Datenschutzerklärung - GreenLine Clean

I. Anwendungsbereich der Richtlinie

1. Der Geltungsbereich dieses Reglements erstreckt sich auf die GreenLine Clean GmbH (Sitz: H-1202 Budapest, Naszód utca 19., Firmenregisternummer: 01-09-994909, Steuernummer: HU-24192451) in ihrer Gesamtheit, auf alle Organisationseinheiten und auf alle für ihre Mitarbeiter Verantwortlichen (im Folgenden als Unternehmen bezeichnet).

II. Zweck der Richtlinie

2. Zweck der Verordnung ist der Schutz personenbezogener Daten in Übereinstimmung mit dem Grundgesetz, die Durchsetzung der informationellen Selbstbestimmung, aber auch der Schutz des Unternehmens in Bezug auf personenbezogene Daten, die durch Datenschutz- und Datensicherheitsregeln verwaltet werden.

III. Anwendbares Recht

3. Bei der Datenverwaltung des Unternehmens müssen die in den folgenden Gesetzen enthaltenen Bestimmungen im Einklang mit den Bestimmungen dieser Geschäftsordnung befolgt werden:

- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und Verordnung 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: "DSGVO")

- 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit, Gesetz Nr. CXII (im Folgenden: Infotv.)

- Gesetz V von 2013 über das Zivilgesetzbuch (im Folgenden: Zivilgesetzbuch)

- Gesetz I von 2012 zum Arbeitsgesetzbuch (im Folgenden: Mt.)

- interne Berufsordnungen, Richtlinien, Anweisungen

BOGEN. Gestaltungsvorschriften

4. die in der DSGVO definierten Begriffe, bei denen es sich um interne Regeln handelt Dementsprechend sollten die folgenden Begriffe hervorgehoben werden:

(a) personenbezogene Daten: im Falle einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person") alle Informationen über eine bestimmte oder bestimmbare natürliche Person, die identifiziert oder indirekt identifiziert werden können, insbesondere eine Kennung wie einen Namen, eine Nummer, Standortdaten, eine Online-Kennung oder eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität, oder die durch Zuordnung zu mehreren Elementen identifiziert werden können

(b) Datenverwaltung: Personenbezogene Daten oder Dateien sind automatisierte Handlungen oder eine Reihe von nicht automatisierten Handlungen wie das Erheben, das Erfassen, die Organisation, die Segmentierung, die Speicherung, die Umwandlung oder Veränderung, das Wiederauffinden, der Zugriff, die Verwendung, die Mitteilung, die Übermittlung, die Verbreitung oder anderweitig durch Abruf, Koordinierung oder Kombination, Einschränkung, Löschung oder Vernichtung.

oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; wenn die Zwecke und Mittel der Verarbeitung

EU- oder nationales Recht bestimmt den für die Datenverarbeitung Verantwortlichen oder den Datenverarbeiter

Das EU-Recht oder das nationale Recht enthält ebenfalls spezifische Erwägungen für die Benennung, die Sie festlegen können.

(d) "Auftragsverarbeiter": die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verwaltet

(e) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die oder mit der die personenbezogenen Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. Behörden, die Teil einer Einzelermittlung sind und nach dem Recht der EU oder eines Mitgliedstaats Zugang zu personenbezogenen Daten haben, gelten nicht als Empfänger; die Verwaltung dieser Daten durch diese Behörden muss im Einklang mit den Zwecken der Datenverwaltung gemäß den geltenden Datenschutzvorschriften erfolgen.

(f) Dritter: die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die nicht mit der betroffenen Person, dem für die Verarbeitung Verantwortlichen, einem Auftragsverarbeiter oder den Personen, die als für die Verarbeitung Verantwortliche berechtigt sind, personenbezogene Daten unter der direkten Kontrolle eines Auftragsverarbeiters zu verarbeiten, identisch ist.

(g) "Dateisystem" ein System zur Registrierung personenbezogener Daten in beliebiger Form - zentral, dezentral oder nach funktionalen oder geografischen Bereichen -, das dem Personal nach bestimmten Kriterien zugänglich ist

(h) Datenschutzvorfall: eine Verletzung der Sicherheit bei der Übertragung, Speicherung oder Übermittlung personenbezogener Daten, die zufällige oder unrechtmäßige Zerstörung, der Verlust, die Veränderung, die unbefugte Weitergabe oder der unbefugte Zugang zu anderweitig verarbeiteten personenbezogenen Daten

(i) "Vertreter" die in der Europäischen Union niedergelassene oder ansässige Person, den Inhaber und die vom Datenverwalter oder Datenverarbeiter gemäß Artikel 27 schriftlich benannte natürliche oder juristische Person, die für die Verarbeitung der Daten verantwortlich ist

(j) "Unternehmen": eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt

unabhängig von ihrer Rechtsform, einschließlich derjenigen, die einer regulären Wirtschaftstätigkeit nachgehen, Wiedervereinigungsgesellschaften und Vereinigungen.

Zusätzliche Konzepte:

(k) Datenbestand: die Menge der personenbezogenen Daten, über die der für die Datenverarbeitung Verantwortliche verfügt, und das Dokument, das zur Beurteilung der Art dieser Daten verwendet wird.

(l) technische und organisatorische Maßnahmen: Art der Datenverwaltung durch den für die Verarbeitung Verantwortlichen, ihr Umfang, ihre Umstände und ihre Zwecke sowie die Rechte natürlicher Personen und ein unterschiedlich wahrscheinliches und schwerwiegendes Risiko für ihre Freiheiten

unter Beachtung eines ordnungsgemäß festgelegten Verfahrens, um sicherzustellen, dass und

Diese Maßnahmen werden von dem für die Verarbeitung Verantwortlichen überprüft und erforderlichenfalls von der Kommission überarbeitet.

aktualisiert sie.

V. Grundlegende Prinzipien der Datenverwaltung

5. das Unternehmen die Daten rechtmäßig und nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Art und Weise behandelt (Rechtmäßigkeit, Fairness und Transparenz)

6. Das Unternehmen erhebt personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke und behandelt sie nicht in einer Weise, die mit diesen Zwecken unvereinbar ist (Zwangszwecke).

7. das Unternehmen verwaltet die Daten angemessen und zweckdienlich und beschränkt sich auf das Notwendige (Vorratsdatenspeicherung). dementsprechend erhebt und speichert das Unternehmen nicht mehr Daten, als zur Erreichung des Zwecks der vorgeschriebenen Datenverwaltung notwendig sind.

8. die Datenverwaltung des Unternehmens korrekt und aktuell ist. Das Unternehmen ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verwaltet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit).

9. Das Unternehmen speichert personenbezogene Daten in einer Form, die für die betroffenen Personen relevant ist, die sie identifiziert, nur so lange, wie es zur Erreichung der Ziele der Verwaltung der personenbezogenen Daten möglich ist, vorbehaltlich der in den einschlägigen Rechtsvorschriften festgelegten Aufbewahrungspflicht (begrenzte Speicherung).

10. das Unternehmen durch geeignete technische oder organisatorische Maßnahmen sicherstellt

angemessene Sicherheit personenbezogener Daten, einschließlich des Schutzes vor unbefugtem Zugriff auf personenbezogene Daten, unrechtmäßiger Behandlung, versehentlichem Verlust, Zerstörung oder Beschädigung (Integrität und Vertraulichkeit)

11. das Unternehmen ist für die Einhaltung der oben genannten Grundprinzipien verantwortlich und weist die Einhaltung nach (Rechenschaftspflicht). zu diesem Zweck sorgt das Unternehmen für die kontinuierliche Durchsetzung der Bestimmungen dieser Vorschriften, d.h.

über die kontinuierliche Überprüfung seiner Datenverwaltung und gegebenenfalls seiner Datenverwaltungsverfahren, deren Änderung und Ergänzung. Das Unternehmen ist für die Einhaltung der rechtlichen Verpflichtungen verantwortlich und erstellt die Dokumentation zum Nachweis der Einhaltung.

VI. Rechtsgrundlage für die Datenverwaltung

12. die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn und soweit mindestens

13-18 eine der unter Buchstabe a) aufgeführten Rechtsgrundlagen erfüllt ist:

13. die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt (nachstehend: Datenverwaltung mit Einwilligung).

(14) Die Verarbeitung der Daten ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder die auf Antrag der betroffenen Person vor Abschluss des Vertrags getroffenen Maßnahmen sind für diesen Zweck notwendig (im Folgenden: "Vertragsdatenverwaltung").

15. die Datenverwaltung erforderlich ist, um die gesetzliche Verpflichtung gegenüber dem Unternehmen zu erfüllen (im Folgenden: Datenverwaltung aufgrund gesetzlicher Verpflichtung).

16. die Verwaltung der Daten dient den lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person, die zu ihrem Schutz erforderlich ist (im Folgenden: Datenverwaltung auf der Grundlage lebenswichtiger Interessen).

17. die Verwaltung der Daten im öffentlichen Interesse liegt oder Gegenstand einer dem Unternehmen erteilten behördlichen Genehmigung ist, die für die Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt erforderlich ist (nachstehend "Aufgabe im öffentlichen Interesse" genannt)

Datenverwaltung auf der Grundlage von Verwaltungsgenehmigungen).

18. Datenverwaltung für die Zwecke der berechtigten Interessen des Unternehmens oder eines Dritten

erforderlich, es sei denn, die Interessen der betroffenen Person überwiegen diese Interessen oder die Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, insbesondere wenn es sich bei dem betroffenen Kind um ein Kind handelt (im Folgenden: Datenverarbeitung auf der Grundlage eines berechtigten Interesses).

19. für die Verwaltung bestimmter personenbezogener Daten immer nur ein Unternehmen zuständig ist, das die Datenverwaltung auf der Grundlage einer Rechtsgrundlage durchführt. Die Rechtsgrundlage der Datenverarbeitung kann sich während der Datenverarbeitung ändern.

VII Bestandsaufnahme der Datensätze

20. das Unternehmen im Einklang mit der DSGVO und den technischen und organisatorischen Maßnahmen gemäß den gesetzlichen Verpflichtungen ein Bestandsverzeichnis der Datenbestände erstellt. Das Verzeichnis der Datensammlungen umfasst alle vom Unternehmen verwalteten Datenbereiche und bildet eine Anlage zu diesem Reglement.

21. in Bezug auf die Datenverwaltungstätigkeiten des Unternehmens im Datenbestand

Das Folgende wird definiert:

(a) den Namen des Elements des Datensatzes

(b) Dateien

(d) die Rechtsgrundlage für die Datenverwaltung

(e) Dauer der Datenverwaltung

(f) der Kreis der Interessen

(g) wer innerhalb der Organisation des Unternehmens Zugang zu personenbezogenen Daten hat

h) Art und Ort der Lagerung

(i) an wen die Daten übermittelt werden dürfen

j) Zweck der Verarbeitung der Daten durch den Auftragsverarbeiter

k) Datum der Löschung

VIII Die Rechte der betroffenen Person und ihre Durchsetzung

22. In Übereinstimmung mit den Bestimmungen der DSGVO stellt das Unternehmen den betroffenen Personen Folgendes zur Verfügung.

Recht auf Information

23. Das Auskunftsrecht gilt für alle Rechtsgrundlagen der betreffenden Datenverarbeitung.

24. das Unternehmen ist prägnant, transparent, verständlich und leicht zugänglich, klar und unzweideutig

informiert die Betroffenen auf verständliche Weise.

25. Die Informationen müssen schriftlich oder in anderer Form, gegebenenfalls auch in elektronischer Form, übermittelt werden.

Informationen auf Antrag der betroffenen Person

26. Auf Antrag der betroffenen Person kann auch eine mündliche Auskunft erteilt werden, sofern die Identität der betroffenen Person auf andere Weise festgestellt worden ist.

27. die Verpflichtung, die betroffene Person unverzüglich, auf jeden Fall aber innerhalb von 30 Tagen nach Eingang des Antrags über andere Rechte der betroffenen Person über Maßnahmen zu unterrichten, die auf Antrag einer relevanten interessierten Partei getroffen wurden.

28. Gegebenenfalls kann die 30-Tage-Frist unter Berücksichtigung der Komplexität des Antrags und der Anzahl der Anträge um weitere 60 Tage verlängert werden. Um die Frist zu verlängern, muss ein Unternehmen unter Angabe der Gründe für die Verzögerung 30 Tage nach Eingang des Antrags die betroffene Person innerhalb von Tagen informieren. Wenn die betroffene Person den Antrag elektronisch gestellt hat,

die Informationen werden nach Möglichkeit auf elektronischem Wege übermittelt, es sei denn, die betroffene Person stellt sie nicht zur Verfügung

fragt anders.

29. Die Informationen und Maßnahmen müssen kostenlos zur Verfügung gestellt werden.

30. wenn das Ersuchen der betroffenen Person offensichtlich unbegründet oder unverhältnismäßig ist, insbesondere aus wiederholten Gründen, das Unternehmen unter Berücksichtigung der Bereitstellung der angeforderten Informationen oder Erkenntnisse oder der mit der Durchführung der angeforderten Maßnahme verbundenen Verwaltungskosten:

(a) eine angemessene Gebühr erheben kann; oder

(b) kann er es ablehnen, dem Ersuchen nachzukommen.

(31) Die Beweislast für die offensichtliche Unbegründetheit oder Übermäßigkeit des Antrags liegt bei

belastet ist.

Obligatorische Informationen

32. Erhält das Unternehmen die Daten direkt von der betroffenen Person (insbesondere von Kunden), so erteilt das Unternehmen in jedem Fall Auskunft über Folgendes:

(a) die Identität des Vertreters des Unternehmens, falls vorhanden, und

Ihre Kontaktangaben;

(b) die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden;

(c) die Zwecke, für die die Verarbeitung personenbezogener Daten vorgesehen ist, und die Rechtsgrundlage für die Verarbeitung

(d) im Falle einer Datenverarbeitung auf der Grundlage eines berechtigten Interesses ist das Unternehmen oder ein Dritter berechtigt, seine Interessen zu verfolgen;

(e) gegebenenfalls die Empfänger der personenbezogenen Daten

f) gegebenenfalls die Tatsache, dass das Unternehmen in einem Drittland ansässig ist und personenbezogene Daten an eine internationale Organisation übermitteln möchte,

33. Bei der ersten Erhebung personenbezogener Daten informiert das Unternehmen die betroffene Person zusätzlich zu den oben genannten Punkten über Folgendes:

(a) die Dauer der Speicherung der personenbezogenen Daten

b) über das Recht der betroffenen Person, von dem Unternehmen die erforderlichen Auskünfte über den Zugang zu personenbezogenen Daten, deren Berichtigung, aus bestimmten Rechtsgründen in Bezug auf die Datenverwaltung, die Löschung oder die Einschränkung der Verarbeitung und aus bestimmten Rechtsgründen in Bezug auf die Datenverarbeitung zu erhalten, sowie über das Recht der betroffenen Person auf Datenübertragbarkeit;

c) dem auf der Einwilligung beruhenden Recht auf Datenverwaltung jederzeit zu widersprechen, was die Rechtmäßigkeit der vor dem Widerruf erteilten Einwilligung in die Datenverwaltung nicht berührt;

(d) an die Aufsichtsbehörde (Nationale Datenschutzbehörde, nachstehend "Behörde" oder "NAIH" genannt) über das Recht des Empfängers, eine Beschwerde einzureichen;

(e) ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist, ob sie auf einer Verpflichtung oder einer Bedingung für den Vertragsabschluss beruht und ob die betroffene Person verpflichtet ist, personenbezogene Daten bereitzustellen und wie dies geschehen kann. Die Nichtbereitstellung von Daten kann Folgen haben.

34. Beabsichtigt das Unternehmen, die personenbezogenen Daten für einen anderen Zweck als den, für den sie erhoben wurden, zu verwenden, so wird die betroffene Person vor der Weiterverarbeitung der Daten für den anderen Zweck darüber informiert und erhält alle relevanten Zusatzinformationen.

Recht auf Zugang

35. die betroffene Person hat das Recht auf Auskunft über alle Rechtsgrundlagen für die Datenverwaltung.

36. die betroffene Person hat das Recht, vom Unternehmen eine Rückmeldung zu erhalten

ob Ihre personenbezogenen Daten verarbeitet werden und ob diese Daten verarbeitet werden

ist berechtigt, Zugang zu personenbezogenen Daten und folgenden Informationen zu erhalten

erhalten:

(a) die Zwecke der Verwaltung der Daten;

(b) die Kategorien der betroffenen personenbezogenen Daten;

(c) die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten von dem Unternehmen zur Verfügung gestellt oder zugänglich gemacht werden

(d) gegebenenfalls die vorgesehene Dauer der Speicherung der personenbezogenen Daten

(e) das Recht der betroffenen Person, von dem Unternehmen die entsprechenden Informationen zu verlangen

Berichtigung personenbezogener Daten, wenn die Verarbeitung auf besonderen Rechtsgrundlagen beruht Löschung von Daten oder Einschränkung der Verarbeitung und Verarbeitung auf besonderen Rechtsgrundlagen

Sie können der Verarbeitung dieser personenbezogenen Daten widersprechen;

(f) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;

(g) falls die Daten nicht bei der betroffenen Person erhoben wurden, alle Informationen über ihre Herkunft

verfügbare Informationen;

(h) die Tatsache, dass eine automatisierte Entscheidungsfindung, einschließlich Profiling, stattfindet, sowie - zumindest in diesen Fällen - die angewandte Logik und verständliche Informationen über die Bedeutung einer solchen Datenverwaltung und darüber, wie sie sich auf die betroffene Person auswirken kann.

37. Das Unternehmen stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Datenverwaltung sind.

38. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, trägt das Unternehmen die Verwaltungskosten und kann eine angemessene Gebühr erheben, die sich nach der Preisgestaltung des Unternehmens für Verordnungen, andere Aufträge oder andere Dokumente richtet.

Recht auf Berichtigung

39. Das Recht auf Berichtigung gilt für alle Rechtsgrundlagen der betreffenden Datenverarbeitung.

40. das Unternehmen, wenn die betroffene Person einen entsprechenden Antrag stellt, unverzüglich

berichtigt unrichtig behandelte personenbezogene Daten der betroffenen Person. Die betroffene Person

Sie haben das Recht, eine zusätzliche Erklärung über unvollständige personenbezogene Daten zu verlangen, indem Sie diese hinzufügen.

Recht auf Löschung

41. das Recht auf Löschung (Vergessenwerden) nicht automatisch der betroffenen Person zusteht, alle

in Bezug auf die Datenverwaltung im Zusammenhang mit den Rechtsgrundlagen.

42. das Unternehmen löscht unverzüglich die personenbezogenen Daten der betroffenen Person

Daten, wenn einer der folgenden Gründe vorliegt:

(a) die personenbezogenen Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder anderweitig verarbeitet werden

(b) die betroffene Person ihre Einwilligung, die die Grundlage für die Datenverwaltung bildet, widerruft

(im Falle einer Datenverwaltung auf der Grundlage einer Einwilligung) und es keine andere Rechtsgrundlage für die Datenverwaltung gibt;

(c) die betroffene Person Widerspruch gegen die Verarbeitung einlegt und kein zwingender Rechtsgrund für die Datenverwaltung vorliegt, gelten für die Datenverwaltung die unter den Nummern 17 und 18 genannten Rechtsgründe (Datenverwaltung auf der Grundlage einer behördlichen Genehmigung oder eines berechtigten Interesses)

(d) die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;

e) die personenbezogenen Daten nach dem für das Unternehmen geltenden Recht der EU oder eines Mitgliedstaats gelöscht werden müssen, um einer vorgeschriebenen rechtlichen Verpflichtung nachzukommen;

43. Das Unternehmen wird dem Antrag der betroffenen Person auf Löschung der Daten nicht nachkommen, wenn die Verwaltung der Daten durch die für das Unternehmen geltenden Rechtsvorschriften vorgeschrieben ist, die die Verwaltung personenbezogener Daten zur Erfüllung dieser Verpflichtung erfordern.

44. Geht bei dem Unternehmen ein Löschungsantrag ein, so hat das Unternehmen als ersten Schritt

prüft, ob der Antrag auf Löschung wirklich vom Rechtsinhaber stammt. Um dies zu tun,

Ein Unternehmen kann verlangen, dass der Vertrag zwischen der betroffenen Person und dem Unternehmen mit Hilfe von Daten identifiziert wird (z. B. Vertragsnummer, Vertragsdatum), für die betroffene Person kann das Unternehmen die Identifikationsnummer des ausgestellten Dokuments und persönliche Identifikationsdaten der betroffenen Person eingeben (das Unternehmen darf jedoch keine zusätzlichen Identifikationsdaten verlangen, die es nicht von der betroffenen Person erhebt).

(45) Ist das Unternehmen verpflichtet, dem Löschungsantrag stattzugeben, so muss es

alles tun, um personenbezogene Daten aus allen Datenbanken zu löschen Vermeiden

46. Das Unternehmen führt eine Aufzeichnung der Löschung, um sicherzustellen, dass die Löschung erfolgt kann ihr Vorkommen nachweisen. Das Protokoll wird vom Vertreter des Unternehmens oder der/den Person(en) unterzeichnet.

von den Personen unterzeichnet werden, die aufgrund ihrer Stellenbeschreibung dazu befugt sind. Das Löschprotokoll enthält

(a) den Namen der betroffenen Person

(b) die Art der gelöschten personenbezogenen Daten

47. Das Unternehmen informiert alle Personen, für die personenbezogene Daten bereitgestellt wurden.

Das Recht auf Einschränkung der Datenverarbeitung

Das Recht auf Einschränkung gilt für alle Rechtsgrundlagen der betreffenden Datenverarbeitung.

49. Das Unternehmen schränkt die Verarbeitung von Daten auf Antrag der betroffenen Person ein, wenn einer der folgenden Fälle vorliegt

(a) die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet; in diesem Fall bezieht sich die Einschränkung auf einen Zeitraum, der es dem Unternehmen ermöglicht, zu überprüfen

Korrektheit der personenbezogenen Daten;

(b) die Datenverwaltung unrechtmäßig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen eine Einschränkung ihrer Verwendung verlangt;

(c) das Unternehmen die personenbezogenen Daten nicht mehr für die Datenverwaltung benötigt, die betroffene Person sie aber zur Geltendmachung oder Ausübung von Rechtsansprüchen benötigt oder schützt;

Besessenheit

F).

(Datenverarbeitung auf der Grundlage einer behördlichen Anordnung oder eines berechtigten Interesses)

gegen die Datenverwaltung; in diesem Fall gilt die Verjährungsfrist so lange, bis feststeht, ob die berechtigten Gründe für die Transaktion die betreffenden berechtigten Gründe überwiegen.

50. unterliegt die Verwaltung der Daten Beschränkungen aufgrund des vorstehenden Punktes, so dürfen diese personenbezogenen Daten außer zur Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen, zur Geltendmachung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen zum Schutz der betroffenen Person oder zur Wahrung eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaates verarbeitet werden.

51. Das Unternehmen informiert alle Personen, auf die sich die personenbezogenen Daten beziehen, über die Verpflichtung, an die die personenbezogenen Daten weitergegeben wurden.

Protest

52. das Recht auf Protest beruht auf einer öffentlichen Gewalt oder einem legitimen Interesse

Datenverwaltung auf der Grundlage von Rechtsgrundlagen für die Datenverwaltung.

53. im Falle eines Widerspruchs der betroffenen Person darf das Unternehmen die personenbezogenen Daten nicht weiterverarbeiten, es sei denn, Sie weisen die Rechtmäßigkeit der Verarbeitung nach, die aus Gründen, die die Interessen, Rechte und Freiheiten überwiegen, oder zur Begründung oder Durchsetzung von Rechtsansprüchen in Bezug auf ihren Schutz gerechtfertigt ist.

54. Werden personenbezogene Daten verarbeitet, um Direktgeschäfte zu tätigen, so hat die betroffene Person das Recht, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten zu diesem Zweck Widerspruch einzulegen.

(55) Widerspricht die betroffene Person der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung, so dürfen die personenbezogenen Daten nicht mehr für diesen Zweck verarbeitet werden.

Das Recht, eine Beschwerde einzureichen

Wenn Sie einen Antrag auf Zugang, Berichtigung, Einschränkung oder Löschung stellen oder wenn Sie gegen die Verwaltung der Daten Einspruch erheben, der Antrag aber nicht bearbeitet wird

Es besteht die Möglichkeit, eine Beschwerde bei dem Unternehmen einzureichen.

Der Geschäftsführer des Unternehmens ist mit dem für die Datenverarbeitung Verantwortlichen verbunden, der die Beschwerde innerhalb von 8 Tagen untersucht und den Beschwerdeführer über die Ergebnisse der Untersuchung informiert.

Stellt der Vorgesetzte fest, dass in Bezug auf die eingegangene Beschwerde Maßnahmen ergriffen werden müssen, so werden diese spätestens 15 Tage nach der Untersuchung ergriffen und der Beschwerdeführer wird davon in Kenntnis gesetzt.

Recht auf Datenübertragbarkeit

56. das Recht auf Datenübertragbarkeit auf einer Einwilligung oder einem Vertrag beruht

Liegt eine Rechtsgrundlage für die Verarbeitung von Daten vor, so hat die betroffene Person das Recht, dass die Daten automatisch verarbeitet werden.

57. das Unternehmen gewährleistet, dass es für das betreffende Unternehmen tätig ist

die übermittelten personenbezogenen Daten sind segmentiert, weit verbreitet und maschinenlesbar

Format, und dass diese Daten an einen anderen für die Verarbeitung Verantwortlichen übermittelt werden

vorwärts.

Das Recht, sich bei den Behörden zu beschweren

Im Falle einer offensiven Datenverwaltung gilt das Bundesdatenschutz- und Informationsfreiheitsgesetz

Sie können sich an die Behörden wenden. Kontaktinformationen der Behörden:

H-1530 Budapest, Pf.:5

H-1125 Budapest, Szilágyi Erzsébet fasor 22/C

+36 1 3911400

ugyfelszolgalat@naih.hu

IX. Registrierung von Datenverwaltungstätigkeiten

58. das Unternehmen ist für die Führung von Aufzeichnungen über die Datenverwaltungstätigkeiten verantwortlich Es wird grundsätzlich zur Überwachung der Einhaltung der DSGVO durchgeführt

Sie können sie verfolgen und überprüfen.

Das Unternehmen muss zumindest über die unter seiner Verantwortung durchgeführten Datenverwaltungstätigkeiten Bericht erstatten und die folgenden Aufzeichnungen führen:

a) Aufzeichnung der Datenübermittlung

b) Anträge auf Durchsetzung der Rechte der Beteiligten und der vom Unternehmen gewährten Rechte

Aufzeichnung der Antworten

c) Register der offiziellen Ersuchen und Antworten des Unternehmens

d) Registrierung von Anträgen auf Einstellung der Datenverwaltung

e) Kundenregister

f) Registrierung von Anfragen zu Marketingzwecken

(g) Aufzeichnung der Verwaltung personenbezogener Daten im Zusammenhang mit dem Arbeitsverhältnis

(h) Nachweis der Beschäftigung

(i) Aufzeichnung von Datenschutzvorfällen.

60. die Transaktion im Einklang mit ihren Zuständigkeiten im Sinne von Nummer 59 abgeschlossen worden ist

führt Aufzeichnungen über Datenverwaltungstätigkeiten, einschließlich der folgenden:

(a) den Namen und die Kontaktdaten des Unternehmens und, falls vorhanden

Name und Kontaktangaben Ihres Vertreters und des Datenschutzbeauftragten;

(b) die Zwecke der Datenverwaltung;

Beschreibung;

(d) Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden oder weitergegeben werden sollen

Sie werden

(e) gegebenenfalls personenbezogene Daten an ein Drittland oder eine internationale Organisation

Informationen über ihre Übermittlung an;

(f) soweit möglich, die Fristen für die Löschung der verschiedenen Datenkategorien;

(g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

61. die Aufzeichnungen werden vom Unternehmen in schriftlicher, papiergebundener oder elektronischer Form geführt

Format.

X. Datenschutz

62. das Unternehmen ist dem Stand der Technik und den Kosten der Umsetzung, und es ist der Art, dem Umfang, den Umständen und den Zwecken der Datenverwaltung sowie den Rechten und Freiheiten natürlicher Personen unter Berücksichtigung des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere angemessene technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass das Risiko ein angemessenes Maß an Datensicherheit gewährleistet.

63. Das Unternehmen ist verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit der von ihm verwalteten Daten zu gewährleisten.

64. Zur Bestimmung des angemessenen Niveaus der Datensicherheitsmaßnahmen muss das Unternehmen jede in seiner Verwaltung befindliche Datei unter dem Gesichtspunkt der Schutzbedürftigkeit bewerten und wird in eine Sicherheitsstufe eingestuft.

65. Um das Sicherheitsniveau der individuellen Datenverwaltung zu bestimmen, muss Folgendes analysiert werden:

a) durch unbefugten Zugang zu den verarbeiteten personenbezogenen Daten oder deren Veränderung,

das mit der Löschung verbundene Risiko, die Beschädigung der Hard- und Software und der zu erwartende Schaden;

b) ob die beschädigte Datendatei wiederhergestellt werden kann, und wenn ja

Wiederherstellungskosten, benötigte Datenquellen zur Reproduktion personenbezogener Daten Verfügbarkeit zum Ersatz der verlorenen Daten aus dem manuellen Hintergrundregister

Die Gelegenheit;

(c) ob es angesichts der Art der verarbeiteten personenbezogenen Daten gerechtfertigt ist, differenzierte Sicherheitsstandards anzuwenden;

(d) andere Risikoelemente, die die Datensicherheit gefährden;

66. Um die Sicherheit der Datenverwaltung umzusetzen, muss das Unternehmen über gemeinsame physische, logische und angewandte Verwaltungskontrollen verfügen.

67. Das Unternehmen muss mindestens die folgenden physischen Kontrollen durchführen:

(a) das Geschäft wird von ihm sowohl elektronisch als auch auf Papier abgewickelt

Um einen unbefugten Zugriff auf die Daten zu verhindern, muss sichergestellt werden, dass die verwalteten Daten für Unbefugte nicht physisch zugänglich sind (Büroschloss);

Platzierung der Monitore so, dass die darauf befindlichen Daten nur verwendet werden können

autorisierte Personen können sie sehen; können nur unternehmensgeprüfte Medien sein

Verbindung zu Computern).

68. Das Unternehmen wendet mindestens die folgenden logischen Kontrollen an:

(a) Das Unternehmen stellt sicher, dass die von ihm verwalteten Daten ausschließlich verwendet werden für

Personen mit entsprechender Berechtigung können darauf zugreifen (Berechtigungsstufen

Definition nach Beruf; Zugang zu Computerdatenbanken geeignete Festlegung von Berechtigungsstufen; für internes Computernetz

Anmeldung an Benutzernamen und Passwort binden

69. Das Unternehmen wendet mindestens die folgenden Managementkontrollen an:

a) Das Unternehmen stellt sicher, dass jeder Zugang zu personenbezogenen Daten

in der Dokumentation nachvollziehbar sein

70. die Aufbewahrung von Papierdokumenten, die personenbezogene Daten enthalten; und

Ort der Archivierung: am Hauptsitz in H- 1202 Budapest, Naszód utca 19

abschließbarer Aktenschrank im Vorstandsbüro. Der Computer ist für die zentrale Datenspeicherung geeignet,

die passwortgeschützt ist und nur dem Geschäftsführer gehört, mit Sitz in H-1202 Budapest,

Die Büroräume der Immobilie im Büro des Verwaltungsrats in der Naszód-Straße 19 und die

im persönlichen Besitz der Exekutive.

XI Management von Datenschutzvorfällen

71. in Ermangelung angemessener und rechtzeitiger Maßnahmen ist der Datenschutzvorfall physischer oder materieller Natur oder kann natürlichen Personen einen immateriellen Schaden zufügen, einschließlich eines persönlichen Schadens, des Verlusts der Kontrolle über ihre Daten oder der Einschränkung ihrer Rechte, einer nachteiligen Diskriminierung, eines Identitätsdiebstahls oder Identitätsmissbrauchs,

Vermögensschaden, Rufschädigung, geschützt durch das Berufsgeheimnis

Verletzung der Vertraulichkeit der personenbezogenen Daten oder der betroffenen natürlichen Person

sonstige erhebliche wirtschaftliche oder soziale Benachteiligung von Personen.

72. Das Unternehmen meldet den Datenschutzvorfall unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem es von dem Datenschutzvorfall Kenntnis erlangt hat, an die Behörde.

73. Der Datenschutzvorfall muss der Behörde nicht gemeldet werden, wenn es unwahrscheinlich ist, dass der Datenschutzvorfall ein Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt.

74. wenn die Meldung nicht innerhalb von 72 Stunden erfolgt, eine Begründung für die Verzögerung.

75. wenn es erforderlich ist, den Datenschutzvorfall der Behörde zu melden, so in der Mitteilung:

(a) Die Art des Datenschutzvorfalls ist zu beschreiben, nach Möglichkeit einschließlich

die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die von dem Vorfall betroffenen Daten

Kategorien und ihre ungefähre Anzahl;

b) müssen vom Datenschutzbeauftragten oder einer anderen Person, die zusätzliche Informationen liefert, gemeldet werden Name und Kontaktdaten der Kontaktperson;

(d) eine Beschreibung der Maßnahmen, die das Unternehmen ergriffen hat, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich der Maßnahmen, die zur Abmilderung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten geplant sind.

76. Wenn der Datenschutzvorfall wahrscheinlich ein hohes natürliches Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, informiert das Unternehmen die betroffene Person unverzüglich über den Datenschutzvorfall.

77. Die in Nummer 75 genannten Informationen müssen die betroffene Person und die Art des Datenschutzvorfalls klar und verständlich darstellen und Folgendes offenlegen

(a) den Datenschutzbeauftragten oder eine andere Kontaktperson, die zusätzliche Informationen zur Verfügung stellt Ihren Namen und Ihre Kontaktangaben

b) die voraussichtlichen Folgen des Datenschutzvorfalls müssen beschrieben werden;

(c) eine Beschreibung der Maßnahmen, die das Unternehmen ergriffen hat, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich der Maßnahmen, die zur Abmilderung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten geplant sind.

78. Die betroffene Person muss nicht informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:

(a) Das Unternehmen hat geeignete technische und organisatorische Schutzmaßnahmen ergriffen, und diese Maßnahmen wurden auf die von dem Datenschutzvorfall betroffenen Daten angewandt, insbesondere Maßnahmen wie die Verschlüsselung - die den Zugriff auf personenbezogene Daten nicht zulassen, sondern die Daten für den Einzelnen unverständlich machen;

(b) das Unternehmen hat nach dem Datenschutzvorfall zusätzliche Maßnahmen ergriffen,

Wenn die Rechte und Freiheiten der betroffenen Person gewahrt werden, ist es unwahrscheinlich, dass das hohe Risiko in Zukunft eintritt;

(c) Die Bereitstellung von Informationen würde einen unverhältnismäßigen Aufwand erfordern. In solchen Fällen müssen die Interessengruppen durch öffentlich zugängliche Informationen oder ähnliche Maßnahmen informiert werden, um sicherzustellen, dass die Interessengruppen ähnlich wirksam informiert werden.

79. wenn das Unternehmen einen Datenverarbeiter einsetzt, im Datenverarbeitungsvertrag

Es muss festgelegt werden, dass der Auftragsverarbeiter verpflichtet ist, unverzüglich auf den aufgetretenen Datenschutzvorfall zu reagieren und das Unternehmen unverzüglich zu informieren.

XII Verwaltung von Kundendaten

80. Bei der Verwaltung personenbezogener Daten auf der Grundlage des berechtigten Interesses des Unternehmens muss die folgende Interessenabwägung im Einklang mit den Bestimmungen der DSGVO durchgeführt werden:

a) Gegenstand der Datenverwaltung

b) Bestimmung der Rechtsgrundlage des berechtigten Interesses

(d) Zweck der Datenverwaltung

e) Angabe des berechtigten Interesses des Unternehmens

(f) welche Rechte der betroffenen Personen verletzt werden können

(g) Saldo der Interessen

h) welche Maßnahmen und Sicherheitsvorkehrungen das Unternehmen für die auf diese Weise erhobenen Daten anwendet, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten.

XIII Beschäftigungsbezogene Datenverwaltung

81. das Unternehmen im Zusammenhang mit Bewerbungen unter Angabe der Kontaktdaten

enthält Bestimmungen über Informationen zur Datenverwaltung in Bewerbungen.

82. wenn das Unternehmen die Bewerbung auch nach der Besetzung der Stelle aufbewahren möchte

der vom Bewerber vorgelegten Dokumente muss zu diesem Zweck die Zustimmung des Bewerbers eingeholt werden. Die Zustimmung muss als freiwillig gelten, spezifisch sein, auf angemessenen Informationen beruhen und eindeutig sein. Zu diesem Zweck muss die Zustimmungserklärung mindestens Folgendes enthalten

(a) die Identität und die Kontaktdaten des Vertreters des Unternehmens

(b) die Zwecke, für die die Verarbeitung der personenbezogenen Daten vorgesehen ist [z. B. z. B. Folgeantrag

zur Besetzung einer neu geschaffenen Stelle] und die Rechtsgrundlage für die Datenverwaltung

(beitragsabhängig);

(d) das Recht der betroffenen Person, von dem Unternehmen den entsprechenden Antrag zu erhalten

Zugang, Berichtigung, Löschung oder Verwaltung von personenbezogenen Daten

Einschränkung;

(e) das Recht der betroffenen Person, ihre Einwilligung jederzeit zu widerrufen,

was jedoch die Rechtmäßigkeit der Datenverwaltung nicht beeinträchtigt;

(f) das Recht, bei der Behörde eine Beschwerde einzureichen.

83. enthält die personenbezogenen Daten abgelehnter Bewerber nach der Auswertung der Bewerbungsdatenträger sind dem Bewerber - auf Verlangen - innerhalb von 90 Tagen zurückzugeben, oder eine über die Verwendung der personenbezogenen Daten des Bewerbers in weiteren Ausschreibungen ohne Ihre Zustimmung sind sie zu vernichten. die Vernichtung (Löschung) ist zu protokollieren.

84. das Unternehmen verwaltet die Daten der Mitarbeiter auf der Grundlage der einschlägigen Bestimmungen der Mt Es wird in der in der Mt festgelegten Art und Weise über die in der DSGVO enthaltenen Grundsätze der Datenverwaltung informiert, in Übereinstimmung mit

85. das Unternehmen die Mitarbeiter über die von ihm verwendeten Informationen informiert

im Falle von Auftragsverarbeitern über deren Identität und den Umfang der an sie übermittelten Daten.

86. Die Verarbeitung von Daten im Rahmen eines Beschäftigungsverhältnisses stützt sich in der Regel auf die folgenden Rechtsgrundlagen:

(a) im Rahmen eines Vertrags [Arbeitsvertrags]

(b) aufgrund einer gesetzlichen Verpflichtung [z. B. Besteuerung, Unterhaltsabzug].

c) auf der Grundlage eines berechtigten Interesses [z. B. Daten im Zusammenhang mit der Arbeitsplatzüberwachung].

87. wenn das Unternehmen Daten auf der Grundlage von Punkt 85 c) der DSGVO gemäß seinen Vorschriften verwaltet, ist in diesem Fall eine nachträgliche Überprüfung des Zinssatzes erforderlich:

(i) Bezeichnung des berechtigten Interesses des Unternehmens

j) Wer sind die betroffenen Personen und welche Rechte werden verletzt?

k) Gleichgewicht der Interessen

l) welche Maßnahmen und Sicherheitsvorkehrungen das Unternehmen für die auf diese Weise erhobenen Daten anwendet, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten.

88. die Interessenabwägung bei der Verwaltung des Umfangs der übermittelten personenbezogenen Daten

Der/die Test(s) muss/müssen den Arbeitnehmern zur Verfügung gestellt werden [z. B. über ein internes Netz, als Anhang zum Arbeitsvertrag].

XIV. Bestimmungen über die Verwendung des Verarbeiters

89. Wenn die Datenverwaltung im Auftrag des Unternehmens von jemand anderem durchgeführt wird [z. B. Lohnbuchhaltung, Server, Service, Website-Betrieb], darf das Unternehmen nur Datenverarbeiter einsetzen, die angemessene Garantien für die Datenverwaltung gemäß der DSGVO bieten, um die Einhaltung ihrer Anforderungen zu gewährleisten und die Rechte der betroffenen Personen zu schützen, um geeignete technische und organisatorische Maßnahmen umzusetzen.

90. der für die Verarbeitung Verantwortliche wird entweder ad hoc oder allgemein im Voraus schriftlich informiert

Sie dürfen ohne Ihre Zustimmung keine zusätzlichen Datenverarbeiter einsetzen.

91. in Bezug auf die Verarbeitung von Daten durch den Datenverarbeiter, das Unternehmen und

Gegenstand, Dauer und Art der Datenverwaltung in diesem Vertrag und deren Zweck, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und das Unternehmen bestimmen Ihre Pflichten und Rechte.

92. Der unter der vorstehenden Nummer genannte Vertrag sieht insbesondere vor, dass der Datenverarbeiter:

a) Die personenbezogenen Daten werden ausschließlich auf der Grundlage der schriftlichen Anweisungen des Unternehmens verarbeitet

b) sicherstellt, dass die Personen befugt sind, mit personenbezogenen Daten umzugehen

einer gesetzlichen Verschwiegenheitspflicht oder einer angemessenen Vertraulichkeit unterliegen;

c) mindestens das für das Unternehmen erforderliche Maß an Datensicherheit anwenden;

d) bei der Verwendung des oben genannten zusätzlichen Datenverarbeiters die genannten Bedingungen eingehalten werden;

e) geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art der Datenverwaltung im Rahmen des Möglichen, um das Unternehmen bei der Erfüllung von Anfragen im Zusammenhang mit der Ausübung der Rechte der betroffenen Person auf Beantwortung Ihrer Anfrage zu unterstützen;

(f) das Unternehmen bei der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen

Leistung, unter Berücksichtigung der Art der Datenverwaltung und des Datenverarbeiters, Informationen, die Ihnen zur Verfügung stehen;

(g) dies im Falle eines Datenschutzvorfalls ohne unangemessene Verzögerung tut;

(h) nach Abschluss der Erbringung des Datenverwaltungsdienstes muss das Unternehmen

alle personenbezogenen Daten auf der Grundlage seiner Entscheidung zu löschen oder an das Unternehmen zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das Recht der EU oder eines Mitgliedstaats schreibt die Aufbewahrung personenbezogener Daten vor.

93 Der Datenverarbeiter und die Person, die Zugang zu den personenbezogenen Daten hat

Sie dürfen diese Daten nur gemäß den Anweisungen des Unternehmens verarbeiten.

XIV. Durchführungs- und Schlussbestimmungen

94. Dieses Reglement tritt am 25. Mai 2018 in Kraft.