I. Toepassingsgebied van de richtlijn
1. het toepassingsgebied van dit reglement omvat GreenLine Clean besloten vennootschap met beperkte aansprakelijkheid (statutaire zetel: H-1202 Boedapest, Naszód utca 19., bedrijfsregistratienummer: 01-09-994909, fiscaal nummer: HU-24192451) in zijn geheel, alle organisatorische eenheden en alle personen die voor haar werknemers werken (hierna te noemen het bedrijf).
II. doel van de richtlijn
2. het doel van de verordening is om persoonsgegevens te beschermen in overeenstemming met de basiswet handhaving, de uitvoering van informatieve zelfbeschikking, maar ook het bedrijf met betrekking tot persoonsgegevens beheerd door gegevensbescherming en gegevensbeveiliging regels.
III. toepasselijke wetgeving
3. tijdens het gegevensbeheer van het bedrijf moeten de bepalingen in de volgende wetten worden opgevolgd in overeenstemming met de bepalingen van dit reglement:
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad (27 april 2016) betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en Verordening 95/46/EG (de basisverordening gegevensbescherming, hierna: de "gegevensbeschermingsverordening").
- 2011 inzake Informatierecht en Vrijheid van Informatie, jaargang CXII (hierna: Infotv.).
- Wet V van 2013 betreffende het Burgerlijk Wetboek (hierna: Burgerlijk Wetboek)
- Wet I van 2012 op de Arbeidswet (hierna: Mt.)
- interne beroepsvoorschriften, richtlijnen, instructies
BOGEN. ontwerpvoorschriften
4. concepten gedefinieerd in het DSGVO, waarvan dit interne regels zijn Dienovereenkomstig moeten de volgende concepten worden benadrukt:
(a) persoonsgegevens: voor een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"), alle informatie betreffende; de directe natuurlijke persoon, identificeerbaar of indirect identificeerbaar, met name een identificator zoals een naam, nummer, locatiegegevens, online identificator of fysieke, fysiologische, genetische, intellectuele, economische, culturele of sociale identiteit, of identificeerbaar aan de hand van verschillende factoren
(b) Gegevensbeheer: Persoonsgegevens of -bestanden zijn geautomatiseerd elke handeling of elk geheel van handelingen die niet op geautomatiseerde wijze worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, segmenteren, opslaan, omzetten of wijzigen, opvragen, toegankelijk maken, gebruiken, mededelen, verzenden, verspreiden of anderszins door opvragen, coördineren of combineren, beperken, wissen of vernietigen.
(c) voor de verwerking verantwoordelijke: de natuurlijke of rechtspersoon, de overheidsinstantie, het agentschap
of enig ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking zijn
EU-wetgeving of nationale wetgeving bepaalt wie de verwerkingsverantwoordelijke of de verwerker is
De EU-wetgeving of nationale wetgeving geeft ook specifieke overwegingen voor het aanwijzen ervan, die je kunt definiëren.
(d) "verwerker": de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens beheert
(e) "ontvanger": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst, de instantie of enig ander lichaam aan wie of waarmee de persoonsgegevens worden verstrekt, ongeacht of het al dan niet een derde betreft. Overheidsinstanties die deel uitmaken van een individueel onderzoek dat op grond van de wetgeving van de EU of de lidstaten toegang heeft tot persoonsgegevens, worden niet als ontvangers beschouwd.
(f) derde: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die niet dezelfde is als de betrokkene, de voor de verwerking verantwoordelijke, een gegevensverwerker of de personen die als voor de verwerking verantwoordelijken persoonsgegevens mogen verwerken onder rechtstreeks toezicht van een gegevensverwerker.
(g) "bestand": een systeem voor de registratie van persoonsgegevens in ongeacht welke vorm - gecentraliseerd, gedecentraliseerd of per functioneel of geografisch gebied - dat volgens specifieke criteria voor het personeel toegankelijk is
(h) incident in verband met gegevensbescherming: een inbreuk op de beveiliging bij de overdracht, opslag of doorgifte van persoonsgegevens accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot anderszins verwerkte persoonsgegevens
(i) "vertegenwoordiger": de persoon die in de Europese Unie is gevestigd of woonachtig is, de houder en de natuurlijke of rechtspersoon die overeenkomstig artikel 27 schriftelijk door de gegevensbeheerder of de gegevensverwerker is aangewezen en die verantwoordelijk is voor de verwerking van de gegevens
(j) "onderneming": een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent
ongeacht hun rechtsvorm, inclusief bedrijven die reguliere economische activiteiten ontplooien, herenigingsbedrijven en verenigingen.
Extra concepten:
(k) Gegevensvoorraad: de hoeveelheid persoonsgegevens in het bezit van de voor de verwerking verantwoordelijke en het document dat wordt gebruikt om de aard ervan te beoordelen.
(l) technische en organisatorische maatregelen: de aard van het gegevensbeheer door de voor de verwerking verantwoordelijke, de reikwijdte, de omstandigheden en de doeleinden ervan, alsmede de rechten van natuurlijke personen en een risico van uiteenlopende waarschijnlijkheid en ernst voor hun vrijheden
gelet op een naar behoren gedefinieerde procedure om ervoor te zorgen dat en
om aan te tonen dat de verwerking van persoonsgegevens in overeenstemming is met de GDPR. Deze maatregelen zullen door de verwerkingsverantwoordelijke worden geëvalueerd en, indien nodig, door de Commissie worden herzien.
werkt het bij.
V. Basisprincipes van gegevensbeheer
5. het bedrijf de gegevens rechtmatig en eerlijk behandelt, op dezelfde manier als de betrokkene wordt behandeld op een manier die voor hem of haar begrijpelijk is (rechtmatigheid, eerlijkheid en transparantie)
6. het bedrijf verzamelt persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en behandelt deze niet op een wijze die onverenigbaar is met deze doeleinden (voor dwangdoeleinden).
7. het bedrijf beheert gegevens op gepaste wijze en relevant voor zijn doel(en), en beperkt tot wat noodzakelijk is (gegevensbewaring). het bedrijf verzamelt en bewaart dienovereenkomstig niet meer gegevens dan noodzakelijk is om het doel van het verplichte gegevensbeheer te bereiken.
8. het gegevensbeheer van het bedrijf nauwkeurig en up-to-date is Het bedrijf neemt alle redelijke maatregelen om ervoor te zorgen dat onjuiste gegevens met betrekking tot de doeleinden waarvoor de gegevens worden beheerd, onmiddellijk worden verwijderd of gecorrigeerd (nauwkeurigheid).
9. het bedrijf bewaart persoonsgegevens in een vorm die relevant is voor de betrokkenen identificeert hen alleen voor de tijd die nodig is om de doelstellingen van het beheer van persoonsgegevens mogelijk te maken, met inachtneming van de bewaarplicht (beperkte opslag) die is vastgelegd in de relevante wetgeving.
10. de onderneming door passende technische of organisatorische maatregelen zorgt voor
adequate beveiliging van persoonsgegevens, met inbegrip van bescherming tegen ongeoorloofde toegang tot persoonsgegevens onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid)
11. het bedrijf is verantwoordelijk voor het naleven van de bovengenoemde grondbeginselen en het bedrijf toont aan dat het deze naleeft (verantwoordingsplicht). hiertoe zorgt het bedrijf voor de voortdurende handhaving van de bepalingen van deze regels, d.w.z.
Het bedrijf is verantwoordelijk voor de wettelijke verplichtingen creëert de documentatie om de naleving aan te tonen.
VI Rechtsgrondslag voor gegevensbeheer
12. de verwerking van persoonsgegevens is alleen rechtmatig als en voor zover ten minste
13-18 aan een van de onder a) genoemde rechtsgronden is voldaan:
13. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (hierna: op toestemming gebaseerd gegevensbeheer).
(14) De verwerking van gegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of de maatregelen die op verzoek van de betrokkene voorafgaand aan de sluiting van de overeenkomst zijn genomen, zijn daartoe noodzakelijk (hierna: "beheer van contractgegevens").
15. het gegevensbeheer is noodzakelijk om te voldoen aan de wettelijke verplichting jegens het bedrijf (hierna: gegevensbeheer op basis van wettelijke verplichting).
16. het beheer van de gegevens de vitale belangen van de betrokkene of van een andere natuurlijke persoon dient die noodzakelijk zijn voor zijn of haar bescherming (hierna: gegevensbeheer op grond van vitale belangen).
17. het beheer van de gegevens is in het algemeen belang of valt onder een aan de onderneming verleende administratieve machtiging die noodzakelijk is voor de vervulling van een taak die deel uitmaakt van de uitoefening van het openbaar gezag (hierna "de taak van algemeen belang" genoemd)
gegevensbeheer op basis van administratieve autorisatie).
18. gegevensbeheer ten behoeve van de legitieme belangen van het bedrijf of een derde partij
noodzakelijk, tenzij de belangen van de betrokkene zwaarder wegen dan die belangen of grondrechten en fundamentele vrijheden die de bescherming van persoonsgegevens vereisen, in het bijzonder wanneer het om een kind gaat (hierna: gegevensverwerking op basis van gerechtvaardigd belang).
19. Er is altijd maar één bedrijf dat bepaalde persoonsgegevens beheert op basis van een rechtsgrondslag. De rechtsgrondslag van de gegevensverwerking kan tijdens de gegevensverwerking veranderen.
VII Inventaris van gegevensreeksen
20. het bedrijf voldoet aan de DSGVO en technische en organisatorische maatregelen in overeenstemming met de wettelijke verplichtingen een inventaris van gegevensbestanden maakt. De inventaris van gegevensbestanden omvat het bedrijf alle gegevensgebieden die het beheert en vormt een bijlage bij dit reglement.
21. met betrekking tot de gegevensbeheeractiviteiten van de onderneming in de gegevensinventaris
Het volgende is gedefinieerd:
(a) de naam van het element van de gegevensreeks
(b) gegevensbestanden
(c) Doel van gegevensbeheer
(d) de rechtsgrondslag voor gegevensbeheer
(e) Duur van het gegevensbeheer
(f) de belangencirkel
(g) wie binnen de organisatie van de onderneming toegang heeft tot persoonsgegevens
h) Type en plaats van opslag
(i) aan wie de gegevens kunnen worden verstrekt
j) Doel van de gegevensverwerking door de verwerker
k) Datum van annulering
VIII De rechten van de betrokkene en de handhaving ervan
22. in overeenstemming met de bepalingen van de GDPR stelt het bedrijf het volgende beschikbaar aan betrokkenen voor.
Recht op informatie
23. Het recht op toegang geldt voor alle rechtsgrondslagen van de gegevensverwerking in kwestie.
24. het bedrijf is beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk, duidelijk en ondubbelzinnig
informeert de betrokkenen op een begrijpelijke manier.
25. De informatie moet schriftelijk of op een andere manier worden verstrekt, eventueel ook elektronisch.
Informatie op verzoek van de betrokkene
26. Mondelinge informatie kan ook worden verstrekt op verzoek van de betrokkene, mits de identiteit van de betrokkene op andere wijze is vastgesteld.
27. de verplichting om de betrokkene zonder onnodige vertraging te informeren, maar het verzoek informeert de betrokkene in ieder geval binnen 30 dagen na ontvangst van het verzoek over andere rechten van de betrokkene over maatregelen die op verzoek van een relevante belanghebbende zijn genomen.
28. In voorkomend geval, rekening houdend met de complexiteit van het verzoek en het aantal verzoeken, kan de termijn van 30 dagen met nog eens 60 dagen worden verlengd. Om de termijn te verlengen moet een bedrijf de betrokkene 30 dagen na ontvangst van het verzoek met opgave van redenen binnen enkele dagen op de hoogte stellen. Als de betrokkene het verzoek elektronisch heeft ingediend,
de informatie wordt waar mogelijk elektronisch verstrekt, tenzij de betrokkene dit niet doet
vraagt anders.
29. Informatie en maatregelen moeten gratis worden verstrekt.
30. indien het verzoek van de betrokkene kennelijk ongegrond of buitensporig is, met name op herhaalde gronden, de onderneming, rekening houdend met de verstrekking van de gevraagde informatie of inlichtingen of voor de administratieve kosten die met het nemen van de gevraagde maatregel gemoeid zijn:
(a) mag een redelijke vergoeding vragen, of
(b) kan weigeren gevolg te geven aan het verzoek.
(31) De bewijslast dat de aanvraag kennelijk ongegrond of buitensporig is, ligt bij
wordt belast.
Verplichte informatie
32. Als het bedrijf de gegevens rechtstreeks verkrijgt van de betrokkene (met inbegrip van met name klanten), zal het bedrijf in ieder geval informatie verstrekken over het volgende:
(a) de identiteit van de eventuele vertegenwoordiger van de onderneming, en
Uw contactgegevens;
(b) de contactgegevens van de functionaris voor gegevensbescherming, indien aanwezig;
(c) de doeleinden waarvoor de verwerking van persoonsgegevens wordt beoogd en de rechtsgrondslag voor de verwerking
(d) in het geval van gegevensverwerking op basis van gerechtvaardigd belang, het bedrijf of een derde gerechtigd is om zijn belangen na te streven;
(e) indien van toepassing, de ontvangers van persoonsgegevens
f) indien van toepassing, het feit dat het bedrijf gevestigd is in een derde land en persoonsgegevens wil doorgeven aan een internationale organisatie,
33. op het moment dat de persoonsgegevens voor het eerst worden verzameld, informeert het bedrijf de betrokkene naast het bovenstaande ook over het volgende:
(a) de duur van de opslag van persoonsgegevens
b) over het recht van de betrokkene om van het bedrijf de informatie te verkrijgen die nodig is voor toegang tot persoonsgegevens, rectificatie ervan, op bepaalde rechtsgronden met betrekking tot gegevensbeheer, wissen of beperking van de verwerking en op bepaalde rechtsgronden met betrekking tot gegevensverwerking, alsmede over het recht van de betrokkene op gegevensoverdraagbaarheid;
c) te allen tijde bezwaar te maken tegen het recht op gegevensbeheer op basis van toestemming, zonder dat dit gevolgen heeft voor de toestemming die is gegeven vóór de intrekking van de rechtmatigheid van het gegevensbeheer;
(d) aan de toezichthoudende autoriteit (Nationale Autoriteit voor gegevensbescherming, hierna te noemen de Autoriteit of NAIH) over het recht van de geadresseerde om een klacht in te dienen;
(e) of de verstrekking van persoonsgegevens bij wet of bij overeenkomst is voorgeschreven, of deze berust op een verplichting of een voorwaarde voor de sluiting van de overeenkomst en of de betrokkene verplicht is persoonsgegevens te verstrekken en hoe dit kan worden gedaan. Het niet verstrekken van gegevens kan gevolgen hebben.
34. Als het bedrijf van plan is de persoonsgegevens te gebruiken voor een ander doel dan waarvoor ze zijn verzameld, wordt de betrokkene hiervan op de hoogte gesteld voordat de gegevens verder worden verwerkt voor het andere doel en wordt relevante aanvullende informatie verstrekt.
Recht op toegang
35. De betrokkene heeft recht op toegang tot alle rechtsgrondslagen voor gegevensbeheer.
36. de betrokkene heeft het recht om feedback van het bedrijf te ontvangen
of uw persoonsgegevens worden verwerkt en of deze gegevens worden verwerkt
heeft recht op toegang tot persoonlijke gegevens en de volgende informatie
ontvangen:
(a) de doeleinden van het beheer van de gegevens;
(b) de betrokken categorieën persoonsgegevens;
(c) de ontvangers of categorieën ontvangers aan wie of welke de persoonsgegevens door de onderneming worden verstrekt of beschikbaar gesteld
(d) indien van toepassing, de beoogde duur van de opslag van persoonsgegevens
(e) het recht van de betrokkene om de onderneming om de relevante informatie te verzoeken
Rectificatie van persoonsgegevens wanneer de verwerking is onderworpen aan specifieke rechtsgrondslagen Gegevenswissing of beperking van de verwerking en verwerking op basis van specifieke rechtsgrondslagen
U kunt bezwaar maken tegen de verwerking van deze persoonsgegevens;
(f) het recht om een klacht in te dienen bij de toezichthoudende autoriteit;
(g) wanneer de gegevens niet bij de betrokkene zijn verzameld, alle informatie over de bron van de gegevens
beschikbare informatie;
(h) het feit van geautomatiseerde besluitvorming, met inbegrip van profilering, alsmede, ten minste in dergelijke gevallen, de toegepaste logica en begrijpelijke informatie over de betekenis van dergelijk gegevensbeheer en de wijze waarop dit waarschijnlijk gevolgen zal hebben voor de betrokkene.
37. Het bedrijf verstrekt de betrokkene een kopie van de persoonsgegevens die het onderwerp zijn van het gegevensbeheer.
38. Voor extra kopieën op verzoek van de betrokkene draagt het bedrijf de administratiekosten. Het bedrijf kan een redelijke vergoeding vragen op basis van de prijsstelling van het bedrijf voor voorschriften, andere bestellingen of andere documenten.
Recht op correctie
39. Het recht op rectificatie geldt voor alle rechtsgrondslagen van de gegevensverwerking in kwestie.
40. de onderneming, in geval van een verzoek daartoe van de betrokkene, onverwijld
onjuist verwerkte persoonsgegevens van de betrokkene corrigeert. De betrokkene
U hebt het recht om een aanvullende verklaring aan te vragen voor onvolledige persoonlijke gegevens door deze toe te voegen.
Recht op wissen
41. het recht op wissen (uitwissing) niet automatisch toekomt aan de betrokkene, alle
wat betreft gegevensbeheer met betrekking tot rechtsgrondslagen.
42. zal het bedrijf de persoonsgegevens van de betrokkene onmiddellijk wissen
gegevens als een van de volgende redenen van toepassing is:
(a) de persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld of anderszins worden verwerkt
(b) de betrokkene de toestemming die de basis vormt voor het gegevensbeheer intrekt
(in het geval van gegevensbeheer op basis van toestemming) en er geen andere wettelijke basis is voor het gegevensbeheer;
(c) de betrokkene bezwaar maakt tegen de verwerking en er geen dwingende rechtsgrond is in het geval van gegevensbeheer, zijn de in de punten 17 en 18 genoemde rechtsgronden van toepassing op het gegevensbeheer (gegevensbeheer op basis van officiële toestemming of gerechtvaardigd belang)
(d) de persoonsgegevens onrechtmatig zijn verwerkt;
e) de persoonsgegevens in de EU-wetgeving of de wetgeving van een lidstaat die van toepassing is op het bedrijf, moeten worden gewist om te voldoen aan een voorgeschreven wettelijke verplichting;
43. Het bedrijf zal niet voldoen aan het verzoek van de betrokkene om gegevens te wissen als het beheer van de gegevens wordt vereist door de wettelijke bepalingen die van toepassing zijn op het bedrijf en die het beheer van persoonsgegevens vereisen om aan de verplichting te voldoen.
44. Wanneer de onderneming een verzoek tot annulering ontvangt, moet zij in de eerste plaats
controleert of het annuleringsverzoek echt van de rechthebbende komt. Om dit te doen,
Een bedrijf kan vragen dat het contract tussen de betrokkene en het bedrijf wordt geïdentificeerd aan de hand van gegevens (bijv. contractnummer, contractdatum), voor de betrokkene kan het bedrijf het identificatienummer van het afgegeven document invoeren, persoonlijke identificatiegegevens van de betrokkene (het bedrijf mag echter geen aanvullende identificatiegegevens vragen die het niet van de betrokkene verzamelt).
(45) Als de onderneming het verzoek tot annulering moet inwilligen, moet zij
al het mogelijke doen om persoonlijke gegevens uit alle databases te verwijderen Vermijden
46. Das Unternehmen führt eine Aufzeichnung der Löschung, um sicherzustellen, dass die Löschung erfolgt kann ihr Vorkommen nachweisen. Das Protokoll wird vom Vertreter des Unternehmens oder der/den Person(en) unterzeichnet.
ondertekend door degenen die hiertoe bevoegd zijn op grond van hun functieomschrijving. Het verwijderingsdossier omvat
(a) de naam van de betrokkene
(b) het type van de gewiste persoonsgegevens
(c) de datum van verwijdering.
47. Het bedrijf informeert iedereen voor wie persoonsgegevens zijn verstrekt.
Het recht op beperking van gegevensverwerking
Het recht op beperking geldt voor alle rechtsgrondslagen van de betreffende gegevensverwerking.
49. het bedrijf beperkt de verwerking van gegevens op verzoek van de betrokkene indien een van de volgende situaties van toepassing is
(a) de betrokkene de juistheid van de persoonsgegevens betwist, in welk geval de beperking betrekking heeft op een periode die de onderneming in staat stelt te verifiëren
Nauwkeurigheid van persoonlijke gegevens;
(b) het gegevensbeheer onwettig is en de betrokkene zich verzet tegen het wissen van de gegevens en in plaats daarvan verzoekt om het gebruik ervan te beperken;
(c) het bedrijf de persoonsgegevens niet langer nodig heeft voor gegevensbeheer, maar de betrokkene deze nodig heeft of beschermt voor de vaststelling of uitoefening van rechtsvorderingen;
Obsessie
F).
(gegevensverwerking op basis van een officiële opdracht of gerechtvaardigd belang)
tegen gegevensbeheer; in dit geval geldt de verjaringstermijn voor de periode totdat is vastgesteld of de legitieme redenen voor de transactie zwaarder wegen dan de legitieme redenen in kwestie.
50. indien het beheer van de gegevens is onderworpen aan beperkingen op grond van het vorige punt, mogen deze persoonsgegevens, behalve voor opslag, alleen worden verwerkt met toestemming van de betrokkene of met het oog op de uitoefening van een recht in rechte, de handhaving of bescherming van de rechten van andere natuurlijke of rechtspersonen ter bescherming van de betrokkene of met het oog op een zwaarwegend algemeen belang van de Europese Unie of een lidstaat.
51. Het bedrijf informeert alle personen op wie de persoonsgegevens van toepassing zijn over de verplichting aan wie de persoonsgegevens zijn verstrekt.
Protest
52. het recht om te protesteren is gebaseerd op een openbaar gezag of een legitiem belang
Gegevensbeheer gebaseerd op wettelijke grondslagen voor gegevensbeheer.
53. in het geval van een protest door de betrokkene, zal het bedrijf geen persoonsgegevens verstrekken mag doorgaan met de verwerking ervan, tenzij u de rechtmatigheid van de verwerking aantoont met een dergelijke dwingende kracht gerechtvaardigd zijn op gronden die zwaarder wegen dan de belangen, rechten en vrijheden of voor de vaststelling of handhaving van rechtsvorderingen met betrekking tot zijn of haar bescherming.
54. Wanneer persoonsgegevens worden verwerkt om directe transacties te verkrijgen, heeft de betrokkene het recht om te allen tijde bezwaar te maken tegen de verwerking van zijn persoonsgegevens voor dit doel tegen behandeling.
(55) Indien de betrokkene bezwaar maakt tegen de verwerking van persoonsgegevens met het oog op directe zakelijke acquisitie, mogen de persoonsgegevens niet langer voor dat doel worden verwerkt.
Het recht om een klacht in te dienen
Als u een verzoek indient voor toegang, rectificatie, beperking of verwijdering, of als er een protest wordt ingediend tegen het beheer van de gegevens, maar het verzoek niet wordt verwerkt
Het is mogelijk om een klacht in te dienen bij het bedrijf.
De directeur van het bedrijf is gekoppeld aan de gegevensbeheerder die naar het bedrijf komt, onderzoekt de klacht binnen 8 dagen en stelt de klager op de hoogte van de resultaten van het onderzoek.
Als de manager bepaalt dat er actie moet worden ondernomen met betrekking tot de ontvangen klacht, dan wordt deze actie uiterlijk 15 dagen na het onderzoek ondernomen en wordt de klager hiervan op de hoogte gesteld.
Recht op gegevensoverdraagbaarheid
56. het recht op gegevensoverdraagbaarheid is gebaseerd op toestemming of een contract
In het geval van een rechtsgrondslag voor de verwerking van gegevens heeft de betrokkene het recht om de gegevens automatisch te laten verwerken.
57. de onderneming zorgt ervoor dat zij betrokken is bij de betrokken onderneming
verstrekte persoonlijke gegevens gesegmenteerd, wijd verspreid en machineleesbaar zijn
formaat en dat deze gegevens worden overgedragen aan een andere voor de verwerking verantwoordelijke
vooruit.
Het recht om een klacht in te dienen bij de autoriteiten
In het geval van offensief gegevensbeheer is de Federal Data Protection and Freedom of Information Act van toepassing.
U kunt contact opnemen met de autoriteiten. Contactgegevens van de autoriteiten:
H-1530 Boedapest, Pf.:5
H-1125 Boedapest, Szilágyi Erzsébet fasor 22/C
+36 1 3911400
ugyfelszolgalat@naih.hu
IX. registratie van gegevensbeheeractiviteiten
58. Het bedrijf is verantwoordelijk voor het bijhouden van gegevensbeheeractiviteiten Het wordt in principe uitgevoerd om de naleving van het DSGVO te controleren.
Je kunt het volgen en controleren.
De onderneming rapporteert ten minste over de onder haar verantwoordelijkheid uitgevoerde gegevensbeheeractiviteiten en houdt de volgende gegevens bij:
a) Registratie van gegevensoverdracht
b) verzoeken om de rechten van belanghebbenden en de door het bedrijf verleende rechten af te dwingen
De antwoorden opnemen
c) Register van officiële verzoeken en antwoorden van het bedrijf
d) Registratie van verzoeken tot beëindiging van gegevensbeheer
e) Klantenregister
f) Registratie van verzoeken voor marketingdoeleinden
(g) het beheer van persoonsgegevens met betrekking tot de arbeidsrelatie registreren
(h) bewijs van tewerkstelling
(i) registratie van incidenten op het gebied van gegevensbescherming.
60. de transactie is voltooid in overeenstemming met haar verantwoordelijkheden zoals gedefinieerd in punt 59
registreert gegevensbeheeractiviteiten, waaronder de volgende:
(a) de naam en contactgegevens van het bedrijf en, indien beschikbaar
Naam en contactgegevens van uw vertegenwoordiger en de functionaris voor gegevensbescherming;
(b) de doeleinden van het gegevensbeheer;
(c) categorieën betrokkenen en categorieën persoonsgegevens
Beschrijving;
(d) categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
U zult
(e) indien van toepassing, persoonsgegevens aan een derde land of een internationale organisatie
Informatie over de verzending naar;
(f) waar mogelijk, de termijnen voor het wissen van de verschillende categorieën gegevens;
(g) indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen.
61. de onderneming een administratie bijhoudt op schrift, op papier of in elektronische vorm
Formaat.
X. Privacybeleid
62. neemt de onderneming, rekening houdend met de aard, de omvang, de omstandigheden en de doeleinden van het gegevensbeheer, alsmede met de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen om ervoor te zorgen dat het risico een passend niveau van gegevensbeveiliging waarborgt.
63. in overeenstemming met het voorgaande is het bedrijf verplicht om de vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen van de gegevens die het beheert.
64. Om het juiste niveau van gegevensbeveiligingsmaatregelen te bepalen, moet het bedrijf elk bestand in zijn beheer beoordelen vanuit het oogpunt van de behoefte aan bescherming, en wordt het geclassificeerd als een beveiligingsniveau.
65. Om het beveiligingsniveau van het individuele gegevensbeheer te bepalen, moet het volgende worden geanalyseerd:
a) door onbevoegde toegang tot of wijziging van de verwerkte persoonsgegevens,
het risico verbonden aan het verwijderen ervan, schade aan hardware- en softwareapparatuur en de verwachte schade;
b) of het beschadigde gegevensbestand kan worden hersteld, en zo ja
Herstelkosten, gegevensbronnen die nodig zijn om persoonsgegevens te reproduceren Beschikbaarheid om de verloren gegevens uit het handmatig achtergrondregister te vervangen
Mogelijkheid;
(c) of het gezien de aard van de verwerkte persoonsgegevens gerechtvaardigd is gedifferentieerde beveiligingsnormen toe te passen;
(d) andere risico-elementen die de beveiliging van gegevens in gevaar brengen;
66. Om de beveiliging van gegevensbeheer te implementeren, moet de onderneming fysieke, logische en toegepaste beheercontroles gemeen hebben.
67. De onderneming moet ten minste de volgende fysieke controles toepassen:
(a) de transactie door hem zowel elektronisch als op papier wordt uitgevoerd
Om onbevoegde toegang tot gegevens te voorkomen, moet ervoor worden gezorgd dat de beheerde gegevens niet fysiek toegankelijk zijn voor onbevoegde personen (kantoorslot;
Plaatsing van monitoren zodat de gegevens erop alleen kunnen worden gebruikt
bevoegde personen het kunnen zien; kunnen alleen door het bedrijf geverifieerde media zijn
verbinding met computers).
68. De onderneming past minstens de volgende logische controles toe:
(a) de onderneming zorgt ervoor dat de door haar beheerde gegevens uitsluitend worden gebruikt voor
Personen met de juiste autorisatie hebben toegang (autorisatieniveaus
Definitie per beroep; toegang tot computerdatabases passende vaststelling van autorisatieniveaus; voor intern computernetwerk
Aanmelding binden aan gebruikersnaam en wachtwoord
69. De onderneming past ten minste de volgende beheersmaatregelen toe:
a) Het bedrijf zorgt ervoor dat elke toegang tot persoonsgegevens
traceerbaar zijn in de documentatie
70. het bewaren van papieren documenten met persoonsgegevens; en
Plaats van archivering: in het hoofdkantoor in H- 1202 Boedapest, Naszód utca 19
afsluitbare archiefkast in het bestuurskantoor. De computer geschikt voor centrale gegevensopslag,
die beveiligd is met een wachtwoord en alleen eigendom is van de directeur, met maatschappelijke zetel te: H-1202 Boedapest,
De kantoren van het pand in het kantoor van de raad van bestuur in Naszód Street 19 en de
in het persoonlijke bezit van de uitvoerende macht.
XI Beheer van incidenten met gegevensbescherming
71. bij het ontbreken van passende en tijdige maatregelen, het incident met betrekking tot gegevensbescherming fysiek of materieel van aard is of immateriële schade kan toebrengen aan natuurlijke personen, met inbegrip van persoonlijke schade, verlies van controle over hun gegevens of de beperking van hun rechten, nadelige discriminatie, identiteitsdiefstal of identiteitsmisbruik,
financieel verlies, reputatieschade, beschermd door het beroepsgeheim
schending van de vertrouwelijkheid van persoonsgegevens of van de betrokken natuurlijke persoon
andere significante economische of sociale nadelen voor personen.
72. het bedrijf meldt het incident met betrekking tot gegevensbescherming onverwijld en indien mogelijk uiterlijk 72 uur nadat het kennis heeft gekregen van het incident met betrekking tot gegevensbescherming aan de autoriteit.
73. het incident met de gegevensbescherming hoeft niet aan de autoriteit te worden gemeld als het onwaarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
74. indien de kennisgeving niet binnen 72 uur wordt gedaan, een reden voor de vertraging.
75. als het nodig is het incident met betrekking tot gegevensbescherming aan de autoriteit te melden, dit in de kennisgeving:
(a) de aard van het incident in verband met gegevensbescherming moet worden beschreven, zo mogelijk met inbegrip van
de categorieën en bij benadering het aantal betrokken personen en de gegevens waarop het incident betrekking heeft
Categorieën en hun geschatte aantal;
b) moet worden gemeld door de functionaris voor gegevensbescherming of een andere persoon die aanvullende informatie verstrekt Naam en contactgegevens contactpersoon;
(c) de waarschijnlijke gevolgen van het incident voor de gegevensbescherming moeten worden beschreven Gevolgen;
(d) een beschrijving van de maatregelen die de onderneming heeft genomen om de inbreuk in verband met persoonsgegevens ongedaan te maken, met inbegrip van, in voorkomend geval, de voorgenomen maatregelen om eventuele negatieve effecten van de inbreuk in verband met persoonsgegevens te verlichten.
76. Als het gegevensbeschermingsincident waarschijnlijk een hoog natuurlijk risico inhoudt voor de rechten en vrijheden van personen, stelt het bedrijf de betrokkene onmiddellijk op de hoogte van het gegevensbeschermingsincident.
77. de in punt 75 bedoelde informatie moet op duidelijke en begrijpelijke wijze de betrokkene en de aard van het incident met betrekking tot gegevensbescherming introduceren en meedelen
(a) de functionaris voor gegevensbescherming of een andere contactpersoon die aanvullende informatie zal verstrekken Uw naam en contactgegevens
b) het waarschijnlijke resultaat van het incident met betrekking tot gegevensbescherming moet worden beschreven Gevolgen;
(c) een beschrijving van de maatregelen die de onderneming heeft genomen om de inbreuk in verband met persoonsgegevens ongedaan te maken, met inbegrip van, in voorkomend geval, de voorgenomen maatregelen om eventuele negatieve effecten van de inbreuk in verband met persoonsgegevens te verlichten.
78. De betrokkene hoeft niet te worden geïnformeerd als aan een van de volgende voorwaarden is voldaan:
(a) het bedrijf passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de gegevens waarop het incident in verband met gegevensbescherming betrekking had, in het bijzonder maatregelen zoals versleuteling - die geen toegang geven tot persoonsgegevens zij maken de gegevens onbegrijpelijk voor individuele personen;
(b) het bedrijf heeft aanvullende maatregelen genomen naar aanleiding van het incident met de gegevensbescherming,
ervoor te zorgen dat de rechten en vrijheden van de betrokkene worden gerapporteerd, is het onwaarschijnlijk dat het hoge risico zich in de toekomst nog voordoet;
(c) Het verstrekken van informatie zou een onevenredige inspanning vergen In dergelijke gevallen is het noodzakelijk om een soortgelijke maatregel te nemen om ervoor te zorgen dat belanghebbenden op vergelijkbare wijze effectief worden geïnformeerd.
79. als het bedrijf een gegevensverwerker in dienst heeft, dan in de gegevensverwerkingsovereenkomst
er moet worden gespecificeerd dat de verwerker verplicht is onmiddellijk te reageren op het incident met betrekking tot gegevensbescherming dat zich heeft voorgedaan en het bedrijf onmiddellijk op de hoogte te stellen.
XII Beheer van klantgegevens
80. in het geval van het beheer van persoonsgegevens op basis van het legitieme belang van het bedrijf, moet de volgende belangenbeoordeling worden uitgevoerd in overeenstemming met de bepalingen van de GDPR:
a) Onderwerp van gegevensbeheer
b) Bepaling van de rechtsgrondslag van het legitieme belang
(c) de te verwerken persoonsgegevens
(d) Doel van gegevensbeheer
e) Vermelding van het rechtmatige belang van de onderneming
(f) welke rechten van de betrokken personen kunnen worden geschonden
(g) Saldo van belangen
h) welke maatregelen en waarborgen het bedrijf toepast op de op deze manier verzamelde gegevens om een adequate bescherming van persoonsgegevens te bieden.
XIII Beheer van werkgelegenheidsgerelateerde gegevens
81. het bedrijf, in verband met sollicitaties, met contactgegevens
bevat bepalingen over informatie over gegevensbeheer in sollicitaties.
82. als het bedrijf de sollicitatie wil bewaren, zelfs nadat de functie is vervuld
van de door de sollicitant ingediende documenten, moet hiervoor de toestemming van de sollicitant worden verkregen. De toestemming moet als vrijwillig worden beschouwd, specifiek zijn, gebaseerd zijn op adequate informatie en duidelijk zijn. Hiertoe moet het toestemmingsformulier ten minste het volgende bevatten
(a) de identiteit en contactgegevens van de vertegenwoordiger van de onderneming
(b) de doeleinden waarvoor de verwerking van persoonsgegevens wordt beoogd [bijv. bijv. vervolgverzoek
om een nieuw gecreëerde functie te vervullen] en de rechtsgrondslag voor gegevensbeheer
(op basis van bijdragen);
(c) de duur van de opslag van persoonsgegevens;
(d) het recht van de betrokkene om van de onderneming het desbetreffende verzoek te verkrijgen
Toegang, rectificatie, uitwissing of beheer van persoonlijke gegevens
Beperking;
(e) het recht van de betrokkene om zijn of haar toestemming te allen tijde in te trekken,
wat echter geen invloed heeft op de rechtmatigheid van het gegevensbeheer;
(f) het recht een klacht in te dienen bij de Autoriteit.
83. bevat de persoonsgegevens van niet-geselecteerde kandidaten na de evaluatie van de sollicitatiegegevensdragers moeten - op verzoek - binnen 90 dagen aan de sollicitant worden teruggegeven, of een over het gebruik van de persoonsgegevens van de sollicitant in verdere oproepen tot het indienen van sollicitaties zonder uw toestemming, moeten worden vernietigd. aantekening van de vernietiging (wissen) moet worden geregistreerd.
84. het bedrijf beheert werknemersgegevens op basis van de relevante bepalingen van Mt Het zal worden geïnformeerd op de manier die is gespecificeerd in Mt, de beginselen voor gegevensbeheer die zijn opgenomen in de GDPR, in overeenstemming met
85. het bedrijf informeert werknemers over de informatie die het gebruikt
met betrekking tot verwerkers, over hun identiteit en de reikwijdte van de gegevens die aan hen worden doorgegeven.
86. De verwerking van gegevens in de arbeidsrelatie zal typisch gebaseerd zijn op de volgende rechtsgrondslagen:
(a) in het kader van een overeenkomst [arbeidsovereenkomst]
(b) op grond van een wettelijke verplichting [bijv. belasting, inhouding van alimentatie].
c) op basis van legitiem belang [bijv. gegevens met betrekking tot werkplekmonitoring].
87. als het bedrijf gegevens beheert op basis van punt 85 c) van de GDPR in overeenstemming met haar regels, is de daaropvolgende renteherziening in dit geval vereist:
(i) naam van het rechtmatige belang van de onderneming
j) Wie zijn de betrokkenen en welke rechten worden geschonden?
k) Balans van belangen
l) Welke maatregelen en waarborgen het bedrijf toepast op de op deze manier verzamelde gegevens om een adequate bescherming van persoonsgegevens te waarborgen.
88. belangenafweging bij het beheer van de reikwijdte van de verstrekte persoonsgegevens
Test(s) moet(en) beschikbaar worden gesteld aan werknemers [bijv. via een intern netwerk, als bijlage bij een arbeidscontract].
XIV Bepalingen betreffende het gebruik van de verwerker
89. als het gegevensbeheer wordt uitgevoerd door iemand anders namens het bedrijf [bijv. salarisadministratie, server, service, websitebeheer], mag het bedrijf alleen gegevensverwerkers gebruiken die afdoende garanties bieden voor gegevensbeheer volgens de GDPR om naleving van de vereisten van de GDPR te waarborgen en de rechten van betrokkenen te beschermen om passende technische en organisatorische maatregelen te implementeren.
90. de gegevensverwerker schriftelijk wordt geïnformeerd, hetzij ad hoc of in het algemeen vooraf
Ze mogen geen extra gegevensverwerkers inschakelen zonder uw toestemming.
91. met betrekking tot de verwerking van gegevens door de gegevensverwerker, het bedrijf en
een contract voor de verwerking van persoonsgegevens wordt afgesloten. Het onderwerp, de duur en de aard van het gegevensbeheer in dit contract en het doel ervan, het soort persoonsgegevens, de categorieën van betrokkenen en het bedrijf bepalen uw verplichtingen en rechten.
92. In het in het vorige punt bedoelde contract wordt met name bepaald dat de verwerker:
a) persoonlijke gegevens worden uitsluitend verwerkt op basis van de schriftelijke instructies van het bedrijf
b) ervoor zorgt dat personen gemachtigd zijn om persoonsgegevens te verwerken
onder een geheimhoudingsplicht of redelijke geheimhouding vallen die door de wet wordt opgelegd;
c) ten minste het niveau van gegevensbeveiliging toepassen dat wordt vereist door de bedrijfsmiddelen;
d) het gebruik van de bovengenoemde extra gegevensverwerker voldoet aan de genoemde voorwaarden;
e) passende technische en organisatorische maatregelen, rekening houdend met de aard van het gegevensbeheer, binnen de grenzen van wat redelijkerwijs mogelijk is, om het bedrijf te helpen bij het voldoen aan verzoeken in verband met de uitoefening van de rechten van de betrokkene om uw gegevens te beantwoorden;
(f) de onderneming bijstaat bij haar verplichtingen in het kader van het incident inzake gegevensbescherming
Prestaties, rekening houdend met het type gegevensbeheer en de gegevensverwerker, informatie die voor u beschikbaar is;
(g) dit zonder onnodige vertraging doet in het geval van een incident in verband met gegevensbescherming;
(h) na voltooiing van de verstrekking van de gegevensbeheerdienst, de onderneming
alle persoonlijke gegevens wist of teruggeeft aan het bedrijf, op basis van zijn beslissing, en bestaande kopieën wist, tenzij de EU-wetgeving of de wetgeving van een lidstaat het bewaren van persoonlijke gegevens vereist.
93 De gegevensverwerker en de persoon die toegang heeft tot persoonsgegevens
U mag deze gegevens alleen gebruiken in overeenstemming met de instructies van het bedrijf.
XIV Uitvoerings- en slotbepalingen
94. Dit reglement treedt in werking op 25 mei 2018.