Firmenname: Monk Solutions Korlátolt Felelősségű Társaság
Sitz: 2112 Veresegyház, Baragödör utca 10.
Steuernummer: 25927809-2-13
Firmennummer: 13-09-202195
1. Zweck der Richtlinie
Der Zweck der Datenschutzrichtlinie besteht darin, Maßnahmen einzuführen und konsequent anzuwenden, die eine genaue und sichere Verarbeitung der persönlichen Daten der Mitarbeiter (im Folgenden: Betroffene) gewährleisten, gemäß den geltenden EU- und nationalen Datenschutzvorschriften, sowie eine einheitliche Handhabung auf Unternehmensebene im BJ81 Suite Hotel (im Folgenden: Unternehmen) sicherzustellen.
Die Datenschutzrichtlinie bietet zudem eine prägnante, transparente und leicht zugängliche Information für die Betroffenen über den Zugriff auf ihre vom Unternehmen verarbeiteten persönlichen Daten und enthält Regelungen und Informationen über die Rechte der Betroffenen.
2. Geltungsbereich der Richtlinie Persönlicher Geltungsbereich
Der Geltungsbereich dieser Richtlinie erstreckt sich auf das Unternehmen und die natürlichen Personen, auf die sich die Datenverarbeitungstätigkeiten beziehen. Die in dieser Richtlinie festgelegten Datenverarbeitungstätigkeiten beziehen sich auf die persönlichen Daten natürlicher Personen. Die Richtlinie gilt nicht für die Verarbeitung von personenbezogenen Daten von juristischen Personen oder insbesondere von Unternehmen, die als juristische Personen gegründet wurden, einschließlich der Namen und Formen der juristischen Personen sowie der Kontaktdaten der juristischen Personen. Juristische Personen sind der Verein, die Kapitalgesellschaft, die Genossenschaft, die Vereinigung und die Stiftung.
Zeitlicher Geltungsbereich
Der zeitliche Geltungsbereich dieser Richtlinie gilt ab dem Datum ihrer Festlegung bis auf weiteres oder bis zum Datum der Widerrufung der Richtlinie.
3. Grundsätze der Datenverarbeitung
Vor Beginn der Verarbeitung persönlicher Daten muss stets sorgfältig geprüft werden, ob dies tatsächlich erforderlich ist. Die Verarbeitung personenbezogener Daten darf nur begonnen werden, wenn eindeutig nachgewiesen werden kann, dass das Ziel der Datenverarbeitung auf andere Weise nicht erreicht werden kann.
Das Unternehmen ist verpflichtet, die persönlichen Daten der Betroffenen rechtmäßig, fair und transparent zu verarbeiten. Niemand darf aufgrund eines Verfahrens, einer Rechtsbehelfsmaßnahme oder einer Meldung beim Unternehmen oder einer anderen gemäß dieser Richtlinie festgelegten Behörde benachteiligt werden, ebenso wenig aufgrund der Verweigerung oder des Widerrufs einer auf Einwilligung basierenden Datenverarbeitung.
Die Erhebung der persönlichen Daten der Betroffenen darf nur für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen. Das Unternehmen ist verpflichtet, alle Datenverarbeitungen zu vermeiden oder zu beenden, die nicht mit dem Zweck der betreffenden persönlichen Daten vereinbar sind. Das Unternehmen darf persönliche Daten nur im erforderlichen Umfang verarbeiten und ist verpflichtet, alle persönlichen Daten zu löschen, deren Verarbeitungszweck entfallen ist oder deren Verarbeitungsgrundlage nicht nachgewiesen werden kann.
Das Unternehmen ist verpflichtet, Kontrollmechanismen einzuführen, die bereits im Vorfeld und nachträglich sicherstellen, dass
- die persönlichen Daten bereits zum Zeitpunkt der Erhebung und während der gesamten Dauer der Verarbeitung den Zwecken der Verarbeitung entsprechen und
- der Umfang der Datenverarbeitung sowohl bezüglich des Umfangs der Daten als auch der Dauer der Datenverarbeitung auf das notwendige Minimum beschränkt ist.
Die vom Unternehmen verarbeiteten persönlichen Daten müssen korrekt und aktuell sein. Das Unternehmen ist verpflichtet, alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass nur genaue persönliche Daten verarbeitet werden.
Persönliche Daten, die für die Zwecke der Datenverarbeitung nicht mehr erforderlich sind oder im Laufe der Zeit überflüssig werden, sind unverzüglich zu löschen;
Ungenaue persönliche Daten sind zu berichtigen oder zu löschen.
Die Speicherung der persönlichen Daten muss in einer Form erfolgen, die die Identifizierung der Betroffenen nur so lange ermöglicht, wie es für die Erreichung der Zwecke der Datenverarbeitung erforderlich ist.
Die Verarbeitung personenbezogener Daten muss so durchgeführt werden, dass durch geeignete technische oder organisatorische Maßnahmen die angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich aller Maßnahmen, die dem Schutz vor unbefugter oder rechtswidriger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung der personenbezogenen Daten dienen.
4. Rechtmäßigkeit der Datenverarbeitung
Die korrekte Festlegung der Grundlage der Datenverarbeitung und die Erfüllung der zusätzlichen Anforderungen, die an die gewählte Rechtsgrundlage geknüpft sind, sind Voraussetzungen für eine rechtmäßige Datenverarbeitung. Die Anforderung der Rechtmäßigkeit bedeutet daher im engeren Sinne das Vorhandensein einer geeigneten Rechtsgrundlage für die Datenverarbeitung und im weiteren Sinne, dass die Verarbeitung personenbezogener Daten nur im Einklang mit den geltenden Gesetzen zur betreffenden Datenverarbeitungsgrundlage erfolgen darf.
Das Unternehmen kann je nach Art und Umständen der Datenverarbeitung aus den folgenden Hauptrechtsgrundlagen auswählen. Die im ersten Unterpunkt genannten Hauptrechtsgrundlagen gelten für alle personenbezogenen Daten mit Ausnahme der besonderen Kategorien personenbezogener Daten, während der zweite Unterpunkt spezifische Regelungen für besondere Kategorien personenbezogener Daten enthält.
4.1 Persönliche Daten, mit Ausnahme der besonderen Daten
Das Unternehmen darf die persönlichen Daten der Betroffenen – ausgenommen die besonderen Daten – insbesondere auf der folgenden Grundlage verarbeiten:
Einwilligung: Das Unternehmen darf die Einwilligung der Betroffenen zur Verarbeitung ihrer persönlichen Daten einholen, wenn die Freiwilligkeit der Einwilligung nachgewiesen werden kann. Wenn das Unternehmen im Zusammenhang mit Informationsgesellschaftsdiensten, die für Kinder unter 16 Jahren angeboten werden, personenbezogene Daten von Kindern unter 16 Jahren verarbeitet, ist die Datenverarbeitung nur dann und in dem Umfang rechtmäßig, wenn die Einwilligung von der elterlichen Sorgeberechtigten Person gegeben oder genehmigt wurde. Die Betroffenen erteilen ihre Einwilligung freiwillig und können diese jederzeit widerrufen. Der Widerruf betrifft nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Datenverarbeitung.
a) Vorbereitung oder Erfüllung eines Vertrages: Diese Grundlage kann für Datenverarbeitungen verwendet werden, die zur Erfüllung eines Vertrages (z.B. Dienstleistungsvertrag, Arbeitsvertrag, Studienvertrag) erforderlich sind, an dem der Betroffene eine der Parteien ist, oder wenn die Datenverarbeitung vor Abschluss des Vertrages auf Anfrage des Betroffenen erforderlich ist.
b) Erfüllung einer rechtlichen Verpflichtung: Datenverarbeitung, die durch EU- oder nationales Recht erforderlich ist.
c) Berechtigtes Interesse: Dazu gehören Datenverarbeitungen, die erforderlich sind, um die berechtigten Interessen des Unternehmens oder eines Dritten zu wahren. Die berechtigten Interessen des Unternehmens oder eines Dritten sind in der Datenschutzinformation zur betreffenden Datenverarbeitung festgelegt.
d) [Andere spezifische Rechtsgrundlagen können für die Datenverarbeitung je nach Zweck vorliegen:
Datenverarbeitung, die die lebenswichtigen Interessen des Betroffenen oder einer anderen natürlichen Person betrifft, oder die Ausübung öffentlicher Aufgaben durch das Unternehmen.]
Wenn das Unternehmen Daten von den Betroffenen erhebt und diese die gemäß den obigen Rechtsgrundlagen verarbeiteten Daten nicht bereitstellt, kann dies zur Folge haben, dass die Vorbereitung oder Erfüllung eines Vertrages verweigert oder unmöglich gemacht wird (z.B. Scheitern der Arbeitsaufnahme). Wenn der Betroffene nur einen Teil der zu liefernden Daten nicht bereitstellt, wird anhand der unvollständig bereitgestellten Daten beurteilt, ob die Nichtbereitstellung der Daten beispielsweise das Zustandekommen oder die Aufrechterhaltung des Vertrages unmöglich machen könnte. Bei der vertraglich basierten Datenverarbeitung kann das Unternehmen die Folgen der Unmöglichkeit nur dann anwenden, wenn es nachweist, dass es ohne die bereitgestellten Daten den Vertrag nicht erfüllen kann.
4.2 Besondere Daten
Aufgrund der grundlegenden Rechte und Freiheiten von natürlichen Personen stellen besondere Daten von Natur aus sensible und risikobehaftete Daten dar, die besonderen Schutz erfordern. Das Unternehmen darf die besonderen Daten der Betroffenen – insbesondere Gesundheitsdaten – insbesondere zu folgenden Zwecken oder auf folgenden Rechtsgrundlagen verarbeiten:
a) Artikel 9 Abs. 2 lit. a DSGVO: Der Betroffene kann seine Einwilligung zur Verarbeitung seiner besonderen Daten erteilen, wenn die Freiwilligkeit der Einwilligung nachgewiesen werden kann. Der Betroffene erteilt seine Einwilligung freiwillig und kann diese jederzeit widerrufen. Der Widerruf betrifft nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Datenverarbeitung.
b) Artikel 9 Abs. 2 lit. b DSGVO: Zum Beispiel, wenn es eine Ermächtigung durch EU- oder nationalrechtliche Vorschriften oder kollektive Vereinbarungen nach nationalem Recht gibt, kann das Unternehmen Datenverarbeitung im Rahmen der Erfüllung von Verpflichtungen und Ausübung spezifischer Rechte im Arbeitsrecht sowie in Bezug auf soziale Sicherheit und Schutz durchführen.
c) Artikel 9 Abs. 2 lit. f DSGVO: Diese Grundlage kann angewendet werden, wenn die Verarbeitung besonderer Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
5. Informationspflichten und Maßnahmen des Unternehmens
Das Unternehmen ist verpflichtet, bestimmte Informationen in einer klaren, transparenten und leicht zugänglichen Form bereitzustellen und die betroffene Person über ihre Rechte zu informieren. Darüber hinaus kann das Unternehmen auf Antrag der betroffenen Person bestimmte Maßnahmen treffen, sofern die entsprechenden Verfahrensregeln eingehalten werden.
5.1 Datenschutzhinweis
Je nachdem, ob das Unternehmen die personenbezogenen Daten von der betroffenen Person erhebt oder nicht, ist das Unternehmen verpflichtet, bestimmte Informationen über die Datenverarbeitung bereitzustellen. Die allgemeinen und spezifischen Regelungen zu diesen Datenschutzhinweisen sind in den folgenden Unterabschnitten zusammengefasst.
5.1.1 Allgemeine Regelungen
Aufgrund der Informationspflichten ist das Unternehmen verpflichtet, die betroffene Person über Folgendes zu informieren: a) Die Identität und Kontaktdaten des Unternehmens und – falls vorhanden – seines Vertreters, b) Der Zweck der geplanten Verarbeitung der personenbezogenen Daten sowie die Rechtsgrundlage der Verarbeitung, c) Im Fall einer Verarbeitung auf Basis des Art. 6 Abs. 1 lit. f DSGVO die berechtigten Interessen des Unternehmens oder eines Dritten, d) Gegebenenfalls die Empfänger der personenbezogenen Daten oder die Kategorien der Empfänger, e) Gegebenenfalls, dass das Unternehmen beabsichtigt, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation weiterzugeben, sowie das Vorliegen oder Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission oder bei der Übermittlung gemäß Art. 46, 47 oder 49 Abs. 1 Satz 2 DSGVO die geeigneten und angemessenen Garantien sowie die Möglichkeit oder die Verfügbarkeit von Kopien dieser Garantien, f) Die Dauer der Speicherung der personenbezogenen Daten oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, g) Das Recht der betroffenen Person, von dem Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten zu verlangen, diese berichtigen oder löschen zu lassen oder die Verarbeitung einzuschränken und Widerspruch gegen die Verarbeitung einzulegen sowie das Recht auf Datenübertragbarkeit, h) Das Recht auf Widerruf der Einwilligung jederzeit, wenn die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO beruht, wobei die Rechtmäßigkeit der Verarbeitung vor dem Widerruf unberührt bleibt, i) Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, j) Das Vorhandensein einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und mindestens in diesen Fällen Informationen über die eingesetzte Logik sowie verständliche Informationen darüber, welche Bedeutung und voraussichtlichen Folgen eine solche Verarbeitung für die betroffene Person hat.
5.1.2 Bereitzustellende Informationen, wenn die Daten von der betroffenen Person erhoben werden
Wenn das Unternehmen die personenbezogenen Daten von der betroffenen Person erhebt, ist es zusätzlich verpflichtet, die betroffene Person darüber zu informieren, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder Voraussetzung für den Abschluss eines Vertrages ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, sowie welche möglichen Folgen es hat, wenn die Daten nicht bereitgestellt werden.
Die Informationen müssen zum Zeitpunkt der Erhebung der personenbezogenen Daten bereitgestellt werden. Wenn die betroffene Person jedoch bereits über die oben genannten Informationen verfügt, ist eine erneute Information nicht erforderlich.
5.1.3 Bereitzustellende Informationen, wenn die Daten nicht von der betroffenen Person erhoben werden
Wenn das Unternehmen die personenbezogenen Daten nicht von der betroffenen Person erhebt, ist es zusätzlich verpflichtet, die betroffene Person über die betroffenen personenbezogenen Datenkategorien, die Quelle der personenbezogenen Daten und gegebenenfalls darüber zu informieren, ob die Daten aus öffentlich zugänglichen Quellen stammen.
Das Unternehmen muss die Informationen zu folgenden Zeitpunkten bereitstellen: a) Unter Berücksichtigung der konkreten Umstände der Datenverarbeitung innerhalb einer angemessenen Frist nach der Erhebung der personenbezogenen Daten, jedoch spätestens innerhalb eines Monats, b) Wenn die personenbezogenen Daten zur Kontaktaufnahme mit der betroffenen Person verwendet werden, spätestens bei der ersten Kontaktaufnahme mit der betroffenen Person oder c) Wenn voraussichtlich auch an einen anderen Empfänger weitergegeben werden, spätestens bei der ersten Weitergabe der personenbezogenen Daten.
Es ist nicht erforderlich, die oben genannten Informationen bereitzustellen, wenn a) Die betroffene Person bereits über die Informationen verfügt, b) Die Bereitstellung der betreffenden Informationen unmöglich ist oder einen unverhältnismäßig hohen Aufwand erfordert, insbesondere im Falle der Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken unter Berücksichtigung der in Art. 89 Abs. 1 DSGVO enthaltenen Bedingungen und Garantien, oder wenn die Erfüllung dieser Verpflichtung voraussichtlich die Erreichung der Zwecke der Verarbeitung erheblich behindern oder gefährden würde. In solchen Fällen muss der Verantwortliche angemessene Maßnahmen ergreifen, um die Rechte, Freiheiten und berechtigten Interessen der betroffenen Personen zu schützen – einschließlich der öffentlichen Zugänglichmachung der Informationen, c) Die Erhebung oder Offenlegung der Daten ausdrücklich durch Unions- oder nationales Recht vorgeschrieben ist, das geeignete Maßnahmen zum Schutz der Rechte der betroffenen Person vorsieht oder d) Die personenbezogenen Daten gemäß einer gesetzlichen oder nationalen beruflichen Geheimhaltungspflicht, einschließlich gesetzlicher Geheimhaltungspflichten, vertraulich bleiben müssen.
5.2 Berechtigte Personen für den Zugang zu den Daten
Die personenbezogenen Daten dürfen von den Mitarbeitern des Unternehmens und von Personen oder Organisationen, die im Rahmen von Dienstleistungsverträgen Datenverarbeitungsdienste für das Unternehmen erbringen, im erforderlichen Umfang und nur für die Ausübung ihrer Tätigkeiten eingesehen werden.
5.3 Rechte der betroffenen Person
Die betroffene Person kann vom Unternehmen Zugang zu ihren personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen und Widerspruch gegen die Verarbeitung einlegen. Darüber hinaus stehen der betroffenen Person das Recht auf Datenübertragbarkeit und das Recht auf Entscheidung über die automatisierte Entscheidungsfindung, einschließlich Profiling, in individuellen Fällen zu.
Bestimmte Rechte der betroffenen Person müssen im Rahmen des unter Punkt 5.1 genannten Datenschutzhinweises erläutert werden.
5.4 Verfahrensregeln
Das Unternehmen muss bei der Erfüllung der oben genannten Informationspflichten und Maßnahmen die festgelegten Regeln einhalten. Neben den spezifischen Regelungen sind die folgenden Bestimmungen zu beachten:
6. Einschränkungen
(1) Unions- oder nationales Recht kann durch gesetzgeberische Maßnahmen die Geltung der in den Artikeln 12 bis 22 und 34 DSGVO festgelegten Rechte und Pflichten einschränken, wenn die Einschränkung die wesentlichen Inhalte der grundlegenden Rechte und Freiheiten wahrt und Maßnahmen zum Schutz der folgenden Ziele in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind: a. Nationale Sicherheit, b. Verteidigung, c. Öffentliche Sicherheit, d. Verhinderung, Aufklärung, Ermittlung oder Verfolgung von Straftaten sowie Durchführung von strafrechtlichen Sanktionen, einschließlich Schutz vor Gefahren für die öffentliche Sicherheit und Prävention solcher Gefahren, e. Wichtige allgemeine öffentliche Interessen der Union oder eines Mitgliedstaates, insbesondere wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaates, einschließlich monetärer, haushaltspolitischer und steuerlicher Fragen, Volksgesundheit und sozialer Sicherheit, f. Schutz der richterlichen Unabhängigkeit und der gerichtlichen Verfahren, g. Verhinderung, Untersuchung, Aufklärung und Durchführung von Verfahren bei ethischen Verstößen in regulierten Berufen, h. Kontrolle, Prüfung oder Regulierungsmaßnahmen im Zusammenhang mit der Wahrnehmung öffentlicher Aufgaben in den Fällen a) bis e) und g) auch punktuell, i. Schutz der betroffenen Person oder anderer Rechte und Freiheiten, j. Durchsetzung von zivilrechtlichen Ansprüchen.
(2) Die in Absatz 1 genannten gesetzlichen Maßnahmen enthalten in der Regel detaillierte Bestimmungen zu: a. Den Zwecken oder Kategorien der Verarbeitung, b. Den Kategorien personenbezogener Daten, c. Der Reichweite der eingeführten Einschränkungen, d. Garantien zur Vermeidung von Missbrauch oder unbefugtem Zugriff oder Weitergabe, e. Der Bestimmung des Verantwortlichen oder der Kategorien von Verantwortlichen, f. Der Dauer der Speicherung sowie der anzuwendenden Garantien, unter Berücksichtigung der Art, Reichweite und Zwecke der Verarbeitung oder der Verarbeitungsarten, g. Den Risiken für die Rechte und Freiheiten der betroffenen Personen und h. Dem Recht der betroffenen Personen auf Information über die Einschränkung, es sei denn, dies würde die Verwirklichung des Ziels der Einschränkung beeinträchtigen.
7. Datenweitergabe
Das Unternehmen darf personenbezogene Daten zu bestimmten Zwecken – insbesondere zur Erfüllung eines Vertrages mit einer dritten Partei oder zur Erfüllung gesetzlicher Verpflichtungen oder arbeitsrechtlicher Pflichten – weitergeben.
Wenn die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgt, die nicht das angemessene Schutzniveau für personenbezogene Daten gemäß Kapitel V der DSGVO gewährleisten kann (z.B. einige asiatische oder afrikanische Länder), darf die Datenübermittlung nur ohne die Zustimmung der betroffenen Person erfolgen, wenn die Übermittlung den Anforderungen des Artikels 49 DSGVO entspricht; andernfalls ist die ausdrückliche Zustimmung der betroffenen Person zur Übermittlung der personenbezogenen Daten erforderlich.
8. Datenschutzvorfall
Im Falle eines Datenschutzvorfalls ist das Unternehmen verpflichtet, die folgenden Regeln einzuhalten und nach diesen zu handeln.
8.1 Meldung an die Aufsichtsbehörde
Das Unternehmen muss einen Datenschutzvorfall, der die von ihm verwalteten Daten betrifft, unverzüglich nach Kenntniserlangung, sofern möglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung der Aufsichtsbehörde melden, und zwar mindestens mit folgenden Informationen: a) Beschreibung der Art des Datenschutzvorfalls, einschließlich der Kategorien und voraussichtlichen Anzahl der betroffenen Personen, der Kategorien und voraussichtlichen Anzahl der betroffenen Daten, b) Name und Kontaktdaten des Ansprechpartners für weitere Informationen, c) voraussichtliche Folgen des Datenschutzvorfalls, d) Maßnahmen, die von der Datenverarbeitungseinheit zur Behebung des Datenschutzvorfalls ergriffen wurden oder geplant sind, einschließlich der Maßnahmen zur Minderung möglicher nachteiliger Folgen.
Falls es nicht möglich ist, die oben genannten Informationen gleichzeitig zu übermitteln, können diese ohne weitere unangemessene Verzögerung später in Teilen an die Aufsichtsbehörde übermittelt werden. Wenn die Meldung nicht innerhalb von 72 Stunden erfolgt, müssen die Gründe für die Verzögerung angegeben werden.
Ein Datenschutzvorfall muss nicht gemeldet werden, wenn der Datenschutzvorfall voraussichtlich keine Risiken für die Rechte und Freiheiten natürlicher Personen darstellt. Das Risiko ist objektiv auf Grundlage der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung zu bewerten. Risiken können beispielsweise bestehen, wenn die betroffenen Personen aufgrund des Vorfalls Diskriminierung erfahren könnten, Opfer von Identitätsmissbrauch werden könnten, finanzielle Verluste erleiden könnten, ihr Ruf beschädigt werden könnte oder sie sonstige erhebliche wirtschaftliche oder soziale Nachteile erfahren könnten.
8.2 Information der Betroffenen
Wenn ein Betroffener, insbesondere ein Mitarbeiter des Unternehmens, von einem Datenschutzvorfall erfährt, ist er verpflichtet, unverzüglich den Vertreter des Unternehmens zu informieren.
In allen Fällen, in denen der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten eines oder mehrerer Betroffener mit sich bringt und das Unternehmen Kenntnis von dem Vorfall erhält, ist es verpflichtet, die betroffenen Personen unverzüglich zu informieren. Die Information muss klar und verständlich enthalten: a) die Art des Datenschutzvorfalls, b) den Namen und die Kontaktdaten des Ansprechpartners für weitere Informationen, c) die voraussichtlichen Folgen des Datenschutzvorfalls, d) die vom Unternehmen ergriffenen oder geplanten Maßnahmen zur Behebung des Datenschutzvorfalls, einschließlich etwaiger Maßnahmen zur Minderung nachteiliger Folgen.
Die Information der betroffenen Personen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) das Unternehmen hat geeignete technische und organisatorische Schutzmaßnahmen getroffen, und diese Maßnahmen wurden auf die von dem Datenschutzvorfall betroffenen Daten angewendet, insbesondere solche Maßnahmen wie z.B. Verschlüsselung, die die Daten für unbefugte Personen unlesbar machen, b) das Unternehmen hat nach dem Datenschutzvorfall weitere Maßnahmen getroffen, die sicherstellen, dass das ursprüngliche hohe Risiko für die betroffenen Rechte und Freiheiten voraussichtlich nicht mehr besteht, c) die Information würde einen unverhältnismäßigen Aufwand erfordern. In solchen Fällen müssen die betroffenen Personen öffentlich durch Informationen informiert werden, die auf üblichem Wege veröffentlicht werden, oder es müssen andere geeignete Maßnahmen getroffen werden, um eine ähnlich effektive Information der betroffenen Personen sicherzustellen.
Sollte das Unternehmen die betroffenen Personen noch nicht über den Datenschutzvorfall informiert haben, kann die Aufsichtsbehörde nach Prüfung, ob der Datenschutzvorfall voraussichtlich ein hohes Risiko darstellt, die Information der betroffenen Personen anordnen oder feststellen, dass eine der oben genannten Bedingungen erfüllt ist und daher die Information der betroffenen Personen nicht erforderlich ist.
9. Datenschutzdokumentation
9.1 Verzeichnis von Verarbeitungstätigkeiten
Das Unternehmen und dessen Vertreter sind verpflichtet, ein schriftliches Verzeichnis der von ihnen durchgeführten Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO zu führen, einschließlich elektronischer Dokumente, das folgende Informationen enthält: a) Name und Kontaktdaten des Unternehmens, b) die Zwecke der Datenverarbeitung, c) Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten, d) Kategorien von Empfängern, an die personenbezogene Daten weitergegeben oder weitergegeben werden sollen, einschließlich Drittländer oder internationaler Organisationen, e) gegebenenfalls Informationen zur Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Identifizierung des Drittlands oder der internationalen Organisation sowie Beschreibung der geeigneten Garantien im Falle der Übermittlung gemäß Artikel 49 Absatz 1 Unterabsatz 2 DSGVO, f) soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, g) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Das Unternehmen und dessen Vertreter müssen das Verzeichnis auf Anfrage der Aufsichtsbehörde zugänglich machen.
9.2 Verzeichnis der Datenschutzvorfälle
Das Unternehmen führt ein Verzeichnis der Datenschutzvorfälle, das folgende Informationen enthält: a) die Fakten im Zusammenhang mit dem Datenschutzvorfall, b) die Auswirkungen des Vorfalls, c) die ergriffenen Maßnahmen zur Behebung.
Die Aufsichtsbehörde kann dieses Verzeichnis einsehen und überprüfen, ob die Anforderungen des Artikels 33 DSGVO eingehalten werden.
10. Datenschutz-Folgenabschätzung
Im Rahmen einer Datenschutz-Folgenabschätzung muss das Unternehmen für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, eine Folgenabschätzung durchführen. Die Folgenabschätzung muss mindestens folgende Informationen enthalten: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich gegebenenfalls der vom Verantwortlichen verfolgten berechtigten Interessen, b) die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf die Zwecke, c) die Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen, d) die Maßnahmen zur Risikominderung, einschließlich der Garantien, Sicherheitsmaßnahmen und Mechanismen zur Sicherstellung der Übereinstimmung mit der DSGVO, die die Rechte und berechtigten Interessen der betroffenen Personen berücksichtigen.
11. Regelungen zur Auftragsverarbeitung
11.1 Allgemeine Regeln zur Auftragsverarbeitung
Das Unternehmen beauftragt externe Auftragsverarbeiter zur Durchführung der folgenden Aufgaben im Zusammenhang mit den von ihm verwalteten personenbezogenen Daten:
- Betrieb und Wartung von Websites,
- Erfüllung steuerlicher und buchhalterischer Verpflichtungen,
- Erbringung bestellter Dienstleistungen.
Die Rechte und Pflichten des Auftragsverarbeiters im Zusammenhang mit der Verarbeitung personenbezogener Daten werden durch das Gesetz und andere spezielle Datenschutzgesetze festgelegt.
Das Unternehmen erklärt, dass der Auftragsverarbeiter im Rahmen seiner Tätigkeit keine wesentlichen Entscheidungen zur Datenverarbeitung trifft, personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen verarbeitet, keine eigene Datenverarbeitung vornimmt und personenbezogene Daten gemäß den Anweisungen des Verantwortlichen aufbewahren und sichern muss.
Das Unternehmen ist verantwortlich für die Rechtmäßigkeit der Anweisungen, die dem Auftragsverarbeiter im Rahmen der Datenverarbeitung erteilt werden.
Das Unternehmen ist verpflichtet, den Betroffenen Informationen über den Auftragsverarbeiter und den Ort der Datenverarbeitung zu geben.
Das Unternehmen ermächtigt den Auftragsverarbeiter nicht zur Beauftragung weiterer Auftragsverarbeiter.
Die Vereinbarung zur Auftragsverarbeitung muss schriftlich erfolgen. Eine Organisation, die in der Verarbeitung personenbezogener Daten ein wirtschaftliches Interesse hat, kann nicht als Auftragsverarbeiter beauftragt werden.
11.2 Auftragsverarbeitung durch das Unternehmen
Das Unternehmen verpflichtet sich, angemessene Garantien für die Einhaltung der Anforderungen der Verordnung sowie die Durchführung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Rechte der Betroffenen bereitzustellen.
Als Auftragsverarbeiter informiert das Unternehmen den Verantwortlichen unverzüglich, wenn es der Ansicht ist, dass eine seiner Anweisungen gegen diese Verordnung oder andere nationale oder europäische Datenschutzbestimmungen verstößt.
Das Unternehmen verarbeitet die Daten gemäß den Anweisungen des Verantwortlichen und verpflichtet sich, die vertraglichen Verpflichtungen des Auftragsverarbeiters zu beachten.
Das Unternehmen darf die dem Verantwortlichen übermittelten Daten nicht ändern, löschen, kopieren oder mit anderen Datenbanken verknüpfen, und darf sie nicht für andere Zwecke oder für eigene Zwecke verwenden oder Dritten mitteilen, es sei denn, dies ist ausdrücklich vom Verantwortlichen angeordnet und für die Datenverarbeitung erforderlich.
Das Unternehmen ist nicht berechtigt, den Verantwortlichen zu vertreten oder im Namen des Verantwortlichen rechtliche Erklärungen abzugeben, es sei denn, dies ist ausdrücklich in einer Vereinbarung oder einem anderen Dokument vorgesehen.
Das Unternehmen erklärt, dass der Verantwortliche ausschließlich befugt ist, die Ziele und Methoden der Datenverarbeitung, die dem Auftragsverarbeiter zur Verfügung gestellten Daten, festzulegen.
Das Unternehmen als Auftragsverarbeiter ist verpflichtet, die Sicherheit der Daten zu gewährleisten und alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen. Dazu gehört auch der Schutz vor unbefugtem Zugriff, unbefugter Veränderung, Übermittlung, Offenlegung, Löschung und Vernichtung der Daten sowie Maßnahmen gegen unbeabsichtigte Zerstörung und Beschädigung und gegen ungewollte Zugänglichkeit aufgrund technischer Änderungen.
Die Verpflichtungen des Unternehmens
Das Unternehmen verpflichtet sich, mit dem für die Datenverarbeitung zuständigen Verantwortlichen und seinen Beauftragten bei der Durchführung von Prüfungen und Kontrollen im Zusammenhang mit den Systemen, Aufzeichnungen, Daten, Informationen und Verfahren zur Datenverarbeitung vollständig zusammenzuarbeiten. In diesem Rahmen stellt das Unternehmen sicher, dass die autorisierte Person Zugang zu den Datenverarbeitungsaufzeichnungen, den darin gespeicherten Datenbeständen und den Verfahren, die während der Datenverarbeitung angewendet werden, erhält.
Geltungsbereich und Überprüfungsverfahren
Die Datenschutzrichtlinie tritt am 30. Mai 2024 in Kraft und ist bis zur Aufhebung gültig. Mit Inkrafttreten der Datenschutzrichtlinie verlieren alle vorher gültigen internen Richtlinien und Arbeitgeberanweisungen ihre Gültigkeit, die unter Berücksichtigung der Datenschutzrichtlinie personenbezogene Daten durch das Unternehmen verarbeitet haben.
Zum Stichtag der Inkraftsetzung der Datenschutzrichtlinie wird diese mindestens einmal jährlich überprüft. Falls erforderlich, wird das Unternehmen die Datenschutzrichtlinie gemäß den gesetzlichen und internen organisatorischen Änderungen entsprechend anpassen, für die Inkraftsetzung und Bekanntmachung der geänderten Datenschutzrichtlinie sorgen und sicherstellen, dass die betroffenen Personen über die Inhalte der Änderungen informiert werden.
Die Kenntnisnahme und Einhaltung der relevanten Regelungen der Datenschutzrichtlinie ist für alle Vertreter, Beauftragten und Angestellten des Unternehmens verpflichtend, die ihre Aufgaben gemäß den Vorgaben der Datenschutzrichtlinie vollständig erfüllen müssen.
Im Falle von Gesetzesänderungen oder anderen Gründen, die eine Änderung der vorliegenden Richtlinie erfordern, muss die Mitteilung entsprechend den gesetzlichen Änderungen oder anderen Gründen angepasst und den betroffenen Personen der Text der Änderungen zur Kenntnis gebracht werden.
Budapest, 30. Mai 2024