrags erforderlich ist sowie ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte;
12. gegebenenfalls die Tatsache des Vorhandenseins einer automatisierten Entscheidungsfindung, einschließlich Profiling, und zumindest in diesen Fällen aussagekräftige Informationen über die verwendete Logik sowie die Bedeutung und die voraussichtlichen Auswirkungen einer solchen Verarbeitung für die betroffene Person.
B.) Bereitstellende Informationen, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden
Wenn der Datenverantwortliche personenbezogene Daten, die die betroffene Person betreffen, nicht von der betroffenen Person erhebt, stellt er der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und bei der Erstellung der Mitteilung die oben genannten Informationen sowie darüber hinaus die Quelle der personenbezogenen Daten und ob die Daten aus öffentlich zugänglichen Quellen stammen, zur Verfügung.
Verfahren der vorherigen Information:
Auf Antrag der betroffenen Person informiert der Datenverantwortliche die betroffene Person über die von ihm verarbeiteten personenbezogenen Daten sowie über die oben genannten Informationen. Der Informationsantrag kann per E-Mail an die in dieser Richtlinie angegebene E-Mail-Adresse des Datenverantwortlichen gestellt werden.
Der Datenverantwortliche ist verpflichtet:
1. innerhalb einer angemessenen Frist, jedoch spätestens innerhalb eines Monats ab dem Zeitpunkt der Erhebung der personenbezogenen Daten oder ab dem Zeitpunkt der Antragstellung, unter Berücksichtigung der konkreten Umstände der Datenverarbeitung;
2. wenn personenbezogene Daten zum Zwecke der Kontaktaufnahme mit der betroffenen Person verwendet werden, spätestens bei der ersten Kontaktaufnahme mit der betroffenen Person; oder
3. wenn die personenbezogenen Daten voraussichtlich an einen anderen Empfänger weitergegeben werden, spätestens bei der ersten Weitergabe der personenbezogenen Daten, in verständlicher Form, der betroffenen Person auf Antrag schriftlich die Information bereitzustellen.
Die Information ist der betroffenen Person in der von ihr gewünschten Form zu übermitteln. Sofern kein ausdrücklicher Antrag vorliegt, erfolgt die Bereitstellung der Information primär per E-Mail, sekundär als Postsendung, sofern dem Datenverantwortlichen die für die Nutzung der Kommunikationsform erforderlichen Daten vorliegen und die Identität der betroffenen Person zweifelsfrei festgestellt werden kann. Falls die Identität der betroffenen Person nicht zweifelsfrei festgestellt werden kann, informiert der Datenverantwortliche die betroffene Person darüber nach Möglichkeit auf geeignete Weise. In solchen Fällen gewährt der Datenverantwortliche die Rechte der betroffenen Person, wenn die betroffene Person zur Ausübung ihrer Rechte zusätzliche Informationen zur Identifizierung bereitstellt.
Falls der Datenverantwortliche eine Datenverarbeitung zu einem anderen als dem ursprünglichen Zweck vornehmen möchte und dies zulässig ist, informiert er die betroffene Person vor der weiteren Verarbeitung unter Berücksichtigung der entsprechenden Vorschriften der GDPR-Verordnung über diesen anderen Zweck und über alle oben genannten Informationen.
Der Datenverantwortliche darf die Information nur in den gesetzlich bestimmten Fällen und im gesetzlich bestimmten Umfang verweigern, wenn und soweit:
1. die betroffene Person bereits über die Information verfügt;
2. die Bereitstellung der Information unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde, insbesondere wenn die Datenverarbeitung für Zwecke der öffentlichen Archivierung, wissenschaftlichen oder historischen Forschung oder für statistische Zwecke erfolgt und die entsprechenden Bedingungen und Garantien berücksichtigt werden oder wenn diese Verpflichtung voraussichtlich die Erreichung dieser Datenverarbeitungszwecke unmöglich machen oder ernsthaft gefährden würde. In solchen Fällen trifft der Datenverantwortliche angemessene Maßnahmen, einschließlich der öffentlichen Zugänglichmachung der Informationen, zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person;
3. die Erhebung oder Weitergabe der Daten durch das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Datenverantwortliche unterliegt, ausdrücklich vorgeschrieben ist und das Recht angemessene Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht; oder
4. die personenbezogenen Daten aufgrund einer im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehenen beruflichen Geheimhaltungspflicht, einschließlich einer gesetzlichen Geheimhaltungspflicht, vertraulich zu behandeln sind.
Im Falle der Verweigerung der Information teilt der Datenverantwortliche der betroffenen Person schriftlich mit, auf welcher gesetzlichen Grundlage und welcher Bestimmung die Verweigerung der Auskunft beruht. Der Datenverantwortliche informiert die betroffene Person über die Möglichkeit des gerichtlichen Rechtsschutzes und des Anrufs einer Aufsichtsbehörde.
Die Auskunft ist kostenlos, wenn der Auskunftsersuchende im laufenden Jahr keinen Auskunftsantrag zu denselben Datenkategorien beim Datenverantwortlichen gestellt hat. In anderen Fällen und wenn der Antrag eindeutig unbegründet oder besonders wegen seines wiederholenden Charakters übertrieben ist, kann eine Gebühr erhoben werden oder der Datenverantwortliche kann weitere Maßnahmen aufgrund des Antrags verweigern.
Bereits gezahlte Gebühren sind zu erstatten, wenn die Daten unrechtmäßig verarbeitet wurden oder die Auskunft zur Berichtigung geführt hat.
II.5.2. Recht auf Zugang der betroffenen Person
Die betroffene Person hat das Recht, vom Datenverantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, hat sie das Recht auf Zugang zu diesen personenbezogenen Daten und den folgenden Informationen:
1. Zweck der Verarbeitung;
2. Kategorien der betroffenen personenbezogenen Daten;
3. Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen;
4. gegebenenfalls die geplante Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
5. das Recht der betroffenen Person, vom Datenverantwortlichen die Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder die Einschränkung der Verarbeitung zu verlangen oder der Verarbeitung zu widersprechen;
6. das Recht, bei einer Aufsichtsbehörde Beschwerde einzureichen;
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
8. das Vorhandensein einer automatisierten Entscheidungsfindung einschließlich Profiling und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person;
9. Wenn personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden, hat die betroffene Person das Recht, über die geeigneten Garantien im Zusammenhang mit der Übermittlung informiert zu werden.
II.5.3. Recht auf Berichtigung
Die betroffene Person hat jederzeit das Recht, die Berichtigung ihrer unrichtigen oder ungenauen Daten zu verlangen.
Wenn die betroffene Person anzeigt, dass die vom Datenverantwortlichen verarbeiteten Daten nicht korrekt sind, identifiziert der Datenschutzbeauftragte die betroffene Person und sorgt für die Berichtigung der Daten. Der Bedarf zur Berichtigung der Daten wird dem Systemadministrator des betroffenen IT-Systems des Datenverantwortlichen gemeldet, wobei die korrekten Daten angegeben werden.
Wenn die korrekten Daten nicht verfügbar sind, fordert der Datenschutzbeauftragte die betroffene Person auf, die korrekten Daten anzugeben. Wenn die korrekten Daten nicht festgestellt werden können, sorgt der Datenschutzbeauftragte für die Sperrung der unrichtigen Daten und informiert die betroffene Person, dass die Berichtigung der Daten mangels korrekter Daten nicht möglich ist, die Daten jedoch gesperrt wurden.
II.5.4. Recht auf Löschung („Recht auf Vergessenwerden“)
A.) Die betroffene Person hat das Recht, vom Datenverantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Datenverantwortliche ist verpflichtet, die personenbezogenen Daten der betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:
1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;
2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es gibt keine andere Rechtsgrundlage für die Verarbeitung;
3. Die betroffene Person legt Widerspruch gegen die Verarbeitung ein, die zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist, und es gibt keine vorrangigen berechtigten Gründe für die Verarbeitung, oder die betroffene Person legt Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten zum Zwecke der Direktwerbung ein;
4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Datenverantwortliche unterliegt;
6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß der Verordnung erhoben.
Wenn der Datenverantwortliche die personenbezogenen Daten öffentlich gemacht hat und zur Löschung verpflichtet ist, trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen – einschließlich technischer Maßnahmen –, um andere für die Verarbeitung Verantwortliche darüber zu informieren, dass die betroffene Person von ihnen die Löschung der Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
B.) Die Löschung ist nicht erforderlich, wenn die Verarbeitung erforderlich ist:
1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
2. zur Erfüllung einer rechtlichen Verpflichtung;
3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, sofern die Löschung die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt; oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Der Datenverantwortliche löscht oder anonymisiert auch personenbezogene Daten der betroffenen Person, die in seinen IT-Systemen und Papierdokumentationen enthalten sind, sofern gesetzlich nichts anderes bestimmt ist und der Zweck der Verarbeitung personenbezogener Daten erloschen ist.
C.) Wenn die Löschung personenbezogener Daten ohne Beeinträchtigung des Dokuments, das sie enthält, nicht möglich ist:
1. Wenn der Datenverantwortliche oder ein Dritter ein berechtigtes Interesse an der Aufbewahrung des Dokuments hat, bewahrt der Datenverantwortliche das Dokument für die gemäß den Dokumentationsvorschriften festgelegte Zeitdauer auf und bewahrt es im Falle eines Löschungsantrags verschlossen auf, informiert die betroffene Person darüber und vernichtet das Dokument nach Ablauf der in den Dokumentationsvorschriften festgelegten Zeitdauer zusammen mit den personenbezogenen Daten;
2. Wenn der Datenverantwortliche und ein Dritter kein berechtigtes Interesse an der Aufbewahrung des Dokuments haben, vernichtet der Datenverantwortliche das Dokument zusammen mit den personenbezogenen Daten.
Die Löschung der Daten wird in jedem Fall vom Datenschutzbeauftragten in Zusammenarbeit mit der betroffenen Organisationseinheit und dem Systemadministrator des IT-Systems des Datenverantwortlichen durchgeführt.
Der Datenverantwortliche löscht die personenbezogenen Daten unwiderruflich aus seinen IT-Systemen, sofern dies möglich ist, und sorgt dafür, dass die Löschung der personenbezogenen Daten auch in der archivierten Version des IT-Systems durchgeführt wird. Für die Löschung ist die für das IT-System verantwortliche Person verantwortlich.
Wenn eine unwiderrufliche Löschung aus IT-technischen Gründen nicht durchführbar ist, führt der Datenverantwortliche eine logische Löschung der Daten durch. Bei der logischen Löschung wird das personenbezogene Datum durch eine Kennung ersetzt, die verhindert, dass die weiteren Daten, die dem personenbezogenen Datum zugeordnet sind, später mit der betroffenen Person in Verbindung gebracht werden können.
Bei Papierdokumentationen ist deren Vernichtung durch ein Protokoll zu dokumentieren. Das Protokoll muss enthalten: den Typ der vernichteten Dokumente, Informationen zur Identifizierung der vernichteten Dokumente, den Zeitpunkt der Vernichtung und den Namen und die Position der Person, die die Vernichtung durchgeführt hat, bei einem externen Partner den Namen des externen Partners.
Wenn die Löschung der Daten gesetzlich vorgeschrieben ist, aber aufgrund des berechtigten Interesses der betroffenen Person nicht möglich ist, sind die personenbezogenen Daten oder die personenbezogenen Daten enthaltenden elektronischen oder Papierdokumente zu sperren. In diesem Fall dürfen nur der Systemadministrator des IT-Systems oder der Datenschutzbeauftragte auf die im IT-System gespeicherten Daten oder Dokumente zugreifen. Bei Papierdokumentationen ist deren Aufbewahrung in einem verschließbaren Schrank zu gewährleisten. Der Datenverantwortliche beendet den Zugang der Benutzer zu den elektronischen Kopien der Papierdokumentationen im internen System.
II.5.5. Widerspruchsrecht
Der betroffenen Person ist es jederzeit zu ermöglichen, gegen die Verarbeitung ihrer personenbezogenen Daten, die auf Artikel 6 Absatz 1 Buchstabe e (Verarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Datenverantwortlichen übertragen wurde) oder Buchstabe f (Verarbeitung zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten) der GDPR-Verordnung beruht, Widerspruch einzulegen.
In diesem Fall darf der Datenverantwortliche die personenbezogenen Daten nicht weiterverarbeiten, es sei denn, der Datenverantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn personenbezogene Daten zum Zwecke der Direktwerbung verarbeitet werden, hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten zu diesem Zweck einzulegen, einschließlich Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. In diesem Fall dürfen die personenbezogenen Daten nicht mehr zu diesem Zweck verarbeitet werden.
Die betroffene Person ist spätestens bei der ersten Kontaktaufnahme ausdrücklich auf diese Rechte hinzuweisen und die Information darüber ist in klarer und verständlicher Form von anderen Informationen getrennt darzustellen.
Wenn personenbezogene Daten für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden, hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Der Widerspruch der betroffenen Person kann - sofern gesetzlich nichts anderes bestimmt ist - per E-Mail an den Datenverantwortlichen übermittelt werden. Der Datenschutzbeauftragte identifiziert die betroffene Person schnellstmöglich, prüft den Widerspruch und entscheidet über dessen Berechtigung und informiert die betroffene Person über seine Entscheidung.
II.5.6. Recht auf Einschränkung der Verarbeitung
Die betroffene Person hat das Recht, vom Datenverantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
1. die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten, in diesem Fall gilt die Einschränkung für die Dauer, die es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
2. die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen die Einschränkung der Nutzung der Daten;
3. der Datenverantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, aber die betroffene Person benötigt sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
4. die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, aber die berechtigten Interessen des Datenverantwortlichen können ebenfalls die Verarbeitung rechtfertigen, in diesem Fall ist die Verarbeitung einzuschränken, bis festgestellt ist, ob die berechtigten Gründe des Datenverantwortlichen gegenüber den berechtigten Gründen der betroffenen Person überwiegen.
Wenn die Verarbeitung eingeschränkt ist, dürfen diese personenbezogenen Daten - abgesehen von ihrer Speicherung - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Der Datenverantwortliche informiert die betroffene Person, auf deren Antrag die Verarbeitung eingeschränkt wurde, vor der Aufhebung der Einschränkung.
II.5.7. Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie an einen anderen Datenverantwortlichen zu übermitteln, ohne dass der Datenverantwortliche, dem die personenbezogenen Daten bereitgestellt wurden, dies behindert, wenn:
1. die Verarbeitung auf Einwilligung oder einem Vertrag beruht und
2. die Verarbeitung automatisiert erfolgt.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Datenverantwortlichen an einen anderen übermittelt werden, soweit dies technisch machbar ist.
Die Ausübung dieses Rechts darf nicht die Rechte und Freiheiten anderer beeinträchtigen und findet keine Anwendung, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt erfolgt, die dem Datenverantwortlichen übertragen wurde.
II.5.8. Rechte der betroffenen Person im Zusammenhang mit automatisierten Entscheidungen, einschließlich Profiling
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die Entscheidung:
1. ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Datenverantwortlichen erforderlich;
2. ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Datenverantwortliche unterliegt, zulässig und diese Rechtsvorschriften enthalten angemessene Maßnahmen zur Wahrung der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person; oder
3. beruht auf der ausdrücklichen Einwilligung der betroffenen Person.
In den in den Punkten 1 und 3 genannten Fällen trifft der Datenverantwortliche angemessene Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, einschließlich des Rechts der betroffenen Person, menschliches Eingreifen seitens des Datenverantwortlichen zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten.
II.5.9. Benachrichtigung über Berichtigung, Löschung oder Einschränkung der Verarbeitung
Der Datenverantwortliche informiert alle Empfänger über jede Berichtigung, Löschung oder Einschränkung der Verarbeitung, denen die personenbezogenen Daten offengelegt wurden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Datenverantwortliche informiert die betroffene Person auf Anfrage über diese Empfänger.
II.5.10. Information der betroffenen Person über eine Datenschutzverletzung
Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, informiert der Datenverantwortliche die betroffene Person unverzüglich über die Datenschutzverletzung.
Die Benachrichtigung muss die Art der Datenschutzverletzung in klarer und verständlicher Sprache erläutern, den Namen und die Kontaktdaten der zuständigen Ansprechperson mitteilen, die wahrscheinlichen Folgen der Datenschutzverletzung beschreiben und die vom Datenverantwortlichen ergriffenen oder geplanten Maßnahmen zur Behebung der Datenschutzverletzung darlegen, einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Folgen.
Die betroffene Person muss nicht informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:
1. Der Datenverantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen ergriffen und diese Maßnahmen wurden auf die von der Datenschutzverletzung betroffenen Daten angewendet, insbesondere Maßnahmen wie die Verschlüsselung, die die Daten für unbefugte Personen unverständlich machen;
2. Der Datenverantwortliche hat nach der Datenschutzverletzung Maßnahmen ergriffen, um sicherzustellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person wahrscheinlich nicht mehr besteht;
3. Die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern.
In solchen Fällen werden die betroffenen Personen durch öffentlich zugängliche Informationen oder durch ähnliche Maßnahmen informiert, die eine ebenso wirksame Benachrichtigung der betroffenen Personen sicherstellen.
Wenn der Datenverantwortliche die betroffene Person noch nicht über die Datenschutzverletzung informiert hat, kann die Aufsichtsbehörde, nachdem sie abgewogen hat, ob die Datenschutzverletzung voraussichtlich ein hohes Risiko mit sich bringt, anordnen, dass die betroffene Person benachrichtigt wird, oder feststellen, dass keine Benachrichtigung erforderlich ist.
II.5.11. Recht auf Rechtsbehelfe
Recht auf Beschwerde bei einer Aufsichtsbehörde (Recht auf behördlichen Rechtsbehelf)
Die betroffene Person hat das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, informiert den Beschwerdeführer über den Fortgang und das Ergebnis der Beschwerde, einschließlich des Rechts auf gerichtlichen Rechtsbehelf.
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Natürliche und juristische Personen haben das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine rechtsverbindliche Entscheidung einer Aufsichtsbehörde, die sie betrifft, oder wenn die Aufsichtsbehörde eine Beschwerde nicht bearbeitet oder die betroffene Person innerhalb von drei Monaten nicht über den Fortgang oder das Ergebnis der eingereichten Beschwerde informiert.
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen den Datenverantwortlichen oder den Auftragsverarbeiter
Jede betroffene Person hat das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten nicht im Einklang mit der Datenschutz-Grundverordnung steht und ihre Rechte gemäß der Verordnung verletzt wurden.
Die betroffene Person kann ihre Rechte bei Verletzung durch den Datenverantwortlichen vor Gericht oder bei der Datenschutzbehörde geltend machen. Beschwerden und Rechtsbehelfe können bei der Nationalen Behörde für Datenschutz und Informationsfreiheit unter den folgenden Kontaktdaten eingereicht werden:
Adresse: 1055 Budapest, Falk Miksa utca 9-11.
Postanschrift: 1363 Budapest, Pf.: 9.
Telefon: +36 (30) 683-5969 / +36 (30) 549-6838 / +36 (1) 391 1400
Fax: +36 (1) 391-1410
E-Mail: ugyfelszolgalat@naih.hu
Website: www.naih.hu
II.5.12. Einreichung eines Antrags der betroffenen Person, Maßnahmen des Datenverantwortlichen
Der Datenverantwortliche unterstützt die betroffene Person bei der Ausübung ihrer in diesem Kapitel und im Gesetz festgelegten Rechte. Der Datenverantwortliche kann die Erfüllung des Antrags der betroffenen Person zur Ausübung ihrer Rechte nur verweigern, wenn er nachweist, dass er die betroffene Person nicht identifizieren kann.
Der Datenverantwortliche informiert die betroffene Person unverzüglich, spätestens jedoch innerhalb von 30 Tagen nach Eingang des Antrags, über die aufgrund des Antrags ergriffenen Maßnahmen zur Ausübung ihrer Rechte. Bei Bedarf kann diese Frist unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei weitere Monate verlängert werden. Der Datenverantwortliche informiert die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Verlängerung der Frist und die Gründe für die Verzögerung.
Die Informationen sind nach Möglichkeit auf elektronischem Wege zu übermitteln, es sei denn, die betroffene Person verlangt etwas anderes.
Wenn der Datenverantwortliche auf den Antrag der betroffenen Person hin keine Maßnahmen ergreift, informiert er die betroffene Person unverzüglich, spätestens jedoch innerhalb von 30 Tagen nach Eingang des Antrags, über die Gründe für das Unterbleiben der Maßnahmen und darüber, dass die betroffene Person Beschwerde bei einer Aufsichtsbehörde einlegen und ihren Rechtsbehelf vor Gericht geltend machen kann.
Der Datenverantwortliche stellt die Informationen zur Verarbeitung personenbezogener Daten, die Informationen über die Rechte der betroffenen Person und die Maßnahmen kostenlos zur Verfügung. Wenn der Antrag der betroffenen Person offensichtlich unbegründet oder aufgrund seines wiederholten Charakters übertrieben ist, kann der Datenverantwortliche unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder der Mitteilung oder der Ergreifung der beantragten Maßnahme:
1. eine Gebühr erheben oder
2. die Ergreifung der Maßnahme aufgrund des Antrags verweigern.
Die erhobene Gebühr beträgt 3.000 HUF pro Datensatzanforderung.
Der Datenverantwortliche trägt die Beweislast dafür, dass der Antrag offensichtlich unbegründet oder übertrieben ist. Wenn der Datenverantwortliche berechtigte Zweifel an der Identität der natürlichen Person hat, die den Antrag stellt, kann er zusätzliche Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
II.5.13. Maßnahmen zum Schutz personenbezogener Daten während der Verarbeitung
Die Benutzer des IT-Systems des Datenverantwortlichen sowie andere Personen, die in Kontakt mit personenbezogenen Daten kommen, müssen die folgenden Vorschriften zum Schutz personenbezogener Daten einhalten.
Dokumente, die während der Arbeit personenbezogene Daten enthalten, dürfen nur auf für die Arbeit vorgesehenen Computergeräten geöffnet werden. Die Zugangscodes zu den für die Arbeit vorgesehenen Geräten müssen von den Mitarbeitern vertraulich behandelt werden.
E-Mails, die Dokumente enthalten, die personenbezogene Daten enthalten, und die auf für die Arbeit vorgesehenen Mobiltelefonen empfangen werden, sollten nach Möglichkeit nur auf Desktop-Computern geöffnet werden. Wenn das Öffnen über ein Mobiltelefon erforderlich ist, muss die lokale Kopie immer vom Mobiltelefon gelöscht werden. Das für die Arbeit verwendete Mobiltelefon, auf dem personenbezogene Daten gespeichert oder verarbeitet werden, muss immer mit einem eingebauten grafischen oder Code-Schutz verwendet werden.
Notebooks und andere Arbeitsstationen, die für die Arbeit zur Verfügung gestellt werden, dürfen nur von den Benutzern verwendet werden; die Nutzung durch Angehörige oder andere Personen ist nicht gestattet.
Papierdokumente, die nicht mehr benötigt werden, müssen so vernichtet werden (z. B. durch Schreddern), dass deren Inhalt nach der Vernichtung nicht mehr festgestellt werden kann.
Im Falle der Beendigung des Arbeitsverhältnisses muss der Mitarbeiter dem Datenverantwortlichen alle Papier- und elektronischen Dokumente und Daten, die personenbezogene Daten enthalten, vor dem letzten Tag des Arbeitsverhältnisses zurückgeben und darf keine Kopien davon behalten.
Es ist verboten, personenbezogene Daten des Datenverantwortlichen auf privaten Geräten zu speichern, es sei denn, die Speicherung ist für die Arbeit unbedingt erforderlich, wurde vom Vertreter des Datenverantwortlichen genehmigt und wird nach der Arbeit unverzüglich und unwiederbringlich gelöscht.
Alle Mitarbeiter sind verpflichtet, ihren Arbeitsbereich so zu gestalten, dass personenbezogene Daten, die sich in der Verarbeitung oder Verwaltung des Datenverantwortlichen befinden, nicht frei zugänglich sind. Zu diesen Maßnahmen gehören insbesondere: Passwortschutz für Computergeräte, Schließen des Büros, Aufbewahrung von Dokumenten an einem sicheren Ort.
Personenbezogene Daten dürfen nur über sichere Kommunikationskanäle oder mit geeigneten Verschlüsselungslösungen an andere Personen übermittelt werden. Sofern nicht anders angegeben, gilt der interne E-Mail-Verkehr des Datenverantwortlichen als sicherer Zustellkanal. Bei externer Übermittlung personenbezogener Daten ist für deren Verschlüsselung zu sorgen, bei Papierdokumenten durch Übergabe in einem verschlossenen Umschlag.
Wenn der Datenverantwortliche personenbezogene Daten von einem anderen Datenverantwortlichen erhält, ist es Pflicht aller Benutzer, die mit diesen Daten in Berührung kommen, die Anweisungen des Datenübermittlers zu beachten.
Im Falle der Übermittlung personenbezogener Daten müssen alle Informationen, die zur Führung des Übertragungsprotokolls erforderlich sind, innerhalb von 3 Arbeitstagen elektronisch an den Datenschutzbeauftragten übermittelt werden.
Personenbezogene Daten dürfen nicht an externe Personen weitergegeben werden.
III. Datenschutzsystem der Hungary-Meat Kft.
Der Datenverantwortliche bestimmt die Organisation des Datenschutzes innerhalb der Gesellschaft und die damit verbundenen spezifischen Aufgaben und Zuständigkeiten unter Berücksichtigung der geschäftlichen und wirtschaftlichen Tätigkeit und der damit verbundenen sonstigen Aufgaben der Gesellschaft und ernennt die für die Überwachung der Datenverarbeitung und des Datenschutzes verantwortliche Person.
Die Überwachung des Datenschutzsystems der HUNGARY-MEAT Kft. obliegt dem Geschäftsführer.
ZUSTÄNDIGKEITEN UND AUFGABEN IM ZUSAMMENHANG MIT DEM DATENSCHUTZ
Der Geschäftsführer der HUNGARY-MEAT Kft. im Zusammenhang mit dem Datenschutz:
Mitarbeiter, die an der Datenverarbeitung beteiligt sind:
IV. Datenverarbeitungstätigkeiten und deren Umsetzung bei der Hungary-Meat Kft., ihre Grundlagen, Rechtsgrundlagen, die Zustimmung dazu und die Speicherung sowie Vernichtung bestehender Daten.
IV.1. Bei der HUNGARY-MEAT Kft. als Datenverantwortlicher werden folgende Datenverarbeitungstätigkeiten durchgeführt:
Die Aufzeichnung der Datenschutzaktivitäten bei der HUNGARY-MEAT Kft. ist das zentrale Verzeichnis der einzelnen personenbezogenen Datenverarbeitungen und -tätigkeiten des Unternehmens, in dem die bestehenden und neuen Datenverarbeitungen sowie Änderungen früherer Datenverarbeitungen verzeichnet werden, während eingestellte Datenverarbeitungen aus dem Verzeichnis gelöscht werden müssen. Die in diesem Verzeichnis aufgeführten Datenverarbeitungsprozesse und -tätigkeiten sind detailliert beschrieben und umfassen die spezifischen personenbezogenen Daten sowie deren Merkmale, wie sie im Dokument „Verzeichnis der Datenverarbeitungstätigkeiten“, das einen integralen Bestandteil dieser Datenschutz- und Datensicherheitsrichtlinie und Anhang 2 bildet, beschrieben sind.
IV.1.1.) Datenverarbeitung im Zusammenhang mit Beschäftigungsverhältnissen (Arbeitsverhältnis und Auftragsverhältnis):
-> Datenverarbeitungstätigkeiten im Zusammenhang mit den personenbezogenen Daten von Stellenbewerbern: Der Datenverantwortliche ist bestrebt, seine Tätigkeit zu verbessern und möchte daher die Arbeitsprozesse mit den am besten geeigneten Beschäftigten durchführen. Im Rahmen der Personalsuche und -rekrutierung verarbeitet das Unternehmen personenbezogene Daten. Der Hinweis auf die Verfügbarkeit der Datenschutzerklärung muss immer in der Stellenanzeige enthalten sein. Der Datenverantwortliche verpflichtet sich, dass diese am Sitz des Unternehmens immer verfügbar ist und auf Wunsch des Bewerbers auch elektronisch zur Verfügung gestellt wird.
Anonyme Stellenanzeigen sind verboten. Im Falle zu besetzender Stellen ist der Name des Unternehmens als Arbeitgeber anzugeben.
Die beim Datenverantwortlichen eingehenden Lebensläufe und sonstigen mit der Bewerbung zusammenhängenden Unterlagen werden während der Bewerbungsfrist vom HR-Leiter/HR-Mitarbeiter/Geschäftsführer des Unternehmens in einem abschließbaren Schrank getrennt von den personenbezogenen Daten der nicht betroffenen Personen aufbewahrt. Die eingereichten Lebensläufe und sonstigen mit der Bewerbung zusammenhängenden Unterlagen werden auch elektronisch in einem passwortgeschützten Ordner auf dem Bürocomputer aufbewahrt. Die beim Unternehmen eingegangenen Lebensläufe und sonstigen mit der Bewerbung zusammenhängenden Unterlagen werden vom HR-Leiter und/oder Geschäftsführer und den Eigentümern des Unternehmens innerhalb von 30 (dreißig) Tagen nach Ablauf der Bewerbungsfrist überprüft. Es werden keine Notizen oder Schlussfolgerungen über den Bewerber erstellt.
Nach Abschluss des Auswahlverfahrens informiert der HR-Leiter und/oder der HR-Mitarbeiter die nicht ausgewählten Bewerber innerhalb von 30 (dreißig) Tagen, und die Lebensläufe sowie sonstigen Bewerbungsunterlagen müssen am 60. (sechzigsten) Tag nach dem Tag der Benachrichtigung vernichtet und die elektronischen Dateien so gelöscht werden, dass sie nicht wiederherstellbar sind. Den nicht ausgewählten Bewerbern muss eine Benachrichtigung zugesandt werden.
Die Datenschutzinformationen und die Einwilligungserklärung, die für die Bewerber vom Datenverantwortlichen verwendet werden, sind in Anhang 3 dieser Richtlinie enthalten, während die Datenschutzinformationen über nicht erfolgreiche Bewerbungen in Anhang 3/1/A dieser Richtlinie enthalten sind.
-> Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten von natürlichen Personen, die bei der Gesellschaft beschäftigt sind: Die Gesellschaft als Arbeitgeber kann gemäß dem Arbeitsgesetzbuch vom Arbeitnehmer nur die Abgabe einer Erklärung oder die Angabe personenbezogener Daten verlangen, die für die Begründung, Erfüllung oder Beendigung des Arbeitsverhältnisses oder für die Geltendmachung eines Anspruchs aus diesem Gesetz erforderlich sind.
Die Gesellschaft als Arbeitgeber kann zur Ausübung ihres Rechts oder zur Erfüllung ihrer Pflicht die Abgabe einer Erklärung oder die Angabe von Daten verlangen, einschließlich der Vorlage von Dokumenten, jedoch ist die Gesellschaft gemäß dem Arbeitsgesetzbuch nicht berechtigt, Kopien von Dokumenten anzufertigen, die personenbezogene Daten enthalten, es sei denn, sie hat eine besondere gesetzliche Ermächtigung.
Es können nur solche Eignungsprüfungen angewendet werden, die durch arbeitsrechtliche Vorschriften vorgeschrieben sind oder die zur Ausübung eines Rechts oder zur Erfüllung einer Pflicht erforderlich sind.
Ohne gesetzliche Ermächtigung kann die Gesellschaft mit Einwilligung der Betroffenen deren Fotos in ihren Publikationen, Präsentationen und auf ihrer Website verwenden.
Die Gesellschaft als Arbeitgeber informiert die betroffenen Personen (ihre Arbeitnehmer) schriftlich über die Datenverarbeitung und deren Umstände vor Abschluss des Arbeitsvertrags. Die Datenschutzinformationen und Einwilligungserklärungen für diese Arbeitnehmer sind in Anhang 3/2 dieser Richtlinie enthalten.
-> Datenverarbeitung im Zusammenhang mit Eignungsprüfungen von natürlichen Personen, die bei der Gesellschaft beschäftigt sind: Es dürfen nur solche Eignungsprüfungen angewendet werden, die durch arbeitsrechtliche Vorschriften vorgeschrieben sind oder zur Ausübung eines Rechts oder zur Erfüllung einer Pflicht erforderlich sind. Die Beschäftigten nehmen an arbeitsmedizinischen Untersuchungen teil. Es wird ausschließlich das Ergebnis der Eignungsprüfung - „geeignet“, „ungeeignet“ oder „bedingt geeignet“ - dokumentiert und von der Gesellschaft verwaltet. Die Ergebnisse sind nur dem geprüften Beschäftigten und dem prüfenden Facharzt bekannt. Der Datenverantwortliche (Arbeitgeber) erhält nur die Information, ob der geprüfte Beschäftigte für die Arbeit geeignet ist oder nicht und welche Bedingungen gegebenenfalls zu gewährleisten sind. Die Einzelheiten der Untersuchung und die vollständige Dokumentation bleiben jedoch unbekannt. Pflichtimpfungen und Tuberkulose-Screenings aufgrund lebensmittelrechtlicher Vorschriften werden durchgeführt.
-> Datenverarbeitung im Zusammenhang mit der Überwachung der Nutzung von Geräten, die für die Arbeit von der Gesellschaft bereitgestellt werden (Computer, Laptop, Firmen-E-Mail-Konto, Mobiltelefon): Der Beschäftigte kann gemäß dem Arbeitsgesetzbuch im Rahmen seines arbeitsbezogenen Verhaltens überwacht werden. In diesem Zusammenhang kann die Gesellschaft als Arbeitgeber technische Mittel einsetzen und den Beschäftigten vorab schriftlich über die Datenverarbeitung und deren Umstände gemäß der Datenschutzinformation in Anhang 3/4 dieser Richtlinie informieren.
Der Arbeitnehmer darf die vom Arbeitgeber für die Arbeit bereitgestellten IT- oder Computergeräte (im Folgenden: Computergeräte) - sofern keine abweichende Vereinbarung besteht - ausschließlich zur Erfüllung des Arbeitsverhältnisses nutzen. Die Gesellschaft als Arbeitgeber kann während der Überwachung der Nutzung Einsicht in die auf dem zur Erfüllung des Arbeitsverhältnisses genutzten Computergerät gespeicherten arbeitsbezogenen Daten nehmen. Zu den arbeitsbezogenen Daten im Sinne dieser Überwachungsbefugnis gehören auch die Daten, die zur Überprüfung der Einhaltung der privaten Nutzungseinschränkung erforderlich sind, auch wenn der Beschäftigte aufgrund einer abweichenden Vereinbarung eigene Computergeräte zur Erfüllung des Arbeitsverhältnisses nutzt.
Die Gesellschaft als Arbeitgeber stellt bestimmten Beschäftigten ein „Firmen-E-Mail-Konto“ zur Verfügung, damit sie über dieses Konto miteinander kommunizieren oder im Namen des Arbeitgebers mit Kunden, Partnern und anderen Personen und Organisationen korrespondieren können. Aus Datenschutzgründen erlaubt die Gesellschaft als Arbeitgeber keine private Nutzung des Firmen-E-Mail-Kontos. Zum Schutz der Geschäftsgeheimnisse und vertraulichen Informationen der Gesellschaft sowie zur Überprüfung der Einhaltung der in dieser Richtlinie festgelegten Arbeitgeberanweisungen kann die Gesellschaft als Arbeitgeber den Inhalt des „Firmen-E-Mail-Kontos“ und die Korrespondenz der Beschäftigten überprüfen. Vor der Überprüfung des Inhalts des E-Mail-Kontos muss der Beschäftigte darüber informiert werden, aus welchem Interesse die Arbeitgebermaßnahme erfolgt. Der erste Schritt der Überprüfung besteht in der Überprüfung der E-Mail-Adresse und des Betreffs, da bereits aus dem Aufbau der E-Mail-Adresse und dem Betreff erkennbar sein kann, dass es sich um eine private E-Mail-Adresse handelt, und daher der Inhalt der E-Mail nicht eingesehen werden muss. Private Inhalte dürfen von der Gesellschaft als Arbeitgeber nicht eingesehen werden. Anschließend kann eine detailliertere Überprüfung der Nutzung des E-Mail-Kontos erfolgen, wobei jedoch auf Stufen und Verhältnismäßigkeit sowie auf die vorhandenen Informationen über den konkreten Rechtsverstoß geachtet werden muss. Die Überprüfung und die damit verbundene Datensicherung erfolgt durch den IT-Mitarbeiter der Gesellschaft. Die gesicherten Daten werden 30 Tage lang aufbewahrt und anschließend vom IT-Mitarbeiter gelöscht. Die Daten werden 30 Tage lang ab der Überprüfung, bei Verdacht auf Ordnungswidrigkeit oder Straftat bis zum rechtskräftigen Abschluss des offiziellen Verfahrens, von der Gesellschaft verarbeitet. Bei der Nutzung des E-Mail-Kontos ist grundsätzlich die Anwesenheit der Gesellschaft als Arbeitgeber sicherzustellen. Bei dieser Form der Arbeitgeberüberwachung können nämlich verschiedene personenbezogene Daten der Beschäftigten und Dritter im E-Mail-System enthalten sein, auf die die Gesellschaft als Arbeitgeber keinen Zugriff hat. Wenn der Beschäftigte bei der Überwachung anwesend ist und vor dem Einsehen des Inhalts einer E-Mail darauf hinweisen kann, dass diese personenbezogene Daten enthält, kann dies sicherstellen, dass die Gesellschaft als Arbeitgeber dieses Verbot nicht verletzt. Die Überprüfung der Nutzung des Firmen-E-Mail-Kontos und die damit verbundene Datenverarbeitung sind durch die Kenntnisnahme und Zustimmung zur Datenschutzinformation in Anhang 3/4 dieser Richtlinie durch die Beschäftigten zu erfüllen.
Die Gesellschaft stellt bestimmten Beschäftigten einen „Firmen“-Laptop oder -Computer zur Erfüllung ihrer Aufgaben zur Verfügung. Aus Datenschutzgründen erlaubt die Gesellschaft als Arbeitgeber keine private Nutzung des Firmen-Laptops oder -Computers. Zum Schutz der Geschäftsgeheimnisse und vertraulichen Informationen der Gesellschaft sowie zur Überprüfung der Einhaltung der in dieser Richtlinie festgelegten Arbeitgeberanweisungen kann die Gesellschaft als Arbeitgeber den Inhalt des „Firmen“-Computers und Laptops sowie die Korrespondenz der Beschäftigten entsprechend ihren Aufgaben überprüfen. Die Überprüfung und die damit verbundene Datensicherung erfolgt durch den IT-Mitarbeiter der Gesellschaft. Die gesicherten Daten werden 30 Tage lang aufbewahrt und anschließend vom IT-Mitarbeiter gelöscht. Die Daten werden 30 Tage lang ab der Überprüfung, bei Verdacht auf Ordnungswidrigkeit oder Straftat bis zum rechtskräftigen Abschluss des offiziellen Verfahrens, von der Gesellschaft verarbeitet. Bei der Datensicherung der auf dem Laptop oder Computer gespeicherten Daten sowie bei der Überprüfung der auf dem Laptop oder Computer gespeicherten Daten muss der Datenverantwortliche besonderes Augenmerk darauf legen, dass die privaten personenbezogenen Daten der Beschäftigten nicht verarbeitet werden. Der Datenverantwortliche muss den Beschäftigten vor der Überprüfung des Inhalts des Laptops oder Computers darüber informieren, aus welchem Interesse die Arbeitgebermaßnahme erfolgt. Darüber hinaus muss der Datenverantwortliche ein stufenweises Überwachungssystem unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit entwickeln, das den Schutz personenbezogener Daten gewährleistet und die Privatsphäre der Beschäftigten so weit wie möglich schützt. Bei der Überprüfung des Inhalts der Daten auf dem Laptop oder Computer ist daher grundsätzlich die Anwesenheit der Beschäftigten sicherzustellen, da verschiedene personenbezogene Daten der Beschäftigten und Dritter auf dem Laptop vorhanden sein können, auf die der Datenverantwortliche keinen Zugriff hat. Wenn der Beschäftigte bei der Überwachung anwesend ist und vor dem Einsehen des Inhalts einer E-Mail darauf hinweisen kann, dass diese personenbezogene Daten enthält, kann dies sicherstellen, dass die Gesellschaft als Arbeitgeber dieses Verbot nicht verletzt. Der „Firmen“-Computer oder Laptop darf nur für arbeitsbezogene Zwecke verwendet werden, sodass die Gesellschaft als Arbeitgeber alle auf dem Computer oder Laptop gespeicherten Daten des Beschäftigten überprüfen kann. Die Gesellschaft als Arbeitgeber darf jedoch lediglich feststellen, dass der Beschäftigte - entgegen den Bestimmungen dieser Richtlinie - personenbezogene Daten auf dem Laptop oder Computer gespeichert hat, darf jedoch keine personenbezogenen Daten verarbeiten. Die Gesellschaft als Arbeitgeber muss die Beschäftigten vorab ausführlich über die Überwachung informieren, einschließlich des Zwecks, der Arbeitgeberinteressen, der Regeln für die Überwachung (Einhaltung des Grundsatzes der Verhältnismäßigkeit) und des Verfahrens, der Rechte und Rechtsmittel der Beschäftigten im Zusammenhang mit der Datenverarbeitung im Rahmen der Überwachung des Laptops oder Computers. Die Kenntnisnahme und Zustimmung zur Datenschutzinformation in Anhang 3/4 dieser Richtlinie durch die Beschäftigten ist erforderlich, um die Überwachung der Nutzung des Firmen-Laptops oder Computers und die damit verbundene Datenverarbeitung zu erfüllen.
Die Gesellschaft stellt bestimmten Beschäftigten „Firmen“-Mobiltelefone zur Verfügung. Die Gesellschaft als Arbeitgeber erlaubt die private Nutzung dieser Firmen-Mobiltelefone gemäß einer gesonderten Vereinbarung, schließt jedoch ausdrücklich jegliche Haftung für Datenverluste oder Datenschutzvorfälle aus, die sich auf diesen Geräten ereignen. Der Datenverantwortliche kann zum Schutz der Geschäftsgeheimnisse und vertraulichen Informationen der Gesellschaft das dem Beschäftigten zur Verfügung gestellte Mobiltelefon überprüfen. Die Gesellschaft als Arbeitgeber darf nicht erfahren, wen der Beschäftigte privat angerufen hat und wann, da dies für den Überwachungszweck nicht unbedingt erforderlich ist und auch § 11 Abs. 1 des Arbeitsgesetzbuches besagt, dass das Privatleben des Arbeitnehmers nicht überwacht werden darf. Die empfohlene Datenschutzlösung für die Beschäftigten im Zusammenhang mit der Überwachung besteht darin, dass ausgehende Anrufe mit zwei Präfixen getätigt werden: eines für dienstliche und eines für private Anrufe, oder die Gesellschaft als Arbeitgeber kann beim Telefonanbieter einen Anrufdetailnachweis anfordern und den Beschäftigten auffordern, die angerufenen Nummern bei privaten Anrufen unkenntlich zu machen. Die verbleibenden Telefonnummern kann die Gesellschaft als Arbeitgeber erfahren, da der Beschäftigte sie im Zusammenhang mit seiner Tätigkeit angerufen hat. Die dienstlichen Anrufdaten kann die Gesellschaft als Arbeitgeber erfahren, die privaten Anrufdaten nicht. Der Datenverantwortliche muss die Beschäftigten vorab ausführlich über die Überwachung informieren, einschließlich des Zwecks, der Arbeitgeberinteressen, der Regeln für die Überwachung und des Verfahrens, der Rechte und Rechtsmittel der Beschäftigten im Zusammenhang mit der Datenverarbeitung bei der Überwachung des „Firmen“-Mobiltelefons. Die Kenntnisnahme und Zustimmung zur Datenschutzinformation in Anhang 3/4 dieser Richtlinie durch die Beschäftigten ist erforderlich, um die Überwachung der Nutzung des Firmen-Mobiltelefons und die damit verbundene Datenverarbeitung zu erfüllen.
Ohne gesetzliche Ermächtigung kann die Gesellschaft mit Einwilligung der Betroffenen deren Fotos in ihren Publikationen, Präsentationen und auf ihrer Website gemäß dem Verzeichnis der Datenverarbeitungstätigkeiten verwenden. Die Datenschutzinformationen und Einwilligungserklärungen für die Fotos und Videoaufnahmen der Beschäftigten sind in Anhang 3.5 dieser Richtlinie enthalten.
IV.1.2.) Datenverarbeitung im Zusammenhang mit Kunden/Klienten/Vertragspartnern:
Die Beschäftigten der Gesellschaft sind bei der Erfüllung ihrer Aufgaben verpflichtet, gemäß den gesetzlichen Bestimmungen, den beruflichen Protokollen und den internen Richtlinien zu handeln. Die Personen, die die Dienstleistungen der Gesellschaft in Anspruch nehmen, die Käufer und Partner haben das Recht auf Schutz ihrer personenbezogenen Daten sowie auf Geheimnisschutz im Zusammenhang mit ihrem Privatleben. Bei der Datenverarbeitung ist besonders darauf zu achten, dass nur befugte Personen Zugriff auf die Daten der Käufer/Partner haben.
Alle Beschäftigten der HUNGARY-MEAT Kft. sind gemäß § 8 Abs. 4 des Arbeitsgesetzbuches von 2012 verpflichtet, diese Datenschutz- und Datensicherheitsrichtlinie sowie die geltenden gesetzlichen Bestimmungen zu befolgen und die ihnen anvertrauten oder zur Kenntnis gelangten personenbezogenen Daten und Geschäftsgeheimnisse zeitlich unbegrenzt - also auch nach Beendigung des Beschäftigungsverhältnisses - zu wahren. Die Beschäftigten dürfen personenbezogene Daten nur im Rahmen ihrer in der Stellenbeschreibung festgelegten Aufgabenbereiche einsehen.
Der Datenverantwortliche ist verpflichtet, Maßnahmen zu ergreifen und sicherzustellen, dass bestimmte personenbezogene Daten und bestimmte Datenbanken nur den Mitarbeitern oder Subunternehmern zugänglich sind, deren Zugang aufgrund ihrer Aufgaben erforderlich ist, um die Grundsätze der Integrität und Vertraulichkeit sowie der Speicherung und des Zugangs zu personenbezogenen Daten zu gewährleisten.
Darüber hinaus darf der Datenverantwortliche keine Informationen über Tatsachen an unbefugte Personen oder Stellen weitergeben, die ihm im Rahmen seiner Tätigkeit bekannt geworden sind und deren Weitergabe der Gesellschaft, ihren Mitarbeitern oder ihren Kunden/Vorstandsmitgliedern nachteilige oder rechtswidrig vorteilhafte Folgen hätte.
Der Datenverantwortliche informiert die Käufer/Partner schriftlich über die Datenverarbeitung und deren Umstände gemäß der auf der Website der Gesellschaft veröffentlichten Datenschutzinformation, die auch an der Rezeption der Gesellschaft ausgehängt ist. Vertragspartner werden in den jeweiligen Verträgen informiert, dass die Gesellschaft die Daten der Vertragspartner, Lieferanten gemäß Artikel 6 Abs. 1 Buchstabe b) der DSGVO verarbeitet, d.h. die Verarbeitung ist erforderlich zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person; die Daten der Kontaktpersonen der Vertragspartner und Lieferanten werden gemäß Artikel 6 Abs. 1 Buchstabe f) der DSGVO verarbeitet, d.h. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich. Dementsprechend sind der Zweck und die Rechtsgrundlage der Datenverarbeitung, der Umfang der verarbeiteten Daten und die Bestimmungen zur Verarbeitung und Aufbewahrung der Daten im Vertrag festgelegt, wobei diese Daten nur während des Bestehens des Vertrags und bis zum Ablauf der zivilrechtlichen Verjährungsfrist, d.h. höchstens 5 Jahre, verarbeitet werden. Die Gesellschaft informiert die Vertragspartner stets über die Datenverarbeitungsbedingungen im Anhang der abgeschlossenen Verträge.
IV.1.3.) Datenverarbeitung im Zusammenhang mit der Erstellung einer Marketing-Datenbank, Versand von Newslettern
Die Gesellschaft als Datenverantwortliche erstellt keine Marketing-Datenbank und betreibt kein Newsletter-System.
IV.1.4.) Datenverarbeitung im Zusammenhang mit dem Betrieb elektronischer Überwachungssysteme:
Der Datenverantwortliche verfügt über eine gesonderte Richtlinie und Datenschutzinformation zur Nutzung des elektronischen Überwachungssystems (Kamerasystem) im Rahmen der Datenschutzinformation für die Beschäftigten (siehe Anhang 3/3 dieser Richtlinie) und für Besucher (siehe Anhang 3/3/A dieser Richtlinie). Die Information über die elektronischen Überwachungssysteme muss den Beschäftigten bei Abschluss des Arbeitsvertrags oder eines anderen arbeitsbezogenen Vertrags zur Kenntnis gebracht und zur Kenntnis genommen werden. Die Besucher und Nutzer der Dienstleistungen können die Information über das Kamerasystem am Firmensitz und an der Rezeption (Eingang) einsehen.
IV.1.5.) Datenverarbeitung im Zusammenhang mit der Website:
Die Website dient der Information der Besucher und ermöglicht keine Kontaktaufnahme, Registrierung oder den Versand von Newslettern. Die Datenschutzinformation zur Website ist als Anhang 3/7 dieser Richtlinie auf der Website verfügbar.
IV.1.6.) Datenverarbeitung im Zusammenhang mit dem Beschwerdemanagement, der Bearbeitung von öffentlichen Meldungen und dem internen Hinweisgebersystem:
Der Datenverantwortliche stellt sicher, dass Beschwerden eingereicht werden können, falls Beschäftigte oder Vertragspartner Beschwerden, Qualitätsmängel haben oder öffentliche Meldungen machen möchten.
Der Datenverantwortliche betreibt ein System zur Meldung von mutmaßlichen Verstößen, das den Beschäftigten und Vertragspartnern zur Verfügung steht, und erfüllt damit die Verpflichtungen des Gesetzes XXV von 2023, um die Untersuchung mutmaßlicher Verstöße zu gewährleisten. Ziel des Hinweisgebersystems ist die Untersuchung von gemeldeten Informationen über rechtswidrige oder mutmaßlich rechtswidrige Handlungen oder Unterlassungen sowie andere Verstöße gemäß den Anforderungen des Gesetzes XXV von 2023 über Beschwerden, öffentliche Meldungen und die Regeln für die Meldung von Verstößen (im Folgenden: Beschwerdegesetz). Der Betreiber des internen Hinweisgebersystems ist der Vertragspartner der Gesellschaft, die Platform Hungária Kft. (Cgj.: 01-09-418727). Die Datenschutzregeln für das Hinweisgebersystem sind auf der Website der Platform Hungária Kft. (www.bejelentek.hu) veröffentlicht und jederzeit zugänglich.
IV.2. Der Datenverantwortliche nutzt die Dienste und die Unterstützung der folgenden Datenverarbeiter für seine Tätigkeit:
Datenverarbeiter: eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die im Auftrag des Datenverantwortlichen personenbezogene Daten verarbeitet.
Die Gesellschaft kann für die Verarbeitung der von ihr verwalteten Daten einen externen Datenverarbeiter in Anspruch nehmen, sofern die Tätigkeit des Datenverarbeiters und das verwendete System den in dieser Richtlinie festgelegten Datenschutz- und Datensicherheitsanforderungen entsprechen. Der Vertrag oder ein anderes Dokument (Konformitätserklärung) zwischen der Gesellschaft und dem Datenverarbeiter muss Bestimmungen enthalten, die besagen, dass der Datenverarbeiter die Datenschutz- und Datensicherheitsvorschriften sowie die in dieser Richtlinie festgelegten Bestimmungen anerkennt, diese bei seiner Tätigkeit einhält und dass der Datenverantwortliche berechtigt ist, dies zu überprüfen.
Für die Inanspruchnahme eines Datenverarbeiters ist keine vorherige Zustimmung der betroffenen Person(en) erforderlich, wohl aber deren Information. Die jeweils aktuelle Liste und die Kontaktdaten der Datenverarbeiter der Gesellschaft sind in einem separaten Anhang Nr. 4 dieser Richtlinie enthalten und werden in gleicher Weise und am gleichen Ort wie diese Richtlinie veröffentlicht.
IV.3. Datensicherheit
Die Gesellschaft als Datenverantwortlicher sorgt für die Sicherheit der Daten und trifft die technischen und organisatorischen Maßnahmen und entwickelt die Verfahrensregeln, die für die Umsetzung der geltenden Datenschutz- und Geheimhaltungsvorschriften erforderlich sind.
Der Datenverantwortliche schützt die personenbezogenen Daten vor unbefugtem Zugriff, unbefugter Änderung, unbefugter Weitergabe, unbefugter Veröffentlichung, unbefugtem oder versehentlichem Löschen, Zerstörung, Beschädigung sowie vor der Unzugänglichkeit aufgrund technischer Änderungen.
Die HUNGARY-MEAT Kft. als Datenverantwortlicher:
-> Für die Sicherheit der in Papierform verwalteten und gespeicherten personenbezogenen Daten gelten bei der HUNGARY-MEAT Kft. folgende Maßnahmen:
-> Für die Sicherheit der auf Computern und im internen Netzwerk gespeicherten personenbezogenen Daten gelten bei der Gesellschaft folgende Maßnahmen:
IV.3.1. Grundsätze der Datensicherheit
Grundsatz der Vertraulichkeit: Der Schutz der Vertraulichkeit der Daten garantiert, dass die Daten nicht unbefugt oder unerlaubt eingesehen werden können.
Grundsatz der Integrität: Die Integrität der Daten bedeutet, dass sie nur von den dazu Berechtigten geändert werden können.
Grundsatz der Verfügbarkeit: Die Gewährleistung, dass die Daten immer verfügbar sind, nicht unbefugt zerstört oder gelöscht werden.
IV.3.2. Die Überprüfung der Datensicherheit
Die Gesellschaft führt zur Gewährleistung der Sicherheit der von ihr verwalteten personenbezogenen Daten bei Bedarf, jedoch mindestens einmal jährlich, eine Überprüfung der Datensicherheit durch. Dabei ist die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu testen, zu bewerten und zu beurteilen. Die Überprüfung der Datensicherheit wird von einer vom Datenverantwortlichen beauftragten Organisation oder Person mit entsprechender Fachkenntnis (IT- und/oder Datenverarbeitungskenntnissen) durchgeführt.
Über die Überprüfung wird ein Protokoll erstellt, das von den anwesenden Personen unterzeichnet wird. Auf Grundlage des Protokolls wird eine Bewertung und ein Maßnahmenplan durch den beauftragten Fachmann erstellt, der der Geschäftsleitung der Gesellschaft übergeben wird.
Der Prozess der Überprüfung der Datensicherheit:
A.) Ermittlung des Schutzbedarfs:
Es müssen die wesentlichen datenverarbeitenden Systeme der Gesellschaft ausgewählt werden, die geschützt werden sollen. Der Schutz der Datenverarbeitung der Gesellschaft besteht aus drei Komponenten: physischer Schutz, Verfahrensschutz und IT-Schutz.
->Der physische Schutz umfasst den Schutz der Räumlichkeiten, Objekte sowie der papierbasierten und anderen traditionellen Dokumente.
->Der Verfahrensschutz umfasst die Festlegung, Einhaltung und Überprüfung der Datenschutz- und Datensicherheitsvorschriften sowie die Sensibilisierung der Beschäftigten der Gesellschaft.
->Der IT-Schutz umfasst den Schutz der Hardware und Software.
B.) Bedrohungsanalyse:
Ermittlung der Bedrohungsfaktoren, die für die zu schützenden Daten und Anwendungen gefährlich sein könnten. Die Bedrohungsfaktoren müssen im Protokoll zur Überprüfung der Datensicherheit festgehalten werden.
Hauptsächliche Risikoelemente für die Datensicherheit:
Externe Bedrohungsfaktoren:
a) Naturkatastrophe;
b) Gewalttat durch externe Personen;
c) Störungen der Versorgungseinrichtungen;
d) Anwesenheit externer Personen im Objekt;
e) Technische Störungen der Schutzeinrichtungen, Notfälle (z.B. Kurzschluss, Feuer, Rohrbruch).
Bedrohungen für Hardware:
a) Technische Fehler, Störungen;
b) Schädliche Umwelteinflüsse (Spannungsschwankungen, Verschmutzung, elektromagnetische Strahlung, elektrostatische Aufladung);
c) Fehler bei der Bedienung und Wartung der Geräte;
d) Unbefugter Zugriff auf Peripheriegeräte;
e) Manipulation, Beschädigung, Diebstahl der Geräte;
f) Falsche Auswahl des Raums oder Arbeitsplatzes für die Geräte.
Gefährdung der Datenträger:
a) Herstellungsfehler;
b) Beschädigung durch unsachgemäße Lagerung oder Handhabung;
c) Verwendung unbekannter oder zweifelhafter Datenträger;
d) Unkontrollierter Zugriff auf Datenträger, Kopieren;
e) Unkontrollierte Verwendung eigener Datenträger für dienstliche oder private Zwecke (Virusgefahr, illegales Kopieren).
Risikoelemente im Zusammenhang mit Dokumenten und IT-Dokumentationen:
a) Fehlende oder unvollständige Systemdokumentation;
b) Fehlende nachvollziehbare Ordnung der Dokumente;
c) Mangelnde Aktualität;
d) Unbefugte, fehlerhafte oder unbekannte Änderungen;
e) Unkontrollierter Zugriff, Vervielfältigung.
Gefahren im Zusammenhang mit Software:
a) Verwendung nicht lizenzierter, unbekannter Software;
b) Softwarefehler;
c) Möglichkeit des unbefugten Zugriffs und Kopierens;
d) Unkontrollierte Einführung von Software in das IT-System;
e) Virusgefahr;
f) Vorsätzlicher oder fahrlässiger Fehler bei der Bedienung und Wartung;
g) Beschädigung oder Zerstörung der Software durch Hardwarefehler;
h) Fehlende oder beschädigte Dokumentationen.
Risikoelemente im Zusammenhang mit der Anwendertätigkeit und den Daten:
a) Datenverlust oder -beschädigung durch Hardware- oder Softwarefehler;
b) Vollständiger oder teilweiser Datenverlust durch fehlerhafte Datenträger;
c) Vorsätzliche oder irrtümliche Datenlöschung oder -änderung durch befugte Benutzer;
d) Kopieren, Löschen oder Ändern von Daten durch unbefugte Benutzer;
e) Fehlerhafte Datenverarbeitung aufgrund von Unkenntnis;
f) Nichteinhaltung von Verarbeitungsanweisungen, fehlende Schulung.
Bedrohungsfaktoren im Kommunikationsbereich:
a) Unbefugter Zugang zum Netzwerk durch nicht überprüfbare Verbindungen;
b) Vorsätzliche oder fahrlässige Manipulation von Netzwerkhardware und -software;
c) Abhören des Datenverkehrs;
d) Unerwartete Übertragungsstörungen, Einfluss auf die Übertragung;
e) Nachrichtenverlust, Nachrichtenveränderung;
f) Beschädigung oder Zerstörung der Datenübertragungsgeräte.
Persönliche Bedrohungsquellen:
a) Fehlerhafte Datenverarbeitung aufgrund von Unkenntnis oder Müdigkeit, Unaufmerksamkeit;
b) Missachtung der Vorschriften zur Datenverarbeitung aufgrund mangelnden Sicherheitsbewusstseins, Unterschätzung der Bedrohung;
c) Vorsätzliche fehlerhafte Datenverarbeitung aufgrund innerer Motivation oder äußerer Einflüsse;
d) Unbefugter Zugriff;
e) Fehlende Überwachung
C.) Risikobewertung: Die Auswirkungen der Bedrohungsfaktoren auf das IT-System müssen untersucht werden, die Häufigkeit des möglichen Schadenseintritts und die Schadenswerte müssen ermittelt werden. Es müssen alle möglichen Maßnahmen zur Minimierung des Risikos festgelegt werden. Für die Umsetzung der Maßnahmen ist eine Frist festzulegen. Der Geschäftsführer sorgt für die Planung und Umsetzung der erforderlichen Maßnahmen.
Die in den vorherigen Kapiteln beschriebenen Faktoren müssen verglichen und ihre Wahrscheinlichkeit nach dem aktuellen Stand der Wissenschaft bestimmt werden. Die Eintrittswahrscheinlichkeit wird in vier Gruppen eingeteilt:
1. kann im normalen Geschäftsbetrieb nicht vorkommen (z.B. Krieg, Staatsbankrott)
2. geringe Eintrittswahrscheinlichkeit (z.B. Stromausfall, Sturmschaden)
3. realistische Eintrittswahrscheinlichkeit (z.B. Einbruch, Virusinfektion)
4. wird mit hoher Wahrscheinlichkeit eintreten (z.B. fehlerhafte Dateneingabe)
Die im Protokoll zur Überprüfung der Datensicherheit festgelegten Bedrohungsfaktoren müssen nach den oben genannten Kategorien bewertet werden. Für die Bewertung der Risiken kann ein externer Experte hinzugezogen werden, die Bewertung der IT-bezogenen Risiken erfolgt durch den IT-Spezialisten der Gesellschaft.
Bei der automatisierten Verarbeitung personenbezogener Daten muss Folgendes gewährleistet sein:
- die Verhinderung unbefugter Dateneingaben;
- die Nutzung der Systeme durch unbefugte Personen;
- die Nachvollziehbarkeit und Feststellbarkeit, an welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übermittelt oder übermittelt werden können;
- die Nachvollziehbarkeit und Feststellbarkeit, welche personenbezogenen Daten, wann und von wem in die automatisierten Datenverarbeitungssysteme eingegeben wurden;
- die Wiederherstellbarkeit der installierten Systeme im Falle eines Betriebsfehlers.
D.) Risikomanagement: Auswahl und Bewertung geeigneter Maßnahmen zur Schadensminderung.
IV.4. Dauer der Datenverarbeitung: Die Gesellschaft verarbeitet personenbezogene Daten ausschließlich zu rechtmäßigen Zwecken und für die Dauer, die zur Erreichung dieser Zwecke erforderlich ist. Wenn die personenbezogenen Daten nicht mehr benötigt werden, sind sie sicher und dokumentiert zu vernichten. Die Löschprotokolle sind 10 Jahre lang aufzubewahren.
IV.5. Vertraulichkeit und Datenschutz: Alle Mitarbeiter der HUNGARY-MEAT Kft., die personenbezogene Daten verarbeiten oder darauf zugreifen, sind gemäß § 8 Abs. 4 des Arbeitsgesetzbuchs von 2012 verpflichtet, die ihnen anvertrauten oder zur Kenntnis gelangten personenbezogenen Daten und Geschäftsgeheimnisse zeitlich unbegrenzt – also auch nach Beendigung des Beschäftigungsverhältnisses – zu bewahren. Die Mitarbeiter dürfen personenbezogene Daten nur im Rahmen ihrer Aufgabenbeschreibung einsehen.
Die HUNGARY-MEAT Kft. legt großen Wert darauf, ihre Vertraulichkeitspflichten, die sich aus ihrer Aufgaben- und Dienstleistungspalette ergeben, vollständig zu erfüllen und diese Verpflichtung auch ihren Mitarbeitern, Partnern, Unterstützern, Begünstigten, Kunden/Gästen und Beauftragten aufzuerlegen.
Die Mitarbeiter der HUNGARY-MEAT Kft. sowie ihre persönlichen Besucher (Kunden, Gäste, Partner und Lieferanten) haben nur Zugang zu den personenbezogenen Daten, die für ihre Anfragen relevant sind. Diese Personen haben eingeschränkte Rechte zur Änderung, Löschung und Archivierung personenbezogener Daten, wobei ihre Änderungsrechte nur die Kontaktdaten betreffen und sie keine Lösch- oder Archivierungsrechte besitzen. Der Geschäftsführer der HUNGARY-MEAT Kft. hat uneingeschränkten Zugang zu allen personenbezogenen Daten. Dieses Recht umfasst die Änderung, Berichtigung, Löschung und Archivierung personenbezogener Daten.
Die für die Datenverarbeitung verantwortliche Person ist im Rahmen ihrer Tätigkeit für die Verarbeitung, Änderung, Löschung, Übermittlung und Offenlegung der Daten sowie für die genaue und nachvollziehbare Dokumentation der Daten verantwortlich. Die verantwortliche Person muss während ihrer Tätigkeit die in ihrem Besitz befindlichen Daten verwalten und aufbewahren, für die sichere Handhabung und Speicherung der personenbezogenen Daten sorgen, den unbefugten Zugang zu den von ihr verwalteten Daten verhindern, die geltenden Datenschutzgesetze und internen Anweisungen einhalten und an Schulungen zum Datenschutz teilnehmen.
IV.6. Umgang mit Datenschutzvorfällen
Jeder Mitarbeiter des Datenverantwortlichen ist verpflichtet, Datenschutzvorfälle, die ihm bekannt werden, unverzüglich der für den Datenschutz zuständigen Person zu melden. Der Bericht muss folgende Informationen enthalten:
- Name der Person, die den Datenschutzvorfall bemerkt oder meldet,
- kurze Beschreibung des Datenschutzvorfalls,
- und die Tatsache, ob der erkannte Datenschutzvorfall das IT-System des Datenverantwortlichen betrifft oder nicht.
Untersuchung des Datenschutzvorfalls
Die für den Datenschutz zuständige Person prüft den Bericht und fordert bei Bedarf weitere Informationen vom Melder des Vorfalls an.
Die für den Datenschutz zuständige Person ist verpflichtet, die folgenden Informationen (soweit diese nicht aus dem Bericht hervorgehen) nach Möglichkeit zu ermitteln:
- Zeitpunkt und Ort des Datenschutzvorfalls,
- Art der vom Datenschutzvorfall betroffenen Daten,
- Umfang und Anzahl der vom Datenschutzvorfall betroffenen Personen.
Aus diesen Informationen erstellt die für den Datenschutz zuständige Person eine Zusammenfassung der voraussichtlichen Auswirkungen des Datenschutzvorfalls und einen Maßnahmenplan zur Minderung der Folgen. Die für den Datenschutz zuständige Person kann die Leiter der betroffenen organisatorischen Einheiten und deren Mitarbeiter in ihre Arbeit einbeziehen, die verpflichtet sind, mit der für den Datenschutz zuständigen Person zusammenzuarbeiten. Die Untersuchung ist spätestens drei Arbeitstage nach Eingang des Berichts bei der für den Datenschutz zuständigen Person abzuschließen und die für den Datenschutz zuständige Person informiert den Geschäftsführer über das Ergebnis der Untersuchung.
Bewertung des Datenschutzvorfalls
Der Datenverantwortliche bewertet den Datenschutzvorfall nach folgenden Kriterien:
- Art des Vorfalls (Vertraulichkeit, Integrität oder Verfügbarkeit),
- Art der personenbezogenen Daten (personenbezogene Daten / besondere Kategorien),
- Anzahl der personenbezogenen Daten,
- Anzahl der betroffenen Personen,
- Kategorien der betroffenen natürlichen Personen,
- Identifizierbarkeit der betroffenen natürlichen Personen,
- Wahrscheinlichkeit und Schwere der Folgen für die betroffene Person;
- Rechtsgrundlage der betroffenen Datenverarbeitung.
Der Datenverantwortliche stuft einen Datenschutzvorfall als risikoreich ein, wenn die folgenden Bedingungen erfüllt sind:
- Der Vorfall betrifft Daten, die in die besonderen Kategorien personenbezogener Daten fallen,
- Die Anzahl der betroffenen personenbezogenen Daten übersteigt 100,
- Unter den betroffenen natürlichen Personen befinden sich Personen unter 16 Jahren,
- Die Anzahl der betroffenen natürlichen Personen übersteigt 100,
- Die betroffenen personenbezogenen Daten ermöglichen eine direkte Kontaktaufnahme mit der betroffenen Person
- Die personenbezogenen Daten ermöglichen die Identitätsdiebstahl oder den Identitätsmissbrauch der betroffenen natürlichen Person,
- Die betroffenen personenbezogenen Daten können den Betroffenen finanziellen Schaden zufügen.
Der Datenverantwortliche stuft einen Datenschutzvorfall als wahrscheinlich geringes Risiko ein, wenn mindestens eine der oben genannten Bedingungen erfüllt ist und der Datenverantwortliche nicht nachweisen kann, dass die betroffenen personenbezogenen Daten seit dem Vorfall durch physische und/oder IT-Sicherheitsmaßnahmen geschützt wurden.
Der Datenverantwortliche stuft einen Datenschutzvorfall als wahrscheinlich hohes Risiko ein, wenn mindestens zwei der oben genannten Bedingungen erfüllt sind und der Datenverantwortliche nicht nachweisen kann, dass die betroffenen personenbezogenen Daten seit dem Vorfall durch physische und/oder IT-Sicherheitsmaßnahmen geschützt wurden.
Meldung eines Datenschutzvorfalls an die NAIH
Wenn die Schwere des Datenschutzvorfalls mindestens ein geringes Risiko darstellt, meldet die für den Datenschutz zuständige Person den Datenschutzvorfall der NAIH spätestens 72 Stunden nach Kenntniserlangung.
Benachrichtigung der Betroffenen über den Datenschutzvorfall
Wenn die Schwere des Datenschutzvorfalls wahrscheinlich ein hohes Risiko für die Rechte der betroffenen Personen darstellt, informiert der Datenverantwortliche die Betroffenen unverzüglich nach der Risikobewertung. Die Betroffenen sind schriftlich per E-Mail oder Post zu benachrichtigen, es sei denn, ihre Kontaktdaten sind unbekannt. Die Benachrichtigung der Betroffenen muss so erfolgen, dass der Inhalt und der benachrichtigte Personenkreis nachweisbar sind.
Erfassung von Datenschutzvorfällen
Der Datenverantwortliche erkennt an, dass ein Datenschutzvorfall ohne angemessene und rechtzeitige Maßnahmen physischen, materiellen oder immateriellen Schaden für natürliche Personen verursachen kann. Zum Umgang mit Datenschutzvorfällen führt er ein Datenschutzvorfallprotokoll, in dem die Umstände des Datenschutzvorfalls innerhalb von maximal 72 Stunden nach der Meldung durch den Datenschutzbeauftragten protokolliert werden. Der Datenschutzbeauftragte führt Aufzeichnungen über den Datenschutzvorfall.
Das Protokoll enthält:
- den Umfang der betroffenen personenbezogenen Daten,
- den Umfang und die Anzahl der betroffenen Personen,
- den Zeitpunkt des Datenschutzvorfalls,
- die Umstände des Datenschutzvorfalls,
- die Auswirkungen des Datenschutzvorfalls,
- die ergriffenen Maßnahmen zur Behebung,
- die aufgrund der Untersuchung des Datenschutzvorfalls eingeführten Korrektur- und Präventivmaßnahmen.
IV.7. Interessenabwägung und Durchführung des Interessenabwägungstests
Wenn die Datenverarbeitung zur Wahrung der berechtigten Interessen der Gesellschaft oder eines Dritten erforderlich ist (z.B. Überwachungssystem, Überwachung der elektronischen Geräte, die den Arbeitnehmern zur Arbeit zur Verfügung gestellt werden), ist vor Beginn der Datenverarbeitung ein Interessenabwägungstest durchzuführen, um die Privatsphäre, Interessen und Grundrechte der Betroffenen zu gewährleisten.
Der Interessenabwägungstest umfasst Folgendes:
- Bestimmung der zu verarbeitenden personenbezogenen Daten
- Bestimmung der Person, deren berechtigtes Interesse die Datenverarbeitung erfordert,
- Darstellung des berechtigten Interesses
- Prüfung, ob die Datenverarbeitung unbedingt erforderlich ist, um das festgestellte berechtigte Interesse zu wahren,
- Prüfung, ob das berechtigte Interesse durch andere Prozesse gewahrt werden kann
- Prüfung, inwieweit die Interessen und Grundrechte der betroffenen Person durch die Datenverarbeitung eingeschränkt oder verletzt werden,
- Abwägung des berechtigten Interesses und der Grundrechtsbeschränkung der betroffenen Person,
- Ergebnis des Interessenabwägungstests,
- Datum der Durchführung des Interessenabwägungstests
- wenn der Interessenabwägungstest ergibt, dass die personenbezogenen Daten verarbeitet werden dürfen, Festlegung des Zeitpunkts für die Einführung des Datenverarbeitungsprozesses.
Aufbau des Interessenabwägungstests:
- Grund für die Durchführung des Interessenabwägungstests,
- berechtigtes Interesse der Gesellschaft als Datenverantwortlicher,
- Interessen und Grundrechte der betroffenen Person,
- Abwägung der Interessen der Gesellschaft und der betroffenen Person,
- Garantien,
- Widerspruchsrecht,
- Ergebnis des Interessenabwägungstests.
Wenn der Interessenabwägungstest ergibt, dass die Interessen und Grundrechte der betroffenen Person Vorrang vor den berechtigten Interessen des Datenverantwortlichen oder eines Dritten haben, wird die Datenverarbeitung nicht als Rechtsgrundlage für die Durchsetzung der berechtigten Interessen der Gesellschaft oder eines Dritten angewendet.
IV.8. Datenschutz-Folgenabschätzung
Wenn eine Art der Datenverarbeitung – insbesondere unter Verwendung neuer Technologien – angesichts ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, führt der Datenverantwortliche vor Beginn der Datenverarbeitung eine Folgenabschätzung durch, um zu bewerten, wie die geplanten Datenverarbeitungsvorgänge den Schutz personenbezogener Daten betreffen.
Eine Datenschutz-Folgenabschätzung ist insbesondere in den folgenden Fällen durchzuführen:
a) systematische und umfassende Bewertung persönlicher Merkmale natürlicher Personen, die auf automatisierter Verarbeitung – einschließlich Profiling – beruht und auf der Entscheidungen basieren, die rechtliche Auswirkungen auf die betroffene Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten;
c) umfangreiche, systematische Überwachung öffentlich zugänglicher Bereiche.
Die Datenschutz-Folgenabschätzung umfasst mindestens:
a) eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge und der Verarbeitungszwecke, einschließlich gegebenenfalls des berechtigten Interesses des Datenverantwortlichen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Verarbeitungszwecke;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; und
d) eine Darstellung der Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zur Einhaltung der DSGVO-Verordnung, wobei die Rechte und berechtigten Interessen der betroffenen Personen und anderer Personen berücksichtigt werden.
Der Datenverantwortliche holt gegebenenfalls – ohne die kommerziellen Interessen oder das öffentliche Interesse zu beeinträchtigen oder die Sicherheit der Datenverarbeitungsvorgänge zu gefährden – die Meinung der Betroffenen oder ihrer Vertreter zu den geplanten Datenverarbeitungsvorgängen ein.
Der Datenverantwortliche führt nach Bedarf, jedoch mindestens bei einer Änderung des mit den Datenverarbeitungsvorgängen verbundenen Risikos, eine Überprüfung durch, um zu bewerten, ob die Verarbeitung personenbezogener Daten den Ergebnissen der Datenschutz-Folgenabschätzung entspricht.
IV.9. Besondere Vorschriften zur Verarbeitung personenbezogener Daten von Minderjährigen
Gemäß Artikel 8 der DSGVO ist die Verarbeitung personenbezogener Daten von Kindern rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat. Bei einem Kind unter 16 Jahren ist die Verarbeitung personenbezogener Daten nur dann und insoweit rechtmäßig, wie die Einwilligung des für das Kind verantwortlichen Elternteils vorliegt. Die Einholung der Einwilligung obliegt dem Datenverantwortlichen.
V. Schlussbestimmungen
Diese Vorschrift hebt alle früheren Vorschriften und Hinweise im Bereich des Datenschutzes auf, und die Ungültigkeit eines Teils dieser Vorschrift berührt nicht die Gültigkeit der gesamten Vorschrift. Diese Vorschrift tritt am 1. August 2023 in Kraft. Diese Vorschrift ist für alle Mitarbeiter der HUNGARY-MEAT Kft. verbindlich. Gemäß den einschlägigen Bestimmungen des Arbeitsgesetzbuchs von 2012 gilt die Beschäftigungsrichtlinie als bekannt gegeben, wenn sie in der üblichen und allgemein bekannten Weise veröffentlicht wird.
Kiskunfélegyháza, 1. April 2024.
Anhang 1 der Datenschutzrichtlinie der Hungary Meat Kft.:
Begriffsbestimmungen, Glossar:
betroffene Person: jede identifizierte oder identifizierbare natürliche Person aufgrund jeglicher Information;
identifizierbare natürliche Person: eine natürliche Person, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie Name, Identifikationsnummer, Standortdaten, Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
personenbezogene Daten: alle Informationen, die sich auf eine betroffene Person beziehen;
besondere Kategorien personenbezogener Daten: alle Daten, die in die besonderen Kategorien personenbezogener Daten fallen, wie Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeit, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person;
Einwilligung: jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Datenverantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet und die Verarbeitung entweder selbst durchführt oder durch einen Auftragsverarbeiter durchführen lässt;
gemeinsamer Datenverantwortlicher: der Datenverantwortliche, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet und die Verarbeitung entweder selbst durchführt oder durch einen Auftragsverarbeiter durchführen lässt;
Datenverarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Datenübermittlung: die Offenlegung von Daten an einen bestimmten Dritten;
Öffentliche Bekanntmachung: die Offenlegung von Daten an die Öffentlichkeit;
Datenlöschung: das Unkenntlichmachen von Daten in einer Weise, dass ihre Wiederherstellung nicht mehr möglich ist;
Einschränkung der Datenverarbeitung: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
Datenvernichtung: die vollständige physische Zerstörung des Datenträgers, der die Daten enthält;
Datenverarbeitung: die Gesamtheit der Datenverarbeitungsvorgänge, die von einem Auftragsverarbeiter im Auftrag oder nach den Anweisungen des Datenverantwortlichen durchgeführt werden;
Auftragsverarbeiter: jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag oder nach den Anweisungen des Datenverantwortlichen verarbeitet;
Dritter: jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die nicht die betroffene Person, der Datenverantwortliche, der Auftragsverarbeiter oder die Personen sind, die unter der unmittelbaren Verantwortung des Datenverantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
EWR-Staat: der Mitgliedstaat der Europäischen Union und jeder andere Staat, der Vertragspartei des Abkommens über den Europäischen Wirtschaftsraum ist, sowie jeder Staat, dessen Staatsangehörige nach einem internationalen Abkommen zwischen der Europäischen Union und den EWR-Staaten den Staatsangehörigen eines EWR-Staats gleichgestellt sind;
Drittland: jeder Staat, der kein EWR-Staat ist;
Datenschutzvorfall: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet wurden;
3.6. DATENSCHUTZHINWEISE FÜR KUNDEN
3.6.1. ALLGEMEINER DATENSCHUTZHINWEIS
Die HUNGARY-MEAT Kft. (im Folgenden: Datenverantwortlicher, Gesellschaft) als Datenverantwortlicher verarbeitet personenbezogene Daten zu verschiedenen Zwecken und möchte dies unter Wahrung der Rechte der betroffenen Personen sowie der Erfüllung der gesetzlichen Verpflichtungen, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (im Folgenden: DSGVO), tun. Die HUNGARY-MEAT Kft. legt auch großen Wert darauf, den betroffenen Personen die Verarbeitung der ihr zur Kenntnis gelangten personenbezogenen Daten während ihrer Verarbeitungstätigkeit und deren wesentliche Merkmale darzustellen.
Auf welcher Grundlage verarbeiten wir die Daten der betroffenen Personen? Personenbezogene Daten werden nur zu einem bestimmten Zweck und mit einer entsprechenden Rechtsgrundlage verarbeitet. Diese Zwecke und Rechtsgrundlagen werden in den individuellen Hinweisen zu den jeweiligen Datenverarbeitungen erläutert.
Wer verarbeitet Ihre personenbezogenen Daten? Ihre personenbezogenen Daten werden von der HUNGARY-MEAT Kft. verarbeitet.
Dieser Datenschutzhinweis wurde auf Grundlage der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr erstellt, unter Berücksichtigung des Inhalts des Gesetzes CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit.
Bezeichnung und Kontaktdaten des Datenverantwortlichen:
Name / Firmenname:
HUNGARY-MEAT Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
Sitz:
6100 Kiskunfélegyháza, Majsai út 30.
Vertreter des Datenverantwortlichen:
Geschäftsführer László Kovács
Steuernummer:
11421702-2-03
Telefonnummer/Faxnummer:
Tel:003676-463-815
Fax:003676-462-775
E-Mail-Adresse:
hm@hungarymeat.hu
Name und Adresse der Webseite:
Verfügbarkeit des Datenschutzhinweises:
In Papierform am Sitz und an den Standorten der Gesellschaft verfügbar
Personenbezogene Daten werden überwiegend von der HUNGARY-MEAT Kft. an ihrem eigenen Sitz/Standort verarbeitet. Es gibt jedoch Vorgänge, für die wir externe Hilfe oder Auftragsverarbeiter in Anspruch nehmen. Die Person des Auftragsverarbeiters kann je nach den Merkmalen der einzelnen Datenverarbeitungen variieren. Wenn Sie wissen möchten, welcher Auftragsverarbeiter an der konkreten Datenverarbeitung beteiligt ist, können Sie dies in der Kategorie „Auftragsverarbeiter“ des jeweiligen Datenschutzhinweises nachlesen.
Welche Grundsätze hält unsere Gesellschaft bei der Verarbeitung Ihrer personenbezogenen Daten für wichtig? Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der geltenden gesetzlichen Bestimmungen, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016) (DSGVO). Während des Betriebs der Website werden nur die personenbezogenen Daten verarbeitet, die im Rahmen der einzelnen Datenverarbeitungen festgelegt sind, und die angegebenen personenbezogenen Daten werden durch die möglichen und notwendigen technischen und organisatorischen Maßnahmen geschützt. Dabei wird besonders darauf geachtet, die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten zu gewährleisten. Nach der von Ihnen erfolgten Angabe ist unsere Gesellschaft für die Richtigkeit und Genauigkeit der personenbezogenen Daten verantwortlich.
Die in diesem Hinweis verwendeten Begriffe wurden im Einklang mit den Definitionen des Gesetzes über das Recht auf informationelle Selbstbestimmung und der DSGVO-Verordnung ausgelegt.
Welche Rechte haben Sie in Bezug auf die von unserer Gesellschaft verarbeiteten personenbezogenen Daten? Unsere Gesellschaft als Datenverantwortlicher stellt sicher, dass betroffene Personen ihre in der DSGVO-Verordnung festgelegten Rechte ausüben können. Ein Antrag auf Ausübung dieser Rechte darf vom Datenverantwortlichen nur dann abgelehnt werden, wenn er nachweist, dass es ihm nicht möglich ist, die betroffene Person zu identifizieren. Die betroffene Person muss sich also zur Erfüllung ihres Antrags identifizieren.
Der Datenverantwortliche hat den Antrag unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang zu erfüllen und die betroffene Person über eventuelle Hindernisse oder Verzögerungen bei der Erfüllung zu informieren. In diesem Fall kann die Frist um weitere zwei Monate verlängert werden, wobei die betroffene Person innerhalb eines Monats über die Verlängerung und deren Gründe informiert wird.
Der Antrag der betroffenen Person wird in der Form beantwortet, in der er eingegangen ist. Die betroffene Person kann ihren Antrag auch elektronisch einreichen, in diesem Fall wird die Antwort ebenfalls elektronisch erteilt, es sei denn, sie gibt ausdrücklich etwas anderes an.
Zur Gewährleistung der Rechte der betroffenen Personen sind die in diesem Hinweis aufgeführten Rechte kostenlos ausübbar, der Datenverantwortliche erhebt dafür keine Gebühren, es sei denn, der Antrag ist offensichtlich unbegründet oder übertrieben, insbesondere aufgrund seines wiederholten Charakters. In einem solchen Fall kann der Datenverantwortliche eine angemessene Gebühr für die Erfüllung des Antrags erheben (insbesondere zur Deckung der erhöhten Verwaltungskosten übertriebener Anträge) oder die Erfüllung des Antrags ablehnen. In einem solchen Fall ist der Datenverantwortliche verpflichtet, dies der betroffenen Person zu begründen.
Im Einklang mit der DSGVO-Verordnung können betroffene Personen folgende Rechte ausüben:
a.) Während der gesamten Dauer der Datenverarbeitung hat die betroffene Person das Recht, über die bereitgestellten Kontaktinformationen Auskunft und Zugang zu den vom Datenverantwortlichen verarbeiteten personenbezogenen Daten sowie zu den Merkmalen der Datenverarbeitung zu verlangen, insbesondere: - die Identität und die Kontaktdaten des Datenverantwortlichen und seines Ansprechpartners, falls der Datenverantwortliche einen Datenschutzbeauftragten ernennt, dessen Kontaktdaten - den Zweck, die Rechtsgrundlage und die Dauer der Datenverarbeitung, - den Namen, die Anschrift und die Tätigkeit des Auftragsverarbeiters im Zusammenhang mit der Datenverarbeitung, falls ein Auftragsverarbeiter eingeschaltet wird - die Rechtsgrundlage und den Empfänger der Datenübermittlung, falls eine Datenübermittlung erfolgt - über eventuelle Datenschutzvorfälle
b.) Die betroffene Person hat das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen: Wenn sich die Daten des Kunden geändert haben oder nicht korrekt sind, wird der Datenverantwortliche diese auf Antrag während der Dauer der Verarbeitung personenbezogener Daten jederzeit ändern. Dieses Anliegen kann über die angegebenen Kontaktinformationen geltend gemacht werden.
c.) Im Falle einer auf Einwilligung beruhenden Datenverarbeitung kann der Kunde seine Einwilligung jederzeit widerrufen und die Löschung seiner Daten verlangen, sofern es keine weitere Rechtsgrundlage für die Datenverarbeitung gibt. Die personenbezogenen Daten des Kunden werden gelöscht, wenn die Verarbeitung unrechtmäßig ist, der Zweck der Verarbeitung entfällt oder die festgelegte Speicherfrist abgelaufen ist; oder wenn ein Gericht oder die Nationale Behörde für Datenschutz und Informationsfreiheit dies rechtskräftig anordnet.
d.) Der Datenverantwortliche beschränkt die Verarbeitung personenbezogener Daten, wenn dies von der betroffenen Person verlangt wird. Die betroffene Person kann die Einschränkung ihrer Datenverarbeitung in folgenden Fällen verlangen - wenn sie die Richtigkeit ihrer Daten bestreitet, in diesem Fall gilt die Einschränkung für den Zeitraum, der es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen 3 - wenn die Datenverarbeitung unrechtmäßig ist und die betroffene Person die Löschung ihrer Daten ablehnt und stattdessen deren Einschränkung verlangt - wenn der Datenverantwortliche die personenbezogenen Daten nicht mehr für die Zwecke der Datenverarbeitung benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt - wenn die betroffene Person der Datenverarbeitung widerspricht, in diesem Fall gilt die Einschränkung für den Zeitraum, in dem festgestellt wird, ob die berechtigten Gründe des Datenverantwortlichen gegenüber den berechtigten Gründen der betroffenen Person überwiegen
e.) Die betroffene Person kann der Verarbeitung ihrer personenbezogenen Daten widersprechen: Sie kann ihren Widerspruch zum Ausdruck bringen, wenn ihre Daten zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten verarbeitet werden. In diesem Fall darf der Datenverantwortliche die personenbezogenen Daten nicht weiter verarbeiten, es sei denn, er kann nachweisen, dass zwingende schutzwürdige Gründe für die Verarbeitung vorliegen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen.
f.) Das Recht auf Datenübertragbarkeit: Wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist und die Verarbeitung automatisiert erfolgt, d. h. die Daten der betroffenen Personen maschinell verwaltet werden, haben die betroffenen Personen das Recht, die sie betreffenden, von ihnen dem Datenverantwortlichen zur Verfügung gestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus können diese Daten ohne Behinderung durch den Datenverantwortlichen an einen anderen Datenverantwortlichen übermittelt werden. In den vorliegenden Datenverarbeitungen kann dieses Recht gegen eine Gebühr ausgeübt werden, da die Datenverarbeitung nicht in automatisierter Form erfolgt.
Datensicherheit: Der Datenverantwortliche verpflichtet sich, für die Sicherheit der Daten zu sorgen und die technischen Maßnahmen zu ergreifen, die den Schutz der erhobenen, gespeicherten und verarbeiteten Daten gewährleisten und alles zu tun, um deren Zerstörung, unbefugte Nutzung und unbefugte Änderung zu verhindern.
Der Datenverantwortliche ist außerdem verpflichtet, alle Dritten, an die die Daten möglicherweise weitergegeben oder übertragen werden, zur Erfüllung dieser Verpflichtungen aufzufordern.
Der Datenverantwortliche schützt die personenbezogenen Daten vor unbefugtem Zugriff; unbefugter Änderung; unbefugter Übermittlung; unbefugter Offenlegung; unbefugter oder zufälliger Löschung, Zerstörung; Beschädigung; sowie vor Unzugänglichkeit aufgrund von Änderungen der verwendeten Technik. Darüber hinaus werden die von ihm verarbeiteten personenbezogenen Daten am Standort der Gesellschaft auf einem physisch geschützten Server gespeichert, auf den nur nach Eingabe eines eindeutigen Benutzernamens und Passworts elektronisch zugegriffen werden kann. Die Datensicherheit wird auch durch tägliche Sicherheitskopien auf einem separaten Server gewährleistet.
Rechtsgrundlage der Datenverarbeitung: Die Datenverarbeitung ist gemäß Artikel 6 Absatz 1 Buchstabe b) der DSGVO erforderlich zur Erfüllung eines Vertrags, bei dem Sie eine Vertragspartei sind, oder zur Durchführung vorvertraglicher Maßnahmen auf Ihren Wunsch hin.
Arten der verarbeiteten personenbezogenen Daten:
Name, Adresse, E-Mail-Adresse, Telefonnummer des Kunden/Käufers, Betrag des Kaufpreises oder des Wertes der Dienstleistung, Rechnungsname und -adresse sowie weitere Informationen, die freiwillig im Zusammenhang mit dem Vertrag an die HUNGARY-MEAT Kft. übermittelt wurden, sowie gegebenenfalls sonstige Daten, die im Bestellkommentar angegeben sind.
Rechnungsstellung, Erfüllung der buchhalterischen Pflichten, Aufbewahrung von Belegen
Die HUNGARY-MEAT Kft. verarbeitet zur Ausstellung der mit der Dienstleistung verbundenen Rechnungen, zur Dokumentation der Vertragsabschlüsse und Zahlungen, zur Erfüllung der buchhalterischen Pflichten, zur Aufbewahrung von Buchhaltungsbelegen, die die buchhalterische Abrechnung direkt und indirekt unterstützen, den Namen, die Adresse (Sitz, Wohnsitz, Aufenthaltsort, Benachrichtigungsadresse, sonstige Adresse) der betroffenen Person, ihre Steuernummer (falls erforderlich), die Bezeichnung der Dienstleistung, die Menge, den Brutto- und Nettowert, das Erfüllungsdatum, das Rechnungsdatum, das Zahlungsziel sowie die diese Daten enthaltenden Buchhaltungsbelege gemäß § 169 Absatz 2 des Rechnungslegungsgesetzes für 8 (acht) Jahre. Die Datenverarbeitung ist zur Erfüllung der gesetzlichen Verpflichtung des Datenverantwortlichen erforderlich [Artikel 6 Absatz 1 Buchstabe b) der DSGVO; § 169 Absatz 2 des Rechnungslegungsgesetzes]. Bei Nichtbereitstellung der Daten verweigert die HUNGARY-MEAT Kft. die Erbringung der Dienstleistung.
Beschwerdemanagement
Die Datenverarbeitung ist zur Erfüllung der gesetzlichen Verpflichtung des Datenverantwortlichen erforderlich [Artikel 6 Absatz 1 Buchstabe b) der DSGVO; § 17/A Absatz 7 des Verbraucherschutzgesetzes]. Die HUNGARY-MEAT Kft. verarbeitet zum Zweck der Bearbeitung von Beschwerden den Namen, die Adresse (Sitz, Wohnsitz, Aufenthaltsort, Benachrichtigungsadresse, sonstige Adresse) und die Daten der in Anspruch genommenen Dienstleistung der betroffenen Personen, die in den Beschwerdeprotokollen und den Kopien der schriftlichen Antworten auf Beschwerden gemäß § 17/A Absatz 7 des Verbraucherschutzgesetzes für 5 (fünf) Jahre erfasst sind. Bei Nichtbereitstellung der Daten kann die betroffene Person ihre Verbraucher- und Gewährleistungsrechte nicht ausüben.
Rechtsdurchsetzung
Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen (rechtlicher Ansprüche) des Datenverantwortlichen erforderlich [Artikel 6 Absatz 1 Buchstabe f) der DSGVO]. Die HUNGARY-MEAT Kft. verarbeitet zum Zweck der Durchsetzung ihrer zivil- und strafrechtlichen Ansprüche im Zusammenhang mit den betroffenen Personen die Daten der betroffenen Personen und die damit verbundenen Unterlagen, Dokumente und Kopien. Die Datenverarbeitung dauert bis zum Ablauf der Verjährungs- bzw. Ausschlussfristen, die im jeweiligen Vertrag oder in den entsprechenden Gesetzen festgelegt sind (allgemeine Verjährungsfrist: 5 Jahre).
Empfänger, Datenübermittlung, Auftragsverarbeiter: an die Gesellschaft, die Buchhaltungsdienstleistungen für die Gesellschaft erbringt, die kontoführende Bank, die Gesellschaft, die das Online-Zahlungs- oder Abrechnungssystem betreibt, die NAV, gegebenenfalls den rechtlichen Vertreter und/oder das zuständige Gericht, /MOKK (bei Zahlungsaufforderung), Gerichtsvollzieher.
Rechtsbehelfsmöglichkeiten: Sie haben das Recht, gemäß den Artikeln 12-22 der DSGVO und den Bestimmungen der Datenschutz- und Datensicherheitsrichtlinie der Gesellschaft Informationen über die mit der Datenverarbeitung verbundenen Tatsachen zu erhalten (im Folgenden: Recht auf Vorabinformation), der Datenverantwortliche stellt Ihnen auf Antrag Ihre personenbezogenen Daten und die damit verbundenen Informationen zur Verfügung (im Folgenden: Recht auf Zugang), auf Antrag korrigiert oder ergänzt der Datenverantwortliche Ihre personenbezogenen Daten (im Folgenden: Recht auf Berichtigung), auf Antrag beschränkt der Datenverantwortliche die Verarbeitung Ihrer personenbezogenen Daten (im Folgenden: Recht auf Einschränkung der Datenverarbeitung), auf Antrag löscht der Datenverantwortliche Ihre personenbezogenen Daten (im Folgenden: Recht auf Löschung), Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen und das Recht auf Datenübertragbarkeit ausüben.
Das Rechtsbehelfsverfahren kann per E-Mail, Telefon oder Brief über die oben genannten Kontaktmöglichkeiten eingeleitet werden.
Die betroffene Person kann auch das Recht auf Beschwerde bei der Aufsichtsbehörde an der folgenden Adresse ausüben:
Nationale Behörde für Datenschutz und Informationsfreiheit
Adresse: 1055 Budapest, Falk Miksa utca 9-11.
E-Mail: ugyfelszolgalat@naih.hu
Postanschrift: 1363 Budapest, Pf.: 9.
Telefon:
+36 (30) 683-5969
+36 (30) 549-6838
+36 (1) 391 1400
Fax: +36 (1) 391-1410E-Mail: ugyfelszolgalat@naih.hu
Website: naih.hu
Änderung des Hinweises
Die HUNGARY-MEAT Kft. behält sich das Recht vor, diesen Hinweis einseitig mit Wirkung nach der Änderung zu ändern und die betroffenen Personen unverzüglich über die Änderungen zu informieren.
Kenntnisnahme und Annahme des Hinweises
Mit der Bereitstellung personenbezogener Daten bestätigen Sie als betroffene Person, dass Sie die zum Zeitpunkt der Bereitstellung der Daten geltende Version des Hinweises zur Kenntnis genommen und ausdrücklich akzeptiert haben. Bei der Inanspruchnahme bestimmter Dienstleistungen können spezifische Datenschutzbedingungen gelten, über die die betroffene Person vor der Inanspruchnahme der jeweiligen Dienstleistung informiert wird.
3.7. DATENSCHUTZHINWEIS FÜR DIE WEBSITE
DATENSCHUTZHINWEIS
für die Besucher der von der HUNGARY-MEAT Kft. betriebenen Website
www.hungarymeat.hu
Bitte lesen Sie den Hinweis sorgfältig durch, um zu verstehen, wie wir Ihre personenbezogenen Daten verarbeiten, und um Ihre Rechte in Bezug auf die Datenverarbeitung zu kennen.
Einführung
Unsere Gesellschaft als Datenverantwortlicher verarbeitet im Rahmen des Betriebs der oben genannten Website die Daten der Besucher der Website, um ihnen einen angemessenen Service bieten zu können.
Der Datenverantwortliche möchte die gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten vollständig erfüllen, daher wurde dieser Datenschutzhinweis auf Grundlage der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO) erstellt, unter Berücksichtigung des Inhalts des Gesetzes CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit.
Im Rahmen seiner geschäftlichen und wirtschaftlichen Tätigkeit legt der Datenverantwortliche großen Wert auf den Schutz personenbezogener Daten, die Einhaltung gesetzlicher Vorschriften, eine sichere und faire Datenverarbeitung. Der Datenverantwortliche behandelt die in diesem Hinweis genannten personenbezogenen Daten vertraulich und trifft alle Sicherheits-, technischen und organisatorischen Maßnahmen, die die Sicherheit der Daten sowie die Einhaltung der Datenschutz- und Datensicherheitsvorschriften gewährleisten. Der Datenverantwortliche hält es für wichtig, die Rechte seiner Kunden, Partner und aller anderen betroffenen natürlichen Personen (im Folgenden: Betroffene) im Zusammenhang mit der Datenverarbeitung zu respektieren und durchzusetzen. Der Datenverantwortliche verpflichtet sich daher, sicherzustellen, dass die Datenverarbeitung in Bezug auf seine Dienstleistungen den gesetzlichen Anforderungen entspricht.
Die HUNGARY-MEAT Kft. (im Folgenden: Datenverantwortlicher) respektiert als Datenverantwortlicher die Privatsphäre aller Personen, die ihr personenbezogene Daten zur Verfügung stellen, und ist bestrebt, diese zu schützen. Gemäß Artikel 13 der Allgemeinen Datenschutzverordnung der Europäischen Union (Verordnung 679/2016, im Folgenden: DSGVO) gibt sie folgende Informationen:
Betreiber der Website und Verantwortlicher für die auf der Website angegebenen personenbezogenen Daten (im Folgenden: Datenverantwortlicher):
Name / Firmenname:
HUNGARY-MEAT Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
Firmensitz:
6100 Kiskunfélegyháza, Majsai út 30.
Vertreter des Datenverantwortlichen:
László Kovács Geschäftsführer
Steuernummer:
11421702-2-03
Telefonnummer/Faxnummer:
Tel:003676-463-815
Fax:003676-462-775
E-Mail-Adresse:
hm@hungarymeat.hu
Name und Adresse der Website:
Erreichbarkeit des Datenschutzhinweises:
In Papierform am Firmensitz und an den Betriebsstätten der Gesellschaft verfügbar
Datenschutzbeauftragter:
Der Datenverantwortliche ist gemäß Artikel 37 der DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu benennen
Datenschutzanfragen:
Falls Sie Anfragen oder Fragen zur Datenverarbeitung haben, können Sie Ihre Anfrage per Post an 6100 Kiskunfélegyháza, Majsai út 30 oder per E-Mail an hm@hungarymeat.hu senden. Unsere Antwort wird unverzüglich, jedoch spätestens innerhalb von 30 Tagen an die von Ihnen angegebene Adresse gesendet
Datenverarbeitung
Datenverarbeitung wird von den unten aufgeführten Personen durchgeführt
Datenübermittlung ins Ausland:
Es erfolgt keine Datenübermittlung ins Ausland.
1. Grundsätze der Datenverarbeitung, Rechtmäßigkeit der Rechtsgrundlagen
Der Datenverantwortliche erklärt, dass er die Verarbeitung personenbezogener Daten gemäß den in dieser Datenschutzrichtlinie festgelegten Bedingungen durchführt und die einschlägigen gesetzlichen Bestimmungen einhält, insbesondere die folgenden:
- Personenbezogene Daten müssen auf rechtmäßige, faire und für die betroffene Person transparente Weise verarbeitet werden.
- Die Erhebung personenbezogener Daten darf nur für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen.
- Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und relevant sein und auf das notwendige Maß beschränkt werden.
- Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein. Unrichtige personenbezogene Daten sind unverzüglich zu löschen oder zu berichtigen.
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine längere Speicherung personenbezogener Daten darf nur erfolgen, wenn die Speicherung zu Zwecken der Archivierung im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt.
Die Verarbeitung personenbezogener Daten muss in einer Weise erfolgen, die durch geeignete technische oder organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung.
Die Grundsätze des Datenschutzes gelten für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
1.1. Rechtsgrundlage und Rechtmäßigkeit der Datenverarbeitung:
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Datenverantwortliche unterliegt;
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Datenverantwortlichen übertragen wurde;
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
Wenn personenbezogene Daten mit Einwilligung der betroffenen Person erhoben wurden, kann der Datenverantwortliche die erhobenen Daten, sofern keine anderslautenden gesetzlichen Bestimmungen bestehen, ohne zusätzliche Einwilligung und auch nach Widerruf der Einwilligung der betroffenen Person zur Erfüllung seiner rechtlichen Verpflichtungen, zur Erfüllung eines Vertrags, zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder zur Wahrung berechtigter Interessen des Datenverantwortlichen oder eines Dritten verarbeiten, sofern die gesetzlichen Voraussetzungen dafür vorliegen.
Personenbezogene Daten dürfen weitergegeben und verschiedene Datenverarbeitungen dürfen miteinander verknüpft werden, wenn die betroffene Person zugestimmt hat oder das Gesetz dies zulässt und die Bedingungen für die Datenverarbeitung in Bezug auf jede einzelne personenbezogene Information erfüllt sind.
Personenbezogene Daten dürfen unabhängig vom Datenträger oder der Art der Datenübertragung an einen Datenverantwortlichen oder Datenverarbeiter in einem Drittland nur weitergegeben werden, wenn die betroffene Person ausdrücklich zugestimmt hat oder das Gesetz dies zulässt und der Schutz personenbezogener Daten im Drittland während der Verarbeitung der übermittelten Daten angemessen gewährleistet ist.
Im Falle einer obligatorischen Datenverarbeitung werden der Zweck und die Bedingungen der Datenverarbeitung, der Umfang der zu verarbeitenden Daten und deren Zugänglichkeit, die Dauer der Datenverarbeitung sowie die Person des Datenverantwortlichen durch das Gesetz oder die kommunale Verordnung festgelegt, die die Datenverarbeitung anordnet.
Eine auf der Erfüllung einer rechtlichen Verpflichtung beruhende Datenverarbeitung ist unabhängig von der Einwilligung der betroffenen Person, da die Datenverarbeitung durch das Gesetz bestimmt wird. In diesem Fall muss der betroffenen Person vor Beginn der Datenverarbeitung mitgeteilt werden, dass die Datenverarbeitung obligatorisch ist, und die betroffene Person muss vor Beginn der Datenverarbeitung eindeutig und umfassend über alle Fakten in Bezug auf die Verarbeitung ihrer Daten informiert werden, insbesondere über den Zweck und die Rechtsgrundlage der Datenverarbeitung, die zur Datenverarbeitung und Datenverarbeitung berechtigte Person, die Dauer der Datenverarbeitung und darüber, ob der Datenverantwortliche die personenbezogenen Daten aufgrund einer rechtlichen Verpflichtung verarbeitet, sowie darüber, wer die Daten einsehen kann. Die Information muss auch die Rechte der betroffenen Person in Bezug auf die Datenverarbeitung und die Rechtsbehelfe umfassen. Im Falle einer obligatorischen Datenverarbeitung kann die Information auch durch Veröffentlichung der entsprechenden gesetzlichen Bestimmungen erfolgen, die die oben genannten Informationen enthalten.
Ein Gesetz kann im öffentlichen Interesse - unter ausdrücklicher Angabe des Umfangs der Daten - die Offenlegung personenbezogener Daten anordnen. In allen anderen Fällen ist die Einwilligung der betroffenen Person für die Offenlegung erforderlich, im Falle besonderer Daten ist eine schriftliche Einwilligung erforderlich. Im Zweifelsfall ist davon auszugehen, dass die betroffene Person ihre Einwilligung nicht erteilt hat. Die Einwilligung der betroffenen Person gilt als erteilt in Bezug auf die von ihr im Rahmen ihrer öffentlichen Tätigkeit offengelegten oder zur Veröffentlichung übermittelten Daten. Im Rahmen eines auf Antrag der betroffenen Person eingeleiteten Verfahrens ist davon auszugehen, dass die betroffene Person der Verarbeitung der erforderlichen Daten zugestimmt hat. Auf diese Tatsache ist die betroffene Person hinzuweisen. Die betroffene Person kann ihre Einwilligung auch im Rahmen eines mit dem Datenverantwortlichen schriftlich geschlossenen Vertrags zum Zweck der Erfüllung der vertraglichen Bestimmungen erteilen. In diesem Fall muss der Vertrag alle Informationen enthalten, die die betroffene Person in Bezug auf die Verarbeitung personenbezogener Daten kennen muss, insbesondere die Bestimmung der zu verarbeitenden Daten, die Dauer der Datenverarbeitung, den Verwendungszweck, die Weitergabe der Daten und die Inanspruchnahme eines Datenverarbeiters. Der Vertrag muss eindeutig festlegen, dass die betroffene Person mit ihrer Unterschrift der Verarbeitung ihrer Daten gemäß den vertraglichen Bestimmungen zustimmt.
Das Recht auf Schutz personenbezogener Daten und die Persönlichkeitsrechte der betroffenen Person dürfen - es sei denn, das Gesetz sieht eine Ausnahme vor - durch andere Interessen im Zusammenhang mit der Datenverarbeitung, einschließlich der Offenlegung öffentlicher Daten, nicht beeinträchtigt werden.
Personenbezogene Daten dürfen auch dann verarbeitet werden, wenn es unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist, die Einwilligung der betroffenen Person einzuholen und die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen erforderlich ist oder zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist und die Durchsetzung dieses Interesses in einem angemessenen Verhältnis zur Einschränkung des Rechts auf Schutz personenbezogener Daten steht.
Wenn die betroffene Person aufgrund von Handlungsunfähigkeit oder einem anderen unabwendbaren Grund nicht in der Lage ist, ihre Einwilligung zu erteilen, können ihre personenbezogenen Daten in dem Maße verarbeitet werden, wie dies zum Schutz ihrer lebenswichtigen Interessen oder zur Abwehr oder Verhinderung einer unmittelbaren Gefahr für das Leben, die körperliche Unversehrtheit oder das Eigentum von Personen erforderlich ist.
2. Konkrete Datenverarbeitungen im Zusammenhang mit der Website des Datenverantwortlichen
2.1. Auf der Website verarbeitete Daten: Der öffentliche Inhalt unserer Website kann von jedem ohne Angabe personenbezogener Daten eingesehen werden, der die Website besucht, eine Registrierung oder Anmeldung ist nicht erforderlich.
Im Zusammenhang mit der Nutzung der Website verarbeiten wir die folgenden Daten für die in diesem Hinweis angegebenen Zwecke und für die in diesem Hinweis angegebene Dauer. Darüber hinaus gewährleisten wir die Durchsetzung Ihrer Rechte in Bezug auf die Datenverarbeitung wie folgt:
2.2. Datenverarbeitung im Zusammenhang mit den Daten der Website-Besucher
Bei der Nutzung unserer Website werden bestimmte Daten automatisch von Ihrem Gerät oder Browser erfasst, wenn Sie die Website besuchen. Weitere Informationen zu den oben genannten Prozessen finden Sie im Abschnitt "Cookies und Webbeacons (Pixel Tags)" dieser Datenschutzrichtlinie. Diese Daten umfassen unter anderem:
- Gerätekennungen, Anrufstatus, Netzwerkzugang, Speicher- und Batteriestatus
- Cookies, IP-Adressen, Referrer-Header, Daten zur Identifizierung Ihres Browsers und seiner Version sowie Webbeacons und Tags.
Die Angabe personenbezogener Daten ist unbedingt erforderlich, um die Identifizierung in den Datenbanken zu ermöglichen.
Zur Kenntnisnahme berechtigte Personen: der Datenverantwortliche, der Webentwickler/IT-Spezialist, die Buchhaltungsfirma.
Die Angabe personenbezogener Daten ist unbedingt erforderlich, um die Identifizierung in den Datenbanken und die Erfüllung der rechtlichen Verpflichtungen des Datenverantwortlichen zu ermöglichen.
2.3. Verwaltung von Cookies
Was ist ein Cookie? Ein Cookie ist eine Textdatei, die während des Öffnens und der Nutzung unserer Website auf dem von Ihnen verwendeten Gerät (Computer, Smartphone) zur Nutzung des Internets platziert wird. Sie enthält in der Regel Informationen zur Verbindung zwischen dem Webserver und Ihrem Gerät oder zur Funktionalität der Website (z. B. eine sogenannte Sitzungs-ID, die aus einer einzigartigen Zeichenfolge aus Buchstaben, Zahlen und anderen Schriftzeichen besteht; das Datum und die Uhrzeit des Besuchs der Website usw.), deren Inhalt vom Webserver gelegentlich gelesen wird, während Sie unsere Website durchsuchen oder später erneut besuchen. Mit Hilfe des Cookie-Inhalts kann die Website (Server) die Benutzererfahrung verbessern und die auf der Website angebotenen Dienste bereitstellen. Wenn Sie beispielsweise in einem Online-Shop einkaufen, kann der Online-Shop mithilfe solcher Cookies laufende Einkäufe (z. B. den aktuellen Inhalt des Warenkorbs) voneinander unterscheiden und verwalten. Wenn während des Einkaufs die Internetverbindung unterbrochen wird, kann die Website mithilfe des zuvor gespeicherten Cookies erkennen, welche Artikel Sie in den Warenkorb gelegt haben, welche Artikel Sie gesucht haben, und sobald die Verbindung wiederhergestellt ist, können Sie den Einkauf dort fortsetzen, wo Sie aufgehört haben.
Annahme durch Besuch der Website: Wenn Sie unsere Website besuchen, sammelt die Website mithilfe der oben beschriebenen Cookies Daten. Bei Ihrem Besuch auf unserer Website können Sie als Benutzer jedoch mit einem Klick akzeptieren, dass die Website gemäß diesem Hinweis Cookies verwendet, die nicht zur Identifizierung von Personen geeignet sind. Sie haben auch die Möglichkeit, Cookies jederzeit über die Einstellungen in den Browsern zu löschen. Wenn Sie das Setzen von Cookies auf Ihrem Computer in Ihrem eigenen Browser deaktivieren oder diese löschen, kann dies die Nutzbarkeit der Website (oder bestimmter Teile davon) einschränken, und die zuvor auf der Website angegebenen Einstellungen können verloren gehen.
Die auf unserer Website verwendeten Cookies:
- Unverzichtbare Cookies
- Funktionale Cookies
- Google Analytics Cookies
- Soziale Medien
Der Kreis der von der Datenverarbeitung Betroffenen umfasst die Besucher der Website.
Zweck der Datenverarbeitung: Zusatzdienste, Identifizierung, Nachverfolgung der Besucher. Identifizierung der Benutzer, die unsere Website besuchen, Unterscheidung voneinander und Identifizierung ihrer aktuellen Sitzungen, Speicherung der während der Sitzung angegebenen Daten, Verhinderung von Datenverlust.
Rechtsgrundlage der Datenverarbeitung: Die Einwilligung des Benutzers ist nicht erforderlich, wenn der Dienstleister die Verwendung der Cookies unbedingt benötigt.
Umfang der Daten: eindeutige Identifikationsnummer, Datum und Uhrzeit, Einstellungsdaten. Die auf unserer Website verwendeten Cookies sind funktionale Cookies, die den Zeitpunkt des Besuchs der Website, die Sitzungs-ID und andere sitzungsbezogene Informationen enthalten, die vom Programmcode der Website interpretiert werden können (Zahlen- und Zeichenfolgen).
Die in den funktionalen Cookies gespeicherten Informationen werden nicht an Dritte weitergegeben.
Berechtigte Datenverantwortliche zur Kenntnisnahme der Daten: Der Datenverantwortliche verarbeitet keine personenbezogenen Daten durch die Verwendung von Cookies.
Speicherungsmodus der Daten: elektronisch.
Dauer der Datenverarbeitung: Die Gültigkeit einiger der auf unserer Website verwendeten funktionalen Cookies erlischt, sobald Sie die Website verlassen oder die Seite in Ihrem Browser schließen. Einige andere funktionale Cookies haben eine längere Lebensdauer (180 Tage), auf deren Inhalt unsere Website jedoch nur zugreifen kann, wenn Sie unsere Website erneut von demselben Gerät aus besuchen und diese Cookies nicht zwischenzeitlich gelöscht haben.
Rechtsdurchsetzung: Die meisten Internetbrowserprogramme erlauben die Verwendung von Cookies automatisch. Sie können diese Einstellung jedoch jederzeit ändern, Cookies deaktivieren und löschen. Sie können jederzeit auf den Inhalt der auf Ihrem Gerät gespeicherten Cookies zugreifen, diesen einsehen und löschen.
Die Verwaltung und das Löschen von Cookies kann in der Regel in den Sicherheitseinstellungen, Datenschutzeinstellungen oder Datenschutzuntermenüs der meisten bekannten Internetbrowserprogramme unter dem Namen Cookie oder Cookie erfolgen. Bitte beachten Sie, dass die Nutzung bestimmter Funktionen der Website eingeschränkt oder nicht verfügbar sein kann, wenn Sie die Verwendung von Cookies deaktivieren oder nicht akzeptieren. Weitere Informationen zur Verwaltung von Cookies finden Sie im Hilfebereich des jeweiligen Programms oder unter den folgenden Links, indem Sie auf den Namen des Programms klicken: Internet Explorer, Chrome, Mozilla Firefox, Edge.
2.4. Google Analytics-Dienst
Zur Analyse und Messung der Besucherzahlen, Verkehrs- und Leistungsdaten unserer Website nutzen wir den Google Analytics-Dienst. Die von der Website gesammelten Informationen werden automatisch an Google weitergeleitet, enthalten jedoch keine (und dürfen auch keine enthalten!) personenbezogenen Daten. Die gesammelten und übermittelten Informationen dienen nicht zur Identifizierung der Website-Besucher, sondern nur zur Unterscheidung der Sitzungen voneinander und zur Erfassung statistischer Daten.
Zweck der Datenverarbeitung
Messung der Leistung der Website, Erstellung von Statistiken zur Nutzung der Website, Unterscheidung der Besucher und Sitzungen auf der Website.
Umfang der verarbeiteten Daten
Der Google Analytics-Dienst verwendet Cookies, um die Leistung der Website zu messen und Statistiken zur Nutzung der Website zu erstellen. Diese Cookies enthalten Informationen, die vom Dienst interpretiert werden können (eine eindeutige Zeichenfolge aus Buchstaben, Zahlen und anderen Schriftzeichen).
Dauer der Datenverarbeitung
Die Gültigkeit der vom Google Analytics-Dienst verwendeten Cookies kann unterschiedlich sein. Einige Cookies verlieren ihre Gültigkeit, wenn Sie die Seite im Internetbrowser schließen, während einige andere eine kürzere (1 Minute) oder erheblich längere Gültigkeit (z. B. 24 Stunden oder z. B. 2 Jahre) haben. Der Inhalt dieser länger gültigen Cookies kann jedoch nur dann von unserer Website - und damit auch vom Google Analytics-Dienst - abgerufen werden, wenn Sie unsere Website erneut von demselben Gerät aus besuchen und diese Cookies nicht zwischenzeitlich gelöscht haben.
Rechtsdurchsetzung
Wenn Sie nicht möchten, dass der Google Analytics-Dienst Informationen über Ihren Website-Besuch sammelt, können Sie dies durch die Installation und Verwendung eines dafür vorgesehenen Programms verhindern. Sie können die Verwendung der vom Google Analytics-Dienst verwendeten Cookies - zusammen mit allen anderen Cookies - ebenfalls deaktivieren. Sie können jederzeit auf den Inhalt der auf Ihrem Gerät gespeicherten Cookies zugreifen, diesen einsehen, ansehen und löschen.
3. Art und Sicherheit der Datenverarbeitung
Der Datenverantwortliche sorgt für die Sicherheit der Daten und ergreift die erforderlichen technischen und organisatorischen Maßnahmen sowie legt die Verfahrensregeln fest, die zur Umsetzung der DSGVO und anderer Datenschutz- und Geheimhaltungsvorschriften erforderlich sind. Der Datenverantwortliche schützt die personenbezogenen Daten vor unbefugtem Zugriff; unbefugter Änderung; unbefugter Weitergabe; unbefugter Offenlegung; unbefugtem oder versehentlichem Löschen, Zerstören; Beschädigung; sowie vor Unzugänglichkeit aufgrund von Änderungen der angewandten Technik.
Die Website funktioniert über SSL-Verschlüsselung (https).
Die Korrespondenz erfolgt über die Server von Google Workspace (Hosting-Anbieter).
Die personenbezogenen Daten (Bewerbungen) sind über eine passwortgeschützte Administrationsoberfläche zugänglich.
Papierdokumente werden in einem geschlossenen Büro in einem verschlossenen Schrank aufbewahrt.
Im Falle eines Datenverlusts, der durch einen Fehler des Datenverantwortlichen verursacht wurde, ist der Datenverantwortliche verpflichtet, die Daten kostenlos wiederherzustellen.
Datensicherheit: Zum Schutz der von uns verarbeiteten personenbezogenen Daten ergreifen wir alle notwendigen technischen und organisatorischen Maßnahmen, um die Daten vor versehentlichem Löschen (Zerstörung), unbefugter Nutzung oder Änderung zu schützen. Der Zugriff auf die in unseren IT-Systemen verarbeiteten Daten wird durch ein Berechtigungssystem ausschließlich unseren Mitarbeitern gewährt. Dadurch stellen wir sicher, dass unbefugte Personen keinen Zugriff auf die verarbeiteten Daten haben, diese nicht veröffentlichen, weitergeben, ändern oder löschen können.
Datenübermittlung: Wir geben Ihre personenbezogenen Daten nicht an Personen weiter, die keine Berechtigung zum Zugriff auf diese haben. Wir übermitteln sie nur dann an Dritte, wenn Sie zuvor Ihre Zustimmung gegeben haben. Eine Ausnahme hiervon bildet die gesetzlich vorgeschriebene Datenübermittlung, wie beispielsweise die Weitergabe der in den Rechnungen enthaltenen Daten an das Nationale Steuer- und Zollamt im Zusammenhang mit der Erfüllung von Verträgen und Dienstleistungen oder die Weitergabe der für eine behördliche Untersuchung erforderlichen Daten auf offizielle Anfrage der Behörde (z.B. Polizei, Staatsanwaltschaft, Gericht). Ihre gesonderte Zustimmung ist hierfür nicht erforderlich, da dies unsere gesetzliche Pflicht ist.
4. Rechte der betroffenen Person:
4.1. Rechte der Betroffenen
Gemäß der DSGVO und dem Infotv. können natürliche Personen beim Datenverantwortlichen die Auskunft über die Verarbeitung ihrer personenbezogenen Daten, den Zugang zu ihren personenbezogenen Daten sowie deren Berichtigung, Löschung oder Einschränkung beantragen. Sie können außerdem Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen und ihr Recht auf Datenübertragbarkeit ausüben.
Recht auf Auskunft und Zugang
Auf Antrag des Betroffenen erteilt der Datenverantwortliche während der Dauer der Datenverarbeitung Auskunft über die von ihm verarbeiteten und verarbeiteten Daten, deren Quelle, den Zweck der Datenverarbeitung, die Rechtsgrundlage, die Dauer, den Namen und die Adresse des Auftragsverarbeiters und dessen Tätigkeit im Zusammenhang mit der Datenverarbeitung, die Umstände, Auswirkungen und Maßnahmen zur Behebung eines Datenschutzvorfalls sowie darüber, wer aus welchem Grund Zugriff auf die personenbezogenen Daten hatte. Wurden die Daten des Betroffenen übermittelt, so kann der Betroffene einen Auszug aus dem Übermittlungsregister erhalten. Der Datenverantwortliche ist verpflichtet, die Auskunft unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Einreichung des Antrags in verständlicher Form zu erteilen. Die Auskunft ist kostenlos, sofern der Antragsteller im laufenden Jahr keinen Antrag auf Auskunft über den gleichen Datenumfang gestellt hat. Der Datenverantwortliche kann die Auskunft verweigern, wenn die betroffene Person nicht Auskunft über ihre eigenen Daten verlangt; wenn der Antragsteller nicht glaubhaft nachweisen kann, dass er die betroffene Person ist; wenn das Gesetz die Auskunft ausschließt; oder wenn der Datenverantwortliche die Daten gemäß einem Gesetz, einem internationalen Vertrag oder einer verbindlichen Rechtsvorschrift der Europäischen Union von einem anderen Datenverantwortlichen erhält, der die Einschränkung des Auskunftsrechts der betroffenen Person angezeigt hat. Der Datenverantwortliche darf Auskunft nur der betroffenen Person und den von ihr bevollmächtigten Personen erteilen. Im Falle der Verweigerung der Auskunft teilt der Datenverantwortliche dem Antragsteller mit, auf welche gesetzliche Bestimmung sich die Verweigerung stützt. Der Datenverantwortliche informiert die betroffene Person über das Recht auf gerichtlichen Rechtsschutz und die Möglichkeit, sich an die Nationale Datenschutz- und Informationsfreiheitsbehörde zu wenden. Der Datenverantwortliche benachrichtigt die Nationale Datenschutz- und Informationsfreiheitsbehörde jährlich bis zum 31. Januar des Folgejahres über die abgelehnten Anträge.
Recht auf Berichtigung
Die betroffene Person kann die Berichtigung ihrer personenbezogenen Daten beantragen, d.h. sie hat das Recht, vom Datenverantwortlichen unverzüglich die Berichtigung unrichtiger personenbezogener Daten, die sie betreffen, zu verlangen, und kann auch verlangen, dass der Datenverantwortliche ihre personenbezogenen Daten ergänzt, wenn diese unvollständig sind. Liegen dem Datenverantwortlichen zutreffende personenbezogene Daten vor, so berichtigt der Datenverantwortliche die personenbezogenen Daten unverzüglich. Der Datenverantwortliche prüft den Antrag auf Berichtigung unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Einreichung und teilt der antragstellenden Person die Entscheidung und die Möglichkeit des Rechtsbehelfs schriftlich mit.
Recht auf Löschung und Einschränkung
Die betroffene Person hat das Recht, vom Datenverantwortlichen unverzüglich die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Datenverantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es gibt keine andere Rechtsgrundlage für die Verarbeitung;
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
- Die personenbezogenen Daten müssen zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Datenverantwortliche unterliegt, gelöscht werden;
Recht auf Einschränkung der Verarbeitung
Die betroffene Person hat das Recht, vom Datenverantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen erfüllt ist:
- Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten, in diesem Fall gilt die Einschränkung für den Zeitraum, der es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- Die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung ihrer Nutzung;
- Der Datenverantwortliche benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder
- Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, bis festgestellt ist, ob die berechtigten Gründe des Datenverantwortlichen gegenüber denen der betroffenen Person überwiegen
Recht auf Widerspruch
Die betroffene Person kann der Verarbeitung ihrer personenbezogenen Daten widersprechen. Die Gesellschaft prüft den Widerspruch unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Einreichung des Antrags, trifft eine Entscheidung über die Begründetheit und teilt dem Antragsteller die Entscheidung schriftlich mit.
Die betroffene Person kann in den folgenden Fällen Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen,
- wenn die Verarbeitung oder Übermittlung personenbezogener Daten ausschließlich zur Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen oder zur Wahrnehmung eines berechtigten Interesses des Datenverantwortlichen, des Datenempfängers oder eines Dritten erforderlich ist, es sei denn, es handelt sich um eine zwingende Verarbeitung;
- wenn die personenbezogenen Daten für Zwecke der Direktwerbung, der Meinungsforschung oder der wissenschaftlichen Forschung verwendet oder übermittelt werden; sowie
- in anderen gesetzlich bestimmten Fällen.
Im Falle der Begründetheit des Widerspruchs stellt der Datenverantwortliche die Verarbeitung – einschließlich der weiteren Datenerhebung und -übermittlung – ein und löscht oder schränkt die Daten ein und informiert alle, denen die personenbezogenen Daten zuvor übermittelt wurden, über den Widerspruch und die aufgrund des Widerspruchs getroffenen Maßnahmen, damit diese ihrer Pflicht zur Durchsetzung des Widerspruchsrechts nachkommen können. Wenn die Behörde dem Widerspruch der betroffenen Person nicht zustimmt oder die Behörde die Frist zur Prüfung und Entscheidung des Widerspruchs versäumt, kann die betroffene Person innerhalb von 30 Tagen nach Mitteilung der Entscheidung oder nach Ablauf der Frist das Gericht anrufen.
Rechte der Betroffenen in Bezug auf automatisierte Entscheidungen und Profiling
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Auswirkungen auf sie hat oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die Entscheidung:
1. ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Datenverantwortlichen erforderlich;
2. ist durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Datenverantwortliche unterliegt, zulässig und dieses Recht sieht angemessene Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person vor; oder
3. erfolgt mit ausdrücklicher Einwilligung der betroffenen Person.
In den in den Nummern 1 und 3 genannten Fällen trifft der Datenverantwortliche angemessene Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, einschließlich zumindest des Rechts der betroffenen Person auf menschliches Eingreifen seitens des Datenverantwortlichen, auf Darlegung ihres Standpunkts und auf Anfechtung der Entscheidung.
Benachrichtigung im Zusammenhang mit Berichtigung, Löschung, Einschränkung der Verarbeitung
Der Datenverantwortliche unterrichtet alle Empfänger, denen die personenbezogenen Daten offengelegt wurden, über jede Berichtigung, Löschung oder Einschränkung der Verarbeitung, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden. Der Datenverantwortliche informiert die betroffene Person auf deren Wunsch über diese Empfänger.
Benachrichtigung der betroffenen Person über Datenschutzvorfälle
Wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, unterrichtet der Datenverantwortliche die betroffene Person unverzüglich über den Datenschutzvorfall. In der Benachrichtigung muss die Art des Datenschutzvorfalls klar und verständlich beschrieben werden, der Name und die Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen müssen angegeben werden, die voraussichtlichen Folgen des Datenschutzvorfalls und die vom Datenverantwortlichen zur Behebung des Datenschutzvorfalls getroffenen oder geplanten Maßnahmen, einschließlich gegebenenfalls Maßnahmen zur Minderung etwaiger nachteiliger Folgen des Datenschutzvorfalls, müssen dargelegt werden.
Die betroffene Person muss nicht benachrichtigt werden, wenn eine der folgenden Bedingungen erfüllt ist:
1. der Datenverantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen durchgeführt und diese Maßnahmen auf die vom Datenschutzvorfall betroffenen Daten angewandt, insbesondere solche Maßnahmen – wie die Verschlüsselung – die die Daten für unbefugte Personen unverständlich machen;
2. der Datenverantwortliche hat nach dem Datenschutzvorfall zusätzliche Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person voraussichtlich nicht mehr besteht;
3. die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern.
In solchen Fällen müssen die betroffenen Personen über öffentlich zugängliche Informationen benachrichtigt werden oder es müssen ähnliche Maßnahmen ergriffen werden, die sicherstellen, dass die betroffenen Personen auf ähnliche Weise wirksam benachrichtigt werden. Wenn der Datenverantwortliche die betroffene Person noch nicht über den Datenschutzvorfall benachrichtigt hat, kann die Aufsichtsbehörde nach Abwägung der Wahrscheinlichkeit eines hohen Risikos für die Rechte und Freiheiten der betroffenen Personen die Benachrichtigung der betroffenen Person anordnen oder feststellen, dass keine Benachrichtigung erforderlich ist.
4.2. Antrag der betroffenen Person, Maßnahmen des Datenverantwortlichen
Der Datenverantwortliche erleichtert die Ausübung der in diesem Kapitel und im Gesetz festgelegten Rechte der betroffenen Person. Der Datenverantwortliche darf die Erfüllung eines Antrags der betroffenen Person nicht verweigern, es sei denn, er kann nachweisen, dass er die betroffene Person nicht identifizieren kann. Der Datenverantwortliche informiert die betroffene Person unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Eingang des Antrags über die aufgrund des Antrags ergriffenen Maßnahmen. Falls erforderlich, unter Berücksichtigung der Komplexität des Antrags und der Anzahl der Anträge, kann diese Frist um weitere zwei Monate verlängert werden. Der Datenverantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Verlängerung der Frist und die Gründe für die Verzögerung.
Die Auskunft sollte nach Möglichkeit auf elektronischem Wege erteilt werden, es sei denn, die betroffene Person beantragt etwas anderes.
Ergreift der Datenverantwortliche keine Maßnahmen aufgrund des Antrags der betroffenen Person, so informiert er die betroffene Person unverzüglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen nach Eingang des Antrags über die Gründe für das Ausbleiben der Maßnahmen sowie über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzureichen und den Rechtsweg zu beschreiten.
Der Datenverantwortliche stellt die Informationen über die Verarbeitung personenbezogener Daten, die Auskunft über die Rechte der betroffenen Person und die Maßnahmen kostenlos zur Verfügung. Ist der Antrag der betroffenen Person jedoch offensichtlich unbegründet oder – insbesondere aufgrund seines wiederholten Charakters – exzessiv, kann der Datenverantwortliche unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der angeforderten Informationen oder Auskunft oder die Ergreifung der angeforderten Maßnahme:
1. eine Gebühr erheben, oder
2. die Erfüllung des Antrags verweigern.
Der Nachweis der offensichtlichen Unbegründetheit oder des exzessiven Charakters des Antrags obliegt dem Datenverantwortlichen. Hat der Datenverantwortliche berechtigte Zweifel an der Identität der natürlichen Person, die den Antrag stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
5. Rechtsmittel
5.1 Auskunft, Beschwerde
Wenn die betroffene Person der Ansicht ist, dass ihre Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verletzt wurden, kann sie beim Datenverantwortlichen Auskunft und Unterstützung bei der Ausübung ihrer Rechte unter den bereits angegebenen Kontaktdaten einholen.
5.2 Beschwerde bei der Behörde
Zur weiteren Rechtsverfolgung kann eine Beschwerde bei der Nationalen Datenschutz- und Informationsfreiheitsbehörde eingereicht werden. Die Behörde prüft Beschwerden nur, wenn der Betroffene sich zuvor mit dem Datenverantwortlichen in Verbindung gesetzt hat, um die in der Beschwerde angegebenen Rechte auszuüben.
Der Betroffene kann bei Verletzung seiner Rechte gegen den Datenverantwortlichen vor Gericht oder bei der Datenschutzbehörde klagen. Rechtsbehelfe und Beschwerden können unter folgenden Kontaktdaten eingereicht werden:
Nationale Datenschutz- und Informationsfreiheitsbehörde
Anschrift: 1055 Budapest, Falk Miksa utca 9-11.
Postanschrift: 1363 Budapest, Pf.: 9.
Telefon:
+36 (30) 683-5969
+36 (30) 549-6838
+36 (1) 391 1400
Fax: +36 (1) 391-1410
E-Mail: ugyfelszolgalat@naih.hu
Website: naih.hu
6. Auftragsverarbeiter (Personen, die Zugang zu den Daten haben, Datenübermittlung, Datenverarbeitung)
Die Daten werden in erster Linie vom Datenverantwortlichen eingesehen, jedoch nicht veröffentlicht, außer an Auftragsverarbeiter und externe Dienstleister. Der Datenverantwortliche kann Auftragsverarbeiter zur Erfüllung von Bestellungen, zur Sicherstellung des Betriebs der Dienstleistungen und zur Regelung der Abrechnungen in Anspruch nehmen oder mit externen Dienstleistern zusammenarbeiten.
Auftragsverarbeiter
In Bezug auf Kunden übermittelt der Datenverantwortliche Daten an die folgenden Unternehmen und setzt die folgenden Auftragsverarbeiter ein. Die Auftragsverarbeiter treffen keine eigenständigen Entscheidungen und sind ausschließlich befugt, gemäß den mit dem Datenverantwortlichen geschlossenen Verträgen und den erhaltenen Anweisungen zu handeln. Die Auftragsverarbeiter erfassen, verarbeiten und speichern die ihnen vom Datenverantwortlichen übermittelten und von ihnen verarbeiteten personenbezogenen Daten in Übereinstimmung mit den Bestimmungen der DSGVO.
Hosting-Anbieter:
Name / Firmenname:
Comprel© Számítástechnikai és Kommunikációs Bt.
Sitz:
1135 Budapest, Jász u. 65.
Telefon:
06-20-922-8291
E-Mail:
comprel@comprel.hu
Die von Ihnen angegebenen Daten werden auf einem Server gespeichert, der vom Hosting-Anbieter betrieben wird. Der Zugriff auf die Daten ist nur dem Datenverantwortlichen, dem IT-/Webentwickler und den Mitarbeitern des Serverbetreibers gestattet, die jedoch alle für die sichere Verarbeitung der Daten verantwortlich sind.
Tätigkeitsbezeichnung: Hosting-Dienstleistungen, Server-Dienstleistungen.
Zweck der Datenverarbeitung: Sicherstellung des Betriebs der Website.
Umfang der verarbeiteten Daten: Die in der Datenschutzerklärung bereits aufgeführten personenbezogenen Daten.
Dauer der Datenverarbeitung und Frist für die Löschung der Daten: Die Datenverarbeitung dauert bis zum Ende des Betriebs der Website bzw. gemäß den vertraglichen Vereinbarungen zwischen dem Website-Betreiber und dem Hosting-Anbieter. Bei Bedarf kann die betroffene Person auch den Hosting-Anbieter um die Löschung ihrer Daten bitten.
Rechtsgrundlage der Datenverarbeitung: DSGVO Art. 6 Abs. 1 lit. b) Die Datenverarbeitung ist zur Erfüllung eines Vertrags erforderlich, bei dem die betroffene Person eine Partei ist.
Website-Betreiber:
Die IT-Infrastruktur für den Betrieb unserer Website wird von unserem vertraglichen Dienstleistungspartner bereitgestellt. Die auf der Website verarbeiteten Daten werden innerhalb der Europäischen Union bei unserem Vertragspartner gespeichert.
Name / Firmenname:
Comprel© Számítástechnikai és Kommunikációs Bt.
Sitz:
1135 Budapest, Jász u. 65.
Telefon:
06-20-922-8291
E-Mail:
comprel@comprel.hu
6. Weitere Bestimmungen, Inkrafttreten
Diese Datenschutzerklärung wird von der HUNGARY-MEAT Kft. (Datenverantwortlicher) auf ihrer Website ( www.hungarymeat.hu) veröffentlicht. Der Datenverantwortliche behält sich das Recht vor, diese Erklärung zu überprüfen und bei Bedarf zu ändern, was durch die einschlägigen Gesetze oder unsere Datenverarbeitungstätigkeiten und die dafür verwendete Technologie erforderlich sein kann. Wenn die Änderung auch die auf der Grundlage Ihrer freiwilligen Zustimmung verarbeiteten personenbezogenen Daten betrifft, werden wir Sie unverzüglich darüber informieren und die weitere Verarbeitung Ihrer personenbezogenen Daten aussetzen, bis Sie erneut zustimmen. Die jeweils aktuelle Erklärung ist öffentlich auf der Website des Datenverantwortlichen zugänglich und der Datenverantwortliche informiert die Betroffenen auch über etwaige Änderungen der Erklärung an derselben Stelle.
Datum: Kiskunfélegyháza, 01.08.2023
Gültig ab: 01.08.2023
HUNGARY-MEAT Kft.
vertreten durch: László Kovács
Geschäftsführer
DATENVERANTWORTLICHER
Anlage 4:
VERZEICHNIS DER AUFTRAGSVERARBEITER
Bezeichnung und Kontaktdaten des Datenverantwortlichen:
Name / Firmenname:
HUNGARY-MEAT Élelmiszeripari Termelő Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
Sitz:
6100 Kiskunfélegyháza, Majsai út 30.
Auftragsverarbeitungstätigkeit
Kontaktdaten des Auftragsverarbeiters
(Name, Adresse, Telefonnummer und/oder E-Mail-Adresse)
Lohnabrechnungsprogramm
MAXOFT Kereskedelmi és Konzultációs Kft.
1092 Budapest, Ráday utca 32. I./8.
TEL: 06 1 218- 7472
oder 06 1 218-7091
Betriebsarzt
Dr. Víg István Einzelunternehmer (Adresse: 6640 Csongrád, Fohász utca 24., Tel: 0630 910 6236 E-Mail: vigdoki@hotmail.com
Rechtsanwalt (z.B. Arbeitsverträge, privatrechtliche Vereinbarungen, Mahnverfahren, etc.)
Dr. Varga M. Péter Anwaltskanzlei
Fachanwalt für Arbeitsrecht und Datenschutz
Sitz: 1012 Budapest, Kiss János alt. U. 33/B.
Tel: 06 30 382 9220
Arbeitsschutzberater
PROFILUS Arbeitssicherheitsingenieurbüro, EV. (Sitz: 6000 Kecskemét, Csíksomlyói u.9., Tel: 0670 949 9075, E-Mail:
profilus@hungarymeat.hu
Unternehmensmanagementsystem
Unternehmer (Produktion, Fachaktivitäten in der Fleischindustrie)
Unternehmer (Produktion, Fachaktivitäten in der Fleischindustrie)
Profi Meat Kft.
1033 Budapest, Huszti út 35. I.e./209.
Tel: 06 30 630 9789
E-Mail:
pint@profi-meat.com
Arbeitskräfteüberlassung
Dzsen- Mil Kft.
6100 Kiskunfélegyháza, Molnár Béla utca 2.
Tel: 0676 320 047
E-Mail: dzsenmilepkft@gmail.com
Arbeitsrechtsberater
Divan Kft.
6000 Kecskemét, Tinódi utca 1/a.
Tel: 06 20 559 1 559
E-Mail:
kgyorgy@divan.hu