指令编号 1/2024 (06.18.)

WISER集团Kft. 统一的数据保护和数据管理规定

版本号:V.001
生效日期:2024 年 6 月 18 日。

批准人:总经理 László Kozák
访问权限:仅供内部使用

 

  1. 一般规定
    1.1 规则的目的

欧洲议会和理事会 (EU) 2016/679。关于在个人数据管理和此类数据自由流动方面保护自然人,以及废除第 95/46/EC 号条例,即基于欧盟《通用数据保护条例》(GDPR)欧盟、WISER Group Kft. 作为数据控制者(以下简称:“数据控制者”)为了记录其进行的数据管理活动,保障数据主体的权利,建立数据保护的一般秩序,制定如下规定(以下简称:“法规”)是编出来的。通过本条例,数据控制者希望确保其运作的合法秩序,执行数据保护的宪法原则和数据安全的要求,并防止未经授权的数据访问及其未经授权的更改或披露。

1.2 规则的范围

该法规的实质范围涵盖数据控制者的任何组织单位在处理个人数据期间执行的所有流程,无论数据管理或数据处理是完全或部分通过计算机方式(电子方式)还是手动完成。

本条例的个人范围涵盖数据控制者的员工、受雇于其他工作法律关系的人员以及受数据管理影响的任何自然人或法人。

这些规定自外部注明的日期起生效,直至撤销。

1.3 定义

做作的”:根据任何信息识别或可识别的自然人;

个人资料”: 有关数据主体的任何信息;

贡献”: 信息主体在充分信息的基础上自愿、明确、明确地表达意愿,通过声明或者其他明确表达意愿的行为表明其同意处理其个人信息;

数据控制者”:在法律或欧盟强制性法律行为规定的框架内,独立或与他人共同确定数据管理、数据管理(包括使用的设备)制定并实施相关决策,或由数据处理者实施;

数据处理”: 无论使用何种程序,对数据或一组操作执行的任何操作,特别包括收集、记录、记录、组织、存储、更改、使用、查询、传输、披露、协调或连接、锁定、删除和销毁数据并防止其进一步使用、拍照、录音或录像,以及记录适合识别个人身份的物理特征(例如指纹或掌纹、DNA 样本、虹膜图像);

数据传输”: 向特定第三方提供数据;

数据处理”:由数据处理者代表数据控制者或应数据控制者的要求执行的数据处理操作的全部;

数据处理器”: 在法律或欧盟强制性法律行为规定的框架和条件内,代表数据控制者或在数据控制者的指示下处理个人数据的自然人、法人或不具有法人资格的组织;

第三人称”: 与数据主体、数据管理者、数据处理者或在数据管理者直接控制下进行旨在处理个人数据的操作的人员不同的自然人或法人或不具有法人资格的组织或数据处理器;

数据保护事件”: 违反数据安全性,导致意外或非法破坏、丢失、修改、未经授权的传输或披露已传输、存储或以其他方式处理的个人数据,或未经授权的访问;

健康数据”:与自然人的身体或精神健康状况有关的个人数据,包括与向该自然人提供的健康服务有关的数据,其携带有关该自然人的健康状况的信息;

剖析”: 以自动化方式对个人数据进行任何处理,旨在评估、分析或预测数据主体的个人特征,特别是与其工作表现、经济状况、健康状况、个人偏好或兴趣、可靠性、行为有关的特征,位置或移动;

收件人”:数据控制者或数据处理者向其提供个人数据的自然人或法人或不具有法人资格的组织。

1.4 数据管理指南

数据控制者在处理个人数据时始终牢记以下准则:

个人数据只能出于明确的合法目的进行处理,以行使权利和履行义务。在数据管理的各个阶段,必须满足数据管理的目的,数据的收集和管理必须公平、合法。 (“合法性、正当程序和透明度”)

只有对于实现数据管理目的至关重要且适合实现该目的的个人数据才能被处理。个人数据只能在达到目的所需的范围和时间内进行处理。 (“目的性”)

个人数据必须适合数据管理的目的且相关,并且必须仅限于必要的范围。 (“数据保存”)

在数据管理过程中,必须确保数据的准确性、完整性以及必要时的最新性,并且只能在数据管理所需的时间内识别数据主体。 (“准确性”)

个人数据的存储形式必须仅在实现个人数据管理目标所需的时间内允许识别数据主体。在数据处理过程中,只要与数据主体的关系能够恢复,个人数据就会保持其质量。如果数据控制者具备恢复所需的技术条件,则与数据主体的关系可以恢复。 (“存储容量有限”)

在数据管理过程中,必须通过采用适当的技术或组织措施来确保个人数据的适当安全,特别是防止未经授权或非法处理、意外丢失、破坏或损坏的措施。 (“完整性和保密性”)

数据控制者有责任遵守上述准则,并且必须能够证明其合规性。 (“问责制”)

1.5 数据控制器的数据

姓名: WISER Group Kft。

地址:1065 布达佩斯,Révay köz 4。

税号:27928181-2-41

公司注册号:01-09-357551

登记法院:首都法院公司法院

法定代表人:董事总经理 László Kozák

电子邮件: 信息@wisergroup.hu

电话号码:+36 30 336 08 16

  1. 数据管理规则
    2.1 数据管理的目的

数据控制者将个人数据用于与其运营相关的目的、就业目的、营销目的、个人和财产安全操作设备的目的、与相关的文档管理流程、IT 服务和信息安全的目的。该操作以利用数据资产为目的,并按照组织创始文件中的规定,以提供其他基本活动为目的进行管理。如果满足法律条件,数据控制者有权启动新的数据管理活动。个人数据管理及其详细信息记录在数据控制者的数据管理活动登记册中(1号附件) 包括在内。

2.2 数据管理的法律依据

仅当至少满足以下条件之一时,数据控制者对个人数据的处理才是合法的:

  1. 有关人士 他同意了 出于一个或多个特定目的处理您的个人数据;
  2. 数据管理就是这样 履行合同所必需的,其中数据主体是当事人之一,或者有必要在签订合同之前应数据主体的请求采取措施;
  3. 数据管理涉及数据控制者 履行法律义务 必要的;
  4. 数据处理是数据主体或其他自然人 保护切身利益 必要的,由于;
  5. 数据管理 授予数据控制者的公共利益或公共机构授权 执行在其行使过程中执行的任务所必需的;
  6. 数据由控制者或第三方管理 维护其合法利益 必要的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所取代,特别是当数据主体是儿童时。

    2.2 贡献条款

同意是数据主体自愿、具体和明确知情的意愿声明,数据主体通过声明或明确表达的行为表明他/她同意处理与其有关的个人数据。数据主体可以以可存储的形式在合同中、为此目的正规化的表格中表示同意(7号附件),以电子形式或纸质形式。数据主体可以随时撤回其同意。经同意后,才能进行此类数据处理,在此过程中可以验证是否符合事先信息和自愿性的要求。如果处于从属关系的数据主体在规定的人员范围内无一例外地集体同意仅为了数据控制者的利益而处理数据,则自愿性是不合理的。

如果数据主体在也适用于其他事项的书面声明中表示同意,则同意请求必须以与这些其他事项明显区分的方式、以易于理解和易于访问的形式提交,并具有明确的内容和简单的语言。可以以任何形式给予同意,在此期间可以识别数据主体并记录同意的事实,因此特别是:

  1. 书面形式(有当事人签名);
  2. 如果同意的事实被记录(记录),则在对相关人员进行个人身份识别后以电子方式进行;
  3. 以电子方式通过相关数据控制者注册的电子邮件地址发送的消息,只要该消息被记录和保存且没有更改。
    • 兴趣考虑测试

在某些情况下,如果某些合法利益使之成为可能,数据控制者可以选择在未经同意的情况下处理数据,前提是数据控制者履行提前通知的义务。如果数据处理的法律依据是合法利益所证明的,数据控制者将进行利益评估测试,以检查数据处理的合法性(2号附件),在此期间审查并适当证实数据管理目的的必要性以及对数据主体权利和自由的相应限制。

在进行利益权衡测试时,数据控制者识别其在数据管理中的合法利益,以及利益相关者的利益和相关的基本权利,这是权重的对立面。数据控制者始终根据特定案件的具体情况来审查权衡冲突权利和利益的条件。在评估过程中,数据控制者特别考虑正在处理或将要处理的数据的性质和敏感性、其公开程度、任何违规行为的严重性等。

作为利益评估测试的一部分,数据控制者还进行必要性和相称性审查,根据该审查,个人数据保护的例外情况和保护限制必须保持在绝对必要的限度内。可处理的数据的性质和数量不得超过维护合法利益所需的范围。相称性审查包括对目标和所选手段之间关系的评估。所选择的工具不得超过必要程度,但工具也必须适合实现指定的目标。根据权重,数据控制者确定是否可以处理个人数据。

数据主体将被告知测试结果,从中可以清楚地看出合法利益的基础以及为什么数据控制者在未经数据主体同意的情况下处理个人数据可以被视为适当的限制,那么为什么数据控制者在数据处理方面的合法利益高于数据主体的利益和权利。鉴于未经同意以及可能抗议数据管理,数据控制者告知数据主体所适用的数据保护保证。如果数据控制者不能根据特定案件的具体情况允许不同的结果,则无法规定对立利益和权利之间的权衡结果,因此数据控制者在每种情况下执行单独的利益权衡测试。

数据控制者保留偏离的权利的可能情况:

  1. 在开始计划的数据管理之前,数据控制者会审查个人数据的处理是否绝对必要以实现其目标:是否有任何替代解决方案可用于在不处理个人数据的情况下实现计划的目标。
  2. 数据控制者尽可能准确地定义其合法利益。
  3. 数据控制者确定数据管理的目的、哪些个人数据以及合法利益需要数据管理的期限。
  4. 数据控制者确定数据主体与给定数据管理相关的利益(例如,数据主体可能针对数据管理提出的方面)。
  5. 数据控制者权衡其合法利益与数据主体的利益和基本权利,并据此决定是否可以处理个人数据。数据控制者确定为什么数据控制者的合法利益以及基于此的数据处理按比例限制步骤 4 中定义的利益相关者的权利和期望。
  6. 数据控制者决定哪些保证可以保证数据管理的必要性和相称性(当然也可以采用其他保证措施)。

    2.3 特殊数据的处理

GDPR 并未对特殊数据的概念进行一般性定义,仅提及其部分类别(涉及种族或族裔出身、政治观点、宗教或世界观信仰、工会会员身份以及遗传和生物特征数据的个人数据)旨在唯一识别自然人、健康数据和有关自然人性生活或性取向的个人数据),或单独定义。仅在以下情况下才能处理特殊数据:

  1. 数据主体明确同意出于特定目的处理所述个人数据,并且欧盟或成员国法律不禁止给予同意;
  2. 如果欧盟或成员国的法律也有足够的保障来保护数据控制者或数据主体,则数据处理对于数据控制者或数据主体履行其义务并行使其在就业、社会保障和社会保护法律法规中产生的特定权利是必要的。数据主体或成员国的基本权利和利益,合法的集体协议使这成为可能;
  3. 数据处理对于保护数据主体的切身利益是必要的,但前提是数据主体因身体或法律上无行为能力而无法给予同意;
  4. 数据管理是指数据主体明确公开的个人数据;
  5. 数据管理对于法律主张的提出、执行和保护是必要的;
  6. 出于重大公共利益,根据欧盟法律或成员国法律,有必要进行数据处理,该数据处理与要实现的目标相称,尊重个人数据保护权的基本内容,并规定了适当的和保障信息主体基本权益的具体措施;
  7. 根据欧盟或成员国法律,数据处理对于预防性健康或职业健康目的、评估员工的工作能力、建立医疗诊断、提供健康或社会护理或治疗或管理健康或社会系统和服务是必要的或根据与卫生专业人员签订的合同;
  8. 出于公共利益、科学和历史研究目的或基于欧盟或成员国法律的统计目的,数据处理是必要的,与要实现的目标相称,尊重个人保护权的基本内容数据,足以保障数据主体的基本权益并规定具体措施。

    2.4 事先信息要求

如果有关数据主体的个人数据是从数据主体收集的,则数据控制者应在获取个人数据时向数据主体提供以下所有信息,除非数据主体已经拥有以下信息:信息:

  1. 数据控制者的身份和联系方式以及数据控制者的代表(如果有);
  2. 数据保护官的联系方式(如果有);
  3. 计划处理个人数据的目的以及数据处理的法律依据;
  4. 如果基于合法利益进行数据处理,则为数据控制者或第三方的合法利益;
  5. 如果适用,个人数据的接收者和接收者类别(如果有);
  6. 在适当的情况下,数据控制者希望将个人数据转移到第三国或国际组织的事实,以及委员会是否存在合规决定,或表明适当和适当的保证,以及获取其副本或其可用性参考的方法;
  7. 个人数据的存储期限,或者如果不可能的话,确定该期限的标准;
  8. 数据主体有权要求数据控制者访问与其相关的个人数据、更正、删除或限制处理,并反对处理此类个人数据,以及数据主体的数据可移植性权利;
  9. 随时撤回同意的权利,这不影响撤回前基于同意进行的数据处理的合法性;
  10. 向监管机构提出投诉的权利;
  11. 提供个人数据是否基于立法或合同义务,或者是签订合同的先决条件,以及数据主体是否有义务提供个人数据,以及不提供数据可能产生的后果有;
  12. 自动化决策的事实,包括分析,以及至少在这些情况下,所使用的逻辑和关于此类数据管理的重要性以及数据主体的预期后果的可理解信息。

如果个人数据不是从数据主体处获得的,数据控制者会指出数据的来源,并在适当的情况下指出数据是否来自可公开访问的来源。数据控制者提供如下信息:

  1. 考虑到处理个人数据的具体情况,在获取个人数据后的合理时间内,但最迟在一个月内;
  2. 如果个人数据用于联系数据主体,至少在第一次与数据主体联系期间;或者
  3. 如果预计数据将被传送给其他接收者,则最迟在首次传送个人数据时。

作为一般规则,上述信息必须以简洁、透明、易于理解和易于获取的形式传达给数据主体,并以书面形式(包括电子形式)明确且易于理解。如果数据控制者希望出于收集目的以外的目的对个人数据进行进一步的数据处理,则必须在进一步数据处理之前告知数据主体这一不同目的以及所有相关的附加信息。

2.5 数据管理活动的记录

数据控制者保存其职责范围内进行的数据管理活动的记录。数据控制者统一数据管理活动的登记册构成本条例附件1。该寄存器包含以下信息:

  1. 数据控制者的姓名和联系信息,以及联合数据控制者、数据控制者代表和数据保护官的姓名和联系信息(如果有);
  2. 数据管理的目的;
  3. 数据主体类别和个人数据类别的描述;
  4. 正在或将要向其披露个人数据的接收者类别,包括第三国或国际组织的接收者;
  5. 在适用的情况下,有关将个人数据传输至第三国或国际组织的信息,包括第三国或国际组织的身份信息,以及根据 GDPR 第 49 (1) 条第二款进行传输的情况,相应担保的说明;
  6. 如果可能,删除不同数据类别的最后期限;
  7. 如果可能,技术和组织措施的一般描述。

    2.6 影响评估和事先咨询

如果新的数据管理流程(考虑到其性质、范围、情况和目标)可能会给自然人的权利和自由带来高风险,那么在开始数据管理之前,数据控制者将对其进行影响评估数据管理流程如何保护其影响的个人数据造成类似风险的类似数据管理操作可以在单一影响评估的框架内进行。进行数据保护影响评估是数据管理组织单位的任务,影响评估文件构成本条例不可分割的附件(第三名附件) 使用。为了评估影响评估的风险和其他方面,数据管理组织单位会征求数据控制者的数据保护官员的意见(如果需要的话)。必须进行数据保护影响评估:

  1. 对公共场所进行大规模、有条理的监视,例如使用满足这些条件的电子监视系统(摄像机);
  2. 在处理大量健康等特殊数据的情况下;
  3. 在对自然人的某些个人特征进行系统和广泛的评估的情况下,该评估基于自动化数据管理,包括分析,并据此做出对自然人具有法律效力或类似地对自然人产生重大影响的决定是基于;
  4. 如果数据处理被列入监管机构的清单,强制要求进行数据保护影响评估。

对于依法(强制性)数据管理、履行法律义务所必需的数据管理以及列入监管机构清单的数据管理,无需进行数据保护影响评估数据管理免于数据保护影响评估。 影响评估至少涵盖:

  1. 对计划的数据管理操作以及数据管理的目的和法律依据进行系统描述;在基于利益考虑的数据处理的情况下,包括数据控制者希望执行的合法利益;
  2. 考虑数据管理的目的,审查数据管理操作的必要性和相称性;
  3. 检查影响数据主体权利和自由的风险;和
  4. 提出旨在管理风险的措施,包括考虑到有关各方合法利益的保障和数据安全措施,以证明遵守法律和这些规定。

进行影响评估后,数据控制者的组织单位应根据需要,但至少在数据管理操作带来的风险发生变化的情况下,安排对影响评估的审查,在此期间,风险评估将再次进行。必须至少每三年审查一次风险。完成的影响评估结果必须发送给数据控制者的数据保护官员。数据保护官员可以就影响评估发表评论。

如果数据保护影响评估确定计划的数据管理(在没有采取措施降低风险的情况下)实际上会带来高风险,则数据控制者将在数据保护部门的协助下与监管机构(如果适用)进行协商。官员,在处理个人数据之前。

2.7 数据传输

数据传输,如果数据可供特定第三方使用,包括查看数据或创建摘录的可能性。数据控制者作为数据控制者的组织体系内的数据传输、向数据处理者传输数据以及访问数据主体自己的个人数据不视为数据传输。数据传输至第三国 数据传输至欧洲经济区(以下简称:EEA)成员国以外的国家。如果数据可供任何人使用,则予以披露。

数据控制者对个人数据进行保密处理。根据 GDPR 的规定,数据传输、向第三国或国际组织的数据传输以及个人数据的披露只能在完全遵守所有相关法规的情况下进行。

数据管理组织单位决定数据传输、向第三国或国际组织传输数据以及个人数据的披露。如果对合法性有任何疑问,组织单位负责人有义务以书面或电子方式联系数据控制者的数据保护官,由其就计划的数据管理操作的合法性发表声明。

在数据控制者作为数据控制者的组织系统内管理的个人数据可以在执行任务所需的范围和时间内转移到需要数据来执行法律规定的任务的组织单位,内部规定或指示。

2.8 数据处理

数据控制器可以使用数据处理器来进行某些数据管理操作。数据处理者代表数据控制者并在适用的情况下根据其具体指令为数据控制者执行数据处理。数据处理者根据数据控制者的指令进行数据管理,不能就数据管理做出实质性决定,只能按照数据控制者的规定处理其所知的个人数据,不能对数据进行处理。为自己的目的进行数据处理,并有义务存储、保存和保密。未经数据控制者事先书面授权,数据处理者不得根据具体情况或一般情况使用额外的数据处理者。

书面协议中的数据处理条件(4号附件) 必须预订。该协议也可以作为另一份合同的一部分签订。数据处理也可以根据法律规定进行,在这种情况下,管辖数据处理关系的法律规定受法律规定管辖。如果数据处理法律关系完全受到特定立法的规范,则无需签订书面协议。

数据处理协议至少包含:

  1. 数据处理的主题、目的、持续时间、个人数据的类型以及受影响方的范围;
  2. 除非法律另有规定,数据处理者根据数据控制者的书面指示以及发出指示的情况(特别包括组织单位或授权人员的名称)进行数据处理所以。
  3. 数据处理者是否有权使用额外的数据处理者,如果有权,则有义务提供有关使用或更换额外数据处理者的信息;
  4. 数据处理者的数据安全措施;
  5. 通知数据保护事件的程序;
  6. 与确保数据主体权利相关的合作规则;
  7. 数据处理者的保密义务;
  8. 除非法律另有规定,数据处理者有义务在数据处理结束后根据数据控制者的决定删除所有个人数据(包括现有副本)或将其返回给数据控制者;
  9. 数据处理者提供遵守数据控制者法律义务所需的所有信息;
  10. 数据处理者向数据控制者提供验证数据处理合法性所需的所有信息,并在数据管理的控制、现场检查或审计期间进行配合;
  11. 如有必要,数据管理者和数据处理者的额外权利和义务。

    3.0 数据安全

    3.1.内置和默认保护

数据控制者,考虑科学技术状况和实施成本,以及数据管理的性质、范围、情况和目的,以及权利和自由风险的可变概率和严重性自然人在确定数据管理方法时和数据管理期间实施适当的技术和组织措施,例如假名化,一方面旨在有效实施数据保护原则,例如数据保存,另一方面纳入满足数据保护立法要求和在数据管理过程中保护数据主体权利所必需的保证。

数据控制者实施适当的技术和组织措施,以确保保证足够的数据安全水平,特别包括确保用于管理个人数据的系统和服务的持续机密性、完整性、可用性和弹性,以及一旦发生事件,个人访问数据并及时恢复数据的可用性。在确定适当的安全级别时,必须特别考虑数据管理带来的风险,特别是因意外或非法破坏、丢失、更改、未经授权披露或未经授权访问传输、存储或以其他方式管理的个人数据而产生的风险。

3.2 物理保护

为了确保纸质个人数据的安全,数据控制者将文件存储在配备防火和财产保护的上锁房间内。包含个人数据的手动管理文档存储在文件柜中,以履行数据控制者的保留义务,该房间也可以上锁,访问权限有限,并配备消防和资产保护。包含个人数据的文档只能由有权查看的人查看,其他人无法访问它们,也不能透露给其他人。当保留义务到期时,数据控制者将销毁这些文件。

3.3 信息技术保护

为了确保计算机或网络上存储的个人数据的安全,数据控制者采取以下保障措施:

  • 用于数据管理的计算机是数据控制者的财产,或者他对这些计算机拥有与所有者相同的权利;
  • 计算机上的数据只能通过有效的、个人的、可识别的授权来访问 - 至少需要用户名和密码 - 数据管理员将确保在合理的情况下更改密码;
  • 服务器上存储的数据只能由具有适当授权并指定用于此目的的人员访问;
  • 若已达到数据管理目的,且已过数据管理期限,则包含该数据的文件将被不可挽回地删除;
  • 持续关注处理个人数据的网络上的病毒防护;
  • 防止未经授权的人员使用可用的计算设备及其应用程序访问网络。

数据控制者管理的个人数据流是使用服务器以电子方式进行的,其物理存储是使用数据存储进行的。

对员工活动的控制

员工与雇佣关系相关的行为可以被监控。在这种情况下,数据控制者作为雇主也可以使用技术设备,并且将提前以书面形式通知员工。在没有其他协议的情况下,数据控制者可以使用雇主提供的信息技术或计算机技术设备和系统来专门用于履行雇佣关系的目的。在检查过程中,数据控制者作为雇主可能会查看存储在用于履行雇佣关系的计算设备上的与雇佣关系相关的数据。从控制权的角度来看,在禁止私人使用的情况下检查是否遵守限制所需的数据也被视为与雇佣关系相关的数据。如果根据双方协议,雇员使用自己的计算设备来履行雇佣关系,本款也适用。

无论采用何种方式记录数据,员工都必须安全地存储和保护他们使用或拥有的包含个人数据的数据载体,防止未经授权的访问、更改、传输、披露、删除或破坏,以及防止意外破坏和损坏。在处理个人数据期间,数据记录器和数据载体只能以加密(符合标准)的形式使用。数据控制者可以通过单独的内部法规和指令确保进一步执行数据安全要求。在所有情况下,数据控制者的员工都有义务按照内部规定和指示中规定的程序行事,以确保高度的数据安全。

数据控制者执行数据管理或数据处理的员工有义务将他们在活动过程中了解到的个人数据视为机密并保守秘密。只有那些有保密声明的人(5号附件) 做过。

3.4.数据保护事件的程序

数据保护事件是指对传输、存储或以其他方式处理的个人数据造成意外或非法破坏、丢失、更改、未经授权披露或未经授权访问的安全破坏。如果数据控制者的任何员工检测到数据保护事件的嫌疑或从数据处理者收到数据保护事件的指示,在数据控制者的数据保护事件管理规定中(6号附件) 必须按照既定程序执行。

  1. 任务

    4.1 责任

关于数据控制者的组织结构,数据控制者的管理层决定数据保护的组织、与数据保护和相关活动相关的任务和权力,并在必要时任命负责监督数据管理的人员,数据保护官。

数据控制者的管理

  1. 负责为有关人员行使权利创造必要的条件;
  2. 负责确保保护数据控制者管理的个人数据所需的个人、物质和技术条件;
  3. 负责消除数据管理检查中发现的任何缺陷或非法情况,启动和执行确定他人责任所需的程序;
  4. 监督数据保护官员的活动(如果有);
  5. 可以下令进行调查以揭露事实;
  6. 批准数据控制者的数据保护政策。

在本条例实施过程中,各个组织单位和个人的职责和责任由有关数据控制者的组织、运作和活动的内部规定以及员工的职位描述/任务描述确定。数据控制者组织单位的管理者有责任确保其领导的组织单位的数据管理按照法律和本条例的规定进行。

在收集个人数据之前,数据控制者的员工会告知数据主体数据管理的基本内容。执行数据管理的数据控制者的员工有义务将其获知的个人数据作为商业秘密保密,并按照规定和其他组织指示处理此类数据。在其活动过程中,数据控制者的员工确保未经授权的人员无法访问个人数据,并且个人数据的存储和放置的设计方式使得个人数据无法被访问、知晓、更改或销毁。未经授权的人。

在员工自己的工作/职责范围内

  • 负责处理、更改、删除、传输和披露数据,以及准确、可追溯的数据记录;
  • 管理和保存在执行任务期间获取的数据,确保记录的安全处理和存储;
  • 确保未经授权的人员无法访问其维护的记录数据;
  • 遵守数据管理法律和内部指令;
  • 参加与数据管理和数据保护相关的内部专业培训;
  • 有义务拒绝执行任何违反数据管理和数据保护立法以及内部指令的指令。

    5.0 权利和补救措施

以下列出的数据主体权利可以通过向数据控制者提交请求来行使。数据控制者会尽快评估权利执行请求,但不得迟于提交后 25(二十五)天,并以书面形式通知数据主体其决定,或者如果数据主体提交了请求以电子方式,通过电子方式。

5.1 有关您个人数据处理的信息

应数据主体的请求,数据控制者提供有关由其管理或由其委托或由其处置的数据处理者处理的数据主体的数据的信息、其来源、目的、法律依据、数据处理的持续时间、数据处理者的名称和地址及其与数据处理相关的活动、数据保护事件的情况、其影响以及为防止这些事件而采取的措施,以及 - 在转发数据主体的个人数据的情况下 - 法律依据和数据传输的接收者。

5.2 访问个人数据

数据主体有权从数据控制者处获得有关其个人数据是否正在被处理的反馈,如果此类数据处理正在进行中,他有权访问个人数据和以下信息:

  1. 数据管理的目的;
  2. 有关个人数据的类别;
  3. 已经或将要向其传达个人数据的接收者或接收者类别,特别包括第三国和国际组织的接收者;
  4. 在适当的情况下,个人数据的计划存储期限,或者如果不可能,则确定该期限的标准;
  5. 数据主体有权要求数据控制者更正、删除或限制处理与其相关的个人数据,并反对处理此类个人数据;
  6. 向监管机构提出投诉的权利;
  7. 如果数据不是从数据主体收集的,则有关其来源的所有可用信息;
  8. 自动化决策的事实,包括分析,以及至少在这些情况下,有关所使用的逻辑的可理解的信息以及此类数据管理的重要性以及数据主体的预期后果。

如果个人数据被转移到第三国或国际组织,数据主体有权获得有关转移的适当保证的信息。

数据控制者向数据主体提供作为数据管理主体的个人数据的副本。对于数据主体请求的额外副本,数据控制者可以根据管理成本收取合理的费用。如果数据主体以电子方式提交请求,则必须以广泛使用的电子格式提供信息,除非数据主体另有要求。

索取副本的权利不得对他人的权利和自由产生不利影响。

5.3 纠正权

数据主体有权要求数据控制者根据要求立即纠正与其有关的不准确的个人数据。考虑到数据管理的目的,数据主体有权要求填写不完整的个人数据,包括通过补充声明的方式。

5.4 删除权(被遗忘权)

数据主体有权要求数据控制者及时删除其个人数据,且存在下列原因之一的,数据控制者有义务立即删除数据主体的个人数据:

  1. 个人数据不再需要用于收集或以其他方式处理的目的;
  2. 数据主体撤回构成数据管理基础的同意,并且数据管理没有其他法律依据;
  3. 数据主体反对数据处理,并且数据处理没有压倒性的法律理由;
  4. 个人数据被非法处理;
  5. 必须删除个人数据,以履行适用于数据控制者的欧盟或成员国法律规定的法律义务;
  6. 个人数据的收集是在提供与信息社会相关的服务时进行的。

如果数据控制者已披露个人数据并有义务根据上述规定将其删除,则其将采取合理措施,包括技术措施,同时考虑到可用技术和实施成本,以通知数据控制者处理数据主体向其请求的数据删除相关个人数据的链接或该个人数据的副本或副本。

如果有必要进行数据管理,则不能发起数据删除:为了行使言论和信息自由权;为了履行适用于数据控制者的欧盟或成员国法律规定的义务,要求处理个人数据,或者为了执行为了公共利益或在行使授予的公共权力的情况下执行的任务数据控制者;基于公共利益影响公共卫生领域,或用于档案、科学和历史研究目的或统计目的;或提交、主张或捍卫法律主张。

5.5 限制数据处理的权利

如果满足以下条件之一,数据主体有权请求数据控制者限制数据处理:

  1. 数据主体对个人数据的准确性提出异议,在这种情况下,限制适用于数据控制者检查个人数据准确性的期限;
  2. 数据处理非法且数据主体反对删除数据并要求限制其使用;
  3. 数据控制者不再需要个人数据来进行数据管理,但数据主体要求他们提出、执行或辩护法律主张;痴迷
  4. 数据主体反对数据处理;在这种情况下,该限制适用于确定数据控制者的合法理由是否优先于数据主体的合法理由之前的期间。

如果数据处理受到上述限制,则除存储外,此类个人数据将仅在数据主体同意的情况下进行处理,或用于提出、执行或辩护法律索赔,或用于保护涉及其他自然人或法人的权利,或符合联盟或成员国的重要公共利益时可以处理。

数据控制者应其请求,在解除数据处理限制之前通知数据处理受到限制的数据主体。

数据控制者会通知所有接收者有关个人数据的更正、删除或数据管理限制的信息,除非事实证明这是不可能的或需要付出不成比例的巨大努力。应数据主体的请求,数据控制者会通知这些接收者。

5.6 数据可移植性的权利

数据主体有权以分段的、广泛使用的、机器可读的格式接收提供给数据控制者的有关他/她的个人数据,并且还有权将该数据传输到另一个数据控制者而不受数据的阻碍在以下情况下提供个人数据的控制者:

  1. 数据管理基于数据主体的同意或合同;和
  2. 数据管理是自动化的。

在行使上述数据可移植性权利时,数据主体有权(如果技术上可行)请求在数据控制者之间直接传输个人数据。行使该权利不得侵犯删除权。如果数据处理符合公共利益或对于执行在授予数据控制者的公共权力的框架内执行的任务是必要的,则上述权利不适用。该段中提到的权利不得对他人的权利和自由产生不利影响。

5.7 撤销权

数据主体有权随时撤回对其个人数据处理的同意,该权利的行使不影响撤回前基于同意进行的数据处理的合法性。

5.8 向监管机构提交投诉

有关国家数据保护和信息自由局(以下简称:“当局如果数据控制者限制执行数据主体的权利或拒绝其执行这些权利的请求,则数据控制者可以发起调查,以调查数据控制者的行为的合法性,并且数据主体可以请求采取以下行动:如果数据控制者或其委托的或根据其指示行事的数据处理者违反了法律或具有约束力的法律行为中定义的有关个人数据处理的规定,则当局的数据保护官方程序欧盟的。

名称:国家数据保护和信息自由局

总部:1055 Budapest, Falk Miksa utca 9-11

邮寄地址:1363 Budapest, Pf.: 9。

电话:+36 (1) 391 1400

传真:06 1 391 1410

电子邮件: ugyfelszolgalat@naih.hu

网站: http://www.naih.hu

5.9 诉诸法庭的权利

数据主体可以对数据控制者或与数据处理者活动范围内的数据处理操作有关的数据处理者提起诉讼,如果他认为数据控制者或他委托的数据处理者或根据其指示行事的行为已按照欧洲法律或欧盟强制性法律法案中规定的规定处理其个人数据。

数据控制者或数据处理者有义务证明数据管理符合欧盟立法或强制性法律法规中定义的个人数据管理规定。

当事人可以选择向其居住地的主管法院提起诉讼。不具有法律行为能力的人可以成为诉讼当事人。管理局可以介入诉讼,以便为当事人赢得诉讼。

  1. 最终条款

本条例未另行规定的,适用数据保护相关法律的规定。如有必要,基于立法的变化或其他原因,管理层将修改本条例的内容。条例中包含的条款必须根据数据控制者的其他适用条例进行解释。上述规定与本规定施行前适用的其他规定有关个人信息管理的规定不一致的,以本规定为准。在本条例实施过程中,各个组织单位和个人的职责和责任由有关数据控制者的组织、运作和活动的内部指令确定。

附录

 

  1. 不。附件—— 数据管理活动登记
  2. 不。附件—— 利益平衡测试
  3. 不。附件—— 影响评估表
  4. 不。附件—— 数据处理合同
  5. 不。附件—— 保密声明
  6. 不。附件—— 数据保护事件管理规定
  7. 不。附件—— 数据管理同意声明样本

 

zh_CNZH