Datenschutz bei der HDI Versicherung AG
Sehr geehrte Kundinnen und Kunden,
für die Beurteilung der Forderungen aus dem Haftpflichtvertrag zwischen Ihrem Arbeitgeber und/oder der zum Schadenersatz verpflichteten Person und der HDI Versicherung AG, Filiale Ungarn (nachfolgend: HDI) werden von uns auch Ihre als Versicherungsgeheimnis geltenden Daten in dem erforderlichen Maße verwaltet, aufbewahrt, verarbeitet und weitergeleitet. Die Datenverwaltung und die Datenverarbeitung erfolgen zweckgebunden aufgrund des Gesetzes CXII. vom Jahre 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit (nachfolgend: Infotv.) und des Gesetzes LXXXVIII. vom Jahre 2014 über Versicherungstätigkeiten (nachfolgend: Bit.) sowie der Allgemeinen Datenschutzverordnung (EU) 2016/679 (General Data Protection Regulation, GDPR). Aufgrund der Bestimmungen des Infotv. sowie der GDPR gilt HDI als Verantwortlicher bzw. Auftragsverarbeiter. Aufgrund der Vorschriften des Infotv. sowie der GDPR kommen wir in Form der vorliegenden Informationsschrift unserer Pflicht nach, die Betroffenen über alle Fakten zur Datenverwaltung eindeutig und detailliert zu informieren.
HDI fühlt sich dem Schutz der personenbezogenen Daten der Betroffenen verpflichtet und misst der Einhaltung des Rechtes auf informationelle Selbstbestimmung der Betroffenen eine herausragende Bedeutung bei. HDI erklärt, dass von ihnen die individuellen Rechte der Betroffenen geachtet werden. Die aufgenommenen personenbezogenen Daten werden vertraulich, im Einklang mit den Datenschutzvorschriften, den internationalen Empfehlungen und mit der Allgemeinen Datenschutzverordnung (EU) 2016/679 (General Data Protection Regulation, GDPR) gemäß der vorliegenden Datenschutzvorschrift behandelt und HDI leitet alle sicherheitsbezogenen, technischen und organisatorischen Maßnahmen ein, mit denen die Sicherheit der Daten garantiert werden kann. Die Informationen zu den Verarbeitungstätigkeiten von HDI und die jeweils gültige Version der Vorschrift sind immer unter dem Link www.hdi.hu zu erreichen.
HDI behält sich das Recht vor, die vorliegende Vorschrift jederzeit zu ändern. Natürlich werden die Betroffenen rechtzeitig und auf geeignete Weise über die eventuellen Änderungen informiert.
1 Welche Daten werden von uns verwaltet?
Ihre personenbezogenen Daten sind die Daten, die mit Ihnen, als betroffene Person in Verbindung gebracht werden können und von denen Schlussfolgerungen auf die betroffene Person abgeleitet werden können. Laut GDPR alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Derartige Daten sind insbesondere: Name, Geburtsname, Geburtsort, Geburtsdatum, Geschlecht, Geburtsname der Mutter, Wohnadresse, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer [TAJ], Beschäftigung, Steuerkennzeichen, Bankkontonummer.(Die sich auf den Gesundheitszustand beziehenden Daten verwalten und verwenden wir nur aufgrund Bit. § 135 bzw. alle Daten aufgrund GDPR Artikel 9. Absatz (2) Punkt b).) Quelle der Daten: von den Betroffenen angegebene Daten.
Bei einem Versicherungsereignis können weitere personenbezogene Daten und weitere Informationen zur Feststellung des Sachverhaltes, zur Regulierung der sich aus den Haftpflichtverträgen ergebenden Versicherungsschäden, zur Prüfung der Rechtsgrundlage für die Entschädigung sowie zur Überweisung der Entschädigungssumme sowie anderen im Bit. festgelegten Zwecken notwendig werden. HDI verwaltet ausschließlich die personenbezogenen Daten, die zum Erreichen des Zieles der Datenverwaltung unerlässlich sind und für das Erreichen des Zieles geeignet sind.
Die Dauer der Verwaltung der Daten wurde für jede auf freiwilliger Basis erfolgende Datenverarbeitungstätigkeit in der betreffenden Datenverwaltungsbeschreibung festgelegt. Wenn allerdings wegen irgendeines Fehlers oder Mangels die dort angegebene Dauer nicht angewandt werden kann, dann müssen die folgenden Vorschriften angewandt werden:
- bis zur Realisierung dieses Zieles und bis zur Löschung der personenbezogenen Daten oder
- bis zur Rücknahme der Genehmigung für die Verwaltung ihrer Daten und damit bis zur Löschung ihrer personenbezogenen Daten
- bis zur Durchführung der Entscheidung des Gerichtes oder der Behörde über die Löschung, oder in Ermangelung derartiger Bestimmungen – und wenn keine anderen gesetzlichen Bestimmungen vorliegen –
- bis zur Verjährung der Durchsetzbarkeit der Rechte und Pflichten aus dem Rechtsverhältnis, aufgrund dessen der Verantwortliche die personenbezogenen Daten verwaltet. Aufgrund des gültigen ungarischen Bürgerlichen Gesetzbuches [Ptk.] § 6:22 beträgt die allgemeine Verjährungsfrist 5 Jahre – nach Abschluss der Schadenssache
Bei der Verwaltung der als Versicherungsgeheimnis geltenden Daten verwaltet HDI die personenbezogenen Daten – einschließlich auch der sich direkt auf den Gesundheitszustand beziehenden Daten – während des Bestehens und der Dauer des Versicherungsverhältnisses, solange im Zusammenhang mit dem Versicherungsverhältnis Ansprüche geltend gemacht werden können (bis 5 Jahre nach Abschluss der Schadenssache im Zusammenhang mit dem Haftpflichtvertrag).
2 Zu welchem Zweck werden die Daten eingeholt und verwaltet?
Zweck der Datenverwaltung sind die Regulierung der sich aus den Haftpflichtverträgen ergebenden Versicherungsschäden, die Prüfung der Rechtsgrundlage für die Entschädigung und die Überweisung der Entschädigungssumme sowie andere im Bit. festgelegte Zwecke.
Die Verarbeitung und die Weiterleitung von Daten erfolgen mit Hilfe eines verschlüsselten, sicheren IT-Systems.
3 Garantie für die Sicherheit der Daten
Die personenbezogenen Daten werden von der HDI Versicherung AG auf einem eigenen, dedizierten Server gespeichert, der 24 Stunden am Tag überwacht wird. HDI unternimmt alle für die Sicherheit erforderlichen Schritte, organisatorische und technische Maßnahmen, um die personenbezogenen Daten auf dem höchstmöglichen Sicherheitsniveau zu behandeln und deren unberechtigte Änderung, Vernichtung und Verwendung zu verhindern.
HDI unternimmt alle notwendigen Maßnahmen, um die Integrität der Daten, das heißt, den präzisen, vollständigen und aktuellen Zustand der verwalteten und/oder verarbeiteten personenbezogenen Daten zu gewährleisten.
HDI schützt die Daten mit geeigneten Maßnahmen insbesondere vor unberechtigten Zugriffen, Änderungen, Weiterleitungen, Veröffentlichungen, Löschungen und Vernichtungen sowie vor zufälliger Vernichtung, Sicherheitsverletzung sowie Unzugänglichkeit durch Änderung der angewandten Technik.
HDI behält sich deshalb das Recht vor, ihre Kunden oder Partner zu informieren, wenn sie in ihrem System eine Sicherheitslücke feststellt, und gleichzeitig bis zur Beseitigung der Sicherheitslücke den Zugriff zum System und zu den Dienstleistungen des Dienstleisters oder zu einzelnen Funktionen desselben einzuschränken.
HDI vermeidet durch ständige Spiegelung der Daten zur Sicherheit der im Netz gespeicherten Daten auf dem Server den Datenverlust. Von den aktiven Daten der Datenbanken mit personenbezogenen Daten führt der Systemadministrator tägliche/wöchentliche/monatliche Sicherungen durch, die auf Backup-Bänder und Hintergrundspeicher überspielt werden.
Die Backup-Bänder und Hintergrundspeicher werden am Sitz von HDI, im brandsicheren und durch Code geschützten Serverraum aufbewahrt, zu dem nur die IT-Mitarbeiter Zutritts- und Zugriffsberechtigung haben. In dem Netzwerk, in dem personenbezogene Daten verwaltet werden, sorgt der Systemadministrator ständig für Virenschutz.
Der Zugriff zu den im HDI-Netz verwalteten Daten und Dateien wird durch Windows-basierte Benutzernamen und das Passwörter ermöglicht.
Die detaillierten Vorschriften zur Datensicherheit sind in der Vorschrift zur Informationssicherheit enthalten.
4 Kreis der Berechtigten für die Kenntnis der Daten
Die personenbezogenen Daten und die als Versicherungsgeheimnis geltenden Informationen dürfen die Mitarbeiter von HDI, die über Zugriffsberechtigungen im Zusammenhang mit dem Ziel der Datenverwaltung verfügen, bzw. Personen oder Organisationen, die für HDI aufgrund von Dienstleistungsverträgen ausgelagerte Tätigkeiten ausführen, zur Erfüllung der mit ihnen abgeschlossenen Verträge, in dem erforderlichen Maße (nach GDPR Artikel 6. Absatz (1) Punkt f) bzw. Punkt b)), in dem von HDI festgelegten Umfang kennenlernen. Die Speicherung der in die Informationssysteme aufgenommenen Daten erfolgt in den Datenzentren an folgenden Standorten:
HDI Versicherung AG
1120 Wien, Edelsinnstraße 7-11
Vertreter und Kontaktmöglichkeit: Westreicher Reinald
Standort des Backup-Servers:
1030 Wien, Arsenal-Objekt 21
5 An wen leiten wir die Daten weiter?
Wenn es für das Erreichen der oben angegebenen Ziele notwendig ist oder gesetzlich vorgeschrieben ist, leiten wir die verwalteten Daten (Name, Geburtsname, Geburtsort, Geburtsdatum, Geschlecht, Geburtsname der Mutter, Wohnadresse, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer [TAJ], Beschäftigung, Steuerkennzeichen, Bankkontonummer) in den einzelnen Fällen in dem vorgeschriebenen Maße an den sich damit beschäftigenden/vorgeschriebenen Empfänger weiter.
Empfänger können sein:
HDI Versicherung AG (1120 Wien, Edelsinnstrasse 7-11), weitergeleitete Daten: Entschädigungssumme bzw. die erforderlichen Daten zur Feststellung der Umstände für das Eintreten des Schadens, Zweck der Weiterleitung der Daten: Feststellung der Rechtsgrundlage und der Entschädigungssumme, Rechtsgrundlage für die Weiterleitung der Daten: Versicherungsvertrag, Dauer für den Datenzugriff: Dauer des Schadensregulierungsprozesses + Verjährungsfrist), UniCredit Bank Austria AG (1010 Wien, Schottengasse 6-8), (weitergeleitete Daten: Bankdaten des Betroffenen, Zweck der Weiterleitung der Daten: Überweisung der Entschädigungssumme, Rechtsgrundlage für die Weiterleitung der Daten: Versicherungsvertrag, Dauer für den Datenzugriff: Dauer des Schadensregulierungsprozesses + Verjährungsfrist).
Außerdem können als Empfänger weitere zuständige Behörden, Staatsanwaltschaften, Gerichte und beauftragte oder bevollmächtigte (vom Beruf her zur Geheimhaltung verpflichtete) juristische Vertreter in Frage kommen.
Angaben zum Gesundheitszustand werden nur bei Bedarf und nur in konkreten Fällen, aufgrund der Bestimmungen des Bit. mit der von Ihnen oder Ihrem Vertreter ausgestellten schriftlichen Befreiung nur an die folgenden Empfänger weitergeleitet: Rückversicherung oder Mitversicherung, die bei der Abwicklung der Ansprüche im Zusammenhang mit dem Schadensereignis mitwirkt, in Anspruch genommener Schadenssachverständiger oder gesetzlicher Vertreter des Gerichtes, der Staatsanwaltschaft oder des Verwaltungsorgans oder eines anderen Organs für die Streitbeilegung, einschließlich ihrer Organe und der von ihnen bestellten Sachverständigen.
6 Datenlecks, Datenschutzvorfälle
HDI wendet grundsätzlich die geeigneten Verfahren an, um Datenlecks bei personenbezogenen Daten aufzudecken, zu melden und zu untersuchen.
Der Verantwortliche führt – über den Datenschutzbeauftragten – zur Kontrolle der Maßnahmen bei Datenschutzvorfällen und zur Information der Betroffenen eine Registratur, in der die personenbezogenen Daten, die von dem Datenschutzvorfall betroffenen Personen und deren Anzahl, der Zeitpunkt, die Umstände und die Auswirkungen des Vorfalls sowie die Maßnahmen zur Beseitigung und die übrigen Daten enthalten sind, die in der gesetzlichen Regelung zur Verwaltung der Daten angegeben sind.
Bei Datenschutzvorfällen ist die Aufsichtsbehörde binnen 72 Stunden und die Betroffenen sind unverzüglich zu informieren. Es müssen allerdings nicht alle Fälle bei der Aufsichtsbehörde gemeldet werden – es sind nur die Fälle zu melden, bei denen Privatpersonen wahrscheinlich Schaden erleiden können, z.B. bei Missbrauch der Identität der Person oder Verletzung der Geheimhaltungsanforderungen.
HDI arbeitet Richtlinien und Verfahren aus, um Datenlecks zu managen. Diese Vorschriften und Richtlinien sind in der Vorschrift für Informationssicherheit enthalten.
7 Datenschutzbeauftragter
Aufgrund des Info Tv. § 24. Absatz (1) ist HDI verpflichtet einen Datenschutzbeauftragten anzustellen, der über einen Abschluss in Recht, Verwaltung, Informationstechnologie oder eine gleichwertige post-sekundäre Qualifikation verfügt. Der Datenschutzbeauftragte wird aufgrund seiner fachlichen Eignung und insbesondere seines Fachwissens über das Datenschutzrecht und die Praxis bei Eignung für die nachstehend aufgeführten Aufgaben von dem Management der HDI Versicherung AG bestimmt. Der Datenschutzbeauftragte ist Angestellter des Verantwortlichen.
Der Verantwortliche gewährleistet, dass der Datenschutzbeauftragte in alle Sachen in Verbindung mit dem Schutz der personenbezogenen Daten auf geeignete Weise und rechtzeitig einbezogen wird.
Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Ausführung der nachstehend aufgeführten Aufgaben, indem er ihm die Quellen zur Verfügung stellt, die für die Durchführung dieser Aufgaben, den Zugriff zu den personenbezogenen Daten und den Datenverarbeitungsvorgängen und die Aufrechterhaltung des Fachwissens des Datenschutzbeauftragten notwendig sind.
Der Verantwortliche gewährleistet, dass der Datenschutzbeauftragte von niemandem Anweisungen für die Erfüllung seiner Aufgaben entgegennimmt. Der Verantwortliche oder der Auftragsverarbeiter darf den Datenschutzbeauftragten im Zusammenhang mit der Erfüllung seiner Aufgaben nicht entlassen und mit Sanktionen belegen. Der Datenschutzbeauftragte trägt gegenüber der höchsten Führungsebene des Verantwortlichen, das heißt dem Vorstand die Verantwortung.
Die Betroffenen können sich zu allen Fragen in Hinsicht auf die Behandlung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte an den Datenschutzbeauftragten wenden. Der Datenschutzbeauftragte ist im Zusammenhang mit der Erfüllung seiner Aufgaben an die in der Europäischen Union oder in dem Recht des Mitgliedsstaates festgelegte Geheimhaltungspflicht oder die Pflicht zur vertraulichen Behandlung der Daten gebunden.
Der Datenschutzbeauftragte kann auch andere Aufgaben versehen. Der Verantwortliche hat zu gewährleisten, dass sich aus diesen Aufgaben keine Unvereinbarkeit ergibt. Der Datenschutzbeauftragte führt seine Aufgaben unter Berücksichtigung der Risiken für die Datenverarbeitungsvorgänge aus, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung beachtet.
Name und Kontaktmöglichkeit des Datenschutzbeauftragten: Nagy Tamás [ +36 30 970 5052 , tamas.nagy@hdi.hu ]
Den Namen des Datenschutzbeauftragten und die Kontaktmöglichkeit teilt der Verantwortliche auch der Aufsichtsbehörde mit.
8 Zustimmungserklärung und deren Rücknahme
Die Verwaltung der Daten im Zusammenhang mit der Geschäftstätigkeit von HDI beruht im Allgemeinen auf einer freiwilligen Zustimmung bzw. erfolgt unter dem Rechtstitel der Erfüllung des Vertrages. In bestimmten Fällen wird die Behandlung, die Aufbewahrung und Weiterleitung einer Reihe der angegebenen Daten durch gesetzliche Bestimmungen zur Pflicht. Ihre vorherige, ausdrückliche, informierte und freiwillige Zustimmung zur Behandlung, Aufbewahrung, Verwendung und Weiterleitung Ihrer personenbezogenen Daten (einschließlich Ihrer besonderen Daten) finden Sie als Anlage der vorliegenden Informationsschrift zum Datenschutz. Diese Erklärung ist gesondert zu unterschreiben.
Mit der Unterzeichnung dieser Erklärung erteilen Sie Ihre Zustimmung zur Verwaltung Ihrer personenbezogenen Daten und zur Weiterleitung Ihrer Daten, wie in der vorliegenden Informationsschrift zum Datenschutz dargelegt wurde.
Danach haben Sie jederzeit die Möglichkeit, diese Zustimmung schriftlich (über eine der Kontaktadressen am Ende der vorliegenden Informationsschrift zum Datenschutz) zurückzunehmen. Wenn Sie Ihre Zustimmung zur Verwaltung Ihrer personenbezogenen Daten verweigern oder Ihre Zustimmung nur zum Teil erteilen bzw. Ihre Zustimmung zur Verwaltung Ihrer personenbezogenen Daten zurücknehmen, dann erfolgt die Verwaltung Ihrer Daten im Weiteren ausschließlich nach den gesetzlichen Vorschriften in dem dort angegebenen Maße.
Aufgrund GDPR Artikel 8. Absatz (1) ist die Verwaltung der personenbezogenen Daten von Kindern unter 16 Jahren nur dann und in dem Maße rechtmäßig, wenn die Zustimmung bzw. Genehmigung von der Person erteilt wurde, die das Sorgerecht für das Kind ausübt. Bei Minderjährigen über 16 Jahren ist für die Gültigkeit der Erklärung die Zustimmung oder die spätere Genehmigung des gesetzlichen Vertreters nicht notwendig. Der Verantwortliche ergreift – unter Berücksichtigung der zur Verfügung stehenden Technik – angemessene Maßnahmen, um in diesen Fällen zu kontrollieren, ob die Zustimmung bzw. Genehmigung von der Person erteilt wurde, die das Sorgerecht für das Kind ausübt.
9 Rechte zur Datenverwaltung und deren Durchsetzung
Sie haben das Recht, von HDI Informationen zur Verwaltung Ihrer Daten zu verlangen, die schon erteilte Zustimmung jederzeit ohne Begründung zurückzunehmen, zu Ihrer Daten Zugriff zu erlangen, die Richtigstellung, Löschung oder die Einschränkung der Verwaltung Ihrer Daten zu verlangen. Ihnen steht das Recht zu, gegen Direktmarketing Einspruch zu erheben, automatisierte Entscheidungsfindung und Profilerstellung zu verhindern. Sie haben das Recht auf Datenportabilität bzw. gerichtliche Geltendmachung Ihrer Rechte und Sie können Beschwerde bei der Nationalen Behörde für Datenschutz und Informationsfreiheit [Nemzeti Adatvédelmi és Információszabadság Hatóság] einlegen.
HDI informiert ohne unbegründeten Verzug, aber spätestens binnen eines Monats nach Eingang des Antrags den Betroffenen über die Maßnahmen aufgrund des Antrages nach GDPR Artikel 15.-22. Wenn es wegen der Komplexität des Antrages und der Anzahl der Anträge notwendig sein sollte, kann diese Frist um weitere zwei Monate verlängert werden. Über die Verlängerung der Frist informiert HDI den Betroffenen unter Angabe der Gründe für den Verzug binnen eines Monates ab Erhalt des Antrages.
Wenn der Betroffene seinen Antrag auf elektronischem Wege eingereicht hat, wird die Nachricht mit den Informationen auf elektronischem Wege erteilt, ausgenommen, wenn der Betroffene das auf andere Weise verlangt.
Wenn HDI auf Antrag des Betroffenen keine Maßnahmen unternimmt, informiert sie den Betroffenen ohne Verzug, aber binnen eines Monats nach Eingang des Antrags über die Gründe dafür, warum keine Maßnahmen ergriffen wurden und darüber, dass der Betroffene Beschwerde bei irgendeiner Aufsichtsbehörde Beschwerde einlegen kann, und das Recht hat, Rechtsmittel bei Gericht einzulegen. HDI erteilt die angeforderten Informationen und die Auskünfte kostenlos.
Wenn der Antrag des Betroffenen eindeutig unbegründet ist oder – insbesondere im Wiederholungsfalle – übertrieben ist, kann HDI in Anbetracht der Bearbeitungskosten für das Erteilen der gewünschten Information oder Auskunft oder des Ergreifens der verlangten Maßnahme eine angemessene Gebühr verlangen oder die im Antrag gewünschte Maßnahme verweigern.
HDI informiert jeden Empfänger über alle von HDI durchgeführten Korrekturen, Löschungen oder Einschränkungen der Datenverarbeitung, denen die personenbezogenen Daten mitgeteilt wurden, ausgenommen, wenn sich das als unmöglich erweisen sollte oder einen unverhältnismäßigen Aufwand erfordern würde. Auf Ersuchen des Betroffenen informiert ihn HDI über diese Empfänger.
Bitte nehmen Sie bei Fragen oder Beschwerden zur Datenverwaltung auf die folgende Weise mit uns Kontakt auf. Rufen Sie uns an, unter der Telefonnummer 0036 1 248 2823 oder schreiben Sie uns an die folgende Adresse:
Angaben zu HDI, als Verantwortlicher
Name: HDI Versicherung AG, Filiale Ungarn
Sitz: 1134 Budapest, Váci út 45
Handelsregisternummer: 01-17-000450
Webseite: www.hdi.hu
E-Mail-Adresse: office@hdi.hu
Datenschutzbeauftragter: Nagy Tamás
Rechtsmittel
Der Betroffene kann sich bei Verletzung seiner Rechte gegen den Verantwortlichen an das (nach Wahl des Betroffenen für den Sitz des Beklagten oder den Wohnort des Betroffenen zuständige) Gericht wenden. Das Gericht handelt in der Sache außer der Reihe. Die Liste der Landgerichte und ihre Kontaktmöglichkeiten erhalten Sie unter dem folgenden Link: https://birosag.hu/torvenyszekek. Der im Zusammenhang mit dem Schutz der personenbezogenen Daten eingeleitete Prozess ist kostenlos.
Rechtmittel oder Beschwerden können bei der Nationalen Behörde für Datenschutz und Informationsfreiheit [Nemzeti Adatvédelmi és Információszabadság Hatóság] eingereicht werden:
Name: Nemzeti Adatvédelmi és Információszabadság Hatóság
Adresse: 1125 Budapest Szilágyi Erzsébet fasor 22/c
Webseite: www.naih.hu
E-Mail-Adresse: ugyfelszolgalat@naih.hu
Tel.: 06 1 39 11 400
Fax: 06 1 39 11 410