DATENSCHUTZ- UND DATENVERARBEITUNGSVORSCHRIFTEN

 

 

1. Zweck der Vorschriften. 1

2. Daten des Verantwortlichen. 2

3. Begriffsbestimmungen. 2

4. Grundsätze der Verarbeitung. 4

5. Unterrichtung der betroffenen Personen. 5

6. Rechte der betroffenen Personen. 9

7. Pflichten des Verantwortlichen. 10

8. Sonstige Bestimmungen. 14

 

 

1. Zweck der Vorschriften

 

Um der ab 25. Mai 2018 anzuwendenden Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (nachfolgend DSGVO genannt) bzw. den einschlägigen ungarischen Rechtsvorschriften, besonders dem Gesetz Nr. CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit (nachfolgend Infotv. genannt) mit diesen Vorschriften gerecht zu werden, werden von der Fa. Computer Partner Kft.  (nachfolgend Verantwortlicher genannt) am unten bezeichneten Tag und Ort folgende Datenverarbeitungsvorschriften erlassen.

Zweck dieser Vorschriften ist es, die vom Verantwortlichen angewandten Grundsätze und Vorschriften für Datenschutz und Datenverarbeitung sowie die Maßnahmen des Verantwortlichen zum Datenschutz und Datenverarbeitung zu erfassen.

Außer dem Verantwortlichen gelten die Vorschriften auch für ihre Organisationen, die auf dem Gebiet des Europäischen Wirtschaftsraumes (EWR) eine Niederlassung haben oder auf dem Gebiet des EWR personenbezogene Daten von natürlichen Personen verarbeiten.

Diese Vorschriften sind für sämtliche Arbeitnehmer des Verantwortlichen bzw. mit ihm im Auftragsverhältnis stehenden Personen verbindlich.

2. Daten des Verantwortlichen

 

Name:

 

Computer Partner Kft.

Sitz (Postanschrift):

1118 Budapest, Brassó út 169-179/A

 

Handelsregisternummer:

01-09-064272

 

Steuernummer:

10317565-2-43

 

Datenschutzregisternummer:

GDPR-1/2018

 

Telefonnummer:

+36 (1) 309-0510

 

E-Mail:

info@computer-partner.hu

 

3. Begriffsbestimmungen

 

Sämtliche Begriffe dieser Ziffer sind in Artikel 4 der DSGVO wie folgt bestimmt:

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Besondere Kategorien personenbezogener Daten: Personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Niederlassung des Verantwortlichen: Im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Niederlassung des Auftragsverarbeiters: Im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

Profiling: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Pseudonymisierung: Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

Aufsichtsbehörde: Eine von einem Mitgliedstaat nach Artikel 51 aufgestellte unabhängige Behörde. In Ungarn übernimmt die Nationale Stelle für Datenschutz und Informationsfreiheit (Nemzeti Adatvédelmi és Információszabadság Hatóság, 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; https://www.naih.hu/panaszuegyintezes-rendje.html, nachfolgend NAIH genannt) diese Funktion.

 

4. Grundsätze der Verarbeitung

 

4.1   Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

 

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

 

4.2   Zweckbindung

 

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken.

 

4.3   Datenminimierung

 

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

 

4.4   Richtigkeit

 

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

 

4.5   Speicherbegrenzung[MF1] 

 

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

 

 

4.6   Integrität und Vertraulichkeit

 

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

 

4.7   Rechenschaftspflicht

 

Der Verantwortliche ist für die Einhaltung von Ziffer 4 verantwortlich und muss deren Einhaltung nachweisen können.

 

5. Unterrichtung der betroffenen Personen

Die Hauptniederlassung des in Ziffer 2 genannten Verantwortlichen in der Union ist Budapest, Ungarn. Er ist jedoch Verantwortlicher für weitere zwei GmbHs, die in der EU eingetragen sind. Die drei Unternehmen gehören zum gleichen Eigentümerkreis und haben einen ähnlichen/den gleichen Unternehmensgegenstand.

-          Legeza & Partner GmbH (Wien, Österreich) www.legeza.at und

-          Novak Software GmbH (Hengersberg, Deutschland) www.novak-software.de

5.1   Zweck und Rechtsgrundlage der einzelnen Verarbeitungen:

 

Der Umfang der gespeicherten personenbezogenen Daten ist mit der Tätigkeit der Verantwortlichen eng verbunden. Der Umfang der notwendigen Daten wird durch diese Tätigkeit bestimmt (siehe: Datenminimierung).

Der Verantwortliche nimmt an Projekten zur Softwareentwicklung im IT-Bereich als General- oder Subunternehmer teil. Die hierfür benötigten Fachkräfte stellt er aus dem eigenen Personalbestand oder nach Finden von auf dem Markt frei verfügbaren Fachkräften (ohne Aufgabe) bereit, indem er die zum Projekt notwendigen Humanressourcen/Personen durch aufgabenbezogene Anstellungs- oder Subunternehmerverträge beschafft.

 

Andererseits ergeben sich auch die Aufgaben über menschliche Beziehungen oder das Internet. Die Daten von Personen, die an den entstehenden Beziehungen zu Auftraggebern beteiligt sind, werden zum Zwecke der zukünftigen Kontaktpflege ebenfalls gespeichert.

 

Die betroffenen Personen lassen sich in folgende 3 Hauptgruppen unterteilen:

-          Angestellte

-          Kontaktpersonen von Kunden- und Auftraggeber-Unternehmen bzw. Kooperationspartnern (Buchhaltung, Kommunikation, Behörden)

-          IT-Fachleute

Für Personen, die zur ersten Gruppe gehören, werden umfangreiche Daten gespeichert, um die Möglichkeit zu gewährleisten, zum Beispiel Daten über das monatliche Einkommen an Behörden zu liefern. Hierzu zählt die Erfüllung der gesetzlichen Pflicht für eine Person, die Daten liefern muss.

Für Kundenunternehmen und Kooperationspartner, die zur zweiten Gruppe gehören, werden nur Name, Position und Kontaktdaten der Kontaktperson (mit Visitenkarten vergleichbare Daten) gespeichert. An demselben Ort werden sonstige Daten über das Unternehmen gespeichert. Diese sind allerdings keine personenbezogenen Daten. Der Abschluss eines etwaigen Vertrages oder die Kontaktpflege während der Dauer des Vertrages bildet die Grundlage hierfür.

Zur dritten Gruppe gehörende Personen (IT-Fachleute) zu finden, ist das Hauptziel für die Ausführung eines potentiellen Projektes. Diese Person kann ein Angestellter von uns sein. Gibt es keinen bzw. ist er besetzt, müssen wir am freien (Arbeits-) Markt suchen. Dies kann durch Anzeige auf dem eigenen Portal oder anderen Portalen erfolgen. Der interessierte Fachmann übermittelt sein Berufsprofil, das außer den personenbezogenen Daten auch seine Kontaktdaten und eine berufliche Beschreibung über seine bisherigen Berufserfahrungen enthält. Um sich für die Aufgabe bewerben zu können, muss neben vielen anderen Daten auch die berufliche Kompetenz angegeben werden, die durch das Berufsprofil des Kandidaten nachgewiesen wird. In diesem Fall muss die betroffene Person ihre Einwilligung zur Übermittlung dieser Daten an den Kunden und optional zu ihrer Speicherung bei uns erteilen, damit wir sie beim nächsten Mal bezüglich einer anderen Aufgabe wieder erreichen können, sofern die Bewerbung nicht erfolgreich ist. Auf diese Weise entsteht eine Datenbank aus Fachkräften. Die Fachkräfte werden in der Regel per E-Mail kontaktiert. Hierbei werden sie um ihre Einwilligung zur Verarbeitung ihrer Daten gebeten und darauf hingewiesen, dass sie der Datenverarbeitung jederzeit widersprechen, das heißt, die Löschung ihrer Daten verlangen können.

 

5.2   Umfang der verarbeiteten personenbezogenen Daten:

Der wichtigste grundlegende Ansatz bei unserem Unternehmen ist, dass eine Weitergabe personenbezogener Daten nicht stattfindet (auch nicht an Angehörige). Eine Datenübermittlung erfolgt nur an Behörden auf der Grundlage von gesetzlichen Vorschriften. Angaben zur Person und zum Einkommen von unseren Angestellten werden an das Nationale Steuer- und Zollamt (NAV) übermittelt.

 

Die gespeicherten Daten stehen ausschließlich zur Erreichung unserer Geschäftsziele für interne Verwendung zur Verfügung. Bei Bewerbungen werden höchstens der Name und die Kontaktdaten unserer Fachkraft an den Auftraggeber weitergegeben, aber auch diese nur mit Einwilligung der betroffenen Person.

 

Gespeicherte personenbezogene Daten von Angestellten:

-          Name

-          Foto (bedingt)

-          Name der Mutter

-          Geburtsort

-          Geburtsdatum

-          Wohnanschrift

-          Telefonnummer

-          E-Mail-Adresse

-          Steuernummer

-          Sozialversicherungsnummer

-          Daten über Schulabschlüsse, Urkundenkopien

-          Berufsprofil

-          bei uns entstandene Daten zum Einkommen

personenbezogene Daten der Kontaktpersonen von Kunden und anderen Vertragspartnern

-          Name

-          Foto (bedingt)

-          vertretene Firma

-          Position

-          Telefonnummern

-          persönliche E-Mail-Adresse

-          Firmensitz

 

personenbezogene Daten von IT-Fachleuten

-          Name

-          Foto

-          Telefonnummer

-          persönliche E-Mail-Adresse

-          Wohnanschrift

-          Berufsprofil (Foto)

 

5.3   Kontaktdaten des Datenschutzbeauftragten/Datenschutzverantwortlichen:

 

István Legeza, Geschäftsführer

Rufnummer im Büro: +36 (1) 309-0512

Mobiltelefonnummer: +36 (30) 9494-822

E-Mail: legeza@computer-partner.hu

 

5.4   Empfänger bzw. Kategorien von Empfängern der gespeicherten personenbezogenen Daten:

 

-          Kunden / Auftraggeber

 

Grundsätzlich dienen gespeicherte personenbezogene Daten ausschließlich der internen Verwendung. Mit anderen Worten werden potentielle Fachkräfte für die Entwicklungsaufgaben des Unternehmens gesucht. Diese werden per E-Mail angesprochen und gefragt, ob sie Interesse für die Teilnahme an der jeweiligen Aufgabe haben. Bei positiver Antwort der betroffenen Personen wird das aktualisierte Berufsprofil ohne jegliche Kontaktdaten als Anhang zur Bewerbung für die Aufgabe an unsere Kunden weitergegeben. Das Berufsprofil enthält nur einen beruflichen Lebenslauf. Ist unsere Bewerbung erfolgreich, wird nach Vertragsschluss mit dem Kunden ein Anstellungs- oder Subunternehmervertrag mit der/den Fachkraft/Fachkräften abgeschlossen. Falls erforderlich, werden die Kontaktdaten zwecks beruflicher Kontaktpflege an beide Parteien weitergegeben.

 

-          Behörden (NAV)

Im Falle von Angestellten werden personenbezogene Daten, einschließlich Daten zum Einkommen, unter Einhaltung der gesetzlichen Vorschriften monatlich übermittelt.

 

5.5   Geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls nicht bekannt, Kriterien für die Festlegung dieser Dauer:

 

Bei Daten, die in der Datenbank gespeichert sind, grundsätzlich die Dauer der Gesellschaft. Mit der Auflösung der Gesellschaft wird auch die Datenbank abgeschafft bzw. vernichtet.

 

Den betroffenen Personen ist bekannt, dass ihre Daten auf ihr Verlangen jederzeit aus der Datenbank entfernt werden. Ausgenommen hiervon sind die personenbezogenen Daten von bestehenden und früheren Angestellten, da eine Datenanforderung und Überprüfung durch die Behörden im Bereich Steuerverwaltung und Personalwesen erfolgen kann.

 

5.6   Die Übermittlung von personenbezogenen Daten:

 

a)       beruht auf einer Rechtsvorschrift (gespeicherte personenbezogene Daten von Angestellten)

b)      beruft auf einer vertraglichen Pflicht (Kontaktdaten von Mitarbeitern an Kunden und Auftraggeber)

c)       ist eine Voraussetzung für den Abschluss eines Vertrages (Namen und Berufsprofile von Informatikern und Fachkräften sowie Namen und Kontaktdaten der Kontaktpersonen von Kunden)

 

5.7   Die betroffenen Personen müssen nur die personenbezogenen Daten zwingend angeben, die als Voraussetzung für den Abschluss von Verträgen und später für die Erfüllung des Vertrages gelten. Der Wegfall der Datenübermittlung darf nur für den Abschluss des Vertrages ein Hindernis darstellen.

 

5.8   Die personenbezogenen Daten der betroffenen Person werden von dem Verantwortlichen keiner automatisierten Verarbeitung unterzogen.

 

5.9   Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so wird er die betroffene Person hierüber informieren bzw. ihre vorherige, ausdrückliche Einwilligung einholen und ihr die Möglichkeit einräumen, die Verwendung zu verbieten.

 

6. Rechte der betroffenen Personen

 

6.1   Auskunftsrecht und sonstige Rechte

 

Die betroffene Person kann vom Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten, deren Berichtigung, Löschung oder die Einschränkung ihrer Verarbeitung verlangen und der Verarbeitung solcher personenbezogener Daten widersprechen.

 

6.2   Recht auf Datenübertragbarkeit

 

Der betroffenen Person steht ein Recht auf Datenübertragbarkeit zu. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Dienstleister bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.

 

6.3   Recht auf Widerruf der Einwilligung

 

Bei Verarbeitung aufgrund einer Einwilligung das Recht auf Widerruf der Einwilligung zu jeder Zeit. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hiervon nicht berührt.

 

6.4   Geltendmachung von Ansprüchen, Recht auf Beschwerde

 

Nach Gesetz Nr. V von 2013 über das Zivilgesetzbuch kann die betroffene Person ihre Rechte vor einem Gericht durchsetzen bzw. sich nach den Vorgaben des Infotv. an die Aufsichtsbehörde NAIH wenden und Beschwerde einlegen.


 

7. Pflichten des Verantwortlichen

 

7.1   Maßnahmen zur Datensicherheit

 

Vom Verantwortlichen wurden zur Umsetzung der Datenschutzgrundsätze einerseits und zur Erfüllung der in der DSGVO genannten Anforderungen bzw. zur Gewährleistung von Garantien für den Schutz der Rechte von betroffenen Personen andererseits folgende Maßnahmen getroffen:

 

Die gespeicherten personenbezogenen Daten werden in folgende drei Gruppen unterteilt:

-          Kontaktdaten

-          Fotos

-          Personaldaten

-          Berufsprofile

-          Einkommensdaten

Zur Speicherung von Daten verwendete Software und Lösungen.

-          Zur Speicherung von Kontaktdaten wird das Programm Microsoft Outlook verwendet.

-          Personaldaten werden auf Karteikarten in Papierform erfasst. Grundlegende Daten wie die Steuernummer, die Sozialversicherungsnummer usw. werden jedoch auch im Outlook erfasst.

-          Die Berufsprofile erhalten wir von den betroffenen Personen als Microsoft Word oder PDF Dokument. Diese Dateien werden auf dem zentralen Server gespeichert.

-          Die Einkommensdaten sind in der Datenbank des Buchhaltungsprogramms hinterlegt. Hierfür wird Version 3.2 des von der Illés Kft. (Pécs) entwickelten Verwaltungssystems Process 3.0 verwendet. Dieses ermöglicht eine doppelte Buchführung. Die Daten über das monatliche Einkommen werden allerdings auch auf der Karteikarte vermerkt.

Sicherheitsüberlegungen und -lösungen.

Am 1. Januar 2016 wurde der Einsatz eines eigenen Servers eingestellt und stattdessen ein Vertrag mit Microsoft für den cloudbasierten Serverdienst (Microsoft Exchange) abgeschlossen. Dieser umfasst die vollständige Nutzung von Microsoft Office 365 mit der jeweils neuesten Version. Ein weiterer großer Vorteil dieses Dienstes besteht darin, dass er das Speichern von Daten in der Cloud eigenverantwortlich durchführt. Für Störungsfälle wird eine generationsübergreifende Datensicherung durchgeführt. Sein anderer großer Vorteil im Vergleich zu einem eigenen Server ist, dass er die Firewall zum Schutz vor unbefugtem Zugang selbst bereitstellt.

Für eine weitere Datensicherheit steht, dass die Daten des Unternehmens auf dem Desktop-PC und dem Laptop des Geschäftsführers synchronisiert werden. Sollte in der Cloud folglich eine Datenvernichtung erfolgen (ein solcher Vorfall ist uns nicht bekannt), bleiben die Daten trotzdem auf zwei Rechnern vorhanden. Da die beiden Rechnern des Geschäftsführers nicht gleichzeitig mit der Cloud verbunden sind, können beschädigte Daten, sofern die Beschädigung auf dem jeweiligen Rechner synchronisiert wird, auf dem anderen Rechner durch Start ohne Internetverbindung aus dem Zustand vom Vortag zurückgewonnen werden. Generationsübergreifende Sicherungen werden auch in der Cloud durchgeführt. Frühere Daten lassen sich in letzter Instanz auch von dort zurückgewinnen.

Bei der Festlegung einzelner Maßnahmen werden vom Verantwortlichen folgende Risiken berücksichtigt: unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von verarbeiteten personenbezogenen Daten oder unbefugter Zugang zu diesen.

 

Im Büro arbeiten zwei Mitarbeiter, den Geschäftsführer eingeschlossen, an drei funktionsfähigen Arbeitsplätzen.[MF2]  Beide Personen sind befugte und geschulte Verantwortliche für die Verarbeitung personenbezogener Daten. Ein unbefugter Zugang ist nur durch Zugriff durch einen unethischen Hacker möglich.

 

Ergriffene Maßnahmen werden vom Verantwortlichen überprüft und, falls erforderlich, auf den neuesten Stand gebracht.

 

7.2   Sicherstellung einer zweckgebundenen Verarbeitung

 

Der Verantwortliche leistet seinen Beitrag, dass ausschließlich personenbezogene Daten verarbeitet werden, die für den jeweiligen konkreten Verarbeitungszweck erforderlich sind. Dies gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Es ist sicherzustellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne menschliches Eingreifen einer unbestimmten Zahl von Personen zugänglich gemacht werden.

 

Der cloudbasierte Serverdienst erfüllt auch diesen Zweck, da sich nur der Verantwortliche mit vorab eingetragenen Rechnern anmelden kann.

 

7.3   Pflicht zur Führung von Verzeichnissen

 

Der Verantwortliche führt ein schriftliches Verzeichnis über seine Verarbeitungstätigkeiten. Dieses enthält folgende Angaben:

 

-          Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

 

István Legeza, Geschäftsführer Tel.: +36 1 309 0512 E-Mail:  legeza@computer-partner.hu

 

 

-          Zwecke der Verarbeitung: Die Verarbeitungsaufgabe der Personalmitarbeiterin besteht darin, die personenbezogenen Daten von betroffenen Fachkräften/Informatikern nach ihrer Bewerbung zu speichern. Für die erteilten Aufgaben müssen nach einer Suche in der Datenbank geeignete Fachkräfte aus der Datenbank ermittelt und diese per E-Mail über die offene Aufgabe informiert werden. Bei Interesse geht eine Antwortmail ein. Bei Interesse erhalten wir ein aktualisiertes Berufsprofil, der Fachmann teilt mit, wann er zur Verfügung steht, unterbreitet uns ein Preisangebot oder gibt uns nur eine Antwort, dass er gerade anderweitig beschäftigt ist. Er kann die Löschung seiner Daten verlangen. Bei positiver Rückmeldung erstellt die Personalmitarbeiterin ein Angebot für den Kunden. Dieses wird ebenfalls in der Datenbank erfasst. Bei positiver Rückmeldung durch den Auftraggeber (nach den Projektbesprechungen) folgt zunächst der Vertragsschluss mit dem Auftraggeber und dann mit dem kandidierenden Fachmann als Angestellter oder Subunternehmer.

 

-          Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

 

Kategorie Angestellten: hierzu zählen der Geschäftsführer, die Personalmitarbeiterin und die IT-Fachkräfte. Diese ist eine Kategorie, für die umfassende Daten gespeichert werden: Name, Foto, Geburtsdaten, Steuernummer, Sozialversicherungsnummer, Wohnanschrift, Beginn und Ende des Arbeitsverhältnisses, Einkommensdaten, Kontaktdaten, Dokumente über Schulabschlüsse.

 

Kategorie Kontaktpersonen von Kunden/Auftraggebern: Name, Telefonnummer, Internetadresse, Sitz, Position, Firma. Von diesen Unternehmen erhalten wir die Aufgabenbeschreibungen (meist zu Softwareentwicklungen), für die wir ein Angebot legen sollen.

 

Kategorie IT-Fachkräfte: Name, Kontaktdaten, Berufsprofil. Letztere Daten (Kenntnisse) stellen Kriterien für die spätere Suche dar. Nach diesen Schlüsselwörtern wird eine Datenbankabfrage nach geeigneten Fachkräften für die Aufgabe durchgeführt.

 

 

-          Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

 

Die Steuerbehörde (nur Inland) als Empfänger: Die Einkommensdaten von Angestellten des Unternehmens werden nach den gesetzlichen Vorschriften offengelegt.

 

Kunden/Auftraggeber als Empfänger: Diese können Empfänger aus dem In- und Ausland sein. Unter den Empfängern aus dem Ausland können sich Länder innerhalb und außerhalb der EU befinden. Wir bewerben uns bei diesen Empfängern und übermitteln ihnen die Berufsprofile unserer potentiellen Fachkräfte (mit oder ohne Namen) zum Nachweis der Kompetenz, aber auf jeden Fall ohne Kontaktdaten.

 

-          Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien: nicht zutreffend.

 

-          Eine allgemeine Beschreibung der in Ziffer 7.1 genannten technischen und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung:

Durch Microsoft Exchange sichergestellte, generationsübergreifende Datensicherungen

Stetiger Abgleich der Daten an zwei Arbeitsplätzen

 

Auf Anfrage stellt der Verantwortliche das Verzeichnis der Aufsichtsbehörde (NAIH) zur Verfügung.

 

7.4   Pflichten bei Verletzungen des Schutzes personenbezogener Daten

 

Im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten bestehen folgende Pflichten für den Verantwortlichen:

 

-          Er hat die Verletzung binnen höchstens 72 Stunden, nachdem ihm diese bekannt wurde, an NAIH zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

 

-          Erfolgt die Meldung nicht binnen 72 Stunden, so ist eine Begründung für die Verzögerung beizufügen.

 

-          Die in der Meldung genannten Informationen können auch schrittweise, ohne unangemessene weitere Verzögerung bereitgestellt werden.

 

-          Dokumentation der Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehender Fakten bzw. der ergriffenen Abhilfemaßnahmen.

 

-          Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person bei Bestehen der Bedigungen gemäß Artikel 34 der DSGVO in der dort festgelegten Art und Weise.

 

7.5   Durchführung einer Datenschutz-Folgenabschätzung

 

Der Verantwortliche hat nach Artikel 35 der DSGVO eine Datenschutz-Folgenabschätzung durchzuführen, wenn die vorgesehene Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Hierbei werden die Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten abgeschätzt. Der Verantwortliche holt bei der Folgenabschätzung den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

 

Bei uns werden die Daten von betroffenen Personen, die als Angestellte beschäftigt werden, im Einklang mit den gesetzlichen Vorschriften in Form der verbindlichen monatlichen Einkommenserklärungen an die Steuerbehörde übermittelt. Dies stellt kein Risiko für die betroffenen Personen dar, weil die Datenübermittlung über ein verschlüsseltes Kanal auf dem Regierungsportal erfolgt.

 

Weitere personenbezogene Daten könnten übermittelt werden, und zwar an unsere Kunden/Auftraggeber (Name, Berufserfahrungen). Dies erfolgt allerdings in jedem Fall durch Übermittlung der von der betroffenen Person angegebenen Daten, mit ihrem Wissen und ihrer Einwilligung (Mailwechsel untereinander oder aufgrund eines Telefongesprächs).

 

8. Sonstige Bestimmungen

 

8.1   Der Verantwortliche arbeitet auf Anfrage mit NAIH bei der Erfüllung seiner Aufgaben zusammen.

 

8.2   Der Verantwortliche sorgt für die Überprüfung und erforderlichenfalls Aktualisierung dieser Vorschriften.

 

8.3   Der Verantwortliche ist berechtigt, den Inhalt dieser Vorschriften einseitig zu ändern; in diesem Fall sind die betroffenen Personen zwingend zu unterrichten.

 

8.4   Für Fragen, die in diesen Vorschriften nicht geregelt werden, gelten die datenschutzrechtlichen Bestimmungen des ungarischen Rechts, besonders die Bestimmungen des Infotv. und der ab 25. Mai 2018 anzuwendenden DSGVO.

 

 

 

 

Ort und Datum: Budapest, 23. April 2018

 

 

 

........................................................

Computer Partner Kft.