Polityka zarządzania incydentami ochrony danych

Obowiązuje od 25 maja 2018 r. do odwołania

1. Wstęp

CGP Europe Spółka z ograniczoną odpowiedzialnością (siedziba: 1024 Budapeszt, Ady Endre út 19., Węgry, numer rejestracyjny firmy: 01-09-965048, numer identyfikacji podatkowej: 23425026-2-41, numer rejestracyjny: NAIH-78299 / 2014 .; (dalej: "Administrator") tworzy niniejszą Politykę bezpieczeństwa danych osobowych (dalej: "Polityka").

2. Definicje

Dane osobowe:  wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Osobiste dane identyfikacyjne: imię i nazwisko osoby, nazwisko panieńskie, płeć, miejsce i data urodzenia, imię i nazwisko matki po urodzeniu, adres zamieszkania, miejsce zamieszkania, numer ubezpieczenia społecznego pojedynczo lub łącznie, pod warunkiem, że takie dane są lub mogą być odpowiednie do zidentyfikowania osoby, której dane dotyczą. Dane szczególnych kategorii: dane osobowe ujawniające pochodzenie rasowe lub narodowość, poglądy polityczne i wszelkie powiązania z partiami politycznymi, przekonaniami religijnymi lub filozoficznymi lub członkostwo w związkach zawodowych oraz dane osobowe dotyczące życia seksualnego, a ponadto dane osobowe dotyczące zdrowia, patologicznych uzależnień lub rejestru karnego; Dane dotyczące zdrowia: dane osobowe związane ze zdrowiem fizycznym lub psychicznym osoby fizycznej, w tym świadczenie usług opieki zdrowotnej, które ujawniają informacje na temat jej stanu zdrowia. Administrator: oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Administratorsamodzielnie lub wspólnie z innymi określa cel przetwarzania danych, podejmuje decyzje dotyczące przetwarzania danych (w tym wykorzystywanych środków technicznych) lub zleca przetwarzanie powierzonych przez niego danych osobowych podmiotowi przetwarzającemu. Ponadto osoby fizyczne lub prawne lub organizacje nieposiadające osobowości prawnej  są uprawnione do przetwarzania danych osobowych lub danych szczególnych kategorii oraz danych dotyczących stanu zdrowia w szczególnych przypadkach, do celów określonych przez prawo. Przetwarzanie danych: każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Podmiot przetwarzający: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Naruszenie ochrony danych osobowych: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

3. Przepisy i regulacje dotyczące ochrony danych osobowych

Prawa i przepisy o najwyższym znaczeniu dla celów niniejszej Polityki to:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 tych danych oraz uchylające dyrektywę 95/46 / WE (ogólne Rozporządzenie o ochronie danych - "GDPR");
  2.  Podstawowa ustawa Węgier;
  3. sekcja 2:42 ustawy V z 2013 r. o kodeksie cywilnym;
  4. Ustawa CXII z 2011 r. o prawach informacyjnych w zakresie samostanowienia i wolności informacji (ustawa o informacji);
  5. Akt XLVII z 1997 r. w sprawie przetwarzania i ochrony danych dotyczących opieki zdrowotnej oraz powiązanych danych osobowych;
  6. Ustawa CVIII z 2001 r. w sprawie niektórych zagadnień związanych z działalnością handlu elektronicznego i usług społeczeństwa informacyjnego;
  7. Ustawa LXVI z 1992 r. w sprawie prowadzenia ewidencji danych w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu osobowych i adresu obywateli;
  8. Zmiany w przepisach dotyczących RODO i praktyki prawnej opartej na PKBR i zaleceniach Komitetu Europejskiego lub organu nadzoru siedziby Administratora.
  9. (dla Polski będzie to:
  10. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)

Zmiany w przepisach dotyczących RODO i praktyki prawnej opartej na PKBR i zaleceniach Komitetu Europejskiego lub organu nadzoru siedziby Administratora.

  • USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych  
  • USTAWA z dnia 24 września 2010 r. o ewidencji ludności
  • USTAWA z dnia 6 sierpnia 2010 r. o dowodach osobistych
  • Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną

4. Powiadomienie o naruszeniu ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki i, w miarę możliwości, nie później niż w ciągu 72 godzin od uzyskania informacji o tym, powiadamia organ nadzoru o naruszeniu ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób których dane dotyczą. Jeżeli powiadomienie organu nadzoru nie zostanie przekazane w ciągu 72 godzin, ze wskazaniem powodów opóźnienia. Przetwarzający dane powiadamia Administratora bez zbędnej zwłoki o wystąpieniu naruszenia ochrony danych osobowych.

Powiadomienie musi zawierać:

  1. opis charakteru naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę danych osobowych, których dotyczy naruszenie;
  2. nazwisko i dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
  3. opis prawdopodobnych skutków naruszenia ochrony danych osobowych;
  4. opis środków podjętych lub planowanych do wprowadzenia przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie ewentualnych negatywnych skutków naruszenia;

W przypadku, gdy dostarczenie informacji nie jest możliwe w tym samym czasie, informacje mogą być dostarczane etapami bez zbędnej zwłoki. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, obejmujące fakty związane z naruszeniem ochrony danych osobowych, ich skutki i podjęte działania zaradcze.

5. Przekazywanie danych osobowych osobie, której dane dotyczą

Jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, Administrator niezwłocznie informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych. W komunikacji z osobą, której dane dotyczą, Administrator opisuje w jasny i przejrzysty sposób charakter naruszenia ochrony danych osobowych, podaje imię i nazwisko oraz dane kontaktowe punktu kontaktowego, w którym można uzyskać więcej informacji, opisuje prawdopodobne konsekwencje naruszenia ochrony danych osobowych. opisuje środki podjęte lub zaproponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie ewentualnych negatywnych skutków naruszenia.

Powiadomienie osoby, której dotyczą dane, o której mowa w punkcie 5 niniejszej Polityki, nie jest wymagane, jeżeli spełniony jest jeden z poniższych warunków:

  1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochronne, a środki te zostały zastosowane w odniesieniu do danych osobowych, których dotyczy naruszenie ochrony danych osobowych, w szczególności tych, które powodują, że dane osobowe stają się nieczytelne dla każdej osoby, która nie jest upoważniona do uzyskania dostępu, jak szyfrowanie;
  2. Administrator podjął dalsze środki, które zapewnią, że wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, nie jest już prawdopodobne;
  3. zawiadomienie wymagałoby niewspółmiernego wysiłku. W takim przypadku Administrator  publikuje komunikat publiczny w formie ogłoszenia prasowego lub stosuje inny podobny środek, dzięki któremu osoby, których dane dotyczą, są informowane w równie skuteczny sposób.

Jeżeli Administrator nie powiadomił uprzednio osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy, po uwzględnieniu wysokiego ryzyka prawdopodobieństwa naruszenia ochrony danych osobowych, może zażądać od Administratora zawiadomienia tych osób lub może postanowić, że osoba, której dane dotyczą, nie zostanie powiadomiona o naruszeniu.

6. Pozostałe postanowienia

Niniejsza polityka, zgodnie z polityką prywatności Administratora i rozporządzeniem (EE) 2016/679 Parlamentu Europejskiego i Rady (RODO), wprowadza następujące postanowienia:
Przetwarzanie danych osobowych należy również uznać za zgodne z prawem, jeżeli jest to konieczne w celu ochrony istotnych interesów życiowych osoby, której dane dotyczą, lub innej osoby fizycznej. Przetwarzanie danych osobowych w oparciu o istotne interesy innej osoby fizycznej powinno zasadniczo odbywać się tylko wtedy, gdy przetwarzanie nie może w oczywisty sposób opierać się na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnym podstawom interesu publicznego, jak i żywotnym interesom osoby, której dane dotyczą, na przykład wtedy, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym do monitorowania epidemii i ich rozprzestrzeniania się lub sytuacji kryzysowych w sytuacjach katastrof humanitarnych, w szczególności w sytuacjach katastrof naturalnych lub spowodowanych przez człowieka.
Ograniczenia dotyczące szczególnych zasad i praw do informacji, dostępu do danych i ich poprawiania lub usuwania, prawo do przenoszenia danych, prawo do sprzeciwu, decyzje oparte na profilowaniu, a także przekazywanie danych osobowych, czy też informacji o naruszeniu przekazywanych osobie, której dane dotyczą oraz określone obowiązki Administratora mogą być nakładane na mocy prawa Unii lub państwa członkowskiego, o ile jest to konieczne i proporcjonalne w demokratycznym społeczeństwie w celu ochrony bezpieczeństwa publicznego, w tym ochrony życia ludzkiego, szczególnie w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka, zapobieganiu, ściganiu i zwalczaniu przestępstw lub wykonywaniu sankcji karnych, w tym ochrony przed zagrożeniami bezpieczeństwa publicznego i zapobieganiu jego naruszeniom lub naruszenia zasad etyki w zawodach regulowanych, inne ważne cele związane z ogólnym interesem publicznym Unii lub państwa członkowskiego , w szczególności ważny interes gospodarczy lub finansowy Unii lub Państwa Członkowskiego, prowadzenie rejestrów publicznych prowadzonych ze względu na ogólny interes publiczny, dalsze przetwarzanie zarchiwizowanych danych osobowych w celu dostarczenia konkretnych informacji związanych z zachowaniem politycznym w ramach byłych reżimów totalitarnych państwa lub ochrony osoby, której dane dotyczą, lub praw i wolności innych osób, w tym ochrony socjalnej , zdrowia publicznego i celów humanitarnych. Ograniczenia te powinny być zgodne z wymogami określonymi w Karcie oraz w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

7. Przepisy końcowe

Niniejsza Polityka bezpieczeństwa wchodzi w życie z chwilą podpisania.
Postanowienia niniejszej Polityki bezpieczeństwa mają zastosowanie do przetwarzania danych osobowych, które będzie miało miejsce po wejściu w życie RODO.
Postanowienia niniejszej Polityki bezpieczeństwa mają również zastosowanie do przetwarzania danych osobowych na podstawie umów zawartych przed wejściem w życie RODO, które są kontynuowane w dniu wejścia w życie RODO.
Wszelkie kwestie nieuregulowane w niniejszej polityce bezpieczeństwa danych osobowych podlegają przepisom praws powszechnie obowiązującego  wymienionych w punkcie 3 niniejszej polityki bezpieczeństwa.
Ze skutkiem od daty wejścia w życie niniejsza Polityka zastępuje i uchyla dotychczasowe zasady dotyczące ochrony  danych osobowych obowiązujące u Administratora.

 


Budapeszt, 2018.05.25.

2024 © cgp europe