POLITICA DE PRELUCRARE A DATELOR
(REGULAMENTUL GENERAL PRIVIND PROTECȚIA DATELOR)
Numele organizației:
FLORICULTOR Ltd.
Sediul central:
2310 Szigetszentmiklós, Leshegy utca 1/c Număr de identificare fiscală: 26307297-2-13
Numele persoanei (persoanelor) autorizate să reprezinte societatea: Szilágyi Csaba
Revizuirea și menținerea prezentei politici
anual, în funcție de modificările legislative.
Intrare în vigoare: 01.07.2018 Aplicabil de la: 01.07.2018
TABEL DE CONȚINUT
I. SCOPUL CODULUI
II. Sfera de aplicare a regulamentului Domeniul de aplicare
Domeniul de aplicare temporal
III. DEFINIȚII
IV. PRINCIPII DE BAZĂ
V. TEMEIUL JURIDIC PENTRU PRELUCRARE
1. Consimțământul persoanei vizate
2. Executarea contractului
3. Pentru a respecta o obligație legală la care este supus operatorul sau pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice
4. pentru a îndeplini o sarcină îndeplinită în interes public sau în exercitarea autorității oficiale cu care este învestit operatorul sau pentru a urmări interesele legitime ale operatorului sau ale unei părți terțe.
VI. CINE ARE DREPTUL DE A ACCESA DATELE
VII. DREPTURILE PERSOANELOR AFECTATE Dreptul la informare
Dreptul de acces al persoanei vizate
Dreptul persoanei vizate la rectificare și ștergere
3.1. Dreptul la rectificare
3.2 Dreptul la ștergere ("dreptul de a fi uitat")
4. Dreptul la restricționarea prelucrării
5. Obligația de a notifica rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării
6. Dreptul la portabilitatea datelor
7. Dreptul de a formula obiecții
8. Dreptul la exceptare de la luarea automată a deciziilor
9. Dreptul persoanei vizate de a depune o plângere și de a solicita despăgubiri
9.1 Dreptul de a depune o plângere la o autoritate de supraveghere.
9.2 Dreptul la o cale de atac judiciară eficientă împotriva autorității de supraveghere
9.3 Dreptul la o cale de atac judiciară eficientă împotriva operatorului sau a persoanei împuternicite de operator
10. Restricții
11. Informații privind încălcarea securității datelor
VIII. PROCEDURA DE URMAT ÎN CAZUL UNEI CERERI DIN PARTEA PERSOANEI VIZATE
IX. PROCEDURA ÎN CAZUL UNEI ÎNCĂLCĂRI A SECURITĂȚII DATELOR CU CARACTER PERSONAL
X. ACTIVITĂȚILE DE PRELUCRARE A DATELOR ALE ÎNTREPRINDERII ÎN LEGĂTURĂ CU RELAȚIA DE MUNCĂ
1. Prelucrarea înainte de angajare
1.1. Prelucrarea datelor în contextul procesului de recrutare
1.2. Prelucrarea datelor în timpul evaluării adecvării pentru locul de muncă
2. Prelucrarea datelor în timpul raportului de muncă
2.1. Prelucrarea datelor în cadrul registrului de muncă
2.2 Monitorizarea comportamentului angajatului în cadrul relației de muncă
2.2.1. Prelucrarea datelor referitoare la sistemul de supraveghere electronică
2.2.2.2. Prelucrarea datelor legate de utilizarea unui cont de e-mail furnizat de societate angajatului
2.2.3. Controlul utilizării laptopurilor, tabletelor și telefoanelor puse la dispoziția angajatului
2.2.4. Monitorizarea utilizării internetului de către angajați la locul de muncă
2.2.5. Prelucrarea angajaților pe o bază ad hoc
2.2.6. Prelucrarea datelor în legătură cu utilizarea unui dispozitiv de navigație (GPS)
XI. ALTE ACTIVITĂȚI ȘI PERSOANE VIZATE DE PRELUCRARE
1. Prelucrarea bazată pe o obligație legală
1.1 Prelucrarea datelor legate de îndeplinirea obligațiilor de combatere a spălării banilor
1.2. Prelucrarea datelor pentru îndeplinirea obligațiilor contabile
1.3. Prelucrarea datelor legate de îndeplinirea obligațiilor fiscale și contributive
1.4. Obligațiile de prelucrare a datelor în legătură cu stabilirea unei relații de asigurare
1.5. Prelucrarea datelor privind gestionarea plângerilor
1.6. Prelucrarea datelor în timpul inspecției tehnice auto și al verificării autenticității vehiculelor rutiere
2. Prelucrarea datelor în cadrul cererilor de informații, cererilor de propuneri
3. Prelucrarea datelor în legătură cu site-ul web operat de Societate
3.1. Informații despre vizitatorii site-ului web al societății
3.2. Înregistrare, abonare la buletinul informativ
3.3. Prelucrarea datelor în legătură cu activitățile de marketing direct
3.4. Gestionarea datelor în legătură cu magazinul online operat de Societate
3.5. Reguli privind prezența pe rețelele de socializare
4. Activități de prelucrare a datelor legate de executarea contractului
5. Prelucrarea datelor în legătură cu extragerea premiilor
6. Prelucrarea datelor în legătură cu controlul electronic al accesului
XII. NORME PRIVIND PRELUCRAREA DATELOR
1. Norme generale privind prelucrarea datelor
2. Activitățile de prelucrare a datelor efectuate de societate
XIII DISPOZIȚII PRIVIND SECURITATEA DATELOR Principii pentru punerea în aplicare a securității datelor
Protecția înregistrărilor IT ale societății Protecția înregistrărilor pe hârtie ale societății
XIV. ALTE DISPOZIȚII
ANEXAK
( anexele vor fi puse la dispoziție cu ajutorul persoanei împuternicite de operator )
REGISTRUL OPERATORILOR DE DATE
DECLARAȚIE DE CONSIMȚĂMÂNT CU PRIVIRE LA PRELUCRAREA DATELOR CU CARACTER PERSONAL
CONSIMȚĂMÂNTUL PENTRU PRELUCRAREA DATELOR ÎN SCOPURI DE MARKETING DIRECT
NOTA DE INFORMARE PENTRU PRELUCRAREA CONTRACTUALĂ A DATELOR (ÎN CAZUL UNUI PARTENER CONTRACTUAL INDIVIDUAL)
INFORMAȚII PRIVIND UTILIZAREA UNUI SISTEM ELECTRONIC DE MONITORIZARE CONTRACT DE PRELUCRARE A DATELOR
POLITICA DE CONFIDENȚIALITATE A SITE-ULUI WEB POLITICA DE CONFIDENȚIALITATE LA LOCUL DE MUNCĂ
DECLARAȚIE DE CONFIDENȚIALITATE PENTRU ANGAJAȚII UNEI PERSOANE ÎMPUTERNICITE DE OPERATOR DE DATE ÎNREGISTRARE A PRELUCRĂRII DATELOR LEGATE DE ANGAJARE ÎNREGISTRARE A PRELUCRĂRII DATELOR ÎN SCOPURI DE MARKETING DIRECT
ÎNREGISTRĂRI DE GESTIONARE A DATELOR LEGATE DE ÎNREGISTRARE, ABONARE LA BULETINUL INFORMATIV ÎNREGISTRĂRI DE GESTIONARE A DATELOR CLIENȚILOR
REGISTRUL DE PRELUCRARE A DATELOR CLAUZA DE PROTECȚIE A DATELOR CONTRACTUL DE MUNCĂ REGISTRUL INCIDENTELOR DE PROTECȚIE A DATELOR NOTIFICAREA INCIDENTELOR DE PROTECȚIE A DATELOR
O ÎNREGISTRARE A MĂSURILOR LUATE ÎN LEGĂTURĂ CU DREPTUL DE ACCES AL PERSOANEI VIZATE
I. SCOPUL CODULUI
Scopul acestei Politici este de a stabili normele interne care reglementează politica de protecție și gestionare a datelor a Societății noastre, de a asigura respectarea vieții private a persoanelor fizice, de a respecta Legea CXII din 2011 privind dreptul la autodeterminare informațională și libertatea de informare și Regulamentul (UE) 2016/679 al PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 20 decembrie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) 95/46/CE. Societatea se asigură că dreptul persoanelor vizate la protecția datelor lor cu caracter personal este respectat în toate activitățile și serviciile sale, atunci când prelucrează și manipulează datele lor cu caracter personal.
Prin adoptarea prezentei politici, societatea își declară conformitatea cu principiile de prelucrare a datelor cu caracter personal prevăzute la articolul 5 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (denumit în continuare "Regulamentul").
II. DOMENIUL DE APLICARE AL NORMELOR
1. Domeniul de aplicare personal
Prezenta politică se aplică societății și persoanelor fizice cărora li se aplică activitățile sale de prelucrare. Activitățile de prelucrare prevăzute în prezenta politică vizează datele cu caracter personal ale persoanelor fizice. Prezenta politică nu acoperă prelucrarea datelor cu caracter personal referitoare la persoanele juridice sau, în special, la întreprinderile constituite ca persoane juridice, inclusiv numele și forma persoanei juridice și datele de contact ale persoanei juridice. O persoană juridică este o asociație, un parteneriat, o cooperativă, o asociație și o fundație.
2. Domeniul de aplicare temporal
Prezentele norme rămân în vigoare de la data adoptării lor până la o notificare ulterioară sau până la data retragerii lor.
III. DEFINIȚII
1. persoană vizată: o persoană fizică identificată sau identificabilă pe baza oricăror informații;
1a. persoană fizică identificabilă: o persoană fizică care poate fi identificată, direct sau indirect, în special prin referire la un identificator precum un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice;
2. date cu caracter personal: orice informații referitoare la persoana vizată;
3. categorii speciale de date cu caracter personal: orice date care se încadrează în categoriile speciale de date cu caracter personal, și anume datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice, apartenența sindicală, datele genetice, datele biometrice în scopul identificării unice a persoanelor fizice, datele privind sănătatea și datele cu caracter personal privind viața sexuală sau orientarea sexuală a persoanelor fizice,
3a) Date genetice: orice date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care conțin informații specifice privind fiziologia sau starea de sănătate a persoanei respective și care rezultă în principal din analiza unui eșantion biologic prelevat de la persoana fizică respectivă;
3b. date biometrice: date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice obținute prin proceduri tehnice specifice care permit sau confirmă identificarea unică a persoanei fizice, cum ar fi imaginea facială sau datele dactiloscopice;
3c. date privind sănătatea: date cu caracter personal referitoare la sănătatea fizică sau mentală a unei persoane fizice, inclusiv date referitoare la serviciile de sănătate furnizate unei persoane fizice care conțin informații privind sănătatea persoanei fizice;
(4) consimțământ: o manifestare de voință liberă, explicită și corect informată a persoanei vizate, prin care aceasta își exprimă, prin intermediul unei declarații sau al unui alt comportament care exprimă în mod neechivoc voința sa, acordul cu privire la prelucrarea datelor cu caracter personal care o privesc;
5. operator: persoana fizică sau juridică sau organismul fără personalitate juridică care, singur sau împreună cu alții, stabilește scopurile în care datele urmează să fie prelucrate, ia și execută decizii privind prelucrarea (inclusiv mijloacele utilizate) sau încredințează prelucrarea datelor unui operator, în limitele stabilite de lege sau de un act juridic obligatoriu al Uniunii Europene;
5a. operator comun: un operator care, în limitele stabilite de lege sau de un act obligatoriu din punct de vedere juridic al Uniunii Europene, stabilește scopurile și mijloacele de prelucrare în comun cu unul sau mai mulți alți operatori, ia și pune în aplicare sau a pus în aplicare decizii privind prelucrarea (inclusiv mijloacele utilizate) în comun cu unul sau mai mulți alți operatori și cu persoana împuternicită de către operator;
6. prelucrarea datelor: orice operațiune sau set de operațiuni care se efectuează asupra datelor, indiferent de procedura utilizată, în special orice colectare, înregistrare, înregistrare, organizare, stocare, modificare, utilizare, recuperare, divulgare, transmitere, aliniere sau combinare, blocare, ștergere sau distrugere a datelor, împiedicarea utilizării ulterioare, realizarea de fotografii, înregistrări sonore sau imagini și caracteristici fizice care pot fi utilizate pentru a identifica o persoană (de ex. amprente digitale, amprente palmare, mostre ADN, scanarea irisului);
7. transfer: punerea datelor la dispoziția unei terțe părți specificate;
7a. transfer indirect: transferul de date cu caracter personal către un operator sau o persoană împuternicită de operator dintr-o țară terță sau către un operator sau o persoană împuternicită de operator dintr-o altă țară terță sau către o persoană împuternicită de operator dintr-o organizație internațională prin transferul datelor cu caracter personal către operatorul sau persoana împuternicită de operator dintr-o țară terță sau către o persoană împuternicită de operator dintr-o organizație internațională;
8. divulgare: punerea datelor la dispoziția oricui;
9. ștergere: face ca datele să devină de nerecunoscut, astfel încât să nu mai fie posibilă recuperarea lor;
10. restricționarea prelucrării: blocarea datelor stocate prin marcarea acestora în scopul restricționării prelucrării lor ulterioare;
11. distrugerea datelor: distrugerea fizică completă a suportului de date care conține datele;
12. prelucrare: totalitatea operațiunilor de prelucrare efectuate de o persoană împuternicită de operator care acționează în numele sau la instrucțiunile operatorului;
13. persoană împuternicită de operator: o persoană fizică sau juridică sau un organism neîncorporat care prelucrează date cu caracter personal în numele sau la instrucțiunile operatorului, în limitele și în condițiile prevăzute de lege sau de un act juridic obligatoriu al Uniunii Europene;
14. set de date: setul de date gestionate într-un singur registru;
(15) terț: o persoană fizică sau juridică sau un organism neîncorporat, alta decât persoana vizată, operatorul, persoana împuternicită de operator sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite de operator, efectuează operațiuni legate de prelucrarea datelor cu caracter personal;
16. încălcare a securității datelor: o încălcare a securității datelor care are ca rezultat distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea sau transmiterea neautorizată sau accesul la date cu caracter personal transmise, stocate sau prelucrate în alt mod;
17. crearea de profiluri: orice prelucrare a datelor cu caracter personal prin mijloace automatizate destinată să evalueze, să analizeze sau să previzioneze aspecte personale referitoare la persoana vizată, în special performanța la locul de muncă, situația economică, sănătatea, preferințele sau interesele personale, fiabilitatea, comportamentul, localizarea sau deplasările acesteia;
18. destinatar: persoana fizică sau juridică sau organismul neîncorporat căruia sau căruia îi sunt divulgate datele cu caracter personal de către operator sau persoana împuternicită de operator;
19. pseudonimizare: prelucrarea datelor cu caracter personal într-un mod care face imposibilă identificarea persoanei vizate fără informații suplimentare, stocate separat de datele cu caracter personal, și asigură, prin măsuri tehnice și organizatorice, că datele cu caracter personal nu pot fi legate de o persoană fizică identificată sau identificabilă;
20. întreprindere: orice persoană fizică sau juridică care desfășoară o activitate economică, indiferent de forma sa juridică, inclusiv parteneriatele și asociațiile care desfășoară o activitate economică obișnuită.
Regulamentul 21: REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016.
22. sistem de gestionare a datelor: mijloacele utilizate pentru gestionarea datelor.
IV. PRINCIPII DE BAZĂ
Datele cu caracter personal pot fi prelucrate numai în scopuri specifice, pentru exercitarea drepturilor și îndeplinirea obligațiilor.
În toate etapele prelucrării, scopul prelucrării trebuie să fie îndeplinit, iar colectarea și prelucrarea datelor trebuie să fie echitabile și legale. Se prelucrează numai datele cu caracter personal care sunt necesare pentru scopul prelucrării și care sunt adecvate scopului.
Datele cu caracter personal pot fi prelucrate numai în măsura și pe durata necesare scopului.
Societatea înregistrează faptul că datele cu caracter personal pe care le prelucrează sunt stocate la sediul său sub formă de fișiere electronice și documente pe suport de hârtie, respectând cerințele legale privind securitatea datelor. Prezenta dispoziție se aplică tuturor activităților de prelucrare și prelucrare a datelor efectuate de Societate.
V. TEMEIUL JURIDIC PENTRU PRELUCRARE
1. Consimțământul persoanei vizate
(1) Legalitatea prelucrării datelor cu caracter personal trebuie să se bazeze pe consimțământul persoanei vizate sau pe un alt temei legal prevăzut de lege.
(2) În cazul prelucrării bazate pe consimțământul persoanei vizate, persoana vizată își poate da consimțământul cu privire la prelucrarea datelor sale cu caracter personal în următoarea formă:
a) în scris, sub forma unei declarații de consimțământ la prelucrarea datelor cu caracter personal,
(b) prin mijloace electronice, prin comportament explicit pe site-ul web al societății, prin bifarea unei căsuțe sau prin efectuarea unor setări tehnice în momentul utilizării serviciilor societății informaționale, precum și prin orice altă declarație sau acțiune care, în contextul relevant, indică în mod clar consimțământul persoanei vizate cu privire la prelucrarea preconizată a datelor sale cu caracter personal.
(3) Prin urmare, tăcerea, bifarea unei căsuțe sau inacțiunea nu constituie consimțământ.
(4) Consimțământul acoperă toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri.
(5) În cazul în care prelucrarea este destinată mai multor scopuri, consimțământul trebuie dat pentru toate scopurile pentru care este destinată prelucrarea. În cazul în care persoana vizată își dă consimțământul în urma unei cereri electronice, cererea trebuie să fie clară și concisă și nu trebuie să împiedice în mod inutil utilizarea serviciului pentru care se solicită consimțământul.
(6) Persoana vizată are dreptul de a-și retrage consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării bazate pe consimțământul anterior retragerii acestuia. Persoana vizată este informată înainte de acordarea consimțământului. Retragerea consimțământului trebuie să fie posibilă în același mod simplu ca și acordarea consimțământului. În cazul prelucrării bazate pe consimțământul persoanei vizate, durata prelucrării ar trebui să fie limitată la perioada până la îndeplinirea scopului prelucrării,
sau până la retragerea consimțământului sau până la punerea în aplicare a unei decizii judiciare sau administrative care dispune ștergerea datelor.
2. Executarea contractului
Prelucrarea este legală atunci când este necesară pentru executarea unui contract la care persoana vizată este parte sau în scopul luării de măsuri la cererea persoanei vizate înainte de încheierea unui contract.
Consimțământul persoanei vizate cu privire la prelucrarea datelor cu caracter personal care nu sunt necesare pentru executarea contractului nu este o condiție pentru încheierea contractului.
3. Pentru a respecta o obligație legală la care este supus operatorul sau pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice
Temeiul juridic pentru prelucrare este determinat de lege în cazul îndeplinirii unei obligații legale, astfel încât consimțământul persoanei vizate nu este necesar pentru prelucrarea datelor sale cu caracter personal.
Operatorul informează persoana vizată cu privire la scopurile, temeiul juridic, durata, identitatea operatorului, drepturile și căile de atac ale persoanei vizate.
Operatorul are dreptul de a prelucra datele necesare pentru respectarea unei obligații legale la care este supusă persoana vizată, după retragerea consimțământului persoanei vizate.
4. pentru a îndeplini o sarcină îndeplinită în interes public sau în exercitarea autorității oficiale cu care este învestit operatorul sau pentru a urmări interesele legitime ale operatorului sau ale unei părți terțe.
Interesele legitime ale operatorului, inclusiv ale operatorului cu care pot fi partajate datele cu caracter personal, sau ale unei părți terțe pot constitui un temei juridic pentru prelucrare, cu condiția ca interesele, drepturile și libertățile fundamentale ale persoanei vizate să nu prevaleze asupra așteptărilor legitime ale persoanei vizate, având în vedere relația sa cu operatorul. Un astfel de interes legitim poate fi, de exemplu, cazul în care există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi atunci când persoana vizată este un client al operatorului sau este angajată de operator.
Pentru a stabili existența unui interes legitim, este necesar să se evalueze cu atenție, printre altele, dacă persoana vizată se putea aștepta în mod rezonabil, la momentul și în contextul colectării datelor cu caracter personal, ca prelucrarea să aibă loc în scopurile în cauză.
Interesele și drepturile fundamentale ale persoanei vizate pot prevala asupra intereselor operatorului în cazul în care datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu se așteaptă la o prelucrare ulterioară.
VI. CINE ARE DREPTUL DE A ACCESA DATELE
Datele cu caracter personal pot fi accesate de către angajații societății cu drepturi de acces legate de scopul relevant de gestionare a datelor, precum și de către persoanele și organizațiile care desfășoară activități de prelucrare a datelor pentru societate pe baza unor contracte de servicii, în măsura și în limitele necesare pentru desfășurarea activităților lor.
Lista prelucrătorilor de date este prevăzută în anexa 1 la prezentele norme.
VII. DREPTURILE PERSOANEI VIZATE
Dreptul la informare
(1) Persoana vizată are dreptul de a fi informată cu privire la informațiile referitoare la prelucrarea datelor sale înainte de începerea prelucrării datelor.
(2) Informațiile care trebuie puse la dispoziție atunci când datele cu caracter personal sunt colectate de la persoana vizată: identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului; datele de contact ale responsabilului cu protecția datelor, după caz;
scopurile în care datele cu caracter personal urmează să fie prelucrate și temeiul juridic al prelucrării;
în cazul prelucrării bazate pe articolul 6 alineatul (1) litera (f) din regulament, interesele legitime ale operatorului sau ale unei părți terțe;
după caz, destinatarii datelor cu caracter personal și categoriile de destinatari, dacă este cazul;
după caz, faptul că operatorul intenționează să transfere datele cu caracter personal către o țară terță sau către o organizație internațională și existența sau absența unei decizii de adecvare a Comisiei sau, în cazul unui transfer menționat la articolul 46, articolul 47 sau articolul 49 alineatul (1) al doilea paragraf din regulament, o indicație a garanțiilor adecvate și suficiente și o trimitere la mijloacele de obținere a unei copii sau la disponibilitatea unei copii.
(3) În plus față de informațiile menționate la alineatul (1), în momentul obținerii datelor cu caracter personal, pentru a asigura o prelucrare corectă și transparentă, operatorul furnizează persoanei vizate următoarele informații suplimentare:
durata stocării datelor cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile de stabilire a acestei durate;
dreptul persoanei vizate de a solicita operatorului accesul, rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal care o privesc și de a se opune prelucrării acestor date cu caracter personal, precum și dreptul la portabilitatea datelor;
în cazul prelucrării bazate pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a) din regulament, dreptul de a retrage consimțământul în orice moment, fără a aduce atingere legalității prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
dreptul de a depune o plângere la o autoritate de supraveghere;
dacă furnizarea datelor cu caracter personal se bazează pe o obligație legală sau contractuală sau este o condiție prealabilă pentru încheierea unui contract, dacă persoana vizată are obligația de a furniza datele cu caracter personal și posibilele consecințe ale necomunicării datelor;
luarea automată a deciziilor, inclusiv crearea de profiluri, astfel cum se menționează la articolul 22 alineatele (1) și (4) din regulament și, cel puțin în aceste cazuri, informații clare privind logica utilizată și importanța unei astfel de prelucrări, precum și consecințele probabile ale acesteia pentru persoana vizată.
(4) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:
identitatea și datele de contact ale operatorului și, dacă este cazul, ale reprezentantului operatorului; datele de contact ale responsabilului cu protecția datelor, dacă este cazul;
scopurile pentru care se intenționează prelucrarea datelor cu caracter personal și temeiul juridic al prelucrării; categoriile de date cu caracter personal vizate;
destinatarii datelor cu caracter personal sau categoriile de destinatari, după caz;
după caz, faptul că operatorul intenționează să transfere datele cu caracter personal către un destinatar dintr-o țară terță sau către o organizație internațională și existența sau absența unei decizii de adecvare a Comisiei sau, în cazul unui transfer menționat la articolul 46, la articolul 47 sau la articolul 49 alineatul (1) al doilea paragraf din regulament, o indicație a garanțiilor adecvate și corespunzătoare și o trimitere la mijloacele de obținere a unei copii sau la disponibilitatea acestora.
(5) În plus față de informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura prelucrarea echitabilă și transparentă pentru persoana vizată:
durata stocării datelor cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile de stabilire a acestei durate;
în cazul în care prelucrarea se bazează pe articolul 6 alineatul (1) litera (f) din regulament, interesele legitime ale operatorului sau ale unei părți terțe;
dreptul persoanei vizate de a solicita operatorului accesul, rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal care o privesc și de a se opune prelucrării datelor cu caracter personal, precum și dreptul la portabilitatea datelor;
în cazul prelucrării bazate pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a) din regulament, dreptul de a retrage consimțământul în orice moment, fără a aduce atingere legalității prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
dreptul de a depune o plângere la o autoritate de supraveghere;
sursa datelor cu caracter personal și, dacă este cazul, dacă datele provin din surse accesibile publicului; și
luarea automată a deciziilor, inclusiv crearea de profiluri, astfel cum se menționează la articolul 22 alineatele (1) și (4) din regulament și, cel puțin în aceste cazuri, logica utilizată și informații clare privind importanța unei astfel de prelucrări și consecințele probabile ale acesteia pentru persoana vizată.
(6) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care au fost obținute, operatorul informează persoana vizată cu privire la acest alt scop și la orice informații suplimentare relevante menționate la alineatul (2) înainte de prelucrarea ulterioară.
(7) Alineatele (1)-(3) nu se aplică dacă și în măsura în care:
persoana vizată dispune deja de aceste informații;
furnizarea informațiilor în cauză se dovedește imposibilă sau ar implica un efort disproporționat, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice, ținând seama de condițiile și garanțiile menționate la articolul 89 alineatul (1), sau în cazul în care obligația menționată la alineatul (1) din prezentul articol ar fi de natură să facă imposibilă sau să afecteze grav realizarea obiectivelor unei astfel de prelucrări. În astfel de cazuri, operatorul ia măsurile adecvate, inclusiv punerea informațiilor la dispoziția publicului, pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate;
obținerea sau divulgarea datelor este impusă în mod expres de legislația Uniunii sau a statului membru aplicabilă operatorului, care prevede măsuri adecvate pentru protejarea intereselor legitime ale persoanei vizate; sau
datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații de păstrare a secretului profesional impuse de legislația UE sau a statului membru, inclusiv o obligație legală de păstrare a secretului.
Dreptul de acces al persoanei vizate
(1) Persoana vizată are dreptul de a obține de la operator feedback cu privire la faptul dacă datele sale cu caracter personal sunt sau nu prelucrate și, în cazul în care are loc o astfel de prelucrare, dreptul de a accesa datele cu caracter personal și următoarele informații:
scopurile prelucrării;
categoriile de date cu caracter personal vizate;
destinatarii sau categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv, în special, destinatarii din țări terțe sau organizații internaționale;
după caz, perioada preconizată de stocare a datelor cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile de determinare a perioadei respective;
dreptul persoanei vizate de a obține de la operator rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal care o privesc și de a se opune prelucrării acestor date cu caracter personal;
dreptul de a depune o plângere la o autoritate de supraveghere;
în cazul în care datele nu au fost colectate de la persoana vizată, orice informații disponibile privind sursa acestora; faptul că procesul decizional automatizat menționat la articolul 22 alineatele (1) și (4) din regulament, inclusiv
crearea de profiluri și, cel puțin în aceste cazuri, logica utilizată și informații clare privind semnificația unei astfel de prelucrări și consecințele sale probabile pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță sau către o organizație internațională, persoana vizată are dreptul de a fi informată cu privire la garanțiile adecvate pentru transfer în conformitate cu articolul 46.
(3) Operatorul de date furnizează persoanei vizate o copie a datelor cu caracter personal prelucrate. Pentru copiile suplimentare solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă bazată pe costurile administrative. În cazul în care persoana vizată a făcut solicitarea prin mijloace electronice, informațiile sunt furnizate într-un format electronic utilizat în mod obișnuit, cu excepția cazului în care persoana vizată solicită altfel.
3. Dreptul persoanei vizate la rectificare și ștergere
3.1. Dreptul la rectificare
(1) Persoana vizată are dreptul de a obține, la cererea sa și fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Având în vedere scopurile prelucrării, persoana vizată are dreptul de a obține rectificarea datelor cu caracter personal incomplete, inclusiv prin intermediul unei declarații suplimentare.
(2) În vederea exercitării dreptului de rectificare, în cazul în care datele cu caracter personal prelucrate de operator sau de o persoană împuternicită de operator care acționează în numele său sau la instrucțiunile sale sunt inexacte, incorecte sau incomplete, operatorul, fără întârzieri nejustificate, în special la cererea persoanei vizate, le rectifică sau le corectează sau, în cazul în care acest lucru este compatibil cu scopul prelucrării, le completează cu date cu caracter personal suplimentare furnizate de persoana vizată sau cu o declarație a persoanei vizate privind datele cu caracter personal prelucrate.
(3) Un operator este exceptat de la obligația prevăzută la alineatul (2) dacă.
(a) datele cu caracter personal exacte, corecte sau complete nu sunt la dispoziția sa și nu sunt furnizate de persoana vizată; sau
b) autenticitatea datelor cu caracter personal furnizate de persoana vizată nu poate fi stabilită dincolo de orice îndoială rezonabilă.
3.2 Dreptul la ștergere ("dreptul de a fi uitat")
(1) Persoana vizată are dreptul de a obține de la operator ștergerea fără întârzieri nejustificate a datelor cu caracter personal care o privesc, la cererea sa, iar operatorul este obligat să șteargă fără întârzieri nejustificate datele cu caracter personal care o privesc atunci când se aplică unul dintre următoarele motive:
datele cu caracter personal nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate în alt mod;
persoana vizată își retrage consimțământul în temeiul articolului 6 alineatul (1) litera (a) din regulament (consimțământul la prelucrarea datelor cu caracter personal) sau al articolului 9 alineatul (2) litera (a) din regulament (consimțământul explicit) și nu există niciun alt temei juridic pentru prelucrare;
persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) din regulament (dreptul la opoziție) și nu există niciun motiv legitim prioritar pentru prelucrare sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2) din regulament (opoziția față de prelucrarea în scopuri comerciale);
datele cu caracter personal au fost prelucrate în mod ilegal;
datele cu caracter personal trebuie șterse pentru a respecta o obligație legală în temeiul dreptului Uniunii sau al statului membru la care este supus operatorul;
datele cu caracter personal au fost colectate în legătură cu furnizarea serviciilor societății informaționale menționate la articolul 8 alineatul (1).
(2) În cazul în care un operator a divulgat date cu caracter personal și este obligat să le șteargă la cererea persoanei vizate, acesta ia măsuri rezonabile, inclusiv măsuri tehnice, ținând seama de tehnologia disponibilă și de costul punerii în aplicare, pentru a informa operatorii care prelucrează datele că persoana vizată a solicitat ștergerea linkurilor către datele cu caracter personal în cauză sau a copiilor sau replicilor acestora.
(3) Alineatele (1) și (2) nu se aplică atunci când prelucrarea este necesară pentru exercitarea dreptului la libertatea de exprimare și informare;
în scopul respectării unei obligații în temeiul legislației Uniunii sau a statului membru la care este supus operatorul și care face obiectul prelucrării datelor cu caracter personal sau pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit operatorul;
din motive de interes public în domeniul sănătății publice în conformitate cu articolul 9 alineatul (2) literele (h) și (i) din regulament și cu articolul 9 alineatul (3) din regulament;
în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1) din regulament, în cazul în care dreptul menționat la alineatul (1) ar fi de natură să facă imposibilă sau să afecteze grav o astfel de prelucrare; sau
pentru a introduce, aplica sau apăra reclamații legale.
4. Dreptul la restricționarea prelucrării
(1) Persoana vizată are dreptul de a obține, la cererea sa, restricționarea prelucrării de către operator dacă este îndeplinită una dintre următoarele condiții:
persoana vizată contestă exactitatea datelor cu caracter personal, caz în care restricția se aplică pentru perioada de timp necesară pentru a permite operatorului să verifice exactitatea datelor cu caracter personal;
prelucrarea datelor este ilegală, iar persoana vizată se opune ștergerii datelor și solicită în schimb restricționarea utilizării acestora;
operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată are nevoie de acestea pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din regulament; în acest caz, restricția se aplică pentru perioada până când se stabilește dacă motivele legitime ale operatorului prevalează asupra celor ale persoanei vizate.
(2) În cazul în care prelucrarea este restricționată în temeiul alineatului (1), aceste date cu caracter personal pot fi prelucrate, cu excepția stocării, numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în justiție sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau a unui interes public important al Uniunii sau al unui stat membru.
(3) Operatorul informează persoana vizată la cererea căreia prelucrarea a fost restricționată în conformitate cu alineatul (1) înainte de ridicarea restricției.
5. Obligația de a notifica rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării
(1) Operatorul informează fiecare destinatar căruia sau căruia i-au fost divulgate datele cu caracter personal cu privire la rectificarea, ștergerea sau restricționarea prelucrării, cu excepția cazului în care acest lucru se dovedește imposibil sau implică un efort disproporționat.
(2) La cererea persoanei vizate, operatorul informează persoana vizată cu privire la acești destinatari.
6. Dreptul la portabilitatea datelor
(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat unui operator într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, precum și dreptul de a transmite datele respective unui alt operator, fără a fi împiedicată de operatorul căruia i-au fost furnizate datele cu caracter personal, dacă:
prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) din regulament (consimțământul la prelucrarea datelor cu caracter personal) sau al articolului 9 alineatul (2) litera (a) din regulament (consimțământul explicit la prelucrare) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); și
prelucrarea este efectuată prin mijloace automatizate.
(2) În exercitarea dreptului la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul de a solicita, atunci când este fezabil din punct de vedere tehnic, transferul direct al datelor cu caracter personal între operatori.
(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17 din regulament. Dreptul respectiv nu se aplică în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit operatorul.
(4) Dreptul menționat la alineatul (1) nu trebuie să aducă atingere drepturilor și libertăților altora.
7. Dreptul de a formula obiecții
(1) Persoana vizată are dreptul de a se opune în orice moment, din motive legate de situația sa particulară, prelucrării datelor sale cu caracter personal efectuate în exercitarea autorității sale oficiale sau în interes public sau prelucrării necesare în scopul intereselor legitime urmărite de operator sau de o parte terță [prelucrare bazată pe articolul 6 alineatul (1) literele (e) sau (f) din regulament], inclusiv al elaborării de profiluri pe baza dispozițiilor respective. Într-un astfel de caz, operatorul nu mai poate prelucra datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că există motive legitime imperioase pentru prelucrare care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în justiție.
(2) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată are dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care o privesc în astfel de scopuri, inclusiv profilării, în cazul în care aceasta este legată de marketingul direct.
(3) În cazul în care persoana vizată se opune prelucrării datelor cu caracter personal în scopuri de marketing direct, datele cu caracter personal nu vor mai fi prelucrate în aceste scopuri.
(4) Dreptul menționat la alineatele (1) și (2) este adus în mod explicit la cunoștința persoanei vizate cel târziu în momentul primului contact cu persoana vizată, iar informațiile sunt afișate în mod clar, separat de orice alte informații.
(5) În contextul utilizării serviciilor societății informaționale și prin derogare de la Directiva 2002/58/CE, persoana vizată își poate exercita dreptul de opoziție prin mijloace automatizate bazate pe specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1) din regulament, persoana vizată are dreptul de a se opune, din motive legate de situația sa particulară, prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini efectuate din motive de interes public.
8. Dreptul la exceptare de la luarea automată a deciziilor
(1) Persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice în ceea ce o privește sau care o afectează în mod similar și semnificativ.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
necesare pentru încheierea sau executarea unui contract între persoana vizată și operator;
este permisă de dreptul Uniunii sau al statului membru aplicabil operatorului, care prevede, de asemenea, măsuri adecvate pentru a proteja drepturile și libertățile și interesele legitime ale persoanei vizate; sau
se bazează pe consimțământul explicit al persoanei vizate.
(3) În cazurile menționate la alineatul (2) literele (a) și (c), operatorul ia măsurile adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv cel puțin dreptul de a obține intervenția umană a operatorului, de a-și exprima punctul de vedere și de a se opune deciziei.
(4) Deciziile menționate la alineatul (2) nu se bazează pe categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1) din regulament, cu excepția cazului în care deciziile menționate la articolul 9 alineatul (2) literele (a) sau (b) din regulament se bazează pe
(g) se aplică și au fost luate măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate.
9. Dreptul persoanei vizate de a depune o plângere și de a solicita despăgubiri
9.1 Dreptul de a depune o plângere la o autoritate de supraveghere.
(1) Persoana vizată are dreptul de a depune o plângere la autoritatea de supraveghere în conformitate cu articolul 77 din regulament în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o privesc încalcă prezentul regulament.
(2) Persoana vizată își poate exercita dreptul de a depune o plângere contactând:
Autoritatea Națională Ungară pentru Protecția Datelor și Libertatea de Informare, adresă: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., telefon: +36 (1) 391-1400; fax: +36 (1) 391-1410 www: http://www.naih.hu e-mail: ugyfelszolgalat@naih.hu
(3) Autoritatea de supraveghere la care a fost depusă plângerea informează clientul cu privire la evoluțiile procedurale referitoare la plângere și la rezultatul acesteia, inclusiv cu privire la dreptul clientului de a solicita o cale de atac judiciară în temeiul articolului 78 din regulament.
9.2 Dreptul la o cale de atac judiciară eficientă împotriva autorității de supraveghere
(1) Fără a aduce atingere oricărei alte căi de atac administrative sau extrajudiciare, orice persoană fizică sau juridică are dreptul la o cale de atac judiciară efectivă împotriva unei decizii obligatorii din punct de vedere juridic a autorității de supraveghere care o privește.
(2) Fără a aduce atingere altor căi de atac administrative sau nejudiciare, orice persoană vizată are dreptul la o cale de atac judiciară efectivă în cazul în care autoritatea de supraveghere competentă nu tratează plângerea sau nu informează persoana vizată în termen de trei luni cu privire la evoluțiile procedurale referitoare la plângerea depusă în temeiul articolului 77 din regulament sau la rezultatul plângerii.
(3) Acțiunile împotriva unei autorități de supraveghere se introduc în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.
(4) În cazul în care se introduce o acțiune împotriva unei decizii a unei autorități de supraveghere cu privire la care Consiliul a emis anterior un aviz sau a luat o decizie în cadrul mecanismului de coerență, autoritatea de supraveghere trimite avizul sau decizia respectivă instanței.
9.3 Dreptul la o cale de atac judiciară eficientă împotriva operatorului sau a persoanei împuternicite de operator
(1) Fără a aduce atingere căilor de atac administrative sau extrajudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, orice persoană vizată dispune de o cale de atac judiciară efectivă în cazul în care consideră că drepturile sale în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal care nu este conformă cu prezentul regulament.
(2) Procedurile împotriva unui operator sau a unei persoane împuternicite de operator sunt introduse în fața instanțelor din statul membru în care este stabilit operatorul sau persoana împuternicită de operator. Aceste proceduri pot fi, de asemenea, introduse în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru care acționează în exercitarea autorității sale publice.
10. Restricții
(1) Dreptul Uniunii sau al statului membru aplicabil unui operator sau unei persoane împuternicite de operator poate, prin măsuri legislative, să limiteze domeniul de aplicare al drepturilor și obligațiilor prevăzute la articolul 5 în ceea ce privește dispozițiile sale de la articolele 12-22 și de la articolul 34 și în conformitate cu drepturile și obligațiile prevăzute la articolele 12-22, dacă limitarea respectă conținutul esențial al drepturilor și libertăților fundamentale și reprezintă o măsură necesară și proporțională într-o societate democratică pentru protejarea acestora:
securitatea națională;
apărare; securitate publică;
prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protecția împotriva amenințărilor la adresa securității publice și prevenirea acestora;
alte obiective importante de interes general ale Uniunii sau ale unui stat membru, în special interesele economice sau financiare importante ale Uniunii sau ale unui stat membru, inclusiv aspectele monetare, bugetare și fiscale, sănătatea publică și securitatea socială;
independența sistemului judiciar și protecția procedurilor judiciare;
prevenirea, investigarea, depistarea și urmărirea penală a încălcărilor etice în profesiile reglementate;
în cazurile menționate la literele (a)-(e) și (g), chiar ocazional, activități de control, inspecție sau reglementare legate de exercitarea autorității publice;
pentru a proteja drepturile și libertățile persoanelor vizate sau ale altor persoane; pentru a exercita acțiuni civile.
(2) Măsurile legislative menționate la alineatul (1) conțin, după caz, cel puțin dispoziții detaliate:
scopurile sau categoriile de prelucrare, categoriile de date cu caracter personal,
domeniul de aplicare al restricțiilor impuse,
măsuri de protecție pentru a preveni utilizarea necorespunzătoare sau accesul sau divulgarea neautorizate,
pentru a defini controlorul sau pentru a defini categorii de controlori,
durata stocării și garanțiile aplicabile, ținând seama de natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare,
riscurile pentru drepturile și libertățile persoanelor vizate; și
dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru ar putea submina scopul restricției.
11. Informații privind încălcarea securității datelor
(1) În cazul în care o încălcare a securității datelor cu caracter personal este susceptibilă să conducă la un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată cu privire la încălcarea securității datelor cu caracter personal fără întârzieri nejustificate.
(2) Informațiile menționate la alineatul (1) furnizate persoanei vizate descriu în mod clar și vizibil natura încălcării securității datelor cu caracter personal și includ cel puțin numele și datele de contact ale responsabilului cu protecția datelor sau ale altei persoane de contact care va furniza informații suplimentare, consecințele probabile ale încălcării securității datelor cu caracter personal, informațiile care urmează să fie furnizate persoanei vizate de către operator, informațiile
măsurile luate sau planificate pentru remedierea încălcării securității datelor, inclusiv, după caz, măsurile de atenuare a oricăror consecințe negative ale încălcării securității datelor.
(3) Persoana vizată nu trebuie să fie informată în conformitate cu alineatul (1) în cazul în care este îndeplinită oricare dintre următoarele condiții:
operatorul de date a pus în aplicare măsuri tehnice și organizatorice adecvate de protecție și aceste măsuri au fost aplicate datelor afectate de încălcarea securității datelor cu caracter personal, în special măsuri, cum ar fi utilizarea criptării, care fac datele neinteligibile pentru persoanele care nu sunt autorizate să acceseze datele cu caracter personal;
operatorul a luat măsuri suplimentare în urma încălcării securității datelor cu caracter personal pentru a se asigura că riscul ridicat la adresa drepturilor și libertăților persoanei vizate menționate la alineatul (1) nu se mai poate materializa;
informațiile ar necesita un efort disproporționat. În astfel de cazuri, persoanele vizate ar trebui să fie informate prin intermediul unor informații făcute publice sau printr-o măsură similară care să garanteze că persoanele vizate sunt informate într-un mod la fel de eficient.
(4) În cazul în care operatorul nu a notificat încă persoana vizată cu privire la încălcarea securității datelor cu caracter personal, autoritatea de supraveghere poate, după ce a analizat dacă încălcarea securității datelor cu caracter personal este susceptibilă de a prezenta un risc ridicat, să dispună informarea persoanei vizate sau să stabilească că este îndeplinită una dintre condițiile menționate la alineatul (3).
VIII. PROCEDURA DE URMAT ÎN CAZUL UNEI CERERI DIN PARTEA PERSOANEI VIZATE
(1) Societatea facilitează exercitarea drepturilor persoanei vizate și nu refuză să se conformeze unei cereri de exercitare a drepturilor persoanei vizate prevăzute în prezenta politică, cu excepția cazului în care dovedește că nu este posibilă identificarea persoanei vizate.
(2) Societatea informează persoana în cauză cu privire la măsurile luate ca răspuns la cerere fără întârzieri nejustificate și, în orice caz, în termen de maximum 25 de zile de la primirea cererii.
(3) În cazul în care persoana vizată a transmis cererea prin mijloace electronice, informațiile sunt furnizate prin mijloace electronice, atunci când este posibil, cu excepția cazului în care persoana vizată solicită altfel.
(4) În cazul în care societatea nu ia măsuri la cererea persoanei vizate, aceasta informează persoana vizată fără întârziere, dar cel târziu în termen de 25 de zile de la primirea cererii, cu privire la motivele pentru care nu a luat măsuri și la posibilitatea ca persoana vizată să depună o plângere la autoritatea de supraveghere și să își exercite dreptul la o cale de atac judiciară.
(5) Societatea furnizează gratuit persoanei vizate informațiile prevăzute la articolele 13 și 14 din regulament, astfel cum sunt detaliate în capitolul VI punctul 1 din prezentele norme, precum și informațiile și măsurile prevăzute la articolele 15-22 și 34 din regulament (feedback privind prelucrarea datelor cu caracter personal, accesul la datele prelucrate, rectificarea, integrarea, ștergerea, restricționarea prelucrării, portabilitatea, opoziția la prelucrare, notificarea unei încălcări a securității datelor cu caracter personal).
(6) În cazul în care cererea persoanei vizate este vădit nefondată sau excesivă, în special din cauza caracterului său repetitiv, operatorul, sub rezerva furnizării informațiilor solicitate sau a
costurile administrative ale acțiunii: perceperea unei taxe de 5 000 HUF sau refuzul de a da curs cererii.
(7) Sarcina de a dovedi că cererea este vădit nefondată sau excesivă revine operatorului.
(8) Fără a aduce atingere articolului 11 din regulament, în cazul în care operatorul are îndoieli rezonabile cu privire la identitatea persoanei fizice care formulează o cerere în temeiul articolelor 15-21 din regulament, acesta poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.
(9) În cazul în care cererea persoanei vizate de rectificare, ștergere sau restricționare a prelucrării datelor cu caracter personal prelucrate de operator sau de o persoană împuternicită de operator care acționează în numele sau la instrucțiunile sale este respinsă de operator, acesta informează persoana vizată în scris fără întârziere.
a) faptul refuzului, motivele de drept și de fapt ale refuzului; și
(b) drepturile persoanei vizate în temeiul prezentei legi și mijloacele de exercitare a acestora, în special dreptul la rectificare, ștergere sau restricționare a prelucrării datelor cu caracter personal prelucrate de operator sau de o persoană împuternicită de operator care acționează în numele sau la instrucțiunile acestuia, cu asistența Autorității.
(10) În cazul în care operatorul rectifică, șterge sau restricționează prelucrarea datelor cu caracter personal prelucrate de acesta sau de o persoană împuternicită de operator care acționează în numele său sau la instrucțiunile sale, operatorul notifică faptul și conținutul măsurii respective operatorilor și persoanelor împuternicite de operator cărora le-au fost transmise datele înainte de luarea măsurii respective, pentru a le permite să pună în aplicare rectificarea, ștergerea sau restricționarea prelucrării în ceea ce privește propria lor prelucrare.
(11) Pentru a pune în aplicare dreptul la ștergere, operatorul șterge cu promptitudine datele cu caracter personal ale persoanei vizate în cazul în care.
(a) prelucrarea este ilegală, în special atunci când prelucrarea este
- este contrară principiilor stabilite în prezentele norme,
- scopul prelucrării a încetat sau prelucrarea ulterioară a datelor nu mai este necesară pentru scopul prelucrării,
- perioada prevăzută de lege, de un tratat internațional sau de un act obligatoriu din punct de vedere juridic al Uniunii Europene a expirat sau
- temeiul juridic pentru prelucrarea datelor a încetat și nu există niciun alt temei juridic pentru prelucrarea datelor,
(b) persoana vizată își retrage consimțământul pentru prelucrare sau solicită ștergerea datelor sale cu caracter personal, cu excepția cazului în care prelucrarea se bazează pe o autorizație legală sau pe protecția intereselor vitale ale persoanei vizate sau ale altor persoane.
c) ștergerea datelor a fost dispusă prin lege, printr-un act UE, de către Autoritate sau de către o instanță; sau
(d) perioada interesului legitim al persoanei vizate de a nu i se șterge datele a expirat sau perioada de păstrare necesară pentru a respecta obligația de documentare în cazul fluxurilor internaționale de date a expirat.
IX. PROCEDURA ÎN CAZUL UNEI ÎNCĂLCĂRI A SECURITĂȚII DATELOR CU CARACTER PERSONAL
(1) O încălcare a securității datelor cu caracter personal este o încălcare a securității în sensul regulamentului care are ca rezultat distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la date cu caracter personal transmise, stocate sau prelucrate în alt mod.
(2) Pierderea sau furtul unui dispozitiv (laptop, telefon mobil) care conține date cu caracter personal, precum și pierderea sau pierderea codului de decriptare utilizat de operator pentru decriptarea fișierelor criptate sau pierderea accesului la aceste date sunt considerate incidente de protecție a datelor, infectarea cu ransomware (virusul ransomware) care face inaccesibile datele prelucrate de operator până la plata răscumpărării, atacul asupra sistemului informatic, divulgarea unui e-mail sau a unei liste de adrese care conține date personale eronate etc.
(3) În cazul detectării unei încălcări a securității datelor, reprezentantul societății efectuează cu promptitudine o investigație pentru a identifica încălcarea securității datelor și posibilele sale consecințe. Se iau măsurile necesare pentru remedierea prejudiciului.
(4) Incidentul privind protecția datelor se notifică autorității de supraveghere competente fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care incidentul privind protecția datelor a ajuns în atenția acesteia, cu excepția cazului în care este puțin probabil ca incidentul privind protecția datelor să prezinte un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu este făcută în termen de 72 de ore, aceasta trebuie să fie însoțită de motivele care justifică întârzierea.
(5) Persoana împuternicită de operator notifică operatorului încălcarea securității datelor cu caracter personal fără întârzieri nejustificate după ce a luat cunoștință de aceasta.
(6) Notificarea menționată la alineatul (3) include cel puțin:
descrie natura încălcării securității datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate și categoriile și numărul aproximativ de persoane vizate afectate de încălcare;
numele și datele de contact ale responsabilului cu protecția datelor sau ale altei persoane de contact care poate furniza informații suplimentare;
să explice consecințele probabile ale încălcării securității datelor;
descrie măsurile luate sau avute în vedere de operator pentru a remedia încălcarea securității datelor cu caracter personal, inclusiv, după caz, măsurile de atenuare a oricăror consecințe negative ale încălcării securității datelor cu caracter personal.
(7) Dacă și în măsura în care nu este posibil să se comunice informațiile în același timp, acestea pot fi comunicate în tranșe la o dată ulterioară, fără alte întârzieri nejustificate.
(8) Operatorul ține o evidență a încălcărilor securității datelor cu caracter personal, indicând faptele referitoare la încălcarea securității datelor cu caracter personal, efectele acesteia și măsurile luate pentru remedierea acesteia. Această evidență permite autorității de supraveghere să verifice respectarea cerințelor de la articolul 33 din regulament.
X. ACTIVITĂȚILE DE PRELUCRARE A DATELOR ALE ÎNTREPRINDERII ÎN LEGĂTURĂ CU RELAȚIA DE MUNCĂ
În prezent, societatea nu are niciun angajat, iar această secțiune a codului va fi adăugată la cod atunci când va fi revizuită dacă se stabilește un raport de muncă.
XI. ALTE ACTIVITĂȚI ȘI PERSOANE VIZATE DE PRELUCRARE
1. Prelucrarea bazată pe o obligație legală
1.1 Prelucrarea datelor legate de îndeplinirea obligațiilor de combatere a spălării banilor
(1) În conformitate cu articolul 6 alineatul (1) din Legea LIII din 2017 privind prevenirea și combaterea spălării banilor și a finanțării terorismului, societatea este obligată să identifice și să verifice identitatea persoanei fizice care acționează în numele sau pe seama clientului la stabilirea unei relații de afaceri, în cazul apariției unor date, fapte sau circumstanțe care indică spălarea banilor sau finanțarea terorismului, dacă nu a fost încă efectuată verificarea prealabilă a clientului și dacă există îndoieli cu privire la autenticitatea sau caracterul adecvat al datelor de identificare a clientului înregistrate anterior.
(2) Societatea înregistrează următoarele date în scopul identificării: persoana fizică care acționează în numele sau pe seama clientului
numele de familie și prenumele; numele de familie și prenumele de fată; naționalitatea;
locul și data nașterii; numele de fată al mamei;
adresa dumneavoastră sau, în lipsa acesteia, locul de reședință; tipul și numărul documentului dumneavoastră de identitate.
(3) Persoane vizate: persoane fizice care acționează în numele sau pe seama clientului.
(4) Un manager sau un angajat al Societății desemnat pentru due diligence-ul clientului are dreptul de a accesa datele cu caracter personal. Societatea are dreptul de a prelucra datele cu caracter personal înregistrate în timpul verificării due diligence a clientului pentru o perioadă de 8 ani de la încetarea contractului (relației de afaceri).
1.2. Prelucrarea datelor pentru îndeplinirea obligațiilor contabile
(1) Temeiul juridic pentru prelucrarea datelor clienților, cumpărătorilor și furnizorilor persoane fizice ai societății este îndeplinirea obligațiilor legale [Legea CXXVII din 2007, § 159 (1)], scopul utilizării datelor este de a determina conținutul obligatoriu de date al facturilor, de a emite facturi și de a efectua sarcini contabile conexe.
(2) Persoane vizate: clienții persoane fizice, clienții, furnizorii societății.
(3) Date prelucrate: numele, adresele, numerele de identificare fiscală ale clienților persoane fizice, clienților, furnizorilor societății
(4) Managerii și angajații care emit facturi ca parte a atribuțiilor lor de serviciu și managerii și angajații care desfășoară activități de contabilitate au dreptul de a accesa datele cu caracter personal. Societatea are dreptul de a prelucra datele cu caracter personal înregistrate în cursul îndeplinirii obligației legale menționate mai sus pentru o perioadă de 8 ani de la încetarea contractului (relației de afaceri).
1.3. Prelucrarea datelor legate de îndeplinirea obligațiilor fiscale și contributive
(1) În conformitate cu articolul 50 alineatul (1) din Legea CL din 2017 privind normele fiscale, societatea prezintă lunar, până în a douăsprezecea zi a lunii următoare lunii în cauză, o declarație electronică privind toate impozitele, contribuțiile și/sau datele specificate la alineatul (2) referitoare la plățile și beneficiile efectuate către persoane fizice care au ca rezultat obligații fiscale și/sau de securitate socială.
(2) Persoane vizate: managerul societății, angajații și membrii familiilor acestora.
(3) Date prelucrate: administratorul societății, angajații acesteia, membrii familiilor acestora Art. 50, alineatul (2), evidențiind datele de identificare ale persoanei fizice (inclusiv numele și titlul anterior), sexul, naționalitatea, codul de identificare fiscală al persoanei fizice, numărul de securitate socială.
(4) Destinatarii: angajații Societății care desfășoară activități de contabilitate și salarizare ca funcție profesională, prelucrători de date.
(5) Societatea are dreptul de a prelucra datele cu caracter personal înregistrate în cursul îndeplinirii obligației legale menționate mai sus pentru o perioadă de 8 ani de la încetarea raportului juridic. Dosarele de angajare care conțin date privind asigurarea și contribuțiile angajaților nu pot fi aruncate.
1.4. Obligațiile de prelucrare a datelor în legătură cu stabilirea unei relații de asigurare
(1) În conformitate cu punctul 3 din anexa nr. 1 la Legea CL din 2017, angajatorul notifică Autorității Fiscale și Vamale de Stat, la data stabilirii raportului de asigurare, datele persoanei în cauză, astfel cum sunt detaliate mai jos.
(2) Persoane vizate: persoane fizice care au un raport de asigurare (raport de muncă, raport de agenție) cu societatea.
(3) Se prelucrează următoarele date: numele și prenumele, codul de identificare fiscală, data nașterii, începutul, codul, încetarea raportului de asigurare, durata întreruperii asigurării, timpul de lucru săptămânal, numărul FEOR, numărul de securitate socială, educația, formarea profesională, calificarea profesională a persoanei asigurate, precum și numele instituției care a eliberat certificatul și numărul certificatului. În cazul în care persoana asigurată nu are un număr de identificare fiscală, trebuie furnizate, de asemenea, numele și prenumele la naștere, locul nașterii, numele și prenumele la naștere ale mamei și cetățenia persoanei asigurate.
(4) Destinatarii: angajații Societății care desfășoară activități de contabilitate și salarizare ca funcție profesională, prelucrători de date.
(5) Scopul prelucrării: respectarea unei obligații legale.
Durata prelucrării datelor: 5 ani de la încetarea raportului juridic, cu excepția dosarelor de angajare care conțin date privind asigurarea și contribuțiile angajaților, care nu pot fi eliminate.
1.5. Prelucrarea datelor privind gestionarea plângerilor
Pentru a facilita aplicarea drepturilor consumatorilor, societatea informează persoana vizată cu privire la sediul său social, locul de tratare a reclamațiilor și metoda de tratare a reclamațiilor, adresa poștală a serviciului pentru clienți în conformitate cu articolul 17/A alineatul (1) din Legea CLV din 1997.
(2) Persoane vizate: orice persoană fizică care invocă un drept de consum împotriva societății.
(3) Date prelucrate: numele, adresa, locul, ora, modul de depunere a plângerii, descrierea plângerii, identificatorul plângerii.
(4) Destinatarii: angajații societății care îndeplinesc sarcini de serviciu pentru clienți pe baza funcției lor, directorul societății.
(5) Scopul prelucrării: respectarea unei obligații legale.
(6) Întreprinderea păstrează înregistrarea plângerii și o copie a răspunsului timp de cinci ani și le prezintă autorităților de supraveghere la cerere.
2. Prelucrarea datelor în cadrul cererilor de informații, cererilor de propuneri
(1) În legătură cu serviciile furnizate sau produsele vândute de Societate, Societatea oferă terților posibilitatea de a solicita informații sau de a solicita o ofertă.
(2) Temeiul juridic pentru prelucrarea datelor este consimțământul persoanei vizate în cazul unei cereri de informații sau al unei cereri de propunere.
(3) În cazul unei cereri de informații sau al unei cereri de ofertă de preț, grupul de persoane vizate este următorul: orice persoană fizică care solicită informații sau o ofertă de preț în legătură cu serviciile sau produsele societății și care furnizează date cu caracter personal.
(4) Date prelucrate: nume, adresă, număr de telefon, adresă de e-mail.
(5) Scopul prelucrării în cazul unei cereri de informații: identificare, contact
(6) Scopul prelucrării datelor în cazul unei cereri de propunere: prezentarea unei propuneri, menținerea contactului.
(7) Destinatarii datelor (care pot avea acces la date) în cazul unei cereri de informații sau al unei cereri de propunere sunt directorul societății, angajatul care îndeplinește sarcini legate de relația cu clienții.
(8) Durata prelucrării datelor în cazul unei cereri de informații sau al unei cereri de ofertă: societatea șterge datele cu caracter personal la 30 de zile după furnizarea informațiilor sau după efectuarea ofertei.
3. Prelucrarea datelor în legătură cu site-ul web operat de Societate
3.1. Informații despre vizitatorii site-ului web al societății
(1) În timpul vizitelor pe site-ul web al societății, unul sau mai multe cookie-uri - mici pachete de informații trimise de server către browser și returnate de browser către server pentru fiecare solicitare adresată serverului - sunt trimise către computerul persoanei care vizitează site-ul web, prin intermediul cărora browserul (browserele) acesteia va (vor) fi identificat(e) în mod unic, cu condiția ca persoana care vizitează site-ul web să își fi dat consimțământul explicit (activ) în acest sens prin continuarea navigării pe site după ce a fost informată în mod clar și neechivoc.
(2) Cookie-urile sunt utilizate exclusiv pentru a îmbunătăți experiența utilizatorului și pentru a automatiza procesul de conectare. Modulele cookie utilizate pe site nu stochează informații de identificare personală, iar societatea nu prelucrează date cu caracter personal în acest context.
3.2. Înregistrare, abonare la buletinul informativ
(1) Temeiul juridic pentru prelucrarea datelor este consimțământul persoanei vizate în cazul înregistrării sau al abonării la buletinul informativ, pe care persoana vizată îl dă pe site-ul web al societății prin bifarea căsuței de lângă cuvintele "înregistrare" sau "abonare la buletinul informativ" după ce a fost informată cu privire la prelucrarea datelor sale.
(2) Persoana vizată în caz de înregistrare, abonare la buletinul informativ: orice persoană fizică care se abonează la buletinul informativ al societății sau se înregistrează pe site-ul web și își dă consimțământul pentru prelucrarea datelor sale cu caracter personal.
(3) Date prelucrate în cazul abonării la newsletter: nume, adresă de e-mail.
(4) Datele prelucrate în cazul înregistrării: nume, adresă, adresă de e-mail, număr de telefon, parolă.
(5) Scopul prelucrării datelor în cazul abonării la newsletter: informarea persoanei vizate cu privire la serviciile, produsele, modificările, noutățile și evenimentele societății.
(6) Scopul prelucrării datelor în cazul înregistrării: contactarea în scopul pregătirii unui contract, furnizarea către persoana vizată a serviciilor disponibile gratuit pe site, accesul la conținutul nepublic al site-ului.
(7) Destinatarii datelor (care pot cunoaște datele) în cazul abonării la buletinul informativ, al înregistrării: administratorul societății, personalul de contact cu clienții, personalul operatorului de date responsabil cu funcționarea site-ului web al societății.
(8) Durata prelucrării datelor în cazul abonării la newsletter, înregistrării: până la retragerea consimțământului. În cazul abonării la newsletter: până la dezabonare, în cazul înregistrării: până la anulare la cererea persoanei vizate.
(9) Persoana vizată se poate dezabona oricând de la buletinul informativ sau poate solicita ștergerea înregistrării sale (date cu caracter personal). Dezabonarea se poate face făcând clic pe link-ul de dezabonare din subsolul e-mailurilor trimise persoanei vizate sau prin scrisoare poștală trimisă la sediul social al societății.
3.3. Prelucrarea datelor în legătură cu activitățile de marketing direct
(1) Temeiul juridic pentru prelucrarea de către Societate a datelor în scopuri de marketing direct este consimțământul persoanei vizate, care este clar și explicit. Persoana vizată își dă consimțământul prealabil explicit și neechivoc prin bifarea căsuței de lângă textul "Consimțământ la solicitarea de marketing direct" de pe site-ul web al societății, după informațiile privind prelucrarea datelor sale.
(2) Persoana vizată își poate da consimțământul și pe hârtie, prin completarea formularului din anexa 2 la prezentele norme.
(3) Persoana vizată este orice persoană fizică care își dă consimțământul neechivoc și explicit pentru prelucrarea datelor sale cu caracter personal de către societate în scopuri de marketing direct.
(4) Scopurile prelucrării datelor sunt: să vă contacteze în legătură cu furnizarea de servicii, vânzarea de produse, să vă trimită reclame, oferte, notificări de promoții, prin mijloace electronice sau prin poștă.
(5) Destinatarii datelor cu caracter personal: directorul societății, angajații care îndeplinesc sarcini de servicii pentru clienți și de marketing pe baza funcției lor.
(6) Date cu caracter personal prelucrate: nume, adresă, număr de telefon, adresă de e-mail.
(7) Durata prelucrării: până când persoana vizată retrage prelucrarea datelor cu caracter personal în scopuri de marketing direct (obiecție)
3.4. Gestionarea datelor în legătură cu magazinul online operat de Societate
(1) Dispozițiile secțiunilor 3.1, 3.2 și 3.3 se aplică activităților de gestionare a datelor legate de înregistrarea în magazinul online, abonarea la buletinul informativ și informarea vizitatorilor.
(2) Contractele online, electronice (achizițiile) de pe site-ul web al societății fac obiectul Legii CVIII din 2001 (Eker tv.), prin urmare scopul prelucrării datelor este, pe lângă cele de mai sus, de a dovedi îndeplinirea obligației furnizorului de servicii de a furniza informații consumatorilor, astfel cum prevede legea, de a dovedi încheierea contractului, de a stabili contractul, de a determina conținutul acestuia, de a-l modifica, de a monitoriza executarea acestuia, de a factura taxa (taxele) rezultată (rezultate) și de a executa creanțele legate de acesta.
(3) În cazul achizițiilor din magazinul online, temeiul juridic pentru prelucrarea datelor este executarea contractului, îndeplinirea unei obligații legale.
(4) Categoriile de date vizate de prelucrare: numele clienților, adresa, numărul de telefon, parola de acces, numărul contului bancar.
(5) Categorii de persoane vizate de prelucrare: orice persoană fizică care se înregistrează în magazinul online al societății, se abonează la buletine informative, cumpără.
(6) Categoriile de destinatari ai datelor sunt: conducătorul societății, angajații care îndeplinesc sarcini legate de relațiile cu clienții și de vânzări, angajații persoanei împuternicite de operator care efectuează operarea site-ului web al societății, angajații care îndeplinesc sarcini contabile pentru societate, angajații persoanei împuternicite de operator care efectuează aceste sarcini.
(7) Locul de prelucrare a datelor este sediul social al societății, în conformitate cu dispozițiile de la punctul IV.
(8) Durata prelucrării: 5 ani de la încetarea contractului.
3.5. Reguli privind prezența pe rețelele de socializare
(1) Societatea este prezentă pe următoarele rețele de socializare: Facebook, Twitter.
(2) Categorii de persoane vizate: persoane fizice care urmăresc site-ul de socializare al societății.
(3) Temeiul juridic pentru prelucrarea datelor este consimțământul voluntar al persoanei vizate atunci când urmărește site-ul de rețele sociale al societății.
(4) Categoriile de date vizate de prelucrare: Societatea nu prelucrează datele postate pe site-ul de socializare de către vizitatori și persoanele care împărtășesc conținutul său, scopul prezenței sociale este de a împărtăși și promova conținutul legat de produsele și serviciile Societății pe site-ul de socializare și de a comunica cu adepții cu privire la subiectul menționat anterior. Societatea prelucrează numele adepților săi, alte date postate de adepți pe site-ul de socializare nu sunt prelucrate de Societate și fac obiectul dispozițiilor politicii de gestionare a datelor de pe site-ul de socializare.
(5) Categoriile de destinatari ai datelor: angajatul care administrează site-ul de socializare al societății pe baza funcției sale, managerul societății.
(6) Durata prelucrării: până la retragerea consimțământului persoanei vizate.
4. Activități de prelucrare a datelor legate de executarea contractului
(1) Societatea prelucrează datele cu caracter personal ale persoanelor fizice care încheie contracte cu aceasta - clienți, cumpărători, furnizori - în legătură cu relația contractuală. Persoana vizată este informată cu privire la prelucrarea datelor cu caracter personal.
(2) Persoanele vizate: toate persoanele fizice care intră într-o relație contractuală cu societatea, persoanele de contact ale persoanelor juridice care au o relație contractuală cu societatea.
(3) Temeiul juridic pentru prelucrarea datelor este executarea unui contract, scopul prelucrării datelor este menținerea contactului, executarea creanțelor care decurg din contract și asigurarea respectării obligațiilor contractuale.
(4) Destinatarii datelor cu caracter personal: conducătorul societății, angajații societății care îndeplinesc sarcini de serviciu pentru clienți și de contabilitate pe baza funcției lor, procesatorii de date.
(5) Datele cu caracter personal prelucrate includ: numele, adresa, numărul de telefon, adresa de e-mail, numărul contului bancar, numărul cărții de identitate a antreprenorului, numărul cărții de identitate a agricultorului, numele persoanei de contact, adresa de e-mail, numărul de telefon.
(6) Durata prelucrării: 5 ani de la încetarea contractului.
5. Prelucrarea datelor în legătură cu extragerea premiilor
(1) În cazul organizării unei trageri la sorți ad-hoc, societatea are dreptul de a prelucra datele cu caracter personal ale participanților, sub rezerva consimțământului acestora, în scopul contactării câștigătorului și al livrării premiului.
(2) Temeiul juridic pentru prelucrare este consimțământul persoanei vizate.
(3) Persoane vizate: toate persoanele fizice care participă la o extragere de premii organizată de societate și care sunt de acord cu prelucrarea datelor lor cu caracter personal în scopurile stabilite mai sus.
(4) Date cu caracter personal prelucrate: nume, data nașterii, adresă, e-mail, număr de telefon.
(5) Destinatarii datelor cu caracter personal: angajați ai societății care îndeplinesc sarcini de serviciu pentru clienți, curieri care îndeplinesc sarcini de prelucrare a datelor.
(6) Durata prelucrării datelor: 30 de zile de la stabilirea rezultatului concursului.
XII. NORME PRIVIND PRELUCRAREA DATELOR
1. Norme generale privind prelucrarea datelor
(1) Societatea utilizează un operator extern de date căruia i se încredințează prelucrarea datelor cu caracter personal prelucrate de societate pentru următoarele sarcini:
- operarea și întreținerea unui site internet,
- îndeplinirea obligațiilor fiscale și contabile,
- livrarea către clienți a produselor comandate.
Lista prelucrătorilor de date este prevăzută în anexa 1 la prezenta politică.
(2) Drepturile și obligațiile persoanei împuternicite de operator în legătură cu prelucrarea datelor cu caracter personal sunt stabilite de operator în limitele legii și ale legislației specifice aplicabile prelucrării.
(3) Societatea declară că, în cursul activităților sale, persoana împuternicită de operator nu este competentă să ia nicio decizie de fond privind prelucrarea datelor cu caracter personal, poate prelucra datele cu caracter personal de care ia cunoștință numai în conformitate cu dispozițiile operatorului, nu poate prelucra datele cu caracter personal în scopuri proprii și stochează și păstrează datele cu caracter personal în conformitate cu dispozițiile operatorului.
(4) Societatea este responsabilă de legalitatea instrucțiunilor date persoanei împuternicite de operator în legătură cu operațiunile de prelucrare.
(5) Societatea este obligată să informeze persoanele vizate cu privire la identitatea persoanei împuternicite de operator și la locul de prelucrare.
(6) Societatea nu autorizează persoana împuternicită de operator să utilizeze orice altă persoană împuternicită de operator.
(7) Contractul de prelucrare a datelor trebuie să fie în scris. Prelucrarea nu poate fi încredințată unei entități care este angajată într-o activitate comercială care implică prelucrarea datelor cu caracter personal.
Activități de prelucrare a datelor efectuate de societate
(1) Societatea se angajează sau oferă garanții adecvate pentru a se asigura că activitățile de prelucrare pe care le desfășoară în calitate de persoană împuternicită de operator respectă cerințele regulamentului și că sunt puse în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura protecția drepturilor persoanelor vizate.
(2) Societatea, în calitate de persoană împuternicită de operator, informează operatorul fără întârzieri nejustificate dacă consideră că oricare dintre instrucțiunile sale încalcă regulamentul sau dispozițiile naționale sau ale Uniunii privind protecția datelor.
(3) Societatea prelucrează datele la instrucțiunile operatorului de date în conformitate cu normele și principiile de protecție a datelor și ia în considerare obligațiile contractuale ale operatorului de date cunoscute de către persoana împuternicită de operator.
(4) Societatea nu va modifica, șterge, copia, conecta datele la alte baze de date, nu va utiliza datele furnizate de operatorul de date în alte scopuri decât prezentul contract sau în scopuri proprii și nici nu va dezvălui datele către terți, cu excepția următoarelor scopuri
în măsura în care este solicitat în mod expres de operator și este necesar în scopul prelucrării.
(5) Societatea nu are dreptul de a reprezenta operatorul sau de a face declarații legale în numele operatorului, cu excepția cazului în care este autorizată în mod expres să facă acest lucru printr-un acord cu operatorul sau printr-un alt instrument.
(6) Societatea stipulează că operatorul are dreptul exclusiv de a determina scopurile și mijloacele de prelucrare a datelor puse la dispoziția persoanei împuternicite de operator.
(7) Societatea, în calitate de persoană împuternicită de operator, trebuie să asigure securitatea datelor, să ia toate măsurile tehnice și organizatorice necesare pentru aplicarea normelor de protecție a datelor și să ia măsuri adecvate împotriva accesului neautorizat la date, modificării, transmiterii, divulgării, ștergerii, distrugerii neautorizate a datelor. De asemenea, trebuie să ia măsuri adecvate împotriva distrugerii sau deteriorării accidentale și împotriva inaccesibilității care rezultă din modificări tehnice.
(8) Societatea se angajează să respecte pe deplin dispozițiile prezentei politici privind securitatea datelor în activitățile sale de prelucrare a datelor, iar dispozițiile prezentei politici se aplică și activităților sale de prelucrare a datelor.
(9) Societatea, în calitate de persoană împuternicită de operator, oferă acces la date numai angajaților care au nevoie de acesta pentru a desfășura activitatea de prelucrare și informează angajații care au acces cu privire la obligația de a respecta cerințele de securitate și confidențialitate.
(10) Societatea, în calitate de operator de date, se angajează să coopereze cu operatorul de date pentru a permite operatorului de date să își îndeplinească obligațiile legale. Această cooperare acoperă în special următoarele domenii.
(11) Societatea, în calitate de operator de date, se angajează să modifice, să completeze, să corecteze, să blocheze sau să șteargă datele prelucrate de aceasta în conformitate cu instrucțiunile operatorului de date.
(12) Societatea notifică prompt operatorul de date cu privire la orice eveniment sau risc care afectează securitatea datelor, ia măsuri în legătură cu acestea și cooperează pe deplin cu operatorul de date.
(13) Societatea se angajează să coopereze pe deplin cu operatorul de date și cu agenții acestuia în cursul oricărui audit sau inspecție a sistemelor, înregistrărilor, datelor, informațiilor și procedurilor sale referitoare la prelucrarea datelor, inclusiv prin asigurarea faptului că persoana autorizată să efectueze auditul are acces deplin la înregistrările referitoare la prelucrarea datelor, la fișierele de date stocate în acestea și la procedurile utilizate în cursul prelucrării datelor.
(14) Activități de prelucrare a datelor desfășurate de societate: 6920 Activități de contabilitate, audit și consultanță fiscală.
(15) Societatea, în calitate de persoană împuternicită de operator de date, poate utiliza o persoană împuternicită de operator de date suplimentară numai dacă operatorul de date a autorizat în prealabil utilizarea unei persoane împuternicite de operator de date suplimentare într-un document public sau privat cu valoare probatorie deplină, de la caz la caz sau în general.
(16) În cazul în care persoana împuternicită de operator utilizează persoana împuternicită de operator suplimentară pe baza unei autorizații generale din partea operatorului, persoana împuternicită de operator informează operatorul cu privire la identitatea persoanei împuternicite de operator suplimentare și la sarcinile preconizate a fi îndeplinite de persoana împuternicită de operator suplimentară înainte de a utiliza persoana împuternicită de operator suplimentară. În cazul în care, pe baza acestor informații, operatorul se opune utilizării persoanei împuternicite de către operator suplimentare, persoana împuternicită de către operator suplimentară are dreptul de a utiliza persoana împuternicită de către operator suplimentară numai dacă sunt îndeplinite condițiile specificate în obiecție.
XIII. DISPOZIȚII PRIVIND SECURITATEA DATELOR
1. Principii pentru punerea în aplicare a securității datelor.
(1) Societatea poate prelucra datele cu caracter personal numai în conformitate cu activitățile prevăzute în prezenta politică și în scopurile pentru care acestea sunt prelucrate.
(2) Societatea asigură securitatea datelor și, în acest context, se angajează să ia toate măsurile tehnice și organizatorice indispensabile pentru aplicarea dispozițiilor legale privind securitatea datelor, protecția datelor și normele de confidențialitate, precum și să stabilească normele procedurale necesare pentru aplicarea dispozițiilor legale menționate anterior.
(3) Măsurile tehnice și organizatorice care urmează să fie puse în aplicare de societate vizează:
pseudonimizarea și criptarea datelor cu caracter personal;
asigurarea continuității confidențialității, integrității, disponibilității și rezilienței sistemelor și serviciilor utilizate pentru prelucrarea datelor cu caracter personal;
în cazul unui incident fizic sau tehnic, capacitatea de a restabili accesul la datele cu caracter personal și disponibilitatea acestora în timp util;
utilizarea unei proceduri pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice luate pentru a asigura securitatea prelucrării,
(4) La stabilirea nivelului adecvat de securitate, ar trebui să se țină seama în mod explicit de riscurile care decurg din prelucrare, în special de distrugerea accidentală sau ilegală sau de pierderea accidentală, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod.
(5) Societatea ia măsurile corespunzătoare pentru a proteja datele împotriva accesului neautorizat, modificării, divulgării, transmiterii, publicării, ștergerii sau distrugerii, distrugerii sau deteriorării accidentale, precum și împotriva inaccesibilității ca urmare a schimbărilor în tehnologia utilizată. Societatea se asigură că:
- interzicerea accesului persoanelor neautorizate la mijloacele utilizate pentru gestionarea datelor (sistemul de gestionare a datelor),
- prevenirea citirii, copierii, modificării sau eliminării neautorizate a suporturilor de date,
- prevenirea introducerii neautorizate a datelor cu caracter personal în sistemul de prelucrare și a accesului neautorizat, modificării sau ștergerii datelor cu caracter personal stocate în sistemul de prelucrare,
- prevenirea accesului neautorizat, copierii, modificării sau ștergerii datelor cu caracter personal în timpul transmiterii sau transportului suportului de date,
(6) Societatea ține evidența datelor pe care le prelucrează în conformitate cu legislația aplicabilă, asigurându-se că datele pot fi accesate numai de către angajați și alte persoane care acționează în interesul societății și care trebuie să le cunoască pentru a-și îndeplini funcția sau sarcina.
(7) Societatea stochează datele cu caracter personal furnizate în cursul fiecărei activități de prelucrare separat de alte date, cu mențiunea că, în conformitate cu dispoziția de mai sus, fișierele de date separate pot fi accesate numai de către angajați cu drepturi de acces corespunzătoare.
(8) Managerii și angajații societății nu divulgă datele cu caracter personal către terți și iau măsurile necesare pentru a preveni accesul neautorizat.
(9) Societatea acordă acces la datele cu caracter personal acelor angajați ai societății care au acceptat obligația de a respecta normele de securitate a datelor prin semnarea unei declarații de confidențialitate în legătură cu datele cu caracter personal prelucrate (declarația de confidențialitate face parte din clauza contractului de muncă privind protecția datelor din anexa 14 la prezentul regulament).
Compania garantează că:
- persoanele autorizate să utilizeze sistemul au acces numai la datele cu caracter personal specificate în autorizația de acces,
- este posibil să se verifice și să se stabilească a posteriori ce date cu caracter personal au fost introduse în sistem de către cine și la ce oră,
- trebuie să fie posibilă verificarea și stabilirea destinatarului la care datele cu caracter personal au fost sau pot fi transmise sau puse la dispoziție prin intermediul unei instalații de transmitere a datelor,
(10) La stabilirea și aplicarea măsurilor de securitate a datelor, societatea ia în considerare stadiul actual al tehnologiei și, în cazul existenței mai multor soluții posibile de prelucrare a datelor, alege soluția care asigură un nivel mai ridicat de protecție a datelor cu caracter personal, cu excepția cazului în care acest lucru ar implica un nivel disproporționat de dificultate.
2. Protecția înregistrărilor informatice ale societății
(1) Societatea ia următoarele măsuri necesare pentru a asigura securitatea înregistrărilor sale informatice:
oferă fișierelor de date pe care le gestionează protecție permanentă împotriva virușilor informatici (utilizând software de protecție antivirus în timp real);
asigură protecția fizică a hardware-ului sistemului IT, inclusiv protecția împotriva deteriorării elementare;
să se asigure că sistemul IT este protejat împotriva accesului neautorizat, atât în ceea ce privește software-ul, cât și hardware-ul;
să ia toate măsurile necesare pentru recuperarea fișierelor de date, să efectueze copii de siguranță regulate și să pună în aplicare o gestionare separată și sigură a copiilor de siguranță.
(2) Societatea se asigură că:
- sistemul de gestionare a datelor poate fi restabilit în cazul unei defecțiuni; și
- sistemul de gestionare a datelor este operațional, orice eroare de funcționare a acestuia este raportată, iar datele cu caracter personal stocate nu pot fi modificate de funcționarea defectuoasă a sistemului.
3. Protejarea înregistrărilor pe hârtie ale societății
(1) Societatea ia măsurile necesare pentru a proteja înregistrările pe suport de hârtie, în special în ceea ce privește securitatea fizică și protecția împotriva incendiilor.
(2) Directorii, angajații și alte persoane care acționează în interesul societății păstrează în siguranță toate suporturile de date care conțin date cu caracter personal pe care le utilizează sau pe care le au în posesie, indiferent de modul în care sunt înregistrate datele, și le protejează împotriva accesului neautorizat, modificării, divulgării, dezvăluirii, ștergerii sau distrugerii, precum și împotriva distrugerii sau deteriorării accidentale.
XIV. ALTE DISPOZIȚII
(1) Directorul general al societății informează toți angajații societății cu privire la dispozițiile prezentului cod.
(2) Societatea nu este obligată să numească un responsabil cu protecția datelor.
(3) Directorul general al Societății se va asigura că toți angajații Societății respectă prevederile prezentului regulament. În scopul punerii în aplicare a acestei obligații, directorul Societății solicită modificarea contractelor de muncă încheiate cu angajații Societății pentru a include o declarație privind angajamentul angajatului de a respecta și de a aplica prezentul regulament.
(4) Societatea, în calitate de operator de date, transmite datele autorităților în cazul solicitărilor de informații și de divulgare a datelor din partea autorităților publice, indicând scopul utilizării și corespunzând cu precizie acestuia, în măsura necesară pentru atingerea scopului solicitării.
(5) Cel puțin o dată la trei ani de la începerea prelucrării, societatea revizuiește dacă prelucrarea datelor cu caracter personal prelucrate de către aceasta sau de către o persoană împuternicită de operator care acționează în numele său sau conform instrucțiunilor sale este necesară pentru scopurile prelucrării. Operatorul documentează circumstanțele și rezultatul acestei revizuiri, care trebuie să fie
pentru o perioadă de zece ani de la finalizarea lucrărilor și îl pune la dispoziția Autorității la cerere.
(6) Stabilirea și modificarea prezentelor norme sunt responsabilitatea conducătorului societății.
Realizat la Szigetszentmiklós, 30 iunie 2018.