Informations générales

• En vertu du règlement GDPR de l’UE, les personnes concernées ont les droits suivants en ce qui concerne le traitement de leurs données à caractère personnel
• Informations sur le traitement des données à caractère personnel dans le contexte de l’emploi
• Informations sur les responsables du traitement des données
• Informations sur l’utilisation de moyens techniques pour contrôler l’employé
• Informations sur la réalisation d’un test d’aptitude
• Obligations de l’employé
• Traitement dans le cadre d’une relation contractuelle sur la base du consentement de la personne concernée
• Traitement en dehors d’une relation contractuelle sur la base du consentement de la personne concernée
• Traitement des candidatures en rapport avec les offres d’emploi
• Exploitation d’un système de caméra électronique
• Droits des personnes concernées en ce qui concerne le traitement des données
• Procédure en cas de violation des droits des personnes concernées

Informations générales

Notre société, POP-UP BOX, 6724 Szeged, Kossuth Lajos sgt.29. ; ci-après dénommée le “contrôleur des données”) s’engage à protéger les données à caractère personnel, à respecter les dispositions légales obligatoires et à traiter les données à caractère personnel de manière sûre et équitable. La présente politique vise à définir les principes et politiques de protection et de gestion des données appliqués par le responsable du traitement.

La législation suivante, en particulier mais sans s’y limiter, régit toutes les opérations de traitement sur lesquelles se fonde la présente politique de confidentialité :

Loi fondamentale (articles VI, IX, XVII)
Loi V de 2013 sur le code civil ;
Loi CXII de 2011 sur le droit à l’autodétermination informationnelle et à la liberté d’information ;
Loi I de 2012 sur le code du travail
Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 95/46/CE (GDPR).

Les définitions et interprétations juridiques des termes utilisés dans la présente politique sont celles énoncées à la section 3 de l’Infotv :

Données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable (“personne concernée”) ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique;

Traitement des données : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par le droit de l’Union ou des États membres, le responsable du traitement ou les critères spécifiques pour la désignation du responsable du traitement peuvent également être déterminés par le droit de l’Union ou des États membres;

Sous-traitant : une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

Violation des données : le traitement des données à caractère personnel doit être effectué de manière à garantir une sécurité adéquate des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages, par la mise en œuvre de mesures techniques ou organisationnelles appropriées.

Une violation de données à caractère personnel est une violation de la sécurité qui entraîne, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Consentement de la personne concernée : une manifestation volontaire, spécifique, éclairée et univoque de la volonté de la personne concernée par laquelle celle-ci accepte le traitement des données à caractère personnel la concernant au moyen d’une déclaration ou d’un acte d’affirmation sans équivoque.

En vertu du GDPR de l’UE, la personne concernée a les droits suivants en ce qui concerne le traitement de ses données personnelles :

le droit à l’information en vertu des articles 13 et 14 du GDPR de l’UE
le droit d’accès en vertu de l’article 15 du GDPR de l’UE
le droit de rectification en vertu de l’article 16 du GDPR de l’UE

le droit à l’effacement des données à caractère personnel conformément à l’article 17 du règlement GDPR de l’UE
le droit à la limitation du traitement conformément à l’article 18 du règlement GDPR de l’UE
le droit à la portabilité des données conformément à l’article 20 du règlement GDPR de l’UE

Informations sur le traitement des données à caractère personnel dans le contexte de l’emploi:

L’entreprise traite les données relatives à l’emploi de l’employé conformément à la législation applicable. L’employé peut demander des informations sur le traitement de ses données à caractère personnel, demander la rectification de ses données à caractère personnel et demander l’effacement ou le verrouillage de ses données à caractère personnel, sauf en cas de traitement obligatoire.
À la demande de l’employé, l’employeur fournit des informations sur les données traitées par l’employeur ou par un sous-traitant désigné par l’employeur ou en son nom, la source des données, la finalité, la base juridique et la durée du traitement, le nom et l’adresse du sous-traitant et ses activités liées au traitement, les circonstances de la violation des données à caractère personnel, ses effets et les mesures prises pour remédier à la situation et, dans le cas du transfert de données à caractère personnel de la personne concernée, la base juridique et le destinataire du transfert.

L’employeur ne peut demander à l’employé que des données relatives à l’établissement, au maintien ou à la cessation de la relation de travail. Le traitement des données se fonde sur les dispositions du code du travail et sur les intérêts légitimes de l’employeur.

Un employé ne peut être soumis qu’à un test d’aptitude requis par la loi régissant la relation de travail ou nécessaire à l’exercice d’un droit ou à l’exécution d’une obligation prévus par la loi régissant la relation de travail.
Les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, pour l’exercice de droits et l’exécution d’obligations. À tous les stades du traitement, la finalité du traitement doit être respectée et la collecte et le traitement des données doivent être loyaux et licites. Seules les données à caractère personnel nécessaires et adéquates au regard de la finalité du traitement peuvent être traitées. Les données à caractère personnel ne peuvent être traitées que dans la mesure et pour la durée nécessaires à la réalisation de la finalité.

L’employeur ne peut divulguer à des tiers des faits, données ou opinions concernant un employé que dans les cas prévus par la loi ou avec le consentement de l’employé.

Afin de remplir les obligations découlant de la relation de travail, l’employeur peut transférer les données à caractère personnel de l’employé à un sous-traitant de données, en précisant la finalité du transfert de données, telle qu’elle est définie par la loi. L’employé doit en être informé au préalable.

Les données relatives à l’employé peuvent être utilisées à des fins statistiques et peuvent être transmises à des fins statistiques sans son consentement et de manière non nominative.

Les données personnelles de l’employé ne seront pas transférées à des pays tiers. Les pays tiers sont les pays qui ne sont pas membres de l’Union européenne.

Le traitement des données personnelles de l’employé n’implique pas de prise de décision automatisée ni de profilage.
Le traitement des données par le responsable du traitement est toujours fondé sur la loi ou sur le consentement volontaire.

Dans certains cas, en l’absence de consentement, le traitement est fondé sur une autre base juridique ou sur l’article 6 du règlement.

Le traitement suivant est effectué par l’employeur dans son intérêt légitime :

Dossiers de travail et du personnel (nom, adresse, lieu et date de naissance, nom de la mère, numéro d’identification fiscale) Traitement des données relatives aux tests d’aptitude,

Traitement des données relatives à l’utilisation des comptes de courrier électronique,

Traitement des données relatives à l’utilisation des ordinateurs, ordinateurs portables, téléphones mobiles fournis par l’employeur,

Traitement des données relatives à l’utilisation d’un système de navigation GPS,

Traitement des données relatives à l’utilisation d’un système électronique d’accès et de sortie sur le lieu de travail,

Traitement des données relatives aux systèmes de caméras électroniques,

Traitement des données contenues dans les curriculum vitae et les références des employés qui, en raison de leur fonction, participent à la certification des compétences professionnelles et techniques dans le cadre de certaines procédures d’appel d’offres et de marchés publics et de procédures de marché concurrentiel.
Le traitement des données par le responsable du traitement est toujours fondé sur la loi ou sur le consentement volontaire.

Dans certains cas, en l’absence de consentement, le traitement est fondé sur une autre base juridique ou sur l’article 6 du règlement.

L’employeur informe l’employé que, dans le cas des employés dont le travail nécessite la fourniture de vêtements de travail, il traite les mesures des vêtements des employés afin de remplir cette obligation. L’employeur conserve ces données jusqu’à la date de cessation d’emploi afin d’assurer la fourniture et le remplacement continus des vêtements de travail. À l’expiration de cette période, le responsable du traitement prend immédiatement les dispositions nécessaires pour effacer définitivement les données.

L’employeur informe le travailleur que, pour des raisons de protection de la propriété, les numéros d’immatriculation des véhicules stationnés dans les locaux seront enregistrés. Un membre du personnel de gestion immobilière employé par l’employeur est autorisé à enregistrer et à gérer les numéros d’immatriculation. Après la cessation de la relation de travail, le responsable du traitement prend immédiatement les dispositions nécessaires pour effacer les données relatives au véhicule privé de l’employé.
L’employeur informera toujours les employés à l’avance par courrier électronique si des photographies et des enregistrements audio et vidéo sont pris lors d’événements organisés par l’entreprise. En participant à l’événement, les employés consentent à la prise de photographies et d’enregistrements audio et vidéo, que l’employeur est libre de publier sur son site web, sur les sites de réseaux sociaux et sur le matériel promotionnel de l’entreprise.

Informations sur les responsables du traitement des données

L’employeur informe l’employé que ses données personnelles sont traitées par les comptables et le personnel financier employés par l’entreprise afin de remplir les obligations en matière d’impôts, de cotisations et de sécurité sociale découlant de la relation de travail. L’identité de ces responsables du traitement des données peut changer au cours de la période d’emploi, auquel cas l’employeur informera les employés du nouveau responsable du traitement des données.

L’opérateur du système électronique de connexion et de déconnexion de l’employeur est POP-UP BOX, qui transfère à POP-UP BOX les données enregistrées dans le cadre de la connexion et de la déconnexion des employés de POP-UP BOX. Les données enregistrées par le système de contrôle d’accès sont enregistrées par le responsable du traitement chargé de la gestion du bien dans le cadre de la relation de travail avec l’entreprise. Outre le responsable du traitement, les données enregistrées peuvent être connues de la personne exerçant les pouvoirs de l’employeur.
Dans le cadre des procédures d’appels d’offres et de marchés publics, les données à caractère personnel contenues dans les CV et les références ne peuvent être traitées que par les employés désignés par l’employeur et employés par l’employeur qui ont besoin de connaître ces données à caractère personnel pour l’exercice de leurs fonctions. Les CV et références mis à disposition dans ce contexte peuvent être librement utilisés dans toutes les procédures d’appel d’offres pendant la période d’emploi des employés.

Les droits d’accès aux outils informatiques mis à la disposition des employés par l’employeur pour leur travail et le traitement des données personnelles sur les outils pendant l’utilisation des différents programmes sont effectués par des administrateurs de système employés par l’employeur. Les administrateurs de système, en tant que responsables du traitement, veillent à la suppression des données devenues superflues ou incorrectes et, si nécessaire, à l’inactivation des adresses électroniques.

Informations sur l’utilisation de moyens techniques pour contrôler les employés

Principes à mettre en œuvre lors de la vérification :

L’employé ne peut être contrôlé que dans le cadre de son comportement professionnel. Le contrôle et les moyens et méthodes utilisés pour sa mise en œuvre ne doivent impliquer aucune violation de la dignité humaine. Les moyens et méthodes de contrôle ainsi que les mesures et méthodes utilisées ne peuvent être utilisés ou faire l’objet d’aucune forme de contrôle.
L’employé doit être informé au préalable de la base juridique du contrôle, de la méthode utilisée et des résultats du contrôle.

L’inspection doit être ciblée, nécessaire et proportionnée à tous les stades de la procédure. Le contrôle ne doit pas porter atteinte aux droits personnels et aux données personnelles de l’employé. Parmi les différentes méthodes de contrôle, celle qui restreint ou viole le moins les droits constitutionnels ou légaux de l’employé doit être mise en œuvre.

Le droit à la vie privée et à la protection des données personnelles est un droit de la personnalité. Le droit de la personnalité d’un employé peut être limité si la restriction est strictement nécessaire pour des raisons directement liées à l’objet de la relation de travail et proportionnées au but poursuivi. L’employé doit être informé à l’avance des modalités, des conditions et de la durée prévue de la restriction du droit à la vie privée. L’employé ne peut généralement pas renoncer à l’avance à son droit à la vie privée. Une déclaration valable du droit à la vie privée de l’employé doit être faite par écrit.

Contrôle par l’employeur :

L’employé ne peut utiliser les équipements informatiques (matériel, logiciels), les accès (Internet, etc.), les équipements de communication (courrier, fax, e-mail, téléphone portable) et les véhicules mis à sa disposition par l’employeur qu’à des fins professionnelles, et ne peut pas les utiliser à des fins privées (Instruction du directeur général n° 1/2017, datée du 19.01.2017).

L’employé doit être informé à l’avance de la base juridique du contrôle, de la méthode utilisée et des résultats du contrôle.

L’employeur est en droit de contrôler régulièrement, en présence du travailleur, l’utilisation du matériel mis à disposition par l’employeur. Le contrôle de l’utilisation du téléphone, de la correspondance et du compte de courrier électronique de l’employé est fondé sur l’intérêt de l’employeur à empêcher la divulgation de secrets d’affaires.

En cas de cessation d’emploi, l’employeur donne à l’employé la possibilité d’emporter, en les copiant sur un support de données, les données personnelles, les documents et autres éléments personnels stockés sur le téléphone et l’ordinateur mis à disposition pour les besoins du travail, au plus tard 5 jours après la cessation d’emploi.

L’employeur informe l’employé que les données susmentionnées seront définitivement supprimées à l’expiration du délai indiqué ci-dessus.

L’employeur informe l’employé qu’après la cessation d’emploi, l’adresse électronique professionnelle utilisée par l’employé sera désactivée et les expéditeurs de tout message entrant seront informés de ce fait. L’accès de l’employé au système de messagerie sera supprimé à la date de cessation d’emploi.

L’employeur informe le salarié qu’un système de localisation GPS a été installé dans les véhicules de l’entreprise.
L’employeur informe l’employé que de plus amples informations et règles sur l’utilisation de ces informations dans ses établissements sont énoncées au point 11(A) du présent code de conduite.

Information sur le déroulement d’un test d’aptitude

Un employeur peut soumettre un employé à un test d’aptitude afin d’évaluer son intérêt légitime et son aptitude à occuper l’emploi.

La participation à l’épreuve d’aptitude est obligatoire pour le salarié en vertu du décret n° 33/1998 (VI. 24.) NM sur l’examen médical et l’avis sur l’aptitude au poste de travail, l’hygiène professionnelle et personnelle.

Un travailleur ne peut être soumis qu’à un examen médical requis par une règle régissant la relation de travail ou nécessaire à l’exercice d’un droit ou à l’exécution d’une obligation prévus par une règle régissant la relation de travail.

Les résultats de l’examen ne peuvent être divulgués qu’au travailleur concerné et à l’examinateur. L’employeur n’est informé que des résultats de l’examen visant à déterminer si le travailleur est apte ou non à occuper l’emploi. Outre la personne exerçant les pouvoirs de l’employeur, les informations peuvent être communiquées à l’employé de l’employeur chargé des questions de personnel et de travail.
Obligations du salarié

L’employé doit notifier à l’employeur, dans un délai de 3 jours, toute modification des données à caractère personnel traitées par l’employeur, qui prendra rapidement des mesures pour enregistrer les modifications et supprimer les données précédemment enregistrées.

Traitement des données dans le cadre d’une relation contractuelle basée sur le consentement de la personne concernée

Le responsable du traitement enregistre, gère et traite les données à caractère personnel des personnes qui ont une relation contractuelle avec le responsable du traitement, telle qu’inscrite dans le contrat, aux fins de l’exécution du contrat. Dans ce contexte, les données à caractère personnel ne peuvent être demandées aux personnes concernées que dans la mesure strictement nécessaire à l’établissement du contrat et à l’exécution des obligations qui en découlent. Le traitement est fondé sur le consentement écrit de la personne concernée (annexe 1).

La base juridique du traitement est l’exécution d’un contrat.

Les employés impliqués dans l’exécution du contrat, les employés chargés des tâches comptables et fiscales et les responsables du traitement ont le droit d’accéder aux données à caractère personnel traitées.

Le responsable du traitement traite les données à caractère personnel de la personne concernée pendant la durée du contrat. Le responsable du traitement conserve les données à caractère personnel de la personne concernée pendant cinq ans à compter de la fin du contrat, sous réserve du délai de prescription général.

Le responsable du traitement informe la personne concernée que les données qu’il traite sont utilisées uniquement pour l’exécution du contrat et ne sont pas mises à la disposition de tiers non autorisés par le responsable du traitement.
Obligations de l’employé

L’employé est tenu de notifier à l’employeur, dans un délai de trois jours, toute modification des données à caractère personnel traitées par l’employeur, qui prendra des mesures immédiates pour enregistrer les modifications et supprimer les données précédemment enregistrées.

Le responsable du traitement enregistre, gère et traite les données à caractère personnel fournies par des personnes qui n’ont pas de relation contractuelle avec le responsable du traitement. Le traitement ne peut avoir lieu qu’avec le consentement de la personne concernée (annexe 1).

La fourniture de données et le consentement à leur traitement sont volontaires et ne sont pas exigés par la loi ou par un contrat entre les parties. La base juridique du traitement est le consentement de la personne concernée.

Les données traitées par le responsable du traitement sont utilisées exclusivement aux fins indiquées dans la déclaration signée par la personne concernée, ne sont pas mises à la disposition de tiers non autorisés par le responsable du traitement et sont détruites en cas de finalité du traitement ou de retrait de la déclaration.

Traitement des candidatures à des offres d’emploi

Les données personnelles contenues dans les CV remis en main propre lors des entretiens d’embauche seront reçues en même temps que la signature de la déclaration (annexe 2).

Les candidats peuvent également soumettre leur CV via notre site web. Lorsqu’ils postulent via le site web, les candidats pourront soumettre leur candidature après avoir lu et accepté l’avis de confidentialité publié sur le site web.

Le responsable du traitement informe les personnes concernées que notre société est inscrite au registre de protection des données de l’Autorité nationale pour la protection des données et la liberté d’information (n° : NAIH-132105/2017.).

Exploitation d’un système de caméras électroniques

Exploitation d’un système de caméras électroniques sur les sites 6724 Kálvária sgt. 87/A et 1239 Budapest Haraszti út 36/C.

POP-UP BOX exploite un système de surveillance électronique (caméras) dans ses locaux situés au 6724 Kálvária sgt. 87/A et au 1239 Budapest Haraszti út 36/C afin de contrôler les mouvements à l’intérieur de la propriété, au cours desquels des images contenant des données à caractère personnel sont enregistrées.

L’objectif et la base juridique de l’utilisation des caméras sont la protection de la propriété. L’objectif est de prévenir et de détecter les infractions et de prendre les contrevenants en flagrant délit. En cas d’infraction, les enregistrements sont utilisés comme preuve dans les procédures officielles.

Les caméras enregistrent en permanence des images des entrées des locaux, de la cour, des aires de stationnement et de l’aire de stockage de la cour. Le champ de vision des caméras est exclusivement orienté vers la zone cible, de sorte que seules les zones appartenant au propriétaire ou utilisées par lui sont observées.

L’emplacement des caméras et la zone qu’elles surveillent :

Caméra 1 : Bureau

Caméra 2 : locaux
Les enregistrements seront conservés par l’opérateur pendant 3 jours ouvrables à son siège (6724 Szeged, Kossuth Lajos sgt. 29.) par enregistrement sur un serveur central, après quoi les enregistrements seront effacés de manière irrécupérable. Dans des cas justifiés (détection d’une infraction), les enregistrements peuvent être stockés pendant une période plus longue, jusqu’à l’existence d’un intérêt légitime justifié.

Les enregistrements numériques ne peuvent être consultés que par une personne autorisée par l’opérateur (responsable de la gestion immobilière, directeur opérationnel). Les enregistrements sont traités par POP-UP BOX conformément aux dispositions de la législation sur la protection des données et ne sont transmis à des tiers que dans les cas prévus par la loi (p. ex. autorités publiques).

L’employeur a informé au préalable les employés de l’existence et du fonctionnement du système de surveillance de la manière habituelle au niveau local.

Les personnes autres que les employés (clients, invités), en entrant dans la zone, reconnaissent et acceptent le fait qu’elles sont surveillées par le système de vidéosurveillance et consentent à être enregistrées. Le responsable du traitement, conformément à son obligation légale, a affiché un avis informant le public qu’il utilise un système de surveillance électronique dans la zone.

Le responsable du traitement ne dispose pas d’une caméra qui ne surveille qu’un seul employé et ses activités. Le système de surveillance électronique n’est pas destiné à influencer le comportement des employés sur le lieu de travail.
Aucune caméra n’a été installée dans des lieux autres que ceux indiqués ci-dessus, en particulier dans des lieux où la dignité humaine pourrait être violée (par exemple, les toilettes). Le responsable du traitement n’utilise pas de caméras qui surveillent uniquement la zone réservée aux pauses des employés.

L’emplacement des caméras et leur angle de vue ont été choisis conformément au principe de limitation de la finalité, dans le seul but de sauvegarder les intérêts de la propriété et dans le respect des exigences de nécessité et de proportionnalité.

Les personnes concernées peuvent à tout moment demander des informations sur le traitement des enregistrements.

En cas de violation de ses droits, la personne concernée peut intenter une action en justice contre le responsable du traitement et peut également engager une procédure devant l’Autorité nationale pour la protection des données et la liberté d’information.

Droits des personnes concernées par le traitement des données

– Rectification, effacement des données à caractère personnel

La personne concernée peut demander des informations sur le traitement de ses données à caractère personnel et peut demander la rectification ou, sauf si le traitement est requis par la loi, l’effacement de ses données à caractère personnel.
À la demande de la personne concernée, le responsable du traitement fournit des informations sur les données qu’il traite, la finalité, la base juridique et la durée du traitement, le nom, l’adresse (siège social) et l’activité du sous-traitant, ainsi que les personnes qui reçoivent ou ont reçu les données et les finalités pour lesquelles les données sont reçues ou ont été reçues. Le responsable du traitement fournit les informations par écrit, sous une forme intelligible et gratuitement, dans les meilleurs délais à compter de la date de la demande, et au plus tard dans les 25 jours.

Le responsable du traitement rectifie les données à caractère personnel qui sont inexactes.

Le responsable du traitement efface les données personnelles si le traitement est illégal, si la personne concernée le demande, si elles sont incomplètes ou inexactes – et que cette situation ne peut être rectifiée légalement – à condition que l’effacement ne soit pas exclu par la loi, si la finalité du traitement a cessé, si le délai légal de conservation des données a expiré ou si cela a été ordonné par un tribunal ou par le commissaire à la protection des données.

La rectification et l’effacement sont notifiés à la personne concernée et à tous ceux à qui les données ont été précédemment communiquées pour traitement. La notification peut être omise si cela ne nuit pas aux intérêts légitimes de la personne concernée au regard des finalités du traitement.

Informations sur les voies de recours dont dispose la personne concernée

Droit d’introduire une réclamation auprès d’une autorité de contrôle
Toute personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle si elle considère que le traitement des données à caractère personnel la concernant enfreint les dispositions de la législation applicable.

L’autorité de contrôle auprès de laquelle la réclamation a été introduite doit informer la personne concernée de l’état d’avancement et de l’issue de la réclamation, y compris du droit à un recours juridictionnel.

L’autorité de contrôle en exercice :

Autorité nationale pour la protection des données et la liberté d’information 1125 Budapest, Szilágyi Erzsébet fasor 22/C. ugyfelszolgalat@naih.hu

www.naih.hu

Le droit à un recours juridictionnel effectif contre l’autorité de contrôle

La personne concernée a le droit à un recours juridictionnel effectif contre une décision juridiquement contraignante de l’autorité de contrôle la concernant.

Toute personne concernée a droit à un recours juridictionnel effectif si l’autorité de contrôle ne traite pas la réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’évolution de la procédure concernant la réclamation ou de l’issue de celle-ci.

Les recours contre l’autorité de contrôle sont portés devant les juridictions de l’État membre dans lequel l’autorité de contrôle est établie.

Droit à un recours juridictionnel effectif contre le responsable du traitement ou le sous-traitant
Sans préjudice des recours administratifs ou non juridictionnels disponibles, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle, toutes les personnes concernées disposent d’un recours juridictionnel effectif si elles considèrent que les droits que leur confère le règlement ont été violés du fait d’un traitement de leurs données à caractère personnel qui n’est pas conforme au règlement de l’UE.

Les actions à l’encontre d’un responsable du traitement ou d’un sous-traitant doivent être portées devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant est établi. Cette action peut également être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

Droit à réparation de la personne concernée

Toute personne ayant subi un dommage, matériel ou moral, du fait d’une violation d’une disposition légale a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Tout responsable du traitement qui intervient dans le traitement est responsable de tout dommage causé par un traitement effectué en violation de la loi. Le sous-traitant n’est responsable des dommages causés par le traitement que s’il n’a pas respecté les obligations que la loi impose expressément aux sous-traitants ou s’il n’a pas tenu compte des instructions licites du responsable du traitement ou s’il a agi contrairement à celles-ci.
Le responsable du traitement ou le sous-traitant est exonéré de sa responsabilité s’il prouve qu’il n’est en aucune façon responsable du fait générateur du dommage.

Lorsque plusieurs responsables du traitement ou plusieurs sous-traitants, ou à la fois un responsable du traitement et un sous-traitant, interviennent dans le même traitement et sont responsables du dommage causé par le traitement, chaque responsable du traitement ou sous-traitant est solidairement responsable de l’intégralité du dommage afin de garantir que la personne concernée est effectivement indemnisée.

Lorsqu’un responsable du traitement ou un sous-traitant a payé la totalité de la réparation du dommage subi, il a le droit de récupérer auprès des autres responsables du traitement ou sous-traitants impliqués dans le même traitement la partie de la réparation correspondant à l’étendue de leur responsabilité dans le dommage.

Les actions en justice visant à faire valoir le droit à réparation sont portées devant la juridiction compétente en vertu du droit hongrois.

Procédure applicable en cas de violation de données
Le responsable du traitement des données notifie à l’autorité de contrôle compétente une violation potentielle de données dans un délai raisonnable et au plus tard 72 heures après en avoir pris connaissance (annexe 3). En cas de violation de données, le responsable du traitement détermine la gravité de la violation de données, ce qui implique, dans un premier temps, de déterminer la portée de la violation de données et les circonstances du traitement. Ensuite, il convient d’évaluer la facilité avec laquelle les personnes concernées peuvent être identifiées à partir des données affectées par la violation de données à caractère personnel. Il convient ensuite d’examiner les circonstances de la violation. Dans quelles circonstances et pour quelles raisons (faiblesse de la sécurité, erreur humaine, acte répréhensible intentionnel, etc. Après l’évaluation ci-dessus, la gravité de la violation de données doit être classée dans l’une des catégories suivantes : faible, moyenne, élevée, très élevée.

Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement informe la personne concernée de la violation de données à caractère personnel dans les meilleurs délais.
En cas de détection de risques et de lacunes identifiés au cours de l’enquête détaillée susmentionnée, le responsable du traitement prend immédiatement des mesures pour réduire et éliminer les risques de sécurité et prend toutes les mesures raisonnables pour s’assurer qu’aucun incident de protection des données de ce type ne se reproduise à l’avenir. Le responsable du traitement prend sans délai des mesures pour atténuer les conséquences négatives d’une violation de données qui s’est déjà produite.

Le responsable du traitement tient un registre des violations de données à caractère personnel.

et le nombre approximatif de données ; les autres conséquences probables de la violation de données ; les mesures prises par le responsable du traitement pour remédier à la violation de données à ce jour ; les mesures futures prévues par le responsable du traitement pour remédier à la violation de données ; si la violation de données a été notifiée à l’autorité dans les 72 heures suivant sa survenance.

Sécurité des données :

En particulier, le responsable du traitement protège les données contre tout accès, modification, divulgation, effacement ou destruction non autorisés et contre toute destruction accidentelle ou tout dommage accidentel. Le responsable du traitement, ainsi que les opérateurs de serveurs, assurent la sécurité des données par des mesures techniques, organisationnelles et d’organisation qui offrent un niveau de protection approprié aux risques associés au traitement.

Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité des données adapté à l’ampleur du risque, en tenant compte de l’état de la technique et du coût de la mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des différents degrés de probabilité et de gravité du risque pour les droits et libertés des personnes physiques.

Afin de protéger les fichiers de données gérés électroniquement dans les différents registres, des dispositions techniques appropriées sont mises en place pour garantir que les données stockées dans les registres ne puissent pas être directement liées et attribuées à la personne concernée, sauf dans les cas où la loi le permet.

Lors du traitement automatisé de données à caractère personnel, le responsable du traitement et le sous-traitant prennent des mesures supplémentaires pour empêcher l’accès non autorisé aux données ; l’utilisation de systèmes de traitement automatisé de données, la transmission de données par des personnes non autorisées, l’utilisation de données par des personnes non autorisées, l’utilisation de systèmes de traitement de données et l’utilisation de services de traitement de données par des personnes non autorisées doivent être empêchées.
L’utilisation des systèmes de traitement des données et l’utilisation des services de traitement des données par des personnes non autorisées doivent être empêchées.

Le responsable du traitement et le sous-traitant doivent tenir compte de l’état de la technique lorsqu’ils définissent et mettent en œuvre des mesures visant à garantir la sécurité des données. Il convient de choisir entre plusieurs solutions de traitement possibles qui garantissent un niveau de protection plus élevé des données à caractère personnel, à moins que cela n’impose une charge disproportionnée au responsable du traitement.

Disposition finale

La présente politique de confidentialité et de protection des données sera publiée localement, par voie électronique, sous dk (S) drive → Office → Politiques → Politique de confidentialité.

Entrée en vigueur

Les dispositions de la présente politique de gestion des données et de protection de la vie privée s’appliquent à compter de la date de son entrée en vigueur. Elle entre en vigueur le 31.03.2023.

Szeged, 31.03.2023.