In der Richtlinie 2019/1937 des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen EU-Recht melden (im Folgenden: Richtlinie), und um die Bestimmungen des Gesetzes XXV. von 2023 über Beschwerden, Meldungen im öffentlichen Interesse und die Regeln im Zusammenhang mit der Meldung von Missbräuchen (im Folgenden: Beschwerdegesetz) einzuhalten, betreibt Greenwork Kft. ein internes Missbrauchsmeldesystem und verarbeitet personenbezogene Daten im Zusammenhang damit. Nachfolgend werden die wichtigsten Details zur Datenverwaltung dargestellt.

 

1. ZWECK DER DATENVERWALTUNG, DATENSCHUTZBEAUFTRAGTER UND DATENVERABBEITER

 

Im internen Missbrauchsmeldesystem besteht die Möglichkeit, Hinweise auf rechtswidrige oder mutmaßlich rechtswidrige Handlungen oder Unterlassungen sowie sonstige Missbräuche zu melden. Der Zweck der Datenverwaltung besteht darin, Meldungen zu untersuchen, die über das Hinweisgeber-Schutzsystem des Unternehmens eingehen. Deren Bearbeitung fällt in den Anwendungsbereich des Beschwerdegesetzes über Beschwerden, Meldungen von öffentlichem Interesse und Vorschriften im Zusammenhang mit der Meldung von Missbräuchen

 

Name des Datenschutzbeauftragten: Frau Mónika Aranyné Véber

Kontaktdaten:

E-Mail: panaszbejelentes@greenwork.hu

Postanschrift: 8000 Székesfehérvár, Budai Str. 25. EG 1.

Telefon: +36 30 956 6141

 

2. UMFANG DER VERWALTETEN DATEN

 

Das Unternehmen verwaltet die folgenden personenbezogenen Daten gemäß den Bestimmungen des Beschwerdegesetzes:

1. Hinweisgeber,
2. Person, deren Verhalten oder Unterlassung Anlass zur Meldung gegeben hat, und
3. die personenbezogenen Daten der Person, die über wesentliche Informationen über den Inhalt der Meldung verfügen kann, die für die Untersuchung der Meldung unerlässlich sind.

 

 

3. RECHTSGRUNDLAGE DER DATENVERWALTUNG

Die Datenverwaltung basiert auf Artikel 6 Absatz 1 Buchstabe c) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (im Folgenden: DSGVO) Grundlage hierfür ist Artikel 6 Absatz 1 Buchstabe c) (die Datenverarbeitung ist zur Erfüllung der rechtlichen Verpflichtung des Verantwortlichen erforderlich) unter Berücksichtigung der Bestimmungen des § 26 des Beschwerdegesetzes.

Bei bestimmten Datenübermittlungen ist eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO erforderlich (siehe Datenübermittlung an andere Empfänger).

Nach Abschluss der Untersuchungsphase ist die Rechtsgrundlage für die Datenverwaltung das berechtigte Interesse gemäß Art. 6 Abs. 1. (f) DSGVO. Nach Ablauf der maximal 3-monatigen Untersuchungsphase wird der Verantwortliche die Daten innerhalb der 5-jährigen zivilrechtlichen Verjährungsfrist vertraulich weiterverarbeiten und nur im Falle einer etwaigen Beschwerde nutzen (z. B. NAIH), ein behördliches Verfahren oder ein gerichtlicher Rechtsbehelf zur Ermöglichung des Beweisverfahrens, zum Zweck der genauen Offenlegung des Sachverhalts und der Rechtsentscheidung – als berechtigtes Interesse des Datenverantwortlichen. Gleiches gilt für das berechtigte Interesse des Betroffenen an einem eventuell eingeleiteten Verfahren

 

4. DATENVERARBEITER UND EMPFÄNGER

 

Auf die Daten des internen Missbrauchsmeldesystems haben nur Personen Zugriff, deren Zugriff im Zusammenhang mit der Aufklärung der Meldung erforderlich ist. Eine darüberhinausgehende Datenübermittlung bedarf der ausdrücklichen Zustimmung des Bewerbers. Bis zum Abschluss der Ermittlungen oder der Einleitung eines förmlichen Strafverfahrens als Ergebnis der Ermittlungen dürfen die die Meldung untersuchenden Personen – zusätzlich zur Unterrichtung der von der Meldung betroffenen Person – Auskunft über den Inhalt der Meldung und die von der Meldung betroffene Person geben Meldung - an andere Organisationseinheiten oder Mitarbeiter des Arbeitgebers, soweit dies für die Durchführung der Untersuchung unbedingt erforderlich ist.

 

Das Unternehmen kann die von ihm im Zusammenhang mit der Meldung verwalteten Daten an einen Hinweisgeber-Schutzanwalt weiterleiten, der an der Untersuchung der Meldung beteiligt sein kann, oder an eine externe Organisation – als Datenverarbeiter.

Die personenbezogenen Daten des Hinweisgebers dürfen – mit Ausnahme einer Bösgläubigkeitsmeldung – nur an eine zur Durchführung des aufgrund der Meldung eingeleiteten Verfahrens befugte Stelle übermittelt werden, wenn diese Stelle gesetzlich dazu befugt ist oder der Hinweisgeber über eine entsprechende Befugnis verfügt stimmte der Übermittlung seiner Daten zu. Personenbezogene Daten des Anmelders dürfen ohne seine Einwilligung nicht öffentlich zugänglich gemacht werden.

 

5. AUFBEWAHRUNGSDAUER PERSONENBEZOGENER DATEN

Für die Aufbewahrung der im Meldeverfahren anfallenden Daten gelten die folgenden Regelungen:

a) Bei Meldungen, die nicht in den Rahmen des in diesem Dokument geregelten Verfahrens fallen, sind die personenbezogenen Daten unverzüglich zu löschen, wenn keine Maßnahmen ergriffen werden. Anonymisierte Daten werden archiviert.

b) Folgt der Benachrichtigung kein weiteres (Behörden-, Gerichts-)Verfahren, sind die Daten innerhalb von zwei Monaten nach Verfahrensende zu vernichten oder (nach Anonymisierung der Daten) zu archivieren. Die vorstehenden Bestimmungen zur Aufbewahrungsfrist gelten für alle Medien wie Dateien, E-Mails, Papierdokumente oder gescannte Medien, Aufzeichnungen zur Nachverfolgung usw.

c) Wird ein erneutes Verfahren eingeleitet, müssen die Daten bis zum Ende des Verfahrens aufbewahrt werden. Danach müssen die Daten unter Berücksichtigung der gesetzlichen Verjährungsfrist anonymisiert oder gelöscht werden.

 

Anonymisierte Daten unterliegen nicht den Aufbewahrungsfristen, insbesondere wenn die Daten zu statistischen Zwecken oder zur Auswertung des Meldesystems anonymisiert werden.

 

6. RECHTE DER BETROFFENEN PERSONEN

 

1. Recht auf Auskunft

 

Das Unternehmen erfüllt den Antrag auf Ausübung der Rechte der betroffenen Person innerhalb von maximal einem Monat ab dem Datum des Eingangs. Das Eingangsdatum der Bewerbung wird nicht in die Frist mitgerechnet. Bei Bedarf kann das Unternehmen diese Frist unter Berücksichtigung der Komplexität der Anfrage und der Anzahl der Anfragen um weitere zwei Monate verlängern. Das Unternehmen wird den Betroffenen innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung unter Angabe der Gründe für die Verzögerung informieren. Die Auskunft ist kostenfrei, es können daher keine Gebühren erhoben werden. Das Unternehmen – unter Berücksichtigung der Rechtsgrundlage der Datenverwaltung und der Tatsache, dass es die personenbezogenen Daten über den Melder beim Melder selbst erhebt – informiert den Melder vor dem Datum der Datenerhebung über die Datenverwaltung.

 

2. Zugangsrecht

 

Die betroffene Person hat das Recht, von der Gesellschaft unter den in der Datenschutzerklärung angegebenen Kontaktdaten Auskunft darüber zu verlangen, ob die im Rahmen des Beschwerdegesetzes übermittelten personenbezogenen Daten verarbeitet werden und ob eine solche Datenverarbeitung im Gange ist, ist berechtigt zu erfahren, ob das Unternehmen welche Art personenbezogener Daten verarbeitet, auf welcher Rechtsgrundlage, für welchen Datenverwaltungszweck und wie lange. Sie haben das Recht zu erfahren, wem, wann und nach welchem ​​Recht das Unternehmen Zugriff auf Ihre personenbezogenen Daten gewährt hat oder an wen Ihre personenbezogenen Daten weitergeleitet wurden.

Die personenbezogenen Daten des Hinweisgebers dürfen dem Auskunftsersuchenden nicht mitgeteilt werden.

 

3. Recht auf Korrektur

 

Die betroffene Person kann das Unternehmen über die vom Unternehmen angegebenen Kontaktdaten auffordern, seine personenbezogenen Daten zu ändern. Sofern der Betroffene die Richtigkeit der korrigierten Daten glaubhaft machen kann, wird das Unternehmen der Anfrage innerhalb von maximal einem Monat nachkommen und den Betroffenen unter den von ihm angegebenen Kontaktdaten benachrichtigen.

 

4. Recht auf Sperrung

 

Der Betroffene kann über die Kontaktdaten des Unternehmens eine Einschränkung der Verarbeitung seiner personenbezogenen Daten durch das Unternehmen verlangen (durch deutliche Kennzeichnung der Beschränkung der Datenverarbeitung und Sicherstellung, dass diese getrennt von anderen Daten behandelt werden) wenn

- bestreitet die Richtigkeit Ihrer personenbezogenen Daten (in diesem Fall beschränkt das Unternehmen die Datenverarbeitung auf den Zeitraum, in dem es die Richtigkeit Ihrer personenbezogenen Daten überprüft);

- die Datenverwaltung rechtswidrig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt;

- Das Unternehmen benötigt die personenbezogenen Daten nicht mehr zum Zweck der Datenverwaltung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen

 

5. Recht auf Löschung

 

Die betroffene Person hat das Recht, von der Gesellschaft die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und die Gesellschaft ist verpflichtet, die sie betreffenden personenbezogenen Daten unverzüglich zu löschen sofern einer der folgenden Gründe vorliegt:

- die personenbezogenen Daten werden nicht mehr für den Zweck benötigt, für den sie vom Unternehmen verwaltet wurden

- es kann nachgewiesen werden, dass der Datenverantwortliche personenbezogene Daten illegal verarbeitet

- die Löschung personenbezogener Daten gesetzlich vorgeschrieben ist.

 

7. DATENSICHERHEITSMASSNAHMEN

 

Das Unternehmen baut das interne Missbrauchsmeldesystem so aus, dass die personenbezogenen Daten des Hinweisgebers, der seine Identität preisgibt, sowie der an der Meldung beteiligten Person nur den dazu berechtigten Personen zugänglich gemacht werden können. Bis zum Abschluss der Ermittlungen oder der Einleitung einer förmlichen Strafverfolgung infolge der Ermittlungen darf die die Meldung untersuchende Person – zusätzlich zur Unterrichtung der von der Meldung betroffenen Person – Auskunft über den Inhalt der Meldung und die von der Meldung betroffene Person geben- an andere Organisationseinheiten oder Mitarbeiter des Arbeitgebers, soweit dies für die Durchführung der Untersuchung unbedingt erforderlich ist.

 

Das Unternehmen verpflichtet sich, die Sicherheit der von ihm verwalteten personenbezogenen Daten zu gewährleisten. Der Stand von Wissenschaft und Technik und die Kosten der Umsetzung, und die Art, den Umfang, die Umstände und die Zwecke der Datenverwaltung und ergreift unter Berücksichtigung der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die technischen und organisatorischen Maßnahmen sowie die Verfahrensregeln, die den Schutz der erfassten, gespeicherten und verwalteten Daten gewährleisten und deren unbefugte Zerstörung verhindern Verwendung und unbefugte Änderung.

 

Das Unternehmen verpflichtet sich außerdem, alle Dritten, an die es die Daten aus welchem ​​Rechtsgrund auch immer weiterleitet oder übermittelt, zur Einhaltung der Anforderungen der Datensicherheit aufzufordern. Das Unternehmen stellt sicher, dass kein Unbefugter auf die verarbeiteten Daten zugreifen, diese offenlegen, übermitteln, verändern oder löschen kann.

 

Die Sicherheit der erhobenen Daten wird im gesamten Meldesystem (Rückmeldung, Untersuchung, Informationsübermittlung, Aufbewahrung, Archivierung) wie folgt gewährleistet:

 

• Die Informationen werden in separaten Bibliotheken gespeichert, auf die nur autorisierte Personen Zugriff haben
• Passwortgeschützte Dateien
• Automatische Sperrung der Arbeitsplätze bei Abwesenheit
• Akten in Papierform müssen in verschlossenen Schränken mit kontrolliertem Zugang aufbewahrt werden
• Sicheres, passwortgeschütztes Drucken
• Die Übermittlung von Informationen per E-Mail muss sowohl im Betreff als auch im Text der E-Mail vertraulich sein. Die Daten müssen als Anhang in einer passwortgeschützten Datei übermittelt werden
• Die Überwachung des Zugriffs auf per E-Mail übermittelte Daten wird durch das Unternehmen gewährleistet
• Nach Ablauf der Aufbewahrungsfrist sind die Dokumente zu vernichten

 

Auf Informationen im Zusammenhang mit Meldeverfahren dürfen nur ordnungsgemäß autorisierte Personen zugreifen nach Erhalt der notwendigen Informationen und Unterzeichnung einer gesonderten Vertraulichkeitserklärung.

8. DATENÜBERMITTLUNG AN EIN DRITTLAND ODER AN EINE INTERNATIONALE ORGANISATION

Das Unternehmen gibt die von ihm verwalteten personenbezogenen Daten nicht an Drittländer oder internationale Organisationen weiter, es sei denn, dies ist aufgrund einer zwingenden gesetzlichen Bestimmung erforderlich.

 

Möglichkeit der rechtlichen Durchsetzung

Wenn die Beschwerden und Anfragen der betroffenen Person im Zusammenhang mit ihren personenbezogenen Daten nicht zufriedenstellend geklärt wurden oder wenn die betroffene Person der Meinung ist, dass der Umgang mit personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt, die betroffene Person hat das Recht, eine Beschwerde bei der Nationalen Datenschutz- und Informationsfreiheitsbehörde einzureichen.

 

Kontaktdaten der Nationalen Datenschutz- und Informationsfreiheitsbehörde:

Firmensitz: 1055 Budapest, Falk Miksa Str. 9-11.

Postanschrift: 1363 Budapest, Pf. 9

Telefonnummer: 06 1 391 1400

Telefax: 06 1 391 1410

E-mail: ugyfelszolgalat@naih.hu

Web: naih.hu

Bei Verstößen im Zusammenhang mit der Verarbeitung personenbezogener Daten hat die betroffene Person das Recht, sich an das Gericht zu wenden.