DATENVERARBEITUNGSSTATUT

Gültig: von dem 25. Mai 2018 bis Widerruf

1. Einführung

CGP Europe Gesellschaft mit beschränkter Haftung (Geschäftssitz: 1024 Budapest, Ady Endre utca 19. Ungarn; Firmenbuchnummer: 01-09-965048; Steuernummer: 23425026-2-41; Evidenznummer der Datenverarbeitung: NAIH-78299/2014; (ferner: „Datenverarbeiter”) schafft hierbei dieses Datenverarbeitungsstatut (ferner: „Statut”).

Zwecke der Datenverarbeitung:

Der Datenverarbeiter gewährleistet EAP-Dienstleistungen für die Arbeitnehmer ihrer Vertragspartner als Beansprucher (ferner: „Beansprucher”, können sowohl Männer, als auch Frauen sein), um die psychosomatischen Risiken, die Beansprucher am Arbeitsplatz und in ihrer persönlichen Umgebung treffen abzuschätzen, vorzubeugen, zu mindern oder zu beheben. Die Beansprucher beanspruchen die EAP-Dienstleistung freiwillig und nach ihrem eigenen Ermessen, nachdem sie den Inhalt dieses Statuts und des vorgängigen Datenschutzprospekts kennengelernt und akzeptiert haben. Der Datenverarbeiter steht mit den Partnern in Vertragsverhältnis, die Beansprucher sind Arbeitnehmer der Partner oder deren nahe Angehöriger. Die EAP-Dienstleistung wird von dem Datenverarbeiter hauptsächlich per Telefon und über eine Onlineoberfläche, auf Grund der freiwilligen Anmeldung der Beansprucher gewährleistet. Der Datenverarbeiter gewährt nach Wunsch der Beansprucher auch die Möglichkeit der persönlichen Konsultation mit einem Mitarbeiter des Datenverarbeiters oder mit einer anderen Person oder Organisation, die in der Gewährleistung der EAP-Dienstleistung vertraglich teilnimmt. Der Datenverarbeiter schließt mit den Partnern als Arbeitgeber einen Auftragsverarbeitungs-Vertrag, die für ihre Arbeitnehmer die EAP-Dienstleistung gewährleisten möchten. Der Datenverarbeiter sichert auf Grund der Bestimmungen der mit den in der Gewährleistung der EAP-Dienstleistung teilnehmenden Subunternehmern geschlossenen Verträge zu, dass die in der Weiterübermittlung der Daten teilnehmenden Subunternehmer in ihrem Datenverarbeitungsverfahren geeignete und angemessene Garantien geben, sowie das Verfahren der in der EAP-Dienstleistung teilnehmenden Subunternehmer in jeder Hinsicht dem geltenden Recht und Normen entspricht, besonders der Bestimmungen der DSGVO.

2. Definitionen

EAP-Dienstleistung: EAP ist eine Abkürzung des englischen Namen „Employee Assistance Program”, auf Deutsch „Hilfeprogramm für Arbeitnehmer”: eine psychologisch/juristische und finanzielle Orientationsdienstleistung, die der Datenverarbeiter für Beansprucher in Zusammenhang mit ihren Problemen gewährleistet, die bei den Partnern angestellt sind.

Partner: Ein Arbeitgeber, der mit dem Datenverarbeiter in Vertragsverhältnis steht, und deren Arbeitnehmer berechtigt sind die EAP-Dienstleistung zu beanspruchen.

Beansprucher: Eine betroffene Person, die als Arbeitnehmer des Partners oder nahe(r) Angehörige(r) eines Arbeitnehmers berechtigt ist die EAP-Dienstleistung zu beanspruchen.

Einwilligung: Die ausdrücklich freiwillige, konkret und in informierter Weise unmissverständlich angegebene Willensäußerung der betroffenen Person, mit der die betroffene Person durch eine Erklärung oder eine die Assertion unmissverständlich ausdrückende Handlung zur Verarbeitung ihrer personenbezogenen Daten Zustimmung gibt.

Personenbezogene Angabe: Irgendwelche Information über eine identifizierte oder identifizierbare natürliche Person (die betroffene Person); identifizierbar ist die natürliche Person, die auf direkter oder indirekter Weise, besonders auf Grund irgendwelches identifizierenden Charakteristikums, was zum Beispiel der Name, eine Nummer, standortbestimmende Daten, online Identifier, beziehungsweise ein Faktor oder mehrere Faktoren bezüglich der körperlichen, physiologischen, genetischen, geistlichen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sein kann, identifizierbar ist.

Personenidentitätsangabe: Vorname und Nachname, Geburtsname, Geschlecht, Geburtsort und -datum, Geburtsname der Mutter Vorname und Nachname), Wohnort, Aufenthaltsort, Identifizierungskode der Sozialversicherung zusammen oder irgendwelche von diesen, falls für die Identifizierung der betroffenen Person geeignet sind oder geeignet sein können.

Besondere Angabe: Personenbezogene Angabe bezüglich der rassischen oder ethnischen Herkunft, der politischen Meinung oder der Parteiangehörigkeit, der Religion oder der Weltanschauung, der Gewerkschaftszugehörigkeit, der sexuellen Orientierung sowie personenbezogene Angabe bezüglich des Gesundheitszustands und der schädlichen Leidenschaften, ferner die strafrechtliche personenbezogene Angabe.

Gesundheitsangabe: Personenbezogene Angabe bezüglich des körperlichen oder psychischen Gesundheitszustands einer natürlichen Person, einschließlich der Daten über die der natürlichen Person geleisteten Gesundheitsdienstleistungen, die Informationen über den Gesundheitszustand der natürlichen Person beinhalten.

Datenverarbeiter: Eine natürliche oder juristische Person, beziehungsweise eine Organisation ohne Rechtspersönlichkeit, die selbstständig oder zusammen mit Anderen die Zwecke der Datenverarbeitung bestimmt, die Entscheidungen über die Datenverarbeitung (einschließlich der eingesetzten Mittel) trifft und ausführt oder durch einen von ihr beauftragten Auftragsverarbeiter ausführen lässt. Datenverarbeiter ist ferner auch die natürliche oder juristische Person, beziehungsweise die Organisation ohne Rechtspersönlichkeit, die zur Zwecke der gesetzlich vorgeschriebenen Datenverarbeitung personenbezogenen Daten oder Personenidentitätsdaten, sowie fallweise besondere Daten oder Gesundheitsdaten zu verarbeiten berechtigt ist.

Datenverarbeitung: Irgendwelche auf personenbezogenen Daten oder Datenbeständen automatisiert oder nicht automatisiert durchgeführte Operation oder eine Sequenz von Operationen, unter Anderen die Erhebung, Erfassung, Systematisierung, Speicherung, Konversion oder Modifikation, Abfrage, Einsicht, Anwendung, Kommunikation durch Übermittlung, Vertrieb oder sonstige Zugänglichmachung, Koordination oder Kopplung, Beschränkung, Löschen oder Vernichtung.

Auftragsverarbeiter: Eine natürliche oder juristische Person, Organ der öffentlichen Gewalt, Agentur oder sonstiges Organ, die/das im Namen des Datenverarbeiters personenbezogenen Daten verarbeitet.

Weiterübermittlung der Daten: Zugänglichmachung der Daten für eine bestimmte Drittperson.

Datenschutzzwischenfall: Ein Verstoß gegen die Sicherheit, der zur zufälligen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung oder unberechtigten Kommunikation der übermittelten, gespeicherten oder anderswie verarbeiteten personenbezogenen Daten, oder zum unberechtigten Zugriff zu diesen führt.

Veröffentlichung: Zugänglichmachung der Daten für alle.

Löschung der Daten: Die Daten unerkenntlich machen auf solch einer Weise, dass sie nicht mehr herstellbar sind.

Beschränkung der Datenverarbeitung: Die Markierung der gespeicherten personenbezogenen Daten für die Beschränkung deren zukünftigen Verarbeitung.

Naher Angehöriger: Ehepartner, Verwandte in gerader Linie, Adoptivkind, Stiefkind und Haltekind, Adoptiveltern, Stiefeltern und Pflegeeltern, sowie Geschwister und Lebensgefährte/in.

3. Ziel des Statuts

Ziel dieses Statuts ist zu sichern, dass die Datenverarbeitung der CGP Europe Gesellschaft mit beschränkter Haftung den Vorschriften der maßgebenden Rechtsnormen entspricht.
Detaillierte Ziele dieses Statuts sind den Umfang der vom Datenverarbeiter verarbeiteten Daten der Beansprucher, die Art und Weise, die Zwecke und den Rechtsgrund der Datenverarbeitung zu bestimmen, sowie die Durchsetzung der in der Verfassung festgelegten Datenschutzprinzipien und die Anforderungen der Datensicherheit zu gewährleisten, ferner den unbefugten Zugriff zu den Daten der Beansprucher, die Änderung und die unbefugte Veröffentlichung oder Anwendung der Daten zu verhindern.
Der Datenverarbeiter verarbeitet die personenbezogenen Daten ausschließlich zu bestimmten Zwecken, zur Ausübung eines Rechtes und zur Erfüllung einer Verpflichtung. Die Datenverarbeitung entspricht in allen Phasen der Zwecke der Datenverarbeitung. Die Daten werden ehrenhaft und gesetzmäßig erhoben und verarbeitet. Der Datenverarbeiter bestrebt sich, dass nur solche personenbezogenen Daten verarbeitet werden, die zur Erreichung der Zwecke der Datenverarbeitung angemessen und unabdingbar sind. Die personenbezogenen Daten dürfen nur im zur Erreichung der Zwecke notwendigen Ausmaß und Dauer verarbeitet werden. Die personenbezogenen Daten werden von dem Datenverarbeiter erst verarbeitet, nachdem er die betroffene Person bündig, leicht zugängig und verständlich, sowie in einer klaren und einfachen Sprache informiert hat.
Die Schaffung dieses Statuts dient gleichzeitig auch der Erfüllung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – „Datenschutz-Grundverordnung" (DSGVO).

4. Datenschutzrechtsnormen

Rechtsnormen, die hinsichtlich dieses Statuts große Bedeutung haben:

  1. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – „Datenschutz-Grundverordnung" (DSGVO) – ferner „Verordnung”;
  2. Das Grundgesetz von Ungarn:
  3. Das Bürgerliches Gesetzbuch, V. Gesetz des Jahres 2013, 2:42 §;
  4. Das CXII. Gesetz des Jahres 2011 über das Selbstbestimmungsrecht bezüglich der Informationen und über die Informationsfreiheit (InfG.);
  5. Das XLVII. Gesetz des Jahres 1997 über die Verarbeitung und über den Schutz der personenbezogenen Gesundheitsdaten und der damit zusammenhängenden Daten;
  6. Das CVIII. Gesetz des Jahres 2001 über einige Fragen der elektronischen Handelsdienstleistungen und der mit der Informationsgesellschaft zusammenhängenden Dienstleistungen;
  7. Das LXVI. Gesetz des Jahres 1992 über die Registrierung der personenbezogenen Daten und der Adresse der Bürger;
  8. Jeweilige Modifikationen der Verordnung, sowie die von der Europäischen Kommission und der für den Geschäftssitz des Datenverarbeiters zuständigen Aufsichtsbehörde auf Grund der Verordnung ausarbeitete Rechtsanwendungspraxis und Empfehlungen.

5. Grundsätze der Datenverarbeitung

Der Datenverarbeiter muss entsprechend den Anforderungen der Gutgläubigkeit und der Ehrenhaftigkeit handeln. Der Datenverarbeiter ist verpflichtet, seine Rechte bestimmungsgemäß auszuüben und seine Verpflichtungen bestimmungsgemäß zu erfüllen.
Die personenbezogenen Daten behalten diese Eigenschaft während der Datenverarbeitung, bis die Verknüpfung mit dem Beansprucher hergestellt werden kann. Die Verknüpfung mit dem Beansprucher kann dann hergestellt werden, wenn der Datenverarbeiter über die technischen Bedingungen verfügt, die zur Herstellung notwendig sind.
Der Datenverarbeiter gewährleistet während der Datenverarbeitung die Genauigkeit, die Vollkommenheit und (wenn es zum Zwecke der Datenverarbeitung erforderlich ist) die tagfertige Aktualität der Daten, sowie dass die Daten mit dem Beansprucher nur während der Dauer der Datenverarbeitung identifizierbar sind.
Der Datenverarbeiter muss die personenbezogenen Daten rechtmäßig und ehrenhaft, sowie für die betroffene Person transparent verarbeiten („Rechtmäßigkeit, ehrliches Verfahren und Transparenz").
Die Erhebung der personenbezogenen Daten darf nur zu bestimmten, eindeutig und rechtmäßigen Zwecken erfolgen, die Daten dürfen nicht mit diesen Zwecken unvereinbar verarbeitet werden. Die Verarbeitung der personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken qualifiziert sich nicht als mit den primären Zwecken unvereinbar („Zweckgebundenheit");
Die personenbezogenen Daten müssen hinsichtlich der Zwecke der Datenverarbeitung geeignet und relevant sein, und sollen sich zum notwendigen Ausmaß beschränken („Datenminimierung”);
Die personenbezogenen Daten müssen genau und nötigenfalls tagfertig aktuell sein; alle vernünftigen Maßnahmen müssen betroffen werden, um die hinsichtlich der Zwecke der Datenverarbeitung unrichtige personenbezogenen Daten unverzüglich zu löschen oder zu berichtigten („Genauigkeit”);
Die personenbezogenen Daten müssen in solch einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur auf die zur Erreichung der Zwecke der Verarbeitung der personenbezogenen Daten erforderlichen Dauer ermöglicht; auf eine längeren Dauer dürfen die personenbezogenen Daten nur dann verarbeitet werden, wenn das für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt, im Hinblick auf die Ergreifung der in der Verordnung für den Schutz der Rechte und Freiheiten der betroffenen Personen vorgeschriebenen technischen und organisatorischen Maßnahmen („beschränkte Speicherbarkeit”);
Die personenbezogenen Daten müssen so verarbeitet werden, dass durch angemessene technische und organisatorische Maßnahmen die entsprechende Sicherheit der personenbezogenen Daten gewährleistet werden kann, einschließlich des Schutzes gegen die unbefugte oder rechtswidrige Verarbeitung, gegen den zufälligen Verlust, Vernichtung oder Beschädigung der Daten („Integrität und Konfidenz”).
Der Datenverarbeiter trägt die Verantwortung für die Entsprechung den Grundsätzen der Datenverarbeitung, er muss ferner fähig sein diese Entsprechung zu beweisen („Verrechenbarkeit").

6. Freiwillige Einwilligung

Der Datenverarbeiter verarbeitet die in diesem Statut definierten personenbezogenen Daten der Beansprucher auf Grund der freiwilligen, in informierter Weise ausdrücklich angegebenen Einwilligung der Beansprucher. Der Datenverarbeiter verarbeitet die in diesem Statut definierten besonderen Daten und Gesundheitsangaben der Beansprucher ausschließlich nach dem Wunsch und auf Grund der freiwilligen, und ausdrücklichen Einwilligung der Beansprucher, zu einem bestimmten Zweck und im bestimmten Ausmaß, sowie übermittelt die Daten nur an den bestimmten Empfängern.  

7. Erhebung und Übermittlung der Daten

Der Datenverarbeiter darf die verarbeiteten Daten ausschließlich an seinen in der Gewährleistung der EAP-Dienstleistung teilnehmenden Arbeitnehmer, Personen und Organisationen, im zum Zweck der Datenverarbeitung erforderlichen Ausmaß weitergeben.
Der Datenverarbeiter hat alle in der Datenverarbeitung teilnehmenden Arbeitnehmer und die an der Gewährleistung der EAP-Dienstleistung mitwirkenden Drittpersonen mit dem Inhalt dieses Statuts bekannt zu machen.
Der Datenverarbeiter muss ferner garantieren, dass die in der Übermittlung oder im Empfang der Daten teilnehmenden Personen die Daten nur im zum Zweck der Datenverarbeitung erforderlichen Ausmaß verarbeiten.
Die Beansprucher müssen über die Übermittlung und den Empfang der Daten oder über die Möglichkeit dieser informiert werden.
Bei handlungsunfähigen oder beschränkt handlungsfähigen Personen muss der Anwalt informiert werden, und er/sie übt das Recht der betroffenen Person zur Abgabe einer Erklärung aus.

8. Zwecke der Datenverarbeitung

Die Daten werden vom Datenverarbeiter zu den folgenden Zwecken verarbeitet:

  • zur Gewährleistung der EAP-Dienstleistung;
  • zur Abrechnung mit dem Partner.

Der Datenverarbeiter verarbeitet die besonderen Daten und Gesundheitsdaten nach dem Wunsch und auf Grund der ausdrücklichen Einwilligung der Beansprucher, zwecks der Gewährleistung der EAP-Dienstleistung.

9. Rechtsgrundlage der Datenverarbeitung

Der Datenverarbeiter verarbeitet die in diesem Statut definierten personenbezogenen Daten auf Grund des CXII. Gesetzes des Jahres 2011 über das Selbstbestimmungsrecht bezüglich der Informationen und über die Informationsfreiheit, 5 § Absatz (1) und 6 § Absatz (5), sowie auf Grund der freiwilligen Einwilligung des Beanspruchers als natürliche Person nach Artikel 6 Absatz (1) Punkt a) der DSGVO, ferner auf Grund der Veranlassungen des LVII. Gesetz des Jahres 1997 über die Verarbeitung und über den Schutz der personenbezogenen Gesundheitsdaten und der damit zusammenhängenden Daten, 4 §. Die Instituten, Organe oder Personen, die außerhalb des Gesundheitsversorgungsnetzwerks tätig sind (ferner: nicht Gesundheitsinstitut) dürfen Gesundheitsdaten und Personenidentitätsangaben nur im zur Erfüllung ihrer Funktionen erforderlichen Ausmaß verarbeiten.
Der Datenverarbeiter und der Auftragsverarbeiter sind verpflichtet, das eventuell zur Kenntnis genommene Arztgeheimnis zu halten.

10. Umfang der von dem Datenverarbeiter verarbeiteten Daten

Ausschließlich diejenigen Daten werden bei der Gewährleistung der EAP-Dienstleistung von dem Datenverarbeiter auf Grund der Einwilligung der Beansprucher, der einschlägigen Rechtsnormen und diesem Statut verarbeitet, die zur Gewährleistung der EAP-Dienstleistung unabdingbar notwendig sind. Hierbei handelt der Datenverarbeiter so, dass die Anonymität der Beansprucher möglichst gewährleistet bleibt, also weder der EAP-Dienstleister oder eine mitwirkende Person oder Organisation, noch eine Drittperson von der Identität des Beanspruchers Kenntnis nehmen kann.

Hierbei verarbeitet der Datenverarbeiter ausschließlich folgende Daten der Beansprucher:  

  • Vorname des Beanspruchers;
  • Telefonnummer und/oder E-Mail Adresse des Beanspruchers;
  • Die von dem Datenverarbeiter generierte Identifizierungskode des Beanspruchers, die aus der Firmenname des Arbeitgebers des Beanspruchers und die minutengenaue Zeitpunkt der Anfrage zusammengestellt ist;
  • Das Problem oder die Frage des Beanspruchers, auf Grund des freiwilligen Vortrags des Beanspruchers;
  • Die vom Beansprucher eventuell zur Kenntnis gegebenen besonderen personenbezogenen Daten, die von dem Datenverarbeiter auf Grund der ausdrücklichen Einwilligungserklärung des Beanspruchers verarbeitet werden.

Zweck der Datenverarbeitung ist die Gewährleistung der EAP-Dienstleistung für den Beansprucher, möglicherweise ohne die Identifizierung und Aufklärung der Person des Beanspruchers, bei der möglichen Anonymisierung der Daten.

11. Mögliche Folgen des Wegfalls der Angabe der Daten

Der Datenverarbeiter kann nicht die EAP-Dienstleistung für den Beansprucher gewährleisten..

12. Erhebung der Daten

Der Beansprucher sucht den Datenverarbeiter nach seiner/ihrer freien Wahl auf, um den Anspruch auf die EAP-Dienstleistung anzumelden. Der Datenverarbeiter informiert den Beansprucher über die Bestimmung der zur Beanspruchung der Dienstleistung notwendigerweise zu verarbeitenden Daten, die Dauer der Datenverarbeitung, den Zweck der Anwendung, sowie über den Fakt und die Empfänger der Datenübermittlung.

13. Übermittlung der Daten

Die Daten werden in allen Fällen auf Grund der Einwilligung der betroffenen Person oder gesetzlicher Bestimmungen übermittelt. Der Datenverarbeiter übermittelt die personenbezogenen Daten nur dann, wenn die Rechtsgrundlage der Übermittlung eindeutig ist, sowie der Zweck und der Empfänger der Übermittlung genau definiert sind. Der Datenverarbeiter dokumentiert die Übermittlung der Daten in allen Fällen, und zwar derart, dass der Ablauf und die Rechtmäßigkeit der Übermittlung beweisbar sind.
Der Datenverarbeiter teilt keine Daten über den Beansprucher – einschließlich der im Punkt 10 dieses Statuts angegebenen Daten – den Partnern oder Drittpersonen mit. Der Datenverarbeiter legt über seine Tätigkeit monatlich Rechenschaft vor den Partnern in Form von statistischen Berichten ab. Die Berichte beinhalten keine personenbezogenen Daten, und sind weder direkt noch indirekt zur Identifikation der Beansprucher geeignet.
Der Datenverarbeiter ist verpflichtet, diejenige Daten zu übermitteln, deren Übermittlung von einer Rechtsnorm obligatorisch verordnet ist.
Außer den Obengenannten dürfen personenbezogene Daten nur dann übermittelt werden, wenn die betroffene Person ihre eindeutige und ausdrückliche Einwilligung abgegeben hat.

14. Berichtigung und Löschen der personenbezogenen Daten

Die betroffene Person hat das Recht, von dem Datenverarbeiter unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Die betroffene Person hat das Recht, von dem Datenverarbeiter zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Datenverarbeiter ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
  • die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein;
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  • die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Datenverarbeiter unterliegt.

Die betroffene Person hat das Recht, von dem Datenverarbeiter die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Datenverarbeiter ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
  • der Datenverarbeiter die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; oder
  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat; in diesem Fall gilt die Einschränkung solange noch nicht feststeht, ob die berechtigten Gründe des Datenverarbeiters gegenüber denen der betroffenen Person überwiegen.

15. Dauer der Datenverarbeitung

Der Datenverarbeiter verarbeitet die Daten des Beanspruchers auf die zur Gewährleistung der EAP-Dienstleistung und zur diesbezüglichen Abrechnung mit den Partnern notwendigen Dauer, aber maximal 3 Monate lang..

16. Rechte der Beansprucher bezüglich der Verarbeitung ihrer personenbezogenen Daten  

Die Beansprucher haben das Recht, über die Verarbeitung Ihrer personenbezogenen Daten Auskunft zu verlangen. Der Datenverarbeiter gibt dem Beansprucher auf Antrag, ohne begründete Verzögerung aber spätestens innerhalb einem Monat ab dem Eingang des Antrags Auskunft über die Folgende: die verarbeiteten Daten des Beanspruchers, deren Herkunft, Rechtsgrundlage, Zwecke und Dauer der Datenverarbeitung, Name und Adresse des Auftragsverarbeiters sowie dessen Tätigkeiten, die mit der Datenverarbeitung zusammenhängen.

17. Möglichkeit zur Modifikation des Datenverarbeitungsstatuts

Der Datenverarbeiter vorbehält das Recht, dieses Statut einseitig zu modifizieren. Die Modifikationen und das mit den Modifikationen in einheitlicher Struktur gefasste Datenverarbeitungsstatut muss auf gleicher Weise und in gleichen Stellen veröffentlicht werden, wie dieses Statut; ebenso müssen darüber alle informiert werden, denen der Datenverarbeiter das Statut ausdrücklich zugesandt hat oder mit denen es in anderer geeigneter Weise bekannt gemacht worden ist.

18. Maßnahmen für die Datensicherheit

Der Datenverarbeiter sorgt für die Sicherheit der Daten. Er trifft die erforderlichen technischen und organisatorischen Maßnahmen hinsichtlich sowohl der in elektronischen Geräten gespeicherten Datenbestände, als auch der auf traditionellen papierbasierten Datenträgern gespeicherten Daten. Der Datenverarbeiter garantiert, dass die in den einschlägigen Rechtsnormen vorgeschriebenen Datensicherheitsregeln zur Geltung kommen. Der Datenverarbeiter sorgt für die Sicherheit der Daten, trifft die erforderlichen technischen und organisatorischen Maßnahmen, sowie gestaltet die Verfahrensregel, die erforderlich sind, um die einschlägigen Rechtsnormen und die Daten- und Geheimschutzregeln zur Geltung zu bringen.
Der Datenverarbeiter trifft alle zumutbaren Maßnahmen zum Schutz der Daten besonders gegen Folgende: unbefugter Zugriff, unbefugte Modifikation, Übermittlung, Veröffentlichung, Vernichtung, oder unbefugtes Löschen, sowie zufällige Vernichtung und Schädigung, ferner die Unzugänglichkeit wegen der Änderung der angewandten Technik.
Bei der Bestimmung und Durchführung der der Datensicherheit dienenden Maßnahmen berücksichtigt der Datenverarbeiter den jeweils aktuellen Stand der Technik. Falls mehrere Datenverarbeitungslösungen zur Verfügung stehen, wählt der Datenverarbeiter diejenige, die den Schutz der personenbezogenen Daten auf höherem Niveau gewährleistet, ausgenommen den Fall, bei dem diese unangemessene Schwierigkeiten bringen würde.
Der Datenverarbeiter speichert die personenbezogenen Daten in einer SQL Datenbank, angemessen verschlüsselt. Um die technischen Bedingungen für die Beanspruchung der EAP-Dienstleistung zu gewähren verarbeitet der Datenverarbeiter bei durch Mobilapplikation eingetroffenen Anmeldungen neben den im Punkt 10 beschrieben Daten auch den vom Beansprucher angegebenen Anwendernamen und Kennwort, sowie bei der Nutzung der Oberfläche für die Darstellung des Problems oder der Frage des Beanspruchers werden Cookies (Kekse) gesetzt (für die Identifizierung des Rechners, auf dem die Angaben eingetragen sind). Die Cookies dienen ausschließlich für die Identifizierung des Rechners des Beanspruchers und beinhalten nur die Zahl des aktuellen Schrittes der Ausfüllung, in diesem Falle werden die Daten des Anwenders vom Datenverarbeiter nicht gespeichert.

19. Das zu verwendende Verfahren bei einem Datenschutzzwischenfall

Der Datenverarbeiter meldet den Datenschutzzwischenfall bei der zuständigen Aufsichtsbehörde ohne begründete Verzögerung und möglicherweise spätestens 72 Stunden nachdem er von dem Datenschutzzwischenfall Kenntnis genommen hat, ausgenommen den Fall, bei dem der Datenschutzzwischenfall wahrscheinlich kein Risiko hinsichtlich der Rechte und Freiheiten natürlicher Personen bedeutet. Falls diese Meldung nicht innerhalb 72 Stunden erfolgt, werden auch die Gründe der Verzögerung als Bekräftigung beigelegt.
Der Auftragsverarbeiter meldet den Datenschutzzwischenfall ohne begründete Verzögerung dem Datenverarbeiter, nachdem er davon Kenntnis genommen hat.
Der Auftragsverarbeiter führt Evidenz über die Datenschutzzwischenfälle, wo die mit dem Datenschutzzwischenfall zusammenhängenden Fakten, dessen Auswirkungen und die Maßnahmen für die Abhilfe angegeben sind.
Wenn der Datenschutzzwischenfall wahrscheinlich ein hohes Risiko hinsichtlich der Rechte und Freiheiten natürlicher Personen bedeutet, informiert der Datenverarbeiter die betroffene Person über den Datenschutzzwischenfall ohne begründete Verzögerung.
In der Auskunft für die betroffene Person beschreibt der Datenverarbeiter in einer klaren und einfachen Sprache die Natur des Datenschutzzwischenfalls, und gibt die in der Verordnung definierten Informationen und die getroffenen Maßnahmen an.
Falls der Datenverarbeiter die betroffene Person über den Datenschutzzwischenfall noch nicht informiert hat, kann die Aufsichtsbehörde nach der Abschätzung des wahrscheinlich hohen Risikos des Datenschutzzwischenfalls verordnen, dass die betroffene Person zu informieren ist, oder sie kann es bestätigen, dass der betroffenen Person kein Auskunft zu geben ist.

20. Datenschutzbeauftragte

Die betroffenen Personen haben die Möglichkeit, sich in allen Fragen bezüglich der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer in den einschlägigen Rechtsnormen definierten Rechte zum Datenschutzbeauftragten zu wenden.
Der Datenschutzbeauftragte ist bezüglich der Erledigung seiner Aufgaben von Schweigepflicht oder von der Pflicht der konfidentiellen Handlung der Daten gebunden.
Name und Kontaktdaten des vom Datenschutzbeauftragten ernannten Datenverarbeiters:
Dr. Szabolcs Péter Sója
Postadresse: 1024 Budapest, Ady Endre utca 19. Ungarn
E-Mail: dpo@chestnutce.com

21. Möglichkeiten der Rechtsverfolgung

a.) Haben Sie irgendwelche Fragen oder Probleme bezüglich der Datenverarbeitung oder der Datenübermittlung von CGP Europe GmbH, wenden Sie sich bitte zu unserem Datenschutzbeauftragten über eine der im Punkt 20 angegebenen Kontaktmöglichkeiten. Ihre Frage betreffend den Datenschutz wird vom Datenschutzbeauftragten beantwortet, im Falle eines Problems oder einer Beschwerde werden diese mit Teilnahme des Datenschutzbeauftragten gründlich untersucht, und von den Ergebnissen wird Ihnen Aufschluss gegeben.
Die betroffene Person kann bei einem Verstoß gegen ihre/seine Rechte die Sache bei Gericht anbringen. Das Gericht führt in solchen Fällen ein Verfahren mit Vornahme. Der Rechtsstreit bezüglich des Schutzes der personenbezogenen Daten ist gebührenfrei.
Die betroffene Person kann eine Beschwerde bei der Nationalen Behörde für Datenschutz und Informationsfreiheit (auf Ungarisch: Nemzeti Adatvédelmi és Információszabadság Hatóság) erheben (Postadresse: 1534 Budapest, Pf. 834; Adresse: 1125 Budapest, Szilágyi Erzsébet fasor 22/c, Ungarn).

22. Veröffentlichung des Datenverarbeitungsstatuts

Der Datenverarbeiter ist verpflichtet, dieses Statut in seiner Internet Webseite, Webadresse www.eap.hu/online zu veröffentlichen, sowie die Beansprucher über die Erreichbarkeit dieses Statuts zu informieren. Der Datenverarbeiter ist verpflichtet, dieses Statut auch direkt zuzusenden, wenn ein Beansprucher das beantragt.
Der Datenverarbeiter sendet dieses Statut und dessen Modifikationen direkt den Partnern zu.

23. Schlußbestimmungen

Dieses Statut tritt am Tag der Unterfertigung in Kraft.
Die Bestimmungen dieses Statuts müssen bei den Datenverarbeitungen nach dessen Inkrafttreten angewandt werden.
Die Bestimmungen dieses Statuts müssen ebenfalls bei den Datenverarbeitungen angewandt werden, die beim Inkrafttreten schon gängig sind.
Bezüglich der in diesem Statut nicht geregelten Fragen sind die Bestimmungen der im Punkt 4 angegebenen Rechtsnormen maßgebend.
Mit dem Inkrafttreten dieses Statuts werden die früheren Datenverarbeitungsstatuten des Datenverarbeiters kraftlos.


Budapest, den 25. Mai 2018