INSTRUCTION N° 1/2024 (06.18.)
LE Groupe WISER Kft. politique uniforme de protection et de gestion des données
Numéro de version : V.001
Date d'entrée en vigueur : 18 juin 2024.
Approuvé par : Directeur général László Kozák
Accès : Pour usage interne uniquement
- DISPOSITIONS GÉNÉRALES
1.1 OBJET DU RÈGLEMENT
Le Parlement européen et le Conseil (UE) 2016/679. sur la protection des personnes physiques à l'égard de la gestion des données personnelles et de la libre circulation de ces données, ainsi que sur l'abrogation du règlement 95/46/CE, c'est-à-dire basé sur le règlement général sur la protection des données (RGPD) du Union européenne, WISER Group Kft. en tant que responsable du traitement (ci-après : "Responsable du traitement des données") aux fins d'enregistrer les activités de gestion des données qu'il effectue, de garantir les droits des personnes concernées et d'établir l'ordre général de protection des données, la réglementation définie ci-après (ci-après : "Règlements") est constitué. Au moyen du présent Règlement, le Responsable du traitement souhaite assurer l'ordre juridique de son fonctionnement, le respect des principes constitutionnels de protection des données et des exigences de sécurité des données, et empêcher l'accès non autorisé aux données ainsi que leur altération ou divulgation non autorisée.
1.2 CHAMP D'APPLICATION DU RÈGLEMENT
Le champ d'application matériel du règlement couvre tous les processus effectués par toute unité organisationnelle du responsable du traitement au cours desquels des données personnelles sont gérées, que la gestion ou le traitement des données soit effectué entièrement ou partiellement par des moyens informatiques (électroniques) ou manuellement.
Le champ d'application personnel du présent Règlement couvre les employés du Responsable du traitement, les personnes employées dans d'autres relations juridiques professionnelles, ainsi que toute personne physique ou morale concernée par la gestion des données.
Ce règlement entre en vigueur à compter de la date indiquée à l’extérieur jusqu’à son retrait.
1.3 DÉFINITIONS
"affecté» : personne physique identifiée ou identifiable à partir de toute information ;
"données personnelles" : toute information sur la personne concernée ;
"contribution" : la déclaration volontaire, définitive et claire de la volonté de la personne concernée, basée sur des informations adéquates, par laquelle la personne concernée indique, par une déclaration ou un autre comportement exprimant clairement sa volonté, qu'elle donne son consentement au traitement de ses données personnelles ;
"responsable du traitement des données» : la personne physique ou morale ou l'organisation sans personnalité juridique qui, dans le cadre défini par la loi ou un acte juridique obligatoire de l'Union européenne, de manière indépendante ou avec d'autres, détermine la finalité de la gestion des données, la gestion des données (y compris la dispositif utilisé) prend et met en œuvre les décisions pertinentes, ou les fait mettre en œuvre par le sous-traitant ;
"le traitement des données" : quel que soit le procédé utilisé, toute opération effectuée sur les données ou l'ensemble des opérations, incluant notamment la collecte, l'enregistrement, l'enregistrement, l'organisation, le stockage, la modification, l'utilisation, l'interrogation, la transmission, la divulgation, la coordination ou la mise en relation, le verrouillage, la suppression et la destruction des données, ainsi que l'interdiction de leur utilisation ultérieure, la prise de photographies, d'enregistrements audio ou vidéo et l'enregistrement de caractéristiques physiques permettant d'identifier la personne (par exemple empreinte digitale ou palmaire, échantillon d'ADN, image de l'iris) ;
"transfert de données" : mettre les données à la disposition de tiers spécifiques ;
"traitement de l'information» : l'ensemble des traitements de données effectués par un sous-traitant agissant pour le compte ou à la demande du responsable de traitement ;
"processeur de données" : la personne physique ou morale ou l'organisation sans personnalité juridique qui - dans le cadre et les conditions définies par la loi ou un acte juridique obligatoire de l'Union européenne - traite des données personnelles pour le compte ou sous la direction du responsable du traitement ;
"à la troisième personne" : une personne physique ou morale, ou une organisation sans personnalité juridique, qui n'est pas la même que la personne concernée, le gestionnaire des données, le sous-traitant ou les personnes qui effectuent des opérations visant à traiter des données personnelles sous le contrôle direct du responsable des données ou processeur de données ;
"incident de protection des données" : une violation de la sécurité des données qui entraîne la destruction, la perte, la modification, la transmission ou la divulgation non autorisée de données personnelles transmises, stockées ou autrement traitées, ou un accès non autorisé à celles-ci ;
"données de santé» : les données personnelles relatives à l'état de santé physique ou mentale d'une personne physique, y compris les données relatives aux services de santé fournis à la personne physique, qui contiennent des informations sur l'état de santé de la personne physique ;
"profilage" : tout traitement de données personnelles - de manière automatisée - visant à évaluer, analyser ou prédire les caractéristiques personnelles de la personne concernée, notamment celles liées à ses performances professionnelles, sa situation économique, sa santé, ses préférences ou intérêts personnels, sa fiabilité, son comportement, sa localisation ou mouvement;
"destinataire» : la personne physique ou morale ou l'organisation sans personnalité juridique à qui ou à laquelle les données personnelles sont mises à disposition par le gestionnaire de données ou le sous-traitant.
1.4 DIRECTIVES POUR LA GESTION DES DONNÉES
Le responsable du traitement garde toujours à l’esprit les directives suivantes lors du traitement des données personnelles :
Les données personnelles ne peuvent être traitées que dans un but licite et clairement défini, afin d'exercer un droit et de remplir une obligation. À toutes les étapes de la gestion des données, la finalité de la gestion des données doit être remplie, la collecte et la gestion des données doivent être équitables et légales. ("légalité, procédure régulière et transparence")
Seules les données personnelles essentielles à la réalisation de la finalité du traitement des données et adaptées à la réalisation de la finalité peuvent être traitées. Les données personnelles ne peuvent être traitées que dans la mesure et pendant la durée nécessaires à la réalisation de la finalité. ("détermination")
Les données personnelles doivent être appropriées et pertinentes aux fins de la gestion des données, et doivent être limitées à ce qui est nécessaire. ("sauvegarde des données")
Lors de la gestion des données, il convient de garantir l'exactitude, l'exhaustivité et, si nécessaire, l'actualité des données, ainsi que le fait que la personne concernée ne puisse être identifiée que pendant le temps nécessaire à la gestion des données. ("précision")
Les données personnelles doivent être stockées sous une forme permettant l'identification des personnes concernées uniquement pendant le temps nécessaire pour atteindre les objectifs de gestion des données personnelles. Lors du traitement des données, les données personnelles conserveront leur qualité aussi longtemps que la relation avec la personne concernée pourra être rétablie. La relation avec la personne concernée peut être rétablie si le responsable du traitement dispose des conditions techniques nécessaires au rétablissement. ("capacité de stockage limitée")
Au cours de la gestion des données, une sécurité appropriée des données personnelles doit être assurée en appliquant des mesures techniques ou organisationnelles appropriées, en particulier celles qui créent une protection contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction ou les dommages. ("intégrité et confidentialité")
Le responsable du traitement des données est responsable du respect des directives ci-dessus et doit être en mesure de démontrer leur conformité. ("responsabilité")
1.5 DONNÉES DU RESPONSABLE DU TRAITEMENT
Nom: Groupe WISER Kft.
Adresse : 1065 Budapest, Révay köz 4.
Numéro fiscal : 27928181-2-41
Numéro d'enregistrement de la société : 01-09-357551
Tribunal d'enregistrement : Tribunal des Sociétés du Tribunal de la Capitale
Représentant légal : Directeur général László Kozák
E-mail: info@wisergroup.hu
Numéro de téléphone : +36 30 336 08 16
- RÈGLES DE GESTION DES DONNÉES
2.1 OBJECTIF DE LA GESTION DES DONNÉES
Le responsable du traitement utilise les données personnelles à des fins liées à son fonctionnement, à des fins d'emploi, à des fins de marketing, aux fins de fonctionnement de dispositifs de sécurité des personnes et des biens, aux fins des processus de gestion des documents, des services informatiques et de la sécurité des informations liés à l'opération, dans le but d'utiliser les actifs de données, et comme spécifié dans le document fondateur de l'organisation, gère dans le but de fournir d'autres activités de base. Si ses conditions juridiques existent, le responsable du traitement a le droit de lancer une nouvelle activité de gestion des données. La gestion des données individuelles et leurs détails sont enregistrés dans le registre des activités de gestion des données du responsable du traitement (N°1 annexe) est inclus.
2.2 BASE JURIDIQUE POUR LA GESTION DES DONNÉES
Le traitement des données personnelles par le responsable du traitement n'est licite que si et dans la mesure où au moins une des conditions suivantes est remplie :
- les concernés a donné son consentement traiter vos données personnelles pour une ou plusieurs finalités spécifiques ;
- la gestion des données est comme ça nécessaire pour remplir le contrat, dans lequel la personne concernée est l'une des parties, ou s'il est nécessaire de prendre des mesures à la demande de la personne concernée avant la conclusion du contrat ;
- la gestion des données concerne le gestionnaire de données remplir une obligation légale nécessaire;
- le traitement des données est la personne concernée ou une autre personne physique protection des intérêts vitaux nécessaire en raison de :
- gestion des données autorisation d’intérêt public ou d’autorité publique accordée au responsable du traitement nécessaire à l'exécution d'une tâche réalisée dans le cadre de son exercice ;
- les données sont gérées par le responsable du traitement ou un tiers faire valoir ses intérêts légitimes nécessaire, à moins que ces intérêts ne soient supplantés par des intérêts ou des droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier si la personne concernée est un enfant.
2.2 CONDITIONS DE CONTRIBUTION
Le consentement est une déclaration volontaire, spécifique et clairement informée de la volonté de la personne concernée, par laquelle la personne concernée indique, au moyen d'une déclaration ou d'un acte expressif sans équivoque, qu'elle consent au traitement des données personnelles la concernant. La personne concernée peut donner son consentement - sous une forme stockable - dans un contrat, sur un formulaire régularisé à cet effet (N°7 annexe), sous forme électronique ou sur papier. La personne concernée peut retirer son consentement à tout moment. Avec le consentement, seul un tel traitement de données peut être effectué, au cours duquel le respect des exigences d'information préalable et le caractère volontaire peuvent être vérifiés. Le caractère volontaire ne peut être justifié si le consentement au traitement des données uniquement dans l'intérêt du responsable du traitement a été donné par les personnes concernées dans un lien de subordination, en masse, au sein d'un cercle défini de personnes sans exception.
Si la personne concernée donne son consentement dans le cadre d'une déclaration écrite qui s'applique également à d'autres sujets, la demande de consentement doit être présentée d'une manière qui se distingue clairement de ces autres sujets, sous une forme compréhensible et facilement accessible, avec des indications claires. et un langage simple. Le consentement peut être donné sous toute forme au cours de laquelle la personne concernée peut être identifiée et le fait du consentement est enregistré, notamment :
- par écrit (avec la signature de la personne concernée) ;
- par voie électronique après l'identification individuelle de la personne concernée, si le fait de consentement est enregistré (loggé) ;
- par voie électronique dans un message envoyé à partir de l'adresse de courrier électronique enregistrée par le responsable du traitement concerné, à condition que le message soit enregistré et conservé sans modification.
- TEST DE CONSIDÉRATION DES INTÉRÊTS
Dans certains cas, le responsable du traitement a la possibilité de traiter les données sans consentement, si cela est rendu possible par un intérêt légitime, à condition que le responsable du traitement remplisse son obligation d'information préalable. Si la base juridique du traitement des données est justifiée par l'intérêt légitime, le responsable du traitement effectue un test d'évaluation de l'intérêt pour examiner la légalité du traitement des données (N°2 annexe), au cours de laquelle la nécessité de la finalité de la gestion des données et la limitation proportionnelle des droits et libertés des personnes concernées sont examinées et dûment justifiées.
Lors de l'exécution du test de pondération des intérêts, le responsable du traitement identifie son intérêt légitime dans la gestion des données, ainsi que l'intérêt de la partie prenante et le droit fondamental concerné, qui constitue le contrepoint de la pondération. La condition de pondération des droits et intérêts contradictoires est toujours examinée par le responsable du traitement en fonction des circonstances spécifiques du cas considéré. Lors de l'évaluation, le Responsable de traitement prend notamment en compte la nature et le caractère sensible des données traitées ou à traiter, l'étendue de leur publicité, la gravité de toute violation, etc.
Dans le cadre du test d'évaluation des intérêts, le responsable du traitement procède également à un examen de nécessité et de proportionnalité, selon lequel les exceptions à la protection des données personnelles et les limitations de protection doivent rester dans les limites de ce qui est absolument nécessaire. La nature et la quantité des données pouvant être traitées ne peuvent excéder la mesure nécessaire à la mise en œuvre d'intérêts légitimes. L'examen de proportionnalité comprend une évaluation de la relation entre les objectifs et les moyens choisis. Les outils choisis ne doivent pas dépasser le niveau de nécessité, mais ils doivent également être adaptés pour atteindre l'objectif spécifié. Sur la base de la pondération, le responsable du traitement détermine si les données personnelles peuvent être traitées.
Les personnes concernées seront informées des résultats du test, qui permettront de voir clairement sur la base de quel intérêt légitime et pourquoi le traitement des données personnelles par le responsable du traitement sans le consentement de la personne concernée peut être considéré comme une restriction proportionnée, c'est pourquoi l'intérêt légitime du responsable du traitement des données dans le traitement des données l'emporte sur les intérêts et les droits de la personne concernée. Le responsable du traitement informe les personnes concernées des garanties de protection des données appliquées compte tenu de l'absence de consentement et de la possibilité de protester contre la gestion des données. Le résultat de la pondération entre des intérêts et des droits opposés ne peut être prescrit sans que le responsable du traitement autorise un résultat différent compte tenu des circonstances spécifiques du cas donné, c'est pourquoi le responsable du traitement effectue un test de pondération des intérêts distinct dans chaque cas.
Un scénario possible, dont le Responsable du traitement se réserve le droit de s'écarter :
- Avant de commencer la gestion des données prévue, le responsable du traitement vérifie si le traitement des données personnelles est absolument nécessaire pour atteindre son objectif : existe-t-il des solutions alternatives disponibles qui peuvent être utilisées pour atteindre l'objectif prévu sans traiter de données personnelles.
- Le Responsable du traitement définit son intérêt légitime de la manière la plus précise possible.
- Le responsable du traitement détermine la finalité de la gestion des données, quelles données personnelles et pendant combien de temps l'intérêt légitime nécessite la gestion des données.
- Le responsable du traitement détermine quels peuvent être les intérêts des personnes concernées par rapport à la gestion des données donnée (par exemple, les aspects que les personnes concernées pourraient soulever contre la gestion des données).
- Le responsable du traitement pèse ses intérêts légitimes et les intérêts et droits fondamentaux des personnes concernées et, sur cette base, détermine si les données personnelles peuvent être traitées. Le responsable du traitement détermine pourquoi son intérêt légitime - et le traitement des données basé sur celui-ci - limite proportionnellement les droits et attentes des parties prenantes définis à l'étape 4.
- Le responsable du traitement détermine quelles garanties peuvent garantir la nécessité et la proportionnalité du traitement des données (bien entendu, d'autres mesures de garantie peuvent également être appliquées).
2.3 TRAITEMENT DES DONNÉES SPÉCIALES
La notion de données spéciales n'est pas définie de manière générale par le RGPD, seules certaines de ses catégories sont mentionnées (données personnelles faisant référence à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou vision du monde, à l'appartenance syndicale, ainsi qu'aux données génétiques et biométriques). visant à l'identification unique des personnes physiques, les données de santé et les données personnelles concernant la vie sexuelle ou l'orientation sexuelle des personnes physiques), ou la définir séparément. Les données spéciales ne peuvent être traitées que si
- la personne concernée a donné son consentement exprès au traitement de ces données personnelles dans un but spécifique et le droit de l'UE ou des États membres n'interdit pas de donner son consentement ;
- le traitement des données est nécessaire pour que le responsable du traitement ou la personne concernée puisse remplir ses obligations et exercer ses droits spécifiques découlant des dispositions légales régissant l'emploi, la sécurité sociale et la protection sociale, s'il existe une législation de l'UE ou d'un État membre qui présente également des garanties adéquates protégeant le les droits et intérêts fondamentaux de la personne concernée ou de l'État membre où une convention collective légale rend cela possible ;
- le traitement des données est nécessaire à la protection des intérêts vitaux de la personne concernée, à condition que la personne concernée ne soit pas en mesure de donner son consentement en raison d'une incapacité physique ou juridique ;
- la gestion des données fait référence aux données personnelles que la personne concernée a expressément rendues publiques ;
- la gestion des données est nécessaire à la présentation, à l'exécution et à la protection des réclamations légales ;
- le traitement des données est nécessaire en raison d'un intérêt public important, sur la base du droit de l'UE ou du droit de l'État membre, qui est proportionné à l'objectif à atteindre, respecte le contenu essentiel du droit à la protection des données personnelles et prescrit des des mesures visant à garantir les droits et intérêts fondamentaux de la personne concernée ;
- le traitement des données est nécessaire à des fins de prévention en matière de santé ou de santé au travail, pour évaluer la capacité de l'employé à travailler, établir un diagnostic médical, fournir des soins ou des traitements de santé ou sociaux, ou gérer des systèmes et services de santé ou sociaux, sur la base du droit de l'UE ou d'un État membre. soit conformément à un contrat conclu avec un professionnel de santé ;
- le traitement des données est nécessaire à l'archivage dans l'intérêt public, à des fins de recherche scientifique et historique ou à des fins statistiques fondées sur le droit de l'UE ou des États membres, proportionné à l'objectif à atteindre, respecte le contenu essentiel du droit à la protection des données personnelles données, et est adéquat pour garantir les droits et intérêts fondamentaux de la personne concernée et prescrit des mesures spécifiques.
2.4 EXIGENCE D'INFORMATIONS PRÉALABLES
Si les données personnelles concernant la personne concernée sont collectées auprès de la personne concernée, le responsable du traitement fournira à la personne concernée toutes les informations suivantes au moment de l'obtention des données personnelles, à moins que et dans la mesure où la personne concernée dispose déjà de information:
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- les coordonnées du délégué à la protection des données, le cas échéant ;
- la finalité du traitement prévu des données personnelles, ainsi que la base juridique du traitement des données ;
- en cas de traitement des données fondé sur des intérêts légitimes, les intérêts légitimes du responsable du traitement ou d'un tiers ;
- le cas échéant, les destinataires des données personnelles et les catégories de destinataires, le cas échéant ;
- le cas échéant, le fait que le responsable du traitement souhaite transférer les données personnelles vers un pays tiers ou une organisation internationale, ainsi que l'existence ou l'absence de décision de conformité de la Commission, ou l'indication de garanties appropriées et adaptées, ainsi que la les modalités d'obtention de copies de ceux-ci ou de leur référence de disponibilité ;
- la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères de détermination de cette durée ;
- le droit de la personne concernée de demander au responsable du traitement l'accès aux données personnelles la concernant, leur rectification, leur suppression ou la limitation du traitement, et de s'opposer au traitement de ces données personnelles, ainsi que le droit de la personne concernée à la portabilité des données ;
- le droit de retirer son consentement à tout moment, ce qui n'affecte pas la licéité du traitement des données effectué sur la base du consentement avant le retrait ;
- le droit de déposer une plainte auprès de l'autorité de contrôle ;
- si la fourniture de données personnelles est basée sur la législation ou une obligation contractuelle ou constitue une condition préalable à la conclusion d'un contrat, ainsi que si la personne concernée est obligée de fournir des données personnelles et quelles peuvent être les conséquences possibles du défaut de fourniture de données. ;
- le fait d'une prise de décision automatisée, y compris le profilage, ainsi que, au moins dans ces cas, la logique appliquée et des informations compréhensibles concernant l'importance d'une telle gestion des données et les conséquences attendues pour la personne concernée.
Si les données personnelles n'ont pas été obtenues auprès de la personne concernée, le responsable du traitement indique la source des données et, le cas échéant, si les données proviennent de sources accessibles au public. Le responsable du traitement fournit les informations suivantes :
- en tenant compte des circonstances particulières du traitement des données personnelles, dans un délai raisonnable à compter de l'acquisition des données personnelles, mais au plus tard dans un délai d'un mois ;
- si les données personnelles sont utilisées dans le but de contacter la personne concernée, au moins lors du premier contact avec la personne concernée ; ou
- s'il est prévu que les données seront communiquées à un autre destinataire, au plus tard lors de la première communication des données personnelles.
Les informations ci-dessus doivent être communiquées à la personne concernée sous une forme concise, transparente, compréhensible et facilement accessible, rédigée de manière claire et compréhensible, en règle générale, par écrit, y compris par voie électronique. Si le responsable du traitement souhaite procéder à un traitement ultérieur des données personnelles dans un but autre que celui de leur collecte, il doit informer la personne concernée de cette finalité différente et de toutes les informations supplémentaires pertinentes avant le traitement ultérieur des données.
2.5 ENREGISTREMENT DES ACTIVITÉS DE GESTION DES DONNÉES
Le responsable du traitement tient un registre des activités de gestion des données réalisées sous sa responsabilité. Le registre des activités uniformes de gestion des données du responsable du traitement constitue l'annexe n° 1 du présent règlement. Ce registre contient les informations suivantes :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, le nom et les coordonnées du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- les finalités de la gestion des données ;
- description des catégories de personnes concernées et des catégories de données personnelles ;
- les catégories de destinataires auxquels les données personnelles sont ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- le cas échéant, des informations sur le transfert de données personnelles vers un pays tiers ou une organisation internationale, y compris l'identification du pays tiers ou de l'organisation internationale, et en cas de transfert conformément au deuxième alinéa de l'article 49, paragraphe 1, du RGPD, une description des garanties correspondantes ;
- si possible, les délais d'effacement des différentes catégories de données ;
- si possible, une description générale des mesures techniques et organisationnelles.
2.6 ÉVALUATION D'IMPACT ET CONSULTATION PRÉALABLE
Si un nouveau processus de gestion des données - compte tenu de sa nature, de sa portée, de ses circonstances et de ses objectifs - est susceptible d'impliquer un risque élevé pour les droits et libertés des personnes physiques, alors avant le début de la gestion des données, le responsable du traitement procédera à une analyse d'impact sur comment le processus de gestion des données protège les données personnelles qu'il affecte Des opérations de gestion de données similaires présentant des risques similaires peuvent être réalisées dans le cadre d’une analyse d’impact unique. La réalisation de l'analyse d'impact relative à la protection des données relève de la tâche de l'unité organisationnelle de gestion des données, le document d'analyse d'impact constituant une annexe indissociable du présent règlement (N ° 3 annexe) en utilisant. Afin d'évaluer les risques et d'autres aspects de l'analyse d'impact, l'unité organisationnelle de gestion des données demande l'avis du délégué à la protection des données du responsable du traitement, le cas échéant. Il est obligatoire de réaliser une analyse d’impact sur la protection des données :
- une surveillance méthodique et à grande échelle des lieux publics, par exemple lors de l'utilisation d'un système de surveillance électronique (caméra) répondant à ces conditions ;
- en cas de traitement d'un grand nombre de données de santé et d'autres données spéciales ;
- en cas d'évaluation méthodique et approfondie de certaines caractéristiques personnelles des personnes physiques, basée sur une gestion automatisée des données, y compris le profilage, et sur la base de laquelle des décisions ayant un effet juridique à l'égard de la personne physique ou affectant de manière similaire une personne physique significative sont basés ;
- dans le cas de traitements de données figurant sur la liste de l'autorité de contrôle nécessitant obligatoirement une analyse d'impact en matière de protection des données.
Il n'est pas nécessaire de procéder à une analyse d'impact sur la protection des données en cas de gestion de données (obligatoire) fondée sur la loi, de gestion de données nécessaire au respect d'une obligation légale, ainsi que dans le cas de gestion de données figurant sur la liste de l'autorité de contrôle. de la gestion des données exemptées de l’analyse d’impact sur la protection des données. L’analyse d’impact couvre au moins :
- pour la description méthodique des opérations de gestion des données prévues ainsi que de la finalité et de la base juridique de la gestion des données ; y compris, dans le cas d'un traitement de données fondé sur une considération d'intérêts, l'intérêt légitime que le responsable du traitement souhaite faire valoir ;
- examiner la nécessité et la proportionnalité des opérations de gestion des données, en tenant compte des finalités de la gestion des données ;
- examiner les risques affectant les droits et libertés des personnes concernées ; et
- présenter les mesures visant à gérer les risques, y compris les garanties et les mesures de sécurité des données qui tiennent compte des intérêts légitimes des parties concernées à prouver le respect de la législation et de ces réglementations.
Après avoir effectué l'analyse d'impact, l'unité organisationnelle du responsable du traitement doit, si nécessaire, mais au moins en cas de changement du risque présenté par les opérations de gestion des données, organiser la revue de l'analyse d'impact, au cours de laquelle l'évaluation des risques sera à nouveau réalisé. Les risques doivent être réexaminés au moins tous les trois ans. Le résultat de l’analyse d’impact complétée doit être envoyé au délégué à la protection des données du responsable du traitement. Le délégué à la protection des données peut formuler des commentaires concernant l'analyse d'impact.
Si l'analyse d'impact sur la protection des données établit que la gestion des données prévue - en l'absence de mesures prises pour atténuer les risques - entraînerait en réalité un risque élevé, le responsable du traitement consulte, le cas échéant, l'autorité de contrôle, avec l'aide de l'autorité de protection des données. responsable, avant de traiter les données personnelles.
2.7 TRANSMISSION DE DONNÉES
Transmission de données, si les données sont mises à la disposition d'un tiers déterminé, y compris la possibilité de visualiser les données ou d'en créer un extrait. La transmission de données au sein du système organisationnel du responsable du traitement en tant que responsable du traitement, le transfert de données à un sous-traitant et l'accès aux données personnelles de la personne concernée ne sont pas considérés comme une transmission de données. Transfert de données vers un pays tiers Transfert de données vers un pays en dehors des États membres de l'Espace économique européen (ci-après : EEE). Divulgation si les données sont mises à la disposition de quiconque.
Le responsable du traitement traite les données personnelles de manière confidentielle. La transmission de données, la transmission de données à un pays tiers ou à une organisation internationale et la divulgation de données personnelles ne peuvent avoir lieu que dans le plein respect de toutes les réglementations en vigueur, conformément aux dispositions du RGPD.
L'unité organisationnelle de gestion des données décide de la transmission des données, de la transmission des données à un pays tiers ou à une organisation internationale et de la divulgation des données personnelles. En cas de doute sur la légalité, le chef de l'unité organisationnelle doit contacter par écrit ou par voie électronique le délégué à la protection des données du responsable du traitement, qui émettra une déclaration sur la légalité des opérations de gestion des données envisagées.
Les données personnelles gérées au sein du système organisationnel du responsable du traitement, en tant que responsable du traitement, peuvent être transférées - dans la mesure et pour la durée nécessaire à l'exécution de la tâche - à une unité organisationnelle qui a besoin des données pour accomplir ses tâches stipulées dans le la loi, le règlement intérieur ou les instructions.
2.8 TRAITEMENT DES DONNÉES
Le responsable du traitement peut utiliser un sous-traitant pour certaines opérations de gestion des données. Le sous-traitant effectue le traitement des données pour le compte du responsable du traitement, pour son compte et, le cas échéant, selon ses instructions spécifiques. Les sous-traitants effectuent la gestion des données conformément aux instructions du responsable du traitement, ils ne peuvent pas prendre de décisions substantielles concernant la gestion des données, ils ne peuvent traiter les données personnelles dont ils ont connaissance que conformément aux dispositions du responsable du traitement, ils ne peuvent pas effectuent le traitement des données à leurs propres fins et sont également tenus de les stocker, de les conserver et de les garder secrètes. Les sous-traitants ne peuvent pas utiliser de sous-traitants supplémentaires sans l'autorisation écrite préalable du responsable du traitement, au cas par cas ou sur une base générale.
Les conditions de traitement des données dans un accord écrit (N°4 annexe) doit être réservé. L'accord peut également être conclu dans le cadre d'un autre contrat. Le traitement des données peut également avoir lieu sur la base de dispositions légales, auquel cas les dispositions légales régissant la relation de traitement des données sont régies par les dispositions légales. Il n'est pas nécessaire de conclure un accord écrit si la relation juridique relative au traitement des données est entièrement réglementée par la législation en vigueur.
Le contrat de traitement des données contient au moins :
- l'objet, la finalité, la durée du traitement des données, le type de données personnelles et l'étendue des personnes concernées ;
- que - sauf disposition contraire de la loi - le sous-traitant effectue le traitement des données conformément aux instructions écrites du responsable du traitement, ainsi que les circonstances dans lesquelles ces instructions ont été données, y compris notamment le nom de l'unité organisationnelle ou de la personne autorisée à le faire donc.
- si le sous-traitant est autorisé à utiliser un sous-traitant supplémentaire et - s'il en a le droit - l'obligation de fournir des informations concernant l'utilisation ou le remplacement du sous-traitant supplémentaire ;
- mesures de sécurité des données du sous-traitant ;
- la procédure d'information sur les incidents liés à la protection des données ;
- les règles de coopération liées à la garantie des droits de la personne concernée ;
- l'obligation de confidentialité du sous-traitant ;
- l'obligation pour le responsable du traitement de supprimer toutes les données personnelles (y compris les copies existantes) ou de les restituer au responsable du traitement après la fin du traitement des données, conformément à la décision du responsable du traitement, sauf disposition contraire de la loi ;
- que le sous-traitant fournit toutes les informations nécessaires pour se conformer aux obligations légales du responsable du traitement ;
- que le sous-traitant fournit au responsable du traitement toutes les informations nécessaires pour vérifier la légalité du traitement des données et coopère lors du contrôle, de l'inspection sur place ou de l'audit du traitement des données ;
- le cas échéant, les droits et obligations supplémentaires du gestionnaire de données et du sous-traitant.
3.0 SÉCURITÉ DES DONNÉES
3.1. PROTECTION INTÉGRÉE ET PAR DÉFAUT
Le responsable du traitement, en tenant compte de l'état de la science et de la technologie et des coûts de mise en œuvre, ainsi que de la nature, de la portée, des circonstances et des finalités de la gestion des données, ainsi que de la probabilité et de la gravité variables du risque pour les droits et libertés. des personnes physiques, tant lors de la détermination du mode de gestion des données que pendant la gestion des données, met en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, visant à la mise en œuvre effective des principes de protection des données, tels que la sauvegarde des données, d'une part, et la l'inclusion des garanties nécessaires pour répondre aux exigences de la législation sur la protection des données et pour protéger les droits des personnes concernées dans le processus de gestion des données.
Le Responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer qu'il garantit un niveau adéquat de sécurité des données, notamment en assurant la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services utilisés pour gérer les données personnelles, ainsi que, en en cas d'incident, l'accès personnel aux données et le rétablissement de la disponibilité des données en temps opportun. Lors de la détermination du niveau de sécurité approprié, il convient de prendre spécifiquement en compte les risques résultant de la gestion des données, qui découlent notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès non autorisé, accidentels ou illicites, aux données personnelles transmises, stockées ou autrement gérées. .
3.2 PROTECTION PHYSIQUE
Afin d'assurer la sécurité des données personnelles sur papier, le Responsable du traitement conserve les documents dans une pièce bien verrouillée et équipée de protection contre l'incendie et les biens. Afin de remplir l'obligation de conservation du responsable du traitement, les documents gérés manuellement contenant des données personnelles sont stockés dans un classeur, qui peut également être verrouillé, a un accès limité et est équipé d'une protection contre l'incendie et des biens. Les documents contenant des données personnelles ne peuvent être consultés que par les personnes autorisées à le faire, personne d'autre ne peut y accéder et ils ne peuvent être divulgués à des tiers. À l'expiration de l'obligation de conservation, le responsable du traitement détruit les documents.
3.3 PROTECTION INFORMATIQUE
Afin d'assurer la sécurité des données personnelles stockées sur l'ordinateur ou le réseau, le Responsable du traitement applique les mesures de garantie suivantes :
- les ordinateurs utilisés pour la gestion des données sont la propriété du responsable du traitement, ou il dispose sur eux des mêmes droits que le propriétaire ;
- les données sur l'ordinateur ne sont accessibles qu'avec une autorisation valide, personnelle et identifiable - au moins avec un nom d'utilisateur et un mot de passe - le Gestionnaire de Données veillera à ce que les mots de passe soient modifiés dans des cas justifiés ;
- les données stockées sur le serveur ne sont accessibles qu'aux personnes disposant d'une autorisation appropriée et désignées à cet effet ;
- si l'objectif de la gestion des données est atteint et que le délai de gestion des données est expiré, le fichier contenant les données sera irrémédiablement supprimé ;
- assure en permanence la protection antivirus sur le réseau traitant les données personnelles ;
- empêche les personnes non autorisées d'accéder au réseau avec les appareils informatiques disponibles et leurs applications.
Le flux de données personnelles géré par le responsable du traitement s'effectue électroniquement à l'aide de serveurs et leur stockage physique est effectué à l'aide de magasins de données.
CONTRÔLE DES ACTIVITÉS DES EMPLOYÉS
Le comportement du salarié lié à la relation de travail peut être surveillé. Dans ce cadre, le responsable du traitement, en tant qu'employeur, peut également utiliser un dispositif technique, et le salarié en sera informé au préalable par écrit. Sauf accord différent, le responsable du traitement peut utiliser des appareils et systèmes informatiques ou informatiques fournis par l'employeur à des fins de travail, exclusivement dans le but de remplir la relation de travail. Lors de son inspection, le responsable du traitement, en tant qu'employeur, peut examiner les données relatives à la relation de travail stockées sur l'appareil informatique utilisé pour remplir la relation de travail. Du point de vue du droit de contrôle, les données nécessaires au contrôle du respect de la restriction en cas d'interdiction d'usage privé sont considérées comme des données liées à la relation de travail. Ce paragraphe s'applique également si, sur la base de l'accord des parties, l'employé utilise son propre appareil informatique pour remplir la relation de travail.
Quelle que soit la méthode d'enregistrement des données, les collaborateurs sont tenus de stocker et de protéger en toute sécurité les supports de données qu'ils utilisent ou possèdent et qui contiennent des données personnelles contre tout accès, modification, transmission, divulgation, suppression ou destruction non autorisés, ainsi que contre toute destruction et tout dommage accidentels. . Lors du traitement des données personnelles, les enregistreurs et supports de données ne peuvent être utilisés que sous une forme cryptée (conforme aux normes). Le responsable du traitement peut garantir le respect des exigences en matière de sécurité des données au moyen de règlements et d'instructions internes distincts. Dans tous les cas, les employés du Responsable du traitement sont tenus d'agir conformément aux procédures précisées dans le règlement intérieur et les instructions, qui garantissent un haut degré de sécurité des données.
Les employés du responsable du traitement chargés de la gestion ou du traitement des données sont tenus de traiter les données personnelles qu'ils ont apprises dans le cadre de leurs activités comme confidentielles et de les garder secrètes. Seuls ceux qui ont une déclaration de confidentialité (N ° 5 annexe) a fait.
3.4. PROCÉDURE POUR LES INCIDENTS DE PROTECTION DES DONNÉES
Un incident de protection des données est une violation de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou autrement traitées. Si un employé du responsable du traitement détecte une suspicion d'incident de protection des données ou reçoit une indication d'un incident de protection des données de la part du sous-traitant, dans le règlement de gestion des incidents de protection des données du responsable du traitement (N ° 6 annexe) doit être suivi conformément à la procédure établie.
- TÂCHES
4.1 RESPONSABILITÉ
En ce qui concerne la structure organisationnelle du responsable du traitement, la direction du responsable du traitement détermine l'organisation de la protection des données, les tâches et pouvoirs liés à la protection des données et aux activités connexes, et - si nécessaire - nomme la personne responsable de la supervision de la gestion des données, le délégué à la protection des données.
Gestion du responsable du traitement des données
- est chargé de créer les conditions nécessaires à l'exercice des droits des personnes concernées ;
- est responsable d'assurer les conditions personnelles, matérielles et techniques nécessaires à la protection des données personnelles gérées par le Responsable du traitement ;
- est responsable de l'élimination de toutes lacunes ou circonstances illégales découvertes lors des inspections de gestion des données, d'initier et de mener la procédure nécessaire pour établir la responsabilité d'une autre personne ;
- supervise les activités du délégué à la protection des données, le cas échéant ;
- peut ordonner une enquête pour révéler les faits ;
- approuve les politiques de protection des données du responsable du traitement.
Lors de la mise en œuvre du présent règlement, les devoirs et responsabilités des différentes unités organisationnelles et personnes sont déterminés par le règlement intérieur concernant l'organisation, le fonctionnement et les activités du responsable du traitement, ainsi que par la description de poste/description des tâches des employés. Les responsables des unités organisationnelles du Responsable du traitement sont chargés de veiller à ce que la gestion des données de l'unité organisationnelle qu'ils dirigent se déroule conformément à la législation et au présent règlement.
Avant de collecter des données personnelles, l'employé du responsable du traitement informe la personne concernée du contenu essentiel de la gestion des données. Les employés du responsable du traitement chargés de la gestion des données sont tenus de conserver les données personnelles obtenues comme secret d'affaires et de traiter ces données conformément au règlement et aux autres instructions organisationnelles. Dans le cadre de leurs activités, les employés du responsable du traitement veillent à ce que les personnes non autorisées ne puissent pas accéder aux données personnelles et que le stockage et le placement des données personnelles soient conçus de telle manière qu'elles ne puissent pas être consultées, connues, modifiées ou détruites par une personne non autorisée.
Dans le cadre du travail/des responsabilités de l'employé
- est responsable du traitement, de la modification, de la suppression, de la transmission et de la divulgation des données, ainsi que de la documentation précise et traçable des données ;
- gère et conserve les données acquises dans le cadre de l'exercice de ses fonctions, veille au traitement et au stockage sécuritaires des dossiers ;
- veille à ce qu'aucune personne non autorisée ne puisse accéder aux données des dossiers qu'elle tient ;
- se conforme aux lois sur la gestion des données et aux instructions internes ;
- participe à des formations professionnelles internes liées à la gestion et à la protection des données ;
- est tenu de refuser d'exécuter toute instruction contraire à la législation sur la gestion et la protection des données, ainsi qu'aux instructions internes.
5.0 DROITS ET RECOURS
Les droits des personnes concernées énumérés dans les points ci-dessous peuvent être exercés via une demande soumise au responsable du traitement. Le responsable du traitement évalue la demande de renforcement des droits dans les plus brefs délais, mais au plus tard 25 (vingt-cinq) jours après son dépôt, et notifie à la personne concernée sa décision par écrit ou, si la personne concernée a soumis la demande électroniquement, par des moyens électroniques.
5.1 INFORMATIONS SUR LE TRAITEMENT DE VOS DONNÉES PERSONNELLES
À la demande de la personne concernée, le responsable du traitement fournit des informations sur les données de la personne concernée qu'il gère ou traitées par le sous-traitant mandaté par lui ou à sa disposition, sa source, la finalité, la base juridique, la durée du traitement des données, le nom et l'adresse du responsable du traitement des données et ses activités liées au traitement des données, les circonstances de l'incident de protection des données, ses effets et les mesures prises pour les éviter, et - en cas de transmission des données personnelles de la personne concernée - la base juridique et destinataire du transfert de données.
5.2 ACCÈS AUX DONNÉES PERSONNELLES
La personne concernée a le droit de recevoir un retour du responsable du traitement lui indiquant si ses données personnelles sont en cours de traitement, et si un tel traitement de données est en cours, elle a le droit d'accéder aux données personnelles et aux informations suivantes :
- les finalités de la gestion des données ;
- catégories de données personnelles concernées ;
- les destinataires ou catégories de destinataires auxquels ou auxquels les données personnelles ont été ou seront communiquées, y compris notamment les destinataires dans les pays tiers et les organisations internationales ;
- le cas échéant, la durée prévue de conservation des données personnelles ou, si cela n'est pas possible, les critères de détermination de cette durée ;
- le droit de la personne concernée de demander au responsable du traitement la rectification, la suppression ou la limitation du traitement des données personnelles la concernant et de s'opposer au traitement de ces données personnelles ;
- le droit de déposer une plainte auprès d'une autorité de contrôle ;
- si les données n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur leur source ;
- le fait d'une prise de décision automatisée, y compris le profilage, ainsi que, au moins dans ces cas, des informations compréhensibles sur la logique utilisée et l'importance d'une telle gestion des données et les conséquences attendues pour la personne concernée.
Si des données personnelles sont transférées vers un pays tiers ou vers une organisation internationale, la personne concernée a le droit de recevoir des informations sur les garanties appropriées concernant le transfert.
Le responsable du traitement fournit à la personne concernée une copie des données personnelles faisant l'objet de la gestion des données. Pour les copies supplémentaires demandées par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les frais administratifs. Si la personne concernée a soumis la demande par voie électronique, les informations doivent être fournies dans un format électronique largement utilisé, sauf demande contraire de la personne concernée.
Le droit d’en demander une copie ne doit pas porter atteinte aux droits et libertés d’autrui.
5.3 DROIT À LA CORRECTION
La personne concernée a le droit, sur demande, que le responsable du traitement corrige sans délai les données personnelles inexactes la concernant. Compte tenu de la finalité de la gestion des données, la personne concernée a le droit de demander que des données personnelles incomplètes soient complétées, également au moyen d'une déclaration complémentaire.
5.4 DROIT DE SUPPRESSION (DROIT À L'OUBLI)
La personne concernée a le droit de demander au responsable du traitement de supprimer sans délai injustifié les données personnelles la concernant, et le responsable du traitement est tenu de supprimer les données personnelles concernant la personne concernée sans retard injustifié si l'une des raisons suivantes existe :
- les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou autrement traitées ;
- la personne concernée retire son consentement, qui constitue la base de la gestion des données, et il n'existe aucune autre base juridique pour la gestion des données ;
- la personne concernée s'oppose au traitement des données et il n'existe aucune raison juridique impérieuse pour le traitement des données ;
- les données personnelles ont été traitées illégalement ;
- les données personnelles doivent être supprimées afin de remplir l'obligation légale prescrite par le droit de l'UE ou des États membres applicable au responsable du traitement ;
- la collecte de données personnelles a eu lieu dans le cadre de l'offre de services liés à la société de l'information.
Si le responsable du traitement a divulgué les données personnelles et est obligé de les supprimer conformément à ce qui précède, il prendra des mesures raisonnables, y compris des mesures techniques, en tenant compte de la technologie disponible et des coûts de mise en œuvre, afin d'informer le responsable du traitement des données. les données que la personne concernée lui a demandées en supprimant les liens vers les données personnelles en question ou la copie ou le duplicata de ces données personnelles.
La suppression des données ne peut être engagée si la gestion des données est nécessaire : aux fins de l'exercice du droit à la liberté d'expression et d'information ; dans le but de remplir l'obligation en vertu du droit de l'UE ou d'un État membre applicable au responsable du traitement exigeant le traitement de données à caractère personnel, ou pour l'exécution d'une mission effectuée dans l'intérêt public ou dans le cadre de l'exercice de l'autorité publique dont est investi le responsable du traitement des données ; affectant le domaine de la santé publique, ou à des fins de recherche archivistique, scientifique et historique ou à des fins statistiques, sur la base de l'intérêt public ; ou pour soumettre, faire valoir ou défendre des réclamations légales.
5.5 LE DROIT DE LIMITER LE TRAITEMENT DES DONNÉES
La personne concernée a le droit de demander au responsable du traitement de limiter le traitement des données si l'une des conditions suivantes est remplie :
- la personne concernée conteste l'exactitude des données personnelles, auquel cas la limitation s'applique au délai qui permet au responsable du traitement de vérifier l'exactitude des données personnelles ;
- le traitement des données est illégal et la personne concernée s'oppose à la suppression des données et demande à la place la limitation de leur utilisation ;
- le responsable du traitement n'a plus besoin des données personnelles à des fins de gestion des données, mais la personne concernée en a besoin pour présenter, faire valoir ou défendre des droits en justice ; obsession
- la personne concernée s'est opposée au traitement des données ; dans ce cas, la limitation s'applique jusqu'à ce qu'il soit déterminé si les raisons légitimes du responsable du traitement prévalent sur les raisons légitimes de la personne concernée.
Si le traitement des données est soumis à des restrictions fondées sur ce qui précède, ces données personnelles, à l'exception du stockage, ne seront traitées qu'avec le consentement de la personne concernée, ou pour la présentation, l'exécution ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou dans l'intérêt public important de l'Union ou d'un État membre.
Le responsable du traitement informe la personne concernée à la demande de laquelle le traitement des données a été restreint avant la levée de la restriction du traitement des données.
Le responsable du traitement informe tous les destinataires de la rectification, de la suppression ou de la limitation de la gestion des données à qui ou à qui les données personnelles ont été communiquées, à moins que cela s'avère impossible ou nécessite un effort disproportionné. A la demande de la personne concernée, le Responsable du traitement informe sur ces destinataires.
5.6 DROIT À LA PORTABILITÉ DES DONNÉES
La personne concernée a le droit de recevoir les données personnelles la concernant fournies à un responsable du traitement dans un format segmenté, largement utilisé et lisible par machine, et a également le droit de transmettre ces données à un autre responsable du traitement sans être gênée par les données. Responsable du traitement qui a fourni les données personnelles si :
- la gestion des données est basée sur le consentement de la personne concernée ou sur un contrat ; et
- la gestion des données est automatisée.
Lors de l'exercice du droit à la portabilité des données tel que décrit ci-dessus, la personne concernée a le droit - si cela est techniquement possible - de demander la transmission directe de données personnelles entre les responsables du traitement. L'exercice de ce droit ne peut violer le droit à l'effacement. Le droit susmentionné ne s'applique pas dans le cas où le traitement des données est d'intérêt public ou est nécessaire à l'exécution d'une mission effectuée dans le cadre de l'exercice de l'autorité publique déléguée au responsable du traitement. Le droit mentionné dans le paragraphe ne peut pas porter atteinte aux droits et libertés d'autrui.
5.7 DROIT DE RETRAIT
La personne concernée a le droit de retirer à tout moment son consentement au traitement de ses données personnelles, l'exercice de ce droit n'affectant pas la licéité du traitement des données effectué sur la base du consentement préalable au retrait.
5.8 SOUMETTRE UNE RÉCLAMATION À UNE AUTORITÉ DE CONTRÔLE
L'Autorité Nationale Informatique et Libertés concernée (ci-après : «Les autorités") peut ouvrir une enquête afin de vérifier la légalité de l'action du responsable du traitement si le responsable du traitement restreint l'exercice des droits de la personne concernée ou rejette sa demande d'exercice de ces droits, et la personne concernée peut demander la conduite de l'enquête. Procédure officielle de protection des données de l'Autorité si, à son avis, le responsable du traitement ou le sous-traitant mandaté par lui ou agissant sur la base de ses instructions enfreint la réglementation relative au traitement des données personnelles, définie dans la loi ou dans un acte juridique contraignant. de l'Union européenne.
Nom : Autorité nationale de protection des données et de liberté d’information
Siège social : 1055 Budapest, Falk Miksa utca 9-11
Adresse postale : 1363 Budapest, Pf. : 9.
Téléphone : +36 (1) 391 1400
Fax : 06 1 391 1410
E-mail: ugyfelszolgalat@naih.hu
Site web: http://www.naih.hu
5.9 DROIT À UN TRIBUNAL
La personne concernée peut intenter une action en justice contre le responsable du traitement ou – dans le cadre des opérations de traitement des données dans le cadre des activités du sous-traitant – contre le sous-traitant, si, à son avis, le responsable du traitement ou le sous-traitant mandaté par lui ou agissant sur la base de ses instructions, il a utilisé ses données personnelles conformément à la loi ou à la législation européenne. Elles sont traitées en violation des réglementations définies dans l'acte juridique impératif de l'Union.
Le responsable du traitement ou le sous-traitant est tenu de prouver que la gestion des données est conforme aux réglementations en matière de gestion des données personnelles définies dans la législation ou dans un acte juridique obligatoire de l'Union européenne.
L'action peut être intentée par l'intéressé - à son choix - devant le tribunal compétent de son lieu de résidence. Une personne qui n’a par ailleurs pas la capacité juridique peut être partie au procès. L'Autorité peut intervenir dans le procès afin de donner gain de cause à l'intéressé.
- DISPOSITIONS FINALES
Dans les domaines non réglementés séparément dans le règlement, les dispositions de la législation pertinente en matière de protection des données prévaudront. Si nécessaire en raison d'un changement de législation ou pour d'autres raisons, la direction modifiera le contenu du Règlement. Les dispositions contenues dans le Règlement doivent être interprétées conformément aux autres réglementations applicables du Responsable du traitement. En cas de contradiction entre les dispositions ci-dessus et les dispositions de toute autre réglementation appliquée avant l'entrée en vigueur du présent Règlement en matière de gestion des données personnelles, ces dispositions prévaudront. Lors de la mise en œuvre du présent règlement, les devoirs et responsabilités des différentes unités organisationnelles et personnes sont déterminés par des instructions internes concernant l'organisation, le fonctionnement et les activités du responsable du traitement.
ANNEXES
- Non. annexe – Enregistrement des activités de gestion des données
- Non. annexe – Test de mise en balance des intérêts
- Non. annexe – Fiche d'analyse d'impact
- Non. annexe – Contrat de traitement des données
- Non. annexe – Déclaration de confidentialité
- Non. annexe – Règlement sur la gestion des incidents relatifs à la protection des données
- Non. annexe – Exemple de déclaration de consentement à la gestion des données