I. Geltungsbereich des Kodex
(1) Diese Richtlinie gilt für das gesamte Unternehmen GreenLine Clean Korlátolt Felelősségű Társaság (Sitz: 1202 Budapest, Naszód utca 19., Firmenregisternummer: 01-09-994909, Steuernummer: 24192451-2-43), alle seine Organisationseinheiten und alle seine Mitarbeiter (im Folgenden als "Unternehmen" bezeichnet).
II. Zweck des Kodex
(2) Zweck des Kodex ist es, den Schutz personenbezogener Daten im Einklang mit dem Grundgesetz und die Verwirklichung der informationellen Selbstbestimmung zu gewährleisten und die Regeln für den Datenschutz und die Datensicherheit bei der Verarbeitung personenbezogener Daten durch das Unternehmen festzulegen.
III. geltende Rechtsvorschriften
(3) Das Unternehmen muss bei der Datenverarbeitung die folgenden, in dieser Geschäftsordnung festgelegten rechtlichen Anforderungen einhalten:
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016)
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 95/46/EG (Allgemeine Datenschutzverordnung, im Folgenden "DSGVO")
- Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit (im Folgenden: Infotv.)
- Gesetz V von 2013 über das Zivilgesetzbuch (im Folgenden: Zivilgesetzbuch)
- Gesetz I von 2012 über das Arbeitsgesetzbuch (im Folgenden als Arbeitsgesetzbuch bezeichnet)
- Interne berufsständische Regeln, Richtlinien, Weisungen
IV. Auslegungsbestimmungen
4. definierte Begriffe, wie sie in der DSGVO definiert sind, von denen die folgenden Begriffe entsprechend der Art dieser internen Regeln hervorgehoben werden:
(a) personenbezogene Daten: alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
(b) Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Speichern, die Organisation, das Ordnen, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe, die Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.
(c) "für die Verarbeitung Verantwortlicher" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für die Benennung des für die Verarbeitung Verantwortlichen auch durch das Recht der Union oder der Mitgliedstaaten bestimmt werden.
(d) "Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
(e) Empfänger: eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen einer Einzelermittlung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten Zugang zu personenbezogenen Daten haben können, sind keine Empfänger; die Verarbeitung dieser Daten durch diese Behörden muss den geltenden Datenschutzvorschriften entsprechend dem Zweck der Verarbeitung entsprechen.
(f) " Dritter": eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter oder den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.
g) "Dateisystem": eine wie auch immer strukturierte Sammlung personenbezogener Daten, unabhängig davon, ob sie zentral, dezentral oder nach funktionalen oder geografischen Kriterien gegliedert ist, die nach bestimmten Kriterien zugänglich ist.
(h) Datenschutzverletzung: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
(i) Vertreter: eine natürliche oder juristische Person, die in der Europäischen Union niedergelassen oder ansässig ist und die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter gemäß Artikel 27 schriftlich benannt wurde, um den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter in Bezug auf die Verpflichtungen zu vertreten, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter aus dieser Verordnung erwachsen.
(j) "Unternehmen": jede natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die eine regelmäßige wirtschaftliche Tätigkeit ausüben.
Zusätzliche Konzepte:
k) Dateninventar: ein Dokument, das dazu dient, den Umfang und die Art der vom für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten zu bewerten.
(l) technische und organisatorische Maßnahmen: eine Reihe von Verfahren, die von dem für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen in geeigneter Weise festgelegt werden, um sicherzustellen und nachzuweisen, dass personenbezogene Daten im Einklang mit der DSGVO verarbeitet werden. Diese Maßnahmen sind von dem für die Verarbeitung Verantwortlichen zu überprüfen und erforderlichenfalls zu aktualisieren.
V. Grundsätze der Datenverarbeitung
5. das Unternehmen verarbeitet die Daten rechtmäßig und nach Treu und Glauben und in einer für die betroffene Person transparenten Weise(Rechtmäßigkeit, Fairness und Transparenz).
Das Unternehmen erhebt personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke und verarbeitet sie nicht in einer Weise, die mit diesen Zwecken unvereinbar ist(Zweckbindung).
(7) Das Unternehmen führt die Verarbeitung in einer für den Zweck/die Zwecke angemessenen und relevanten Weise durch und beschränkt sich auf das erforderliche Maß(Datenminimierung). Dementsprechend erhebt und speichert das Unternehmen nicht mehr Daten, als für den Zweck der Verarbeitung unbedingt erforderlich sind.
(8) Die Datenverwaltung des Unternehmens ist korrekt und auf dem neuesten Stand. Das Unternehmen ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die für die Zwecke, für die sie verarbeitet werden, unzutreffend sind, unverzüglich gelöscht oder berichtigt werden(Richtigkeit).
(9) Das Unternehmen speichert personenbezogene Daten in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist, vorbehaltlich der in den geltenden Rechtsvorschriften festgelegten Aufbewahrungspflichten(begrenzte Speicherung).
(10) Das Unternehmen gewährleistet eine angemessene Sicherheit personenbezogener Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung personenbezogener Daten(Integrität und Vertraulichkeit), indem es geeignete technische oder organisatorische Maßnahmen trifft.
(11) Das Unternehmen ist für die Einhaltung der oben genannten Grundsätze verantwortlich und muss dies nachweisen(Rechenschaftspflicht). Dementsprechend stellt das Unternehmen sicher, dass die Bestimmungen dieser internen Vorschriften kontinuierlich durchgesetzt werden, dass seine Datenverwaltung kontinuierlich überprüft wird und dass die Datenverwaltungsverfahren erforderlichenfalls geändert und ergänzt werden. Das Unternehmen erstellt eine Dokumentation, um die Einhaltung seiner rechtlichen Verpflichtungen nachzuweisen.
VI. Rechtsgrundlagen für die Datenverarbeitung
(12) Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn und soweit mindestens einer der in den Absätzen 13-18 genannten Rechtsgründe erfüllt ist:
13. die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt (nachstehend "Verarbeitung auf der Grundlage einer Einwilligung").
14. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für Maßnahmen erforderlich, die auf Antrag der betroffenen Person vor Abschluss des Vertrags getroffen werden (nachstehend "Verarbeitung auf der Grundlage eines Vertrags").
15. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der das Unternehmen unterliegt (nachstehend "Verarbeitung aufgrund einer rechtlichen Verpflichtung").
16. die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (nachstehend "Verarbeitung auf der Grundlage lebenswichtiger Interessen").
(17) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Unternehmen übertragen wurde (nachstehend "Verarbeitung auf der Grundlage öffentlicher Gewalt" genannt).
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt (im Folgenden "Verarbeitung auf der Grundlage berechtigter Interessen").
(19) Ein Unternehmen wird personenbezogene Daten immer nur auf einer Rechtsgrundlage für die Verarbeitung einer bestimmten Gruppe personenbezogener Daten verarbeiten. Die Rechtsgrundlage für die Verarbeitung kann sich während der Verarbeitung ändern.
VII. Bestandsaufnahme der Datenbestände
(20) Das Unternehmen erstellt ein Bestandsverzeichnis der Datenbestände, um technische und organisatorische Maßnahmen für die Verarbeitung von Daten im Rahmen seiner Tätigkeit gemäß den Verpflichtungen aus der Datenschutz-Grundverordnung und dem Gesetz festzulegen. Das Verzeichnis umfasst alle von dem Unternehmen verarbeiteten Daten und wird dieser Regelung als Anhang beigefügt.
(21) Im Zusammenhang mit den Datenverwaltungstätigkeiten des Unternehmens ist im Inventar der Datenbestände Folgendes anzugeben:
(a) den Namen des Elements der Dateneigenschaft
b) Datenbestände
c) den Zweck der Verarbeitung
(d) die Rechtsgrundlage für die Verarbeitung
(e) die Dauer der Verarbeitung
f) die Beteiligten
g) wer innerhalb der Organisation des Unternehmens Zugang zu personenbezogenen Daten hat
(h) Methode und Ort der Lagerung
(i) an wen die Daten weitergegeben werden dürfen
(j) den Zweck der Verarbeitung durch den Auftragsverarbeiter
(k) das Datum der Löschung
VIII. Rechte der betroffenen Person und ihre Durchsetzung
22 In Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung stellt das Unternehmen den betroffenen Personen Folgendes zur Verfügung
Recht auf Information
(23) Das Recht auf Information wird der betroffenen Person in Bezug auf alle Rechtsgrundlagen für die Verarbeitung gewährt.
(24) Das Unternehmen stellt den betroffenen Personen Informationen in knapper, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zur Verfügung.
(25) Die Auskünfte sind schriftlich oder auf andere Weise, gegebenenfalls auch elektronisch, zu erteilen.
Informationen auf Antrag der betroffenen Person
(26) Auf Antrag der betroffenen Person kann eine mündliche Auskunft erteilt werden, sofern die Identität der betroffenen Person auf andere Weise überprüft worden ist.
(27) Das Unternehmen unterrichtet die betroffene Person unverzüglich, in jedem Fall aber innerhalb von 30 Tagen nach Eingang des Antrags, über die Maßnahmen, die es aufgrund des Antrags der betroffenen Person in Bezug auf andere Rechte der betroffenen Person getroffen hat.
(28) Erforderlichenfalls kann die 30-Tage-Frist unter Berücksichtigung der Komplexität des Antrags und der Zahl der Anträge um weitere 60 Tage verlängert werden. Das Unternehmen unterrichtet die betroffene Person innerhalb von 30 Tagen nach Eingang des Antrags über die Verlängerung unter Angabe der Gründe für die Verzögerung. Hat die betroffene Person den Antrag auf elektronischem Wege gestellt, so wird die Auskunft nach Möglichkeit auf elektronischem Wege erteilt, es sei denn, die betroffene Person verlangt etwas anderes.
(29) Die Bereitstellung von Informationen und Maßnahmen erfolgt unentgeltlich.
(30) Ist das Ersuchen der betroffenen Person offensichtlich unbegründet oder unverhältnismäßig, insbesondere weil es sich um eine Wiederholung handelt, so kann das Unternehmen unter Berücksichtigung der Verwaltungskosten, die mit der Erteilung der beantragten Auskünfte oder Informationen oder mit der Durchführung der beantragten Maßnahme verbunden sind:
a) eine angemessene Gebühr erheben; oder
(b) die Erledigung des Ersuchens ablehnen.
(31) Die Beweislast für die offensichtliche Unbegründetheit oder Unverhältnismäßigkeit des Antrags liegt bei dem Unternehmen.
Obligatorische Informationen
(32) Hat das Unternehmen die Daten direkt von der betroffenen Person (insbesondere von Kunden) erhalten, so erteilt das Unternehmen in jedem Fall Auskunft über:
a) die Identität und die Kontaktdaten des Vertreters des Unternehmens, falls vorhanden;
(b) die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden;
(c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, und die Rechtsgrundlage für die Verarbeitung
(d) im Falle einer Verarbeitung auf der Grundlage berechtigter Interessen die berechtigten Interessen des Unternehmens oder eines Dritten;
(e) gegebenenfalls die Empfänger der personenbezogenen Daten
(f) gegebenenfalls die Tatsache, dass das Unternehmen beabsichtigt, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation zu übermitteln,
(33) Zum Zeitpunkt der erstmaligen Erfassung personenbezogener Daten informiert das Unternehmen die betroffenen Personen zusätzlich zu den oben genannten Punkten über Folgendes:
a) die Dauer der Speicherung der personenbezogenen Daten
(b) das Recht der betroffenen Person, von dem Unternehmen Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten, die Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung auf bestimmten Rechtsgrundlagen beruht, und der Verarbeitung dieser personenbezogenen Daten zu widersprechen, wenn die Verarbeitung auf bestimmten Rechtsgrundlagen beruht, sowie das Recht der betroffenen Person auf Datenübertragbarkeit;
(c) das Recht, die auf der Einwilligung beruhende Verarbeitung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
(d) das Recht, eine Beschwerde bei einer Aufsichtsbehörde (Nationale Datenschutzbehörde, nachstehend "Behörde" oder "NDA" genannt) einzureichen;
(e) ob die Bereitstellung der personenbezogenen Daten auf einer gesetzlichen oder vertraglichen Verpflichtung beruht oder eine Voraussetzung für den Abschluss eines Vertrags ist, ob die betroffene Person zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche Folgen die Nichtbereitstellung der Daten haben kann.
(34) Beabsichtigt das Unternehmen, personenbezogene Daten für einen anderen Zweck als den, für den sie erhoben wurden, weiterzuverarbeiten, so unterrichtet es die betroffene Person vor der Weiterverarbeitung über diesen anderen Zweck und über alle einschlägigen zusätzlichen Informationen.
Recht auf Zugang
(35) Das Auskunftsrecht gilt für die betroffene Person in Bezug auf alle Rechtsgrundlagen für die Verarbeitung.
Die betroffene Person hat das Recht, vom Unternehmen eine Rückmeldung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht, und, falls eine solche Verarbeitung im Gange ist, das Recht auf Auskunft über die personenbezogenen Daten und die folgenden Informationen:
a) die Zwecke der Verarbeitung;
b) die Kategorien der betroffenen personenbezogenen Daten;
(c) die Empfänger oder Kategorien von Empfängern, an die das Unternehmen die personenbezogenen Daten weitergegeben hat oder weitergeben wird
(d) gegebenenfalls die vorgesehene Dauer der Speicherung der personenbezogenen Daten
(e) das Recht der betroffenen Person, von dem Unternehmen die Berichtigung der sie betreffenden personenbezogenen Daten, die Löschung dieser Daten oder die Einschränkung ihrer Verarbeitung zu verlangen, wenn die Verarbeitung auf bestimmten Rechtsgrundlagen beruht, sowie das Recht, der Verarbeitung dieser personenbezogenen Daten zu widersprechen, wenn die Verarbeitung auf bestimmten Rechtsgrundlagen beruht;
(f) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(g) falls die Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über ihre Herkunft;
(h) die Tatsache, dass eine automatisierte Entscheidungsfindung, einschließlich Profiling, stattfindet, und zumindest in diesen Fällen die angewandte Logik sowie klare Informationen über die Bedeutung einer solchen Verarbeitung und ihre voraussichtlichen Folgen für die betroffene Person.
(37) Das Unternehmen stellt der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung.
(38) Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann das Unternehmen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten erheben, deren Höhe in den Preisvorschriften, sonstigen Vorschriften oder sonstigen Dokumenten des Unternehmens festgelegt wird.
Recht auf Berichtigung
39 Das Recht auf Berichtigung steht der betroffenen Person in Bezug auf alle Rechtsgrundlagen für die Verarbeitung zu.
(40) Das Unternehmen berichtigt auf Antrag der betroffenen Person unrichtig verarbeitete personenbezogene Daten über die betroffene Person unverzüglich. Die betroffene Person hat das Recht zu verlangen, dass unvollständige personenbezogene Daten u. a. durch eine ergänzende Erklärung vervollständigt werden.
Recht auf Löschung (Recht auf Vergessenwerden)
(41) Das Recht auf Löschung (Recht auf Vergessenwerden) wird der betroffenen Person nicht automatisch für alle Verarbeitungen gewährt, die sich auf die Rechtsgrundlage beziehen.
42 Das Unternehmen wird personenbezogene Daten der betroffenen Person unverzüglich löschen, wenn einer der folgenden Gründe vorliegt:
(a) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
b) die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerruft (im Falle einer Verarbeitung auf der Grundlage einer Einwilligung) und es keine andere Rechtsgrundlage für die Verarbeitung gibt;
(c) die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es gibt keinen vorrangigen berechtigten Grund für die Verarbeitung im Falle von Rechtsgründen für die Verarbeitung gemäß den Nummern 17 und 18 (Verarbeitung auf der Grundlage öffentlicher Gewalt oder berechtigter Interessen)
d) die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
(e) die personenbezogenen Daten gelöscht werden müssen, um einer rechtlichen Verpflichtung nach dem für das Unternehmen geltenden Unionsrecht oder dem Recht der Mitgliedstaaten nachzukommen;
(43) Das Unternehmen kommt dem Antrag der betroffenen Person auf Löschung nicht nach, wenn die Verarbeitung zur Erfüllung einer für das Unternehmen geltenden rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung personenbezogener Daten vorsieht.
44 Geht bei dem Unternehmen ein Löschungsantrag ein, so prüft das Unternehmen zunächst, ob der Löschungsantrag tatsächlich vom Rechtsinhaber gestellt wurde. Zu diesem Zweck kann das Unternehmen die Daten zur Identifizierung des Vertrags zwischen der betroffenen Person und dem Unternehmen (z. B. Vertragsnummer, Vertragsdatum), die Kennnummer des von dem Unternehmen an die betroffene Person ausgestellten Dokuments und die auf die betroffene Person registrierten persönlichen Identifizierungsdaten verlangen (das Unternehmen darf jedoch keine zusätzlichen Daten zur Identifizierung der betroffenen Person verlangen, die ihm nicht vorliegen).
(45) Ist das Unternehmen verpflichtet, dem Antrag auf Löschung stattzugeben, muss es alle Anstrengungen unternehmen, um sicherzustellen, dass die personenbezogenen Daten aus allen Datenbanken gelöscht werden.
(46) Das Unternehmen führt ein Protokoll über die Löschung, um nachweisen zu können, dass die Löschung erfolgt ist. Das Protokoll ist vom Vertreter des Unternehmens oder von der/den aufgrund ihrer/seiner Stellenbeschreibung dazu befugten Person(en) zu unterzeichnen. Das Löschungsprotokoll muss Folgendes enthalten:
a) den Namen der betreffenden Person
b) die Art der gelöschten personenbezogenen Daten
c) das Datum des Widerrufs.
(47) Das Unternehmen informiert alle Personen, denen die personenbezogenen Daten mitgeteilt wurden, über die Verpflichtung zur Löschung.
Recht auf Einschränkung der Verarbeitung
48 Das Recht auf Einschränkung gilt für alle Rechtsgrundlagen der Verarbeitung.
(49) Das Unternehmen schränkt die Verarbeitung auf Antrag der betroffenen Person ein, wenn eine der folgenden Bedingungen erfüllt ist:
(a) die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten; in diesem Fall gilt die Einschränkung für den Zeitraum, der erforderlich ist, damit das Unternehmen die Richtigkeit der personenbezogenen Daten überprüfen kann;
(b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Verwendung verlangt;
(c) die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr erforderlich sind, aber von der betroffenen Person zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden; oder
(f) die betroffene Person hat gegen die Verarbeitung unter Berufung auf die gemäß den Nummern 17 und 18 geltend gemachten Rechtsgrundlagen (Verarbeitung auf der Grundlage öffentlicher Gewalt oder berechtigter Interessen) Widerspruch eingelegt; in diesem Fall gilt die Einschränkung so lange, bis festgestellt ist, ob die berechtigten Gründe des Unternehmens gegenüber den berechtigten Gründen der betroffenen Person überwiegen.
Ist die Verarbeitung gemäß dem vorstehenden Punkt eingeschränkt, so dürfen diese personenbezogenen Daten - abgesehen von ihrer Speicherung - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder zur Wahrung wichtiger öffentlicher Interessen der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
(51) Das Unternehmen unterrichtet alle Personen, denen die personenbezogenen Daten mitgeteilt wurden, über diese Verpflichtung.
Protest
Das Widerspruchsrecht gilt für die betroffene Person in den Fällen, in denen die Verarbeitung auf Rechtsgründen beruht, die die Ausübung öffentlicher Gewalt betreffen, oder die Verarbeitung auf einem berechtigten Interesse beruht.
(53) Das Unternehmen darf personenbezogene Daten im Falle des Widerspruchs der betroffenen Person nicht mehr verarbeiten, es sei denn, es kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(54) Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten für diese Zwecke einzulegen.
(55) Widerspricht die betroffene Person der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung, so dürfen die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden.
Recht auf Einreichung einer Beschwerde
Wird ein Antrag auf Auskunft, Berichtigung, Einschränkung oder Löschung gestellt oder ein Widerspruch gegen die Verarbeitung erhoben, dem jedoch nicht entsprochen wird, kann bei der Gesellschaft eine Beschwerde eingereicht werden.
Der Leiter des Unternehmens untersucht jede Beschwerde, die bei dem Unternehmen in Bezug auf die Verarbeitung der Daten durch den für die Verarbeitung Verantwortlichen eingeht, innerhalb von 8 Tagen und informiert den Beschwerdeführer über das Ergebnis der Untersuchung.
Stellt der Verwalter fest, dass aufgrund einer eingegangenen Beschwerde Maßnahmen erforderlich sind, so ergreift er diese Maßnahmen spätestens 15 Tage nach der Untersuchung und unterrichtet den Beschwerdeführer entsprechend.
Recht auf Datenübertragbarkeit
(56) Das Recht auf Datenübertragbarkeit gilt für die Rechtsgrundlage einer Verarbeitung, die auf einer Einwilligung oder einem Vertrag beruht, wenn die Verarbeitung mit automatisierten Mitteln erfolgt.
(57) Das Unternehmen stellt sicher, dass die betroffene Person die sie betreffenden personenbezogenen Daten, die sie dem Unternehmen zur Verfügung gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhält und dass die betroffene Person diese Daten an einen anderen für die Verarbeitung Verantwortlichen übermittelt.
Recht auf Antragstellung bei der Behörde
Im Falle von Einwänden gegen die Datenverarbeitung kann die nationale Behörde für Datenschutz und Informationsfreiheit kontaktiert werden. Kontaktinformationen der Behörde:
1530 Budapest, Pf.:5
1125 Budapest, Szilágyi Erzsébet fasor 22/C
+36 1 3911400
IX. aufzeichnungen über verarbeitungstätigkeiten
58 Das Unternehmen führt Aufzeichnungen über die Verarbeitungstätigkeiten, um im Einklang mit dem Grundsatz der Rechenschaftspflicht die Einhaltung der DSGVO zu überwachen und zu überprüfen.
(59) Das Unternehmen führt mindestens die folgenden Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten:
(a) Aufzeichnungen über die Datenübermittlung
(b) Aufzeichnungen über Anträge auf Ausübung der Rechte der betroffenen Personen und über die Antworten des Unternehmens
(c) Aufzeichnungen über Anfragen von Behörden und über die Antworten des Unternehmens
(d) Registrierung von Anträgen auf Einstellung der Verarbeitung
e) Kundenunterlagen
f) Aufzeichnung von Marketinganfragen
g) Aufzeichnungen über die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Arbeitsverhältnis
h) Einstellungsunterlagen
i) Aufzeichnung von Datenschutzvorfällen.
(60) Das Unternehmen führt Aufzeichnungen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten im Sinne von Nummer 59 mit folgendem Inhalt:
(a) den Namen und die Kontaktdaten des Unternehmens und gegebenenfalls den Namen und die Kontaktdaten des Vertreters des Unternehmens und des Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
(d) die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden oder weitergegeben werden sollen
(e) gegebenenfalls Informationen über die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation;
f) soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
(61) Die Aufzeichnungen werden von dem Unternehmen in schriftlicher Form, auf Papier oder in elektronischer Form geführt.
X. Bestimmungen zur Datensicherheit
(62) Das Unternehmen trifft geeignete technische und organisatorische Maßnahmen, um ein dem Ausmaß des Risikos angemessenes Datensicherheitsniveau zu gewährleisten, wobei es den Stand von Wissenschaft und Technik und die Kosten der Umsetzung, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Grade der Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt.
63 Demnach muss ein Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit der von ihm verarbeiteten Daten gewährleisten.
(64) Zur Bestimmung des angemessenen Niveaus der Datensicherheitsmaßnahmen bewertet das Unternehmen jeden in seinem Besitz befindlichen Datenbestand im Hinblick auf seine Schutzbedürftigkeit und stuft ihn in eine Sicherheitsstufe ein.
65 Um die Sicherheitsstufe jedes Verarbeitungsvorgangs zu bestimmen, sollte eine Analyse durchgeführt werden:
a) das Risiko des unbefugten Zugriffs auf die verarbeiteten personenbezogenen Daten, ihrer Veränderung oder Löschung, der Beschädigung der Hard- und Software und des zu erwartenden Schadens;
b) ob die beschädigten Daten wiederhergestellt werden können, die Kosten einer eventuellen Wiederherstellung, die Verfügbarkeit von Datenquellen, die für die Reproduktion personenbezogener Daten erforderlich sind, die Möglichkeit, verlorene Daten aus dem manuellen Sicherungsregister zu ersetzen;
(c) ob es in Anbetracht der Art der verarbeiteten personenbezogenen Daten angemessen ist, differenzierte Sicherheitsstandards anzuwenden;
(d) andere Risikofaktoren, die die Datensicherheit gefährden;
66 Um die Sicherheit der Datenverarbeitung zu gewährleisten, setzt das Unternehmen physische, logische und administrative Kontrollen in Kombination ein.
(67) Das Unternehmen führt mindestens die folgenden physischen Kontrollen durch:
(a) Das Unternehmen stellt sicher, dass die von ihm verarbeiteten Daten, sowohl elektronisch als auch in Papierform, physisch nicht von Unbefugten eingesehen werden können (Verschließen der Büroräume; Anbringung von Bildschirmen, so dass nur befugte Personen Zugang zu den darin enthaltenen Daten haben; Anschluss von Computern nur an vom Unternehmen geprüfte Datenträger), um einen unbefugten Zugriff auf die verarbeiteten Daten zu verhindern.
(68) Das Unternehmen wendet zumindest die folgenden logischen Kontrollen an:
(a) Das Unternehmen stellt sicher, dass der Zugang zu den von ihm verarbeiteten Daten auf die Personen beschränkt ist, die über die entsprechende Berechtigung verfügen (Festlegung von Berechtigungsstufen nach Aufgabenbereich; Festlegung des Zugangs zu Computerdatenbanken nach Berechtigungsstufen; Verknüpfung des Zugangs zum internen Computernetz mit einem Benutzernamen und einem Passwort
(69) Das Unternehmen wendet zumindest die folgenden Verwaltungskontrollen an:
a) Das Unternehmen stellt sicher, dass jeder Zugriff auf personenbezogene Daten in der Dokumentation nachvollzogen werden kann.
70 Ort der Aufbewahrung und Archivierung von Papierdokumenten mit personenbezogenen Daten: abschließbarer Aktenschrank im Büro des Geschäftsführers am Hauptsitz, Naszód utca 19, 1202 Budapest. Der Computer für die zentrale Datenspeicherung, der passwortgeschützt ist und sich nur im Besitz des Vorstandsvorsitzenden befindet, befindet sich in den Büroräumen der Immobilie im Büro des Vorstandsvorsitzenden in 1202 Budapest, Naszód utca 19, und im persönlichen Besitz des Vorstandsvorsitzenden.
XI. der Umgang mit Datenschutzvorfällen
Eine Verletzung des Schutzes personenbezogener Daten kann, wenn keine angemessenen und rechtzeitigen Maßnahmen ergriffen werden, natürlichen Personen einen materiellen, finanziellen oder immateriellen Schaden zufügen, einschließlich des Verlusts der Kontrolle über ihre personenbezogenen Daten oder der Einschränkung ihrer Rechte an diesen Daten, Diskriminierung, Identitätsdiebstahl oder -missbrauch, finanzieller Verluste, Rufschädigung, des Verlusts der Vertraulichkeit personenbezogener Daten, die unter das Berufsgeheimnis fallen, oder anderer erheblicher wirtschaftlicher oder sozialer Schäden für die betroffenen natürlichen Personen.
(72) Das Unternehmen meldet den Datenschutzvorfall unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem es von dem Datenschutzvorfall Kenntnis erlangt hat, an die Behörde.
(73) Ein Datenschutzvorfall muss der Behörde nicht gemeldet werden, wenn es unwahrscheinlich ist, dass der Datenschutzvorfall ein Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt.
(74) Erfolgt die Meldung nicht innerhalb von 72 Stunden, so sind ihr die Gründe für die Verzögerung beizufügen.
75 Ist die Benachrichtigung einer Behörde über die Verletzung des Schutzes personenbezogener Daten erforderlich, so ist dies in der Benachrichtigung anzugeben:
(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der von der Verletzung betroffenen Personen;
(b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die weitere Auskünfte erteilen kann;
(c) Beschreibung der voraussichtlichen Folgen der Datenschutzverletzung;
(d) eine Beschreibung der Maßnahmen, die das Unternehmen zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen hat oder zu ergreifen gedenkt, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger negativer Folgen der Verletzung des Schutzes personenbezogener Daten.
(76) Führt die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, informiert das Unternehmen die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten.
(77) Die Informationen nach Nummer 75 müssen der betroffenen Person die Art der Verletzung des Schutzes personenbezogener Daten klar und deutlich erläutern und werden ihr mitgeteilt:
(a) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die weitere Auskünfte erteilen kann;
b) die wahrscheinlichen Folgen der Datenschutzverletzung zu beschreiben;
(c) eine Beschreibung der Maßnahmen, die das Unternehmen zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen hat oder zu ergreifen gedenkt, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Folgen der Verletzung des Schutzes personenbezogener Daten.
(78) Die betroffene Person muss nicht informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:
(a) das Unternehmen geeignete technische und organisatorische Schutzmaßnahmen getroffen hat und diese Maßnahmen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden, insbesondere Maßnahmen wie die Verwendung von Verschlüsselung, die die Daten für Personen, die nicht zum Zugriff auf die personenbezogenen Daten berechtigt sind, unverständlich machen;
(b) das Unternehmen nach der Verletzung des Schutzes personenbezogener Daten zusätzliche Maßnahmen ergriffen hat, um sicherzustellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person wahrscheinlich nicht mehr besteht;
c) die Unterrichtung würde einen unverhältnismäßigen Aufwand erfordern. In solchen Fällen wird die betroffene Person durch öffentlich zugängliche Informationen oder durch eine ähnliche Maßnahme, die eine ebenso wirksame Unterrichtung der betroffenen Person gewährleistet, unterrichtet.
(79) Beschäftigt das Unternehmen einen Datenverarbeiter, so muss der Vertrag über die Datenverarbeitung vorsehen, dass der Datenverarbeiter das Unternehmen unverzüglich über jeden Datenschutzvorfall in seinen Räumlichkeiten informiert.
XII. die Verarbeitung von Kundendaten
80 Bei der Verarbeitung personenbezogener Daten auf der Grundlage der berechtigten Interessen des Unternehmens ist gemäß den Bestimmungen der Datenschutz-Grundverordnung die folgende Interessenabwägung vorzunehmen:
a) den Gegenstand der Verarbeitung
b) die Schaffung einer Rechtsgrundlage für das berechtigte Interesse
c) die zu verarbeitenden personenbezogenen Daten
(d) den Zweck der Verarbeitung
(e) das berechtigte Interesse des Unternehmens
f) welche Rechte der betroffenen Personen betroffen sein können
(g) Interessenabwägung
(h) welche Maßnahmen und Garantien das Unternehmen anwendet, um einen angemessenen Schutz der so erhobenen personenbezogenen Daten zu gewährleisten.
XIII. beschäftigungsbezogene Datenverarbeitung
(81) Das Unternehmen nimmt in die Stellenbewerbung die Bestimmungen über die Datenverwaltung einschließlich der Kontaktangaben auf.
82 Will das Unternehmen die vom Bewerber eingereichten Unterlagen nach der Besetzung der Stelle aufbewahren, muss die Zustimmung des Bewerbers eingeholt werden. Die Zustimmung muss freiwillig, spezifisch, in Kenntnis der Sachlage und unmissverständlich sein. Zu diesem Zweck muss die Einverständniserklärung mindestens die folgenden Angaben enthalten:
a) die Identität und die Kontaktdaten des Vertreters des Unternehmens;
(b) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen [z. B. eine spätere Anfrage zur Besetzung einer neu zu besetzenden Stelle] und die Rechtsgrundlage für die Verarbeitung (auf der Grundlage der Einwilligung);
(c) die Dauer der Speicherung der personenbezogenen Daten;
(d) das Recht der betroffenen Person, von dem Unternehmen Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen;
(e) das Recht der betroffenen Person, ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
(f) das Recht, bei der Behörde eine Beschwerde einzureichen.
(83) Nach der Bewertung der Bewerbung sind die Datenträger mit den personenbezogenen Daten nicht erfolgreicher Bewerber auf Verlangen innerhalb von 90 Tagen an den Bewerber zurückzugeben oder zu vernichten, wenn der Bewerber der Verwendung seiner personenbezogenen Daten für weitere Bewerbungen nicht zugestimmt hat. Über die Vernichtung (Löschung) ist ein Protokoll zu führen.
84 Das Unternehmen verarbeitet die Daten von Arbeitnehmern in Übereinstimmung mit den einschlägigen Bestimmungen des Arbeitsgesetzes und stellt Informationen in der im Arbeitsgesetzbuch festgelegten Art und Weise zur Verfügung, unter Einhaltung der Datenverarbeitungsgrundsätze der Datenschutz-Grundverordnung.
(85) Das Unternehmen informiert die Beschäftigten über die Identität der von ihm eingesetzten Datenverarbeiter und den Umfang der an sie übermittelten Daten.
86 Typische Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungsverhältnis sind:
a) auf Vertragsbasis [Arbeitsvertrag]
b) aufgrund einer gesetzlichen Verpflichtung [z. B. Besteuerung, Abzug von Unterhaltszahlungen]
c) auf der Grundlage eines berechtigten Interesses [zum Beispiel Daten im Zusammenhang mit der Überwachung des Arbeitsplatzes].
87 Verarbeitet das Unternehmen Daten gemäß Nummer 85 Buchstabe c, so ist nach der Datenschutz-Grundverordnung die folgende Interessenabwägung erforderlich:
(i) das berechtigte Interesse des Unternehmens
j) wer die betroffenen Personen sind und welche Rechte betroffen sind
(k) Interessenabwägung
(l) welche Maßnahmen und Garantien das Unternehmen anwendet, um einen angemessenen Schutz der so erhobenen personenbezogenen Daten zu gewährleisten.
88 Die Prüfung(en) der Interessen im Zusammenhang mit der Verarbeitung des Umfangs personenbezogener Daten sollte(n) den Mitarbeitern zur Verfügung gestellt werden [z. B. über ein internes Netz, als Anhang zum Arbeitsvertrag].
XIV. Bestimmungen über die Beauftragung eines Datenverarbeiters
89 Wird die Verarbeitung im Auftrag des Unternehmens von einer anderen Partei durchgeführt [z. B. Lohnbuchhaltung, Serverdienste, Website-Hosting], darf das Unternehmen nur Auftragsverarbeiter einsetzen, die angemessene Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, um die Einhaltung der Anforderungen der DSGVO und den Schutz der Rechte der betroffenen Personen zu gewährleisten.
(90) Der Auftragsverarbeiter darf ohne die vorherige schriftliche Genehmigung des Unternehmens, sei es allgemein oder ad hoc, keinen anderen Auftragsverarbeiter beauftragen.
(91) Für die vom Auftragsverarbeiter durchgeführte Verarbeitung wird ein Vertrag zwischen dem Unternehmen und dem Auftragsverarbeiter geschlossen. In diesem Vertrag werden Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Unternehmens festgelegt.
92 Der unter der vorstehenden Nummer genannte Vertrag sieht insbesondere vor, dass der Verarbeiter:
a) personenbezogene Daten nur auf der Grundlage einer schriftlichen Anweisung des Unternehmens zu verarbeiten,
(b) sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
(c) er wendet Datensicherheitsmaßnahmen an, die mindestens dem vom Unternehmen geforderten Niveau entsprechen;
(d) die oben genannten Bedingungen für den Einsatz eines zusätzlichen Auftragsverarbeiters einhalten;
(e) das Unternehmen durch geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art der Verarbeitung so weit wie möglich dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anfragen im Zusammenhang mit der Ausübung der Rechte der betroffenen Person nachzukommen;
(f) Unterstützung des Unternehmens bei der Erfüllung seiner Verpflichtungen im Rahmen der Datenschutzverletzung, wobei die Art der Verarbeitung und die dem Datenverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind;
g) sich verpflichtet, das Unternehmen unverzüglich zu informieren, wenn in seinen Räumlichkeiten ein Datenschutzvorfall auftritt;
(h) nach Erbringung der Verarbeitungsdienstleistung alle personenbezogenen Daten zu löschen oder an das Unternehmen zurückzugeben und alle vorhandenen Kopien zu löschen, sofern nicht das Unionsrecht oder das Recht der Mitgliedstaaten die Aufbewahrung der personenbezogenen Daten vorschreibt.
(93) Der Auftragsverarbeiter und die Person, die in den Räumlichkeiten des Auftragsverarbeiters Zugang zu den personenbezogenen Daten hat, dürfen diese Daten nur gemäß den Anweisungen des Unternehmens verarbeiten.
XIV. Inkrafttreten und Schlussbestimmungen
(94) Diese Geschäftsordnung tritt am 25. Mai 2018 in Kraft.