POLITIK ZUM SCHUTZ DER PRIVATSPHÄRE UND ZUM DATENSCHUTZ


Der INTERNET GAZDA ÁRUHÁZ Handels- und Dienstleistungsunternehmen mit beschränkter Haftung (Sitz: 2310 Szigetszentmiklós, Csepeli út 15., Handelsregisternummer: 13-09-149602), im Folgenden als Anbieter bezeichnet, handelt als Datenverarbeiter gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung), die ab dem 25. Mai 2018 in Kraft tritt, und nimmt die folgende Datenschutz- und Datenverarbeitungsrichtlinie an.

1. BEGRIFFE
1.1. "Personenbezogene Daten": jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar gilt eine natürliche Person, die direkt oder indirekt anhand bestimmter Merkmale wie Name, Nummer, Standortdaten, Online-Kennung oder anhand eines oder mehrerer Faktoren, die die physische, physiologische, genetische, intellektuelle, wirtschaftliche, kulturelle oder soziale Identität der natürlichen Person betreffen, identifiziert werden kann.

1.2. "Datenverarbeitung": jede Operation oder Gesamtheit von Operationen, die an personenbezogenen Daten oder Datenbeständen automatisiert oder nicht automatisiert durchgeführt werden, einschließlich Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abfrage, Nutzung, Offenlegung, Übermittlung, Verbreitung oder anderweitige Bereitstellung, Zusammenführung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.

1.3. "Einschränkung der Datenverarbeitung": die Markierung personenbezogener Daten zur Begrenzung ihrer künftigen Verarbeitung.

1.4. "Profiling": jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der personenbezogene Merkmale, insbesondere zur Analyse oder Vorhersage von Faktoren wie Arbeitsleistung, wirtschaftlicher Lage, Gesundheitszustand, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Bewegung eines natürlichen Personen verwendet werden.

1.5. "Register": eine strukturierte Sammlung personenbezogener Daten, die in beliebiger Form – zentralisiert, dezentralisiert oder funktional – zugänglich sind, basierend auf bestimmten Merkmalen.

1.6. "Datenverantwortlicher": die INTERNET GAZDA ÁRUHÁZ Kft.

1.7. "Auftragsverarbeiter": eine natürliche oder juristische Person, Behörde oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1.8. "Empfänger": eine natürliche oder juristische Person, Behörde oder eine andere Stelle, an die personenbezogene Daten übermittelt werden, unabhängig davon, ob es sich um Dritte handelt.

1.9. "Dritte": eine natürliche oder juristische Person, Behörde oder eine andere Stelle, die nicht identisch ist mit der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter oder den Personen, die unter der unmittelbaren Kontrolle des Verantwortlichen oder des Auftragsverarbeiters zur Verarbeitung personenbezogener Daten ermächtigt sind.

1.10. "Einwilligung der betroffenen Person": der freiwillige, konkrete und informierte Ausdruck des Willens der betroffenen Person, der auf angemessener Information beruht und auf dem die betroffene Person durch eine eindeutige Erklärung oder eine sonstige bestätigende Handlung zu verstehen gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

1.11. "Datenschutzvorfall": eine Verletzung der Sicherheit, die zur unbeabsichtigten oder rechtswidrigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt.

1.12. "Genetische Daten": alle personenbezogenen Daten, die sich auf die erblichen oder erworbenen genetischen Merkmale einer Person beziehen und eindeutige Informationen über die physiologische oder gesundheitliche Situation der betreffenden Person enthalten, die hauptsächlich aus der Analyse einer biologischen Probe dieser Person stammen.

1.13. "Biometrische Daten": alle personenbezogenen Daten, die sich auf die körperlichen, physiologischen oder verhaltensbezogenen Merkmale einer Person beziehen und durch spezifische technische Verfahren gewonnen werden und die die eindeutige Identifizierung einer Person ermöglichen oder bestätigen, wie beispielsweise Gesichtsbilder oder Daktiloskopiedaten.

1.14. "Gesundheitsdaten": alle personenbezogenen Daten, die sich auf den körperlichen oder psychischen Gesundheitszustand einer Person beziehen, einschließlich solcher Daten, die Informationen über die Gesundheitsdienstleistungen für die betroffene Person enthalten.
2. DATENVERARBEITUNG UND DATENSCHUTZ
2.1. Personenbezogene Daten dürfen nur zu bestimmten, gesetzlich vorgeschriebenen Zwecken verarbeitet werden (Prinzip der Zweckbindung). Die Datenverarbeitung muss in allen Phasen dem definierten Zweck entsprechen.
2.2. Auf Antrag der betroffenen Person müssen diese klar und detailliert über alle Aktivitäten im Zusammenhang mit der Verarbeitung ihrer Daten informiert werden, insbesondere über die Quelle der Daten, den Verarbeitungszweck und die Rechtsgrundlage, den Namen und die Adresse des Verantwortlichen für die Datenverarbeitung und -verarbeitung, die Dauer der Datenverarbeitung, ob die personenbezogenen Daten der betroffenen Person vom Verantwortlichen für die Datenverarbeitung verarbeitet werden, wer die Daten einsehen kann, die Umstände eines Datenschutzvorfalls, dessen Auswirkungen und die ergriffenen Maßnahmen zur Behebung, sowie - im Falle der Übermittlung personenbezogener Daten - die Rechtsgrundlage und den Empfänger der Datenübermittlung. Die Informationen müssen auch die Rechte der betroffenen Person im Zusammenhang mit der Datenverarbeitung und die Möglichkeiten zur Geltendmachung dieser Rechte abdecken.
2.3. Der Dienstleister stellt sicher, dass nur diejenigen Mitarbeiter, Beauftragten, Unterauftragnehmer oder Datenverarbeiter Zugriff auf die Daten haben, bei denen die Zweckbindung als erfüllt angesehen werden kann.
2.4. Die Prüfung der Zweckbindung ist in jedem Fall Aufgabe und Verantwortung des Dienstleisters. Bei Anfragen zur Datenfreigabe muss der Antragsteller den Zweck der Anfrage stets angeben, und der Dienstleister ist verpflichtet zu prüfen, ob die angeforderten Daten unbedingt notwendig sind, um das angegebene Ziel zu erreichen. Dem Antragsteller dürfen nur Daten übergeben werden, die unbedingt erforderlich sind, um das Ziel zu erreichen. Wenn die Zweckbindung der Datenverarbeitung fraglich ist, ist der Dienstleister verpflichtet, die Stellungnahme des internen Datenschutzbeauftragten einzuholen.
2.5. Datensicherheit
2.5.1. Der Dienstleister muss während der gesamten Datenverarbeitung für angemessen hohe Sicherheitsstandards bei den verarbeiteten personenbezogenen Daten sorgen.
2.5.2. Zu diesem Zweck muss der Dienstleister in Bezug auf die verarbeiteten personenbezogenen Daten:
2.5.3. Während der Datenverarbeitung die sichere Aufbewahrung der Daten gewährleisten und nach Ablauf der Frist Maßnahmen zur physischen Vernichtung oder Löschung der Datensätze ergreifen.
2.5.4. Die erforderlichen persönlichen Zugriffsrechte laufend, in Bezug auf Art und Häufigkeit der Zugriffe und stichprobenartig überprüfen.
2.5.5. Die Daten werden teilweise auf Papierdatenträgern, in der Regel in Computersystemen, gespeichert. Die Lagerung von Papierdatenträgern erfolgt in einem von einem externen Datenverarbeiter betriebenen Archiv, auf das der vom Dienstleister benannte Datenverantwortliche und der Datenverarbeiter zugreifen können. Die Eingabe elektronischer Daten erfolgt am Hauptsitz des Dienstleisters und die Speicherung in Cloud-basierten Datenspeichern. Der Dienstleister schützt die Daten mit angemessenen Software-Sicherheitsmaßnahmen vor unbefugtem Zugriff, Änderung, Übertragung, Offenlegung, Löschung oder Vernichtung sowie vor versehentlicher Vernichtung und Beschädigung durch Änderung der angewandten Technik.
2.5.6. Der Dienstleister stellt sicher, dass die vorliegende Richtlinie und die Bestimmungen zur Verarbeitung personenbezogener Daten von den Mitarbeitern, Beauftragten und Unterauftragnehmern bekannt sind und eingehalten werden, und überwacht dies kontinuierlich.
2.5.7. Der Dienstleister überprüft, dass die von ihm verwalteten Daten auch nach ihrer Übertragung an einen anderen Datenverarbeiter, der für die sichere Verarbeitung der Daten sorgen kann, weiterhin ordnungsgemäß behandelt werden. In diesem Zusammenhang kann er die Stellungnahme des internen Datenschutzbeauftragten zu Fragen im Zusammenhang mit dieser Angelegenheit einholen.
2.5.8. Jeder Mitarbeiter des Dienstleisters ist verpflichtet, Unterlagen, die personenbezogene Daten enthalten, so aufzubewahren, dass Unbefugte keinen Zugriff auf die Daten haben.
3. DATENGRUPPEN
3.1. Persönliche Daten innerhalb der Organisationsstruktur des Anbieters können in folgenden Gruppen verarbeitet werden:
3.1.1.1. Kundendaten (Kundendaten);
3.1.1.2. Daten natürlicher Personen, die im Rahmen anderer vertraglicher Beziehungen zum Anbieter stehen (Partnerregister);
3.1.1.3. Daten der Mitarbeiter des Anbieters;
3.1.1.4. Daten im Zusammenhang mit den Direktmarketing-, Marktforschungs- und Meinungsforschungsaktivitäten des Anbieters, Datenregistern;
3.1.1.5. Daten für behördliche Meldungen;
3.1.1.6. Aufzeichnung von Datenschutzvorfällen.
3.2. Verarbeitung von Kundendaten (Kundendaten):
Die Verarbeitung, Speicherung und die Rechte der Kunden gemäß den Allgemeinen Geschäftsbedingungen des Anbieters sowie seinen Informationen für Verbraucher und seine Datenschutzerklärung gelten entsprechend diesem Datenschutz- und Datenverarbeitungsleitfaden.
3.3. Verarbeitung von Daten natürlicher Personen, die im Rahmen anderer vertraglicher Beziehungen zum Anbieter stehen (Partnerregister):
Bei der Verarbeitung von Daten natürlicher Personen, die im Rahmen anderer vertraglicher Beziehungen zum Anbieter stehen (z. B. Einzelunternehmer, Lieferanten, Unterauftragnehmer, Bevollmächtigte), müssen die Bestimmungen in Abschnitt 3.2 entsprechend angewandt werden, einschließlich der Meldung an das Datenschutzregister, mit der Ausnahme, dass die personenbezogenen Daten dieser Verträge getrennt von den Kundendaten aufgezeichnet werden (Partnerregister).
3.4. Verarbeitung und Aufzeichnung von Daten der Mitarbeiter des Anbieters:
3.4.1. In Bezug auf die Verarbeitung der Mitarbeiterdaten ist der Datenverantwortliche der Leiter des Anbieters. Es dürfen nur solche Daten von den Mitarbeitern angefordert und aufbewahrt werden, die für die Begründung, Aufrechterhaltung und Beendigung des Arbeitsverhältnisses sowie für die Bereitstellung von Sozialleistungen erforderlich sind und die Rechte der Mitarbeiter nicht verletzen.
3.4.2. Bei Mitarbeitern, die als "nicht geeignet" für ihre Position vom Betriebsmediziner bewertet wurden oder bei Mitarbeitern mit eingeschränkter Arbeitsfähigkeit, können im Rahmen des sogenannten Rehabilitationsverfahrens Meinungen des Expertenausschusses des Nationalen Rehabilitations- und Sozialamts (ORSZI, OOSZI, NRSZH) sowie ärztliche Abschlussberichte eingeholt und verarbeitet werden, die die Krankheit des Mitarbeiters detailliert auflisten. Diese Daten werden vom Anbieter verwaltet.
3.4.3. Im Fall von Abschnitt 3.4.2 kann jedoch vom Mitarbeiter auch eine Entscheidung des Landes- oder Hauptstadtregierungsamts für Rentenversicherung, die die Feststellung einer Erwerbsunfähigkeitsrente betrifft, eingeholt und verarbeitet werden.
3.4.4. Wenn es nach einem Vorstellungsgespräch, das nicht zu einem Arbeitsverhältnis führt, zur Löschung der Daten kommt, müssen die Daten des Betroffenen unverzüglich gelöscht werden, es sei denn, der Betroffene willigt schriftlich in die weitere Verarbeitung seiner Daten durch den Anbieter ein. Die so entstandenen personenbezogenen Daten werden vom Leiter des Anbieters verwaltet, wie in der schriftlichen Einwilligung des Betroffenen festgelegt.
3.4.5. Im Personaldatensatz kann der Anbieter folgende Informationen zu den Mitarbeitern (zusammen: Personalunterlagen) führen:
a) Die persönlichen Identifikationsdaten des Mitarbeiters, seine Staatsangehörigkeit, sein Geschlecht, seinen Wohnsitz, seinen Aufenthaltsort, seine Telefonnummer und seine E-Mail-Adresse;
b) Die Sozialversicherungsnummer (TAJ-Nummer), die Nummer des Personalausweises, die Steueridentifikationsnummer;
c) Die Bankkontonummer, die zur Gutschrift des Gehalts verwendet wird, mit Angabe des Bankinstituts;
d) Die für die Gehaltsabrechnung, Steuervorauszahlung und Sozialversicherungsabzüge erforderlichen Informationen, einschließlich des Namens und der persönlichen Daten der Kinder, die Anspruch auf Familienvergünstigungen haben, der schriftlichen Erklärung des Mitarbeiters zur Selbstversteuerung oder zur Ausübung anderer einkommensgenerierender Tätigkeiten, der Erklärung des Arbeitgebers zur Steuererklärung;
e) Beginn und Ende der Beschäftigung;
f) Die berufliche Tätigkeit des Mitarbeiters;
g) Bildung, Qualifikationen, Sprachkenntnisse, Kopien der entsprechenden Urkunden, den Studienvertrag;
h) Den Lebenslauf des Mitarbeiters;
i) Die Höhe des Gehalts und anderer Leistungen (z. B. Provisionen, Prämien, Bonuszahlungen), Daten zur Gehaltsabrechnung und zu anderen Leistungen;
j) Abzüge vom Gehalt des Mitarbeiters gemäß rechtskräftigem Beschluss oder gesetzlicher Bestimmung oder schriftlicher Zustimmung, sowie die Berechtigung hierzu;
k) Die Dauer der krankheitsbedingten Abwesenheit, die vom Mitarbeiter im Jahr des Beendigens des Arbeitsverhältnisses in Anspruch genommen wurde - dies stellt keine Gesundheitsdaten dar;
l) Daten zu regulären Urlaubstagen, regulären und außergewöhnlichen Arbeitszeiten, Urlaubsvergabe und anderen arbeitszeitbezogenen Vergünstigungen;
m) Weitere wesentliche Daten des Arbeitsvertrags mit dem Mitarbeiter (z. B. gewährte Vergünstigungen, die tägliche/monatliche Arbeitszeit des Mitarbeiters, Art des Vertrags);
n) Die Bewertung der Arbeit des Mitarbeiters;
o) Das Foto und das Videomaterial des Mitarbeiters;
p) Die Art und Gründe für das Ende des Arbeitsverhältnisses;
q) Je nach Stellenbeschreibung das Führungszeugnis;
r) Zusammenfassung der beruflichen Eignungsprüfungen;

s) Bei Mitgliedschaft in einer privaten Rentenversicherung und einer freiwilligen gegenseitigen Versicherungskasse sind der Name der Kasse, die Identifikationsnummer und die Mitgliedsnummer des Arbeitnehmers erforderlich;
t) In Fällen, in denen Mitarbeiter berechtigt sind, ein Fahrzeug zu nutzen, das sich im Besitz des Dienstleisters befindet und für die Ausübung ihrer beruflichen Verpflichtungen erforderlich ist, sind die Ortsdaten des Fahrzeugs erforderlich;
u) Daten, die von Sicherheits- und Überwachungskameras sowie Ortungssystemen erfasst wurden, die vom Dienstleister aus Sicherheits- und Schutzzwecken eingesetzt werden;
v) Alle anderen personenbezogenen Daten, deren Verarbeitung gesetzlich vorgeschrieben ist oder denen die betroffene Person zugestimmt hat. Dazu gehören insbesondere Daten, die für die Inanspruchnahme von Familiensteuervergünstigungen erforderlich sind, Daten zum eigenen Fahrzeug des Arbeitnehmers, Daten zur Zahlung von Sozialleistungen (Hilfe, Unterstützung für Wohnzwecke, Mietbeihilfe), Gutachten von Fachbehörden zur Arbeitsunfähigkeit, Gesundheitsschäden oder Behinderungen (ORSZI, OOSZI, NRSZH) oder Abschlussberichte mit Unterschrift eines Facharztes zur Bestätigung einer Behinderung.
3.4.6. Die erneute Anforderung bereits beim Dienstleister vorhandener personenbezogener Daten (ohne Aktualisierungszwecke) ist untersagt. Die Verweigerung der erneuten Bereitstellung der Daten hat keine negativen Konsequenzen für den Arbeitnehmer.
3.4.7. Die in Abschnitt 3.4.5. festgelegten Daten des Arbeitnehmers können von folgenden Personen eingesehen werden:
3.4.7.1. die betroffene Person selbst (im Falle von Kamerabildern die auf dem jeweiligen Kamerabild gezeigten betroffenen Personen);
3.4.7.2. in dem Maße und zeitweise, in dem es für die Erfüllung ihrer Aufgaben unerlässlich ist, der Leiter des Dienstleisters sowie bestimmte Mitarbeiter, die die persönlichen Unterlagen der betroffenen Person verwalten, sowie der ausgelagerte Dienstleister für die Lohn- und Buchhaltungsführung;
3.4.7.3. in dem Maße und zeitweise, in dem es für die Erfüllung ihrer Aufgaben unerlässlich ist, der unmittelbare Vorgesetzte des betroffenen Arbeitnehmers (einschließlich des ausübenden Arbeitgeberrechts);
3.4.7.4. zu konkreten Überprüfungszwecken, in dem Maße und zeitweise, in dem dies unerlässlich ist, der Datenschutzbeauftragte;
3.4.7.5. aufgrund offizieller Anfragen von Gerichten, Staatsanwaltschaften, Ermittlungsbehörden oder anderen zuständigen Behörden, bis zu dem angeforderten Umfang.
3.4.8. Nach Ablauf von drei Jahren nach Beendigung des Arbeitsverhältnisses müssen die Daten des Arbeitnehmers aus dem Personaldatenregister gelöscht werden, es sei denn, zwischen dem Dienstleister und dem Arbeitnehmer wurde eine schriftliche Vereinbarung über eine abweichende Aufbewahrungsfrist getroffen. Die Löschung erstreckt sich nicht auf Daten des Arbeitnehmers, die nicht in der schriftlichen Vereinbarung aufgeführt sind.
3.4.9. Daten des Arbeitnehmers, die nach Beendigung des Arbeitsverhältnisses aufgrund einer gesetzlichen Ermächtigung weiterhin aufbewahrt oder gespeichert werden können (z. B. Daten, die zur Festlegung von Rentenansprüchen dienen), müssen nicht gelöscht werden.
3.5. Die Datenverarbeitung und -registrierung im Zusammenhang mit Direktmarketing, Marktforschung und Meinungsforschung durch den Dienstleister:
3.5.1. Der Geschäftsführer des Dienstleisters ist der Dateninhaber für die im Rahmen des Direktmarketings, der Marktforschung und der Meinungsforschung durch den Dienstleister durchzuführende Datenverarbeitung. Für diese Aktivitäten können personenbezogene Daten aus folgenden Quellen verwendet und gesammelt werden:
3.5.1.1. Kundendaten;
3.5.1.2. Partnerverzeichnis;
3.5.1.3. Daten, die rechtmäßig zur Veröffentlichung erstellt und veröffentlicht wurden und in Namens- und Adressverzeichnissen sowie Veröffentlichungen enthalten sind.
3.5.2. Im Rahmen der vom Dienstleister durchzuführenden Marktforschung und Meinungsforschung sowie der Datenverarbeitung für direkte Geschäftsanbahnungszwecke können folgende personenbezogene Daten der betroffenen Personen verwendet werden:
a) Name;
b) Geschlecht;
c) Geburtsort und -datum;
d) Wohnadresse;
e) Telefonnummer (Festnetz, Mobil);
f) E-Mail-Adresse;
g) Informationen zu Interessen.
3.5.3. Bei Marktforschung und Meinungsforschung, die vom Dienstleister durchgeführt wird, muss – wie in der Datenschutzverordnung festgelegt – das Recht des Betroffenen auf den Schutz seiner personenbezogenen Daten gewährleistet werden. Insbesondere gilt:
3.5.3.1. Der Betroffene muss bei der Kontaktaufnahme schriftlich über die Herkunft der Daten, den Zweck, die Methode und die Dauer der Datenverarbeitung, die Inanspruchnahme von Dritten (Datenverarbeiter) sowie die mögliche spätere Datenweitergabe an Dritte informiert werden. Er muss darüber informiert werden, dass die Datenbereitstellung freiwillig ist und er das Recht hat, die Verarbeitung seiner Daten für den angegebenen Zweck oder einen Teil davon zu widerrufen.
3.5.3.2. Dem Betroffenen muss das Recht eingeräumt werden, die Zusammenarbeit ohne Angabe von Gründen jederzeit zu verweigern, und er muss zu Beginn der Zusammenarbeit schriftlich über dieses Recht und seine Rechte auf rechtliche Schritte informiert werden.
3.5.3.3. Die Verarbeitung der Daten des Betroffenen muss eingestellt werden, wenn der Betroffene dies verlangt oder seiner Datenverarbeitung nicht zustimmt.
3.5.3.4. Die Daten des Betroffenen dürfen nicht an Dritte weitergegeben werden.
3.5.4. Während der Marktforschungs- und Meinungsforschungstätigkeit muss die vollständige Anonymität des Betroffenen sichergestellt werden, und die Schlussfolgerungen, die aufgrund der Ergebnisse der Meinungsforschung gezogen werden, dürfen keine Daten enthalten, die zur Identifizierung des Betroffenen geeignet sind. In der Marktforschung dürfen keine Maßnahmen, Entscheidungen oder Schlussfolgerungen auf der Grundlage der persönlichen Daten oder Meinungen des Betroffenen getroffen werden.
3.5.5. Im Rahmen der Fortsetzung der Direktmarketingtätigkeit kann der Dienstleister aufgrund seiner verwalteten, geordneten oder automatisierten Datenverarbeitung (Kundeprofil) die Kunden direkt ansprechen, die zuvor schriftlich der Verwendung ihrer Daten für diese Zwecke zugestimmt haben.
3.5.6. Während der Fortsetzung der Direktmarketingtätigkeit hat jeder Betroffene das Recht:
3.5.6.1. die Aufnahme seiner Daten in die Geschäftsakquise-Liste abzulehnen, die Verwendung seiner Daten für die direkte Geschäftsakquise oder für spezifische darin definierte Zwecke abzulehnen oder seine vorherige Zustimmung zu widerrufen;
3.5.6.2. die Beendigung der Verarbeitung seiner persönlichen Daten in allen oder bestimmten Zwecken der Geschäftsakquise-Liste, einschließlich der an Dritte weitergegebenen Daten, zu verlangen.
3.5.6.3. Der Dateninhaber sorgt für die Umsetzung der in Abschnitt 3.5.6.1. und 3.5.6.2. genannten Maßnahmen und informiert den Betroffenen schriftlich über die Umsetzung seines Antrags über den Datenschutzbeauftragten.

4. DATENSCHUTZVORFALL UND BEHANDLUNG
4.1. Der Datenschutzvorfall wird vom Dienstleister unverzüglich und spätestens 72 Stunden nach Kenntniserlangung über den Datenschutzvorfall bei der zuständigen Aufsichtsbehörde gemeldet, es sei denn, der Datenschutzvorfall stellt voraussichtlich keine Gefahr für die Datenschutzrechte der betroffenen Personen dar.
4.2. Wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die betroffene Person darstellt, informiert der Datenverantwortliche die betroffene Person unverzüglich über den Datenschutzvorfall.
4.3. In der Benachrichtigung müssen die Art des Datenschutzvorfalls erläutert, der Name und die Kontaktdaten des Datenschutzbeauftragten oder anderer Ansprechpartner angegeben, die voraussichtlichen Folgen des Datenschutzvorfalls erläutert und die vom Datenverantwortlichen ergriffenen oder geplanten Maßnahmen zur Behebung des Datenschutzvorfalls, einschließlich gegebenenfalls Maßnahmen zur Milderung möglicher nachteiliger Folgen des Datenschutzvorfalls.
4.4. Die Benachrichtigung kann unterbleiben, wenn der Dienstleister angemessene Schutzmaßnahmen ergriffen hat, z. B. die Anwendung von Verschlüsselung, die unberechtigten Personen den Zugriff auf personenbezogene Daten unverständlich macht, wenn der Datenverantwortliche nach dem Datenschutzvorfall zusätzliche Maßnahmen ergriffen hat, um sicherzustellen, dass das hohe Datenschutzrisiko voraussichtlich nicht realisiert wird, oder wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. In solchen Fällen sind die betroffenen Personen über öffentlich zugängliche Informationen zu benachrichtigen oder es sind ähnliche Maßnahmen zu ergreifen, die eine gleichwertige Benachrichtigung der betroffenen Personen sicherstellen.
4.5. Die betroffene Person kann unabhängig davon, ob die Benachrichtigung gemäß Abschnitt 4.4 unterbleiben kann, zusätzliche Informationen zur Art und Behandlung des Datenschutzvorfalls vom Datenschutzbeauftragten anfordern.

5. DATENSCHUTZRECHTE DER BETROFFENEN PERSON
5.1. Der Dienstleister informiert die betroffene Person über sein Datenschutzsystem, den Umfang der verarbeiteten Daten, die Art und Dauer der Datenverarbeitung. Die betroffene Person kann jederzeit Zugang zu ihren eigenen vom Dienstleister verarbeiteten Daten verlangen. Der Zugang muss schriftlich beim Dienstleister eingereicht werden, entweder in Form eines empfohlenen Briefs an die Geschäftsadresse des Dienstleisters oder per E-Mail an info@gazdabolt.hu.
5.2. Die betroffene Person hat das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Datenverarbeitung vor dem Widerruf. Der Widerruf der Einwilligung darf - ohne Auswirkungen auf die Beendigung des betreffenden Vertrags - nicht auf Daten angewendet werden, die für die Erfüllung eines bestehenden Vertragsverhältnisses mit der betroffenen Person oder zur Geltendmachung von Ansprüchen aus einem Vertrag unerlässlich sind.
5.3. Die betroffene Person hat das Recht, den Dienstleister aufzufordern, personenbezogene Daten, die sie betreffen, unverzüglich zu löschen, und der Dienstleister ist verpflichtet, personenbezogene Daten, die die betroffene Person betreffen, unverzüglich zu löschen, wenn eine der folgenden Bedingungen erfüllt ist:
a. Die personenbezogenen Daten sind nicht mehr erforderlich, um einen Vertrag mit der betroffenen Person abzuschließen oder zu erfüllen, oder um Ansprüche aus diesem Vertrag geltend zu machen.
b. Die betroffene Person widerruft ihre Einwilligung zur Datenverarbeitung, und es liegt keine andere vertragliche oder gesetzliche Grundlage für die Datenverarbeitung vor.
c. Die betroffene Person legt Widerspruch gegen die Datenverarbeitung ein, und es gibt keine vorrangigen rechtlichen Gründe für die Datenverarbeitung.
d. Die personenbezogenen Daten wurden rechtswidrig verarbeitet.
5.4. In den in Abschnitt 5.3 Buchstabe b und c genannten Fällen ist es nicht möglich, Änderungen an Papierdatenträgern vorzunehmen, wenn die betroffene Person die Daten in einem individuellen Vertrag auf Papierträgern bereitgestellt hat und die erforderliche Aufbewahrungsdauer für die im Vertrag angegebenen Daten noch nicht abgelaufen ist. In solchen Fällen unternimmt der Dienstleister keine gesonderten Maßnahmen zur Korrektur oder Ergänzung fehlerhafter oder unvollständiger Daten auf Papierdatenträgern. Es besteht lediglich die Möglichkeit, die elektronisch gespeicherten Daten der betroffenen Person zu ändern.
5.5. Die betroffene Person hat das Recht, auf Anfrage von dem Dienstleister unverzüglich unrichtige personenbezogene Daten zu berichtigen, die sie betreffen. Unter Berücksichtigung des Zwecks der Datenverarbeitung hat die betroffene Person das Recht, die unvollständigen personenbezogenen Daten zu ergänzen, beispielsweise durch eine zusätzliche Erklärung. Es ist nicht möglich, Fehler oder Lücken in auf Papierträgern erfassten Daten rückwirkend zu korrigieren oder unvollständige Daten zu ergänzen. In solchen Fällen werden keine gesonderten Maßnahmen zur Korrektur oder Ergänzung fehlerhafter oder unvollständiger Daten ergriffen. Nur die elektronisch gespeicherten Daten der betroffenen Person können geändert werden.
5.6. Die betroffene Person hat das Recht, auf Anfrage die Verarbeitung ihrer Daten durch den Dienstleister einzuschränken,
 wenn eine der folgenden Bedingungen erfüllt ist:
a) Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten. In diesem Fall gilt die Einschränkung für den Zeitraum, der es dem Dienstleister ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
b) Die Datenverarbeitung ist rechtswidrig, und die betroffene Person lehnt die Löschung der Daten ab und fordert stattdessen die Einschränkung ihrer Verwendung.
c) Der Datenverantwortliche benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Datenverarbeitung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder
d) Die betroffene Person hat der Datenverarbeitung widersprochen; in diesem Fall gilt die Einschränkung für den Zeitraum, bis festgestellt wird, ob die berechtigten Gründe des Dienstleisters Vorrang vor den berechtigten Gründen der betroffenen Person haben. In solchen Fällen können die Daten nur mit der Zustimmung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen oder zu deren Durchsetzung verarbeitet werden.
5.7. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Datenverantwortlichen zur Verfügung gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und das Recht, diese Daten an einen anderen Datenverantwortlichen zu übertragen, ohne dass der Dienstleister dem widerspricht.
5.8. Die betroffene Person kann jederzeit bei dem Dienstleister eine Beschwerde oder Einwand gegen die Datenverarbeitung erheben, auch wenn die Datenverarbeitung nach Widerruf der Einwilligung durch den Dienstleister fortgesetzt wird.
5.9. Die Rechte des Datenschutzes, die den betroffenen Personen zustehen (Einsicht, Löschung, Berichtigung, Widerspruch, Einwand, Einschränkung), können persönlich oder schriftlich beim Dienstleister eingereicht und initiiert werden. Die Mitarbeiter des Dienstleisters können ihre Datenschutzrechte durch ihren direkten Vorgesetzten ausüben, während die Partner des Dienstleisters ihre Datenschutzrechte über den Geschäftsführer des Dienstleisters und den Datenschutzbeauftragten ausüben können. Der Dienstleister antwortet schriftlich innerhalb von höchstens 30 Tagen ab dem Zeitpunkt der Anmeldung und sendet die Informationen, die Antwort, die Mitteilung oder die Bestätigung per Einschreiben in diesem Zeitraum schriftlich. Der Dienstleister haftet nicht für die Offenlegung der Daten an Dritte im Falle der postalischen Zustellung, wenn eine Person an der postalischen Adresse das Paket in Empfang nimmt.
5.10. Die Ausübung der Datenschutzrechte, die dem Betroffenen zustehen, ist nur durch die persönliche Vorgehensweise des Betroffenen gegenüber dem Dienstleister möglich, es sei denn, die Datenschutzrechte betreffen die Daten von Minderjährigen oder beschränkt handlungsfähigen Personen, in diesem Fall betrachtet der Dienstleister den gesetzlichen Vertreter als berechtigt, im Hinblick auf die Datenschutzrechte Erklärungen abzugeben.

6. DATENSCHUTZBEAUFTRAGTER
6.1. Der Datenschutzbeauftragte hat folgende Aufgaben:
a. Informieren und fachliche Beratung für den Datenverantwortlichen oder den Datenverarbeiter sowie für die Mitarbeiter, die die Datenverarbeitung durchführen;
b. Überwachen der Einhaltung der Datenschutzgesetze sowie der internen Regeln des Datenverantwortlichen oder des Datenverarbeiters in Bezug auf den Schutz personenbezogener Daten, einschließlich der Festlegung von Aufgaben, der Steigerung des Bewusstseins und der Schulung des Personals, sowie der Durchführung relevanter Audits;
c. Kontakt zu den betroffenen Personen in Fällen von Datenschutzvorfällen und in allen Angelegenheiten, die mit der Ausübung der Rechte der betroffenen Person in Bezug auf die Datenverarbeitung zusammenhängen (Informationen, Benachrichtigungen, Einwilligungen, Beschränkungen, Beschwerden, Widersprüche);
d. Zusammenarbeit mit der Aufsichtsbehörde; und
e. Als Ansprechpartner für Angelegenheiten im Zusammenhang mit der Datenverarbeitung für die Aufsichtsbehörde dienen und gegebenenfalls Konsultationen mit ihr durchführen.
6.2. Der Datenschutzbeauftragte ist zur Geheimhaltung der ihm im Zusammenhang mit seiner Aufgabenerfüllung anvertrauten Informationen verpflichtet.
6.3. Die Frist für die Bearbeitung von Anfragen und Anliegen der betroffenen Personen durch den Datenschutzbeauftragten beträgt höchstens 30 Tage ab Eingang der Anfrage oder Benachrichtigung des betroffenen Personen.
6.4. Der Datenschutzbeauftragte der INTERNET GAZDA ÁRUHÁZ Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ist Zoltán Biró, Geschäftsführer.
7. DATENVERARBEITER UND DATENVERARBEITUNGSBEREICHE
7.1. Der Dienstleister wendet die folgenden Datenverarbeiter auf die folgenden Datenverarbeitungsbereiche an.
7.2. Jeder Datenverarbeiter, der Vertragsbeziehungen mit dem Dienstleister hat, erfüllt die geltenden Gesetze (einschließlich der Verordnungen des EUROPÄISCHEN PARLAMENTS UND DES RATES (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)).
Name des Datenverarbeiters
Sitz des Datenverarbeiters
Umfang der Datenverarbeitung
Gábor Szlaukó
1164 Budapest Batthyány Ilona u. 29.
Lohn- und Gehaltsabrechnung, Buchführungsaufgaben
Gábor Szlaukó
1164 Budapest Batthyány Ilona u. 29.
Speicherung und Organisation von Papierarchivdatenträgern
DIESE DATENSCHUTZ- UND DATENVERARBEITUNGSRICHTLINIE WURDE VOM GESCHÄFTSFÜHRER DER INTERNET GAZDA ÁRUHÁZ KERESKEDELMI ÉS SZOLGÁLTATÓ KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG HERAUSGEGEBEN.
DIESE DATENSCHUTZ- UND DATENVERARBEITUNGSRICHTLINIE IST AB DEM 25. MAI 2018 IN KRAFT.