ALLGEMEINER DATENSCHUTZ
3. Prinzipien der Datenverarbeitung
4. Allgemeine Informationen im Zusammenhang mit der Datenverarbeitung
4.1. Allgemeine Informationen zu den einzelnen obigen Datenverarbeitungen
5. Allgemeine Informationen im Zusammenhang mit den einzelnen Datenverarbeitungen
5.1. Datenverarbeitungen bei Käufen und Erbringung von Dienstleistungen
5.3. Datenverarbeitung beim Extreme Digital Kundendienst und Beschwerdemanagement
6. Information zu den rechten der betroffenen Person
6.1. Recht auf Auskunft und Zugang zu den verarbeiteten personenbezogenen Daten
6.4. Recht auf Einschränkung der Verarbeitung
6.5.Recht auf Datenübertragbarkeit
6.8. Maßnahmen zur Datensicherheit
6.9. Sicherheit der in Papierform verarbeiteten personenbezogenen Daten
6.10.Sicherheit der digital gespeicherten personenbezogenen Daten
6.11.Verfahren für den Fall, dass die betroffene Person die Ausübung der obigen Rechte beantragt
8. Wie Sie ihre anmerkungen, fragen und beschwerden mitteilen können
1. Einführung
Die Extreme Digital Zártkörűen Működő Részvénytársaság (Sitz: 1033 Budapest, Szentendrei út 89-95. X. ép., Handelsregisternummer: 01-10-045869, nachfolgend: „Datenverwalter“) stellt in den vorliegenden Datenschutzregelung (nachfolgend: „Regelung“) dar, wie sie die personenbezogenen Daten ihrer Kunden sammelt, verwendet, übermittelt, weiterleitet und speichert. Der Datenverwalter erklärt, dass die vorliegende Regelung den gültigen Datenschutzvorschriften entspricht.
Der Datenverwalter ist jederzeit berechtigt, die vorliegende Regelung einseitig zu ändern, damit sie den jeweils gültigen Bestimmungen der Rechtsnorm entspricht, und zwar einschließlich Modifizierungen im Zusammenhang mit Änderungen bei den Dienstleistungen des Datenverwalters. Die Betroffenen werden über die Änderungen der vorliegenden Regelung gleichzeitig mit der Änderung auf der Webseite www.edigital.at informiert.
Sollten Sie Fragen zur vorliegenden Regelung haben, stellen Sie sie uns bitte unter der E-Mail-Adresse. Unser Datenschutzbeauftragter wird Ihre Fragen beantworten. Die vorliegende Regelung und deren jeweilige Änderungen finden Sie unter der Adresse www.edigital.at/data-at.
Bei der Verfassung der vorliegenden Regelung hat der Datenverwalter folgende Rechtsvorschriften berücksichtigt:
-
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (nachfolgend: „DSGVO“)
-
Gesetz Nr. CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit (ung. Abk. und nachfolgend Infotv.“)
-
Gesetz Nr. V von 2013 über das Bürgerliche Gesetzbuch (ung. Abk. und nachfolgend „Ptk.“)
-
Gesetz Nr. XLVIII von 2008 über die grundlegenden Bedingungen und einzelnen Beschränkungen der Wirtschaftswerbung (ung. Abk. und nachfolgend „Grt.“)
-
Gesetz Nr. CVIII von 2001 über die elektronischen Dienstleistungen im Handel und einzelne Fragen der mit dem Informationsgesellschaft zusammenhangenden Dienstleistungen (ung. Abk. und nachfolgend „Eker. tv.“)
-
Gesetz Nr. CXIX von 1995 über die Verwaltung von Namens- und Adressdaten zu Forschungs- und Direktmarketingzwecken (ung. Abk. und nachfolgend „Direktmarketing tv.“)
-
Gesetz Nr. CXXXIII von 2005 über die Regelung der Tätigkeiten Personen- und Eigentumsschutz sowie als Privatdetektiv (ung. Abk. und nachfolgend „Szvtv.“)
-
Gesetz Nr. C von 2000 über die Rechnungsführung (ung. Abk. und nachfolgend „Számv. tv.“)
-
Gesetz Nr. CL von 2017 über die Ordnung der Besteuerung (ung. Abk. und nachfolgend „Art.“)
-
Gesetz Nr. CLV von 1997 über den Verbraucherschutz (ung. Abk. und nachfolgend „Fgy. tv.“)
-
Gesetz Nr. CLIX von 2012 über die Postdienstleistungen (ung. Abk. und nachfolgend „Posta tv.“)
2. BEGRIFFSBESTIMMUNGEN
In der vorliegenden Regelung wird unter den folgenden Begriffen Folgendes verstanden:
„Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
„Verarbeitung“: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Einschränkung der Verarbeitung“: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
„Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das einheimische Recht vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem einheimischen Recht vorgesehen werden.
„Verletzung des Schutzes personenbezogener Daten“: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
„Pseudonymisierung“: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
„biometrische Daten“: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als systematische Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen, das SZIGET nimmt solche speziellen Instrumente nicht in Anspruch.
„Empfänger“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem einheimischen Recht möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
„Cookie“: das Cookie ist eine kurze Textdatei, die unser Webserver auf das Gerät der betroffenen Person sendet (egal, ob es um einen beliebigen Computer, Handy oder Tablet geht) und zurücksendet. Es gibt temporäre Cookies (auch als Session-Cookies bezeichnet), die auf Ihrem Gerät beim Schließen des Browsers automatisch gelöscht werden, und dauerhafte Cookies, die über längere Zeit auf dem Gerät der betroffenen Person gespeichert werden (das hängt auch von den Einstellungen auf dem Gerät des Betroffenen ab).
„Gesundheitsdaten“: personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
„betroffene Person“: die aufgrund der personenbezogenen Daten identifizierte oder - unmittelbar oder mittelbar - identifizierbare Person, die in jedem Fall eine bestimmte Person sein muss. Ausschließlich natürliche Personen gelten als betroffene Personen, also keine juristischen Personen, somit schützt der Datenschutz nur die Daten von natürlichen Personen. Als personenbezogene Daten gelten aber auch die Daten des Einzelunternehmers oder eines Vertreters der Firma (z. B. Telefonnummer, E-Mail-Adresse, Geburtsort, und -datum usw.).
„Einwilligung der betroffenen Person“: jede freiwillig für einen konkreten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
„Dritter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
„Drittland“: das Land, das kein Mitgliedstaat der Europäischen Union und des Europäischen Wirtschaftsraums ist. Die Mitgliedstaaten der Europäischen Union können völkerrechtliche Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf die DSGVO noch auf andere Bestimmungen des Unionsrechts auswirken.
„verbindliche interne Datenschutzvorschriften“: Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.
„Profiling“: jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
„Fachgeschäft“: Fachgeschäfte von Extreme Digital.
„personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
„internationale Organisation“: eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
„Dateisystem“: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
„Unternehmen“: eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.
„Datenschutzbeauftragter“: Der Verantwortliche bestellt, mit besonderer Rücksicht darauf, dass die Führung des Webshops auch solche Operationen in der Datenverwaltung umfasst, die aufgrund ihrer Eigenschaften, Geltungsbereiche und/oder Zwecke eine regelmäßige und systematische Verfolgung von großem Ausmaß der betroffenen Personen notwendig machen (insbesondere aber nicht ausschließlich die Kundenzahl beim Datenverwalter und die mit dem Webshop verbundene, auf Retargeting beruhende Profiling- und Werbetätigkeit aufgrund der Zustimmung der Kunden), einen Datenschutzbeauftragten.
Der Verantwortliche stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Der Datenschutzbeauftragte nimmt bei der Ausführung seiner Aufgaben von niemandem Anweisungen an, niemand kann ihn im Zusammenhang mit der Ausführung seiner Aufgaben instruieren, er kann im Zusammenhang mit der Ausführung seiner Aufgaben nicht entlassen und auch nicht sanktioniert werden. Der Datenschutzbeauftragte ist dem Vorstand des Verantwortlichen gegenüber zur Rechenschaft verpflichtet, d. h., er ist im Zusammenhang mit seiner Meinung und Ratschlägen unmittelbar gegenüber dem Vorstand des Arbeitgebers berechtigt und verpflichtet, Bericht zu erstatten.
Die betroffenen Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten nach der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung bzw. der Vertraulichkeit gebunden.
Dem Datenschutzbeauftragten obliegen grundlegend folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
- Zusammenarbeit mit der Aufsichtsbehörde; und
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Der Name und die Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen sind in Punkt 4.1 b) der vorliegenden Regelung enthalten.
3. PRINZIPIEN DER DATENVERARBEITUNG
Der Verantwortliche verarbeitet die personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise bzw. für die in der vorliegenden Regelung bzw. deren Anlagen festgelegten, eindeutigen und legitimen Zwecke (Grundsatz „Zweckbindung“). Die Datenverarbeitung wird an den Zweck angepasst und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt („Datenminimierung“) Dem Datenschutzgrundsatz Richtigkeit entsprechend gewährleistet der Verantwortliche, dass die von ihm verarbeiteten personenbezogene Daten auf dem neuesten Stand sind und er trifft alle angemessenen Maßnahmen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Grundsatz „Richtigkeit“); Der Verantwortliche nimmt zur Kenntnis, dass die personenbezogenen Daten nur so lange gespeichert werden können, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Grundsatz „Speicherbegrenzung“). Der Verantwortliche verarbeitet die Daten in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Maßnahmen zur Datensicherheit im Interesse einer Übereinstimmung mit diesem Datenschutzgrundsatz sind in Punkt 6.8 der vorliegenden Regelung enthalten. Der Verantwortliche führt interne Dokumentationen über die einzelnen Operationen der Datenverarbeitung, um nachweisen zu können, dass die aufgeführten Grundsätze eingehalten werden (Grundsatz „Rechenschaftspflicht“).
Die Grundsätze in der vorliegenden Regelung stellen unsere Vorgehensweise im Zusammenhang mit personenbezogenen Daten dar. Unsere Datenverarbeitungsgrundsätze gelten für papiergestützte Datenverarbeitung sowie für alle vom Verantwortlichen betriebenen Geräte, Webseiten, Plattformen für Kundendienst und sonstige Online-Applikationen, die auf diese im Internet oder auf andere Weise hinweisen. Wo aber die vorliegende Regelung bei einzelnen Datenverarbeitungstätigkeiten im Zusammenhang mit einschlägigen Datenverarbeitungsoperationen auf eine getrennte Information zur Datenverarbeitung bzw. Regelung hinweist, dort stellen wir auch der betroffenen Person eine getrennte Information bzw. Regelung zur Verfügung. Diese Regelungen und Informationen sind Anlagen und gleichzeitig Bestandteil der vorliegenden Regelung, wobei, sofern eine Regelung oder Information, die Anlage ist, nicht anderweitig verfügt, in diesen Anlagen die Ausführungen in der vorliegenden Regelung entsprechend maßgeblich sind.
4. ALLGEMEINE INFORMATIONEN IM ZUSAMMENHANG MIT DER DATENVERARBEITUNG
Der Verantwortliche verarbeitet die personenbezogenen Daten der betroffenen Person, um die von der betroffenen Person in Anspruch genommenen Dienstleistungen gewährleisten und der betroffenen Person das bestmögliche Nutzererlebnis bieten zu können. Der Verantwortliche verarbeitet personenbezogene Daten für folgende Zwecke bzw. im Zusammenhang mit folgenden Tätigkeiten:
- Im Zuge von Käufen und der Erbringung von Dienstleistungen auf der Seite www.edigital.at,
- Abonnieren der Newsletter,
- im Zuge der Abwicklung von Promotionen und Gewinnspielen,
- Im Zuge von Kundendienst und Beschwerdemanagement.
4.1. Allgemeine Informationen zu den einzelnen obigen Datenverarbeitungen
-
kontaktdaten des Verantwortlichen: Extreme Digital Zártkörűen Működő Részvénytársaság (Sitz: 1033 Budapest, Szentendrei u 89-95. X.ép, Handelsregisternummer: 01-10-045869, Telefon: +36-1-452-0090, E-Mail:, AT EMAIL, Webadresse: www.edigital.at);
-
datenschutzbeauftragter und Kontaktdaten: Dr. Péter Zeke, E-mail: [email protected], Telefon: +36-20-367-1197;
-
zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten: bei den einzelnen Datenverarbeitungen unten bzw. in der einschlägigen Anlage festgelegt;
-
zeitdauer der Speicherung personenbezogener Daten bzw. Gesichtspunkte für die Bestimmung der Zeitdauer: bei den einzelnen Datenverarbeitungen unten bzw. in der einschlägigen Anlage festgelegt;
-
die betroffene Person hat nach Punkt 6 der vorliegenden Regelung das Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder ein Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten sowie das Recht auf Datenübertragbarkeit.
Der Verantwortliche hat in jedem erforderlichen Fall im Vorhinein den Test über die Abwägung der Interessen durchgeführt bzw. angewandt, die Grundsätze der Verhältnismäßigkeit, der Notwendigkeit und der Progression sowie die Anforderung der Information im Vorhinein berücksichtigt.
5. ALLGEMEINE INFORMATIONEN IM ZUSAMMENHANG MIT DEN EINZELNEN DATENVERARBEITUNGEN
5.1. Datenverarbeitungen bei Käufen und Erbringung von Dienstleistungen auf der Seite www.edigital.at
5.1.1. Registrierung auf der Seite www.edigital.at, Kundendienst, Beschwerdemanagement, auf der Facebook-Seite angegebene personenbezogene Daten
Ziele der Datenverarbeitung sind: Kaufen im Extreme Digital Webshop, Rechnungsausstellung, Registrierung der Kunden, Unterscheiden der einzelnen Kunden voneinander, Erfüllung der Bestellungen, Dokumentierung der Käufe und Zahlungen, Erfüllung der Pflicht zur Rechnungsführung, Kontakthaltung zu den Kunden, Analyse der Kundengewohnheiten, gezielte Bedienung, Kontaktierung zwecks Direktmarketing, Auskunft über aktuelle Informationen, Sonderangebote, Kundendienst, Beschwerdemanagement.
Die ausführliche Information zur obigen Datenverarbeitung finden Sie hier, sie stellt gleichzeitig Anlage 1 zur vorliegenden Regelung dar: Information zur Datenverarbeitung im Zusammenhang mit dem Käufen auf der Webseite.
5.1.2. Datenverarbeitungen bei Abonnierung von Newslettern auf der Seite www.edigital.at
Die Newsletter können gleichzeitig mit der Registrierung auf der Webseite oder auch ohne Registrierung abonniert werden. Der Hauptzweck der Datenverarbeitung besteht darin, dass der Verantwortliche den betroffenen Personen Anfragen zu Marketingzwecken schicken kann. Der Verantwortliche kann die Daten für Forschungen und Erhebungen zu Marketingzwecken verwenden. Den einschlägigen Rechtsvorschriften entsprechend führt der Verantwortliche eine Dokumentation über die natürlichen Personen, die den Newsletter abonniert haben. Den in der Dokumentation nicht aufgeführten natürlichen Personen schickt der Verantwortliche keine Newsletter.
Unsere ausführliche Information über die obige Datenverarbeitung finden Sie hier, sie ist gleichzeitig Anlage 2 zur vorliegenden Regelung: Information zur Datenverarbeitung im Zusammenhang mit dem Newsletter.
5.1.3. Datenverarbeitung bei Gewinnspielen auf der Seite www.edigital.at
Bei sonstigen Promotionen, Kampagnen und Medienpräsenz wird der Umfang der personenbezogenen Daten von Fall zu Fall festgelegt, je nach Teilnahmebedingungen für die jeweilige Promotion.
Im Zusammenhang mit der Durchführung des Produktverkaufs und der Erbringung der Dienstleistungen zum Zweck der Datenverarbeitung werden die mit den Käufen zusammenhängenden Daten über das Netz der Annehmer von Bankkarten PayPal zwecks finanzieller Abwicklung der Transaktion bzw. Sicherheit und Überwachung der Transaktion übermittelt. Umfang der übermittelten Daten: Familienname, Vorname, Lieferadresse, Rechnungsadresse, Telefonnummer, E-Mail-Adresse, mit Zahlungstransaktion zusammenhängende Daten.
Im Zusammenhang mit der Durchführung des Produktverkaufs und Erbringung der Dienstleistungen als Ziel der Datenverarbeitung werden die mit den im Internet abgewickelten Käufen zusammenhängenden Daten über das Netz der Annehmer von Bankkarten OTP Mobil Kft. (1093 Budapest, Közraktár u. 30-32. River Park, K30. épület II.) zwecks finanzieller Abwicklung der Transaktion, Sicherheit und Überwachung der Transaktion übermittelt. Umfang der übermittelten Daten: Familienname, Vorname, Lieferadresse, Rechnungsadresse, Telefonnummer, E-Mail-Adresse, mit Zahlungstransaktion zusammenhängende Daten.
5.3. Datenverarbeitung beim Extreme Digital Kundendienst und Beschwerdemanagement
5.3.1. Kundendienst und Beschwerdemanagement, Garantie 30 Dienstleistung
Ziel der Datenverarbeitung ist die Verwaltung von Mängelrügen wegen mangelnder Qualität und Beschwerden im Zusammenhang mit den vom Verantwortlichen verkauften Produkten. Rechtsgrundlage der Datenverarbeitung: freiwillige Zustimmung der betroffenen Person und §17/A Abs. 7 Fgytv. (ung. Abk. f. Gesetz über den Verbraucherschutz, nachfolgend Fgytv.). Typ der verarbeiteten personenbezogenen Daten: ID, Name und Adresse des Verbrauchers, Bezeichnung und Kaufpreis des Konsumartikels, Zeitpunkt des Kaufs und der Anmeldung des Mangels, Beschreibung des Mangels, der Anspruch des Verbrauchers, den er geltend machen will, und die Art und Weise der Bearbeitung der Mängelrüge. Die Zeitdauer der Datenverarbeitung in Bezug auf die Protokolle über die schriftlichen Beschwerden und die Abschriften der Antworten auf die schriftlichen Beschwerden beträgt aufgrund von § 17/A Abs. 7 Fgytv. fünf Jahre.
5.3.2. Unter Garantie fallende Sachbearbeitung, Garantie-Kurierdienst
Ziel der Datenverarbeitung ist die Reparatur und der Kundendienst im Zusammenhang mit den vom Verantwortlichen vertriebenen Produkten. Rechtsgrundlage der Datenverarbeitung: freiwillige Zustimmung der betroffenen Person und § 4 Abs. 1 der NGM-Verordnung Nr. 19/2014 (IV. 29.) (Verordnung des Nationalen Wirtschaftsministeriums, nachfolgend NGM-Verordnung). Typ der verarbeiteten personenbezogenen Daten: ID, Name, Adresse, Telefonnummer und E-Mail-Adresse des Verbrauchers, Datum, Unterschrift. Zeitdauer der Datenverarbeitung: drei Jahre aufgrund von § 4 Abs. 6 der NGM-Verordnung Nr. 19/2014 (IV. 29.).
6. INFORMATION ZU DEN RECHTEN DER BETROFFENEN PERSON
6.1. Recht auf Auskunft und Zugang zu den verarbeiteten personenbezogenen Daten
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Rückmeldung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Zugang zu diesen personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde durch eine an sie gerichtete Beschwerde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die erwartungsgemäßen Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die einschlägigen Garantien im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format vom Verantwortlichen zur Verfügung zu stellen, sofern die betroffene Person nichts anderes angibt.
Das Recht auf Erhalt einer Kopie gemäß dem vorangehenden Absatz darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Die obigen Rechte können über die in Punkt 10 angegebenen Erreichbarkeiten ausgeübt werden.
Der Verantwortliche berichtigt die die betroffene Person betreffenden unrichtigen personenbezogenen Daten auf Verlangen der betroffenen Person unverzüglich. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen.
6.3. Recht auf Löschung („Recht auf Vergessenwerden“)
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
- die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es gibt keine anderweitige Rechtsgrundlage für die Verarbeitung;
- die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor oder insofern die Datenverarbeitung unmittelbar mit Direktwerbung verbunden ist;
- die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
- die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
- die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben.
Die Löschung der Daten kann in folgenden Fällen nicht verlangt werden:
- soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, vorschreibt, erforderlich, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt;
- die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich, wenn diese Daten von Fachpersonal oder in dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt;
- die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das Recht auf Löschung voraussichtlich die Verwirklichung der Zwecke dieser Datenverarbeitung1 unmöglich macht oder ernsthaft beeinträchtigt, oder;
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
6.4. Recht auf Einschränkung der Verarbeitung
Auf Verlangen der betroffenen Person schränkt der Verantwortliche die Verarbeitung ein, wenn eine der folgenden Voraussetzungen gegeben ist:
- die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es der betroffenen Person ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder;
- die betroffene Person Widerspruch gegen die Verarbeitung bezüglich der Datenverarbeitung des Verantwortlichen aufgrund von öffentlichem oder berechtigtem Interesse eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Wurde die Verarbeitung aufgrund der obigen Bestimmungen eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Eine betroffene Person, die eine Einschränkung der Verarbeitung aufgrund der obigen Bestimmungen erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
6.5. Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen zur Verfügung gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten zur Verfügung gestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht; und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß den obigen Bestimmungen hat die betroffene Person das Recht zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Die Ausübung des Rechts auf Datenübertragbarkeit darf das Recht auf Löschung („Recht auf Vergessenwerden“) nicht beeinträchtigen. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und die dem Verantwortlichen übertragen wurde. Das Recht auf Datenübertragbarkeit darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und die dem Verantwortlichen übertragen wurde, Widerspruch einzulegen; dies gilt auch für ein auf diesen Bestimmungen basierendes Profiling. Der Verantwortliche kann in diesem Fall die personenbezogenen Daten nicht weiter verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die gegenüber den Interessen, Rechte und Freiheiten der betroffenen Person Vorrang genießen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung verbunden ist. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen, wenn die Datenverarbeitung des Verantwortlichen auf der Zustimmung der betroffenen Person beruht. Der Widerruf der Einwilligung betrifft nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
6.8. Maßnahmen zur Datensicherheit
Der Verantwortliche und der Betreiber des Servernetzes verwenden die am ehesten ihre Funktion erfüllende, zugängliche modernste Hardware und Software für den Schutz der Daten, insbesondere vor unbefugtem Zugriff, Änderung, Weitergabe, Veröffentlichung, Löschung oder Vernichtung sowie zufälliger Vernichtung oder Zerstörung und tragen dadurch zur Datensicherheit bei. Die vom Verantwortlichen verarbeiteten Daten können grundsätzlich nur denjenigen Arbeitnehmern und sonstigen Mitwirkenden des Verantwortlichen zur Kenntnis gebracht werden, die an der Verwirklichung der in der vorliegenden Regelung bestimmten Zwecke der Datenverarbeitung mitwirken und die aufgrund von ihrem Arbeitsvertrag bzw. Beschäftigungsverhältnis, sonstigem Vertragsverhältnis, Bestimmung der Rechtsnorm bzw. Anweisung des Verantwortlichen bezüglich aller ihnen zur Kenntnis gebrachten Daten zur Geheimhaltung verpflichtet sind.
Die informationstechnischen Systeme und andere Datenspeicherungsorte des Verantwortlichen befinden sich auf den Servern der Emarsys eMarketing System AG (Hans Fischer Str. 10., D-80339 München). Außerdem nimmt der Verantwortliche bezüglich des ERP-Systems die Dienstleistungen des Betreibers Vision Software Kft. (1149 Budapest, Pósa Lajos u. 51.) und bezüglich der Webseite www.edigital.at die des Betreibers Rackforest Kft. (1132 Budapest, Victor Hugo u. 18-22.) in Anspruch. Der Verantwortliche speichert personenbezogene Daten auf Servern bei der Deninet Kft. (1132 Budapest, Victor Hugo u. 18-22.) und am Sitz des Verantwortlichen in 1033 Budapest, Szentendrei út 89-95.
Jede Verarbeitungstätigkeit des Verantwortlichen muss genau dokumentiert werden. Der Verantwortliche führt über jede von ihm ausgeführte Verarbeitungstätigkeit (z. B. Newsletter, Webshop, Registrierung der Arbeitnehmer) Dokumentationen. Der Verantwortliche führt zwecks Überprüfung der Rechtmäßigkeit der Datenübermittlung und Unterrichtung der betroffenen Person Dokumentationen über die Datenübermittlung, die Zeitpunkt, Rechtsgrundlage, Adressat, Umfang der Aufgaben und sonstige in der Rechtsvorschrift, die Datenverarbeitung vorschreibt, bestimmte Daten enthalten.
6.9. Sicherheit der in Papierform verarbeiteten personenbezogenen Daten
Um die Sicherheit der in Papierform verarbeiteten personenbezogenen Daten zu gewährleisten führt die VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Cg.01-09-673257, Sitz: 1149 Budapest, Pósa Lajos utca 51.) folgende Maßnahmen durch:
- die Daten werden nur den Befugten zur Kenntnis gebracht, andere Personen haben auf sie keinen Zugriff, sie dürfen anderen nicht aufgedeckt werden;
- die Dokumente werden in einem gut abschließbaren, trockenen, mit Brand- und Objektschutzanlagen ausgestatteten Raum aufbewahrt;
- nur Befugte haben Zugriff auf Unterlagen, die kontinuierlich aktiv verarbeitet werden;
- der die Datenverarbeitung ausführende Mitarbeiter darf den Raum, wo die Datenverarbeitung ausgeführt wird, im Laufe des Tages nur dann verlassen, wenn er die ihm anvertrauten Datenträger unzugänglich macht oder das Büro abschließt;
- wenn die in Papierform verarbeiteten personenbezogenen Daten digitalisiert werden, verwendet der Verantwortliche die maßgeblichen Sicherheitsregeln für digital gespeicherte Dokumente an und er erwartet dasselbe auch von seinen Datenverarbeitern.
6.10. Sicherheit der digital gespeicherten personenbezogenen Daten
Um die Sicherheit der auf Computern bzw. im Netz gespeicherten personenbezogenen Daten zu gewährleisten, verfahren der Verantwortliche, seine Datenverarbeiter sowie die VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Handelsregisternr. 01-09-673257, Sitz: 1149 Budapest, Pósa Lajos utca 51.) als Betreiber den Vorschriften der Sicherheitsregelung für Informatik entsprechend, so beachten sie insbesondere Folgendes:
- auf die im Octopus ERP-System und im Carbon-System gespeicherten Daten haben nur Personen mit gültiger, auf ihren Namen lautender, identifizierbarer Berechtigung - zumindest Benutzername und Passwort - Zugriff;
- jeder Zugriff auf die Daten wird verfolgbar journalisiert;
- es wird für den Virenschutz im Netz gesorgt, in dem die personenbezogenen Daten verarbeitet werden;
- der Zugriff von Unbefugten wird durch vorhandene informationstechnische Geräte bzw. durch deren Verwendung verhindert.
6.11. Verfahren für den Fall, dass die betroffene Person die Ausübung der obigen Rechte beantragt
Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats (30 Tage) nach Eingang des Antrags der betroffenen Person auf die Ausübung der in der vorliegenden Regelung festgehaltenen Rechte zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.
Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, und zwar zusammen mit den Gründen für die Verzögerung. Diese Frist kann um weitere zwei Monate (60 Tage) verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
Der Verantwortliche stellt die gewünschten Informationen sowie alle Mitteilungen unentgeltlich zur Verfügung, wobei bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person der Verantwortliche entweder ein angemessenes Entgelt verlangen kann, bei dem die Verwaltungskosten für die Information bzw. Auskunft oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede von ihm durchgeführte Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Deine Fragen oder Wünsche im Zusammenhang mit deinen im System gespeicherten personenbezogenen Daten sende bitte an die E-Mail-Adresse oder schriftlich an unsere Postadresse 1033 Budapest, Szentendrei út 89-95. X. ép. Achte bitte darauf, dass wir über die Verarbeitung deiner personenbezogenen Daten - in deinem Interesse - erst dann Auskunft erteilen bzw. Maßnahmen in diesem Zusammenhang treffen können, nachdem du dich glaubwürdig ausgewiesen hast.
Wenn du deine Rechte ausüben möchtest, so lade bitte das Dokument „Antrag auf Rechtsausübung im Datenschutz” herunter und schicke es uns unterzeichnet an die oben angegebene Postadresse oder auf elektronischem Wege an die E-Mail-Adresse [email protected] zu. Um deinen Antrag beantworten zu können, brauchen wir in jedem Fall folgende Daten:
- deine bei der Registration angegebene E-Mail-Adresse
- deinen vollständigen Namen
- deine Rechnungsadresse
Wenn du deinen Antrag per E-Mail schickst, achte bitte darauf, dass du ihn von der bei der Registrierung angegebenen E-Mail-Adresse schickst.
7. Auftragsverarbeiter
Der Verantwortliche nimmt zur Ausübung seiner Tätigkeit einen in der vorliegenden Regelung genannten Auftragsverarbeiter in Anspruch. Der Auftragsverarbeiter fällt keine selbständigen Entscheidungen, er ist ausschließlich berechtigt, aufgrund des mit dem Verantwortlichen abgeschlossenen Vertrags und der ihm erteilten Anweisungen vorzugehen. Der Verantwortliche überprüft die Arbeit des Auftragsverarbeiters. Der Auftragsverarbeiter darf nur bei vorheriger schriftlicher Zustimmung des Verantwortlichen zusätzliche Auftragsverarbeiter beauftragen.
Auftragsverarbeiter |
Auf welche personenbezogenen Daten hat er Zugriff? Auf welche Art und Weise kann er die angegebenen personenbezogenen Daten verwenden (welche Tätigkeit übt er für den Verantwortlichen aus)? |
Wie lange kann er die Daten speichern? |
MailerLite Limited, in Irland registriestes Unternehmen, Ground Floor, 71 Lower Baggot Street, Dublin 2, D02 P593, Ireland Emarsys eMarketing System AG (Hans Fischer Str. 10., D-80339 München) |
Betrieb einer Marketingplattform, über die personalisierte Angebote an Kunden geliefert werden können. Im Zusammenhang mit der Aufgabe haben Sie Zugriff auf folgende Daten: Name, E-Mail-Adresse, Geburtsdatum, sowie die erteilte Einwilligung zur Kontaktaufnahme zu Direktmarketingzwecken, die dazugehörigen Analysedaten. An- und Abmelden, Senden, Zustellen und Öffnen zugehöriger IP-Adressen, Nachrichten (z. B. Datum und Uhrzeit von Ereignissen, Computer-IP-Adresse, Grund der Unmöglichkeit der Zustellung). Betrieb einer Marketing-Plattform, mit deren Hilfe den Kunden maßgeschneiderte Angebote geschickt werden können. In diesem Zusammenhang hat sie Zugriff auf folgende Daten: Name, E-Mail-Adresse, Adresse, Telefonnummer, Geburtstag, außerdem die Zustimmung zu Mitteilungen zwecks Direktmarketing, analytische Daten im Zusammenhang mit Abonnierung und Abbestellung, dazugehörenden IP-Adressen, Sendung, Zustellung und Öffnung von Nachrichten (z. B. Datum und Uhrzeit der Ereignisse, IP-Adresse des Computers, Grund der Nichtzustellbarkeit) |
Unbefristeter Dienstleistungsvertrag – bis zur Auflösung des Vertrags. |
VISION-SOFTWARE Számítástechnikai Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (Handelsregisternr.: 01-09-673257, Sitz: 1149 Budapest, Pósa Lajos utca 51.) |
Gewährleistung von ERP-System für Unternehmensführung Sie hat Zugriff auf alle, aufgrund der vorliegenden Information vom Verantwortlichen verarbeiteten personenbezogenen Daten. Ihre Aufgabe ist es, das ERP-System (Unternehmenssoftware) des Verantwortlichen zu betreiben. |
Unbefristeter Dienstleistungsvertrag – bis zur Auflösung des Vertrags. |
Hunelix kereskedelmi Korlátolt Felelősségű Társaság (Handelsregisternr.: 01-09-953404, Sitz: 1135 Budapest, Frangepán u. 61. IV.13.) |
Kundendienst, Telemarketing bei gezielten Kampagnen |
Befristeter Vertrag, für die Dauer der Kampagne. |
Virgo Systems Informatikai Kft. (Sitz: 1074 Budapest, Dohány utca 12.) |
Betrieb der Webseite, allgemeine IT-Beratung |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
Rackforest Kft (1132 Budapest, Victor Hugo u. 18-22.) |
Server Hosting Dienstleistung |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
Deninet Kft 1132 Budapest, Victor Hugo u. 18-22. |
Server Hosting Dienstleistung |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
STYLERS Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (1133 Budapest, Gogol u. 26.) |
Betrieb der Webseite, allgemeine IT-Beratung |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
BI Consulting Tanácsadó Kft. (1031 Budapest, Sulyok u. 7.) |
Entwicklung von Data Warehouse, umfassende Analysen |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
salesforce.com EMEA Limited Company (Sitz: EC2N 4YA London, 110 Bishopsgate) |
Betrieb von Unternehmenssoftware |
Unbefristeter Dienstleistungsvertrag - bis zur Auflösung des Vertrags. |
PENSUM-MENTOR Kft. (Sitz: 1138 Budapest, Meder utca 8. A. ép. 7. em. 3., Handelsregisternr.: 01-09-724754) |
Rechnungsführung, Buchhaltung |
Bis zur Auflösung des Vertrags, bis zum Bestehen der allgemeinen 8-Jahre-Pflicht zu Aufbewahrung von Belegen. |
8. Wie Sie ihre anmerkungen, fragen und beschwerden mitteilen können
Ihre Fragen oder Wünsche im Zusammenhang mit Ihren im System gespeicherten personenbezogenen Daten senden Sie bitte, an die E-Mail-Adresse [email protected] oder schriftlich an unsere Postadresse 1033 Budapest, Szentendrei út 89-95. X. ép. Achten Sie bitte darauf, dass wir über die Verarbeitung Ihrer personenbezogenen Daten - in Ihrem Interesse - erst dann Auskunft erteilen bzw. Maßnahmen in diesem Zusammenhang treffen können, nachdem Sie sich glaubwürdig ausgewiesen haben.
Wir informieren Sie darüber, dass die betroffenen Personen den Datenschutzbeauftragten des Verantwortlichen zu allen mit der Verarbeitung ihrer personenbezogenen Daten nach der DSGVO im Zusammenhang stehenden Fragen unter den in Punkt 4.1 b) angegebenen Erreichbarkeiten zu Rate ziehen können.
9. Personenbezogenen daten von kindern und dritten
Personen unter 16 Jahren dürfen ihre personenbezogenen Daten nicht angeben, es sei denn, sie haben dazu die Genehmigung der das elterliche Sorgerecht ausübenden Person eingeholt. Dadurch, dass die betroffene Person ihre personenbezogenen Daten dem Verantwortlichen angibt, erklärt und garantiert sie, dass sie den obigen Ausführungen entsprechend vorgehen wird und dass ihre Geschäftsfähigkeit in Bezug auf die Angabe der Informationen nicht eingeschränkt ist.
Sollte die betroffene Person zur selbständigen Angabe irgendwelcher personenbezogener Daten rechtlich selbständig nicht berechtigt sein, so ist sie verpflichtet, die Zustimmung von Dritten (z. B. vom gesetzlichen Vertreter, Betreuer, von sonstigen Personen - zum Beispiel vom Verbraucher, in dessen Namen sie verfährt) einzuholen oder zur Angabe der Daten eine andere Rechtsgrundlage zu schaffen. In diesem Zusammenhang hat die betroffene Person zu erwägen, ob die Zustimmung eines Dritten zur Angabe der jeweiligen personenbezogenen Daten notwendig ist. Es kann vorkommen, dass der Verantwortliche mit der betroffenen Person nicht in persönlichen Kontakt steht, in diesem Fall ist es die die personenbezogenen Daten angebende Person, die dem vorliegenden Punkt entsprechend vorgehen muss, der Verantwortliche trägt in diesem Zusammenhang keine Verantwortung. Unabhängig davon ist der Verantwortliche jederzeit berechtigt zu überprüfen, ob die entsprechende Rechtsgrundlage zur Bearbeitung bestimmter personenbezogener Daten besteht. Zum Beispiel, wenn die betroffene Person im Namen von Dritten - zum Beispiel von Verbrauchern - vorgeht, ist der Verantwortliche berechtigt, die zur Datenverarbeitung erteilte Vollmacht und/oder die entsprechende Zustimmung der betroffenen Person in Bezug auf die Angelegenheit zu verlangen.
Der Verantwortliche tut alles in seiner Macht Stehende, um alle personenbezogenen Daten zu löschen, die ihm unbefugt angegeben wurden. Für den Fall, dass ihm ein solcher Fall bekannt wird, gewährleistet der Verantwortliche, dass die davon betroffenen personenbezogenen Daten weder an andere Personen weitergeleitet noch vom Verantwortlichen verwendet werden. Bitte, teilen Sie uns über unsere in Punkt 10 angegebenen Erreichbarkeiten unverzüglich mit, wenn Sie davon erfahren, dass dem Verantwortlichen ein Kind von sich oder ein Dritter von der betroffenen Person unbefugt personenbezogene Daten mitgeteilt hat.
10. Rechtsmittel
Dem Verantwortlichen können Fragen und Anmerkungen im Zusammenhang mit der Datenverarbeitung über die in der vorliegenden Regelung angegebenen Erreichbarkeiten gestellt bzw. mitgeteilt werden.
Anträge auf Rechtsmittel und Beschwerden können bei der Nationalen Behörde für Datenschutz und Informationsfreiheit eingereicht werden.
Name: Nationale Behörde für Datenschutz und Informationsfreiheit
Sitz: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Korrespondenzadresse: 1530 Budapest, Pf.: 5.
Telefon: +36-1-391-1400
Fax: +36-1-391-1410
Homepage: www.naih.hu
E-mail: [email protected]
Die betroffene Person kann sich bei Verletzung ihrer Rechte mit einer Klage gegen den Verantwortlichen als Datenverwalter an ein Gericht wenden. Das Gericht verfährt in der Angelegenheit außer der Reihe. Der Verantwortliche hat nachzuweisen, dass die Datenverarbeitung die Rechtsvorschriften einhält. Die Entscheidung im Prozess fällt in die Befugnis des Gerichtshofs. Der Prozess kann - auf Wunsch der betroffenen Person - auch vor dem Gerichtshof eingeleitet werden, der gemäß dem Wohnsitz oder Aufenthaltsort der betroffenen Person zuständig ist.
Der Verantwortliche kommt für die Schäden auf, die er anderen durch rechtswidrige Verarbeitung der Daten der betroffenen Person oder Verletzung der Anforderungen zur Datensicherheit verursacht hat. Die betroffene Person kann, wenn ihre Persönlichkeitsrechte verletzt wurden, Schmerzensgeld (§ 2:52 ungarisches Bürgerliches Gesetzbuch, ung. Abk. und nachfolgend: Ptk.) verlangen. Der Verantwortliche wird von der Verantwortung befreit, wenn ein unabwendbarer Grund, der nichts mit der Datenverarbeitung zu tun hat, zum Schaden geführt hat. Der Verantwortliche ersetzt den Schaden nicht und es kann kein Schmerzensgeld von ihm verlangt werden, wenn der Eintritt des Schadens auf das vorsätzliche oder grob fahrlässige Verhalten des Geschädigten zurückzuführen ist.
14. Anhänge
Anhang |
Ansehen |
Herunterladen |
Anhang 1.: Kaufen im web |
||
Anhang 2.: Information über Datenverarbeitung zu den Newsletter |
||
Anhang 3.: Allgemeiner Datenschutz |
||
Anhang 4.: Antrag auf Rechtsausübung in Datenschutz |
Ansehen |