Datenschutzerklärung
DATENSCHUTZERKLÄRUNG VON GAL SYNERGYTECH ZRT.
I. EINFÜHRUNG
1.1. VORSTELLUNG VON GAL SYNERGYTECH ZRT.
GAL SynergyTech Zrt. (Sitz: 1076 Budapest, Sajó Straße 4-8. Erdgeschoß 01/Geschäftsraum, Gesellschaftsregisternummer: 01-10-141486, im weiteren verfolg: Gesellschaft; Rechtsvorgänger ist GAL Vital SynergyTech GmbH.) gehört zu den sich am dynamischsten entwickelnden ungarischen – einzigartigen – Unternehmen der Lebensmittelindustrie. Seine Produkte sind Nahrungsergänzungsmittel wie Vitamine, Mineralstoff- und Kräuterpräparate, hinter deren Popularität unerbittliche fachliche Inhalte, attraktives Erscheinungsbild und liebenswert-lehrreiche Kommunikation steht. Bei der Entwicklung unserer Produkte legt unsere Gesellschaft Wert auf Natürlichkeit und Wirksamkeit zugleich. Alle GAL-Produkte enthalten die Inhaltsstoffe in der Form und den Anteilen, in denen sie in unseren natürlichen Lebensmitteln vorkommen.
1.2. Unsere Websites
Die Gesellschaft betreibt die Websites www.gal.hu und www.vitasphaere.de, auf denen sie über ihre Produkte und die Wirkstoffe informiert, kommuniziert sowie auch einen Webshop betreibt.
1.3. Webshop
Die Gesellschaft betreibt einen Webshop in ungarischer und englischer Sprache (im weiteren verfolg: Webshop) unter dem Domainnamen www.gal.hu (im Folgenden: Website). Der Webshop ist der auf der Website verfügbare Produktkatalog der Gesellschaft, der von der Gesellschaft vertriebene Lebensmittel und Nahrungsergänzungsmittel (im weiteren verfolg: Produkt) zum Verkauf anbietet. Durch Aufgabe einer elektronischen Bestellung im Webshop und Annahme der Bestellung durch die Gesellschaft kommt ein Kaufvertrag zwischen der bestellenden natürlichen Person als Kunde (im Folgenden: Kunde) und der Gesellschaft als Verkäufer zustande.
II. ALLGEMEINE BESTIMMUNGEN
2.1. Das Ziel der Erklärung
Der Zweck dieser Datenschutzerklärung (im Folgenden: Erklärung) besteht darin, Informationen über die von der Gesellschaft befolgte und angewandte Datenverwaltungsaktivität bereitzustellen.
2.2. Gültigkeit der Erklärung
Die Gesellschaft stellt in Bezug auf die Bestimmungen unter den Punkten 1.2.-1.3. fest, dass diese Datenschutzerklärung
[1] für die von der Gesellschaft verfolgten und angewandten Datenverwaltungsaktivitäten sowie
[2] für die von diesen Datenverwaltungsaktivitäten betroffenen natürlichen Personen, Kunden gilt. Die Gesellschaft führt die Datenverwaltung in Bezug auf die von den Kunden bereitgestellten Daten – die auf den unter dem Punkt 1.2. aufgeführten Websites angegeben werden – und über den Webshop durch. Diese Datenschutzerklärung gilt daher weder für die Datenverwaltungsaktivitäten, die von Einzelhändlern, Websites und Webshops, die die Produkte der Gesellschaft weiterverkaufen, verfolgt und angewendet werden, noch für die natürlichen Personen, die von diesen Datenverwaltungsaktivitäten betroffen sind. In Bezug auf diese gelten die Verkäufer als unabhängige Datenverantwortliche und sind als solche mit den Rechten und Pflichten im Kontakt mit ihren eigenen Datenverwaltungsaktivitäten berechtigt und belastet.
2.3. Verfügbarkeit der Erklärung
Diese Erklärung – die jeweils gültige Version – ist an dem unter dem Punkt 1.1. festgestellten Sitz der Gesellschaft, sowie auf den unter dem Punkt 1.2. aufgeführten Websites jederzeit abrufbar.
2.4. Abänderung der Erklärung
Die Gesellschaft behält sich das Recht, die Erklärung bei Bedarf jederzeit einseitig und ohne vorherige Ankündigung zu ändern, mit Wirkung nach der Änderung. Zu dieser Änderung stellt die Gesellschaft allgemeine Informationen zur Verfügung. Sie ist berechtigt, den Inhalt und das Thema der Websites ohne vorherige Ankündigung zu ändern. Dies kann sich auf den Zweck der in dieser Erklärung enthaltenen Datenverwaltung und die Zustimmung dazu auswirken, in welchem Fall die Gesellschaft nach den Bestimmungen dieser Erklärung handelt.
2.5. Maßgebende Rechtsnorm
Die Gesellschaft erklärt, dass seine Datenverwaltung in Bezug auf ihre Aktivitäten dieser Erklärung und den geltenden Gesetzen entspricht [einschließlich insbesondere, aber nicht beschränkt auf die Verordnung 2016/679 des Europäischen Parlaments und des Rates (EU) (im Folgenden: DSGVO) sowie auf das Gesetz CXII. von 2011 zum Recht auf informationelle Selbstbestimmung und Informationsfreiheit (im weiteren verfolg: InfoG).
Die in der Erklärung verwendeten Begriffe haben die in den oben genannten Rechtsvorschriften definierte Bedeutung. Für die Zwecke dieser Erklärung bezeichnet der Begriff „Betroffener” sowohl den Kunden als auch die Person, deren personenbezogene Daten vom Datenverantwortliche verwaltet werden.
2.6. Authentizität und Genauigkeit der angegebenen personenbezogenen Daten
Mit Ausnahme der von der Gesellschaft gemessenen personenbezogenen Daten ist der Betroffene allein verantwortlich für die Richtigkeit und Genauigkeit der der Gesellschaft bereitgestellten, mitgeteilten und zur Verfügung gestellten personenbezogenen Daten. Die Gesellschaft übernimmt keine Verantwortung für etwaige Mängel in der Datenkommunikation sowie für Folgen, die sich aus falsch bereitgestellten Daten ergeben, und schließt ihre diesbezügliche Verantwortung ausdrücklich aus.
2.7. Fehlende Auskunftserteilung
Der Betroffene erkennt an, dass die freiwillige Bereitstellung bestimmter personenbezogenen Daten für den Kauf erforderlich sind und dass der Kunde diese Dienstleistung ebenfalls erbringt. Wenn der Kunde beschließt, die angeforderten personenbezogenen Daten – auch teilweise – nicht anzugeben, erkennt er an und akzeptiert, dass die Kontaktpflege der Gesellschaft mit ihm nicht wirksam sein wird.
2.8. Datensicherheit
Die Gesellschaft behandelt die personenbezogenen Daten vertraulich und ergreift alle sicherheitsrelevanten, technischen und organisatorischen Maßnahmen, um die Sicherheit der Daten zu gewährleisten.
III. EINZELNE DATENVERWALTUNGEN
Jede von der Firma durchgeführte Datenverwaltung wird in einer separaten Tabelle dargestellt. Die einzelnen Tabellen enthalten nur Fakten, die sich auf die unter Punkt 1. der Tabellen definierte Datenverwaltung beziehen.
3.1. Webshop
1. Beschreibung des Datenverwaltungsprozesses:
Der Kunde kann seine Bestellung in Bezug auf die im Webshop ausgewählten Produkten durch Einloggen nach Registrierung oder ohne Registrierung aufgeben. In beiden Fällen zeichnet der Kunde die unter Punkt 2. genannten personenbezogenen Daten, ohne deren Bereitstellung die Vertragserfüllung nicht möglich ist.
2. Die verwalteten personenbezogenen Daten:
1. Name
2. Wohnadresse (PLZ, Ort, Straße, Hausnummer)
3. Lieferadresse (PLZ, Ort, Straße, Hausnummer)
4. Telefonnummer
5. E-Mail-Adresse
6. Geburtsdatum
7. Geschlecht
8. Abrechnungsdaten (Name, auf den die Rechnung ausgestellt wird sowie die Wohnadresse dieser Person)
3. Ziel der Datenverwaltung:
Verkauf des Produkts an den Kunden über den Webshop sowie dessen Lieferung an den Kunden, Erfüllung der Buchhaltungspflichten.
4. Rechtsgrund der Datenverwaltung:
Die Verarbeitung erfolgt gemäß Art 6 Abs. 1 lit. b DSGVO, d.h. die Verarbeitung ist für die Begründung und Erfüllung eines Kaufvertrages erforderlich.
Die Verarbeitung erfolgt gemäß Art 6 Abs. 1 lit. c DSGVO, d.h. die Datenverwaltung ist notwendig, um die gesetzlichen Verpflichtungen (gesetzlich vorgeschriebene Steuer- und Buchhaltungspflichten) in Bezug auf die Gesellschaft zu erfüllen.
5. Zeitraum der Datenverwaltung:
Die Gesellschaft verarbeitet die personenbezogenen Daten des Betroffenen während des Vertragsverhältnisses und für einen begrenzten Zeitraum danach in Übereinstimmung mit den geltenden gesetzlichen Verpflichtungen.
6. Kundenrechte:
Rechte nach Kapitel lV.
7. Rechtsverfolgung der Kunden:
Nach Kapitel V.
8. Datenverarbeiter:
Neucom GmbH. (Sitz: 1171 Budapest, Czimra Gyula Straße 14., Nummer des Gesellschaftsregister: 01 09 284222, Steuernummer: 25595211-2-42)
Transportdienstleister GLS
3.2. Datenverwaltung in Zusammenhang mit Rechnungsstellung
1. Beschreibung des Datenverwaltungsprozesses:
Die Gesellschaft erstellt und bewahrt eine Rechnung für die verkauften Produkte und die in Anspruch genommenen Dienstleistungen in den obigen Tabellen auf. Die Datenverwaltung zu Abrechnungszwecken steht in engem Zusammenhang mit der Datenverarbeitung zur Vertragserfüllung, sie ist ein Teil davon, erfolgt jedoch auf einem anderen Rechtsgrund.
2. Die verwalteten personenbezogenen Daten:
Gemäß Paragrafen Nr. 169. und 202. von Gesetz CXXVII. vom Jahr 2017 über Mehrwertsteuer:
1. Name
2. Wohnadresse
Gemäß Paragraf Nr. 167. von Gesetz C. vom Jahr 2000 über Buchhaltung:
1. Name
2. Wohnadresse
3. Ziel der Datenverwaltung:
Ausstellung einer Rechnung für die verkauften Produkte und die in Anspruch genommenen Dienstleistungen, ihre Bewahrung, Erfüllung von Steuer-und Buchhaltungspflichten.
4. Rechtsgrund der Datenverwaltung:
Die Verarbeitung erfolgt gemäß Art 6 Abs. 1 lit. c DSGVO, d.h. die Datenverwaltung ist notwendig, um die gesetzlichen Verpflichtungen (gesetzlich vorgeschriebene Steuer- und Buchhaltungspflichten) in Bezug auf die Gesellschaft zu erfüllen.
5. Zeitraum der Datenverwaltung:
Die Aufbewahrung der ausgestellten Rechnung als Buchhaltungsbeleg erfolgt bis zur Frist gemäß Paragraf Nr. 169. von Gesetz C. vom Jahr 2000 über Buchhaltung (zurzeit 8 Jahre), bis 31. Dezember 2017 gemäß Absatz (3) von Paragraf Nr. 47 und Paragraf Nr. 164 von Gesetz XCII. („alte Art.”) vom Jahr 2003 über Besteuerungsordnung, während nach dem 1. Januar 2018 gemäß Absatz (3) von Paragraf Nr. 78 und Paragraf Nr. 202 von Gesetz CL von dem Jahr 2017 über Besteuerungsordnung bis zur Steuerverjährung.
6. Kundenrechte:
Rechte nach Kapitel IV.
7. Rechtsverfolgung der Kunden:
Nach Kapitel V.
8. Datenverarbeiter:
Neucom GmbH. (Sitz: 1171 Budapest, Czimra Gyula Straße 14., Nummer des Gesellschaftsregister: 01 09 284222, Steuernummer: 25595211-2-42)
Mitarbeiter der Gesellschaft
3.3. Anfrage mit werblichen Inhalten für direkte Geschäftsakquise und Marketingzwecke (e-DM, Newsletter)
1. Beschreibung des Datenverwaltungsprozesses:
Gemäß Absatz (1) von Paragraf 6 von Gesetz XLVIII. von dem Jahr 2008 über die Rahmenbedingungen und gewisse Grenzen wirtschaftlicher Werbung (im weiteren verfolg: RGwWG) übermittelt die Gesellschaft Werbung (im Folgenden: Newsletter) an den Kunden im Wege der direkten Anfrage, insbesondere mittels E-Mail oder anderen gleichwertigen Mitteln der individuellen Kommunikation, wenn der Kunde dem vorher klar und ausdrücklich zustimmt, indem er das entsprechende Kästchen während der Registrierung auf der Website ankreuzt.
2. Die verwalteten personenbezogenen Daten:
Name
E-Mail-Adresse
3. Rechtsgrund der Datenverwaltung:
Anfrage schicken mit werblichen Inhalten für direkte Geschäftsakquise und Marketingzwecke mittels E-Mail oder anderen gleichwertigen Mitteln der individuellen Kommunikation (e-DM): Newsletter mit eigenen Angeboten und Produkten der Gesellschaft, Zufriedenheitsfragebögen zur Generierung statistischer Daten, die anonym verarbeitet werden. Wenn die Gesellschaft die jeweilige Art von Anfrage mit gezieltem Inhalt an den jeweiligen Kunden sendet, wird sie ihn in der Anfrage darüber informieren.
4. Rechtsgrund der Datenverwaltung:
Die Verarbeitung erfolgt gemäß Art 6 Abs. 1 lit. a) DSGVO, d.h. mit Zustimmung des Kunden, die durch Ankreuzen eines leeren Kästchens bei der Registrierung auf der Website erteilt wird.
Der Kunde ist berechtigt, seine Zustimmung jederzeit zu widerrufen. Der Widerruf der Zustimmung betrifft jedoch nicht die Rechtmäßigkeit der Datenverwaltung aufgrund der Einwilligung vor dem Widerruf. Der Kunde kann die Zustimmung durch eine Freitextanfrage widerrufen, die an eine der im Kapitel III. angegebenen Kontaktdaten der Gesellschaft gerichtet werden muss. Der Widerruf der Zustimmung wird gültig, sobald er der Gesellschaft bekannt wird.
5. Zeitraum der Datenverwaltung:
36 Monate ab dem Datum der Zustimmung oder bis zum Widerruf der Zustimmung (Abmeldung vom Newsletter, im Folgenden: Abmeldung). Tatsache und Datum der Abmeldung werden zum Zwecke der Beweisbarkeit so festgehalten, dass die früheren Daten daraus nicht wiederhergestellt werden können, die Abmeldung jedoch nachgewiesen werden kann, wenn bestimmte Daten angegeben werden. Man kann sich abmelden, indem man den Link am Ende des Newsletters verwendet oder eine Anfrage an eine der im Kapitel IV. angegebenen Kontaktdaten sendet. Die Abmeldung im Newsletter wird sofort gültig, während die Abmeldung per Telefon oder durch andere Kontaktmöglichkeiten spätestens nach 5 Werktagen wirksam wird.
6. Kundenrechte:
Rechte nach Kapitel IV.
7. Rechtsverfolgung der Kunden:
Nach Kapitel V.
8. Datenverarbeiter:
Neucom GmbH. (Sitz: 1171 Budapest, Czimra Gyula Straße 14., Nummer des Gesellschaftsregister: 01 09 284222, Steuernummer: 25595211-2-42)
Mitarbeiter der Gesellschaft
3.4. Partnerprogramm
1. Beschreibung des Datenverwaltungsprozesses:
Nach der Registrierung auf den unter Punkt 1.2. aufgeführten Websites speichert die Gesellschaft die Daten und den Betrag von dem Einkauf des Kunden. Wenn der Betrag der als registrierter Kunde getätigten Einkäufe 50.000 HUF ohne Gutscheinrabatte und Liefergebühren übersteigt, wird der Kunde automatisch Mitglied des Partnerprogramms und erhält 10% Rabatt auf weitere Einkäufe.
2. Die verwalteten personenbezogenen Daten:
1. Name
2. Wohnadresse (PLZ, Ort, Straße, Hausnummer)
3. Lieferadresse (PLZ, Ort, Straße, Hausnummer)
4.Telefonnummer
5. E-Mail-Adresse
6. Geburtsdatum
7. Geschlecht
8. Abrechnungsdaten (Name, auf den die Rechnung ausgestellt wird sowie die Adresse dieser Person)
9. Daten früherer Einkäufe
3. Ziel der Datenverwaltung:
Der Zweck des Partnerprogramms besteht darin, treue Kunden zu belohnen. Deshalb speichern wir die Daten der Einkäufe registrierter Kunden, da wir auf diese Weise feststellen können, wer als treuer Kunde gilt, wessen Einkäufe 50.000 HUF betragen.
4. Rechtsgrund der Datenverwaltung:
Schriftliche Zustimmung der Kunden bei Registrierung und bei Kauf als Registriert
Art. 6 (1) a) und Art. 9 (2) a) DSGVO
Der Kunde ist berechtigt, seine Zustimmung jederzeit zu widerrufen. Der Widerruf der Zustimmung betrifft jedoch nicht die Rechtmäßigkeit der Datenverwaltung aufgrund der Einwilligung vor dem Widerruf. Der Kunde kann die Zustimmung durch eine Freitextanfrage widerrufen, die an eine der im Kapitel III. angegebenen Kontaktdaten der Gesellschaft gerichtet werden muss. Der Widerruf der Zustimmung wird gültig, sobald er der Gesellschaft bekannt wird.
5. Zeitraum der Datenverwaltung:
Die Gesellschaft wird die Datenverwaltung für 24 Monate ab dem Datum der Zustimmung oder bis zum Widerruf der Zustimmung fortsetzen. Sobald die Datenverarbeitung aus irgendeinem Grund beendet ist, löscht die Gesellschaft die Partnerprogramm gespeicherten Daten des Kunden unverzüglich.
6. Kundenrechte:
Rechte nach Kapitel IV.
7. Rechtsverfolgung der Kunden:
Nach Kapitel V.
8. Datenverarbeiter:
Neucom GmbH. (Sitz: 1171 Budapest, Czimra Gyula Straße 14., Nummer des Gesellschaftsregister: 01 09 284222, Steuernummer: 25595211-2-42)
Mitarbeiter der Gesellschaft
3.5. Datenverwaltung auf unseren Social-Media-Plattformen (Facebook, Instagram, YouTube)
3.5.1. Die Gesellschaft unterhält Social-Media-Plattformen, um ihre Aktivitäten vorzustellen und seine Produkte zu bewerben (Facebook, Instagram, YouTube-Kanal).
3.5.2. Wir sammeln, verarbeiten oder speichern keine personenbezogenen Daten, die von Besuchern auf unseren Social-Media-Plattformen veröffentlicht werden. Für Besucher gelten die eigenen Datenschutz- und Servicebedingungen der Social-Media-Plattformen. Eine auf Social-Media-Plattformen gestellte Frage gilt nicht als offiziell eingereichte Beschwerde.
3.5.3. Bei rechtswidrigen oder anstößigen Inhalten kann die Gesellschaft die betroffene Person ausschließen oder ihre Kommentare ohne vorherige Ankündigung löschen.
3.5.4. Die Gesellschaft ist nicht verantwortlich für Dateninhalte oder von Benutzern veröffentlichte Kommentare, die gegen das Gesetz verstoßen. Sie ist verantwortlich weder für Fehler oder Fehlfunktionen, die sich aus dem Betrieb von Social-Media-Plattformen ergeben, noch für Probleme, die sich aus Änderungen im Betrieb des Systems ergeben.
3.6. Cookies
3.6.1. Die Websites der Gesellschaft sammeln automatisch Daten durch die Verwendung von sog. Cookies. Ein Cookie ist eine kleine Textdatei, die Interneteinstellungen speichert. Fast alle Websites wenden diese Technologie an.
Wenn die betroffene Person die Website zum ersten Mal besucht, wird das Cookie automatisch von ihrem Browser heruntergeladen, wenn sie ihre Zustimmung erteilt. Beim nächsten Zugriff auf die Website mit demselben Gerät wird das Cookie mit den darin enthaltenen Informationen entweder vom System an die Website zurückgesendet, die es erstellt hat (sog. eigenes Cookie), oder an eine andere Website gesendet, zu der es gehört (sog. Partner-Cookie). Somit erkennt die Website, dass die betreffende Seite mit diesem Browser aufgerufen wurde und ändert in einigen Fällen den angezeigten Inhalt. Weitere Informationen zu den auf unseren Websites verwendeten Cookies finden Sie unter den auf jeder Website platzierten Links, einschließlich der Folgen des allgemeinen Verbots der Verwendung von Cookies.
3.6.2. Mit Hilfe von Cookies hat der Server die Möglichkeit, den jeweiligen Benutzer zu identifizieren, verschiedene Informationen über ihn zu sammeln und zu analysieren. Die Hauptfunktionen von Cookies:
a) Informationen über Besucher und ihre Geräte sammeln;
b) sie merken sich die individuellen Einstellungen der Besucher, die verwendet werden (können), z.B. bei der Verwendung von Online-Transaktionen, damit man sie nicht erneut eingeben muss;
c) sie erleichtern, vereinfachen, machen die Nutzung der jeweiligen Website bequemer und reibungsloser;
d) sie erübrigen die erneute Eingabe bereits eingegebener Daten;
e) sie verbessern im Allgemeinen die Benutzererfahrung.
3.6.3. Mit der Verwendung von Cookies führt die Gesellschaft mit Zustimmung der betroffenen Person eine Datenverwaltung durch, deren Hauptzwecke sind: Identifizierung des Benutzers, Identifizierung einzelner Aktivitäten, Identifizierung der für den Zugriff verwendeten Geräte, Speicherung bestimmter spezifizierter Daten, Speicherung und Übermittlung von Ortungs- und Standortinformationen, Speicherung und Übermittlung von Daten, die für analytische Messungen erforderlich sind.
3.6.4. Rechtsgrund für die Datenverwaltung ist die Einwilligung der betreffenden Person. Umfang der verwalteten Daten: Kennungen der betroffenen Person (Benutzer-ID, Sitzungs-ID, Geräte-ID), Anmeldedatum und Nutzungsdauer, GPS-Koordinaten des Benutzers.
Zeitraum der Datenverwaltung: 1 Jahr ab dem Datum der Zustimmung der betroffenen Person.
3.6.5. Die Besucherdaten der Websites werden von der Gesellschaft mithilfe des Dienstes Google Analytics gemessen. Bei der Nutzung des Dienstes werden keine personenbezogenen Daten übermittelt. Die übermittelten Daten sind nicht geeignet, die betroffene Person zu identifizieren.
IV. RECHTE DER BETROFFENEN PERSON
Der betroffenen Person stehen im Zusammenhang mit der vorstehenden Datenverwaltung folgende Rechte zu.
4.1. Recht auf Auskunftserteilung
Die betroffene Person hat das Recht, vor Beginn der Datenverwaltung über die Fakten im Kontakt mit der Datenverwaltung in Bezug auf ihre von der Gesellschaft verwalteten personenbezogenen Daten informiert zu werden. In Anbetracht der Tatsache, dass die betroffene Person der Gesellschaft ihre personenbezogenen Daten zur Verfügung stellt, kommt die Gesellschaft mit dieser Erklärung seiner Auskunftserteilungspflicht gemäß Art. 13 DSGVO nach.
4.2. Zugangsrecht
Die betroffene Person ist jederzeit berechtigt, Auskunft darüber zu verlangen, welche personenbezogene Daten von ihr die Gesellschaft genau verwaltet. Auf ihre Anfrage erteilt die Gesellschaft auch Auskunft über die Zwecke, Rechtsgrund, Dauer der Datenverwaltung in Bezug auf die betroffene Person sowie darüber, wer und zu welchem Zweck ihre Daten erhalten wird oder erhalten hat (einschließlich insbesondere Empfänger in Drittländern und internationalen Organisationen, sofern dies geschehen ist). Die betroffene Person hat jederzeit das Recht, Zugang zu erhalten, von der Gesellschaft Berichtigung, Löschung oder Einschränkung der Verwaltung der sie betreffenden personenbezogenen Daten zu verlangen und kann der Verwaltung dieser personenbezogenen Daten widersprechen. Dem Betroffenen steht jederzeit ein Informations- und Auskunftsrecht zu, dass er eine Beschwerde bei der Aufsichtsbehörde einreichen kann. Liegen Daten vor, die die Gesellschaft nicht bei der betroffenen Person erhoben hat, kann sie jederzeit Auskunft über die Herkunft der Daten verlangen. Wenn die Gesellschaft personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, wird die Gesellschaft die betroffene Person auch über die geeigneten Garantien gemäß Art. 46 DSGVO in Bezug auf die Übermittlung informieren.
Die Gesellschaft stellt der betroffenen Person die erste Kopie der personenbezogenen Daten, die Gegenstand der Datenverwaltung sind, kostenlos zur Verfügung. Für zusätzliche Kopien kann die Gesellschaft eine angemessene Gebühr erheben, die auf den Verwaltungskosten basiert und an die Datenmenge angepasst ist, aber die Gesellschaft wird die betroffene Person im Voraus über diesen Betrag informieren. Wenn die betroffene Person ihren Antrag auf Auskunftserteilung/Zugang elektronisch gestellt hat, stellt die Gesellschaft die Informationen ihr in einem weit verbreiteten elektronischen Format zur Verfügung, sofern die betroffene Person es nicht anders verlangt. Das Recht, eine Kopie anzufordern, darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
4.3. Recht auf Berichtigung und Ergänzung
Die betroffene Person hat das Recht, von der Gesellschaft die Berichtigung ungenauer oder falsch aufgezeichneter personenbezogener Daten zu verlangen. Wenn die Daten mangelhaft sind, kann die betroffene Person ihre Ergänzung anfordern. Sind die um Berichtigung oder Ergänzung erbetenen Daten in einem amtlichen Ausweis oder einem anderen amtlichen Register enthalten, das die Identität und den Wohnort bestätigt, ist auch dieses Dokument zur Berichtigung oder Ergänzung vorzulegen.
4.4. Recht auf Löschung der personenbezogenen Daten („Recht auf vergessen zu werden”) (Art. 17 DSGVO)
Die betroffene Person kann jederzeit von der Gesellschaft die Löschung ihrer personenbezogenen Daten verlangen, wozu die Gesellschaft verpflichtet ist, wenn einer der folgenden Gründe zutrifft:
die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder anderweitig von der Gesellschaft verarbeitet wurden, nicht mehr erforderlich
die betroffene Person hat die Zustimmung, die die Grundlage der Datenverwaltung bildet, widerrufen, und es gibt keinen anderen Rechtsgrund für die Datenverwaltung;
die betroffene Person widerspricht der Datenverwaltung der Gesellschaft aufgrund des öffentlichen Interesses oder des berechtigten Interesses gemäß Art. 21 Abs. 1 DSGVO und es besteht kein vorrangiger Rechtsgrund für die Datenverarbeitung, oder sie legt auf Grundlage von Art. 21 Abs. 2 DSGVO Widerspruch gegen die Datenverwaltung zum Zwecke der unmittelbaren Geschäftsakquise ein;
personenbezogene Daten wurden von der Gesellschaft illegal verwaltet;
die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem die Gesellschaft unterliegt;
die Erhebung personenbezogener Daten erfolgt in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO.
Wenn die Gesellschaft die personenbezogenen Daten öffentlich gemacht hat und verpflichtet ist, sie zu löschen, wird sie alle angemessenen Schritte unternehmen, um die anderen Datenverantwortlichen, die mit den Daten umgehen, über die Verpflichtung der Löschung zu informieren.
Die Daten müssen nicht gelöscht werden, wenn die Datenverwaltung erforderlich ist:
zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
zum Zwecke der Erfüllung der Verpflichtung nach dem für die Gesellschaft geltenden Recht, das die Verwaltung personenbezogener Daten vorschreibt (z. B. Erfüllung von Steuer- und Buchhaltungspflichten), oder zur Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in im Zusammenhang mit der Ausübung öffentlicher Gewalt, die der Gesellschaft übertragen wurde;
aufgrund des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und i) sowie Art. 9 Abs. 3 DSGVO;
gemäß Art. 89 Abs. 1 DSGVO für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke, wenn das Recht auf Löschung diese Datenverwaltung voraussichtlich unmöglich machen oder ernsthaft gefährden würde; oder
zur Geltendmachung, Durchsetzung und Verteidigung von Rechtsansprüchen.
4.5. Recht auf Einschränkung der Datenverwaltung (Art. 18 DSGVO)
Die betroffene Person kann verlangen, dass die Gesellschaft die Verwaltung bestimmter personenbezogenen Daten einschränkt, wenn eine der folgenden Bedingungen erfüllt ist:
die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten, in diesem Fall gilt die Beschränkung für den Zeitraum, der es der Gesellschaft ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
die Datenverwaltung ist rechtswidrig und die betroffene Person widersetzt sich der Löschung der Daten und verlangt stattdessen die Einschränkung ihrer Nutzung;
die Gesellschaft benötigt die personenbezogenen Daten nicht mehr zum Zwecke der Datenverwaltung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen;
die betroffene Person hat Widerspruch gegen die Datenverwaltung gemäß Art. 21 Abs. 1 DSGVO eingelegt und Zeit erforderlich ist, um zu prüfen, ob ein vorrangiger berechtigter Grund für die Datenverwaltung vorliegt. In diesem Fall gilt die Einschränkung für den Zeitraum bis zur Feststellung, ob ein berechtigter Grund für die Datenverwaltung Vorrang hat, d. h. ob die berechtigten Gründe der Gesellschaft für die Aufbewahrung und Verarbeitung von Daten Vorrang vor den berechtigten Gründen der betroffenen Person für die Löschung von Daten haben.
Während des Sperrzeitraums speichert die Gesellschaft die Daten nur und führt keine anderen Datenverwaltungsvorgänge damit durch, es sei denn i) die betroffene Person stimmt weiteren Vorgängen zu oder ii) wenn die Verwaltung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist sowie iii) wenn es notwendig ist, um die Rechte einer anderen natürlichen oder juristischen Person zu schützen oder iv) wenn die Verwaltung für ein wichtiges öffentliches Interesse der Union oder eines Mitgliedstaats erforderlich ist.
Im Falle der Einschränkung der Datenverwaltung wird die Gesellschaft die betroffene Person im Voraus über die Aufhebung der Einschränkung in der Form und Weise informieren, in der die betroffene Person die Einschränkung der Datenverwaltung verlangt hat.
Die Gesellschaft informiert alle Empfänger über die von der betroffenen Person angeforderte und durch die Gesellschaft durchgeführte Berichtigung, Löschung oder Einschränkung der Datenverwaltung, an die die personenbezogenen Daten übermittelt wurden. Es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Auf Anfrage der betroffenen Person teilt die Gesellschaft ihr die Empfänger mit, die sie gemäß dem Vorstehenden informiert hat.
4.6. Recht auf Widerspruch (Art. 21 DSGVO)
Die betroffene Person ist berechtigt, aus Gründen, die sich aus ihrer eigenen Situation ergeben, jederzeit gegen die Verwaltung ihrer personenbezogenen Daten, die im öffentlichen Interesse oder im berechtigten Interesse der Gesellschaft oder eines Dritten liegt, zu widersprechen (Art. 6 Abs. 1 lit. e) und f)), einschließlich Profiling auf Grundlage der vorgenannten Bestimmungen. In diesem Fall darf die Gesellschaft die personenbezogenen Daten nicht mehr verwalten. Es sei denn, es wird nachgewiesen, dass die Datenverwaltung durch zwingende schutzwürdige Gründe gerechtfertigt ist, die Vorrang vor den Interessen, Rechten, Freiheiten der betroffenen Person haben oder die mit der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen zusammenhängen.
Die betroffene Person hat das Recht, jederzeit Widerspruch gegen die Verwaltung der sie betreffenden personenbezogenen Daten zum Zwecke der direkten Geschäftserwerb einzulegen, einschließlich Profilerstellung (wenn dies von der Gesellschaft verwendet wird – sie bietet jedoch ordnungsgemäße Informationen), wenn es sich um den direkten Geschäftserwerb bezieht. Im Falle des Widerspruchs wird die Gesellschaft die personenbezogenen Daten nicht mehr für Zwecke der direkten Geschäftserwerb verwalten.
Im Falle der Datenverwaltung zu statistischen Zwecken hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer eigenen Situation ergeben, gegen die Verwaltung ihrer personenbezogenen Daten Widerspruch einzulegen. Es sei denn, die Datenverwaltung ist für die Erfüllung einer Aufgabe aus Gründen des öffentlichen Interesses erforderlich.
4.7. Recht auf Datenportabilität (Art. 20 DSGVO)
Da die Gesellschaft die Daten der betroffenen Person auch in einer elektronischen Datenbank speichert, ist die betroffene Person berechtigt, die sie betroffenen personenbezogenen Daten, die der Gesellschaft bereitgestellt werden, in einem segmentierten, weit verbreiteten, maschinenlesbaren Format zu erhalten. Ferner ist sie berechtigt, diese Daten einem anderen Datenverarbeiter zu übermitteln, ohne dass die Gesellschaft dies verhindert. Die betroffene Person hat das Recht auf Datenübertragbarkeit in Bezug auf Daten, deren Verwaltung auf der Zustimmung von ihr (Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO) oder der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b)) beruht. Wenn die betroffene Person die direkte Übermittlung personenbezogener Daten zwischen den für die Datenverwaltung Verantwortlichen verlangt, gibt die Gesellschaft an, ob dies technisch möglich ist.
4.8. Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)
Der betroffenen Person steht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe das Recht auf Beschwerde bei einer Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts mutmaßlichen Verstoßes – zu, wenn die betroffene Person der Meinung ist, dass die Verwaltung der sie betreffenden personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt.
In Ungarn ist die Aufsichtsbehörde die Nationale Datenschutz- und Informationsfreiheitsbehörde (1024 Budapest, Erzsébet-Szilágyi-Holzlinie 22/C, E-Mail: ugyfelszolgalat@naih.hu, +36-1-3911400, Präsident: dr. Attila Péterfalvi, www.naih.hu).
Die Aufsichtsbehörde, bei der die betroffene Person ihre Beschwerde eingereicht hat, ist verpflichtet, die betroffene Person als Kunde über die mit der Beschwerde verbundenen Verfahrensentwicklungen und deren Ergebnisse zu informieren, einschließlich der Tatsache, dass die betroffene Person gemäß Art 78 DSGVO berechtigt ist, ein Rechtsbehelf einzulegen.
4.9. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde (Art. 78 DSGVO)
Unbeschadet anderer verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat die betroffene Person Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf gegen die rechtsverbindliche Entscheidung der Aufsichtsbehörde (in Ungarn die Nationale Datenschutz- und Informationsfreiheitsbehörde). Unbeschadet anderer verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat die betroffene Person Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die gemäß Art. 55 oder 56 der DSGVO zuständige Aufsichtsbehörde die Beschwerde nicht bearbeitet oder die betroffene Person nicht innerhalb von 3 Monaten über die Verfahrensentwicklung oder -ergebnis im Zusammenhang mit der gemäß Art. 77 eingereichten Beschwerde informiert. Verfahren gegen die Aufsichtsbehörde müssen vor dem Gericht des Mitgliedstaats eingeleitet werden, in dem die Aufsichtsbehörde ihren Sitz hat (in Ungarn ist das Hauptstadtverwaltungs- und Arbeitsgericht für Gerichtsverfahren gegen die Nationale Datenschutz- und Informationsfreiheitsbehörde zuständig).
4.10. Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen der Gesellschaft oder den Datenberarbeiter (Art. 79 DSGVO)
Unbeschadet der zur Verfügung stehenden verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfe – einschließlich Recht auf Beschwerden bei der Aufsichtsbehörde nach Punkt 4.8. – hat die betroffene Person das Recht, ein Gerichtsverfahren einzuleiten, wenn die Gesellschaft ihrer Meinung nach ihre personenbezogenen Daten nicht in Übereinstimmung mit der DSGVO behandelt und dadurch ihre Rechte gemäß DSGVO verletzt hat.
Das Verfahren muss vor dem Gericht des Mitgliedstaats eingeleitet werden, in dem die Gesellschaft tätig ist, d.h. vor dem ungarischen Gericht. Es kann aber auch vor dem Gericht des Mitgliedstaats eingeleitet werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat (wenn es sich nicht um Ungarn handelt).
4.11. Information der betroffenen Person über den Datenschutzvorfall (Art. 34 DSGVO)
Wenn der Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person bedeutet, wird die Gesellschaft die betroffene Person unverzüglich über den Datenschutzvorfall informieren. In dieser Auskunftserteilung muss die Art des Datenschutzvorfalls klar und verständlich beschrieben werden und es müssen mindestens die folgenden Informationen und Maßnahmen bereitgestellt werden:
der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson für zusätzliche Informationen müssen mitgeteilt werden;
die voraussichtlichen Folgen des Datenschutzvorfalls sind zu beschreiben;
die vom für die Verwaltung Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Behebung des Datenschutzvorfalls müssen beschrieben werden, einschließlich ggf. Maßnahmen zur Abmilderung nachteiliger Folgen, die sich aus dem Datenschutzvorfall ergeben.
Die betroffene Person muss nicht über einen Datenschutzvorfall informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:
die Gesellschaft hat angemessene technische und organisatorische Schutzmaßnahmen getroffen und diese Maßnahmen auf die von dem Datenschutzvorfall betroffenen Daten angewendet wurden, insbesondere solche Maßnahmen – wie etwa der Einsatz von Verschlüsselung – die die Daten für Personen unverständlich machen, die nicht zum Zugriff auf die personenbezogenen Daten berechtigt sind;
die Gesellschaft hat nach dem Datenschutzvorfall zusätzliche Maßnahmen ergriffen, um sicherzustellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person in Zukunft unwahrscheinlich ist;
die Auskunftserteilung unverhältnismäßigen Aufwand erfordern würde.
In den oben genannten Fällen muss die betroffene Person durch öffentlich veröffentlichte Informationen informiert werden oder es muss eine ähnliche Maßnahme ergriffen werden, um sicherzustellen, dass die betroffene Person ähnlich effektiv informiert wird.
V. VERFOLGUNG DER RECHTE DER BETROFFENEN PERSON, EINREICHUNG IHRER ANTRAG,
KONTAKTAUFNAHME MIT DER GESELLSCHAFT
5.1. Im Falle der Verfolgung der Rechte der betroffenen Person, möglicherweise Ihre Anfrage i) schriftlich, per Post ii) persönlich am Sitz der Gesellschaft abgeben oder iii) per E-Mail an die E-Mail-Adresse der Gesellschaft senden.
Daten und Kontakt der Gesellschaft/Datenverwalter:
Postanschrift: 1076 Budapest, Sajó Str. 4-8. Erdgeschoß 01/Geschäftsraum
Telefon: +36-1/443 32 29
E-Mail: ugyfelszolgalat [At] gal.hu
5.2. Sollte es Zweifel an der Identität der betroffenen Person bestehen oder wenn die bereitgestellten Daten zur Identifizierung nicht ausreichen, ist die Gesellschaft berechtigt, von der betroffenen Person zusätzliche Identifizierungsdaten anzufordern, die zur Bestätigung der Identität erforderlich und geeignet sind.
5.3. Kann der Antragsteller seine Identität nicht zweifelsfrei nachweisen und somit nicht identifizierbar ist, kann die Gesellschaft die Bearbeitung des Antrags ablehnen.
5.4. Die Gesellschaft informiert die betroffene Person ohne unnötige Verzögerung, aber auf jedem Fall innerhalb eines Monats nach Eingang der Anfrage über die aufgrund der Anfrage ergriffenen Maßnahmen. Bei Bedarf kann diese Frist unter Berücksichtigung der Komplexität und der Anzahl der Anfragen um weitere zwei Monate verlängert werden. Die Gesellschaft informiert die betroffene Person über die Verlängerung der Frist mit Angabe der Gründe für die Verzögerung innerhalb eines Monats nach Eingang des Antrags.
5.5. Wenn die betroffene Person den Antrag elektronisch gestellt hat, müssen die Informationen möglicherweise elektronisch bereitgestellt werden, sofern die betroffene Person es nicht anders anfordert.
5.6. Wenn die Gesellschaft auf Anfrage der betroffenen Person keine Maßnahmen ergreift, muss sie die betroffene Person unverzüglich, aber spätestens innerhalb eines Monats nach Erhalt der Anfrage, über die Gründe für die Nichtergreifung informieren. Sowie darüber, dass die betroffene Person eine Beschwerde bei einer Aufsichtsbehörde einreichen und ihr Recht auf gerichtlichen Rechtsbehelf ausüben kann.
5.7. Informationen gemäß Art. 13 und 14 DSGVO sowie Auskunft und Maßnahme gemäß Art. 15-22 und 34 DSGVO stellt die Gesellschaft unentgeltlich zur Verfügung. Sollte eine Anfrage eindeutig unbegründet oder – insbesondere aufgrund ihrer wiederholten Natur – übertrieben sein, unter Berücksichtigung der Verwaltungskosten, die mit der Bereitstellung der angeforderten Informationen oder Auskunft oder der Ergreifung der angeforderten Maßnahme verbunden sind, ist die Gesellschaft berechtigt:
a) eine angemessene Gebühr zu erheben oder
b) sich zu weigern, aufgrund des Antrags tätig zu werden.
Budapest, 18. May 2023