ZÁSADY OCHRANY PŘED PORUŠENÍM SPRÁVY OSOBNÍCH ÚDAJŮ

platí od 25. května 2018 až do odvolání

1. Úvod

CGP Europe společnost s ručením omezeným (sídlo: 1024 Budapešť, Ady Endre út 19., Maďarsko, IČO: 01-09-965048, DIČ: 23425026-2-41, registrační číslo zpracování: NAIH-78299/2014 (dále jen " Správce ") vytváří tyto zásady ochrany před porušením správy osobních údajů (dále jen" Zásady").

2. Definice

Osobní údaje:veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (subjekt údajů); identifikovatelná fyzická osoba je osoba, která může být přímo anebo nepřímo identifikována zejména odkazem na identifikátor, jako je jméno, identifikační číslo, údaje o poloze, on-line identifikátor nebo jeden anebo více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby. Osobní identifikační údaje: jméno a příjmení, rodné příjmení, pohlaví, místo a datum narození, jméno a příjmení matky při narození, bydliště, trvalé bydliště, číslo sociálního pojištění jednotlivě nebo v kombinaci za předpokladu, že tyto údaje jsou, anebo můžou být vhodné k identifikaci dotyčné osoby. Zvláštní údaje: osobní údaje odhalující rasový původ anebo národnost, politické názory a jakoukoliv příslušnost k politickým stranám, náboženské nebo filozofické přesvědčení nebo členství v odborech a osobní údaje týkající se sexuálního života, dále osobní údaje týkající se zdraví, patologických závislostí nebo trestních záznamů. Údaje týkající se zdraví:osobní údaje týkající se fyzického anebo duševního zdraví fyzické osoby, včetně poskytování služeb zdravotní péče, které odhalují informace o jejím zdravotním stavu. Správce:fyzická nebo právnická osoba nebo organizace bez právní subjektivity, která samostatně nebo společně s jinými určuje účel zpracování údajů, provádí a realizuje rozhodnutí týkající se zpracování dat (včetně použitého způsobu) nebo je nechá provést zpracovatelem, kterému byly svěřeny. Dále taktéž i fyzické nebo právnické osoby nebo organizace bez právní subjektivity, které jsou oprávněny zpracovávat osobní nebo osobní identifikační údaje, nebo Zvláštní údaje a údaje týkající se zdraví v konkrétních případech k zákonem stanovenému účelu. Zpracování údajů:jakýkoli úkon nebo soubor úkonů, které jsou prováděny s  osobními údaji nebo se soubory osobních údajů, ať už automatizovanými prostředky nebo ne bez nich, jako je shromažďování, zaznamenávání, organizace, strukturování, uchovávání, úprava nebo změna, vyhledávání, konzultace, používání, zpřístupnění přenosem dat, šířením nebo jiným zpřístupněním, sladěním nebo kombinací, omezením, vymazáním nebo zničením. Zpracovatel:fyzická nebo právnická osoba, veřejný orgán, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem správce. Porušení správy osobních údajů:porušení bezpečnosti vedoucí k náhodnému či úmyslnému protiprávnímu zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům přenášeným, uloženým či jinak zpracovaným.

3. Zákony a nařízení o ochraně údajů

Zákony a předpisy mimořádně důležité pro účely těchto podmínek zahrnují:

  1. Nářízení  Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
  2. Ústavní právo Maďarska;
  3. oddíl 2:42 zákona V z roku 2013 o občanském zákoníku;
  4. zákon č. CXII z roku 2011 o právu na informativní sebeurčení a svobodu informací    (info zákon);
  5. zákon XLVII z roku 1997 o zpracování a ochraně údajů o zdravotní péči a       souvisejících osobních údajích;
  6. zákon CVIII z roku 2001 o některých otázkách elektronických obchodních aktivit a      služeb informační společnosti;
  7. zákon LXVIz roku 1992 o vedení záznamů o osobních údajích a adresách občanů;
  8. Změny GDPR a právní praxe založené na GDPR a doporučení evropského výboru   nebo kontrolního orgánu dle sídla Správce.

4. Oznámení o porušení osobních údajů

V případě Porušení správy osobních údajů Správcebez zbytečného odkladu a pokud je to možné, nejpozději do 72 hodin poté, co se o tom dozví, informuje o Porušení správy osobních údajů kontrolní orgán, s výjimkou že je nepravděpodobné, že  porušením správy osobních údajů  dojde k ohrožení práv a svobod fyzických osob. V případě že oznámení kontrolnímu orgánu není podáno do 72 hodin, musí být doprovázeno uvedením důvodů tohoto zpoždění.Zpracovatelúdajů to bez zbytečného odkladu po zjištění porušení osobních údajůoznámí Správci

Oznámení musí obsahovat:

  1. popsání povahy porušení správy osobních údajů, pokud je to možné, včetně kategorií a   přibližného počtu příslušných dotčených osob a přibližného počtu příslušných     záznamů o osobních údajích;
  2. oznámit jméno a kontaktní údaje pověřence pro ochranu údajů nebo jiného    kontaktního místa, kde je možné získat více informací;
  3. popis pravděpodobných důsledků porušení správy osobních údajů;
  4. popsání opatření přijatých nebo navržených k tomu, aby je Správcepřijal křešení porušení správy osobních údajů, včetně případných opatření ke zmírnění jeho          možných nepříznivých důsledků;

Pokud není možné poskytnout informace současně, informace lze poskytnout ve fázích bez zbytečného zpoždění. Správcezdokumentuje jakékoli Porušení správy osobních údajů, které obsahují        skutečnosti    týkající se porušení osobních údajů, jeho účinky a přijatá nápravná           opatření.

5. Oznámení o Porušení správy osobních údajů dotčené osobě

V případě že Porušení správy osobních údajůmůže způsobit vysoké riziko pro práva a svobodu fyzických osob, Správceoznámí bez zbytečného odkladu dotčenému subjektu údajů Porušení správy osobních údajů. V komunikaci s dotyčnou osobou Správcepopíše v jasném a srozumitelném jazyce povahu Porušení správy osobních údajů,uvede jméno a kontaktní údaje místa, kde je možné získat více informací, popíše pravděpodobné důsledky Porušení správy osobních údajů,popíše opatření přijatá nebo navržená k tomu, aby jeSprávce   přijal za účelem řešení situace včetně případných opatření určených ke zmírnění jejích možných nepříznivých dopadů.

Komunikace s dotyčnou osobou uvedená v oddíle 5 těchto podmínek se nevyžaduje, pokud je splněna některá z těchto podmínek:

  1. Správcezavedl vhodná technická a organizační ochranná opatření a tato opatření se aplikovala  na osobní údaje ovlivněnyPorušením správy osobních údajů,zejména ty, které dělají osobní údaje nedešifrovatelné pro každou osobu, která nemá oprávnění k přístupu k nim, například zašifrováním;
  2. Správce přijal opatření, která zajistí, aby nedošlo k  vysokému ohrožení  práv a svobod dotčených osob.c) vedlo by to k nepřiměřenému úsilí, v takovém případě by namísto toho existovalo veřejné oznámení nebo podobné opatření, kterým by byly dotčeny osoby informovány stejně efektivním způsobem.
  3. Pokud Správceještě nezveřejnil informaci o Porušení správy osobních údajů dotčenémusubjektu, může orgán dohledu po zvážení pravděpodobnosti Porušení správy osobních údajů,který má za následek vysoké rizikovyžadovat, nebo může rozhodnout, že dotčený subjekt  nebude upozorněn.

6. Různé

Tyto Zásady jsou v souladu se zásadami Správce ohledně ochrany soukromí a nařízením Evropského parlamentu a Rady (EE) 2016/679(GDPR)zavádí tato ustanovení:
Zpracování osobních údajů by také mělo být považováno za zákonné, pokud je třeba chránit zájem, který je podstatný pro život subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů založené na životním zájmu jiné fyzické osoby by mělo v zásadě provádět pouze tehdy, pokud se zpracování nemůže zjevně zakládat na jiném právním základě. Některé typy zpracování mohou sloužit jako důležitý důvod veřejného zájmu, jakož i životního zájmu dotyčné osoby, například když je zpracování nezbytné pro humanitární účely včetně monitorování epidemií a jejich šíření nebo situací humanitárních mimořádných situací, zejména v situacích přírodních a člověkem způsobených katastrof.
Omezení týkající se zvláštních zásad a práv na informace, přístup k údajům a jejich opravu nebo vymazání, právo na přenos dat, právo vznést, rozhodnutí založené na profilování, jakož i sdělování porušení osobních údajůdotčené osobě a některé související povinnosti Správcůmohou být uloženy právem unie nebo členského státu, pokud je to nezbytné a přiměřené v demokratické společnosti na ochranu veřejné bezpečnosti včetně ochrany lidského života, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, prevenci, vyšetřování a stíhání trestných činů nebo provádění trestních sankcí včetně ochrany a předcházení ohrožení veřejné bezpečnosti nebo porušování etiky regulovaných povolání, jiných důležitých cílů obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, vedení vládních registrů uchovávaných z důvodů veřejného zájmu, další zpracování archivovaných osobních údajů s cílem poskytnout specifické informace týkající se politického chování v rámci bývalých totalitních státních režimech nebo ochranu subjektu údajů nebo práv a svobod jiných včetně sociální ochrany, veřejného zdraví a humanitárním účelem. Tato omezení by měly být v souladu s požadavky stanovenými v Listině a Evropskou úmluvou o ochraně lidských práv a základních svobod.

7. Závěrečná ustanovení

Tato Zásady nabývají platnosti po jejich podpisu.
Ustanovení těchto Zásadse vztahují na zpracování údajů, ke kterým došlo po nabytí účinnosti těchto Zásad.
Ustanovení těchto Zásadse vztahuje i na zpracování údajů v okamžiku nabytí platnosti těchto Zásad.
Jakékoliv dotazy, které zde nejsou upraveny, se budou řídit ustanoveními právních předpisů uvedených v oddíle 3 těchto Zásad.
S účinností od data vstupu v platnosti těchto Zásad, uvedené Zásady nahrazují a ruší předchozí podmínkyporušení osobních údajůplatné pro Správce.


Budapešť, 2018.05.25.