ПОЛИТИКА ПРИ НАРУШАВАНЕ НА ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ

25 май 2018 г.

1. Въведение

CGP Europe ООД (адрес на регистрация: 1024 Будапеща, Ady Endre út 19, Унгария, регистрационен номер на компанията: 01-09-965048; данъчен идентификационен номер: 23425026-2-41; номер за боравене с лични данни: NAIH-78299/2014.; (По - долу наричана за краткост „Администратор”) създава тази Политика при нарушаване на защитата на личните данни наричана по - долу „Политика”).

2. Определения

Лични данни: всяка информация, която може да насочи към идентифицирано или неидентифицирано физическо лице (субект на личните данни); идентификационно физическо лице е това, което може да бъде идентифицирано директно или индиректно, посредством идентификационен елемент като име, идентификационен номер, адрес, онлайн идентификатор или повече фактори специфични за физическите, психологическите, генетичните, менталните, икономическите, културните, социалните идентичности на физическото лице. Лични идентификационни данни: Това са или първото и фамилното име на лицето, моминското име, пол, месторождение, майчиното първо име и фамилия по рождение, домашен адрес, адрес на пребиваване, социално-осигурителен номер, индивидуален номер по произход, чрез които може или би могло да се идентифицира субекта, носител на личните данни; Специални лични данни:лични данни, които разкриват раса или произход, националност, политически възгледи и принадлежност към политически партии, религиозни или философски вярвания или членство в синдикални организации, и лични данни които се отнасят за сексуалния живот, както и допълнителни лични данни относно здравословното състояние, патологични пристрастености или криминално минало; Данни касаещи здравното състояние: лични данни, които касаят физическото или психическо здраве на физическо лице, включително предоставянето на медицински услуги, които разкриват информация за неговото или нейното здравословно състояние. Администратор:физическо или юридическо лице или организация без правна персонализация, които поотделно или заедно с други, определя целта на боравенето с лични данни, взема и изпълнява решения отнасящи се до обработката на личните данни (включително инструментите, които се използват за това) или пък се изпълняват от нает от него/нея администратор на лични данни. Нещо повече, физически или юридически лица или организации без правна персонализация, които са упълномощени да администрират лични данни или лични идентификационни данни или специални данни и данни отнасящи в специални случаи до здравен статус, за целите определени в закон. Администриране на лични данни: всяка операция или комбинация от операции, която се осъществява с лични данни или комбинация от лични данни, дали посредством автоматични или не средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, разкриване, консултиране, употреба, разкриване при пренасяне, разпространение, комбинация, рестрикция, изтриване или унищожение. Обработващ личните данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която администрира лични данни от името на Администратора. Нарушаване на защитата на личните данни: нарушаване на сигурността, което води до случайно или умишлено незаконно унищожение, загуба, промяна, неоторизирано разпространение на лични данни или достъп до пренасяните, съхранените или по друг начин администрирани лични данни.

3. Закони и регулации за защита на личните данни

Законите и регулациите от най-голяма важност за целите на тази Политика, включват:

  1. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД);
  2. Фундаментално право на Унгария;
  3. Част 2:42 от Закон Vот 2013 г. на Гражданския кодекс;
  4. Закон CXIIот 2011 г. за Правото на информационно самоопределение и на свобода на информацията;
  5. Закон XLVIIот 1997 г. за Администрирането и защитата на личните данни за здравеопазване и свързаните с тях лични данни;
  6. Закон CVIIIот 2001 г. за Определени въпроси свързани с дейностите на електронната търговия и услугите на информационното общество;
  7. Закон LXVIот 1992 г. за Съхранението на архивите с лични данни и адресите на гражданите;
  8. Изменения на ОРЗД и базираните на него правни практики и препоръки направени от Европейската комисия или надзорния съвет на Контрольора.

4. Известяване за нарушаване защитата на личните данни

В случай на нарушаване на защитата на личните данни, Админиистраторът трябва без никакво закъснение и където е възможно, не по-късно от 72 часа след като е установил нарушението, да докладва за Нарушаването на защитата на личните данни на Надзорния орган, освен ако нарушаването на защитата на личните данни няма да доведе до риск за правата и свободите на физическите лица. Когато информирането на Надзорния орган не е извършено в рамките на 72 часа, трябва да бъдат предоставени обяснения за закъснението.

Обработващият личните данни трябва да уведоми Администратора без излишно забавяне веднага след като е разбрал за нарушението на защитата на личните данни. Уведомлението следва да съдържа следната информация:

  1. описание на типа на нарушаването на защитата на личните данни включително където е възможно, категориите и приблизителния брой на засегнати субекти и категории и приблизителен брой на засегнати записи на лични данни;
  2. да предоставят името и контактите на служителя за защита на личните данни или друго лице за контакт, от което може да се получи допълнителна информация;
  3. описание на възможните последствия от нарушаването на защитата на личните данни;
  4. описание на предприетите мерки и предложения за мерки, които да се вземат от Администратора, за решаване на нарушението на защитата на личните данни, включително където е подходящо мерки за намаляване на възможни негативни последствия;

В случай, че не е възможно предоставянето на цялата информация посочена по-горе заедно, е възможно информацията да се предостави на части без излишно забавяне. Администраторът следва да документира всяко нарушаване на защитата на личните данни, събирайки фактите свързани с нарушение на защитата, ефектите от него и действията за неговото преодоляване.

5. Информиране на субекта на данните в случай на нарушение на защитата на личните данни

Когато нарушаването на защитата на личните данни е вероятно да доведе до висок риск за правата и свободите на физическите лица, Администраторът следва да уведоми за нарушението на защитата на личните данни с обекта на личните данни без излишно забавяне.При комуникацията със субекта на личните данни, Администраторът трябва да опише с ясен и последователен изказ естеството на нарушение на защитата на личните данни, да предостави името и контактите на лицето за контакт, от което може да се получи по-обстойна информация, да опише вероятните последствия от нарушение на защитата, да опише предприетите мерки или мерки, които са предложени да бъдат предприети от Администратора за решаване на нарушението на защитата на личните данни, включително мерки за намаляване на негативните последствия, където е подходящо.

Информирането на субекта на лични данни предвидено в част 5 от тази политика не би било задължително при наличието на някое от следните условия:

  1. Администраторът е въвел подходящи техники и организационни мерки за защита и тези мерки са приложени върху засегнатите лични данни от нарушението на защитата на личните данни, в частност правейки личните данни неразбираеми за всяко лице с неоторизиран достъп, като кодиране на данни или енкрипция;
  2. Администраторът е предприел значителни мерки, които гарантират, че високия риск за правата и свободите на субектите на лични данни, няма как да се материализира;
  3. Ако това ще е свързано с необходимостта от полагането на значителни усилия - в такива случаи, трябва да се осъществи публично уведомление или подобни мерки, при които субектите на лични данни да бъдат информирани по същия ефективен начин.

Ако Администраторът все още не е информирал за нарушението на защитата на личните данни субектите на личните данни, Надзорния орган, след като прецени вероятността Нарушението на защитата на личните данни да доведе до висок риск, може да изисква от Администратора това да бъде направено или да прецени субектът на лична информация да не бъде информиран.

6. Разни

Тази политика, в съответствие с политиката за защита на личните данни на Администратора и Регламент (ЕО) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните – ОРЗД), представя следните разпоредби:
Администрирането на личните данни също следва да бъде законно, когато то е необходимо за защита на интерес, който е от съществено значение за живота на субекта на личните данни или този на друго физическо лице. Обработката на личните данни, на основата на жизнено важен интерес на друго физическо лице следва да се случва само, в случай че администрирането не може да се осъществи на друга правна основа. Някои видове администриране (обработка) могат да служат едновременно за важни обществени интереси и интересите на субекта на личните данни например, когато обработката е необходима за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или в ситуации на спешни хуманитарни кризи, в частност в ситуации на природни и причинени от човешка дейност бедствия.
Ограничения относно конкретни принципи и правата от информация, достъпа, корекцията и изтриването на лични данни, правото за преносимост на данните, правото на обект, на решения на основата на профилиране както уведомлението за нарушение на защитата на личните данни на субекта на личните данни и определени свързани с това задължения на Администратора може да бъдат налагани от Съюза или от Закон на държава членка доколкото е наложително и пропорционално в демократично общество за защита на обществената сигурност, включително защита на човешки живот и по специално в отговор на природни и причинени от човешка дейност бедствия, предпазването от, разследването и наказването на криминални престъпления или изпълнението на криминални наказания, включително защитата и превенцията срещу заплахи за обществената сигурност или при нарушаване на професионалната етика, други важни цели от обществен интерес на Съюза или на държава членка, в частност важен икономически или финансов интерес на Съюза или на държава членка, съхранението на обществени архиви за нуждите на общ обществен интерес, по нататъшно обработване на архивирани лични данни за предоставяне на специфична информация свързана с политическото поведение на бивш тоталитарен държавен режим или защита на субекта на личните данни или правата и свободите на други, включително социална защита, общественото здраве и хуманитарните цели. Тези рестрикции трябва да са в съответствие с изискванията посочени в Хартата и в Европейската конвенция за защита на човешките права и фундаментални свободи.

7. Заключителни разпоредби

Тази политика влиза в сила от датата на нейното подписване.
Разпоредбите на тази политика трябва да се отнасят до обработването на личните данни след приемането на политиката.
Разпоредбите на тази политика следва да се прилагат и за личните данни, които са в процес на обработка към датата на влизане в сила на тази политика.
За всички въпроси, които не са уредени в тази политика, следва да се прилагат разпоредбите на правните регламенти посочени в раздел 3 от тази политика.
От датата на влизане в сила, тази политика замества и отменя предходната Политика за нарушаване на защитата на личните данни на Администратора.


Будапеща, 2018.05.25.