Politica de incidente de protecție a datelor

În vigoare de la 25 mai 2018 până la anulare

1. Introducere

Compania CGP Europe Limited Liability Company (sediul social: 1024 Budapest, Ady Endre út 19., Ungaria, numărul de înregistrare al societății: 01-09-965048; Nr. de identificare fiscală: 23425026-2-41; Nr. de înregistrare operator date cu caracter personal: NAIH-78299 / 2014 (în continuare denumită:"Operator") formulează această politică privind securitatea datelor cu caracter personal (denumită în continuare"Politică").

2. Definiții

Date personale: orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice. Date personale de identificare: Numele și prenumele unei persoane, numele de fată, sexul, locul și data nașterii, numele și prenumele mamei la naștere, domiciliu, reședința, numărul de securitate socială individual sau în combinație, cu condiția ca aceste date să fie sau să poată fi proprii pentru identificarea persoanei vizate. Datele speciale: datele cu caracter personal care dezvăluie originea sau naționalitatea rasială, opiniile politice și orice afiliere cu partidele politice, credințele religioase sau filosofice sau apartenența sindicală și datele personale referitoare la viața sexuală, în plus, date cu caracter personal privind sănătatea, dependențe patologice sau cazierul judiciar; Date privind sănătatea: date cu caracter personal legate de sănătatea fizică sau psihică a unei persoane fizice, inclusiv furnizarea de servicii de sănătate, care dezvăluie informații despre starea sa de sănătate. Operator: o persoană fizică sau juridică sau o organizație fără personalitate juridică care determină singur sau împreună cu alții scopul prelucrării datelor, ia și execută decizii privind prelucrarea datelor (inclusiv instrumentul utilizat) sau dispune executarea lor de către un procesator încredințat de el / ea. Mai mult, persoanele fizice sau juridice sau organizațiile fără personalitate juridică care au dreptul de a prelucra date de identificare personale sau date speciale și date privind sănătatea în cazuri specifice, într-un scop definit de lege. Prelucrarea datelor: orice operațiune sau set de operațiuni care se efectuează pe date personale sau pe seturi de date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea , divulgarea prin transmitere, diseminare sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. Procesor: o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului. Încălcarea datelor cu caracter personal: o încălcare a securității care duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal.

3.Legile și regulamentele privind protecția datelor

Legile și regulamentele cu cea mai mare importanță pentru scopurile acestei Politici includ:

1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE (Regulamentul privind protecția datelor – "GDPR");
2. Legea fundamentală a Ungariei;
3. Secțiunea 2:42 din LegeaV din 2013 privind Codul civil;
4. Legea CXII din 2011 privind dreptul la auto-determinare informațională și libertatea de informare (Legea Info);
5. Legea XLVII din 1997 privind prelucrarea și protecția datelor privind sănătatea și datele cu caracter personal asociate;
6. Legea CVIII din 2001 privind anumite probleme ale activităților de comerț electronic și ale serviciilor societății informaționale;
7. Legea LXVI din 1992 privind evidența datelor personale și adresa cetățenilor;
8. modificările aduse GDPRși practicile juridice bazate pe Regulamentul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestora (GDRP)și recomandările făcute de Comitetul European sau de Autoritatea de Supraveghere de la sediul Operatorului.

4. Notificarea încălcării datelor cu caracter personal

În cazul unei încălcări a securității datelor cu caracter personal, Operatorul va notifica fără întârziere Autorității de Supraveghere, încălcarea securității datelor cu caracter personal și, dacă este posibil, nu mai târziu de 72 de ore de la constatarea acestuia, cu excepția cazului în care este puțin probabil ca încălcarea datelor cu caracter personal să prezinte un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea adresată Autorității de Supraveghere nu se face în termen de 72 de ore, aceasta va fi însoțită de motivele întârzierii. Procesorul de date trebuie să notifice Operatorul, de îndată, după ce a luat la cunoștință despre o încălcare a securității datelor cu caracter personal.

Notificarea trebuie să conțină următoarele:

1. să descrie natura încălcării datelor cu caracter personal, inclusiv, dacă este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ de înregistrări de date cu caracter personal în cauză;
2. să comunice numele și datele de contact ale responsabilului cu protecția datelor sau ale altui punct de contact în care pot fi obținute mai multe informații;
3. descrierea consecințelor probabile ale încălcării securității datelor cu caracter personal;
4. să descrie măsurile luate sau propuse spre a fi luate de către Operatorpentru a aborda încălcarea securității datelor cu caracter personal, inclusiv, după caz, măsuri de atenuare a eventualelor sale efecte adverse;

În cazul în care și în măsura în care nu este posibilă furnizarea informațiilor în același timp, informațiile pot fi furnizate în alte faze fără întârzieri nejustificate. Operatorul va documenta orice încălcare a datelor cu caracter personal, cuprinzând faptele referitoare la încălcarea datelor cu caracter personal, efectele acestuia și măsurile de remediere luate.

5. Comunicarea către persoana vizatăa încălcării securității datelor cu caracter personal

Atunci când încălcarea datelor cu caracter personal este susceptibilă să ducă la un risc ridicat pentru drepturile și libertățile persoanelor fizice, Operatorul va comunica, fără întârziere, persoanei vizate încălcarea securității datelor cu caracter personal.În comunicarea către persoana vizată, Operatorul descrie într-un limbaj clar și simplu natura încălcării datelor cu caracter personal, furnizează numele și datele de contact ale punctului de contact de unde pot fi obținute mai multe informații, descrie consecințele probabile ale încălcării datelor cu caracter personal , descrie măsurile luate sau propuse spre a fi luate de către Operator pentru a aborda încălcarea datelor cu caracter personal, inclusiv, dacă este cazul, măsuri de atenuare a posibilelor sale efecte adverse.

Comunicarea către persoana vizată la care se face referire în Secțiunea 5 a prezentei Politici nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiții:

1. Operatorula implementat măsuri de protecție tehnică și organizatorică corespunzătoare și aceste măsuri au fost aplicate datelor cu caracter personal afectate de încălcarea datelor cu caracter personal, în special cele care fac ca datele personale să fie incomprehensibile/ neinteligibile oricărei persoane care nu este autorizată să o acceseze; cum ar fi criptarea;
2. Operatorula luat măsuri subsecvente care să asigure că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este posibil să se materializeze;
3. Ar implica eforturi disproporționate. În acest caz, trebuie să existe o măsură de comunicare publică sau o măsură similară prin care persoanele vizate să fie informate în mod egal și efectiv.

În cazul în care Operatorulnu a comunicat deja persoanei vizate încălcarea datelor cu caracter personal, Autoritatea de Supraveghere, după ce a luat în considerare probabilitatea ca încălcarea datelor cu caracter personal să ducă la un risc ridicat, poate solicita comunicarea sau poate decide că persoana vizată să nu fie notificată.

6. Diverse

Această Politică, în conformitate cu Politica de Confidențialitate a Operatorului și Regulamentul (EE) 2016/679 al Parlamentului European și al Consiliului (GDPR), introduce următoarele prevederi:
Prelucrarea datelor cu caracter personal trebuie, de asemenea, considerată legală atunci când este necesar să se protejeze un interes esențial pentru viața persoanei vizate sau a unei alte persoane fizice. Prelucrarea datelor cu caracter personal bazată pe interesul vital al unei alte persoane fizice ar trebui, în principiu, să aibă loc doar atunci când prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât la motive importante de interes public, cât și la interesele vitale ale subiectului vizat, de exemplu atunci când prelucrarea este necesară în scopuri umanitare, inclusiv pentru monitorizarea epidemiilor și a răspândirii acestora sau în situații de urgență umanitară, în special în situații de dezastre naturale și provocate de om.
Restricțiile privind principiile specifice și dreptul la informare, accesul la și rectificarea sau ștergerea datelor cu caracter personal, dreptul la portabilitate a datelor, dreptul de a se opune, deciziile bazate pe profilare, precum și comunicarea unei încălcări a datelor cu caracter personal unui subiect de date iar anumite obligații aferente ale operatorilor pot fi impuse prin legislația Uniunii sau a statul membru, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a proteja securitatea publică, inclusiv protecția vieții umane, în special ca răspuns la dezastrele naturale sau provocate de om, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea și prevenirea amenințărilor la adresa siguranței publice sau încălcări ale eticii pentru profesiile reglementate, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, păstrarea registrelor publice ținute din motive de interes public general, prelucrarea ulterioară a datelor cu caracter personal arhivate pentru a furniza informații specifice referitoare la comportamentul politic în cadrul regimurilor de stat totalitare sau la protecția persoanei vizate sau a drepturilor și libertăților altora, sănătate publică și scopuri umanitare. Aceste restricții ar trebui să fie în conformitate cu cerințele stabilite în Cartă și în Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

7. Dispoziții finale

Această politică intră în vigoare la data semnării sale.
Dispozițiile prezentei politici se aplică prelucrării datelor cu caracter personal efectuate după intrarea în vigoare a prezentei legi.
Dispozițiile prezentei politici se vor aplica și prelucrării datelor cu caracter personal din momentul intrării în vigoare a prezentei legi.
Orice aspecte care nu sunt reglementate în acest document vor fi reglementate de prevederile reglementărilor legale enumerate în secțiunea a 3-a.
Începând cu data intrării în vigoare, această Politică înlocuiește și abrogă politicile anterioare ale Operatorului privind încălcarea securității datelor cu caracter personal în vigoare.

Budapesta, 2018.05.25.