MÁV-START e-Ticket (Online-Fahrkartenverkauf)

Datenschutzrichtlinie

1. Verantwortlicher

Name:

MÁV-START Bahnpersonenverkehrs AG (im Folgenden: "MÁV-START

AG" oder "Verantwortlicher")

 

Sitz:

Könyves Kálmán krt. 54-60., Budapest, H-1087, Ungarn

Registernummer:

01-10-045551

Registernummer:

Das Budapester Stadtgericht als Registergericht

UST Nummer:

13834492-2-44

E-mail:

eszrevetel@mav-start.hu

2.Zweck und rechtliche Grundlage der Datenverarbeitung, Umfang der verwalteten Daten, Dauer der Datenspeicherung

2.1. Zweck und rechtliche Grundlage der Datenverarbeitung

Verantwortlicher behandelt die personenbezogenen Daten seiner Passagiere / Kunden um:

·den Benutzer im Online-Ticketverkaufssystem der MÁV-START (im Folgenden: "e- Ticket") auf der Grundlage der Einwilligung des Nutzers gemäß Artikel 6 (1) (a) der Datenschutz-Grundverordnung (im Folgenden: GDPR) zu registrieren;

·den Vertrag, der durch den Kauf der Fahrkarten entstanden ist, auf der Grundlage der Bestimmungen von Artikel 6 (1) (b) der GDPR und Artikel 169 (1) und (2) des

Gesetzes über die Rechnungsführung zu erfüllen.

MÁV-START AG kann die aggregierten und / oder anonymisierten Verkaufsdaten für statistische Zwecke verwenden. Aus diesen Daten können keine personenbezogenen Daten wiederhergestellt werden.

Der Passagier gestattet die obengenannte Datenverarbeitung durch: Benutzung des e-Ticket- Systems; Buchung einer Fahrkarte im e-Ticket-System; Erklärung zum Zeitpunkt der Abgabe eines Kommentars oder einer Beschwerde; oder dem Beginn der Reise.

Für oben nicht genannten Zwecken (z. B. Marketing) behandelt MÁV-START AG die personenbezogenen Daten der Fahrgästen oder Kunden nur dann, wenn MÁV-START AG die Person darüber informiert hat und die Person ihre ausdrückliche Zustimmung dazu gegeben hat.

2.2. Umfang der verwalteten Daten

MÁV-START AG behandelt die folgenden personenbezogenen Daten im e-Ticket System:

·bei der Registrierung: Name und E-Mail-Adresse des Benutzers;

·bei Fahrkartenbuchung: E-Mail-Adresse; Rechnungsdaten (Name, Adresse, Steuernummer);(Name und Geburtsdatum des Fahrgastes; Daten der gekauften Fahrkarte(n) (Route, Rabattsatz und Titel, Gültigkeit, Anzahl); zusätzliche Daten, die zur Nutzung der Fahrkarten nach den geltenden Bestimmungen der Fahrkarten erforderlich sind (z. B. ID-Nummer).

Weil die vom e-Ticket System gekauften e-Fahrkarten personalisierte Fahrkarten sind, werden der Name und das Geburtsdatum des Fahrgastes auf der e-Fahrkarte gezeigt. Gemäß dem Gesetz Nr. XLI von 2012 (Personenbeförderungsgesetz) hat das Eisenbahnunternehmen das Recht zu überprüfen, ob die personalisierte Fahrkarte von der auf der Fahrkarte angegebenen Person genutzt wird.

Das e-Ticket-System überprüft die Richtigkeit der angegebenen Daten nicht. Die Richtigkeit der eingegebenen Daten liegt ausschließlich in der Verantwortung der Person, die sie eingegeben hat. Mit der Angabe der E-Mail-Adresse ist der Benutzer auch für die alleinige Nutzung der angegebenen E-Mail-Adresse verantwortlich. In Bezug auf diese Verantwortung wird jede Haftung, die mit einer Anmeldung mit einer E-Mail-Adresse verbunden ist, ausschließlich von dem Benutzer getragen, der die E-Mail-Adresse registriert hat.

MÁV-START AG speichert die folgenden Daten automatisch in den Log-Dateien:

·für die Anmeldung verwendete E-Mail-Adresse,

·Aktivitäten und deren genaue Zeit beim Kauf im e-Ticket-System,

·die IP-Adresse des verbundenen Geräts.

Die obigen Daten werden automatisch vom e-Ticket-System ohne Benutzerinteraktion aufgezeichnet. Diese Daten können mit anderen personenbezogenen Daten von den Benutzern

-außer in gesetzlich vorgeschriebenen Fällen -nicht verbunden werden. Daten sind nur für den Verantwortlicher und den Systembetreiber zugänglich.

2.3. Dauer der Datenspeicherung

Verantwortlicher behandelt die personenbezogenen Daten für einen dem Zweck der Datenverarbeitung angemessenen Zeitraum (z. B. bis: die Frist für die Durchsetzung von Rechten; Anordnung der Beschwerde oder des Kommentars; Widerruf der Zustimmung; statistische Bearbeitung der geltend gemachten Ansprüche; usw.), und der damit verbundenen steuerlichen, vermögensrechtlichen und sonstigen Vorschriften. Um die Rechte und Pflichten in Bezug auf die Rechnungsstellung zu erfassen, werden die gekauften Fahrkarten und elektronischen Rechnungen für 8 Jahre ab dem Datum des Kaufs auf der Grundlage der Bestimmungen von Artikel 169 (1) und (2) des Gesetzes über die Rechnungsführung gespeichert.

2.4.Möglichkeit der Datenübertragung

Verantwortlicher ist berechtigt und verpflichtet, die gesetzlich gespeicherten und verfügbaren personenbezogenen Daten an die zuständigen Behörden zu übermitteln, die er gesetzlich oder aufgrund einer gesetzlichen Verpflichtung der Behörde übertragen muss. MÁV-START AG kann nicht für solche Datenübertragungen und deren Folgen verantwortlich gemacht werden.

Bei einer Online-Zahlung erfüllt Verantwortlicher die in der PSD2-Richtlinie festgelegte Verpflichtung zur Datenübertragung. MÁV-START AG kann nicht für solche Datenübertragungen und deren Folgen verantwortlich gemacht werden. Nach vorheriger Benachrichtigung des Benutzers kann MÁV-START AG die E-Mail-Adresse und den Namen, die dem Benutzerprofil zugewiesen wurden, sowie Daten zum Kauf (einschließlich, aber nicht beschränkt auf: Daten der gekauften Fahrkarten, Log-Dateien, usw.) an den Zahlungsdienstleister übertragen. Der Zweck der Datenübertragung sind: Kundensupport für Benutzer, Bestätigung von Transaktionen und Betrugsüberwachung.

Die personenbezogenen Daten, die auf der e-Fahrkarte gezeichnet oder in dem elektronischen Code auf der e-Fahrkarte gespeichert sind, können von den auf der Fahrkarte angegebenen Eisenbahnunternehmen während ihrer Kontrolle bekannt werden und gemäß ihren eigenen Datenverarbeitungsregeln verwaltet werden.

3. Informationen zur Verwendung eines Auftragsverarbeiters

Name:

MÁV Servicezentrum AG

Sitz:

Könyves Kálmán krt. 54-60., Budapest, H-1087, Ungarn

Registernummer:

01-10-045838

Registergericht:

Das Budapester Stadtgericht als Registergericht

UST Nummer:

14130179-2-44

E-mail:

helpdesk@mav-szk.hu

Ort der

Krisztina krt. 37/A, Budapest, H-1012, Ungarn

Datenspeicherung:

 

Der Auftragsverarbeiter verwaltet die unter Nummer 2 behandelten Daten für den in Nummer 2 genannten Zeitraum und stellt einen vollständigen IT-Dienst auf der Grundlage des Vertrags mit dem Verantwortlicheren.

4. Bereich von Personen berechtigt, die Daten zu kennen

Beim Verantwortlicher: Mitarbeiter der Abteilung(en), die für den Betrieb des Systems verantwortlich sind; Mitarbeiter des Kundendienstes; Mitarbeiter der Abteilung, die die zentrale Rückerstattung abwickelt.

5.Maßßnahmen zur Datensicherheit

5.1.Datenspeicherung, Sicherheit der Datenverarbeitung

·MÁV-START AG verpflichtet sich, die von ihm verarbeiteten personenbezogenen

Daten seiner Fahrgäste und anderer Kunden zu schützen. Personenbezogenen Die Daten werden nicht öffentlich in einem IT-System mit erhöhter Sicherheit behandelt.

Die Daten werden vor zufälliger Zerstörung, unberechtigtem Zugriff oder Änderungen geschützt. MÁV-START Co. stellt sicher, dass personenbezogene Daten nur von kompetenten Mitarbeitern durch Zugangskontrollen zum hohen Standard erkannt werden können.

·In Zusammenarbeit mit dem Auftragsverarbeiter übernimmt Verantwortlicher die notwendigen technischen und organisatorischen Maßnahmen, um:

o das e-Ticket-System gemäß dem IT-Sicherheitscode zu betreiben;

o sicherzustellen, dass berechtigte Benutzer gemäß ihrer Berechtigungsstufe auf die Funktionen und Daten des E-Ticket-Systems zugreifen können;

o das Speichern von Daten und Archivierung zu kümmern;

·In Zusammenarbeit mit dem Auftragsverarbeiter beachtet Verantwortlicher die

Verfahrensregeln, die zur Durchsetzung der Bestimmungen der

Datenschutzbestimmungen gemäß Nummer 9 erforderlich sind. Die hochgeladenen

Dateien werden vom Verantwortlicheren durch Auftragsverarbeiter einer

Virenprüfung und anderen Sicherheitsuntersuchungen unterzogen.

·Die Hardware-Elemente des Systems befinden sich im Serverraum der MÁV

Servicezentrum AG (Krisztina krt. 37., Budapest, H-1012, Ungarn), als Auftragsverarbeiter.

·Verantwortlicher übernimmt alle technischen, administrativen und organisatorischen Maßnahmen, um die mit der Datenbearbeitung verbundenen Risiken entsprechende

Sicherheit der Datenverarbeitung zu schützen. Verantwortlicher wählt aus und betriebt die verwendeten IT-Geräte so, dass die behandelten Daten:

o für alle berechtigten Personen zugänglich sind (Verfügbarkeit);

o versichert sind, glaubwürdig und authentifiziert zu sein (Authentizität der

Datenverarbeitung);

o nachgewiesen werden können, unverändert zu sein (Datenintegrität);

o nur für berechtigte Personen zugänglich sind und gegen unberechtigten Zugriff geschützt sind (Vertraulichkeit).

6.Rechte und Durchsetzungsmöglichkeiten

6.1. Recht, Informationen anzufordern

Informationen, Datenberichtigung und Beschränkung der Datenverarbeitung können schriftlich vom Verantwortlicheren über die Kontaktdaten unter Punkt 1 angefordert werden.

Verantwortlicher informiert den Benutzer durch seine Anfrage über: die verarbeiteten Daten; der Zweck, die Rechtsgrundlage und die Dauer der Datenverarbeitung; Name und Adresse (Sitz) des Verantwortlicheres; Name und Anschrift (Sitz) des Auftragverarbeiters und seine Tätigkeiten im Zusammenhang mit der Datenverarbeitung; die Kontaktdaten des Datenschutzbeauftragten; wer und zu welchem Zweck die personenbezogenen Daten des Nutzers erhält oder erhalten hat; und die Rechte des Benutzers bezüglich der Datenverarbeitung. Verantwortlicher muss die Informationen in schriftlicher und verständlicher Form so schnell wie möglich, spätestens jedoch innerhalb eines Monats nach Einreichung des Antrags zur Verfügung stellen. Unter Berücksichtigung der Komplexität des Antrags und der Anzahl der Anträge kann diese Frist gegebenenfalls um zwei weitere Monate verlängert werden. Wenn das Auskunftsersuchen unbegründet oder - insbesondere weil sie sich wiederholt - zu hoch ist, kann Verantwortlicher eine Kostenerstattung setzen oder Aufgrund der Anfrage Maßnahmen ablehnen.

6.2. Recht, die Einwilligung zu widerrufen

Die Einwilligung in die Datenverarbeitung kann jederzeit widerrufen werden, aber der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der Datenverarbeitung aufgrund der Einwilligung vor dem Widerruf.

6.3. Zugangsrecht

Der Nutzer ist berechtigt, vom Verantwortlicheren eine Rückmeldung zu erhalten, ob seine personenbezogenen Daten verarbeitet werden.

Aufgrund des Zugangsrechts hat der Benutzer das Recht auf Zugang zu personenbezogenen Daten im Zusammenhang mit der laufenden Datenverarbeitung und auf Informationen über den folgenden:

·der Zweck der Datenverarbeitung,

·die Kategorien der betroffenen personenbezogenen Daten,

·die Dauer der Datenverarbeitung,

·wer und zu welchem Zweck die personenbezogenen Daten des Nutzers erhält oder erhalten hat,

·mit der Datenverarbeitung zugeordnete Rechte des Benutzers,

·das Recht, eine Beschwerde an die Aufsichtsbehörde zu richten.

Auf Anfrage des Benutzers stellt Verantwortlicher dem Benutzer eine Kopie der personenbezogenen Daten zur Verfügung, die Objekt der Datenverarbeitung sind, sofern dies nicht die Rechte und Freiheiten anderer Personen beeinträchtigt. Verantwortlicher kann eine Verwaltungsgebühr (Kostenerstattung) für die zusätzlichen Kopien beantragen.

6.4.Änderung (Berichtigung) und Löschen von Daten

Die Änderung (Berichtigung) der ungenauen personenbezogenen Daten und die Ergänzung der unvollständigen Daten können schriftlich über die Kontaktdaten unter Punkt 1 beantragt werden.

Der Benutzer kann die Löschung seiner personenbezogenen Daten schriftlich über die Kontaktdaten unter Punkt 1 beantragen, wenn: die Datenbearbeitung rechtswidrig ist; der Zweck der Datenverarbeitung beendet ist; die Einwilligung in Datenverarbeitung zurückgezogen wurde; der angegebene Termin zur Speicherung der Daten abgelaufen ist; und es von einem Gericht oder einer Behörde angeordnet wurde.

Verantwortlicher benachrichtigt die anfragende Person und diejenigen, für die die Daten für Datenverarbeitung übermittelt wurden, über die Änderungen und das Löschen der Daten. Die Benachrichtigung kann weggelassen werden, wenn sie nicht das berechtigte Interesse der anfragenden Person hinsichtlich des Zwecks der Datenverarbeitung verletzt.

Verantwortlicher löscht keine personenbezogenen Daten, wenn rechtliche Ansprüche geltend gemacht, durchgesetzt oder geschützt werden müssen.

Bestimmte personenbezogene Daten können vom Benutzer im e-Ticket-System geändert werden.

Personenbezogene und andere Daten, die mit dem Benutzer in Verbindung stehen, werden gemäß den in der Datenschutzlinie aufgeführten gesetzlichen Bestimmungen, die bei der Registrierung akzeptierten wurde, in mehreren Schritten gelöscht.

Die Löschung der E-Mail-Adresse und der Registrierungsdaten, die zu einer nicht aktivierten Registrierung gehören, kann an den Kundendienst mit Eingabe der E-Mail-Adresse angefordert werden.

Ein aktiviertes Benutzerkonto kann nur im e-Ticket-System mit der Funktion Löschen der Registration gelöscht werden.

Ein Benutzerkonto kann nur gelöscht werden, wenn alle darin enthaltenen Fahrkarten abgelaufen sind oder zurückerstattet wurden. Ein Benutzerkonto, das gültige oder für die Zurückerstattung markierte Fahrkarten enthält, kann nicht gelöscht werden.

Durch Drücken der Taste "Löschen der Registration" werden sofort die folgende Daten in der Datenbank gelöscht:

·vom Benutzer aufgezeichnete Rechnungsdaten, die für die Rechnungsstellung ausgewählt werden können;

·vom Benutzer aufgezeichnete Fahrgastdaten, die für Kauf einer e-Fahrkarte ausgewählt werden können;

·Kennzeichnungen, die zu im SimplePay-System gespeicherte Kartendaten gehören.

Durch Drücken der Taste "Löschen der Registration" wird die registrierte E-Mail-Adresse (Benutzername) zum Löschen markiert, d.h. das Benutzerkonto ist nicht mehr verfügbar. Es ist nicht möglich, mit einem inaktivierten Benutzername anzumelden. Zuvor gekaufte Fahrkarten und Rechnungen können innerhalb 1 Jahres ab dem Datum der Stornierung aus der Datenbank nach der registrierten E-Mail-Adresse abgerufen werden, wenn ein Anspruch oder eine andere berechtigte Anfrage an unseren Kundendienst vorliegt.

Am 366. Tag nach dem Start der Löschung werden die Daten zum Zweck und für die Dauer gemäß Punkt 2.3. archiviert.

6.5. Sperrung (Begrenzung) von Daten

Die Sperrung (Begrenzung) der personenbezogenen Daten kann schriftlich beim Verantwortlicher über die Kontaktdaten in Punkt 1. beantragt werden, wenn:

·Der Benutzer bestreitet die Richtigkeit der personenbezogenen Daten (in diesem Fall gilt die Begrenzung für den Zeitraum, in dem Verantwortlicher die Richtigkeit der Daten überprüft);

·Datenverarbeitung ist illegal, der Benutzer widerspricht jedoch der Löschung von

Daten und fordert deren Sperrung oder Begrenzung;

·Der Zweck der Datenverwaltung wurde beendet, aber der benutzer muss gesetzliche

Ansprüche geltend machen, durchsetzen oder schützen.

Die Sperrung (Begrenzung) dauert so lange, bis der vom Benutzer angegebene Grund dies erforderlich macht. In diesem Fall werden die personenbezogenen Daten -ausgenommen von Speicherung -nur mit Zustimmung des Nutzers verarbeitet; oder um rechtliche Ansprüche einzureichen, durchzusetzen oder zu schützen; oder um die Rechte einer anderen natürlichen oder juristischen Person zu schützen; oder sich mit wichtigen öffentlichen Interessen zu befassen. Verantwortlicher informiert den Benutzer vorab, wenn die Daten auf Anforderung des Benutzers freigeschaltet werden.

6.6. Recht zu beschweren

Bei Verletzung den Rechten des Benutzers, oder wenn der Benutzer mit der Entscheidung des Verantwortlicheres nicht zustimmt, kann der Benutzer eine Beschwerde bei der Nationalen Datenschutz- und Informationsbehörde einreichen:

Name:

Nationalen Datenschutz- und Informationsbehörde

Sitz /

Szilágyi Erzsébet fasor 22/c., Budapest, H-1125, Ungarn

Postanschrift:

Pf. 5., Budapest, H-1530, Ungarn

Telefon:

(+36-1) 391-1400

Telefax:

(+36-1) 391-1410

E-mail:

ugyfelszolgalat@naih.hu

Bei Verletzung den Rechten des Benutzers, oder wenn der Benutzer mit der Entscheidung des Verantwortlicheres nicht zustimmt, kann sich der Benutzer direkt an das für die Adresse des Verantwortlicheres oder die Adresse des Wohnorts des Benutzers zuständige Gericht wenden 30 Tage nach Erhalt der Entscheidung vom Verantwortlicher. Das Gericht kann den Fall unverzüglich hören.

Weitere Informationen zusätzlich zur Datenschutzlinie können über die unter Punkt 1. angegebene Kontaktdaten angefordert werden.

Kommentare, Widersprüche oder Informationsanfragen zum Umgang mit personenbezogenen Daten können ebenfalls an adatvedelem@mav-start.hu gesendet werden.

7. Dienstnachrichten

Dienstleistende behält sich das Recht vor, über Änderungen die die Funktion des Systems grundlegend beeinträchtigen (z.B.: neue Entwicklungen, Umstände höherer Gewalt, usw.) die registrierten Benutzer per E-Mail zu informieren..

8.Änderung der Datenschutzrichtlinie

MÁV-START AG behält sich das Recht vor, diese Datenschutzrichtlinie jederzeit durch einseitige Entscheidung zu ändern. MÁV-START AG informiert alle Benutzer in geeigneter Weise über die Änderungen (z. B. im Newsletter oder im Popup-Fenster). Durch die Nutzung des e-Ticket-Systems nach der Änderung der Datenschutzrichtlinie erkennt der Benutzer die geänderte Datenschutzrichtlinie an, es ist keine weitere Zustimmung des Benutzers erforderlich.

9.Angewandtes Recht

·Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung oder GDPR);

·Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (zweite Richtlinie über Zahlungsdienste oder PSD2);

·Gesetz Nr. CXII von 2011 über das Recht auf Informationelle Selbstbestimmung und Freiheit des Information;

·Gesetz Nr. CXII von 2013 über das Bürgerliche Gesetzbuch;

·Grundgesetz von Ungarn (Freiheit und Verantwortung, Artikel VI);

·Gesetz Nr. XLI von 2012 über den Personenverkehr;

·Gesetz Nr. CVIII von 2001 über elektronischen Handel und Informationsgesellschaft;

·Gesetz Nr. C von 2000 die Rechnungslegung.

© MÁV-START AG

Alle Rechte vorbehalten.