Datenschutzrichtlinie — GreenLine Clean

I. Geltungsbereich der Richtlinie

1. Der Geltungsbereich dieser Vorschriften umfasst die GreenLine Clean Gesellschaft mit beschränkter Haftung (Sitz: H-1202 Budapest, Naszód utca 19., Firmenregistrierungsnummer: 01-09-994909, Steuernummer: HU-24192451) in seiner Gesamtheit, alle Organisationseinheiten und alle für seine Mitarbeiter (im Folgenden: Unternehmen).

II. Zweck der Richtlinie

2. Zweck der Verordnung ist der Schutz personenbezogener Daten nach Maßgabe des Grundgesetzes Durchsetzung, die Umsetzung informationeller Selbstbestimmung, aber auch das Unternehmen in Bezug auf personenbezogene Daten, die von verwaltet werden Datenschutz- und Datensicherheitsregeln.

III. Geltende Gesetze

3. Während der Datenverwaltung des Unternehmens gelten die in den folgenden Gesetzen enthaltenen Vorschriften muss gemäß den Bestimmungen dieser Geschäftsordnung entsprechend handeln:

- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (27. April 2016) gegenüber natürlichen Personen bei der Verarbeitung personenbezogener Daten Schutz und den freien Datenverkehr sowie Verordnung 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO)

- 2011 zum Recht auf informationelle Selbstbestimmung und Informationsfreiheit. Jahr CXII. Act (im Folgenden: Infotv.)

- Gesetz V von 2013 über das Bürgerliche Gesetzbuch (im Folgenden: Bürgerliches Gesetzbuch)

- Gesetz I von 2012 zum Arbeitsgesetzbuch (im Folgenden: Mt.)

- interne berufsrechtliche Regelungen, Richtlinien, Weisungen

BOGEN. Auslegungsbestimmungen

4. In der DSGVO definierte Konzepte, von denen dies interne Vorschriften sind Dementsprechend sollten die folgenden Konzepte hervorgehoben werden:

a) personenbezogene Daten: für eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") alle Informationen in Bezug auf; die unmittelbare natürliche Person identifiziert werden kann oder indirekt, insbesondere eine Kennung wie Name, Nummer, Standortdaten, Online-Kennung oder physikalische, physiologische, eine, die Ihre genetische, intellektuelle, wirtschaftliche, kulturelle oder soziale Identität betrifft oder kann anhand mehrerer Faktoren identifiziert werden.

b) Datenverwaltung: Personenbezogene Daten oder Dateien werden automatisiert jede Aktion oder Reihe von Aktionen, die nicht automatisiert ausgeführt werden, wie Sammeln, Aufzeichnen, Organisieren, Segmentieren, Speichern, Umwandeln oder Verändern, Abfrage, Zugriff, Verwendung, Kommunikation, Übertragung, Verteilung oder auf andere Weise durch Bereitstellen, Koordinieren oder Verbinden, Begrenzen, Löschung oder Vernichtung.

c) Datenverwalter: die natürliche oder juristische Person, Behörde, Agentur

oder jede andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet bestimmt selbstständig oder gemeinsam mit anderen; wenn die Zwecke und Mittel der Datenverwaltung sind

Das Recht der EU oder der Mitgliedstaaten bestimmt den Datenverantwortlichen oder den Datenverantwortlichen

Das EU-Recht oder das Recht der Mitgliedstaaten legt auch besondere Erwägungen für seine Benennung fest kannst du definieren.

d) Auftragsverarbeiter: die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verwaltet.

e) Empfänger: die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die oder mit der die personenbezogenen Daten übermittelt werden, unabhängig davon, ob es sich um einen Dritten handelt. Jene öffentlichen Stellen, die Teil einer individuellen Untersuchung sind Zugang zu personenbezogenen Daten gemäß dem Recht der EU oder der Mitgliedstaaten haben, gelten nicht als Empfänger; die Verwaltung dieser Daten durch diese Behörden es muss den Zwecken der Datenverwaltung in Übereinstimmung mit dem anwendbaren entsprechen Datenschutzregeln.

f) Dritter: die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die nicht mit der betroffenen Person, dem für die Datenverarbeitung Verantwortlichen, identisch ist mit einem Datenverarbeiter oder den Personen, die die Datenverantwortlichen sind Berechtigung zum Umgang mit personenbezogenen Daten unter der direkten Kontrolle eines Datenverarbeiters Sie haben.

g) Registrierungssystem: personenbezogene Daten in irgendeiner Weise – zentralisiert, dezentral oder nach funktionalen oder geografischen Gesichtspunkten – sein Personal, die nach bestimmten Kriterien zugänglich ist.

h) Datenschutzvorfall: eine Sicherheitsverletzung, die übertragen, gespeichert oder übertragen wird versehentliche oder rechtswidrige Vernichtung von auf andere Weise behandelten personenbezogenen Daten, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugriff darauf führt zum Zugriff.

i) Vertreter: die Person mit Geschäftssitz oder Wohnsitz in der Europäischen Union Inhaber und vom Datenverwalter oder Datenverarbeiter schriftlich gemäß Artikel 27 benannte natürliche oder juristische Person, die für die Datenverarbeitung verantwortlich ist Datenverarbeiter repräsentiert den Datenverwalter oder Datenverarbeiter in dieser Verordnung in Bezug auf Verpflichtungen gem

j) Unternehmen: eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt,

unabhängig von ihrer Rechtsform, einschließlich derjenigen, die einer regelmäßigen wirtschaftlichen Tätigkeit nachgehen Wiedervereinigungsunternehmen und Vereine.

Zusätzliche Konzepte:

k) Bestand an Datenbeständen: der Umfang der vom Datenverantwortlichen verwalteten personenbezogenen Daten und Dokument zur Beurteilung seiner Beschaffenheit.

l) technische und organisatorische Maßnahmen: Art der Datenverwaltung durch den Datenverantwortlichen, deren Umfang, Umstände und Zwecke sowie die Rechte natürlicher Personen und ein Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für Ihre Freiheiten

unter Berücksichtigung eines ordnungsgemäß definierten Verfahrens, um sicherzustellen, dass und

zum Zwecke des Nachweises, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO steht es passiert. Diese Maßnahmen werden vom Verantwortlichen überprüft und ggf

aktualisiert es.

V. Grundprinzipien des Datenmanagements

5. Das Unternehmen geht rechtmäßig und fair mit den Daten um, ebenso wie die betroffene Person für ihn nachvollziehbar durchgeführt wird (Rechtmäßigkeit, Fairness und Transparenz).

6. Das Unternehmen erhebt personenbezogene Daten nur auf festgelegte, eindeutige und legale Weise Zwecke und behandelt sie nicht in einer Weise, die mit diesen Zwecken nicht vereinbar ist (für Zwecke Zwang).

7. Das Unternehmen verwaltet Daten angemessen und relevant im Hinblick auf seinen/ihre(n) Zweck(e), und auf das Notwendige beschränkt (Datenspeicherung). Dementsprechend tut das Geschäft nicht sammelt und speichert nicht mehr Daten, als zur Erreichung des Zwecks der Datenverwaltung erforderlich sind obligatorisch.

8. Das Datenmanagement des Unternehmens ist korrekt und aktuell. Das Geschäft ist alles vernünftig ergreift Maßnahmen, um sicherzustellen, dass sie im Hinblick auf die Zwecke der Datenverwaltung ungenau sind personenbezogene Daten unverzüglich gelöscht oder berichtigt werden (Genauigkeit).

9. Das Unternehmen speichert personenbezogene Daten in einer für die betroffenen Personen relevanten Form identifiziert sie nur für die Zeit, die erforderlich ist, um die Ziele der Verwaltung personenbezogener Daten zu erreichen möglich, vorbehaltlich der in den einschlägigen Rechtsvorschriften festgelegten Aufbewahrungspflicht (begrenzter Speicherplatz).

10. Das Unternehmen stellt durch geeignete technische oder organisatorische Maßnahmen sicher

angemessene Sicherheit personenbezogener Daten, einschließlich des unbefugten Zugriffs auf personenbezogene Daten rechtswidrige Behandlung, zufälliger Verlust, Zerstörung oder Beschädigung Schutz vor (Integrität und Vertraulichkeit).

11. Das Unternehmen ist verantwortlich für die Einhaltung der oben aufgeführten Grundprinzipien und Unternehmen die Einhaltung nachweist (Rechenschaftspflicht). In diesem Sinne das Geschäft stellt die kontinuierliche Durchsetzung der Bestimmungen dieser Geschäftsordnung sicher, d.h

über die kontinuierliche Überprüfung seines Datenmanagements und ggf. der Datenmanagementverfahren seine Änderung und Ergänzung. Das Geschäft ist für die gesetzlichen Verpflichtungen erstellt die Dokumentation zum Nachweis der Konformität.

VI. Rechtsgrundlagen für die Datenverwaltung

12. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn und soweit mindestens

13-18 eine der unter Punkt genannten Rechtsgrundlagen erfüllt ist:

13. Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt (im Folgenden: einwilligungsbasierte Datenverwaltung).

14. Die Datenverwaltung ist notwendig, um einen Vertrag zu erfüllen, dessen Vertragspartei die betroffene Person ist Vertragspartei oder die auf Wunsch der betroffenen Person vor Vertragsschluss getroffenen Maßnahmen hierfür erforderlich (im Folgenden: Auftragsdatenverwaltung).

15. Die Datenverwaltung ist notwendig, um die rechtliche Verpflichtung gegenüber dem Unternehmen zu erfüllen (nachfolgend: Datenverwaltung aufgrund gesetzlicher Verpflichtung).

16. Die Datenverwaltung dient den lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person die zu ihrem Schutz erforderlich sind (im Folgenden: Datenverwaltung auf der Grundlage lebenswichtiger Interessen).

17. Die Datenverwaltung liegt im öffentlichen Interesse oder ist eine dem Unternehmen erteilte behördliche Genehmigung die für die Erfüllung einer im Rahmen ihrer Wahrnehmung durchgeführten Aufgabe erforderlich sind (im Folgenden:

Datenverwaltung aufgrund behördlicher Genehmigung).

18. Datenverwaltung zur Durchsetzung berechtigter Interessen des Unternehmens oder eines Dritten

erforderlich, es sei denn, die Interessen der betroffenen Person überwiegen diese Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, insbesondere wenn es sich bei dem betroffenen Kind um ein Kind handelt (im Folgenden: Datenverarbeitung aufgrund berechtigten Interesses).

19. Es gibt immer nur ein Unternehmen in Bezug auf die Verwaltung bestimmter personenbezogener Daten führt die Datenverwaltung auf der Grundlage einer gesetzlichen Grundlage durch. Die Rechtsgrundlagen der Datenverarbeitung können sich während der Datenverarbeitung ändern.

VII. Bestandsaufnahme von Datenbeständen

20. Das Unternehmen hält sich an die DSGVO und technische und organisatorische Maßnahmen gemäß den gesetzlich vorgeschriebenen Verpflichtungen erstellt ein Inventar von Datenbeständen. Das Datenbestandsinventar umfasst das Geschäft alle von verwalteten Datenbereiche, die einen Anhang zu diesem Reglement bilden.

21. Im Zusammenhang mit den Datenverwaltungsaktivitäten des Unternehmens im Datenbestandsverzeichnis

Folgendes ist definiert:

a) der Name des Elements des Datenassets

b) Datenbestände

c) Zweck der Datenverwaltung

d) die Rechtsgrundlage für die Datenverwaltung

e) Dauer der Datenverwaltung

f) den Interessenkreis

g) wer Zugriff auf personenbezogene Daten innerhalb der Organisation des Unternehmens hat

h) Art und Ort der Speicherung

i) an wen die Daten übermittelt werden können

j) Zweck der Datenverarbeitung durch den Auftragsverarbeiter

k) Datum der Stornierung

VIII. Die Rechte der betroffenen Person und deren Durchsetzung

22. Gemäß den Bestimmungen der DSGVO stellt das Unternehmen den betroffenen Personen Folgendes zur Verfügung für.

Recht auf Information

23. Das Auskunftsrecht gilt für alle Rechtsgrundlagen der Datenverarbeitung betroffen.

24. Das Geschäft ist prägnant, transparent, verständlich und leicht zugänglich, klar und deutlich

informiert Betroffene verständlich.

25. Die Informationen schriftlich oder auf andere Weise - gegebenenfalls auch auf elektronischem Weg müssen eingegeben werden.

Informationen auf Anfrage der betroffenen Person

26. Auf Wunsch der betroffenen Person kann auch eine mündliche Auskunft erteilt werden, sofern sie auf andere Weise nachgewiesen wurde die Identität der betroffenen Person.

27. Die Verpflichtung unverzüglich, aber in jedem Fall die Anfrage informiert die betroffene Person innerhalb von 30 Tagen nach Erhalt über andere Rechte der betroffenen Person über Maßnahmen, die auf Anfrage eines relevanten Interessenträgers ergriffen wurden.

28. gegebenenfalls unter Berücksichtigung der Komplexität des Antrags und der Anzahl der Anträge, 30 Tagesfrist kann um weitere 60 Tage verlängert werden. Zur Verlängerung der Frist a Unternehmen unter Angabe der Gründe für die Verzögerung 30 Tage nach Eingang des Antrags informiert die betroffene Person innerhalb von Tagen. Hat die betroffene Person den Antrag elektronisch gestellt,

die Auskunft ist nach Möglichkeit elektronisch zu erteilen, es sei denn, die betroffene Person tut dies

fragt anders.

29. Informationen und Maßnahmen müssen kostenlos zur Verfügung gestellt werden.

30. Wenn die Anfrage der betroffenen Person offensichtlich unbegründet ist oder - insbesondere wiederholt aufgrund – übermäßiger, so das Unternehmen, unter Berücksichtigung der Bereitstellung der angeforderten Informationen oder Informationen oder für die mit der Ergreifung der beantragten Maßnahme verbundenen Verwaltungskosten:

a) eine angemessene Gebühr erheben kann, oder

b) kann sich weigern, aufgrund der Anfrage Maßnahmen zu ergreifen.

31. Der Nachweis, dass der Antrag eindeutig unbegründet oder übertrieben ist, ist Sache

belastet ist.

Pflichtangaben

32. Wenn das Unternehmen die Daten direkt von der betroffenen Person (inkl. insbesondere Kunden), wird das Unternehmen auf jeden Fall Auskunft über Folgendes geben:

a) die Identität des Vertreters des Unternehmens, falls vorhanden, und

Ihre Kontaktinformationen;

b) die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden;

c) den Zweck der geplanten Verarbeitung personenbezogener Daten sowie die Rechtsgrundlage für die Datenverarbeitung

d) im Falle einer Datenverarbeitung aufgrund berechtigten Interesses ist das Unternehmen oder ein Dritter berechtigt seine Interessen;

e) gegebenenfalls die Empfänger personenbezogener Daten

f) gegebenenfalls die Tatsache, dass sich das Unternehmen in einem Drittland befindet personenbezogene Daten an eine internationale Organisation übermitteln möchte,

33. Zum Zeitpunkt der ersten Erhebung personenbezogener Daten ist das Unternehmen zusätzlich zu den oben genannten informiert die Betroffenen auch über Folgendes:

a) über die Dauer der Speicherung personenbezogener Daten

b) über das Recht der betroffenen Person, vom Unternehmen die entsprechenden Informationen zu verlangen Zugang zu personenbezogenen Daten, deren Korrektur, die zu bestimmten Rechtsgrundlagen gehören bei Datenverwaltung, Löschung oder Einschränkung der Verarbeitung sowie aus bestimmten Rechtsgründen im Falle der Datenverarbeitung gehören sowie das Recht der betroffenen Person auf Datenübertragbarkeit;

c) der einwilligungsbasierten Datenverwaltung jederzeit zu widersprechen Recht, das die vor dem Widerruf erteilte Einwilligung nicht berührt Rechtmäßigkeit der Datenverwaltung;

d) an die Aufsichtsbehörde (Nationale Datenschutzbehörde, im Folgenden: Behörde oder NAIH) zum Recht des Adressaten, eine Beschwerde einzureichen;

e) darüber, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist ob sie auf einer Verpflichtung oder Voraussetzung für den Vertragsschluss beruht und ob die betroffene Person verpflichtet ist, personenbezogene Daten bereitzustellen, und wie dies möglich ist. Die Nichtbereitstellung von Daten kann Folgen haben.

34. Wenn das Unternehmen die personenbezogenen Daten für einen anderen Zweck als den Zweck ihrer Erhebung verwendet beabsichtigt, eine Datenverwaltung durchzuführen, informiert die betroffene Person darüber vor der weiteren Datenverwaltung des unterschiedlichen Zwecks und alle relevanten zusätzlichen Informationen.

Zugangsrecht

35. Die betroffene Person hat Anspruch auf Auskunft in Bezug auf alle Rechtsgrundlagen für die Datenverwaltung.

36. Die betroffene Person hat das Recht, vom Unternehmen eine Rückmeldung zu erhalten

ob Ihre personenbezogenen Daten verarbeitet werden und ob solche Daten verarbeitet werden

ist berechtigt, auf personenbezogene Daten und die folgenden Informationen zuzugreifen

erhalten:

a) die Zwecke der Datenverwaltung;

b) betroffene Kategorien personenbezogener Daten;

c) die Adressaten oder Kategorien von Adressaten, mit denen oder mit denen die personenbezogenen Daten übermittelt werden bereitgestellten oder vom Unternehmen bereitgestellten Daten

d) gegebenenfalls die geplante Dauer der Speicherung personenbezogener Daten

e) das Recht der betroffenen Person, vom Unternehmen die entsprechenden Informationen zu verlangen

Berichtigung personenbezogener Daten, sofern die Datenverarbeitung an bestimmte Rechtsgrundlagen gebunden ist Löschung von Daten oder Einschränkung der Verarbeitung sowie die an bestimmte Rechtsgrundlagen gebundene Datenverarbeitung

Sie können der Verarbeitung dieser personenbezogenen Daten widersprechen;

f) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen;

g) wenn die Daten nicht bei der betroffenen Person erhoben wurden, alles über ihre Quelle

verfügbare Information;

h) die Tatsache einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie mindestens in diesen Fällen die angewandte Logik und verständliche Informationen darüber, die Bedeutung einer solchen Datenverwaltung und wie sie für die betroffene Person ist hat zu erwartende Folgen.

37. Das Unternehmen stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Datenverwaltung sind zur Verfügung stellt.

38. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, trägt das Unternehmen die Verwaltungskosten kann eine angemessene Gebühr auf der Grundlage der Preisgestaltung des Unternehmens erheben Verordnungen, andere Verordnungen oder andere Dokumente.

Recht auf Berichtigung

39. Das Recht auf Berichtigung gilt für alle Rechtsgrundlagen der Datenverarbeitung betroffen.

40. Das Unternehmen, im Falle einer diesbezüglichen Anfrage der betroffenen Person, unverzüglich

berichtigt unrichtig behandelte personenbezogene Daten der betroffenen Person. Die betroffenen

Sie haben das Recht, eine zusätzliche Erklärung unvollständiger personenbezogener Daten zu verlangen durch seinen Zusatz.

Recht auf Löschung

41. Das Recht auf Löschung (Vergessenheit) steht nicht automatisch der betroffenen Person zu, alles

hinsichtlich der Datenverwaltung in Bezug auf Rechtsgrundlagen.

42. Das Unternehmen löscht die personenbezogenen Daten der betroffenen Person unverzüglich

Daten, wenn einer der folgenden Gründe vorliegt:

a) Die personenbezogenen Daten werden für den Zweck, für den sie erhoben wurden, nicht mehr benötigt erhoben oder anderweitig verarbeitet;

b) die betroffene Person widerruft die Einwilligung, die die Grundlage der Datenverwaltung bildet

(im Falle einer einwilligungsbasierten Datenverwaltung) und es keine andere Rechtsgrundlage für die Datenverwaltung gibt;

c) die betroffene Person widerspricht der Datenverarbeitung und es liegt kein zwingender Rechtsgrund vor im Fall der Datenverwaltung auf die Datenverwaltung angewandte Rechtsgrundlagen gemäß den Punkten 17 und 18 (Datenverwaltung aufgrund behördlicher Genehmigung oder berechtigtem Interesse)

d) die personenbezogenen Daten wurden rechtswidrig verarbeitet;

e) die personenbezogenen Daten im für das Unternehmen geltenden Recht der EU oder der Mitgliedstaaten müssen gelöscht werden, um eine vorgeschriebene gesetzliche Verpflichtung zu erfüllen;

43. Das Unternehmen wird dem Löschungsantrag der betroffenen Person nicht nachkommen, wenn die Datenverwaltung die für das Unternehmen geltenden Rechtsvorschriften, die die Verwaltung personenbezogener Daten vorschreiben, erforderlich sind um die Verpflichtung zu erfüllen.

44. Wenn das Unternehmen einen Löschungsantrag erhält, das Unternehmen in einem ersten Schritt

prüft, ob der Löschungsantrag wirklich vom Rechteinhaber stammt. Um das tun zu können,

Ein Unternehmen kann verlangen, dass der Vertrag zwischen der betroffenen Person und dem Unternehmen identifiziert wird dienende Daten (z. B. Vertragsnummer, Vertragsdatum), für die betroffene Person das Unternehmen die Identifikationsnummer des ausgestellten Dokuments, persönliche Identifikationsdaten der betroffenen Person eingeben (das Unternehmen darf jedoch keine zusätzlichen Daten zur Identifizierung anfordern, dass es erfasst die betroffene Person nicht).

45. Wenn das Unternehmen dem Löschungsverlangen nachkommen muss, ist es dazu verpflichtet

alles tun, um personenbezogene Daten aus allen Datenbanken zu löschen Gemieden werden.

46. Das Unternehmen führt eine Aufzeichnung der Löschung, um sicherzustellen, dass die Löschung erfolgt kann ihr Vorkommen nachweisen. Das Protokoll wird vom Vertreter des Unternehmens oder der/den Person(en) unterzeichnet.

unterschrieben von denjenigen, die aufgrund ihrer Stellenbeschreibung dazu berechtigt sind. Die Löschung Protokoll enthält:

a) den Namen der betroffenen Person

b) Art der gelöschten personenbezogenen Daten

c) das Datum der Löschung.

47. Das Unternehmen informiert alle, für die a personenbezogene Daten übermittelt wurden.

Das Recht auf Einschränkung der Datenverarbeitung

48. Das Recht auf Einschränkung gilt für alle Rechtsgrundlagen der Datenverarbeitung betroffen.

49. Das Unternehmen schränkt die Datenverarbeitung auf Wunsch der betroffenen Person ein, wenn einer der folgenden Punkte zutrifft ist erfüllt:

a) die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten, in diesem Fall gilt die Einschränkung bezieht sich auf einen Zeitraum, der es dem Unternehmen ermöglicht, das zu überprüfen

Richtigkeit personenbezogener Daten;

b) die Datenverwaltung ist rechtswidrig und die betroffene Person widersetzt sich der Löschung der Daten und fordert sie stattdessen an Einschränkung ihrer Verwendung;

c) das Unternehmen benötigt keine personenbezogenen Daten mehr für Datenverwaltungszwecke, die betroffene Person sie jedoch zur Geltendmachung oder Geltendmachung von Rechtsansprüchen benötigt bzw beschützen;

Besessenheit

F).

(Datenverarbeitung aufgrund behördlicher Anordnung oder berechtigtem Interesse) widersprochen

gegen Datenverwaltung; in diesem Fall gilt die Verjährung für den Zeitraum bis es ist nicht festgestellt, ob die legitimen Gründe des Geschäfts überwiegen gegen die betreffenden berechtigten Gründe.

50. Wenn die Datenverwaltung Einschränkungen aufgrund des vorherigen Punktes unterliegt, sind diese personenbezogenen Daten a mit Ausnahme der Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen, zur Durchsetzung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen zu ihrem Schutz oder im wichtigen öffentlichen Interesse der Europäischen Union oder eines Mitgliedstaats gehandhabt werden können.

51. Das Unternehmen informiert alle Personen, für die die personenbezogenen Daten gelten, über die Verpflichtung weitergeleitet wurde.

Protest

52. Das Protestrecht beruht auf einer öffentlichen Stelle oder einem berechtigten Interesse

Datenverwaltung basierend auf Rechtsgrundlagen für die Datenverwaltung.

53. Im Falle eines Protestantrags der betroffenen Person stellt das Unternehmen keine personenbezogenen Daten zur Verfügung darf diese weiterhin verarbeiten, es sei denn, Sie weisen die Rechtmäßigkeit der Datenverarbeitung mit solcher zwingender Kraft nach aus Gründen gerechtfertigt sind, die Vorrang vor den Interessen, Rechten und gegen Ihre Freiheiten oder zur Geltendmachung oder Durchsetzung von Rechtsansprüchen beziehen sich auf seinen Schutz.

54. Wenn personenbezogene Daten verarbeitet werden, um Direktgeschäfte zu erhalten, ist es die betroffene Person ist berechtigt, der Verarbeitung seiner personenbezogenen Daten zu diesem Zweck jederzeit zu widersprechen gegen Behandlung.

55. Wenn die betroffene Person der Verarbeitung personenbezogener Daten für Zwecke der direkten Geschäftsakquise widerspricht gegen seine Verarbeitung, so dürfen die personenbezogenen Daten für diesen Zweck nicht mehr verarbeitet werden.

Das Recht, eine Beschwerde einzureichen

Wenn Sie einen Antrag auf Auskunft, Berichtigung, Einschränkung oder Löschung stellen erfolgt oder ein Protest gegen die Datenverwaltung erfolgt, die Anfrage aber nicht bearbeitet wird

Es ist möglich, eine Beschwerde bei der Gesellschaft einzureichen.

Der Geschäftsführer des Unternehmens ist mit der Datenverwaltung des zum Unternehmen kommenden Datenverantwortlichen verbunden untersucht die Beschwerde innerhalb von 8 Tagen und informiert den Beschwerdeführer über die Ergebnisse der Untersuchung informiert.

Wenn der Manager im Zusammenhang mit der eingegangenen Beschwerde Maßnahmen ergreifen muss feststellt, so wird die Maßnahme spätestens 15 Tage nach der Untersuchung ergriffen und teilt dies dem Beschwerdeführer mit.

Recht auf Datenübertragbarkeit

56. Das Recht auf Datenübertragbarkeit basiert auf einer Einwilligung oder einem Vertrag

Im Falle einer Rechtsgrundlage für die Datenverarbeitung hat die betroffene Person Anspruch darauf, wenn die Datenverarbeitung automatisiert erfolgt es passiert.

57. Das Unternehmen stellt sicher, dass es für das von ihm betroffene Unternehmen besorgt ist

bereitgestellte personenbezogene Daten segmentiert, weit verbreitet und maschinenlesbar sind

Format, und dass diese Daten an einen anderen Datenverantwortlichen weitergegeben werden

weiterleiten.

Das Recht auf Beschwerde bei den Behörden

Im Falle einer anstößigen Datenverwaltung gilt das Bundesdatenschutz- und Informationsfreiheitsgesetz

Sie können sich an die Behörden wenden. Kontaktdaten der Behörde:

H-1530 Budapest, Pf.:5

H-1125 Budapest, Szilágyi Erzsébet fasor 22/C

+36 1 3911400

ugyfelszolgalat@naih.hu

IX. Registrierung von Datenverwaltungsaktivitäten

58. Das Unternehmen ist dafür verantwortlich, Aufzeichnungen über Datenverwaltungsaktivitäten zu führen Sie wird ihrem Grundsatz nach durchgeführt, um die Einhaltung der DSGVO zu überwachen

Sie können es verfolgen und Sie können es überprüfen.

59. Das Unternehmen muss zumindest über die unter seiner Verantwortung durchgeführten Datenverwaltungsaktivitäten Bericht erstatten führt folgende Aufzeichnungen:

a) Aufzeichnung der Datenübertragung

b) Anfragen zur Durchsetzung von Stakeholder-Rechten und solchen, die vom Unternehmen gewährt werden

Aufzeichnung der Antworten

c) Register der offiziellen Anfragen und der Antworten des Unternehmens

d) Registrierung von Anträgen auf Beendigung der Datenverwaltung

e) Kundenregister

f) Registrierung von Anfragen zu Marketingzwecken

g) Aufzeichnung der Verwaltung personenbezogener Daten im Zusammenhang mit dem Arbeitsverhältnis

h) Beschäftigungsnachweis

i) Aufzeichnung von Datenschutzvorfällen.

60. Das Geschäft wurde gemäß seiner Verantwortung, wie in Punkt 59 definiert, abgeschlossen

führt Aufzeichnungen über Datenverwaltungsaktivitäten mit folgendem Inhalt:

a) Name und Kontaktinformationen des Unternehmens und, falls vorhanden, des Unternehmens

Name und Kontaktdaten Ihres Vertreters und des Datenschutzbeauftragten;

b) die Zwecke der Datenverwaltung;

c) Kategorien betroffener Personen und Kategorien personenbezogener Daten

Beschreibung;

d) Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt werden oder noch mitgeteilt werden sollen

Sie werden

e) gegebenenfalls personenbezogene Daten an ein Drittland oder eine internationale Organisation

Informationen bezüglich ihrer Übermittlung an;

f) wenn möglich die Fristen für die Löschung der verschiedenen Datenkategorien;

g) möglichst eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

61. Aufzeichnungen werden vom Unternehmen schriftlich, auf Papier oder elektronisch geführt

Format.

X. Datenschutzbestimmungen

62. Das Unternehmen ist der Stand von Wissenschaft und Technik und die Kosten der Umsetzung, und es ist Art, Umfang, Umstände und Zwecke der Datenverwaltung sowie die Rechte natürlicher Personen und Freiheiten unter Berücksichtigung des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass das Risiko gewährleistet ein angemessenes Maß an Datensicherheit.

63. Gemäß dem Vorstehenden ist das Unternehmen verpflichtet, die Vertraulichkeit der von ihm verwalteten Daten zu gewährleisten, Integrität und Verfügbarkeit.

64. Um das angemessene Maß an Datensicherheitsmaßnahmen zu bestimmen, muss das Unternehmen bewertet jede Datei in ihrer Verwaltung unter dem Gesichtspunkt der Schutzbedürftigkeit, und wird als Sicherheitsstufe eingestuft.

65. Um das Sicherheitsniveau der individuellen Datenverwaltung zu bestimmen, muss Folgendes analysiert werden:

a) durch unbefugten Zugriff auf oder Änderung der verarbeiteten personenbezogenen Daten,

das mit seiner Löschung verbundene Risiko, Schäden an Hardware- und Softwaregeräten und die erwarteten Schaden;

b) ob die beschädigte Datendatei wiederhergestellt werden kann, sowie ggf

Wiederherstellungskosten, Datenquellen, die zur Reproduktion personenbezogener Daten erforderlich sind Verfügbarkeit, um die verlorenen Daten aus dem manuellen Hintergrundregister zu ersetzen

Gelegenheit;

c) ob es angesichts der Art der verarbeiteten personenbezogenen Daten gerechtfertigt ist differenzierte Sicherheitsstandards anwenden;

d) andere Risikoelemente, die die Datensicherheit gefährden;

66. Um die Sicherheit der Datenverwaltung zu implementieren, muss das Unternehmen über physische, logische und wendet Verwaltungskontrollen gemeinsam an.

67. Das Unternehmen wendet mindestens die folgenden physischen Kontrollen an:

a) das Geschäft von ihm sowohl elektronisch als auch auf Papier geführt wird

Um unbefugten Zugriff auf Daten zu vermeiden, stellt sicher, dass die verwalteten Daten dürfen nicht physisch von Unbefugten eingesehen werden (Büroschließung;

Platzierung von Monitoren so, dass die darauf befindlichen Daten nur genutzt werden können

autorisierte Personen können es sehen; können nur vom Unternehmen geprüfte Datenträger sein

Verbindung zu Computern).

68. Das Unternehmen wendet mindestens die folgenden logischen Kontrollen an:

a) Das Unternehmen stellt sicher, dass die von ihm verwalteten Daten ausschließlich für

Personen mit entsprechender Berechtigung können darauf zugreifen (Berechtigungsstufen

Definition nach Beruf; Zugang zu Computerdatenbanken angemessene Einstellung der Berechtigungsstufen; für das interne Computernetzwerk

69. Das Unternehmen wendet mindestens die folgenden Verwaltungskontrollen an:

a) Das Unternehmen stellt sicher, dass jeder Zugriff auf personenbezogene Daten erfolgt

in der Dokumentation nachvollziehbar sein

70. Aufbewahrung von Papierdokumenten mit personenbezogenen Daten und

Ort der Archivierung: am Sitz in H- 1202 Budapest, Naszód utca 19

abschließbarer Aktenschrank im Vorstandsbüro. Der für die zentrale Datenspeicherung geeignete Rechner,

die durch ein Passwort geschützt ist und nur im Besitz des Geschäftsführers ist, mit Sitz in: H-1202 Budapest,

Die Büroräume der Immobilie im Vorstandsbüro in der Naszód-Straße 19 sowie die

im persönlichen Besitz der Exekutive.

XI. Management von Datenschutzvorfällen

71. In Ermangelung angemessener und rechtzeitiger Maßnahmen ist der Datenschutzvorfall physischer oder materieller Natur oder kann natürlichen Personen immateriellen Schaden zufügen, einschließlich Personenschäden der Verlust der Kontrolle über ihre Daten oder die Einschränkung ihrer Rechte, das Nachteilige Diskrimininierung, Identitätsdiebstahl oder Identitätsmissbrauch,

Vermögensschaden, Rufschädigung, geschützt durch die Verpflichtung zur Berufsverschwiegenheit

Verletzung der Vertraulichkeit personenbezogener Daten oder der betreffenden natürlichen Person

sonstiger erheblicher wirtschaftlicher oder sozialer Nachteil von Personen.

72. Das Unternehmen meldet den Datenschutzvorfall unverzüglich und, sofern möglich, spätestens 72 Stunden nach Bekanntwerden des Datenschutzvorfalls, der Behörde.

73. Der Datenschutzvorfall muss der Behörde nicht gemeldet werden, wenn der Datenschutzvorfall vorliegt wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt anschauen.

74. Wenn die Benachrichtigung nicht innerhalb von 72 Stunden erfolgt, a Gründe für die Verzögerung.

75. Wenn es erforderlich ist, den Datenschutzvorfall der Behörde zu melden, so in der Ankündigung:

a) die Art des Datenschutzvorfalls muss beschrieben werden, einschließlich - wenn möglich -

die Kategorien und ungefähre Anzahl der Betroffenen sowie die von dem Vorfall betroffenen Daten

Kategorien und ihre ungefähre Anzahl;

b) müssen vom Datenschutzbeauftragten oder einer anderen Person mitgeteilt werden, die zusätzliche Informationen bereitstellt Kontaktname und Kontaktinformationen;

c) das voraussichtliche Ergebnis des Datenschutzvorfalls muss beschrieben werden Folgen;

d) die vom Unternehmen ergriffenen Maßnahmen zur Behebung des Datenschutzvorfalls sind zu beschreiben geplante Maßnahmen, gegebenenfalls auch aufgrund des Datenschutzvorfalls Maßnahmen zur Minderung möglicher nachteiliger Folgen.

76. Wenn der Datenschutzvorfall voraussichtlich mit einem hohen natürlichen Risiko verbunden ist im Hinblick auf die Rechte und Freiheiten von Personen, das Unternehmen unverzüglich informiert die betroffene Person über den Datenschutzvorfall.

77. In den Informationen nach Nummer 75 muss die betroffene Person klar und verständlich vorgestellt werden die Art des Datenschutzvorfalls, und Folgendes muss offengelegt werden:

a) den Datenschutzbeauftragten oder eine andere Kontaktperson, die zusätzliche Informationen bereitstellt Ihr Name und Ihre Kontaktdaten;

b) muss das voraussichtliche Ergebnis des Datenschutzvorfalls beschrieben werden Folgen;

c) die vom Unternehmen ergriffenen Maßnahmen zur Behebung des Datenschutzvorfalls sind zu beschreiben geplante Maßnahmen, gegebenenfalls auch aufgrund des Datenschutzvorfalls Maßnahmen zur Minderung möglicher nachteiliger Folgen.

78. Die betroffene Person muss nicht informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:

a) das Unternehmen angemessene technische und organisatorische Schutzmaßnahmen implementiert hat Umsetzung und diese Maßnahmen die von dem Datenschutzvorfall betroffenen Daten insbesondere wurden Maßnahmen wie Verschlüsselung angewendet Anwendung - die nicht berechtigt sind, auf personenbezogene Daten zuzugreifen sie machen die Daten für Personen unverständlich;

b) das Unternehmen nach dem Datenschutzvorfall zusätzliche Maßnahmen ergriffen hat,

die gewährleisten, dass über die Rechte und Freiheiten der betroffenen Person berichtet wird, die hoch Risiko wird in Zukunft wahrscheinlich nicht eintreten;

c) Die Bereitstellung von Informationen würde einen unverhältnismäßigen Aufwand erfordern. In solchen Fällen ist es so Stakeholder müssen durch öffentlich veröffentlichte Informationen oder ähnliches informiert werden es muss eine ähnliche Maßnahme ergriffen werden, die sicherstellt, dass die Betroffenen ähnlich wirksam sind Information.

79. Wenn das Unternehmen einen Datenverarbeiter beschäftigt, dann im Datenverarbeitungsvertrag

es muss festgelegt werden, dass der Auftragsverarbeiter verpflichtet ist, auf den aufgetretenen Datenschutzvorfall zu reagieren sofort das Unternehmen informieren.

XII. Verwaltung von Kundendaten

80. Im Falle der Verwaltung personenbezogener Daten auf der Grundlage des berechtigten Interesses des Unternehmens die DSGVO nach seinen bestimmungen ist folgende interessenfeststellungsprüfung durchzuführen:

a) Gegenstand der Datenverwaltung

b) Feststellung der Rechtsgrundlage des berechtigten Interesses

c) die zu verarbeitenden personenbezogenen Daten

d) Zweck der Datenverwaltung

e) Nennung des berechtigten Interesses des Unternehmens

f) welche Rechte der betroffenen Personen verletzt werden können

g) Interessenabwägung

h) welche Maßnahmen und Garantien das Unternehmen für die auf diese Weise erhobenen Daten anwendet um personenbezogene Daten angemessen zu schützen.

XIII. Beschäftigungsbezogenes Datenmanagement

81. Das Unternehmen, in Bezug auf Bewerbungen, unter Angabe der Kontaktinformationen

enthält Bestimmungen zu Datenverwaltungsinformationen in der Stellenbewerbung.

82. Wenn das Unternehmen die Stellenbewerbung auch nach Besetzung der Stelle speichern möchte

der vom Stellenbewerber eingereichten Unterlagen, ist hierfür das Einverständnis des Stellenbewerbers einzuholen. Der Zustimmung als freiwillig, spezifisch, auf der Grundlage angemessener Informationen und es sollte klar sein. Dazu hat die Einwilligungserklärung mindestens das muss enthalten:

a) Identität und Kontaktdaten des Vertreters des Unternehmens;

b) den Zweck der geplanten Verarbeitung personenbezogener Daten [z. B. Folgeanfrage

zur Besetzung einer neu eröffneten Stelle] sowie die Rechtsgrundlagen für die Datenverwaltung

(beitragsbasiert);

c) die Dauer der Speicherung personenbezogener Daten;

d) das Recht der betroffenen Person, vom Unternehmen die entsprechende Anfrage zu stellen

Zugriff auf personenbezogene Daten, deren Berichtigung, Löschung oder Verwaltung

Einschränkung;

e) das Recht der betroffenen Person, ihre Einwilligung jederzeit zu widerrufen,

was jedoch die vor dem Widerruf erteilte Einwilligung nicht berührt Rechtmäßigkeit der Datenverwaltung;

f) über das Recht, eine Beschwerde an die Behörde zu richten.

83. Enthält die personenbezogenen Daten der nicht erfolgreichen Bewerber nach der Bewertung der Bewerbung Datenträger sind dem Antragsteller – auf Verlangen – innerhalb von 90 Tagen zurückzugeben, oder a über die Verwendung der personenbezogenen Daten des Bewerbers bei weiteren Ausschreibungen in Ermangelung Ihrer Zustimmung muss es vernichtet werden. Aufzeichnung der Vernichtung (Löschung) müssen erfasst werden.

84. Das Unternehmen verwaltet Mitarbeiterdaten auf der Grundlage der einschlägigen Bestimmungen von Mt Es wird in der in Mt, den in der DSGVO enthaltenen Datenverwaltungsgrundsätze, angegebenen Weise informiert in Übereinstimmung mit

85. Das Unternehmen informiert die Mitarbeiter über die von ihm verwendeten Informationen

in Bezug auf Auftragsverarbeiter über deren Identität und den Umfang der an sie übermittelten Daten.

86. Bei der Verarbeitung von Daten im Beschäftigungsverhältnis werden typischerweise die folgenden Rechtsgrundlagen verwendet entstehen können:

a) aufgrund eines Vertrages [Arbeitsvertrag]

b) aufgrund gesetzlicher Verpflichtung [z. B. Besteuerung, Unterhaltsabzug]

c) basierend auf berechtigtem Interesse [z. B. Daten im Zusammenhang mit Arbeitsplatzüberwachung].

87. Wenn das Unternehmen Daten auf der Grundlage von Punkt 85 c) der DSGVO verwaltet nach seinen Vorschriften ist in diesem Fall die nachfolgende Zinsfeststellungsprüfung erforderlich machen:

i) Name des berechtigten Interesses des Unternehmens

j) Wer sind die betroffenen Personen und welche Rechte werden verletzt?

k) Interessenabwägung

l) Welche Maßnahmen und Garantien wendet das Unternehmen auf die auf diese Weise erhobenen Daten an um personenbezogene Daten angemessen zu schützen.

88. Interessenabwägung bezüglich der Verwaltung des Umfangs der angegebenen personenbezogenen Daten

Test(s) müssen den Mitarbeitern zur Verfügung gestellt werden [z. B. über ein internes Netzwerk, als Anlage zu einem Arbeitsvertrag].

XIV. Bestimmungen zur Nutzung des Auftragsverarbeiters

89. Wenn die Datenverwaltung von jemand anderem im Auftrag des Unternehmens durchgeführt wird [z. B. Gehaltsabrechnung, Server, Service, Website-Betrieb], kann das Unternehmen nur solche Datenverarbeiter beauftragen von denen verwendet, die angemessene Garantien für die Datenverwaltung gemäß DSGVO bieten Gewährleistung der Einhaltung seiner Anforderungen und des Schutzes der Rechte der Betroffenen, angemessen technische und organisatorische Maßnahmen umzusetzen.

90. Der Datenverarbeiter wird ad hoc oder allgemein im Voraus schriftlich mitgeteilt

Sie dürfen ohne Ihre Genehmigung keine zusätzlichen Datenverarbeiter verwenden.

91. In Bezug auf die Datenverarbeitung durch den Datenverarbeiter, das Unternehmen und

ein Auftragsdatenverarbeitungsvertrag abgeschlossen wird. Gegenstand, Dauer und Art der Datenverwaltung in diesem Vertrag und deren Zweck, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und das Geschäft definiert Ihre Pflichten und Rechte.

92. Der Vertrag gemäß dem vorstehenden Punkt sieht insbesondere vor, dass der Datenverarbeiter:

a) personenbezogene Daten werden ausschließlich auf der Grundlage der schriftlichen Anweisungen des Unternehmens behandelt,

b) stellt sicher, dass die Personen berechtigt sind, mit personenbezogenen Daten umzugehen

eine Vertraulichkeitsverpflichtung oder eine angemessene Vertraulichkeit aufgrund von Gesetzen eingehen verpflichtet sind;

c) mindestens das vom Unternehmen geforderte Maß an Datensicherheit anwenden Mittel;

d) respektiert die Verwendung des oben genannten zusätzlichen Datenverarbeiters besagte Bedingungen;

e) angemessene technische und organisatorische, unter Berücksichtigung der Art der Datenverwaltung Maßnahmen im Rahmen des Möglichen, um das Unternehmen bei der Erfüllung zu unterstützen Anfragen im Zusammenhang mit der Ausübung der Rechte der betroffenen Person zu Ihrer Antwort;

f) hilft dem Unternehmen bei seinen Verpflichtungen im Rahmen des Datenschutzvorfalls

Leistung unter Berücksichtigung der Art der Datenverwaltung und des Datenverarbeiters Ihnen zur Verfügung stehende Informationen;

g) unternimmt dies im Falle eines Datenschutzvorfalls unverzüglich informiert das Unternehmen darüber;

h) nach Abschluss der Bereitstellung des Datenverwaltungsdienstes das Unternehmen

löscht oder gibt alle personenbezogenen Daten an das Unternehmen zurück, basierend auf seiner Entscheidung, und vorhandene Kopien löschen, es sei denn, das Recht der EU oder der Mitgliedstaaten ist personenbezogen erfordert die Speicherung von Daten.

93. Der Datenverarbeiter und die Person mit Zugang zu personenbezogenen Daten

Sie dürfen diese Daten nur gemäß den Anweisungen des Unternehmens handhaben.

XIV. Durchführungs- und Schlussbestimmungen

94. Dieses Reglement tritt am 25. Mai 2018 in Kraft.