I. Toepassingsgebied van de Code
1. Dit beleid is van toepassing op heel GreenLine Clean Korlátolt Felelősségű Társaság (statutaire zetel: 1202 Boedapest, Naszód utca 19., bedrijfsregistratienummer: 01-09-994909, Belastingnummer: 24192451-2-43), al haar organisatorische eenheden en al haar werknemers (hierna het "Bedrijf" genoemd).
II. Doel van de code
2. Het doel van de Code is het waarborgen van de bescherming van persoonsgegevens in overeenstemming met de Fundamentele Wet, de realisatie van informationele zelfbeschikking, en het definiëren van de regels voor gegevensbescherming en -beveiliging die van toepassing zijn op de verwerking van persoonsgegevens door het bedrijf.
III. Toepasselijke wetgeving
3. Het bedrijf moet handelen in overeenstemming met de volgende wettelijke vereisten bij het verwerken van gegevens, zoals uiteengezet in dit interne reglement:
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad (27 april 2016)
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 95/46/EG (algemene verordening gegevensbescherming, hierna "GDPR" genoemd)
- Wet CXII van 2011 over het recht op zelfbeschikking en vrijheid van informatie (hierna: Infotv.).
- Wet V van 2013 betreffende het Burgerlijk Wetboek (hierna: Burgerlijk Wetboek)
- Wet I van 2012 betreffende het arbeidswetboek (hierna "de wet betreffende het arbeidswetboek" genoemd)
- interne beroepsregels, richtlijnen, richtlijnen
IV. Interpretatieve bepalingen
4. Gedefinieerde termen zoals gedefinieerd in de GDPR, waarvan de volgende termen worden benadrukt in overeenstemming met de aard van deze interne regels:
(a) persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een nummer, locatiegegevens, een online identificator of een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
(b) verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, doorzenden, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, beperken, wissen of vernietigen van gegevens.
(c) "voor de verwerking verantwoordelijke": een natuurlijke of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden bepaald door de wetgeving van de Unie of de lidstaten, kunnen de voor de verwerking verantwoordelijke of de specifieke criteria voor de aanwijzing van de voor de verwerking verantwoordelijke ook worden bepaald door de wetgeving van de Unie of de lidstaten.
(d) "verwerker": een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die of dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt.
(e) ontvanger: een natuurlijke of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam aan wie of waarmee persoonsgegevens worden verstrekt, ongeacht of het al dan niet een derde betreft. Overheidsinstanties die toegang kunnen hebben tot persoonsgegevens in het kader van een individueel onderzoek overeenkomstig de wetgeving van de Unie of de lidstaten, zijn geen ontvangers; de verwerking van deze gegevens door deze overheidsinstanties moet voldoen aan de toepasselijke gegevensbeschermingsregels in overeenstemming met de doeleinden van de verwerking.
(f) derde: een natuurlijke of rechtspersoon, overheidsinstantie, dienst of enige andere instantie, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn persoonsgegevens te verwerken.
(g) "bestand": een geheel van persoonsgegevens, op ongeacht welke wijze gestructureerd, gecentraliseerd of gedecentraliseerd, dan wel gestructureerd volgens functionele of geografische criteria, dat toegankelijk is op basis van welbepaalde criteria.
(h) datalek: een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
(i) "vertegenwoordiger ": een in de Europese Unie gevestigde of woonachtige natuurlijke of rechtspersoon die overeenkomstig artikel 27 door de voor de verwerking verantwoordelijke of de verwerker schriftelijk is aangewezen om de voor de verwerking verantwoordelijke of de verwerker te vertegenwoordigen met betrekking tot de verplichtingen die krachtens deze verordening op de voor de verwerking verantwoordelijke of de verwerker rusten.
(j) "onderneming": elke natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm, met inbegrip van personenvennootschappen of verenigingen die een regelmatige economische activiteit uitoefenen.
Extra concepten:
k) gegevensinventaris: een document dat wordt gebruikt om de omvang en de aard van de persoonsgegevens die door de voor de verwerking verantwoordelijke worden verwerkt, te beoordelen.
(l) technische en organisatorische maatregelen: een reeks procedures die op passende wijze door de voor de verwerking verantwoordelijke worden vastgesteld, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking en de variërende mate van waarschijnlijkheid en ernst van het risico voor de rechten en vrijheden van natuurlijke personen, om te waarborgen en aan te tonen dat persoonsgegevens worden verwerkt in overeenstemming met de GDPR. Deze maatregelen worden door de verwerkingsverantwoordelijke geëvalueerd en waar nodig bijgewerkt.
V. Principes van gegevensverwerking
5. Het bedrijf verwerkt de gegevens rechtmatig en eerlijk en op een transparante manier voor de betrokkene(rechtmatigheid, eerlijkheid en transparantie).
Het bedrijf verzamelt persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en verwerkt ze niet op een manier die onverenigbaar is met die doeleinden(doelbinding).
7. Het bedrijf voert de verwerking uit op een gepaste en relevante manier voor het doel of de doelen ervan en beperkt deze tot wat noodzakelijk is(gegevensminimalisatie). Dienovereenkomstig zal het bedrijf niet meer gegevens verzamelen of opslaan dan strikt noodzakelijk is voor het doel van de verwerking.
8. Het gegevensbeheer van het bedrijf is nauwkeurig en actueel. Het bedrijf neemt alle redelijke stappen om ervoor te zorgen dat persoonsgegevens die onnauwkeurig zijn voor de doeleinden waarvoor ze worden verwerkt, zonder onnodige vertraging worden gewist of gecorrigeerd(nauwkeurigheid).
9. Het bedrijf bewaart persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt, met inachtneming van de opslagverplichtingen die zijn vastgelegd in de toepasselijke wetgeving(beperkte opslag).
10. De onderneming zorgt voor een passende beveiliging van persoonsgegevens, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking, onopzettelijk verlies, vernietiging of beschadiging van persoonsgegevens(integriteit en vertrouwelijkheid), door passende technische of organisatorische maatregelen te nemen.
11. De onderneming is verantwoordelijk voor de naleving van de hierboven beschreven beginselen en de onderneming moet deze naleving aantonen(verantwoordingsplicht). De onderneming moet er dan ook voor zorgen dat de bepalingen van deze interne regels voortdurend worden gehandhaafd, dat haar gegevensbeheer voortdurend wordt geëvalueerd en dat de procedures voor gegevensbeheer indien nodig worden gewijzigd en aangevuld. De onderneming stelt documentatie op om de naleving van haar wettelijke verplichtingen aan te tonen.
VI. Rechtsgrondslagen voor gegevensverwerking
12. De verwerking van persoonsgegevens is alleen rechtmatig als en voor zover aan ten minste een van de rechtsgronden in de paragrafen 13-18 is voldaan:
13. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (hierna "verwerking op basis van toestemming").
14. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van maatregelen op verzoek van de betrokkene voorafgaand aan het sluiten van de overeenkomst (hierna "verwerking op basis van een overeenkomst").
15. De verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de onderneming is onderworpen (hierna "verwerking op grond van een wettelijke verplichting").
16. De verwerking is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon (hierna "verwerking op basis van vitale belangen").
17. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de onderneming is opgedragen (hierna "verwerking op basis van het openbaar gezag" genoemd).
18.De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de onderneming of een derde, behalve wanneer deze belangen moeten wijken voor de belangen of de fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen, met name wanneer de betrokkene een kind is (hierna "verwerking op basis van gerechtvaardigde belangen" genoemd).
19. Een bedrijf zal altijd slechts op één rechtsgrondslag persoonsgegevens verwerken voor de verwerking van een bepaalde set persoonsgegevens. De rechtsgrondslag voor de verwerking kan tijdens de verwerking veranderen.
VII. Inventaris van data assets
20. De onderneming maakt een inventaris op van de gegevensbestanddelen met het oog op de vaststelling van technische en organisatorische maatregelen voor de verwerking van gegevens in het kader van haar activiteiten in overeenstemming met de verplichtingen uit hoofde van de GDPR en de wet. De inventaris bevat alle gegevens die door de onderneming worden verwerkt en wordt als bijlage bij dit reglement gevoegd.
21. In het kader van de gegevensbeheeractiviteiten van de onderneming wordt in de inventaris van gegevensmiddelen het volgende gespecificeerd:
(a) de naam van het element van de data-eigenschap
b) gegevensactiva
c) het doel van de verwerking
(d) de rechtsgrondslag voor de verwerking
(e) de duur van de verwerking
f) de belanghebbenden
g) wie binnen de organisatie van de onderneming toegang heeft tot persoonsgegevens
(h) methode en plaats van opslag
(i) aan wie de gegevens mogen worden verstrekt
(j) de doeleinden van de verwerking door de verwerker
(k) de datum van annulering
VIII. Rechten van de betrokkene en de handhaving ervan
22. In overeenstemming met de bepalingen van de GDPR zal het bedrijf betrokkenen voorzien van.
Recht op informatie
23. De betrokkene heeft recht op informatie met betrekking tot alle rechtsgrondslagen voor verwerking.
24. De onderneming verstrekt informatie aan betrokkenen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal.
25. De informatie moet schriftelijk of op een andere manier worden verstrekt, eventueel ook elektronisch.
Informatie op verzoek van de betrokkene
26. Op verzoek van de betrokkene kan mondelinge informatie worden verstrekt, mits de identiteit van de betrokkene op andere wijze is geverifieerd.
27. De onderneming informeert de betrokkene zonder onnodige vertraging en in ieder geval binnen 30 dagen na ontvangst van het verzoek over de maatregelen die zijn genomen naar aanleiding van het verzoek van de betrokkene met betrekking tot andere rechten van de betrokkene.
28. Indien nodig kan, rekening houdend met de complexiteit van de aanvraag en het aantal aanvragen, de termijn van 30 dagen met nog eens 60 dagen worden verlengd. De onderneming stelt de betrokkene binnen 30 dagen na ontvangst van het verzoek in kennis van de verlenging, met opgave van de redenen voor de vertraging. Indien de betrokkene het verzoek langs elektronische weg heeft ingediend, wordt de informatie waar mogelijk langs elektronische weg verstrekt, tenzij de betrokkene anders verzoekt.
29. Informatie en actie worden gratis verstrekt.
30. Indien het verzoek van de betrokkene kennelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter ervan, kan de onderneming, gelet op de administratieve kosten die aan het verstrekken van de gevraagde informatie of inlichtingen of aan het nemen van de gevraagde maatregel zijn verbonden, de gevraagde informatie of inlichtingen verstrekken of de gevraagde maatregel nemen:
a) een redelijke vergoeding in rekening brengen; of
(b) weigeren gevolg te geven aan het verzoek.
31. De bewijslast dat het verzoek kennelijk ongegrond of buitensporig is, rust op de onderneming.
Verplichte informatie
32. Wanneer de onderneming de gegevens rechtstreeks van de betrokkene (met inbegrip van met name klanten) heeft verkregen, verstrekt de onderneming in ieder geval informatie over:
a) de identiteit en contactgegevens van de eventuele vertegenwoordiger van de onderneming;
(b) de contactgegevens van de functionaris voor gegevensbescherming, indien aanwezig;
(c) de doeleinden waarvoor de persoonsgegevens zullen worden verwerkt en de rechtsgrondslag voor de verwerking
(d) in het geval van verwerking op basis van gerechtvaardigde belangen, de gerechtvaardigde belangen van de onderneming of derde partij;
(e) indien van toepassing, de ontvangers van de persoonsgegevens
(f) indien van toepassing, het feit dat de onderneming voornemens is de persoonsgegevens door te geven aan een derde land of een internationale organisatie,
33. Bij de eerste verkrijging van persoonsgegevens informeert de onderneming de betrokkenen, naast het bovenstaande, over het volgende:
a) de duur van de opslag van persoonsgegevens
(b) het recht van de betrokkene om van het bedrijf toegang te krijgen tot de hem of haar betreffende persoonsgegevens, rectificatie, wissing of beperking van de verwerking in het geval van verwerking op bepaalde rechtsgronden en om bezwaar te maken tegen de verwerking van dergelijke persoonsgegevens in het geval van verwerking op bepaalde rechtsgronden, en het recht van de betrokkene op gegevensoverdraagbaarheid;
(c) het recht om de verwerking op basis van toestemming te allen tijde in te trekken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking op basis van toestemming voorafgaand aan de intrekking ervan;
(d) het recht om een klacht in te dienen bij een toezichthoudende autoriteit (Nationale Autoriteit voor Gegevensbescherming, hierna te noemen "de Autoriteit" of "de NDA");
(e) of de verstrekking van de persoonsgegevens gebaseerd is op een wettelijke of contractuele verplichting of een voorwaarde is voor het sluiten van een overeenkomst, of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn als de gegevens niet worden verstrekt.
34.Indien de onderneming voornemens is persoonsgegevens verder te verwerken voor een ander doel dan waarvoor ze zijn verzameld, informeert zij de betrokkene over dat andere doel en over alle relevante aanvullende informatie alvorens tot verdere verwerking over te gaan.
Recht op toegang
35. Het recht van toegang is van toepassing op de betrokkene met betrekking tot alle rechtsgrondslagen voor verwerking.
36.De betrokkene heeft het recht om van het bedrijf te horen of zijn of haar persoonlijke gegevens al dan niet worden verwerkt en, als een dergelijke verwerking gaande is, het recht op toegang tot de persoonlijke gegevens en de volgende informatie:
a) de doeleinden van de verwerking;
b) de betrokken categorieën persoonsgegevens;
(c) de ontvangers of categorieën ontvangers aan wie of welke de persoonsgegevens door de onderneming zijn of zullen worden verstrekt
(d) indien van toepassing, de beoogde duur van de opslag van de persoonsgegevens
(e) het recht van de betrokkene om van het bedrijf de rectificatie van hem of haar betreffende persoonsgegevens, het wissen van dergelijke gegevens of de beperking van hun verwerking te verkrijgen in het geval van verwerking op basis van bepaalde rechtsgrondslagen en het recht om bezwaar te maken tegen de verwerking van dergelijke persoonsgegevens in het geval van verwerking op basis van bepaalde rechtsgrondslagen;
(f) het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
(g) wanneer de gegevens niet bij de betrokkene zijn verzameld, alle beschikbare informatie over de bron van de gegevens;
(h) het feit van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, de gebruikte logica en duidelijke informatie over de betekenis van een dergelijke verwerking en de waarschijnlijke gevolgen ervan voor de betrokkene.
37. De onderneming verstrekt de betrokkene een kopie van de verwerkte persoonsgegevens.
38. Voor aanvullende kopieën waarom de betrokkene heeft verzocht, kan de onderneming een redelijke vergoeding in rekening brengen op basis van de administratiekosten, waarvan het bedrag wordt vastgesteld in de tariefvoorschriften, andere regels of een ander document van de onderneming.
Recht op correctie
39. De betrokkene heeft het recht op rectificatie met betrekking tot alle rechtsgrondslagen voor verwerking.
40. De onderneming corrigeert op verzoek van de betrokkene zonder onnodige vertraging onnauwkeurig verwerkte persoonsgegevens over de betrokkene. De betrokkene heeft het recht te verzoeken dat onvolledige persoonsgegevens worden aangevuld, onder meer door middel van een aanvullende verklaring.
Recht op wissen (recht om vergeten te worden)
41. Het recht op wissen (recht om te worden vergeten) wordt niet automatisch toegekend aan de betrokkene met betrekking tot alle verwerkingen die verband houden met de rechtsgrondslag.
42. Het bedrijf verwijdert persoonlijke gegevens van de betrokkene zonder onnodige vertraging als een van de volgende redenen van toepassing is:
(a) de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze werden verzameld of anderszins verwerkt;
b) de betrokkene zijn of haar toestemming waarop de verwerking is gebaseerd, intrekt (in het geval van verwerking op basis van toestemming) en er geen andere rechtsgrondslag is voor de verwerking;
(c) de betrokkene maakt bezwaar tegen de verwerking en er is geen dwingende legitieme grond voor de verwerking in het geval van rechtsgronden voor verwerking die worden gebruikt overeenkomstig de punten 17 en 18 (verwerking op basis van openbaar gezag of gerechtvaardigd belang)
d) de persoonsgegevens onrechtmatig zijn verwerkt;
(e) de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting van de Unie of de lidstaat die op de onderneming van toepassing is;
43. De onderneming geeft geen gehoor aan het verzoek van de betrokkene om gegevens te wissen wanneer de verwerking noodzakelijk is om een wettelijke verplichting na te komen die op de onderneming van toepassing is en die in de verwerking van persoonsgegevens voorziet.
44. Indien de onderneming een verzoek tot annulering ontvangt, zal zij eerst nagaan of het verzoek tot annulering wel degelijk van de rechthebbende afkomstig is. Daartoe kan de onderneming de gegevens opvragen waarmee het contract tussen de betrokkene en de onderneming kan worden geïdentificeerd (bv. contractnummer, contractdatum), het identificatienummer van het document dat door de onderneming aan de betrokkene is verstrekt, de persoonlijke identificatiegegevens die over de betrokkene zijn geregistreerd (de onderneming mag echter geen aanvullende gegevens ter identificatie opvragen die zij niet over de betrokkene bewaart).
45. Als de onderneming aan het verzoek tot wissen moet voldoen, moet zij alles in het werk stellen om ervoor te zorgen dat de persoonsgegevens uit alle databanken worden gewist.
46. De onderneming houdt een register van de annulering bij om te kunnen bewijzen dat de annulering heeft plaatsgevonden. Het register wordt ondertekend door de vertegenwoordiger van de onderneming of door de persoon (personen) die daartoe op grond van zijn (hun) functieomschrijving gemachtigd is (zijn). Het annuleringsverslag bevat de volgende gegevens
a) de naam van de betrokken persoon
b) het type verwijderde persoonsgegevens
c) de datum van de annulering.
47. De onderneming stelt iedereen aan wie de persoonsgegevens zijn verstrekt, in kennis van de verplichting om de gegevens te wissen.
Recht op beperking van de verwerking
48. Het recht op beperking is van toepassing op alle rechtsgronden voor verwerking.
49. De onderneming beperkt de verwerking op verzoek van de betrokkene indien aan een van de volgende voorwaarden is voldaan:
(a) de betrokkene de juistheid van de persoonsgegevens betwist, in welk geval de beperking geldt voor de periode die nodig is om de onderneming in staat te stellen de juistheid van de persoonsgegevens te controleren;
(b) de verwerking onwettig is en de betrokkene zich verzet tegen het wissen van de gegevens en in plaats daarvan verzoekt om beperking van het gebruik ervan;
(c) de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden van de verwerking, maar door de betrokkene zijn vereist voor de vaststelling, uitoefening of verdediging van een recht in rechte; of
(f) de betrokkene bezwaar heeft gemaakt tegen verwerking op basis van de rechtsgronden voor verwerking die worden gebruikt in overeenstemming met de punten 17 en 18 (verwerking op basis van openbaar gezag of gerechtvaardigde belangen); in dat geval is de beperking van toepassing gedurende de periode totdat is vastgesteld of de gerechtvaardigde gronden van de onderneming prevaleren boven de gerechtvaardigde gronden van de betrokkene.
Wanneer de verwerking is beperkt overeenkomstig het vorige punt, mogen deze persoonsgegevens, behalve voor opslag, alleen worden verwerkt met toestemming van de betrokkene of voor de vaststelling, uitoefening of verdediging van een recht in rechte, of voor de bescherming van de rechten van een andere natuurlijke of rechtspersoon of voor gewichtige openbare belangen van de Europese Unie of van een lidstaat.
51. De onderneming stelt iedereen aan wie de persoonsgegevens zijn verstrekt, van de verplichting in kennis.
Protest
Het recht op bezwaar is van toepassing op de betrokkene in gevallen waarin de verwerking is gebaseerd op rechtsgronden betreffende de uitoefening van het openbaar gezag of de verwerking is gebaseerd op een gerechtvaardigd belang.
53.De onderneming mag persoonsgegevens niet langer verwerken in geval van bezwaar van een betrokkene, tenzij zij dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of voor de vaststelling, uitoefening of verdediging van een recht in rechte.
54. Wanneer persoonsgegevens worden verwerkt voor direct-marketingdoeleinden, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem of haar betreffende persoonsgegevens voor dergelijke doeleinden.
55. Indien de betrokkene bezwaar maakt tegen de verwerking van persoonsgegevens voor direct-marketingdoeleinden, mogen de persoonsgegevens niet langer voor deze doeleinden worden verwerkt.
Recht om een klacht in te dienen
Als er een verzoek om informatie, rectificatie, beperking of wissing wordt ingediend of bezwaar wordt gemaakt tegen de verwerking, maar er wordt geen gehoor gegeven aan het verzoek, dan kan er een klacht worden ingediend bij het Bedrijf.
De manager van het bedrijf zal elke klacht die het bedrijf ontvangt over de verwerking door de gegevensbeheerder binnen 8 dagen onderzoeken en de klager op de hoogte stellen van de uitkomst van het onderzoek.
Indien de beheerder bepaalt dat er maatregelen moeten worden genomen naar aanleiding van een ontvangen klacht, neemt hij/zij deze maatregelen uiterlijk 15 dagen na het onderzoek en stelt hij/zij de klager hiervan in kennis.
Recht op gegevensoverdraagbaarheid
56. Het recht op gegevensoverdraagbaarheid is van toepassing op de rechtsgrondslag voor verwerking op basis van toestemming of op basis van een contract, indien de verwerking geautomatiseerd wordt uitgevoerd.
57. De onderneming zorgt ervoor dat de betrokkene de hem betreffende persoonsgegevens die hij aan de onderneming ter beschikking heeft gesteld, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat ontvangt en dat de betrokkene deze gegevens aan een andere voor de verwerking verantwoordelijke doorgeeft.
Recht om een aanvraag in te dienen bij de Autoriteit
In geval van bezwaar tegen gegevensverwerking kan contact worden opgenomen met de nationale autoriteit voor gegevensbescherming en vrijheid van informatie. Contactgegevens van de autoriteit:
1530 Boedapest, Pf.:5
1125 Boedapest, Szilágyi Erzsébet fasor 22/C
+36 1 3911400
IX. Registratie van verwerkingsactiviteiten
58. De registratie van de verwerkingsactiviteiten wordt uitgevoerd door het bedrijf om de naleving van de GDPR te controleren en te verifiëren, in overeenstemming met het verantwoordingsbeginsel.
59. De onderneming houdt ten minste de volgende registers bij van de verwerkingsactiviteiten die onder haar verantwoordelijkheid worden uitgevoerd:
(a) registraties van gegevensoverdracht
(b) registraties van verzoeken om de uitoefening van de rechten van betrokkenen en van de antwoorden van de onderneming
(c) overzichten van verzoeken van overheidsinstanties en van de antwoorden van de onderneming
(d) het registreren van verzoeken tot stopzetting van de verwerking
e) klantgegevens
f) marketingaanvragen registreren
g) registraties van de verwerking van persoonsgegevens met betrekking tot de arbeidsrelatie
h) wervingsgegevens
i) registratie van incidenten op het gebied van gegevensbescherming.
60. De onderneming houdt een register bij van de verwerkingsactiviteiten die onder haar verantwoordelijkheid vallen, zoals gedefinieerd in punt 59, met de volgende inhoud:
(a) de naam en contactgegevens van de onderneming en, indien van toepassing, de naam en contactgegevens van de vertegenwoordiger van de onderneming en van de functionaris voor gegevensbescherming;
b) de doeleinden van de verwerking;
c) een beschrijving van de categorieën betrokkenen en de categorieën persoonsgegevens;
(d) de categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
(e) indien van toepassing, informatie over de overdracht van persoonsgegevens naar een derde land of internationale organisatie;
(f) waar mogelijk, de termijnen voor het wissen van de verschillende categorieën gegevens;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen.
61. De administratie wordt door de onderneming schriftelijk bijgehouden, op papier of in elektronische vorm.
X. Voorzieningen voor gegevensbeveiliging
62.De onderneming treft passende technische en organisatorische maatregelen om een op de omvang van het risico afgestemd niveau van gegevensbeveiliging te waarborgen, rekening houdend met de stand van wetenschap en techniek en de kosten van uitvoering, de aard, omvang, context en doeleinden van de verwerking en de variërende mate van waarschijnlijkheid en ernst van het risico voor de rechten en vrijheden van natuurlijke personen.
63.Krachtens het voorgaande moet een onderneming de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens die zij verwerkt waarborgen.
64. Teneinde het passende niveau van gegevensbeveiligingsmaatregelen te bepalen, beoordeelt de onderneming elk gegevensbestand in haar bezit op de noodzaak van bescherming en deelt zij het in een beveiligingsniveau in.
65. Om het beveiligingsniveau van elke verwerkingshandeling te bepalen, moet er een analyse worden gemaakt:
a) het risico van onbevoegde toegang tot, wijziging of verwijdering van verwerkte persoonsgegevens, schade aan hardware en software en de verwachte schade;
b) of de beschadigde gegevens hersteld kunnen worden, de kosten van het herstel, de beschikbaarheid van gegevensbronnen die nodig zijn voor de reproductie van persoonsgegevens, de mogelijkheid om verloren gegevens uit het handmatige back-upregister te vervangen;
(c) of het, gelet op de aard van de verwerkte persoonsgegevens, passend is gedifferentieerde beveiligingsnormen toe te passen;
(d) andere risico-elementen die de beveiliging van gegevens bedreigen;
66. Om de gegevensverwerking te beveiligen, past het bedrijf fysieke, logische en administratieve controles in combinatie toe.
67. De onderneming past ten minste de volgende fysieke controles toe:
(a) de onderneming ervoor zorgt dat de gegevens die zij verwerkt, zowel elektronisch als op papier, niet fysiek toegankelijk zijn voor onbevoegden (vergrendeling van kantoren; plaatsing van beeldschermen zodat alleen bevoegde personen toegang hebben tot de daarin opgenomen gegevens; alleen door de onderneming gecontroleerde gegevensdragers kunnen worden aangesloten op computers), om ongeoorloofde toegang tot de verwerkte gegevens te voorkomen.
68. De onderneming past ten minste de volgende logische controles toe:
(a) de onderneming ervoor zorgt dat de toegang tot de gegevens die zij verwerkt, wordt beperkt tot degenen die over het juiste machtigingsniveau beschikken (vaststelling van machtigingsniveaus per functie; vaststelling van de toegang tot computerdatabanken op basis van machtigingsniveaus; koppeling van de toegang tot het interne computernetwerk aan een gebruikersnaam en een wachtwoord
69. De onderneming past ten minste de volgende administratieve controles toe:
a) de onderneming ervoor zorgt dat elke toegang tot persoonsgegevens in de documentatie kan worden getraceerd
70. Plaats van opslag en archivering van papieren documenten met persoonsgegevens: afsluitbare archiefkast in het directiekantoor in het hoofdkantoor, Naszód utca 19, 1202 Boedapest. De computer voor centrale gegevensopslag, die beveiligd is met een wachtwoord en alleen in het bezit is van de CEO, bevindt zich in de kantoorruimte van het pand in het kantoor van de CEO in 1202 Boedapest, Naszód utca 19, en is in het persoonlijke bezit van de CEO.
XI. Omgaan met incidenten op het gebied van gegevensbescherming
71.Een inbreuk in verband met persoonsgegevens kan, indien niet tijdig passende maatregelen worden genomen, fysieke, financiële of niet-financiële schade toebrengen aan natuurlijke personen, waaronder verlies van controle over of beperking van hun rechten op hun persoonsgegevens, discriminatie, identiteitsdiefstal of -misbruik, financieel verlies, aantasting van de reputatie, verlies van de vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens of andere significante economische of sociale schade voor de betrokken natuurlijke personen.
72. De onderneming stelt de autoriteit onverwijld, en indien mogelijk uiterlijk 72 uur nadat het incident met betrekking tot gegevensbescherming haar ter kennis is gekomen, in kennis van het incident met betrekking tot gegevensbescherming.
73. Een incident met betrekking tot gegevensbescherming hoeft niet te worden gemeld aan de autoriteit als het onwaarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
74. Als de kennisgeving niet binnen 72 uur wordt gedaan, moet deze vergezeld gaan van de redenen die de vertraging rechtvaardigen.
75. Indien het melden van de inbreuk in verband met persoonsgegevens aan een overheidsinstantie vereist is, in de melding:
(a) een beschrijving van de aard van de inbreuk in verband met persoonsgegevens, met inbegrip van, waar mogelijk, de categorieën en bij benadering het aantal betrokkenen en de categorieën en bij benadering het aantal betrokkenen waarop de inbreuk betrekking heeft;
(b) de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon die meer informatie kan verstrekken;
(c) de waarschijnlijke gevolgen van de gegevensinbreuk beschrijven;
(d) een beschrijving van de maatregelen die de onderneming heeft genomen of voornemens is te nemen om de inbreuk in verband met persoonsgegevens ongedaan te maken, met inbegrip van, in voorkomend geval, maatregelen om eventuele negatieve gevolgen van de inbreuk in verband met persoonsgegevens te beperken.
76. Indien de inbreuk in verband met persoonsgegevens waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van natuurlijke personen, informeert de onderneming de betrokkene zonder onnodige vertraging over de inbreuk in verband met persoonsgegevens.
77. De in punt 75 bedoelde informatie moet de betrokkene duidelijk en ondubbelzinnig de aard van de inbreuk in verband met persoonsgegevens uitleggen en moet worden meegedeeld:
(a) de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon die meer informatie kan verstrekken;
b) de waarschijnlijke gevolgen van de gegevensinbreuk beschrijven;
(c) een beschrijving van de maatregelen die de onderneming heeft genomen of voornemens is te nemen om de inbreuk in verband met persoonsgegevens ongedaan te maken, met inbegrip van, in voorkomend geval, maatregelen om eventuele negatieve gevolgen van de inbreuk in verband met persoonsgegevens te beperken.
78. De betrokkene hoeft niet te worden geïnformeerd als aan een van de volgende voorwaarden wordt voldaan:
(a) de onderneming heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de gegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name maatregelen, zoals het gebruik van versleuteling, die de gegevens onbegrijpelijk maken voor personen die geen toegang hebben tot de persoonsgegevens;
(b) de onderneming heeft na de inbreuk in verband met persoonsgegevens aanvullende maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkene zich waarschijnlijk niet meer zal voordoen;
c) de informatie een onevenredige inspanning zou vereisen. In dergelijke gevallen wordt de betrokkene geïnformeerd door middel van openbaar gemaakte informatie of door een soortgelijke maatregel die garandeert dat de betrokkene op een even doeltreffende manier wordt geïnformeerd.
79. Indien de onderneming een gegevensverwerker inschakelt, moet in het gegevensverwerkingscontract worden bepaald dat de gegevensverwerker de onderneming onverwijld in kennis moet stellen van elk incident in verband met gegevensbescherming dat zich bij de gegevensverwerker voordoet.
XII. Verwerking van klantgegevens
80. In het geval van verwerking van persoonsgegevens op basis van de legitieme belangen van het bedrijf, is de volgende belangenafweging vereist in overeenstemming met de bepalingen van de GDPR:
a) het voorwerp van de verwerking
b) de vaststelling van een rechtsgrondslag voor het legitieme belang
c) de te verwerken persoonsgegevens
(d) het doel van de verwerking
(e) het rechtmatige belang van de onderneming
f) welke rechten van de betrokkenen kunnen worden aangetast
(g) belangenafweging
(h) welke maatregelen en waarborgen de onderneming toepast om een passende bescherming van de aldus verzamelde persoonsgegevens te waarborgen.
XIII. Verwerking van werkgerelateerde gegevens
81. De onderneming neemt in de sollicitatie de bepalingen op betreffende informatie over gegevensbeheer, met inbegrip van contactgegevens.
82. Indien de onderneming de door de sollicitant ingediende documenten wenst te bewaren nadat de post is bezet, moet de sollicitant om toestemming worden gevraagd. De toestemming moet vrijwillig, specifiek, naar behoren geïnformeerd en ondubbelzinnig zijn. Daartoe moet het toestemmingsformulier ten minste de volgende informatie bevatten:
a) de identiteit en contactgegevens van de vertegenwoordiger van de onderneming;
(b) de doeleinden waarvoor de persoonsgegevens zullen worden verwerkt [bijvoorbeeld een volgend verzoek om een nieuwe vacature te vervullen] en de rechtsgrondslag voor de verwerking (op basis van toestemming);
(c) de duur van de opslag van de persoonsgegevens;
(d) het recht van de betrokkene om het bedrijf te verzoeken de verwerking van hem of haar betreffende persoonsgegevens in te zien, te rectificeren, te wissen of te beperken;
(e) het recht van de betrokkene om zijn of haar toestemming te allen tijde in te trekken, onverminderd de rechtmatigheid van de verwerking die is uitgevoerd op basis van de toestemming voordat deze werd ingetrokken;
(f) het recht om een klacht in te dienen bij de autoriteit.
83. Na de beoordeling van de sollicitatie moeten de gegevensdragers met de persoonsgegevens van afgewezen sollicitanten op verzoek binnen 90 dagen aan de sollicitant worden geretourneerd, of worden vernietigd indien de sollicitant geen toestemming geeft voor het gebruik van zijn/haar persoonsgegevens in verdere sollicitaties. Van de vernietiging (wissing) wordt een register bijgehouden.
84. Het bedrijf verwerkt de gegevens van werknemers in overeenstemming met de relevante bepalingen van de Arbeidswet en informeert hen op de wijze zoals voorzien in de Arbeidswet, in overeenstemming met de gegevensverwerkingsbeginselen van de GDPR.
85. De onderneming informeert werknemers over de identiteit van de gegevensverwerkers die zij gebruikt en over de reikwijdte van de gegevens die aan hen worden doorgegeven.
86. Typische rechtsgronden voor gegevensverwerking in de arbeidsrelatie zijn:
a) op contractbasis [arbeidsovereenkomst]
b) gebaseerd op een wettelijke verplichting [bijv. belasting, aftrek van alimentatie]
c) op basis van gerechtvaardigd belang [bijvoorbeeld gegevens met betrekking tot werkplekmonitoring].
87. Als het bedrijf gegevens verwerkt onder punt 85(c), is de volgende belangenafweging vereist onder de GDPR:
(i) het rechtmatige belang van de onderneming
j) wie de betrokkenen zijn en welke rechten in het geding zijn
(k) belangenafweging
(l) welke maatregelen en waarborgen de onderneming toepast om een passende bescherming van de aldus verzamelde persoonsgegevens te waarborgen.
88. De belangenbeoordelingstest(s) die is (zijn) uitgevoerd met betrekking tot de verwerking van een bepaalde reeks persoonsgegevens moet(en) beschikbaar worden gesteld aan werknemers [bijv. via een intern netwerk, als bijlage bij een arbeidsovereenkomst].
XIV. Bepalingen over het gebruik van een gegevensverwerker
89. Als de verwerking namens het bedrijf wordt uitgevoerd door een andere partij [bijv. salarisadministratie, serverdiensten, hosting van websites], mag het bedrijf alleen verwerkers inschakelen die afdoende garanties bieden voor het implementeren van passende technische en organisatorische maatregelen om naleving van de vereisten van de GDPR te waarborgen en de rechten van betrokkenen te beschermen.
90. De gegevensverwerker mag geen andere gegevensverwerker in dienst nemen zonder de voorafgaande schriftelijke toestemming, algemeen of ad hoc, van de onderneming.
91. Voor de verwerking door de verwerker wordt een overeenkomst gesloten tussen de onderneming en de verwerker. In die overeenkomst worden het voorwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën betrokkenen en de plichten en rechten van de onderneming vastgelegd.
92. In het in het vorige punt bedoelde contract wordt met name bepaald dat de verwerker
a) persoonsgegevens alleen verwerken op basis van schriftelijke instructies van het bedrijf,
(b) ervoor te zorgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken, gebonden zijn door een geheimhoudingsplicht of onderworpen zijn aan een passende, op de wet gebaseerde geheimhoudingsplicht;
(c) gegevensbeveiligingsmaatregelen toepassen op ten minste het door de onderneming vereiste niveau;
(d) de hierboven vermelde voorwaarden voor het gebruik van een extra verwerker naleven;
(e) de onderneming, voor zover mogelijk, door passende technische en organisatorische maatregelen, rekening houdend met de aard van de verwerking, te helpen te voldoen aan haar verplichting om verzoeken in verband met de uitoefening van de rechten van de betrokkene te beantwoorden;
(f) het bedrijf bijstaan bij het nakomen van zijn verplichtingen in het kader van de gegevensinbreuk, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensverwerker beschikt;
g) zich ertoe verbindt het bedrijf onmiddellijk op de hoogte te stellen van een incident in verband met gegevensbescherming dat zich op zijn locatie voordoet;
(h) alle persoonsgegevens te wissen of terug te geven aan de onderneming en alle bestaande kopieën te wissen na de verrichting van de verwerkingsdienst, naar goeddunken van de onderneming, tenzij de wetgeving van de Unie of de lidstaat de bewaring van persoonsgegevens vereist.
93. De verwerker en de persoon die toegang heeft tot de persoonsgegevens in de bedrijfsruimten van de verwerker, mogen deze gegevens uitsluitend volgens de instructies van de onderneming verwerken.
XIV. Inwerkingtreding en slotbepalingen
94. Dit reglement treedt in werking op 25 mei 2018.