Ziel der Erklärung ist, dass sie gemäß der Rechtsvorgaben des Gesetzes 2011. CXII. über informationelles Selbstbestimmungsrecht und Informationsfreiheit (in weiterem InfoGs.), sowie der Anordnung des Europäischen Parlaments und des Rats (EU) 2016/679 [GDPR] die Betroffenen über den Kreis der durch in Punkt 2. angegebenen Datenschutzverwalter verwalteten personenbezogenen Daten, über Ziel, Art und Weise der Datenverwaltung, und über sämtliche sonstige, mit der Datenverwaltung verknüpften Tatsachen informiert, insbesondere, aber nicht ausschließlich über ihre Rechte bzgl. der Datenverwaltung und über ihre Möglichkeiten zum Rechtsbehelf.
Rechtslage des Datenschutzbeauftragten:
Der Verantwortliche muss dem Datenschutzbeauftragten sichern, dass er in sämtlichen, den Datenschutz betreffenden Angelegenheiten in entsprechender Art und Weise, rechtzeitig eingeschaltet wird. Es muss gesichert werden, dass dem Datenschutzbeauftragten die zur Erhaltung seines Fachwissens benötigten Quellen zur Verfügung stehen.
Bezüglich der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte von keinem Anweisungen annehmen. Der Verantwortliche oder Datenverarbeiter darf den Datenschutzbeauftragten in Zusammenhang seiner Aufgabenerfüllung weder sanktionieren noch ihm kündigen. Der Datenschutzbeauftragte trägt direkt gegenüber dem Verantwortlichen oder der obersten Leitung Verantwortung.
Die Betroffenen können sich in sämtlichen Fragen bzgl. Verwaltung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte an den Datenschutzbeauftragten wenden.
Bezüglich seiner Aufgabenerfüllung unterliegt der Datenschutzbeauftragte einer Verschwiegenheitspflicht oder ist verpflichtet die Daten vertraulich zu behandeln.
Der Datenschutzbeauftragte darf auch anderer Aufgaben nachgehen, es darf aber bzgl. der Aufgaben keine Unvereinbarkeit auftreten.
Aufgaben des Datenschutzbeauftragten:
- Ungarns Grundgesetz, Art. VI.;
- Gesetz über informationelle Selbstbestimmung und Informationsfreiheit 2011. CXII., in weit. „InfoGs.);
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Für die Durchführung einer Datenschutz-Folgenabschätzung, die für die Rechte und Freiheiten der natürlichen Personen unternommen wird, haftet der Verantwortliche. Es werden dabei Quelle, Charakter, Individualität und Schwere der Risiken untersucht. Bei der Bestimmung, welche Maßnahmen zum Nachweis der dem GDPR entsprechenden Verwaltung personenbezogener Daten akzeptabel sind, müssen die Feststellungen der Folgenabschätzung berücksichtigt werden. Falls die Datenschutz-Folgenabschätzung feststellt, dass die Datenverwaltungsvorgänge so hohes Risiko tragen, das der Verantwortliche mit seinen vorhandenen Technologien und Ausführungskosten nicht fähig ist mit entsprechenden Maßnahmen zu reduzieren, ist ein Konsultation mit der Nationalen Behörde für Datenschutz und Informationsfreiheit (NBDI) erforderlich. Sollte später bzgl. der mit hohem Risiko verbundenen Datenverwaltungen eine Datenschutz-Folgenabklärung erforderlich sein, wird dies mithilfe des von der französischen Datenschutzbehörde (Commission Nationale de l'Informatique et des Libertés, im Weiteren: CNIL) veröffentlichten, und auch vom NBDI empfohlenen Open-Source-Softwares (orig. Benennung: „PIAsoftware“, im Weiteren: Folgenabschätzungssoftware) ausgeführt.
Zur Datenschutz-Folgenabschätzung erstellt der Verantwortliche eine eigene Satzung.
Basiert die Datenverarbeitung auf berechtigtem Interesse (GDPR 6. § (1) f), wird der Test zur Interessenabwägung nach Vorgaben der Stellungnahme der NBDI/2015/3731/2/V durchgeführt. Demnach ist der Test zur Interessenabwägung ein mehrstufiger Vorgang, wobei das berechtigte Interesse des Verantwortlichen, das als Gegenpol der Gewichtung dienende Interesse der Datenperson, Grundrecht des Betroffenen identifiziert wird. Nach der durchgeführten Gewichtung muss festgestellt werden, ob die personenbezogene Angabe verwaltet werden kann oder nicht.
Die beim Test zur Interessenabwägung verwendete Stufen:
Über den Test zur Interessenabwägung erstellt der Verantwortliche eine eigene Satzung.
8.1. Aufgabenbereich, Befugnis und Verantwortung des Verantwortlichen
Der die primäre Datenverwaltung durchführende Verantwortliche ist verpflichtet, dem Anderen durch rechtswidrige Verwaltung seiner Daten oder durch Verletzung der Anforderungen des technischen Datenschutzes den verursachten Schaden zu ersetzen. Gegenüber dem Betroffenen haftet der Verantwortliche auch für jenen Schaden, der vom Datenverarbeiter verursacht wurde. Der Verantwortliche wird der Verantwortung enthoben, wenn er beweist, dass der Schaden durch eine unabwendbare, nicht mit der Datenverwaltung verbundene Ursache herbeigeführt wurde. Es ist kein Schadenersatz fällig, wenn der Schaden durch vorsätzliches oder fahrlässiges Handeln des Geschädigten entstand.
8.2. Aufgabenbereich, Befugnis und Verantwortung des Datenverarbeiters
Die Rechte und Verpflichtungen des Datenverarbeiters während der Verarbeitung personenbezogenen Daten werden von vorliegender Erklärung, sowie vom Verantwortlichen bei Berücksichtigung der einschlägigen Rechtsnormen bestimmt. Der Datenverarbeiter haftet innerhalb seines Betätigungsfeldes, bzw. innerhalb des vom Verantwortlichen bestimmten Rahmens für die Verarbeitung, Änderung, Löschung, Transfer und Veröffentlichung personenbezogenen Daten. Im Vertrag mit dem Datenverarbeiter muss festgelegt werden, dass der Datenverarbeiter während seiner Datenverarbeiter-Tätigkeit einen anderen Datenverarbeiter nur auf Anordung des Verantwortlichen miteinbeziehen darf, und dass der Verstoß gegen die Datenverwaltungsvorschriften zu einer sofortigen Kündigung führen kann.
Daten werden vom Verantwortlichen nicht gelöscht, wenn die Datenverwaltung aus einer der folgenden Gründe notwendig ist:
11.1. Information über die Datenverwaltung
Der Betroffene hat das Recht, über die Verwaltung seiner personenbezogenen Daten in kurzer, transparenter, leicht erreichbarer Form, klare und allgemeinverständliche Information zu erhalten. Wenn die personenbezogenen Daten vom Betroffenen eingeholt werden, muss der Betroffene informiert werden, ob er verpflichtet ist personenbezogene Daten zu übergeben, und welche Konsequenzen der Ausfall der Datenlieferung hat. Die Information über die Verwaltung der personenbezogenen Daten des Betroffenen muss zum Zeitpunkt der Datenerhebung erfolgen, bzw. wenn die Daten nicht vom Betroffenen, sondern aus sonstiger Quelle eingeholt wurden, muss sie, in Anbetracht der Umstände der Angelegenheit, innerhalb sinnvoller Frist übergeben werden. Wenn die personenbezogenen Daten rechtmäßig anderen Empfängern mitgeteilt werden dürfen, muss der Betroffene zum Zeitpunkt der ersten Mitteilung an einem anderen Empfänger informiert werden. Wenn der Verantwortliche die personenbezogenen Daten für vom ursprünglichen Zweck abweichenden Zweck verwalten möchte, muss er den Betroffenen noch vor der weiteren Datenverwaltung über den abweichenden Zweck und jedes sonstiges Wissenswerte informieren.
Die Information muss folgendes beinhalten:
11.2 Rechtmäßigkeit der Datenverwaltung
Die Verwaltung personenbezogener Daten ist rechtmäßig, wenn der Verantwortliche über eine der folgenden, für Datenverwaltung notwendigen Rechtsgründe verfügt:
11.3 Das Register der Datenverwaltungstätigkeiten liegt vorliegender Regelung unter Nr. 1. bei, und beinhaltet folgendes: Kreis der verwalteten personenbezogenen Daten, Ziel, Rechtsgrund und Dauer der Datenverwaltung. Der Register wird vom Verantwortlichen auf seiner Webseite veröffentlicht.
Das Datenverwaltungsverzeichnis beinhaltet folgendes:
Bzgl. der im Datenverwaltungsverzeichnis aufgeführten Datenverwaltungen wurden eigene Informationsunterlagen angefertigt, Siehe Beilage des Verzeichnisses 1-21.
11.4. Dauer der Datenverwaltung
Die Daten dürfen für kürzeste Zeit gespeichert werden. Bei der Festlegung dieser Dauer ist zu berücksichtigen, aus welchem Grund der Verantwortliche die Daten verwaltet, und ob aus juristischen Gründen eine längere Aufbewahrungsfrist vorgeschrieben ist.
11.5. Interner Datentransfer
Innerhalb der Organisation des Verantwortlichen dürfen Daten nur bei Berücksichtigung des Prinzips der Zweckbindungübertragen werden, das Recht der Zugriff darf nur bei entsprechendem Zweck gesichert werden.
11.6. Datentransfer an Dritte
Personenbezogene Daten an Dritte darf man nur gemäß Gesetz, oder mit Einwilligung des Betroffenen weiterleiten, wenn die Kriterien der Datenverwaltung bzgl. jeder personenbezogenen Angabe erfüllt sind. Vor dem Datentransfer ist der Verantwortlicher verpflichtet es zu untersuchen, ob dessen gesetzlichen Kriterien gegeben sind, bzw. ob nach dem Transfer die Datenverwaltungskriterien hinsichtlich jeder einziger personenbezogener Angabe erfüllt werden. Vor einem für identischen Verantwortlichen erfolgenden, auf gleichen Betroffenen bezogenen, und identischem Zweck dienenden Datentransfer muss in die Untersuchung der Rechtsmäßigkeit des Datentransfers auch der Datenschutzbeauftragte miteinbezogen werden. Während der darauffolgenden Datentransfers muss keine eigene Untersuchung mehr durchgeführt werden. Der Datenschutzbeauftragte muss über den Datentransfer einen Datentransfer-Register führen, und den vorschriftsgemäß lagern. Der Datentransfer-Register muss bis Datenübernahme, bzw. bis Ende des 5. Jahres (bei besonderen Daten bis 20 Jahren) nach dem Datentransfer bewahrt werden.
Der Register des Datentransfers beinhaltet:
11.7 Datentransfer ins Ausland oder drittes Land
Vor dem Datentransfer – mit Einbeziehung des Datenschutzbeauftragten – ist der Verantwortlicher verpflichtet zu untersuchen, ob die gesetzlichen Kriterien des Transfers gegeben sind, bzw. ob nach der Übertragung die Datenverwaltungskriterien für jede einzelne personenbezogene Angabe gesichert ist.
11.8 Der Verantwortliche verwaltet keine außergewöhnlichen Daten, einschließlich biometrischer Daten.
Unter Datenschutz-Zwischenfall versteht man im Sinne der GDPR jene Verletzung der Sicherheit, die zur zufälligen oder rechtswidrigen Löschung, Verlust, Änderung, unbefugten Veröffentlichung oder Zugriff der übertragenen, gespeicherten, oder auf sonstiger Art und Weise verwalteten Daten führt.
12.1 Meldung des Datenschutz-Zwischenfalls
Der Verantwortliche ist verpflichtet den Datenschutz-Zwischenfall ohne unberechtigte Verzögerung, wenn möglich, spätestens innerhalb von 72 Stunden nach Bemerken des Zwischenfalls, der zuständigen Aufsichtsbehörde (NBDI) zu melden, ausgenommen, wenn der Zwischenfall vermutlich kein Risiko für die Rechte und Freiheiten der natürlichen Personen bedeutet. Wenn die Meldung innerhalb von 72 Stunden nicht erfolgt, muss beim Einreichen ein Nachweis über den Grund der Verzögerung beigefügt werden.
12.2 Untersuchung und Behandlung des Datenschutz-Zwischenfalls
Der Datenschutzbeauftragte untersucht die Meldung, verlangt vom Anmelder eine Datenlieferung, der der Anmelder verpflichtet ist unverzüglich, aber spätestens innerhalb 2 Werktage nachzukommen.
Die Datenlieferung muss folgendes beinhalten:
Der Datenschutzbeauftragte unterbreitet einen Vorschlag bzgl. der notwendigen Maßnahme. Über die einzelnen Maßnahmen, die die Behebung des Datenschutz-Zwischenfalls erzielen, muss die für den Datenverwaltungs- oder Datenverarbeitungsvorgang zuständige Person innerhalb 2 Werktage nach der Maßnahme den Datenschutzbeauftragten informieren.
12.3 Registration der Datenschutz-Zwischenfälle
Der Verantwortliche ist verpflichtet die Datenschutz-Zwischenfälle zu registrieren. Gemäß der GDPR muss der Verantwortliche entsprechende technische und organisatorische Maßnahmen unternehmen, um fähig zu sein die Schwachstellen und die Sicherheitszwischenfälle aufzudecken und zu bewerten. Somit ist der Verantwortliche verpflichtet über die Dokumentierung der Datenschutz-Zwischenfälle hinaus entsprechende Vorgänge und Maßnahmen anzuwenden, um die Sicherheitszwischenfälle rechtzeitig aufdecken und behandeln zu können.
Vorliegende Regelung ist ab 30. November 2018 gültig. Der Verantwortliche ist berechtigt die Regelung jederzeit selbständig zu ändern – vorausgesetzt die Änderung ist nicht rechtswidrig. Die Einsicht in die Regelung ist am Sitz des Verantwortlichen gewährt.
Alsópáhok, 30. November 2018
Verwaltung der Daten der Homepage-Besucher | |
Kreis der verwalteten Daten | Anfangs- und Abschlusszeitpunkt des Homepage-Besuchs vom Benutzer, seine IP-Adresse und sonstige festgehaltene Browser-Daten (Cookie) |
Ziel der Datenverwaltung | Identifizierung der Homepage-Besucher, Kennenlernen seiner Browser-Angewohnheiten, Steigerung des Benutzererlebnisses |
Rechtsgrund der Datenverwaltung | Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a) |
Quelle der Daten | vom Betroffenen |
Datentransfer | 1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Homepage-Betrieb 2. An die Webshop Marketing Kft. (4028 Debrecen, Kassai út 129) Verwaltung der Cookie-Einstellungen |
Frist der Datenlöschung | bis auf Widerruf der Einwilligung des Betroffenen |
Angeknüpftes Dokument | AktenNr: 001 Aktenbezeichnung: Information über Datenverwaltung - Cookie |
Direkt Marketing (Newsletter) | |
Kreis der verwalteten Daten | Name und E-Mail-Adresse |
Ziel der Datenverwaltung | Marketing- und Remarketingziel, Popularisierung der Dienstleistung des Verantwortlichen durch Newsletter |
Rechtsgrund der Datenverwaltung | Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a) |
Quelle der Daten | vom Betroffenen |
Datentransfer | 1. An die fps webügynökség kft. (3526 Miskolc, Arany J. tér 1.) zwecks Newsletter-Sendung |
Frist der Datenlöschung | bis auf Widerruf der Einwilligung des Betroffenen |
Angeknüpftes Dokument | AktenNr.: 002 Aktenbezeichnung: Information über Datenverwaltung - Newsletter-Registration |
Anforderung eines Angebotes | |
Kreis der verwalteten Daten | Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder) |
Ziel der Datenverwaltung | Kontaktaufnahme, Kontaktpflege, Verschicken individuell abgestimmter Angebote |
Rechtsgrund der Datenverwaltung | Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) |
Quelle der Daten | vom Betroffenen |
Datentransfer | 1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des Online-Angebot-Systems |
Frist der Datenlöschung | - im Fall einer erfolgreichen Anforderung eines Angebots gemäß der bei Buchung geltenden Regelungen, - bei Ablehnung des Angebots bis zum Tag der Ablehnung - falls das Angebot nicht beantwortet wird, bis 1 Tag nach Ablauf der Option des Angebots |
Angeknüpftes Dokument | AktenNr: 003 Aktenbezeichnung: Information über Datenverwaltung - Anforderung eines Angebots |
Direkte Buchung | |
Kreis der verwalteten Daten | Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder) |
Ziel der Datenverwaltung | Abwicklung von Zimmerreservierung |
Rechtsgrund der Datenverwaltung | Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) Auf Rechtsvorschrift (Gs. 1990. C. 30-31.§) basierende Datenverwaltung bzgl. des Geburtsdatums /GDPR Art. 6. Abs. (1) Buchstabe c) |
Quelle der Daten | vom Betroffenen |
Datentransfer | 1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des online-Buchungssystems 2. An die OTP Bank Nyrt, OTP Mobil Kft. und die CIB Bank Zrt. Zwecks Betrieb des an die online-Zahlungstransaktion angeknüpften Zahlungssystems |
Frist der Datenlöschung |
- die Verwaltung der bei Buchung erhaltenen personenbezogenen Daten dauert bis zum Bestehen das Vertragsverhältnisses mit dem Betroffenen Ausgenommen: |
Angeknüpftes Dokument | AktenNr: 004 Aktenbezeichnung: Information über Datenverwaltung - Buchung |
Buchung über Vermittler | |
Kreis der verwalteten Daten | Name, E-Mail-Adresse, Telefonnummer, Adresse, Anzahl der Personen, die die Dienstleistung in Anspruch nehmen (Anzahl und Alter der KInder) und in bestimmten Fällen Kreditkarte-Daten |
Ziel der Datenverwaltung | Abwicklung von Zimmerreservierung |
Rechtsgrund der Datenverwaltung | Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) Auf Rechtsvorschrift (Gs. 1990. C. 30-31.§) basierende Datenverwaltung bzgl. des Geburtsdatums /GDPR Art. 6. Abs. (1) Buchstabe c) |
Quelle der Daten | von online Vermittlerfirmen, Reisebüros, die als selbständige Datenverwalter gelten |
Datentransfer | die online Buchungsportale und Reisebüros gelten als selbständige Datenverwalter, in diesem Vorgang wird kein Datenverarbeiter eingeschaltet |
Frist der Datenlöschung |
- die Verwaltung der bei Buchung erhaltenen personenbezogenen Daten dauert bis zum Bestehen das Vertragsverhältnisses mit dem Betroffenen Ausgenommen: |
Angeknüpftes Dokument | AktenNr: 004 Aktenbezeichnung: Information über Datenverwaltung - Buchung |
Bestellung von Geschenkgutschein | |
Kreis der verwalteten Daten | Name, E-Mail-Adrese, Telefonnummer, Postadressen, Rechnungsadresse des Kunden, Name des Beschenkten, Anzahl und Alter seiner Kinder |
Ziel der Datenverwaltung | Geschenkgutschein Dienstleistung |
Rechtsgrund der Datenverwaltung | Vertragserfüllung /GDPR Art. 6. Abs. (1) Buchstabe b) |
Quelle der Daten | Daten des Kunden vom Betroffenen, Daten des Beschenkten vom Kunden |
Datentransfer | 1. An die Morgens Design Kft. (8800 Nagykanizsa, Csányi László u 2) zwecks Betrieb des online-Buchungssystems 2. An die OTP Bank Nyrt, OTP Mobil Kft. und die CIB Bank Zrt. Zwecks Betrieb des an die online-Zahlungstransaktion angeknüpften Zahlungssystems |
Frist der Datenlöschung | Die für Rechnungsstellung nicht benötigten Daten bis 1 Jahr, oder - wenn es früher stattfindet - bis zur Einlösung des Gutscheins. |
Angeknüpftes Dokument | AktenNr: 005 Aktenbezeichnung: Information über Datenverwaltung - Geschenkgutschein |
Stammgastprogramm | |
Kreis der verwalteten Daten | Name, Anzahl früherer Hotelaufenthalte |
Ziel der Datenverwaltung | Anbieten von Ermäßigungen, Förderung der Verkauftätigkeit, Gestaltung eines Stammgäste-Kreises |
Rechtsgrund der Datenverwaltung | Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a) |
Quelle der Daten | vom Betroffenen, aus eigenen Registern |
Datentransfer | kein Vorfall |
Frist der Datenlöschung | bis auf Widerruf der Einwilligung des Betroffenen |
Angeknüpftes Dokument | AktenNr: 008 Aktenbezeichnung: Information über Datenverwaltung - Check-in |
Rechnungstellung | |
Kreis der verwalteten Daten | Name, Adresse, Kreditkarte-Daten |
Ziel der Datenverwaltung | Verrechnung des Gegenwertes einer gegen Entgelt in Anspruch genommener Dienstleitung, Erfüllung des Rechnungstellungspflichts |
Rechtsgrund der Datenverwaltung | Pflichterfüllung gemäß Rechnungslegungsgesetz 2000. C. 169.§ /GDPR Art. 6. Abs. (1) Buchstabe c) |
Quelle der Daten | vom Betroffenen |
Datentransfer | OTP Bank Nyrt, OTP Mobil Kft. Und die CIB Bank Zrt. Zwecks Abwicklung der Zahlungstransaktion |
Frist der Datenlöschung | Gemäß des Rechnungslegungsgesetzes 2000. C. 169. § bis 8 Jahren |
Angeknüpftes Dokument | AktenNr: 008 Aktenbezeichnung: Information über Datenverwaltung - Check-in |
Foto, Video | |
Kreis der verwalteten Daten | Abbild des Gastes und dessen Kind |
Ziel der Datenverwaltung | Popularisierung des Hotels in der Social Media |
Rechtsgrund der Datenverwaltung | Einwilligung des Betroffenen /GDPR Art. 6. Abs. (1) Buchstabe a) |
Quelle der Daten | vom beauftragten Fotografen |
Datentransfer | kein Vorfall |
Frist der Datenlöschung | bis auf Widerruf der Einwilligung des Betroffenen |
Angeknüpftes Dokument | AktenNr: 016 Aktenbezeichnung: Information über Datenverwaltung - Foto und Video |
Kolping Hotel**** Spa & Family Resort | Tel.: +36 83 344 143 | sales@kolping.hotel.hu |