1. Ziel der Regelung
Das Ziel der Regelung ist es, gemäß den Rechtsvorschriften, insbesondere aber unter Berücksichtigung des Gesetzes Nr. CXII von 2011 über das Informations-Selbstbestimmungsrecht und die Informationsfreiheit (nachfolgend: InfoGes), ferner der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates [DSVGO] die Betroffenen über den Umfang ihrer personenbezogenen Daten, die vom Datenverwalter gemäß Punkt 2 verwaltet werden, das Ziel und die Art der Datenverwaltung, ferner über sämtliche anderen Fakten in Verbindung mit der Datenverwaltung, aber nicht ausschließlich über ihre Rechte in Verbindung mit der Datenverwaltung und ihre potenziellen Rechtsmittelmöglichkeiten zu informieren.
2. Bezeichnung und Firmensitz des Datenverwalters
Bezeichnung: Spirit Hotel Kft.
Firmensitz: 1061 Budapest, Andrássy út 2.
Gesetzlicher Vertreter: Pocsai Alex, Geschäftsführer
Kontaktperson in Datenschutzangelegenheiten: Dr. Gábor Jeszenszki, Rechtsanwalt
3. Name, Erreichbarkeiten, Rechtsstellung und Aufgaben des Datenschutzbeamten
Dr. Boldizsár Morvay – dr.morvay@balintfy.hu
Erreichbarkeit des Datenschutzbeamten
Der Datenverwalter hat zu garantieren, dass der Datenschutzbeamte an sämtlichen Angelegenheiten in Verbindung mit dem Schutz persönlicher Daten auf die geeignete Weise und rechtzeitig teilnimmt. Es ist zu gewährleisten, dass die notwendigen Mittel zur Erhaltung der Expertenkenntnisse des Datenschutzbeamten zur Verfügung stehen.
Der Datenschutzbeamte darf von niemandem Anweisungen bezüglich der Durchführung seiner Aufgaben annehmen. Der Datenverwalter oder der Datenverarbeiter darf den Datenschutzbeamten im Zusammenhang mit der Durchführung seiner Aufgaben nicht entlassen und über ihn keine Sanktion verhängen. Der Datenschutzbeamte ist unmittelbar dem Datenverwalter oder der obersten Leitung der Datenverarbeitung untergeordnet.
Die Betroffenen können sich in Fragen bezüglich der Verwaltung ihrer persönlichen Daten und der Ausübung ihrer Rechte an den Datenschutzbeamten wenden.
In Verbindung mit der Durchführung seiner Aufgaben unterliegt die Tätigkeit des Datenschutzbeamten der Geheimhaltung oder der Verpflichtung der vertraulichen Behandlung der Daten.
Der Datenschutzbeamte kann auch andere Aufgaben wahrnehmen, es darf aber keine Unvereinbarkeit der Aufgaben bestehen.
Aufgaben des Datenschutzbeamten
• Er informiert und fachlich berät den Datenverwalter oder den Datenverarbeiter, ferner die Angestellten, die die Daten verwalten;
• er kontrolliert die Konformität mit den inneren Vorschriften des Datenverwalters oder des Datenverarbeiters bezüglich des Schutzes der persönlichen Daten;
• er erteilt auf Anfrage Beratung bezüglich der Datenschutz-Wirkungsprüfung und befolgt die Durchführung der Wirkungsprüfung,
• er arbeitet mit der Aufsichtsbehörde zusammen.
4. Rechtsvorschriften bezüglich der Datenverwaltung
– Ungarns Grundgesetz, Artikel VI;
– Gesetz CXII von 2011 über das Informations-Selbstbestimmungsrecht und die Informationsfreiheit (nachfolgend: „InfoGes“);
– Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSVGO).
5. In vorliegender Regelung verwendete Begriffe
Datenverarbeiter
Die natürliche oder juristische Person, das öffentliche Organ, die Agentur oder beliebige sonstige Organe, die im Namen des Datenverwalters personenbezogene Daten verwalten
Datenverwaltung
Eine Operation oder die Gesamtheit der Operationen, die an personenbezogenen Daten oder Datenbeständen auf automatisierte oder nicht automatisierte Weise durchgeführt werden, so die Sammlung, die Erfassung, die Systematisierung, die Aufteilung, die Lagerung, die Umwandlung oder die Veränderung, die Abfragung, die Einsichtnahme, die Verwendung, die Mitteilung durch Weiterleitung, Verbreitung oder sonstige Arten der Zugänglichmachung, die Abstimmung oder die Verbindung, die Beschränkung, die Löschung beziehungsweise die Vernichtung
Datenverwalter (Dienstleister)
das Unternehmen, ferner die natürliche oder juristische Person, das öffentliche Organ, die Agentur oder ein beliebiges sonstiges Organ, das die Zwecke und die Mittel der Verwaltung personenbezogener Daten selbstständig oder mit anderen zusammen bestimmt; wenn die Ziele und die Mittel der Datenverwaltung vom EU-Recht oder dem Recht der Mitgliedstaaten festgelegt werden, kann der Datenverwalter oder die besonderen Aspekte zur Bestimmung des Datenverwalter sowohl vom EU-Recht als auch vom Recht der Mitgliedstaaten festgelegt werden
Zwischenfall im Datenschutz
derartige Verletzung der Sicherheit, aus der die zufällige oder rechtswidrige Vernichtung, Verlust, Veränderung, unberechtigte Veröffentlichung der weitergeleiteten, gespeicherten oder anderswie verwalteten personenbezogenen Daten oder der unberechtigte Zugang zu ihnen
Biometrische Daten
Sämtliche eigenartigen personenbezogenen Daten, die auf den körperlichen, physiologischen oder Verhaltenseigenschaften einer natürlichen Person basieren und durch spezifische Verfahren gewonnen werden, die die Identifikation der natürlichen Person ermöglichen oder bestätigen, so zum Beispiel das Passbild oder die daktiloskopischen Daten
Adressat
die natürliche oder juristische Person, dass öffentliche Organ, die Agentur oder ein beliebiges sonstiges Organ, dem die personenbezogenen Daten mitgeteilt werden, unabhängig davon, ob es sich um eine dritte Partei handelt. Diejenigen Organe, die im Rahmen einer individuellen Prüfung im Einklang mit dem EU-Recht oder dem Recht der Mitgliedstaaten auf personenbezogene Daten Zugriff haben können, gelten nicht als Adressaten; die Verwaltung der erwähnten Daten durch öffentliche Organe hat im Einklang mit den Zielen der Datenverwaltung den anzuwendenden Datenschutzregeln zu entsprechen
Betroffener
Diejenige natürliche Person, deren personenbezogene Daten verwaltet
Zustimmung des Betroffenen
eindeutige Bekundung des Willens des Betroffenen, die auf freiwilliger, konkreter und geeigneter Informierung basiert und in deren Rahmen der Betroffene durch eine Erklärung oder eine Tat, die die Zustimmung unmissverständlich ausdrückt, zur Kenntnis gibt, dass er der Verwaltung seiner persönlichen Daten zustimmt
GDPR
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Dritte Partei
die natürliche oder juristische Person, das öffentliche Organ, die Agentur oder das beliebige andere Organ, das mit dem Betroffenen, dem Datenverwalter, dem Datenverarbeiter oder denjenigen Personen nicht identisch ist, die unter der unmittelbaren Leitung des Datenverwalters oder des Datenverarbeiters mit der Verwaltung der personenbezogenen Daten beauftragt
InfoGes.
Gesetz CXII von 2011 über das Informations-Selbstbestimmungsrecht und die Informationsfreiheit
Arbeitnehmer
Diejenigen Personen, Vertragsunternehmer und deren Beauftragte, die mit dem Dienstleister im Arbeitsverhältnis oder in einem sonstigen Rechtsverhältnis zur Arbeitsdurchführung (Dienstleistungs-, Auftragsvertrag
Profilbildung
sämtliche Formen der automatisierten Verwaltung der persönlichen Daten, bei der persönliche Daten zur Bewertung gewisser persönlicher Eigenschaften bestimmter natürlicher Personen, insbesondere zur Analyse oder der Prognose von Eigenschaften in Verbindung mit der Leistung am Arbeitsplatz, der wirtschaftlichen Lage, des Gesundheitszustandes, der persönlichen Präferenzen, des Interessenkreises, der Zuverlässigkeit, des Verhaltens, des Aufenthaltsortes oder der Bewegung verwendet wird.
personenbezogene Daten
beliebige Informationen über identifizierte oder identifizierbare natürliche Personen („Betroffene“); diejenige natürliche Person gilt als identifizierbar, die unmittelbar oder mittelbar, insbesondere an Hand eines Identifikationsfaktors, z.B. eines Namens, einer Nummer, einer Angabe zur Lokalbestimmung, eines Online-Identifikationsfaktors, oder an Hand eines oder mehrerer Faktoren, die die körperliche, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identifikation der natürlichen Person betreffen
besondere Kategorien der persönlichen Daten
personenbezogene Daten, die auf rassische oder ethnische Abstammung, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Mitgliedschaft in einer Gewerkschaft verweisen, ferner genetische oder biometrische Daten zur individuellen Identifikation natürlicher Personen, gesundheitsbezogene Daten und personenbezogene Daten zum Sexualleben und dem sexuellen Orientierung natürlicher Personen
6. Verträglichkeitsprüfung zum Datenschutz
Unter Berücksichtigung der Rechte und Freiheiten natürlicher Personen ist für die Durchführung der Datenschutz-Verträglichkeitsprüfung, die die Quelle, die Art und Weise, die Exklusivität und die Schwere dieses Risikos berechnet, der Datenverwalter verantwortlich. Bei der Festlegung, welche Maßnahmen dazu geeignet sind, die Konformität der Verwaltung personenbezogener Daten mit der DSVGO nachzuweisen, sind die Feststellungen der Verträglichkeitsprüfung zu berücksichtigen. Wenn auf Grund der Datenschutz-Verträglichkeitsprüfung die Datenverwaltungs-Operationen mit so hohen Risiken verbunden sind, dass der Datenverwalter nicht im Stande ist, sie an Hand der ihm verfügbaren Technologie und auf Grund der Durchführungskosten mit geeigneten Mitteln zu mindern, ist vor der Datenverwaltung die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) zu Rate zu ziehen. Wird in Zukunft in Verbindung mit den Datenverwaltungen hohen Risikos eine Datenschutz-Verträglichkeitsprüfung notwendig, wird sie mit Hilfe der Software mit offenem Quellcode (Originalbezeichnung: „PIA software“, nachfolgend: Software zur Verträglichkeitsprüfung), die von der französischen Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés, nachfolgend:
CNIL) veröffentlicht worden ist und auch von NAIH empfohlen wird, durchgeführt.
In Verbindung mit der Datenschutz-Verträglichkeitsprüfung wird vom Datenverwalter eine Sonderregelung erarbeitet.
7. Interessenabwägungstest – bei Datenverwaltung auf Grund berechtigten Interesses
Bei Datenverwaltung auf Grund berechtigten Interesses (gemäß DSVGO, § 6 (1), Ziffer f)) wird der Interessenabwägungstest gemäß NAIH-Stellungnahme Nr. 2015/3731/2/V durchgeführt. Auf diese Weise ist der Interessenabwägungstest ein Prozess aus mehreren Etappen, bei dem das berechtigte Interesse des Datenverwalters, ferner das Interesse des Datensubjektes, das den Gegenpunkt der Gewichtung bildet, und das berechtigte Grundrecht zu identifizieren sind; nach der Durchführung der Gewichtung ist abschließend festzustellen, ob die persönlichen Daten verwaltet werden können.
Angewandte Etappen des Interessenabwägungstestes:
1. Etappe – Untersuchung der Tatsache, ob es notwendig ist, die Datenverwaltung anders zu lösen
2. Etappe – möglichst genaue Bestimmung des berechtigten Interesses
3. Etappe – Bestimmung des Zieles der Datenverwaltung; welche Daten sind bei der Datenverwaltung notwendig und wie lange sind sie zu verwalten
4. Etappe – Bestimmung der Aspekte der Betroffenen
5. Etappe – Durchführung der Abwägung
In Verbindung mit dem Interessenabwägungstest wird vom Datenverwalter eine Sonderregelung erarbeitet.
8. Verwaltung und Schutz personenbezogener Daten
8.1. Aufgabe, Befugnis und Verantwortlichkeit des Datenverwalters
Der Datenverwalter, der die primäre Datenverwaltung durchführt, hat die Schäden zu ersetzen, die durch die rechtswidrige Verwaltung oder die Verletzung der Anforderungen an den Datenschutz angerichtet werden. Gegenüber dem Betroffenen haftet der Datenverwalter auch für die Schäden, die vom Datenverarbeiter angerichtet worden sind. Der Datenverwalter wird von der Verantwortung befreit, wenn er nachweist, dass der Schaden von einem unabwendbaren Grund außerhalb der Datenverwaltung angerichtet worden ist. Der Schaden ist nicht zu ersetzen, wenn er auf das absichtliche oder grob fahrlässige Verhalten des Beschädigten zurückzuführen.
8.2. Aufgabe, Befugnis und Verantwortlichkeit des Datenverarbeiters
Die Rechte und Pflichten des Datenverarbeiters bezüglich der personenbezogenen Daten werden durch vorliegende Regelung und die einschlägigen Rechtsvorschriften vom Datenverarbeiter bestimmt. Der Datenverarbeiter ist innerhalb seines Tätigkeitsbereichs beziehungsweise des vom Datenverwalter festgelegten Rahmens für die Verarbeitung, die Veränderung, die Löschung, die Weiterleitung und die Veröffentlichung der personenbezogenen Daten verantwortlich. Im Vertrag mit dem Datenverarbeiter ist festzulegen, dass der Datenverarbeiter bei der Erfüllung seiner Aufgaben gemäß der Anweisung des Datenverwalters auch andere Datenverarbeiter in Anspruch nehmen kann, ferner die Verletzung der Datenschutzregeln bezüglich der Datenverwaltung auch als Grundlage für die fristlose Kündigung des Vertrags dienen kann.
9. Grundprinzipien und grundlegende Verordnungen
– Grundprinzip der Rechtsmäßigkeit, des anständigen Verfahrens und der Transparenz
(Die Aufnahme und die Verwaltung der Daten haben anständig und gesetzlich, ferner für den Betroffenen transparent zu sein.)
– Prinzip der Zielgebundenheit
(Die persönlichen Daten dürfen gemäß InfoGes nur zu bestimmten Zwecken, der Ausübung bestimmter Rechte und der Erfüllung bestimmter Pflichten verwaltet werden. Die Datenverwaltung hat in jeder Etappe mit vorgenannten Zielen im Einklang zu stehen. Nur solche persönlichen Daten dürfen verwaltet werden, die zur Realisierung des Zieles unabdingbar und zu dessen Erreichung geeignet sind. Die persönlichen Daten dürfen nur im zur Realisierung des Zieles benötigten Maß und die dazu benötigte Zeit lang verwaltet werden.)
– Prinzip der Datensparsamkeit
(Gemäß dem Prinzip der Datensparsamkeit kann der Datenverwalter nur personenbezogene Daten verwalten, die zur Erreichung des Zieles der Datenverwaltung unbedingt notwendig ist)
– Prinzip der Genauigkeit
(Die vom Datenverwalter verwalteten Daten haben genau und nötigenfalls tagesaktuell zu sein; es sind sämtliche Maßnahmen zu treffen, damit die aus der Sicht der Datenverwaltung ungenauen personenbezogenen Daten unverzüglich gelöscht oder berichtigt werden.)
– Prinzip der beschränkten Speicherung
(Die Speicherung der personenbezogenen Daten hat in einer Form zu erfolgen, dass die Identifikation der Betroffenen nur eine Zeit lang ermöglicht wird, die zur Erreichung des Zieles der Verwaltung der personenbezogenen Daten notwendig ist.)
– Prinzip der Integrität und der Vertraulichkeit
(Die personenbezogenen Daten sind so zu verwalten, dass die entsprechende Sicherheit der personenbezogenen Daten durch geeignete technische und Organisationsmaßnahmen einschließlich auch des Schutzes der Daten vor unberechtigter oder rechtswidriger Verwaltung, zufälligem Verlust, Vernichtung oder Beschädigung gewährleistet ist.)
– Prinzip der Rechenschaftslegung
(Der Datenverwalter haftet für die Erfüllung der Datenverwaltungsprinzipien und -regeln, darüber hinaus muss er fähig sein, die Erfüllung zu bestätigen.)
– Prinzip der Datensicherheit
(Der Datenverwalter plant die Datenverwaltungsoperationen so und führt sie so durch, dass bei der Anwendung des InfoGes. und anderer Regeln der Datenverwaltung der Schutz der Privatsphäre der Betroffenen gewährleistet wird. Der Datenverwalter sorgt für die Sicherheit der Daten, trifft diejenigen technischen und Organisationsmaßnahmen und legt diejenigen Verfahrensregeln fest, die zur Geltendmachung des InfoGes. und sonstiger Regeln des Daten- und Geheimnisschutzes benötigt werden. Der Datenverwalter schützt die Daten durch geeignete Maßnahmen insbesondere gegen unberechtigten Zugang, Veränderung, Weiterleitung, Veröffentlichung, Löschung oder Vernichtung, ferner gegen zufällige Vernichtung oder Verletzung und Unzugänglichwerden als Folge der Veränderung der angewandten Technik. Zum Schutz der elektronisch behandelten Datenbestände in den verschiedenen Registern sichert der Datenverwalter durch geeignete technische Lösungen, dass die in den Registern gespeicherten Daten – die vom Gesetz erlaubten Fälle ausgenommen – miteinander nicht verbindbar werden und dem Betroffenen nicht zugeordnet werden können. Zur Erhaltung der Sicherheit und der Vorbeugung gegen eine Datenverwaltung, die gegen die DSVGO verstößt, werden die sich aus der Natur der Datenverwaltung ergebenden Risiken vom Datenverwalter ausgewertet und er trifft Maßnahmen zur Minderung der Risiken, zum Beispiel eine Verschlüsselung. Diese Maßnahmen garantieren unter Berücksichtigung des Standes der Wissenschaft und der Technik, ferner der Kosten, die mit den Risiken der Durchführung und der Art der zu schützenden personenbezogenen Daten einhergehen, die entsprechende Sicherheit – einschließlich auch der vertraulichen Behandlung. Bei der Einschätzung des Datenschutzrisikos sind sämtliche Risiken der personenbezogenen Daten – zum Beispiel die zufällige oder rechtswidrige Vernichtung, Verlust, Veränderung, die unberechtigte Veröffentlichung der weitergeleiteten, gespeicherten oder auf andere Weise verwalteten personenbezogenen Daten oder der unberechtigte Zugang zu ihnen – abzuwägen, die zu physischen, Vermögens- oder Nicht-Vermögensschäden führen können.
10. Rechte der Betroffenen
– Recht zum Zugriff
(Der Betroffene hat das Recht, vom Datenverwalter Rückmeldung zu verlangen, ob die Verwaltung seiner personenbezogenen Daten im Gange ist; falls eine derartige Datenverwaltung im Gange ist, hat er das Recht, zu den personenbezogenen Daten Zugriff und Informationen über die Umstände ihrer Verwaltung zu erhalten.) Der Datenverwalter informiert ohne unbegründeten Verzug, aber jedenfalls binnen eines Monats ab Eingang des Antrags den Betroffenen über die Maßnahmen, die als Folge des Antrags des Betroffenen getroffen worden sind. Im Bedarfsfalle, unter Beachtung der Komplexität des Antrags und der Anzahl der Anträge kann diese Frist um weitere zwei Monate verlängert werden. Der Datenverwalter informiert den Betroffenen über die Verlängerung der Frist unter Angabe der Verzugsgründe binnen eines Monats ab Erhalt des Antrags. Wurde der Antrag vom Betroffenen auf elektronischem Weg eingereicht, sind die Informationen auf elektronischem Weg anzugeben, den Fall ausgenommen, wenn es vom Betroffenen anders verlangt wird.
– Berichtigungsrecht
(Der Betroffene hat das Recht, dass auf sein Verlangen der Datenverwalter ohne unbegründeten Verzug die ungenauen Daten, die sich auf ihn beziehen, unverzüglich berichtigt; er kann ferner die Ergänzung der mangelhaften personenbezogenen Daten beantragen.)
– Löschungsrecht
(Der Betroffene hat das Recht, dass auf sein Verlangen der Datenverwalter ohne unbegründeten Verzug seine personenbezogenen Daten löscht, wenn einer der nachfolgenden Gründe besteht:
a) die persönlichen Daten werden nicht mehr aus dem Ziel benötigt, aus dem sie gesammelt oder andersartig verwaltet worden sind;
b) der Betroffene widerruft gemäß Artikel 6, Abs. (1), Ziffer a) oder Artikel 9, Abs. (2), Ziffer a) der DSVGO seine Zustimmung zur Datenverwaltung und die Datenverwaltung keine andere Rechtsgrundlage hat;
c) der Betroffene protestiert gemäß DSVGO Artikel 21, Abs. (1) gegen die Datenverwaltung und es besteht kein vorrangiger rechtmäßiger Grund zur Datenverwaltung, oder der Betroffene gemäß DSVGO Artikel 21, Abs. (2) gegen die Datenverwaltung protestiert;
d) wenn die personenbezogenen Daten vom Datenverwalter rechtswidrig verwaltet worden sind;
e) wenn die personenbezogenen Daten gemäß Rechtsvorschriften zu löschen sind;
f) die persönlichen Daten sind in Verbindung mit dem Angebot der Dienstleistungen in der Informationsgesellschaft gemäß DSVGO Artikel 8, Abs. (1) gesammelt worden (Bedingungen der Zustimmung des Kindes).
Die Daten werden vom Datenverwalter nicht gelöscht, wenn die Datenverwaltung aus nachfolgenden Gründen notwendig ist:
a) aus dem Grund der Ausübung des Rechts zur Freiheit der Meinungsäußerung und des Informierens;
b) zur Erfüllung der Verpflichtungen gemäß den Rechtsvorschriften, die die Verwaltung der personenbezogenen Daten vorschreiben;
c) oder zur Vorlage, Geltendmachung bzw. Schutz von Rechtsansprüchen.
– Recht zur Beschränkung der Datenverwaltung
(Der Betroffene hat das Recht, dass auf sein Verlangen der Datenverwalter die Datenverwaltung beschränkt, wenn eine der nachfolgenden Bedingungen besteht:
a) der Betroffene stellt die Exaktheit der persönlichen Daten in Frage; in diesem Fall betrifft die Begrenzung die Zeitdauer, in der es möglich ist, dass der Datenverwalter die Genauigkeit der persönlichen Daten überprüft;
b) die Datenverwaltung ist rechtswidrig, der Betroffene ist gegen die Löschung der Daten, er verlangt stattdessen die Beschränkung ihrer Anwendung;
c) der Datenverwalter braucht aus dem Grund der Datenverwaltung die persönlichen Daten nicht mehr, der Betroffene braucht aber sie zur Vorlage, der Geltendmachung oder dem Schutz von Rechtsansprüchen; oder
d) der Betroffene protestierte gegen die Datenverwaltung; in diesem Fall betrifft die Begrenzung die Zeitdauer, in der festgestellt wird, ob die berechtigten Argumente des Datenverwalters gegenüber den berechtigten Argumenten des Betroffenen vorrangig sind. Falls die Datenverwaltung begrenzt wird, dürfen derartige persönliche Daten mit Ausnahme der Speicherung nur unter Zustimmung des Betroffenen oder zur Vorlage, der Geltendmachung oder dem Schutz von Rechtsansprüchen oder dem Schutz der Rechte natürlicher oder juristischer Personen, ferner im öffentlichen Interesse der Union oder beliebiger Mitgliedstaaten verwaltet werden. Der Datenverwalter informiert die Betroffenen im Voraus über die Auflösung der Beschränkung.
– Protestrecht
(Der Betroffene ist berechtigt, aus Gründen in Verbindung mit der eigenen Lage jederzeit gegen die Verwaltung seiner personenbezogenen Daten gemäß DSVGO Artikel 6, Abs. (1), Ziffer e) oder f) einschließlich auch der Profilbildung gemäß den erwähnten Vorschriften zu protestieren. In diesem Fall darf der Datenverwalter die personenbezogenen Daten nicht weiter verwalten, den Fall ausgenommen, wenn der Datenverwalter beweist, dass die Datenverwaltung durch derartige zwingende, berechtigte Gründe begründet werden kann, die gegenüber den Interessen, Rechten und Freiheiten des Betroffenen vorrangig sind, oder die mit der Vorlage, Geltendmachung und Schutz von Rechtsansprüchen verbunden sind.)
– Recht auf die Datentragbarkeit
(Der Betroffene hat das Recht, dass er die personenbezogenen Daten, die sich auf ihn beziehen und von ihm einem Datenverwalter zur Verfügung gestellt worden sind, im strukturierten, allgemein verwendeten, mit einem Gerät lesbaren Format bekommt; er hat des Weiteren das Recht, diese Daten an einen weiteren Datenverwalter weiterzuleiten, ohne dass es vom Datenverwalter verhindert wird, dem er die personenbezogenen Daten zur Verfügung gestellt hat, wenn: a) die Datenverwaltung auf der Zustimmung gemäß DSVGO Artikel 6, Absatz (1), Ziffer a) oder Artikel 9, Absatz (2), Ziffer a) oder einem Vertrag gemäß DSVGO Artikel 6, Absatz (1), Ziffer b) beruht; und die Datenverwaltung automatisiert erfolgt.)
11. Ausführliche Datenverwaltungsregeln
11.1. Informationen über die Datenverwaltung
Die Betroffenen haben Recht auf Informationen über die Verwaltung ihrer personenbezogenen Daten in kompakter, transparenter und leicht zugänglicher, klarer und allgemein verständlicher Form. Werden die personenbezogenen Daten vom Betroffenen gesammelt, ist der Betroffene auch darüber zu informieren, ob er die personenbezogenen Daten mitzuteilen hat und welche Folgen das Unterbleiben der Datenlieferung hat. Die Informationen über die Verwaltung der personenbezogenen Daten des Betroffenen sind dem Betroffenen zum Zeitpunkt der Datensammlung mitzuteilen, ferner – wenn die Daten nicht vom Betroffenen selbst, sondern anderen Quellen gesammelt worden sind – ihm binnen einer rationalen Frist zur Verfügung zu stellen. Sind die personenbezogenen Daten einem anderen Adressaten rechtmäßig mitteilbar, ist darüber bei der ersten Mitteilung an den Adressaten auch der Betroffene zu informieren. Falls der Datenverwalter die personenbezogenen Daten abweichend vom ursprünglichen Ziel ihrer Sammlung anwenden will, ist der Betroffene vor der weiteren Datenversammlung über dieses abweichende Ziel und sämtliche weiteren wissenswerte Details zu informieren.
Die Informationen umfassen Folgendes:
– Identität und Erreichbarkeit des Datenverwalters
– Erreichbarkeit des Datenschutzbeamten
– Zweck der geplanten Verwaltung der personenbezogenen Daten, ferner Rechtsgrundlage der Datenverwaltung
– bei Datenverwaltung wegen „berechtigten Interesses“ diese berechtigten Interessen
– Adressaten der personenbezogenen Daten
– die geplante Zeitdauer der Datenverwaltung
– die Rechte des Betroffenen
– die Tatsache, ob die Angabe der Daten die Voraussetzung für den Vertragsschluss bildet und welche mögliche Folgen das Unterbleiben der Datenlieferung haben kann
– die eventuelle automatisierte Entscheidungsfindung einschließlich auch der Profilbildung.
– die möglichen Rechtsmittel der Betroffenen
11.2 Rechtmäßigkeit der Datenverwaltung
Die Verwaltung der personenbezogenen Daten gilt als rechtmäßig, wenn der Datenverwalter zur Datenverwaltung über eine der nachfolgenden Rechtsgrundlagen verfügt:
– der Betroffene hat der Verwaltung seiner personenbezogenen Daten zugestimmt
– die Datenverwaltung wird zur Erfüllung eines Vertrags benötigt, in dem eine der Vertragsparteien der Betroffene ist
– die Datenverwaltung wird zur Erfüllung einer Rechtspflicht bezüglich des Datenverwalters benötigt
– die Datenverwaltung wird wegen des Schutzes lebenswichtiger Interessen des Betroffenen benötigt
– die Datenverwaltung wird zur Durchführung von Aufgaben im öffentlichen Interesse benötigt
– die Datenverwaltung wird zur Geltendmachung der berechtigten Interessen des Datenverwalters oder Dritter benötigt, die Fälle ausgenommen, wenn diesen Interessen gegenüber Interessen oder grundsätzliche Rechte und Freiheiten des Betroffenen, die den Schutz der personenbezogenen Daten notwendig machen, Priorität haben.
11.3 Die Gesamtheit der vom Datenverwalter verwalteten personenbezogenen Daten, das Ziel der Datenverwaltung und die Zeitdauer der Rechtsgrundlage sind im Register der Datenverwaltungstätigkeiten, das die Anlage Nr. 1 vorliegender Regelung bildet und auf der Website des Datenverwalters veröffentlicht wird, enthalten.
Im Datenverwaltungsregister sind enthalten:
– das Ziel der Datenverwaltung,
– der Datentyp,
– die Rechtsgrundlage der Datenverwaltung,
– der Kreis der Betroffenen,
– die Quelle der Daten,
– die Art, der Adressat und die Rechtsgrundlage der Weiterleitung der Daten,
– die Frist der Löschung des gegebenen Datentyps,
– falls die Daten verarbeitet werden, die Daten des Datenverarbeiters, der Ort der Datenverarbeitung, die Tätigkeit des Datenverarbeiters in Verbindung mit der Datenverwaltung.
In Verbindung mit den im Datenverwaltungsregister angegeben Datenverwaltungen werden separate Informationsblätter zur Datenverwaltung angefertigt, die die Anlagen Nr. 1-21 des Registers bilden.
11.4. Zeitdauer der Datenverwaltung
Die Daten dürfen möglichst kurze Zeit gespeichert werden. Bei der Festlegung dieser Zeitdauer sind zu berücksichtigen, aus welchem Grund der Datenverwalter Daten verwaltet, ferner die Rechtsvorschriften über die Bewahrung der Daten für eine bestimmte Zeit.
11.5. Innere Weiterleitung der Daten
Innerhalb des Organs des Datenverwalters dürfen personenbezogene Daten nur nach dem Prinzip der Zielgebundenheit weitergeleitet werden und das Zugriffsrecht auf die Daten darf nur bei einem entsprechenden Ziel gewährt werden.
11.6. Weiterleitung von Daten an Dritte
Personenbezogene Daten dürfen an Dritte nur nach gesetzlichen Vorschriften oder auf Grund der Zustimmung des Betroffenen weitergeleitet werden, wenn die Voraussetzungen für die Datenverwaltung bezüglich sämtlicher personenbezogenen Daten in Erfüllung gehen. Vor der Weiterleitung der Daten hat der Datenverwalter zu prüfen, ob deren gesetzliche Voraussetzungen bestehen und nach der Weiterleitung die Voraussetzungen für die Datenverwaltung bei sämtlichen personenbezogenen Daten einzeln erfüllt werden. Vor der Weiterleitung von Daten, die sich auf denselben Betroffenen beziehen, an dieselben Datenverwalter mit demselben Ziel ist in die Prüfung der Rechtmäßigkeit der Datenweiterleitung auch der Datenschutzbeamte einzubeziehen. Bei den nachfolgenden Datenweiterleitungen sind keine separaten Prüfungen abzuwickeln. Der Datenschutzbeamte hat über die Datenweiterleitung ein Datenweiterleitungs-Register zu führen und es vorschriftsmäßig zu speichern. Das Datenweiterleitungs-Register ist bis zum Ende des fünften Jahres (bei besonderen Daten zwanzig Jahre lang) nach der Datenübernahme beziehungsweise der Datenweiterleitung aufzubewahren.
Im Datenverwaltungsregister sind enthalten:
– der Zeitpunkt der Weiterleitung der vom Datenweiterleiter verwalteten personenbezogenen Daten,
– die Gesamtheit der weitergeleiteten Daten,
– die Rechtsgrundlage und der Adressat der Datenweiterleitung (Bezeichnung, Adresse, Firmensitz,)
– der Name und die Telefonnummer des Zuständigen für die Datenweiterleitung.
11.7 Datenweiterleitung ins Ausland oder in Drittländer
Vor der Weiterleitung der Daten hat der Datenverwalter unter Einbezug des Datenschutzbeamten zu prüfen, oder deren gesetzliche Voraussetzungen bestehen und nach der Weiterleitung die Voraussetzungen für die Datenverwaltung bei sämtlichen personenbezogenen Daten einzeln erfüllt werden.
11.8 Vom Datenverwalter werden keine besonderen Daten einschließlich der biometrischen Daten verwaltet.
12. Zwischenfall im Datenschutz
Unter Zwischenfall im Datenschutz wird gemäß DSVGO eine derartige Verletzung der Sicherheit verstanden, aus der die zufällige oder rechtswidrige Vernichtung, Verlust, Veränderung, unberechtigte Veröffentlichung der weitergeleiteten, gespeicherten oder anderswie verwalteten personenbezogenen Daten oder der unberechtigte Zugang zu ihnen resultiert
12.1 Meldung des Zwischenfalls im Datenschutz
Der Datenverwalter hat den Zwischenfall im Datenschutz unverzüglich, wenn es möglich ist, spätestens 72 Stunden nach der Kenntnisnahme des Zwischenfalls im Datenschutz bei der zuständigen Überwachungsbehörde zu melden, den Fall ausgenommen, wenn es wahrscheinlich gemacht werden kann, dass der Zwischenfall im Datenschutz kein Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet. Falls es nicht binnen 72 Stunden zur Meldung kommt, sind auch die Gründe des Verzugs anzugeben.
12.2 Prüfung und Verwaltung des Zwischenfalls im Datenschutz
Die Meldung wird vom Datenschutzbeamten geprüft, er fordert den Melder zur Datenlieferung auf, die der Melder unverzüglich, aber spätestens binnen 2 Tagen zu erfüllen hat.
Die Datenlieferung hat zu enthalten
– den Zeitpunkt und den Ort des Zwischenfalls
– die Beschreibung, die Umstände und die Wirkungen des Zwischenfalls
– den Umfang und die Zahl der beim Zwischenfall betroffenen Daten
– den Umfang der Personen, auf die sich die Daten beziehen
– die Beschreibung der Maßnahmen, die zum Schutz des Zwischenfalls getroffen worden sind,
– die Beschreibung der Maßnahmen zur Vorbeugung, dem Schutz und der Minderung der Schäden.
Der Datenschutzbeamte unterbreitet einen Vorschlag zu den benötigten Maßnahmen. Der für die Verwaltung und Verarbeitung der Daten Zuständige hat über die einzelnen Maßnahmen zur Behebung des Zwischenfalls im Datenschutz binnen 2 Arbeitstagen nach der Durchführung der gegebenen Maßnahmen den Datenschutzbeamten zu informieren.
12.3 Registration des Zwischenfalls im Datenschutz
Der Datenverwalter hat die Zwischenfälle im Datenschutz zu registrieren. Gemäß DSVGO hat der Datenverwalter geeignete technische und organisatorische Maßnahmen zu treffen, um die Verletzbarkeiten und die Zwischenfälle in der Sicherheit aufdecken und auswerten zu können. Auf diese Weise hat der Datenverwalter über die Dokumentierung der Zwischenfälle im Datenschutz hinaus geeignete Prozesse anzuwenden und geeignete Maßnahmen zu treffen, um die Zwischenfälle in der Sicherheit rechtzeitig aufzudecken und zu beheben.
13. Wirkung und Änderung vorliegender Regelung
Vorliegende Regelung tritt am 1. März 2019 in Kraft. Der Datenverwalter ist berechtigt, die Regelung jederzeit selbstständig zu ändern, wenn die Änderung nicht gegen die geltenden Rechtsvorschriften verstößt. Die Regelung kann am Firmensitz des Datenverwalters eingesehen werden.
Budapest, den 1. März 2019
Spirit Hotel Kft.
Pocsai Alex, Geschäftsführer