Startseite | Babyhotel (0-2 Jahre) | Abenteuer für Kinder (3-6 Jahre) | Schulferien, Urlaub (ab 7 Jahre) | Boboland | Familien-Erlebnisbad | Wellness für Erwachsene | Tages- und Monatskarten | Babyschwimmen | Massage | Beauty | Bobo-Wellness für Kinder | Wellness-Pakete | Medical wellness | Friseur-Salon | Sport & Fitness | Kinderfreundliche Restaurants | Spezielle Ernährung, Diäten | Familienfeste | Zimmer, Family-Suiten, Ferienhäuser | Sonderangebote & Pakete | Preise - Rechnen wir! | Inhalt des Preises | Akzeptierte Zahlungsmittel | Familotel Happy Card | Stammgastprogramm | Gruppenreisen | Veranstaltungsort | Nachrichten, Neuigkeiten | Häufig gestellte Fragen | Umgebung | Über Kolping | Kontakt | Impressum | AGB | Zahlunsbedingungen | Datenschutz |

Textgröße: normal + ++

Kolping Hotel**** Spa & Family Resort

DATENSCHUTZERKLÄRUNG UND REGELUNG DER DATENVERWALTUNG DER KOLPING HOTEL KFT.

1. Ziel der Erklärung

Ziel der Erklärung ist, dass sie gemäß der Rechtsvorgaben des Gesetzes 2011. CXII. über informationelles Selbstbestimmungsrecht und Informationsfreiheit (in weiterem InfoGs.), sowie der Anordnung des Europäischen Parlaments und des Rats (EU) 2016/679 [GDPR] die Betroffenen über den Kreis der durch in Punkt 2. angegebenen Datenschutzverwalter verwalteten personenbezogenen Daten, über Ziel, Art und Weise der Datenverwaltung, und über sämtliche sonstige, mit der Datenverwaltung verknüpften Tatsachen informiert, insbesondere, aber nicht ausschließlich über ihre Rechte bzgl. der Datenverwaltung und über ihre Möglichkeiten zum Rechtsbehelf.

2. Hinweis zur verantwortlichen Stelle

• Name: Kolping Hotel Kft.
• Sitz: 8394 Alsópáhok, Fő utca 120.
• Gesetzlicher Vertreter: Baldauf Csaba, Generaldirektor
• Kontakt in Sachen Datenschutz: Nyírő Judit Deputy Direktor of Operations

3. Name, Erreichbarkeit, Rechtslage und Aufgaben des Datenschutzbeauftragten

• Dr. Morvay Boldizsár - dpo@kolping.hotel.hu

Rechtslage des Datenschutzbeauftragten:
Der Verantwortliche muss dem Datenschutzbeauftragten sichern, dass er in sämtlichen, den Datenschutz betreffenden Angelegenheiten in entsprechender Art und Weise, rechtzeitig eingeschaltet wird. Es muss gesichert werden, dass dem Datenschutzbeauftragten die zur Erhaltung seines Fachwissens benötigten Quellen zur Verfügung stehen.
Bezüglich der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte von keinem Anweisungen annehmen. Der Verantwortliche oder Datenverarbeiter darf den Datenschutzbeauftragten in Zusammenhang seiner Aufgabenerfüllung weder sanktionieren noch ihm kündigen. Der Datenschutzbeauftragte trägt direkt gegenüber dem Verantwortlichen oder der obersten Leitung Verantwortung.
Die Betroffenen können sich in sämtlichen Fragen bzgl. Verwaltung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte an den Datenschutzbeauftragten wenden.
Bezüglich seiner Aufgabenerfüllung unterliegt der Datenschutzbeauftragte einer Verschwiegenheitspflicht oder ist verpflichtet die Daten vertraulich zu behandeln.
Der Datenschutzbeauftragte darf auch anderer Aufgaben nachgehen, es darf aber bzgl. der Aufgaben keine Unvereinbarkeit auftreten.

Aufgaben des Datenschutzbeauftragten:

• Informiert und berät den Verantwortlichen oder den Datenverarbeiter, des weiteren die Angestellten in der Datenverarbeitung;
• kontrolliert den Verantwortlichen oder den Datenverarbeiter, ob er der internen Regelung des Schutzes personenbezogenen Daten gerecht wird;
• auf Wunsch berät er in Sachen Datenschutz-Folgenabschätzung, sowie verfolgt die Abwicklung der Folgenabschätzung;
• arbeitet mit der Aufsichtsbehörde zusammen

4. Rechtsvorgaben bzgl. Datenverwaltung

- Ungarns Grundgesetz, Art. VI.;

- Gesetz über informationelle Selbstbestimmung und Informationsfreiheit 2011. CXII., in weit. „InfoGs.);

- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

5. In vorliegender Erklärung verwendeten Rechtsbegriffe

• Datenverarbeiter: jene natürliche oder juristische Person, Behörde, Agentur oder jegliche sonstige Dienststelle, die im Namen des Verantwortlichen personenbezogen Daten bearbeitet
• Datenverwaltung: auf personenbezogenen Daten oder Datenbestand in automatisierter oder nicht automatisierter Art erfolgte jegliche Operation oder Summe der Operationen, wie die Sammlung, Registration, Systematisierung, Gliederung, Speicherung, Modifizierung oder Änderung, Abfrage, Einsicht, Verwendung, Mitteilung, Transfer, Vertrieb, oder auf sonstiger Art und Weise zugänglich gemacht, wie Verknüpfung, Begrenzung, Löschung bzw. Vernichtung
• Datenverwalter (Verantwortlicher): Das Unternehmen, sowie jene natürliche oder juristische Person, Behörde, Agentur oder jegliche sonstige Dienststelle, die die Ziele und Mittel der Verwaltung personenbezogener Daten selbst oder zusammen mit Anderen bestimmt; wenn die Ziele und Mittel der Datenverwaltung von Unionsrecht oder dem Recht der Mitgliedstaaten bestimmt werden, kann der Verantwortliche oder die Ernennungskriterien des Verantwortlichen durch Unionsrecht bestimmt werden.
• Datenschutzbezogener Zwischenfall: solche Verletzung der Sicherheit, die zur zufälligen oder rechtswidrigen Löschung, Verlust, Änderung, unbefugten Mitteilung der weitergeleiteten, gespeicherten oder auf sonstiger Art und Weise verwalteten Daten führt, oder den unbefugten Zugriff auf diese Daten verursacht. 
• Biometrische Angabe: alle, durch spezifisches Verfahren erhaltene, einer natürlichen Person betreffende körperliche, physiologische oder ihr Verhalten betreffende personenbezogene Daten, die die Identifizierung der natürlichen Person ermöglichen oder bestätigen, so ZB. Bildnis oder daktyloskopische Angabe
• Empfänger: jene natürliche oder juristische Person, Behörde, Agentur oder jegliche sonstige Dienststelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verwaltung der besagten Daten durch diese Behörden müssen den Datenschutzbestimmungen entsprechen.
• Betroffene: jene natürliche Person, deren personenbezogene Daten verwaltet werden
• Zustimmung des Betroffenen: freiwillige, konkrete, auf entsprechender Informierung basierende, eindeutige Willensbekundung des Betroffenen, womit er in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden is.
• GDPR: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
• Dritter: jene natürliche oder juristische Person, Behörde, Agentur oder jegliche sonstige Dienststelle, die nicht identisch mit dem Betroffenen, dem Datenverarbeiter oder mit jenen Personen ist, die unter unmittelbarer Verantwortung des Verantwortlichen oder Datenverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
• InfoGs.: Gesetz über informationelle Selbstbestimmung und Informationsfreiheit 2011. CXII.
• Arbeitnehmer: Personen, in Vertrag stehende Unternehmer und deren Beauftragten, die mit dem Dienstleister in Arbeitsverhältnis, oder in sonstigem, eine Arbeitsverrichtung erzielendem Rechtsverhältnis stehen, insbesondere: Dienstleisungs-, Auftragsvertrag. 
• Profiling: Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
• personenbezogene Daten: jegliche Information bzgl. identifizierter oder identifizierbarer natürlicher Person („Betroffener”); Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
• Besondere Kategorien personenbezogener Daten: Personenbezogene Daten, die auf Rassen- oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, oder auf Mitgliedschaft in einer Gewerkschaft hinweisen, sowie die Identifizierung natürlicher Personen erzielende genetische und biometrische Angaben, Angaben bzgl. des Gesundheitszustandes, und Angaben bzgl. des sexuellen Lebens oder sexueller Orientierung von natürlichen Personen.

6. Datenschutz-Folgenabschätzung

Für die Durchführung einer Datenschutz-Folgenabschätzung, die für die Rechte und Freiheiten der natürlichen Personen unternommen wird, haftet der Verantwortliche. Es werden dabei Quelle, Charakter, Individualität und Schwere der Risiken untersucht. Bei der Bestimmung, welche Maßnahmen zum Nachweis der dem GDPR entsprechenden Verwaltung personenbezogener Daten akzeptabel sind, müssen die Feststellungen der Folgenabschätzung berücksichtigt werden. Falls die Datenschutz-Folgenabschätzung feststellt, dass die Datenverwaltungsvorgänge so hohes Risiko tragen, das der Verantwortliche mit seinen vorhandenen Technologien und Ausführungskosten nicht fähig ist mit entsprechenden Maßnahmen zu reduzieren, ist ein Konsultation mit der Nationalen Behörde für Datenschutz und Informationsfreiheit (NBDI) erforderlich. Sollte später bzgl. der mit hohem Risiko verbundenen Datenverwaltungen eine Datenschutz-Folgenabklärung erforderlich sein, wird dies mithilfe des von der französischen Datenschutzbehörde (Commission Nationale de l'Informatique et des Libertés, im Weiteren: CNIL) veröffentlichten, und auch vom NBDI empfohlenen Open-Source-Softwares (orig. Benennung: „PIAsoftware“, im Weiteren: Folgenabschätzungssoftware) ausgeführt.

Zur Datenschutz-Folgenabschätzung erstellt der Verantwortliche eine eigene Satzung.

7. Test zur Interessenabwägung – im Fall einer Datenverwaltung mit berechtigtem Interesse

Basiert die Datenverarbeitung auf berechtigtem Interesse (GDPR 6. § (1) f), wird der Test zur Interessenabwägung nach Vorgaben der Stellungnahme der NBDI/2015/3731/2/V durchgeführt. Demnach ist der Test zur Interessenabwägung ein mehrstufiger Vorgang, wobei das berechtigte Interesse des Verantwortlichen, das als Gegenpol der Gewichtung dienende Interesse der Datenperson, Grundrecht des Betroffenen identifiziert wird. Nach der durchgeführten Gewichtung muss festgestellt werden, ob die personenbezogene Angabe verwaltet werden kann oder nicht.

Die beim Test zur Interessenabwägung verwendete Stufen:

• 1. Stufe – Untersuchung, ob die Datenverwaltung nötig ist, oder ob es anders gelöst werden kann
• 2. Stufe – die genauste Bestimmung des berechtigten Interesse
• 3. Stufe – Bestimmung des Ziels der Datenverwaltung, welche personenbezogene Daten wie lang verwaltet werden müssen
• 4. Stufe – Bestimmung der Interessen der Betroffenen
• 5. Stufe – Durchführung der Gewichtung

Über den Test zur Interessenabwägung erstellt der Verantwortliche eine eigene Satzung.

8. Verwaltung und Schutz personenbezogener Daten

8.1. Aufgabenbereich, Befugnis und Verantwortung des Verantwortlichen

Der die primäre Datenverwaltung durchführende Verantwortliche ist verpflichtet, dem Anderen durch rechtswidrige Verwaltung seiner Daten oder durch Verletzung der Anforderungen des technischen Datenschutzes den verursachten Schaden zu ersetzen. Gegenüber dem Betroffenen haftet der Verantwortliche auch für jenen Schaden, der vom Datenverarbeiter verursacht wurde. Der Verantwortliche wird der Verantwortung enthoben, wenn er beweist, dass der Schaden durch eine unabwendbare, nicht mit der Datenverwaltung verbundene Ursache herbeigeführt wurde. Es ist kein Schadenersatz fällig, wenn der Schaden durch vorsätzliches oder fahrlässiges Handeln des Geschädigten entstand.

8.2. Aufgabenbereich, Befugnis und Verantwortung des Datenverarbeiters

Die Rechte und Verpflichtungen des Datenverarbeiters während der Verarbeitung personenbezogenen Daten werden von vorliegender Erklärung, sowie vom Verantwortlichen bei Berücksichtigung der einschlägigen Rechtsnormen bestimmt. Der Datenverarbeiter haftet innerhalb seines Betätigungsfeldes, bzw. innerhalb des vom Verantwortlichen bestimmten Rahmens für die Verarbeitung, Änderung, Löschung, Transfer und Veröffentlichung personenbezogenen Daten. Im Vertrag mit dem Datenverarbeiter muss festgelegt werden, dass der Datenverarbeiter während seiner Datenverarbeiter-Tätigkeit einen anderen Datenverarbeiter nur auf Anordung des Verantwortlichen miteinbeziehen darf, und dass der Verstoß gegen die Datenverwaltungsvorschriften zu einer sofortigen Kündigung führen kann.

9. Grundprinzipien und grundsätzliche Bestimmungen

• Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  (Erfassung und Verwaltung personenbezogener Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise geschehen.)
• Prinzip der Zweckbindung
  (Gemäß des InfoGs.-s ist die Verwaltung von personenbezogenen Daten in Abhängigkeit zu einem bestimmten Zweck, zur Rechtsausübung und zum Nachkommen einer Verpflichtung zu setzen. Die Datenverwaltung muss in jeder Stufe der Verarbeitung dem Datenverwaltungszweck entsprechen. Nur solche personenbezogenen Daten dürfen verwaltet werden, die für die Erfüllung des Zwecks der Datenverwaltung unbedingt nötig und geeignet sind. Nach Erfüllung des Zweckes dürfen die Daten nicht mehr weiterverwendet werden.)
• Prinzip der Datensparsamkeit
  (Gemäß des Prinzips der Datensparsamkeit ist der Verantwortliche angehalten, nur solche personenbezogenen Daten zu verwalten, die für die Erfüllung des Zwecks der Datenverwaltung unbedingt nötig sind.)
• Prinzip der Richtigkeit
  (Die vom Verantwortlichen verwalteten Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden)
• Prinzip der Speicherbegrenzung
  (Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist)
• Prinzip der Integrität und Vertraulichkeit
  (Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen)
• Prinzip der Rechenschaftspflicht
  (Der Verantwortliche ist für die Einhaltung der Datenschutzprinzipien und –regeln verantwortlich und muss dessen Einhaltung nachweisen können)
• Prinzip der Datensicherheit
  (Der Verantwortliche muss den Datenverwaltungsprozess so planen und durchführen, dass er bei der Anwendung der Vorschriften des InfoGs.-s und sonstiger Datenverwaltungsvorschriften den Schutz der Privatsphäre des Betroffenen sichert. Der Verantwortliche kümmert sich um die Datensicherheit, ergreift jene technischen und organisatorischen Maßnahmen, gestaltet jene Verfahrensregeln, die zur Erfüllung der Vorgaben des InfoGs.-s und sonstiger Datenschutz-Regelungen nötig sind. Der Verantwortliche schützt die Daten mit entsprechenden Maßnahmen insbesondere vor unbefugten Zugriff, Änderung, Transfer, Veröffentlichung, Löschung oder Vernichtung,, sowie vor zufälligen Vernichtung und Beschädigung, des weiteren vor durch Änderung der verwendeten Technik verursachte Unzugänglichkeit. Zwecks Schutz des in unterschiedlichen Registern elektronisch verwalteten Datenbestands sichert der Verantwortliche durch entsprechende technische Lösung, dass die in den Registern gespeicherten Daten – ausgenommen wenn es gesetzlich erlaubt ist – nicht unmittelbar verbindbar, und nicht dem Betroffenen zugeordnet werden können. Um die Sicherheit aufrechterhalten und einer Datenverwaltung, die das GDPR verletzt, vorzubeugen, erwägt der Verantwortliche das mögliche Risiko, und verwendet Maßnahmen, die der Reduzierung dieser Risikos dienen, wie ZB. Verschlüsselung. Diese Maßnahmen sichern die entsprechende Sicherheit – einschließlich die vertrauliche Verwaltung – , wobei der aktueller Stand der Wissenschaft und Technologie, sowie die Kosten bzgl. der Risikominderung und die der nötigen Sicherheitsvorkehrungen berücksichtigt werden. Bei der Abmessung des Datensicherheitsrisikos müssen alle, mit der Verwaltung personenbezogenen Daten verbundene Risiken – wie ZB. zufällige oder rechtswidrige Löschung, Verlust, Änderung, unbefugte Veröffentlichung oder unbefugter Zugriff auf weitergeleiteten, gespeicherten oder auf sonstiger Weise verwalteten Daten – erwägt werden, die physikalische, Vermögens- und Nichtvermögensschäden verursachen können.

10. Rechte der Betroffenen

• Recht auf Zugriff
  (Der Betroffene hat das Recht vom Verantwortlichen informiert zu werden, ob die Verwaltung seiner personenbezogenen Daten im Gange ist, und wenn es der Fall ist, hat er das Recht auf diese Daten Zugriff zu bekommen, sowie über die Umstände der Verwaltung seiner Daten Information zu erhalten. Der Verantwortliche muss den Betroffenen ohne ungerechtfertigte Verzögerung, aber höchstens innerhalb eines Monats nach Antragseingang über die bzgl. seines Antrags getroffenen Maßnahmen. Gegebenenfalls, in Anbetracht der Komplexität des Antrags und der Anzahl der Anträge, kann der Frist um weitere zwei Monate verlängert werden. Der Verantwortliche hat den Betroffenen über die Fristverlängerung mit Angabe der Verzögerungsgründe innerhalb eines Monats nach Antragseingang zu informieren. Wenn der Betroffene den Antrag elektronisch eingereicht hat, muss die Informierung möglichst ebenfalls elektronisch erfolgen, wenn es der Betroffene nicht anders verlangt. 
• Recht auf Berichtigung
  (Der Betroffene hat das Recht die unverzügliche Berichtigung ihn betreffender unrichtiger personenbezogener Daten, sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.)
• Recht auf Löschung
  (Der Betroffen hat das Recht, von dem Verantwortlichen zu verlangen, dass die ihn betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:
  • a) Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind;
  • b) Der Betroffene widerruft seine Einwilligung, auf die sich die Datenverwaltung gemäß GDPR Art. 6 Abs. 1 Buchstabe a) oder GDPR Art. 9 Abs. 2 Buchstabe a) stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Datenverwaltung.
  • c) Der Betroffene legt gemäß GDPR Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß GDPR Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung ein;
  • d) Die personenbezogenen Daten wurden unrechtmäßig verwaltet;
  • e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
  • f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß GDPR Art. 8 Abs. 1 erhoben. (Kriterien bzgl. Einwilligung eines Kindes)

Daten werden vom Verantwortlichen nicht gelöscht, wenn die Datenverwaltung aus einer der folgenden Gründe notwendig ist:

• • a) Zwecks Ausübung des Rechts auf freie Meinungsäußerung und auf Informationsfreiheit;
  • b) Zwecks Erfüllung der Verpflichtung, die vom Recht auf Verwaltung personenbezogenen Daten vorgeschrieben wird;
  • c) oder zur Vorlage, Geltendmachung juristischer Anrechte, bzw. zur deren Schutz benötigt wird.
    
    
• Recht auf Einschränkung der Datenverwaltung
  (Der Betroffene hat das Recht, von dem Verantwortlichen die Einschränkung der Datenverwaltung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
  • a) die Richtigkeit der personenbezogenen Daten wird vom Betroffenen bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen
  • b) die Verarbeitung ist unrechtmäßig, der Betroffene lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten
  • c) Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, der Betroffene benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder
  • d) Der Betroffene hat Widerspruch gegen die Datenverwaltung eingelegt; die Einschränkung gilt in dem Fall solange, bis es festgestellt wird, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Im Fall der Einschränkung der Datenverwaltung können die betroffenen personenbezogenen Daten (ausgenommen Speicherung) nur mit Einwilligung des Betroffenen, oder zur Vorlage, Geltendmachung oder Schutz juristischer Anrechte, oder zur Schutz der Rechte anderer natürlichen oder juristischen Personen, oder aus wichtigem öffentlichen Interesse der Union, bzw. eines Mitgliedstaates verwaltet werden. Über die Aufhebung der Einschränkung informiert der Verantwortliche den Betroffenen.
• Recht auf Widerspruch
  (Der Betroffene hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von GDPR Art. 6 Abs. 1 Buchstaben e) oder f) erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. In dem Fall verwaltet der Verantwortliche die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüche.)
• Recht auf Datenübertragbarkeit
  (Der Betroffene hat das Recht, die ihn betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Er hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Datenverwaltung auf der Einwilligung gemäß GDPR Art. 6 Abs. 1 Buchstabe a) oder GDPR Art. 9 Abs. 2 Buchstabe a) oder auf einem Vertrag gemäß GDPR Art. 6 Abs. 1 Buchstabe b) beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. )

11. Detaillierte Regeln der Datenverwaltung

11.1. Information über die Datenverwaltung

Der Betroffene hat das Recht, über die Verwaltung seiner personenbezogenen Daten in kurzer, transparenter, leicht erreichbarer Form, klare und allgemeinverständliche Information zu erhalten. Wenn die personenbezogenen Daten vom Betroffenen eingeholt werden, muss der Betroffene informiert werden, ob er verpflichtet ist personenbezogene Daten zu übergeben, und welche Konsequenzen der Ausfall der Datenlieferung hat. Die Information über die Verwaltung der personenbezogenen Daten des Betroffenen muss zum Zeitpunkt der Datenerhebung erfolgen, bzw. wenn die Daten nicht vom Betroffenen, sondern aus sonstiger Quelle eingeholt wurden, muss sie, in Anbetracht der Umstände der Angelegenheit, innerhalb sinnvoller Frist übergeben werden. Wenn die personenbezogenen Daten rechtmäßig anderen Empfängern mitgeteilt werden dürfen, muss der Betroffene zum Zeitpunkt der ersten Mitteilung an einem anderen Empfänger informiert werden. Wenn der Verantwortliche die personenbezogenen Daten für vom ursprünglichen Zweck abweichenden Zweck verwalten möchte, muss er den Betroffenen noch vor der weiteren Datenverwaltung über den abweichenden Zweck und jedes sonstiges Wissenswerte informieren.

Die Information muss folgendes beinhalten:

• Identität und Erreichbarkeit des Verantwortlichen
• Erreichbarkeit des Datenschutzbeauftragten
• Zweck der Verwaltung personenbezogenen Daten, Rechtsgrundlage der Datenverwaltung
• im Fall einer auf „berechtigtem Interesse“ basierenden Datenverwaltung diese berechtigten Interessen
• Empfänger der personenbezogenen Daten
• die geplante Dauer der Datenverwaltung
• die Rechte des Betroffenen
• Information darüber, ob die Angabe der Daten ein Kriterium des Vertragsabschlusses ist, bzw. welche möglichen Folgen der Ausfall der Datenlieferung hat.
• die eventuelle automatisierte Entscheidungsfindung, einschließlich der Profiling
• die Möglichkeiten des Rechtsbehelfs der Betroffenen

11.2 Rechtmäßigkeit der Datenverwaltung

Die Verwaltung personenbezogener Daten ist rechtmäßig, wenn der Verantwortliche über eine der folgenden, für Datenverwaltung notwendigen Rechtsgründe verfügt:

• der Betroffene erteilte seine Einwilligung zur Verwaltung seiner personenbezogenen Daten
• die Datenverwaltung ist zu einer Vertragserfüllung notwendig, in der der Betroffene ein Vertragsteil ist
• die Datenverwaltung erfolgt zwecks Erfüllung einer juristischen Verpflichtung des Verantwortlichen
• die Datenverwaltung erfolgt zum Schutz lebensnotwendigen Belangs des Betroffenen
• die Datenverwaltung wird zwecks Erfüllung einer Aufgabe öffentlichen Belangs benötigt
• die Datenverwaltung wird zur Durchsetzung von berechtigten Interesse des Verantwortlichen oder eines Dritten benötigt, ausgenommen, wenn gegenüber diesen Interessen solche Interessen oder Grundrechte und Freiheiten des Betroffenen Vorrang haben, die den Schutz personenbezogenen Daten erfordern, insbesondere wenn der Betroffene ein Kind ist.

11.3 Das Register der Datenverwaltungstätigkeiten liegt vorliegender Regelung unter Nr. 1. bei, und beinhaltet folgendes: Kreis der verwalteten personenbezogenen Daten, Ziel, Rechtsgrund und Dauer der Datenverwaltung. Der Register wird vom Verantwortlichen auf seiner Webseite veröffentlicht.

Das Datenverwaltungsverzeichnis beinhaltet folgendes:

• Zweck der Datenverwaltung,
• Art von Daten,
• Rechtsgrund der Verwaltung,
• Kreis der Betroffenen,
• Quelle der Daten,
• Art, Empfänger und Rechtsgrund eines eventuellen Datentransfers,
• Löschungsfrist einer bestimmten Art von Daten,
• falls bzgl. der Daten eine Datenverarbeitung erfolgt, die Angaben des Datenverarbeiters, den Ort der Datenverarbeitung, die mit der Datenverwaltung zusammenhängende Tätigkeit des Datenverarbeiters.

Bzgl. der im Datenverwaltungsverzeichnis aufgeführten Datenverwaltungen wurden eigene Informationsunterlagen angefertigt, Siehe Beilage des Verzeichnisses 1-21.

11.4. Dauer der Datenverwaltung

Die Daten dürfen für kürzeste Zeit gespeichert werden. Bei der Festlegung dieser Dauer ist zu berücksichtigen, aus welchem Grund der Verantwortliche die Daten verwaltet, und ob aus juristischen Gründen eine längere Aufbewahrungsfrist vorgeschrieben ist.

11.5. Interner Datentransfer

Innerhalb der Organisation des Verantwortlichen dürfen Daten nur bei Berücksichtigung des Prinzips der Zweckbindungübertragen werden, das Recht der Zugriff darf nur bei entsprechendem Zweck gesichert werden. 

11.6. Datentransfer an Dritte

Personenbezogene Daten an Dritte darf man nur gemäß Gesetz, oder mit Einwilligung des Betroffenen weiterleiten, wenn die Kriterien der Datenverwaltung bzgl. jeder personenbezogenen Angabe erfüllt sind. Vor dem Datentransfer ist der Verantwortlicher verpflichtet es zu untersuchen, ob dessen gesetzlichen Kriterien gegeben sind, bzw. ob nach dem Transfer die Datenverwaltungskriterien hinsichtlich jeder einziger personenbezogener Angabe erfüllt werden. Vor einem für identischen Verantwortlichen erfolgenden, auf gleichen Betroffenen bezogenen, und identischem Zweck dienenden Datentransfer muss in die Untersuchung der Rechtsmäßigkeit des Datentransfers auch der Datenschutzbeauftragte miteinbezogen werden. Während der darauffolgenden Datentransfers muss keine eigene Untersuchung mehr durchgeführt werden. Der Datenschutzbeauftragte muss über den Datentransfer einen Datentransfer-Register führen, und den vorschriftsgemäß lagern. Der Datentransfer-Register muss bis Datenübernahme, bzw. bis Ende des 5. Jahres (bei besonderen Daten bis 20 Jahren) nach dem Datentransfer bewahrt werden.

Der Register des Datentransfers beinhaltet:

• den Zeitpunkt des Transfers der personenbezogenen Daten,
• den Kreis der übertragenen Daten,
• den Rechtsgrund und den Empfänger (Name, Adresse, Sitz) der Datentransfers,
• Namen und Telefonnummer der Person, die für den Datentransfer zuständig ist.

11.7 Datentransfer ins Ausland oder drittes Land

Vor dem Datentransfer – mit Einbeziehung des Datenschutzbeauftragten – ist der Verantwortlicher verpflichtet zu untersuchen, ob die gesetzlichen Kriterien des Transfers gegeben sind, bzw. ob nach der Übertragung die Datenverwaltungskriterien für jede einzelne personenbezogene Angabe gesichert ist.

11.8 Der Verantwortliche verwaltet keine außergewöhnlichen Daten, einschließlich biometrischer Daten.

12. Datenschutz-Zwischenfall

Unter Datenschutz-Zwischenfall versteht man im Sinne der GDPR jene Verletzung der Sicherheit, die zur zufälligen oder rechtswidrigen Löschung, Verlust, Änderung, unbefugten Veröffentlichung oder Zugriff der übertragenen, gespeicherten, oder auf sonstiger Art und Weise verwalteten Daten führt.

12.1 Meldung des Datenschutz-Zwischenfalls

Der Verantwortliche ist verpflichtet den Datenschutz-Zwischenfall ohne unberechtigte Verzögerung, wenn möglich, spätestens innerhalb von 72 Stunden nach Bemerken des Zwischenfalls, der zuständigen Aufsichtsbehörde (NBDI) zu melden, ausgenommen, wenn der Zwischenfall vermutlich kein Risiko für die Rechte und Freiheiten der natürlichen Personen bedeutet. Wenn die Meldung innerhalb von 72 Stunden nicht erfolgt, muss beim Einreichen ein Nachweis über den Grund der Verzögerung beigefügt werden.

12.2 Untersuchung und Behandlung des Datenschutz-Zwischenfalls

Der Datenschutzbeauftragte untersucht die Meldung, verlangt vom Anmelder eine Datenlieferung, der der Anmelder verpflichtet ist unverzüglich, aber spätestens innerhalb 2 Werktage nachzukommen.

Die Datenlieferung muss folgendes beinhalten:

• Zeitpunkt und Ort des Zwischenfalls
• Beschreibung, Umstände und Wirkung des Zwischenfalls
• Kreis und Menge der vom Zwischenfall betroffenen Daten
• Kreis der betroffenen Personen
• Beschreibung der Maßnahmen, die zwecks Behebung des Zwischenfalls unternommen wurden,
• Beschreibung der Maßnahmen, die zwecks Vorbeugung, Behebung und Reduzierung des Schadens unternommen wurden.

Der Datenschutzbeauftragte unterbreitet einen Vorschlag bzgl. der notwendigen Maßnahme. Über die einzelnen Maßnahmen, die die Behebung des Datenschutz-Zwischenfalls erzielen, muss die für den Datenverwaltungs- oder Datenverarbeitungsvorgang zuständige Person innerhalb 2 Werktage nach der Maßnahme den Datenschutzbeauftragten informieren.

12.3 Registration der Datenschutz-Zwischenfälle

Der Verantwortliche ist verpflichtet die Datenschutz-Zwischenfälle zu registrieren. Gemäß der GDPR muss der Verantwortliche entsprechende technische und organisatorische Maßnahmen unternehmen, um fähig zu sein die Schwachstellen und die Sicherheitszwischenfälle aufzudecken und zu bewerten. Somit ist der Verantwortliche verpflichtet über die Dokumentierung der Datenschutz-Zwischenfälle hinaus entsprechende Vorgänge und Maßnahmen anzuwenden, um die Sicherheitszwischenfälle rechtzeitig aufdecken und behandeln zu können.

13. Gültigkeit und Änderung vorliegender Regelung

Vorliegende Regelung ist ab 30. November 2018 gültig. Der Verantwortliche ist berechtigt die Regelung jederzeit selbständig zu ändern – vorausgesetzt die Änderung ist nicht rechtswidrig. Die Einsicht in die Regelung ist am Sitz des Verantwortlichen gewährt.

Alsópáhok, 30. November 2018

Verwaltung der Daten der Homepage-Besucher
Kreis der verwalteten Daten	Anfangs- und Abschlusszeitpunkt des Homepage-Besuchs vom Benutzer, seine IP-Adresse und sonstige festgehaltene Browser-Daten (Cookie)
Ziel der Datenverwaltung	Identifizierung der Homepage-Besucher, Kennenlernen seiner Browser-Angewohnheiten, Steigerung des Benutzererlebnisses
Rechtsgrund der Datenverwaltung	Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a)
Quelle der Daten	vom Betroffenen
Datentransfer	1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Homepage-Betrieb 2. An die Webshop Marketing Kft. (4028 Debrecen, Kassai út 129) Verwaltung der Cookie-Einstellungen
Frist der Datenlöschung	bis auf Widerruf der Einwilligung des Betroffenen
Angeknüpftes Dokument	AktenNr: 001 Aktenbezeichnung: Information über Datenverwaltung - Cookie

Direkt Marketing (Newsletter)
Kreis der verwalteten Daten	Name und E-Mail-Adresse
Ziel der Datenverwaltung	Marketing- und Remarketingziel, Popularisierung der Dienstleistung des Verantwortlichen durch Newsletter
Rechtsgrund der Datenverwaltung	Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a)
Quelle der Daten	vom Betroffenen
Datentransfer	1. An die fps webügynökség kft. (3526 Miskolc, Arany J. tér 1.) zwecks Newsletter-Sendung
Frist der Datenlöschung	bis auf Widerruf der Einwilligung des Betroffenen
Angeknüpftes Dokument	AktenNr.: 002 Aktenbezeichnung: Information über Datenverwaltung - Newsletter-Registration

Anforderung eines Angebotes
Kreis der verwalteten Daten	Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder)
Ziel der Datenverwaltung	Kontaktaufnahme, Kontaktpflege, Verschicken individuell abgestimmter Angebote
Rechtsgrund der Datenverwaltung	Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b)
Quelle der Daten	vom Betroffenen
Datentransfer	1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des Online-Angebot-Systems
Frist der Datenlöschung	- im Fall einer erfolgreichen Anforderung eines Angebots gemäß der bei Buchung geltenden Regelungen, - bei Ablehnung des Angebots bis zum Tag der Ablehnung - falls das Angebot nicht beantwortet wird, bis 1 Tag nach Ablauf der Option des Angebots
Angeknüpftes Dokument	AktenNr: 003 Aktenbezeichnung: Information über Datenverwaltung - Anforderung eines Angebots

Direkte Buchung
Kreis der verwalteten Daten	Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder)
Ziel der Datenverwaltung	Abwicklung von Zimmerreservierung
Rechtsgrund der Datenverwaltung	Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) Auf Rechtsvorschrift (Gs. 1990. C. 30-31.§) basierende Datenverwaltung bzgl. des Geburtsdatums /GDPR Art. 6. Abs. (1) Buchstabe c)
Quelle der Daten	vom Betroffenen
Datentransfer	1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des online-Buchungssystems 2. An die OTP Bank Nyrt, OTP Mobil Kft.  und die CIB Bank Zrt. Zwecks Betrieb des an die online-Zahlungstransaktion angeknüpften Zahlungssystems
Frist der Datenlöschung	- die Verwaltung der bei Buchung erhaltenen personenbezogenen Daten dauert bis zum Bestehen das Vertragsverhältnisses mit dem Betroffenen Ausgenommen: - Name, Adresse: gemäß des REchnungslegungsgesetzes 2000. C. 169. § bis 8 Jahren - Name und Alter der Gäste: gemäß des Steuergesetzes 2017. CL. 78.§ Abs. (3) und 202.§ Abs. (1) bis zum letzen Tag des 5. Jahres nach dem Ist-Jahr
Angeknüpftes Dokument	AktenNr: 004 Aktenbezeichnung: Information über Datenverwaltung - Buchung

Buchung über Vermittler
Kreis der verwalteten Daten	Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder) und in bestimmten Fällen Kreditkarte-Daten
Ziel der Datenverwaltung	Abwicklung von Zimmerreservierung
Rechtsgrund der Datenverwaltung	Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) Auf Rechtsvorschrift (Gs. 1990. C. 30-31.§) basierende Datenverwaltung bzgl. des Geburtsdatums /GDPR Art. 6. Abs. (1) Buchstabe c)
Quelle der Daten	von online Vermittlerfirmen, Reisebüros, die als selbständige Datenverwalter gelten
Datentransfer	die online Buchungsportale und Reisebüros gelten als selbständige Datenverwalter, in diesem Vorgang wird kein Datenverarbeiter eingeschaltet
Frist der Datenlöschung	- die Verwaltung der bei Buchung erhaltenen personenbezogenen Daten dauert bis zum Bestehen das Vertragsverhältnisses mit dem Betroffenen Ausgenommen: - Name, Adresse: gemäß des REchnungslegungsgesetzes 2000. C. 169. § bis 8 Jahren - Name und Alter der Gäste: gemäß des Steuergesetzes 2017. CL. 78.§ Abs. (3) und 202.§ Abs. (1) bis zum letzen Tag des 5. Jahres nach dem Ist-Jahr
Angeknüpftes Dokument	AktenNr: 004 Aktenbezeichnung: Information über Datenverwaltung - Buchung

Bestellung von Geschenkgutschein
Kreis der verwalteten Daten	Name, E-Mail-Adrese, Telefonnummer, Postadressen, Rechnungsadresse des Kunden, Name des Beschenkten, Anzahl und Alter seiner Kinder
Ziel der Datenverwaltung	Geschenkgutschein Dienstleistung
Rechtsgrund der Datenverwaltung	Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b)
Quelle der Daten	Daten des Kunden vom Betroffenen, Daten des Beschenkten vom Kunden
Datentransfer	1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des online-Buchungssystems 2. An die OTP Bank Nyrt, OTP Mobil Kft.  und die CIB Bank Zrt. Zwecks Betrieb des an die online-Zahlungstransaktion angeknüpften Zahlungssystems
Frist der Datenlöschung	Die für Rechnungsstellung nicht benötigten Daten bis 1 Jahr, oder - wenn es früher stattfindet - bis zur Einlösung des Gutscheins.
Angeknüpftes Dokument	AktenNr: 005 Aktenbezeichnung: Information über Datenverwaltung - Geschenkgutschein

Stammgastprogramm
Kreis der verwalteten Daten	Name, Anzahl früherer Hotelaufenthalte
Ziel der Datenverwaltung	Anbieten von Ermäßigungen, Förderung der Verkauftätigkeit, Gestaltung eines Stammgäste-Kreises
Rechtsgrund der Datenverwaltung	Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a)
Quelle der Daten	vom Betroffenen, aus eigenen Registern
Datentransfer	kein Vorfall
Frist der Datenlöschung	bis auf Widerruf der Einwilligung des Betroffenen
Angeknüpftes Dokument	AktenNr: 008 Aktenbezeichnung: Information über Datenverwaltung - Check-in

Rechnungstellung
Kreis der verwalteten Daten	Name, Adresse, Kreditkarte-Daten
Ziel der Datenverwaltung	Verrechnung des Gegenwertes einer gegen Entgelt in Anspruch genommener Dienstleitung, Erfüllung des Rechnungstellungspflichts
Rechtsgrund der Datenverwaltung	Pflichterfüllung gemäß Rechnungslegungsgesetz 2000. C. 169.§  /GDPR Art. 6. Abs. (1) Buchstabe c)
Quelle der Daten	vom Betroffenen
Datentransfer	OTP Bank Nyrt, OTP Mobil Kft. Und die CIB Bank Zrt. Zwecks Abwicklung der Zahlungstransaktion
Frist der Datenlöschung	Gemäß des Rechnungslegungsgesetzes 2000. C. 169. § bis 8 Jahren
Angeknüpftes Dokument	AktenNr: 008 Aktenbezeichnung: Information über Datenverwaltung - Check-in

Foto, Video
Kreis der verwalteten Daten	Abbild des Gastes und dessen Kind
Ziel der Datenverwaltung	Popularisierung des Hotels in der Social Media
Rechtsgrund der Datenverwaltung	Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a)
Quelle der Daten	vom beauftragten Fotografen
Datentransfer	kein Vorfall
Frist der Datenlöschung	bis auf Widerruf der Einwilligung des Betroffenen
Angeknüpftes Dokument	AktenNr: 016 Aktenbezeichnung: Information über Datenverwaltung - Foto und Video