Richtlinien zur Datenverarbeitung
Zweck der Rechtlinie
Der Zweck dieser Richtlinie besteht darin, die Bestimmungen der internen Vorschriften der Organisation in Bezug auf Datenverarbeitungsaktivitäten zu harmonisieren, um die Grundrechte und Freiheiten natürlicher Personen zu schützen und eine ordnungsgemäße Handhabung personenbezogener Daten zu gewährleisten.
Die Organisation strebt an, die gesetzlichen Anforderungen im Zusammenhang mit der Verarbeitung personenbezogener Daten vollständig zu erfüllen, insbesondere die Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
Ein weiteres wichtiges Ziel dieser Richtlinie ist es, sicherzustellen, dass die Mitarbeiter der Organisation durch ihr Verständnis und die Einhaltung dieser Vorschriften personenbezogene Daten natürlicher Personen rechtmäßig verarbeiten können.
Wichtige Begriffe und Definitionen
-
DSGVO (Datenschutz-Grundverordnung): Die neue Datenschutzverordnung der Europäischen Union.
-
Verantwortlicher: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Falls die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten festgelegt werden, können der Verantwortliche oder die besonderen Kriterien seiner Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt werden.
-
Datenverarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Datensätzen, insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten.
-
Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
-
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren spezifischen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
-
Dritter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die nicht die betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder Personen sind, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten.
-
Einwilligung der betroffenen Person: Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
-
Einschränkung der Verarbeitung: Die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
-
Pseudonymisierung: Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
-
Dateisystem: Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob sie zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet ist.
-
Datenpanne: Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt.
Grundsätze der Datenverarbeitung
Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
Die Datenverarbeitung muss in Bezug auf den Zweck angemessen, relevant und auf das notwendige Maß beschränkt sein.
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Eine längere Speicherung ist nur zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken zulässig.
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung.
Die Grundsätze des Datenschutzes gelten für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Mitarbeiter, die in der Organisation für die Datenverarbeitung verantwortlich sind, unterliegen disziplinarischen, haftungsrechtlichen, verwaltungsrechtlichen und strafrechtlichen Konsequenzen bei Verstößen gegen diese Vorgaben. Wenn ein Mitarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig, unvollständig oder veraltet sind, muss er diese unverzüglich korrigieren oder die Korrektur durch die zuständige Stelle veranlassen.
Verarbeitung personenbezogener Daten
Da natürliche Personen mit Online-Kennungen in Verbindung gebracht werden können, die durch die von ihnen verwendeten Geräte, Anwendungen, Tools und Protokolle bereitgestellt werden – wie IP-Adressen und Cookie-Kennungen –, können diese Daten in Kombination mit anderen Informationen verwendet werden, um Profile natürlicher Personen zu erstellen und sie zu identifizieren.
Die Verarbeitung von Daten darf nur erfolgen, wenn die betroffene Person ihre freiwillige, spezifische, informierte und unmissverständliche Einwilligung durch eine eindeutige bestätigende Handlung gegeben hat, wie z. B. eine schriftliche (auch elektronische) oder mündliche Erklärung.
Die Einwilligung zur Datenverarbeitung gilt auch dann als erteilt, wenn die betroffene Person beim Besuch einer Website ein entsprechendes Kästchen ankreuzt. Stillschweigen, vorausgewählte Kästchen oder Untätigkeit stellen keine Einwilligung dar.
Die Einwilligung kann auch dann angenommen werden, wenn ein Nutzer elektronische Dienste entsprechend konfiguriert oder eine Handlung oder Erklärung vornimmt, die eindeutig seine Zustimmung zur Verarbeitung seiner personenbezogenen Daten im gegebenen Kontext erkennen lässt.
Zu den gesundheitsbezogenen personenbezogenen Daten gehören Informationen über den vergangenen, gegenwärtigen oder zukünftigen physischen oder psychischen Gesundheitszustand der betroffenen Person. Diese umfassen:
-
Die Registrierung für Gesundheitsdienstleistungen;
-
Eine einer natürlichen Person zugewiesene individuelle Kennung für gesundheitsbezogene Zwecke;
-
Informationen, die sich aus der Untersuchung eines Körperteils oder biologischen Materials ergeben – einschließlich genetischer Daten und biologischer Proben;
-
Daten zu Krankheiten, Behinderungen, Krankheitsrisiken, Krankengeschichte, klinischer Behandlung oder physiologischem bzw. biomedizinischem Zustand, unabhängig von der Quelle, die ein Arzt, ein anderer Angehöriger der Gesundheitsberufe, ein Krankenhaus, ein medizinisches Gerät oder ein diagnostischer Test sein kann.
Genetische Daten sind personenbezogene Daten, die sich auf die vererbten oder erworbenen genetischen Merkmale einer natürlichen Person beziehen und durch die Analyse einer von der Person entnommenen biologischen Probe gewonnen werden – insbesondere durch Chromosomenanalyse, DNA- oder RNA-Untersuchung oder andere Verfahren, die die Gewinnung ähnlicher Informationen ermöglichen.
Personenbezogene Daten von Kindern verdienen besonderen Schutz, da sie sich der mit der Datenverarbeitung verbundenen Risiken, Konsequenzen, Garantien und Rechte möglicherweise weniger bewusst sind. Dieser besondere Schutz sollte insbesondere dann angewendet werden, wenn personenbezogene Daten von Kindern für Marketingzwecke oder zur Erstellung persönlicher oder Nutzerprofile verwendet werden.
Personenbezogene Daten müssen auf eine Weise verarbeitet werden, die ein angemessenes Maß an Sicherheit und Vertraulichkeit gewährleistet, einschließlich Maßnahmen zur Verhinderung des unbefugten Zugriffs auf personenbezogene Daten oder ihres Missbrauchs sowie der verwendeten Verarbeitungswerkzeuge.
Alle zumutbaren Maßnahmen müssen ergriffen werden, um unrichtige personenbezogene Daten zu korrigieren oder zu löschen.
Rechtmäßigkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
-
Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben;
-
Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf deren Anfrage hin;
-
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
-
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
-
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
-
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
Auf Grundlage der oben genannten Kriterien ist die Verarbeitung rechtmäßig, wenn sie im Rahmen eines Vertrags oder einer vertraglichen Absicht erforderlich ist.
Erfolgt die Verarbeitung zur Erfüllung einer dem Verantwortlichen auferlegten rechtlichen Verpflichtung oder zur Durchführung einer öffentlichen Aufgabe oder hoheitlichen Tätigkeit, muss sie auf einer gesetzlichen Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats beruhen.
Die Verarbeitung personenbezogener Daten sollte als rechtmäßig angesehen werden, wenn sie zum Schutz des Lebens oder anderer lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erfolgt. Die Verarbeitung personenbezogener Daten zum Schutz der lebenswichtigen Interessen einer anderen natürlichen Person sollte nur erfolgen, wenn sie nicht auf eine andere Rechtsgrundlage gestützt werden kann.
Bestimmte Arten der Verarbeitung personenbezogener Daten können sowohl einem wichtigen öffentlichen Interesse als auch den lebenswichtigen Interessen der betroffenen Person dienen. Dies gilt beispielsweise aus humanitären Gründen, etwa zur Nachverfolgung von Epidemien und ihrer Verbreitung oder zur Reaktion auf humanitäre Notfälle, insbesondere Naturkatastrophen oder von Menschen verursachte Katastrophen.
Der Verantwortliche – einschließlich jeder Partei, der personenbezogene Daten offengelegt werden können – oder ein Dritter kann ein berechtigtes Interesse haben, das die Verarbeitung personenbezogener Daten rechtfertigt. Ein berechtigtes Interesse kann beispielsweise dann bestehen, wenn eine relevante und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, wie etwa im Fall eines Kunden oder Mitarbeiters des Verantwortlichen.
Die Verarbeitung personenbezogener Daten zum Zweck der Betrugsprävention wird ebenfalls als berechtigtes Interesse des Verantwortlichen angesehen.
Direktmarketing-Aktivitäten, die auf der Verarbeitung personenbezogener Daten beruhen, können ebenfalls als berechtigtes Interesse betrachtet werden.
Zur Feststellung des Vorliegens eines berechtigten Interesses muss sorgfältig geprüft werden, ob die betroffene Person zum Zeitpunkt der Datenerhebung und im Zusammenhang damit vernünftigerweise mit einer Verarbeitung für einen bestimmten Zweck rechnen konnte.
Die Interessen und Grundrechte der betroffenen Person können das Interesse des Verantwortlichen überwiegen, wenn personenbezogene Daten unter Umständen verarbeitet werden, unter denen die betroffenen Personen eine weitere Verarbeitung vernünftigerweise nicht erwarten würden.
Zum berechtigten Interesse eines Verantwortlichen gehören auch die Interessen öffentlicher Behörden, Vorfallreaktionsteams, Netzsicherheitsteams sowie Betreiber und Anbieter elektronischer Kommunikationsnetze.
Einwilligung der betroffenen Person, Bedingungen
-
Wenn die Verarbeitung auf einer Einwilligung basiert, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Falls die betroffene Person die Einwilligung im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, muss die Bitte um Einwilligung in einer Weise präsentiert werden, die sie klar von diesen anderen Angelegenheiten unterscheidet. -
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf der Einwilligung vor deren Widerruf beruhte. Die betroffene Person muss vor der Erteilung der Einwilligung darüber informiert werden. Der Widerruf der Einwilligung muss genauso einfach sein wie deren Erteilung.
-
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, sollte insbesondere berücksichtigt werden, ob die Erfüllung eines Vertrags, einschließlich der Erbringung von Dienstleistungen, an die Einwilligung zur Verarbeitung personenbezogener Daten geknüpft ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
-
Im Falle der Verarbeitung personenbezogener Daten im Zusammenhang mit Diensten der Informationsgesellschaft, die direkt Kindern angeboten werden, ist die Verarbeitung rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat. Ist das Kind unter 16 Jahre alt, ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn die Einwilligung von der oder dem Sorgeberechtigten erteilt oder genehmigt wurde.
Die Verarbeitung personenbezogener Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit offenlegen, sowie die Verarbeitung genetischer und biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person ist untersagt, es sei denn, die betroffene Person hat ausdrücklich für einen oder mehrere festgelegte Zwecke eingewilligt.
Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder damit verbundenen Sicherheitsmaßnahmen darf nur erfolgen, wenn sie unter der Aufsicht einer zuständigen Behörde durchgeführt wird.
Datenverarbeitung ohne Identifizierung
Falls der Verantwortliche personenbezogene Daten zu Zwecken verarbeitet, die keine Identifizierung der betroffenen Person erfordern oder nicht mehr erfordern, ist er nicht verpflichtet, zusätzliche Informationen zu speichern, um die betroffene Person zu identifizieren.
Falls der Verantwortliche nachweisen kann, dass er die betroffene Person nicht identifizieren kann, muss er sie darüber informieren, sofern dies möglich ist, auf angemessene Weise.
Informierung und Rechte der betroffenen Person
Das Prinzip der fairen und transparenten Verarbeitung verlangt, dass die betroffene Person über die Verarbeitung ihrer Daten und deren Zwecke informiert wird.
Wenn personenbezogene Daten von der betroffenen Person erhoben werden, muss sie auch darüber informiert werden, ob die Bereitstellung der personenbezogenen Daten eine gesetzliche oder vertragliche Voraussetzung ist und welche Folgen eine Nichtbereitstellung hätte. Diese Informationen können durch standardisierte Symbole ergänzt werden, um eine klare, leicht verständliche und gut lesbare Übersicht über die geplante Verarbeitung zu bieten.
Die Informierung über die Verarbeitung personenbezogener Daten der betroffenen Person muss zum Zeitpunkt der Datenerhebung oder, wenn sie aus einer anderen Quelle stammt, innerhalb einer angemessenen Frist unter Berücksichtigung der Umstände erfolgen.
Die betroffene Person hat das Recht auf Zugang zu ihren gesammelten Daten und muss dieses Recht einfach und in angemessenen Abständen ausüben können, um die Rechtmäßigkeit der Verarbeitung zu überprüfen. Jede betroffene Person sollte insbesondere das Recht haben, die Zwecke der Verarbeitung ihrer personenbezogenen Daten sowie, soweit möglich, die geplante Dauer der Verarbeitung zu erfahren.
Die betroffene Person hat das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen und deren weitere Verarbeitung zu unterbinden, wenn die Daten für die ursprünglichen Zwecke nicht mehr erforderlich sind oder wenn die betroffene Person ihre Einwilligung widerruft.
Wenn personenbezogene Daten für Direktmarketingzwecke verarbeitet werden, muss die betroffene Person das Recht haben, jederzeit und kostenlos der Verarbeitung ihrer personenbezogenen Daten für diese Zwecke zu widersprechen.
Überprüfung personenbezogener Daten
Um sicherzustellen, dass personenbezogene Daten nur für die notwendige Dauer gespeichert werden, legt der Verantwortliche Lösch- oder regelmäßige Überprüfungsfristen fest.
Die vom Management der Organisation festgelegte regelmäßige Überprüfungsfrist beträgt 1 Jahr.
Verantwortlichkeiten des Verantwortlichen
Der Verantwortliche wendet geeignete interne Datenschutzrichtlinien an, um eine rechtmäßige Verarbeitung zu gewährleisten. Diese Vorschrift umfasst den Geltungsbereich und die Verantwortlichkeiten des Verantwortlichen.
Der Verantwortliche ist verpflichtet, geeignete und wirksame Maßnahmen zu ergreifen und nachweisen zu können, dass die Verarbeitungstätigkeiten den geltenden Vorschriften entsprechen.
Diese Vorschrift sollte unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen erstellt werden.
Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen um, die sich an der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie an der unterschiedlichen Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen orientieren.
Auf Grundlage dieser Richtlinie werden andere interne Vorschriften überprüft und bei Bedarf aktualisiert.
Der Verantwortliche oder Auftragsverarbeiter führt geeignete Aufzeichnungen über die Verarbeitungstätigkeiten im Rahmen seiner Zuständigkeit. Jeder Verantwortliche und Auftragsverarbeiter muss mit der Aufsichtsbehörde kooperieren und diese Aufzeichnungen auf Anfrage zur Verfügung stellen, um die Überwachung der relevanten Datenverarbeitungsvorgänge zu erleichtern.
Rechte im Zusammenhang mit der Datenverarbeitung
Recht auf Auskunft
Jede Person kann über die angegebenen Kontaktdaten Auskunft darüber verlangen, welche Daten die Organisation verarbeitet, auf welcher rechtlichen Grundlage, zu welchem Zweck, aus welcher Quelle und für welchen Zeitraum. Auf Anfrage müssen die Informationen unverzüglich, spätestens jedoch innerhalb von 30 Tagen, an die angegebenen Kontaktdaten bereitgestellt werden.
Recht auf Berichtigung
Jede Person kann über die angegebenen Kontaktdaten die Änderung ihrer Daten verlangen. Auf Anfrage müssen die Änderungen unverzüglich, spätestens jedoch innerhalb von 30 Tagen vorgenommen und an die angegebenen Kontaktdaten übermittelt werden.
Recht auf Löschung
Jede Person kann über die angegebenen Kontaktdaten die Löschung ihrer Daten verlangen. Dies muss unverzüglich, spätestens jedoch innerhalb von 30 Tagen erfolgen, und die Person muss über die angegebenen Kontaktdaten benachrichtigt werden.
Recht auf Einschränkung der Verarbeitung
Jede Person kann über die angegebenen Kontaktdaten die Einschränkung der Verarbeitung ihrer Daten verlangen. Die Einschränkung bleibt bestehen, solange der angegebene Grund die Speicherung der Daten erfordert. Auf Anfrage muss die Einschränkung unverzüglich, spätestens jedoch innerhalb von 30 Tagen umgesetzt und an die angegebenen Kontaktdaten kommuniziert werden.
Widerspruchsrecht
Jede Person kann über die angegebenen Kontaktdaten der Datenverarbeitung widersprechen. Der Widerspruch muss so schnell wie möglich, spätestens jedoch innerhalb von 15 Tagen nach Eingang überprüft und eine Entscheidung über seine Gültigkeit getroffen werden. Die Entscheidung muss an die angegebenen Kontaktdaten übermittelt werden.
Rechtsbehelfe im Zusammenhang mit der Datenverarbeitung
Nationale Behörde für Datenschutz und Informationsfreiheit
Postanschrift: 1530 Budapest, Pf.: 5.
Adresse: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-Mail: ugyfelszolgalat (at) naih.hu
URL: https://naih.hu
Koordinaten: N 47°30'56''; E 18°59'57''
Im Falle einer Verletzung ihrer Rechte kann die betroffene Person vor Gericht gegen den für die Verarbeitung Verantwortlichen vorgehen. Das Gericht behandelt das Verfahren vorrangig. Die Klage kann vor dem zuständigen Gericht am Wohnsitz oder am vorübergehenden Aufenthaltsort der betroffenen Person eingereicht werden.
Verantwortlichkeiten der Organisation zur Gewährleistung eines ordnungsgemäßen Datenschutzes
-
Sensibilisierung für den Datenschutz: Sicherstellung der fachlichen Kompetenz zur Einhaltung gesetzlicher Vorschriften. Schulungen und Unterweisungen der Mitarbeiter in die geltenden Vorschriften sind unerlässlich.
-
Überprüfung des Zwecks und der Richtlinien der Datenverarbeitung: Sicherstellung einer rechtmäßigen Datenverarbeitung im Einklang mit den Datenschutzvorschriften.
-
Angemessene Information der betroffenen Personen: Sicherstellung, dass bei einwilligungsbasierter Verarbeitung der Verantwortliche nachweisen kann, dass die betroffene Person ihre Einwilligung erteilt hat.
-
Klare und verständliche Informierung: Die bereitgestellten Informationen müssen prägnant, leicht zugänglich und verständlich sein und in einer klaren und einfachen Sprache vermittelt werden.
-
Transparenz der Datenverarbeitung: Die betroffenen Personen müssen vor Beginn der Verarbeitung über deren Zwecke und Umstände informiert werden. Das Informationsrecht besteht bis zum Abschluss der Verarbeitung.
-
Wesentliche Rechte der betroffenen Personen:
-
Zugang zu ihren personenbezogenen Daten
-
Berichtigung ihrer personenbezogenen Daten
-
Löschung ihrer personenbezogenen Daten
-
Einschränkung der Verarbeitung ihrer personenbezogenen Daten
-
Widerspruch gegen Profiling und automatisierte Verarbeitung
-
Recht auf Datenübertragbarkeit
-
-
Fristgerechte Antwort: Der Verantwortliche muss die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags informieren. Falls erforderlich, kann diese Frist unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei Monate verlängert werden.
-
Überprüfung der Datenverarbeitung: Regelmäßige Überprüfung der Datenverarbeitungstätigkeiten zur Wahrung des Rechts auf informationelle Selbstbestimmung.
-
Eindeutige Einwilligung: Die Einwilligung muss klar zum Ausdruck bringen, dass die betroffene Person mit der Verarbeitung ihrer Daten einverstanden ist. Falls die Datenverarbeitung auf Einwilligung beruht, muss der Verantwortliche dies nachweisen können.
-
Schutz von Daten Minderjähriger: Besondere Aufmerksamkeit ist den Vorschriften zur Verarbeitung von Kinderdaten zu widmen. Die Verarbeitung ist zulässig, wenn das Kind über 16 Jahre alt ist oder – falls jünger – eine Einwilligung oder Genehmigung durch die Eltern erfolgt.
-
Meldepflicht bei unrechtmäßiger Verarbeitung: Die Aufsichtsbehörde ist unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden eines Datenschutzverstoßes zu benachrichtigen.
-
Datenschutz-Folgenabschätzung (DPIA): Vor der Verarbeitung ist eine Datenschutz-Folgenabschätzung durchzuführen, um die Auswirkungen auf den Schutz personenbezogener Daten zu bewerten.
-
Ernennung eines Datenschutzbeauftragten (DPO): Erforderlich, wenn die Verarbeitung eine groß angelegte Überwachung oder Verarbeitung besonderer Kategorien personenbezogener Daten umfasst.
Datensicherheit
Daten müssen mit geeigneten Maßnahmen geschützt werden, insbesondere vor unbefugtem Zugriff, Veränderung, Übertragung, Offenlegung, Löschung oder Zerstörung sowie vor zufälligem Verlust oder Beschädigung und Unzugänglichkeit aufgrund von Änderungen in der angewandten Technologie.
Zum Schutz elektronisch verwalteter Datensätze müssen geeignete technische Lösungen implementiert werden, um sicherzustellen, dass die in den Datensätzen gespeicherten Daten nicht direkt mit der betroffenen Person verknüpft oder ihr zugeordnet werden können.
Bei der Planung und Umsetzung von Datensicherheitsmaßnahmen muss der aktuelle Stand der technologischen Entwicklung berücksichtigt werden. Unter mehreren möglichen Lösungen für die Datenverarbeitung sollte diejenige gewählt werden, die ein höheres Maß an Schutz für personenbezogene Daten gewährleistet, es sei denn, sie würde eine unverhältnismäßige Belastung für den Verantwortlichen darstellen.
Datenschutzbeauftragter
Die Ernennung eines Datenschutzbeauftragten (DSB) ist in den folgenden Fällen verpflichtend:
-
Die Datenverarbeitung wird von einer öffentlichen Behörde oder einer anderen Einrichtung durchgeführt, die öffentliche Aufgaben wahrnimmt, mit Ausnahme von Gerichten, die in ihrer richterlichen Funktion handeln.
-
Die Haupttätigkeiten des Verantwortlichen oder des Auftragsverarbeiters bestehen in Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs oder ihres Zwecks eine regelmäßige und systematische umfangreiche Überwachung betroffener Personen erfordern.
-
Die Haupttätigkeiten des Verantwortlichen oder des Auftragsverarbeiters umfassen die umfangreiche Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.
Falls die Ernennung eines Datenschutzbeauftragten verpflichtend ist, gelten folgende Regeln:
Der Datenschutzbeauftragte muss aufgrund seiner fachlichen Qualifikation ernannt werden, insbesondere aufgrund seiner Expertise im Datenschutzrecht und in der Datenschutzpraxis sowie seiner Fähigkeit, Datenschutzaufgaben wahrzunehmen.
Der Datenschutzbeauftragte kann entweder ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben im Rahmen eines Dienstleistungsvertrags erfüllen.
Der Verantwortliche oder der Auftragsverarbeiter muss den Namen und die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der Aufsichtsbehörde mitteilen.
Status des Datenschutzbeauftragten
Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Angelegenheiten einbezogen wird, die den Schutz personenbezogener Daten betreffen. Zudem müssen ihm die erforderlichen Ressourcen zur Verfügung gestellt werden, um sein Fachwissen auf dem neuesten Stand zu halten.
Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Weisungen von anderen erhalten. Der Verantwortliche oder der Auftragsverarbeiter darf den Datenschutzbeauftragten nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligen. Der Datenschutzbeauftragte berichtet direkt an die höchste Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
Betroffene Personen können sich in allen Fragen der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte an den Datenschutzbeauftragten wenden.
Der Datenschutzbeauftragte unterliegt einer Geheimhaltungs- oder Vertraulichkeitspflicht im Zusammenhang mit der Wahrnehmung seiner Aufgaben.
Der Datenschutzbeauftragte kann auch andere Aufgaben übernehmen, sofern dadurch kein Interessenkonflikt mit seinen Datenschutzaufgaben entsteht.
Aufgaben des Datenschutzbeauftragten
-
Informierung und fachliche Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der an der Datenverarbeitung beteiligten Mitarbeiter.
-
Überwachung der Einhaltung interner Vorschriften zum Schutz personenbezogener Daten innerhalb des Verantwortlichen oder des Auftragsverarbeiters.
-
Auf Anfrage fachliche Beratung zur Datenschutz-Folgenabschätzung sowie Überwachung ihrer Durchführung.
-
Zusammenarbeit mit der Aufsichtsbehörde.
Datenschutzvorfall
Ein Datenschutzvorfall ist eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt.
Unzureichende oder verspätete Maßnahmen als Reaktion auf einen Datenschutzvorfall können physische, materielle oder immaterielle Schäden für betroffene Personen verursachen, wie etwa den Verlust der Kontrolle über personenbezogene Daten, Einschränkungen von Rechten, Diskriminierung, Identitätsdiebstahl oder Betrug.
Ein Datenschutzvorfall muss der zuständigen Aufsichtsbehörde unverzüglich und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden gemeldet werden, es sei denn, es kann nach dem Grundsatz der Rechenschaftspflicht nachgewiesen werden, dass der Vorfall voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Falls der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt, muss die betroffene Person unverzüglich informiert werden, damit sie die notwendigen Vorsichtsmaßnahmen ergreifen kann.
Datenverarbeitung zu Verwaltungs- und Aufzeichnungszwecken
Die Organisation kann personenbezogene Daten in Zusammenhang mit ihren Aktivitäten sowie zu Verwaltungs- und Aufzeichnungszwecken verarbeiten.
Die Grundlage der Datenverarbeitung ist die freiwillige und ausdrückliche Einwilligung der betroffenen Person, die nach vorheriger angemessener Information erteilt wird. Die detaillierten Informationen müssen den Zweck, die Rechtsgrundlage und die Dauer der Datenverarbeitung sowie die Rechte der betroffenen Person umfassen. Die betroffene Person muss darüber informiert werden, dass die Bereitstellung der Daten freiwillig ist. Die Einwilligung zur Datenverarbeitung muss schriftlich dokumentiert werden.
Die Datenverarbeitung zu Verwaltungs- und Aufzeichnungszwecken dient folgenden Zielen:
-
Verwaltung der Daten von Mitgliedern und Mitarbeitern der Organisation, basierend auf gesetzlichen Verpflichtungen;
-
Verwaltung der Daten von Personen, die in einem Vertragsverhältnis mit der Organisation stehen, zu Kontakt-, Buchhaltungs- und Aufzeichnungszwecken;
-
Verwaltung der Kontaktdaten von Vertretern anderer Organisationen, Institutionen und Unternehmen, die in einer Geschäftsbeziehung mit der Organisation stehen, einschließlich persönlicher Kontakt- und Identifikationsdaten.
Die oben genannten Datenverarbeitungen beruhen teilweise auf gesetzlichen Verpflichtungen und teilweise auf der ausdrücklichen Einwilligung der betroffenen Person (z. B. für Arbeitsverträge oder die Registrierung von Partnern auf der Website).
Wenn die Organisation schriftliche Dokumente mit personenbezogenen Daten erhält (z. B. Lebensläufe, Bewerbungen oder andere Einsendungen), wird die Zustimmung der betroffenen Person als erteilt angesehen. Nach Abschluss des jeweiligen Falls müssen die Dokumente, sofern keine weitere Nutzung autorisiert wurde, vernichtet und die Vernichtung dokumentiert werden.
Bei der administrativen Datenverarbeitung werden personenbezogene Daten ausschließlich in den relevanten Fallakten und Aufzeichnungen geführt. Die Verarbeitung solcher Daten dauert an, bis die Dokumente, die als Grundlage der Verarbeitung dienen, entsorgt werden.
Um sicherzustellen, dass personenbezogene Daten nur für die erforderliche Dauer gespeichert werden, muss die administrative und aufzeichnungsbezogene Datenverarbeitung jährlich überprüft werden. Ungenaue personenbezogene Daten müssen unverzüglich gelöscht werden. Die Einhaltung der geltenden gesetzlichen Bestimmungen ist auch bei der administrativen und aufzeichnungsbezogenen Datenverarbeitung zu gewährleisten.
Datenverarbeitung zu anderen Zwecken
Beabsichtigt die Organisation eine Datenverarbeitung, die nicht durch diese Richtlinie abgedeckt ist, muss sie zunächst diese interne Vorschrift entsprechend ändern und den neuen Zweck der Datenverarbeitung mit entsprechenden Unterregeln integrieren.
Andere mit dieser Richtlinie verbundene Dokumente
Dokumente und Vorschriften, die den Datenschutz und die Datenverarbeitung betreffen, müssen mit dieser Richtlinie verknüpft und gemeinsam verwaltet werden. Dazu gehören beispielsweise schriftliche Einwilligungserklärungen zur Datenverarbeitung oder verpflichtende Datenschutzerklärungen für Websites.
Rechtsgrundlage der Datenverarbeitung
-
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO).
-
Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Freiheit der Information.
-
Gesetz LXVI von 1995 über öffentliche Archive, das Archivwesen und den Schutz privaten Archivguts.
-
Regierungsverordnung 335/2005 (XII. 29.) über die allgemeinen Anforderungen an die Dokumentenverwaltung öffentlicher Stellen.
-
Gesetz CVIII von 2001 über elektronische Handelsdienstleistungen und bestimmte Fragen im Zusammenhang mit Diensten der Informationsgesellschaft.
-
Gesetz C von 2003 über elektronische Kommunikation.
Anwendung der Datenschutz- und Datenverarbeitungsrichtlinie
-
Name der Organisation: Reverto-Global Kft.
-
Sitz der Organisation: 9090 Pannonhalma, Prinz Imre Straße 2.
-
Für den Inhalt der Richtlinie verantwortliche Person: József Kránitz
-
Datum des Inkrafttretens der Richtlinie: 05.01.2023
Diese Richtlinie legt die Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr fest. Die Bestimmungen dieser Richtlinie sind bei allen Datenverarbeitungstätigkeiten sowie bei der Erteilung von Anweisungen und Mitteilungen zur Datenverarbeitung anzuwenden.
Die Verpflichtung zur Ernennung eines Datenschutzbeauftragten (DSB) gilt für alle öffentlichen Behörden und Stellen, die öffentliche Aufgaben wahrnehmen (unabhängig von der Art der verarbeiteten Daten), sowie für Organisationen, deren Haupttätigkeit die groß angelegte systematische Überwachung von Personen oder die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang umfasst.
Die Organisation beschäftigt keinen Datenschutzbeauftragten.
Geltungsbereich der Richtlinie
Diese Richtlinie bleibt bis zu ihrem Widerruf in Kraft und gilt für die Führungskräfte und Mitarbeiter der Organisation.
Datum: 05.01.2023
....................................................
Leiter der Organisation