Cher Visiteur,
Lors de la prise d’un rendez-vous en ligne, des informations personnelles sont nécessaires pour que nous puissions vous identifier. Veuillez noter que les informations personnelles sont fournies sur une base volontaire et que les informations personnelles fournies seront traitées sur la base de votre consentement volontaire. Ce consentement est réputé être donné par l’enregistrement de vos informations personnelles sur l’interface utilisateur de notre site Web. La gestion des données sera uniquement effectuée en relation avec les services fournis et ne sera pas divulguée ou transmise à des tiers.
Les données personnelles fournies seront uniquement gérées jusqu’à ce que notre société vous fournisse des services et seront supprimées par la suite.
Nos procédures et principes de gestion des données ainsi que les droits auxquels vous avez droit dans le cadre de la gestion des données, les dispositions régissant les objections à la gestion des données et l’application des droits, en particulier, sont contenus dans notre Politique de Gestion des Données disponible sur notre site Internet.
Suba Dentál Kft.
POLITIQUE DE GESTION ET DE SÉCURITÉ DES DONNÉES
Le Contrôleur de Données a l’intention de garantir le droit d’accès des personnes concernées à l’information et de définir les principes et procédures régissant la gestion des données. La présente Politique vise à fournir aux personnes concernées des informations adéquates sur les activités de gestion des données menées par le Contrôleur de Données, les données gérées par eux ou traitées par un processeur de données dûment autorisé ainsi que toutes les circonstances pertinentes de gestion et de traitement des données, et en cas de transfert de données, la base juridique et le destinataire de ce transfert de données.
Au moyen de la présente Politique, le Contrôleur de Données cherche à s’acquitter de son obligation légale en matière de conservation des dossiers et à déterminer un niveau de référence de sécurité des données et une procédure pour le faire respecter.
La présente Politique s’étend à toutes les procédures menées par le Contrôleur de Données en ce qui concerne le traitement des données des personnes physiques, à l’exception des employés du Contrôleur de Données pour lesquels une politique distincte a été approuvée et dont la gestion des données est régie par des dispositions spéciales de cette politique distincte.
La présente Politique entre en vigueur le 25 mai 2018 et restera en vigueur jusqu’à son abrogation.
Définitions
Aux fins de la présente Politique, la personne morale du Contrôleur de Données est Suba Dentál Korlátolt Felelősségű Társaság. Les cordonnées du Contrôleur de Données sont les suivants:
Siège: | 1024 Budapest, Ady Endre utca 1. 3. em. 10. | |
Numéro d’enregistrement de l’entreprise: | 01-09-197084 | |
Numéro de TVA: | HU25054721 | |
Numéro de téléphone | +3617928950 | |
Mobile Téléphone | +36706355144 | |
Adresse e-mail: | info@subadental.com | |
Représenté par: | Dr. Suba Csongor directeur |
Le Contrôleur de Données relatives à la relation de travail des employés employés par le Contrôleur de Données effectué dans le cadre de leur travail est considéré comme une gestion des données effectuée par le Contrôleur de Données.
La terminologie de la présente Politique correspond aux dispositions du règlement (UE) 2016/679 du Parlement et du Conseil Européens, avec certains des termes réitérés ci-dessous:
- données à caractère personnel: toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
- données concernant la santé:les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;
- données particulières:données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance à un syndicat, ainsi que les données génétiques et les données biométriques capables d’identifier de manière unique les personnes physiques et les données concernant la santé ou les données personnelles concernant la vie sexuelle ou l’orientation sexuelle;
- traitement des données:toute opération ou tout ensemble d’opérations qui est effectué sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition d’une autre manière, alignement ou combinaison, restriction, effacement ou destruction;
- consentement de la personne concernée:toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
- violation de données à caractère personnel: une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;
- sous-traitant de données:la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
- profilage: toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
- tiers: une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
- employé:personnes physiques en relation d’emploi avec le Contrôleur de Données en sa qualité d’employeur
Termes et abréviations fréquemment utilisés dans la présente Politique:
- Loi sur la protection des renseignements personnels– Loi CXII de 2011 sur le droit à l’autodétermination informationnelle et sur la liberté d’information
- RGPD– Règlement (UE) 2016/679 du Parlement européen et du Conseil (UE).
- Code civil – Loi V de 2013 sur le Code civil
- Code du travail –Loi I de 2012 sur le Code du travail
- Loi sur la protection du consommateur –Loi CLV de 1997
Organe de protection des données du Contrôleur de Données
Les activités du Contrôleur de Données, telles que la protection des données, le traitement des données, la sécurité des données et la sécurité des informations, doivent être gérées par le Contrôleur de Données nommé de temps à autre pour superviser le responsable du traitement des données, qui, en émettant des instructions et des politiques à l’intention des employés sous son contrôle immédiat, doit superviser l’intégralité du responsable du traitement. organisation en ce qui concerne la protection et le traitement des données.
Le Contrôleur de Données met la présente Politique à la disposition de tous ses employés et veille à ce que la présente Politique soit respectée. Le Contrôleur de Données doit veiller à ce que ses employés se familiarisent avec les obligations légales et réglementaires relatives au traitement des données et les respectent, et considèrent le respect des règles de protection des données comme une obligation essentielle liée à l’emploi, en outre, ils ne peuvent accéder aux données personnelles que s’ils détiennent les autorisations appropriées, de la manière et aux fins énoncées dans leurs descriptions de tâches respectives, et ne peuvent traiter que les données décrites de manière exhaustive dans les présentes.
Tous les employés doivent
- organiser et mener leur travail conformément aux politiques de protection des données et de confidentialité du Contrôleur de Données et protéger toutes les données créées ou acquises et enregistrées sur papier au cours de leur travail contre tout accès, perte et dommages physiques injustifiés
- ne pas partager ou publier leurs identifiants d’accès et mots de passe individuels
- déconnecter les systèmes informatiques après utilisation et interdire l’accès aux appareils électroniques au départ ou à l’interruption d’une session, et en cas de traitement des données au format papier, verrouiller et conserver les supports de stockage verrouillés; il est interdit de laisser ces supports de stockage sans surveillance
- de temps à autre, dans le but de prévenir la perte de données stockées électroniquement, préparer ou faire préparer par un autre employé dûment autorisé, des sauvegardes de données stockées sur les dispositifs de stockage de données, auxquels ils ont un accès exclusif
- participer à une formation sur la protection des données organisée par le Contrôleur de Données des données
- en cas de détection d’un incident de violation de données personnelles, procéder conformément à l’annexe 1 de la présente Politique sur le traitement des incidents de violation de données personnelles
Les employés doivent accéder et traiter les données personnelles comme indiqué dans leurs descriptions de travail individuelles. Les employés et les sous-traitants en charge du traitement des données doivent soumettre une déclaration de non-divulgation concernant le traitement des données et sont responsables de la conformité aux politiques et de l’intégrité, de l’inviolabilité et de la disponibilité des données personnelles qu’ils traitent, ainsi que des incidents de violation de données personnelles et les infractions résultant de leur conduite volontaire ou négligente.
Afin d’empêcher tout accès injustifié, le Contrôleur de Données doit fournir à ses systèmes informatiques un pare-feu et une protection contre les virus et sélectionner des programmes conformes aux réglementations de sécurité informatique telles que modifiées de temps à autre. Le Contrôleur de Données attribue différents niveaux d’autorité à ses systèmes informatiques et restreint l’accès à ceux-ci au moyen d’une protection par mot de passe et veille à ce que des mesures soient prises pour garantir la possibilité de restauration des fichiers, en particulier des sauvegardes régulières des données et le stockage séparé et sécurisé des données.
Afin d’assurer la sécurité des données personnelles stockées sur papier, le Contrôleur de Données placera les documents contenant ces données dans des locaux fermant à clé équipés de systèmes de protection contre les incendies et les biens, interdisant l’accès à ces locaux par du personnel non autorisé.
Le traitement électronique des données doit avoir lieu exclusivement sur les ordinateurs détenus ou exclusivement utilisés par le Contrôleur de Données où la journalisation des activités est assurée. Les données stockées sur les serveurs sont uniquement accessibles au personnel dûment autorisé. Pour la sécurité des données stockées sur le réseau, la perte de données doit être évitée par la mise en miroir continue des données sur le serveur. La suppression, la rectification et la restriction des pouvoirs de traitement des données personnelles par le contrôleur des données sont soumises à l’accord du personnel dûment autorisé ou du Contrôleur des Données, à condition que les enregistrements des demandes à cet effet soient conservés par le Contrôleur des Données.
Règles de base applicables au traitement des données
Le Contrôleur des Données ne traitera les données personnelles que dans le but d’exercer ses droits et de remplir ses obligations, et conformément au principe de limitation de la finalité, ne traitera ces données que dans la mesure requise et pour la durée nécessaire. En conséquence, le traitement des données sera effectué à tout moment en vue d’atteindre les objectifs fixés pour une période donnée. Si l’objectif du traitement des données n’est plus valide ou si le traitement des données est par ailleurs illégal, ces données seront supprimées.
Seules ces données personnelles peuvent être traitées de manière appropriée et indispensable pour atteindre les objectifs du traitement des données. Le responsable du traitement des données informe la personne concernée des objectifs du traitement des données avant d’enregistrer les données, au moyen de fiches d’information ou d’une politique accessibles au public ou d’une communication individuelle.
Au cours de la collecte des données, l’exactitude, l’exhaustivité et, si nécessaire aux fins du traitement des données, la mise à jour des données sont assurées et l’identification de la personne concernée ne s’étendra que pendant la durée nécessaire aux objectifs de traitement des données.
Si le Contrôleur de Données fait appel à des sous-traitants pour traiter les données en son nom, ces sous-traitants doivent fournir des garanties adéquates quant à la mise en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour garantir le respect des dispositions légales relatives au traitement des données et à la protection des droits des personnes concernées.
Le responsable du traitement effectuera le traitement des données dans l’un des cas suivants:
- le traitement des données est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique
- le traitement des données est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou si, avant de conclure le contrat, il est nécessaire à l’exécution de certaines mesures à la demande de la personne concernée
- le traitement des données est requis pour l’exécution de l’obligation légale du Contrôleur de Données
- la personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs raisons précises
- le traitement des données est dansl’intérêt public ou est nécessaire à l’exercice de fonctions liées à l’exercice des pouvoirs officiels conférés au responsable du traitement
- le traitement des données est nécessaire pour faire respecter les intérêts légitimes du Contrôleur de Données ou d’un tiers,sauf si les intérêts ou les droits et libertés fondamentaux de la personne concernée l’emportent sur ces intérêts et nécessitent la protection des données personnelles
Le Contrôleur de Données déclare que le traitement des données concernant la santé conformément à l’article 9, paragraphe 1, point h), du RGPD est légal en vertu d’un contrat conclu avec un professionnel de la santé.
Le Contrôleur de Données informe à l’avance la personne concernée de la base juridique du traitement des données au moyen d’un document, d’une politique ou d’une communication individuelle accessible au public.
Le consentement de la personne concernée ne sera juridiquement conforme que s’il est donné volontairement, sans ambiguïté et sur la base d’informations adéquates, c’est-à-dire en possession des informations relatives au traitement des données. Le Contrôleur de Données déclare qu’en enregistrant et en fournissant des données à caractère personnel sur son site Internet, la personne concernée est réputée avoir consenti au traitement de ses données à des fins désignées. La personne concernée recevra un bref avertissement textuel avant l’envoi de ses données. Le retrait du consentement n’affecte pas la légalité du traitement des données basé sur le consentement avant le retrait, c’est-à-dire que le retrait s’applique exclusivement à l’avenir.
Si le traitement des données est prévu par la loi ou est nécessaire pour que le Contrôleur de Données s’acquitte d’une obligation légale, le traitement des données est obligatoire. Si la personne concernée manque à son obligation de fournir des données, le responsable du traitement aura le droit et l’obligation de refuser la prestation de services.
La durée du traitement des données est déterminée dans les informations sur le traitement des données. En règle générale, le Contrôleur de Données stipule que le traitement des données doit se poursuivre aussi longtemps que le traitement des données pertinentes est requis, sous réserve de la finalité du traitement des données. Le traitement des données basé sur le consentement se poursuivra jusqu’au retrait du consentement ou à l’exécution d’une décision judiciaire ou réglementaire sur la suppression des données, ou jusqu’à l’expiration du délai de prescription de la force exécutoire des droits et obligations découlant de la relation juridique en raison de laquelle le Contrôleur de Données traite les données personnelles. Conformément à l’article 6:22 du Code civil, le délai de prescription général est de 5 ans. Le traitement des données légales se poursuit jusqu’à l’expiration du délai de prescription légal ou jusqu’à l’existence de conditions.
Le Contrôleur de Données stipule qu’en vertu de l’article 30 de la loi XLVII de 1997 sur le traitement et la protection des données de soins de santé et des dossiers médicaux associés, les données doivent être conservées pendant au moins 30 ans et délivrer des résumés pour au moins 50 ans de collecte des données. Dans l’intérêt du traitement médical ou de la recherche scientifique, la période de tenue des registres obligatoire peut être prolongée, si cela est justifié. Si la poursuite de la tenue des dossiers n’est pas justifiée, les dossiers doivent être détruits. Les scans enregistrés avec une méthode d’imagerie diagnostique doivent être conservés pendant 10 ans et les dossiers médicaux basés sur le scan doivent être conservés pendant 30 ans d’enregistrement. Si les dossiers médicaux ont une pertinence scientifique, ils sont soumis aux archives compétentes après l’expiration de la période de tenue des dossiers obligatoire.
Dans le cas où Contrôleur de Données cesse d’exister sans successeur légal, les documents scientifiquement pertinents sont remis aux archives avec d’autres documents soumis à un organisme désigné par le gouvernement. Toutefois, si le Contrôleur de Données (nt) cesse d’exister sans successeur légal et si les tâches qu’il a précédemment effectuées sont déléguées à une autre organisation,
- a) la documentation sur les soins de santé générée dans les dix ans précédant la dissolution du contrôleur sera transférée à l’organisation qui gère actuellement cette documentation,
- b) les documents de soins de santé non transférés conformément à la section a) doivent être déposés aux archives ou à un organisme nommé par le gouvernement de la manière susmentionnée.
LES DROITS ET L’EXÉCUTION DES DROITS PAR LES SUJETS DE DONNÉES
Droits des sujets des données
Droit d’accès à l’information et aux données à caractère personnel
La personne concernée a le droit de demander des informations sur l’étendue de ses données personnelles traitées, les circonstances du traitement des données, en particulier en ce qui concerne la finalité, la base juridique, la durée du traitement des données et les incidents de violation de données personnelles, le cas échéant, ainsi que les informations juridiques et les remèdes disponibles. La personne concernée a le droit d’accéder aux informations même si le Contrôleur de Données a acquis ses données personnelles auprès d’une autre personne, auquel cas le Contrôleur de Données fournira également des informations détaillées sur l’identité du fournisseur de données, ainsi que sur la durée et le mode d’enregistrement des données.
La personne concernée a le droit de recevoir des commentaires le Contrôleur de Données quant à savoir si ses données personnelles sont traitées et, dans l’affirmative, le Contrôleur de Données donne à la personne concernée un accès aux données personnelles pertinentes traitées. À la demande de la personne concernée, le Contrôleur de Données doit fournir à la personne concernée une copie des données en cours de traitement.
Droit de rectification
Les personnes concernées ont le droit de demander une rectification et, lorsque cela est nécessaire et possible, l’achèvement des données inexactes et la demande de la personne concernée doivent être satisfaites sans retard injustifié.
Droit à l’effacement («droit à l’oubli») et objection
En cas de traitement de données avec le consentement de la personne concernée, les personnes concernées ont le droit de réclamer l’effacement de leurs données et, sous réserve de la validité de cette réclamation, toutes les données demandées sont supprimées de toutes les bases de données. Si le traitement des données est basé sur l’intérêt légitime du Contrôleur de Données, la personne concernée a le droit de s’opposer au traitement de ses données, auquel cas le traitement des données ne peut se poursuivre que si le droit du Contrôleur de Données au traitement de données l’emporte sur les intérêts, droits et libertés de la personne concernée, ou si les données traités sont exécutoires dans la soumission, l’exécution ou la défense des réclamations légales. Jusqu’à ce qu’un intérêt supérieur soit établi, l’accès aux données personnelles en cause sera limité par Contrôleur de Données, comme indiqué ci-dessous.
Si le traitement des données personnelles n’est plus requis aux fins pour lesquelles elles ont été traitées jusqu’à présent, ou si le traitement des données est illégal, la personne concernée peut également initier la suppression de ces données.
Si des données à caractère personnel sont traitées à des fins scientifiques, de recherche historique ou à des fins statistiques, la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel en raison de son statut personnel, sauf si un tel traitement de données est nécessaire pour des tâches exécutées dans l’intérêt public. Conformément aux articles 24 et 26 de la loi CLV de 2016, le Contrôleur de Données est tenu de fournir des données à des fins statistiques, dans de tels cas, les données transférées ne conviennent pas à l’identification des personnes en relation client avec le Contrôleur de Données. Le Contrôleur de Données déclare qu’à des fins d’assurance de la qualité, des études de cas et des statistiques seront élaborées mais qui ne conviennent pas pour l’identification des personnes concernées.
Droit à la limitation du traitement des données
Les personnes concernées ont droit à la restriction du traitement de leurs données respectives dans les cas suivants:
- si l’exactitude de leurs données personnelles est contestée par l’employé concerné
- le traitement des données est illégal mais la personne concernée s’oppose à la suppression des données et demande leur restriction d’utilisation à la place
- le Contrôleur de Données n’a plus besoin des données personnelles pour le traitement des données mais la personne concernée les demande pour la soumission, l’exécution ou la défense de réclamations légales
Les données à caractère personnel soumises à restriction ne peuvent être traitées – sauf pour le stockage – que sous réserve du consentement de la personne concernée, ou pour la soumission, l’exécution ou la défense de droits en justice ou la protection des droits d’autres personnes physiques ou morales ou dans l’intérêt public important de l’Union européenne. Union ou un État membre.
En cas de rectification ou de suppression de données personnelles ou si le traitement des données est restreint pour quelque raison que ce soit, le Contrôleur de Données informera tous les destinataires avec lesquels ces données ont été partagées, sauf si cela s’avère impossible ou nécessite un effort indu. Sur demande, la personne concernée sera informée de ces destinataires par le Contrôleur de Données
Notification de la personne concernée en cas d’incident de violation de données personnelles
Si un incident de violation de données personnelles se produit au Contrôleur de Données qui est probablement associé à un risque élevé pour les droits et libertés de la personne concernée, le Contrôleur de Données informera la personne concernée de toutes les circonstances pertinentes sans retard injustifié. Le Contrôleur de Données notifie la personne concernée par le biais d’informations accessibles au public dans les cas suivants:
- Le Contrôleur de Données a pris les mesures de protection techniques et organisationnelles appropriées et de telles mesures ont été appliquées aux données impliquées dans l’incident de violation de données personnelles, en particulier des mesures telles que le cryptage, qui rendent les données personnelles inintelligibles pour les personnes sans droit d’accès.
- Le Contrôleur de Données a pris de nouvelles mesures à la suite de l’incident de violation de données personnelles qui, selon toute probabilité, élimineront les risques élevés menaçant plus tôt les droits et libertés de la personne concernée
- La divulgation d’informations nécessiterait des efforts indus.
La politique du Contrôleur de Données concernant les incidents de violation de données personnelles est détaillée dans une politique distincte constituant l’annexe 1.
Le Contrôleur de Données traite les données personnelles à des fins de marketing direct exclusivement dans le but de fournir un service bulletin, sous réserve du consentement volontaire.
Application des droits
Pour déposer des demandes et des déclarations sur le traitement des données, veuillez utiliser les coordonnées susmentionnées du Contrôleur de Données.
Le Contrôleur de Données inspectera toutes les demandes et déclarations relatives au traitement des données et décidera à ce sujet dans les 30 (trente) jours suivant leur réception qui seront communiquées par écrit à la personne concernée – y compris le courrier électronique. Dans sa réponse écrite, le Contrôleur de Données indiquera également les voies de recours disponibles.
Le Contrôleur de Données stipule que, sous réserve de son contenu, une demande ou une déclaration n’est acceptable, en raison précisément de la réglementation sur la protection des données, que si le demandeur s’identifie, faute de quoi, le Contrôleur de Données peut demander au demandeur de fournir les informations manquantes, le délai requis pour lesquels, si une identification est effectivement requise, ne sera pas prise en compte dans le délai susmentionné. Le Contrôleur de Données conserve des enregistrements des demandes reçues pour se conformer à ses obligations légales en matière de protection des données, qui comprennent le nom du demandeur, la date de la demande et la demande.
Si la personne concernée n’est pas d’accord avec la décision du Contrôleur de Données prise comme indiqué ci-dessus, ou si le Contrôleur de Données manque le délai susmentionné sans justification appropriée ou ne répond pas à la demande, la personne concernée a le droit d’engager une procédure judiciaire dans les 30 jours. La personne concernée peut intenter une action en justice concernant le traitement des données devant le tribunal compétent de son lieu de résidence ou de résidence temporaire – selon son choix. Le tribunal traitera la demande hors tour. La charge de la preuve quant à la conformité réglementaire du traitement des données incombe au Contrôleur de Données. En plus de la demande d’indemnisation pour préjudice, une réclamation pour grief résultant d’une violation des droits personnels, en particulier en ce qui concerne le droit à l’autodétermination en matière de vie privée, peut également être portée contre le Contrôleur de Données. Si le Contrôleur de Données a retenu les services d’un responsable du traitement des données pour effectuer les opérations de traitement des données, le Contrôleur de Données (en plus du responsable du traitement des données – selon le cas) sera également tenu responsable des dommages ou réclamations causés par le responsable du traitement des données. Le Contrôleur de Données ne sera exonéré de toute responsabilité résultant de tels dommages ou griefs que s’il peut prouver que le dommage ou la violation des droits personnels a été causé par une circonstance inévitable dépassant le cadre du traitement des données. Aucune compensation pour dommages ou réclamations ne sera accordée si le dommage ou le préjudice juridique résultant de la violation des droits personnels est imputable à la conduite délibérée ou gravement négligente de la personne concernée, en particulier la communication de fausses données.
En cas de violation du droit à l’autodétermination informationnelle, la personne concernée a le droit de déposer un rapport auprès de l’Autorité Nationale pour la Protection des Données et la Liberté d’Information (adresse: 1125 Budapest, Szilágyi Erzsébet fasor 22 / c, site web: http: //www.naih.hu).
Le Contrôleur des Données stipule que des restrictions légales peuvent s’appliquer à une certaine étendue des droits des personnes concernées, sous réserve des droits fondamentaux des personnes concernées, auquel cas le Contrôleur des Données doit se conformer aux dispositions légales. En réponse aux demandes et déclarations concernant ces données, le Contrôleur des Données indiquera les restrictions légales dans sa réponse.
Le Contrôleur des Données déclare en outre qu’il peut être exempté des obligations de confidentialité par la loi, et conformément à la législation sectorielle et aux réglementations officielles, le Contrôleur des Données peut être obligé de transférer des données, notamment pour des raisons de santé publique.
TRAITEMENT DES DONNÉES PERTINENTES AU CONTRAT
Traitement des données concernant les services rendus aux personnes physiques
Le Contrôleur de Données indique qu’il s’agit d’une organisation commerciale spécialisée dans les soins ambulatoires dentaires offrant différents services dentaires, d’hygiène dentaire ou de chirurgie buccale aux personnes physiques. Dans l’exercice de ses activités, il est indispensable que le Contrôleur de Données traite les données relatives à la santé des personnes physiques, Lors de l’exécution du contrat, lors de la prestation de services et à la résiliation de celui-ci, le Contrôleur de Données doit, afin de remplir ses obligations contractuelles, traiter les données personnelles des personnes physiques avec lesquelles il est en relation avec le client, fournies dans le dossier médical et formulaire d’inscription constituant l’annexe 2 aux présentes.
La base juridique du traitement des données est l’exécution du contrat conclu avec la personne concernée comme indiqué ci-dessus, la base juridique pour laquelle, en ce qui concerne les données concernant la santé, est fournie en vertu de la section (2) h) de l’article 9 du RGPD, faute de données nécessaires, le Contrôleur de Données n’est pas en mesure de fournir un traitement approprié. Les données fournies seront traitées pour la durée stipulée dans le chapitre «Règles de base applicables au traitement des données» de la présente Politique, car ces données font partie intégrante de la documentation médicale et sont indispensables à celle-ci. Le Contrôleur de Données des données déclare en outre qu’il doit souscrire une garantie conformément au contrat conclu avec la personne concernée, dont l’exécution nécessite le traitement de données à caractère personnel enregistrées lors de la prestation de services. Des données personnelles comprenant le nom et l’adresse de résidence sont en outre nécessaires pour l’émission de la facture pour le paiement des frais de service stipulés dans le contrat de service conclu par les parties.
Le Contrôleur de Données stipule que la personne concernée doit signer le formulaire de consentement éclairé conformément aux exigences réglementaires sur la conduite de ses activités, ainsi que lire et reconnaître le contenu et signer la fiche d’information sur le traitement. Le Contrôleur de Données est autorisé à traiter les documents susmentionnés, étant donné qu’ils font partie de la documentation médicale.
Afin d’exclure toute divergence dans les données personnelles fournies par la personne concernée, l’employé du responsable du traitement des données a le droit de consulter les documents d’identité de la personne concernée, qui ne seront pas copiés.
Dans l’intérêt de la prestation de services, le Contrôleur de Données exécute les tâches prévues par le contrat conclu avec la personne concernée, en particulier, il établit un plan de traitement et de calcul des coûts, il peut enregistrer des analyses à l’aide de méthodes d’imagerie diagnostique et documenter les traitements. L’étendue complète des données personnelles ainsi dérivées et utilisées tout au long de ces activités fait partie de la documentation médicale.
Lors de l’exécution du contrat de service conclu avec la personne concernée, le Contrôleur de Données ne peut pas supprimer lesdites données, mais verra que ces données sont verrouillées en toute sécurité.
Dans l’intérêt de fournir des services, le Contrôleur de Données transmet et partage les données personnelles acquises de la personne concernée et nécessaires au traitement ainsi que les données personnelles générées au cours du traitement aux sous-traitants suivants:
- “MY DENTIST” Fogászati Betéti Társaság(siège: 1062 Budapest, Bajza utca 54., Numéro de TVA: 22517085-1-42, numéro d’enregistrement de l’entreprise: 01-06-778171)
- DÖ-MEDIC Korlátolt Felelősségű Társaság(siège: 1025 Budapest, Szemlőhegy utca 40. fszt. 1. Numéro de TVA: 23013742-1-41, numéro d’enregistrement de l’entreprise: 01-09-948963)
- Diófási Lili e. v. (siège: 7627 Pécs, Pósa Lajos utca 72.)
- SICURO INVEST Tanácsadó Korlátolt Felelősségű Társaság (siège: 4030 Debrecen, Boróka utca 18. Numéro de TVA: 24304982-1-09, numéro d’enregistrement de l’entreprise: 09-09-024519)
Le Contrôleur de Données informe pleinement la personne concernée du fait du transfert de données à ses sous-traitants, aux données transférées et aux destinataires.
Transfert de données vers une clinique partenaire
Le Contrôleur de Données déclare qu’il est en partenariat avec le prestataire de soins dentaires ambulatoire suivant: Endodent Hungary Egészségügyi és Kereskedelmi Korlátolt Felelősségű Társaság (siège: 1221 Budapest, Sárkány utca 9., numéro de TVA: 14283820-1-43 et numéro d’enregistrement de la société: 01-09-897013, ci-après dénommée Clinique Partenaire). Les données de la personne concernée seront transférées à la Clinique Partenaire afin de faciliter le traitement continu de la personne concernée, dont la personne concernée est également notifiée par le contrat de service et le transfert de données est requis dans l’intérêt du contrat. Le traitement des données de la Clinique Partenaire est régi par ses propres principes de confidentialité.
Transfert de données concernant la santé dans l’intérêt de la personne concernée
Le Contrôleur de Données indique que le traitement et le transfert de données sont autorisés par le paragraphe 2 de l’article 9 du RGPD dans la mesure où il est nécessaire de protéger les intérêts essentiels de la personne concernée ou d’une autre personne physique si la personne concernée n’est pas en mesure de donner son consentement pour le compte de leur incapacité physique ou juridique.
Transfert de données à un assureur
La personne concernée a le droit d’organiser le paiement prévu par le contrat de service conclu avec le Contrôleur de Données par l’intermédiaire d’un assureur ou d’un fonds de santé, et doit remettre une copie du contrat à cet effet au Contrôleur de Données. Sur demande, le Contrôleur de Données peut aider à organiser le paiement avec le payeur, pour lequel le Contrôleur de Données est autorisé à traiter des données supplémentaires, y compris des données relatives au payeur et à la base de paiement, sous réserve d’un accord avec la personne concernée.
Le Contrôleur de Données a le droit d’envoyer au payeur la facture émise pour les services. Le Contrôleur de Données indique que, dans l’intérêt du paiement, en particulier dans le cas des patients français, les analyses préparées avec des méthodes de diagnostic par imagerie et la feuille d’enregistrement du client seront également transmises si nécessaire pour le déblocage du paiement.
Le paiement décrit ci-dessous peut également être conclu par un intermédiaire dans une relation contractuelle distincte avec la personne concernée. Dans ce cas, le transfert de données sera effectué sous réserve du consentement de la personne concernée, dont une déclaration sera demandée par le Contrôleur de Données. Les données à transférer doivent être inscrites sur le formulaire de consentement, et l’intermédiaire doit uniquement utiliser ces données pour faire valoir la réclamation d’assurance de la personne concernée. Les règles de sécurité des données applicables entre l’assureur et son intermédiaire sont fixées par un contrat conclu par eux.
Si la personne concernée refuse son consentement, la personne concernée veillera à ce que le paiement des frais de service soit organisé par d’autres moyens.
Traitement des données en relation avec l’enregistrement des réclamations
Afin de faire respecter les droits des consommateurs, le Contrôleur de Données fournit une gestion des réclamations à ses clients qualifiés de consommateurs. Les plaintes des consommateurs seront enregistrées avec les données personnelles suivantes: nom du consommateur, signature du consommateur et comportement (omission) constituant le motif de la plainte. Le traitement de ces données est obligatoire par la loi et la portée de ces données est définie au paragraphe 5 de l’article 17 / A de la loi sur la protection des consommateurs. Conformément au paragraphe 7 de l’article 17 / A, le dossier des plaintes et une copie de la réponse doivent être conservés pendant 5 (cinq) ans et présentés sur demande aux autorités réglementaires.
La base juridique du traitement des données relatives aux plaintes des consommateurs est l’exécution d’une obligation légale.
TRAITEMENT EN RELATION AVEC L’INTÉRÊT LÉGAL DU CONTRÔLEUR DE DONNÉES
Enregistrement des demandes de renseignements sur le traitement des données
Le Contrôleur de Données enregistre les demandes de renseignements de la personne concernée concernant le traitement des données, enregistre l’heure et le contenu de la demande et, si possible, le nom de la personne concernée et les mesures de traitement des données mises en œuvre. L’objectif de la tenue de documents est d’assurer l’auditabilité de la conformité aux lois et aux règlements, d’établir la transparence et le plus haut niveau de sécurité des données, ce qui présente un intérêt exceptionnel pour le Contrôleur de Données et, bien qu’indirectement, pour les personnes concernées. Les enregistrements ne peuvent être consultés que par l’administrateur du Contrôleur de Données et des employés spécialement autorisés, en cas de contrôles réglementaires et d’inspection de la protection des données, et doivent être conservés jusqu’à la résiliation du Contrôleur de Données sans successeur légal. La restriction de l’accès aux enregistrements et le principe de limitation de la finalité garantissent que les droits et libertés des personnes concernées ne sont pas compromis.
Le système de vidéosurveillance appliqué par le Contrôleur de Données
Dans ses locaux au 1024 Budapest, Ady Endre utca 1 3/9, à des fins de protection des biens et de surveillance du personnel employé par le Contrôleur de Données et assurant ainsi l’assurance qualité, le Contrôleur de Données utilise un système de vidéosurveillance capable de capturer des séquences vidéo.
Le système de vidéosurveillance surveille la zone cible exclusivement utilisée par le Contrôleur de Données, sans surveillance des zones publiques. Le Contrôleur de Données surveille le travail ainsi que l’organisation et l’exécution précises des flux de travail, indispensables pour garantir l’assurance qualité des clients du Contrôleur de Données. Le Contrôleur de Données indique que, dans le souci d’assurer un niveau de fonctionnement approprié, il considère la vidéosurveillance comme indispensable, par le fonctionnement de laquelle – conformément aux dispositions de la garantie ci-dessous – les droits des personnes concernées ne sont pas violés, ou l’étendue de la violation l’est minimal que les intérêts ci-dessus du Contrôleur de Données prévalent sur ces violations.
L’utilisation des séquences vidéo capturées n’est garantie qu’en cas de dommages causés aux locaux protégés, d’accident du travail, d’infraction ou de suspicion d’infraction pénale. Le Contrôleur de Données utilisera les images conformément au principe de limitation de la finalité et ne les remettra à des tiers qu’en cas d’obligation légale, en particulier en cas de procédure pénale ou d’infraction. La surveillance est effectuée avec six caméras différentes à angle de 90 degrés comme suit:
Événement surveillé, zone cible | Emplacement |
Porte d’entrée, personnes arrivant et ayant l’intention d’entrer | zone devant la porte d’entrée, partie de la cage d’escalier, porte de l’ascenseur, porte d’entrée du voisin |
salle d’attente, les patients présents, trouover des collègues | la porte des toilettes et la porte du vestiaire, et environ la moitié de la salle d’attente |
la réception, arrivée et départ des patients, patients sur le point de payer et disponibilité de la réceptionniste | la porte d’entrée, le bureau de la réceptionniste, caisse enregistreuse |
Cabinet no. 1; si un traitement ou une consultation est en cours | la salle complète sauf la niche informatique |
Salle de radiographie; si un traitement ou une consultation est en cours | la salle complète sauf la niche informatique |
Cabinet no. 2; si un traitement ou une consultation est en cours | la salle complète sauf la niche informatique |
Les caméras CCTV installées réalisent en continu des enregistrements pendant la journée aux heures d’ouverture. Les images capturées par les caméras CCTV sont affichées sur le moniteur placé à la réception. Le traitement des données se fait de manière automatisée mais les décisions ne sont pas prises de manière automatisée.
Le Contrôleur de Données n’effectue pas de surveillance dans ces locaux, en particulier les vestiaires, les salles de douche et les toilettes, où cela porterait atteinte à la dignité humaine.
Les enregistrements sont conservés pendant 3 (trois) jours. Les enregistrements sont supprimés à l’expiration de la durée de stockage définie. La conservation des enregistrements dépassant 3 jours n’est garantie que dans des cas exceptionnels, notamment en cas de dommages causés aux locaux protégés.
Les enregistrements doivent être stockés au siège du Contrôleur de Données au 1024 Budapest, Ady Endre utca 1. 3e étage 9. La visualisation des enregistrements est uniquement autorisée au Contrôleur de Données et au personnel travaillant à la réception qui surveillent les enregistrements pendant leurs heures de travail entre 8h00 et 20h00. heures. Le réexamen ultérieur des enregistrements n’est justifié qu’en cas de suspicion, comme indiqué ci-dessus. Le Contrôleur de Données veille au stockage sécurisé des enregistrements et à ce qu’aucun personnel non autorisé n’y ait accès.
GESTION DES DONNÉES BASÉE SUR LE CONSENTEMENT
Traitement des données des demandeurs d’emploi
Le Contrôleur de Données offre aux personnes concernées la possibilité de postuler à des postes qu’il annonce d’une manière déterminée dans l’annonce d’emploi correspondante. Les demandes d’emploi sont basées sur le consentement volontaire.
La portée des données personnelles à traiter s’étend à toutes les données personnelles fournies par la personne concernée au cours de la demande, en particulier le nom de la personne physique, la date et le lieu de naissance, le nom de la mère, l’adresse de résidence, les qualifications, les pouvoirs, la photographie, numéro de téléphone, adresse e-mail et références du demandeur. Le Contrôleur de Données peut contacter une personne de référence nommée dans les références afin de vérifier les informations auxquelles la personne concernée donne son consentement en fournissant volontairement les informations de référence.
Le traitement des données personnelles comprend la candidature, l’évaluation de la candidature, la sélection du candidat le plus approprié, la conclusion d’un contrat de travail avec la personne sélectionnée et la communication. Dans ce cas, les données personnelles ne seront pas transférées, ces données ne seront divulguées qu’à la personne autorisée à évaluer la candidature. La durée du traitement des données est celle de l’évaluation de la candidature, ou en cas de refus de la candidature, la réception d’un avis à cet effet, à la suite de quoi les candidats non admis seront informés du refus et leurs données personnelles seront supprimées. Le traitement des données personnelles des candidats admis, suite à la conclusion d’un contrat de travail, sera régi par des politiques spécifiques aux salariés.
L’utilisation du site Internet du Contrôleur de Données
Les cookies sont de petits fichiers créés par le programme affichant le site Internet exploité par le Contrôleur de Données sur l’ordinateur du visiteur, un appareil mobile ou un autre appareil fournissant un accès à Internet, pour faciliter la reconnaissance de l’appareil du visiteur et ainsi cibler un contenu adapté aux besoins du visiteur. Le cookie est envoyé par le serveur Web au navigateur du visiteur et le navigateur le renvoie au serveur. Le cookie ne contient pas de fichiers exécutables, de virus ou de logiciels espions, et il n’a pas non plus accès aux données stockées sur l’ordinateur du visiteur. Les informations et données personnelles générées par l’utilisation de cookies ne seront pas transférées par le Contrôleur de Données à des tiers, et les données enregistrées techniquement ne seront pas connectées à d’autres données personnelles, et aucune décision ne sera prise par le Contrôleur de Données sur la base de celles-ci.
Afin d’utiliser les services à des fins statistiques, le Contrôleur de Données applique des cookies de Google Analytics en tant que tiers en vue de développer son site Internet et d’améliorer l’expérience utilisateur.
La personne concernée peut à tout moment supprimer les cookies utilisés par le Contrôleur de Données de son appareil Internet. Le processus de suppression des cookies est déterminé par le navigateur utilisé par la personne concernée et détaillé dans le menu d’aide de celui-ci.
Réservation sur le site
Le Contrôleur de Données offre à ses clients la possibilité de réserver les services offerts en ligne. Lors de la réservation en ligne, la fourniture de données personnelles est nécessaire afin de permettre au Contrôleur de Données d’identifier le service requis, le client et la date de réservation. Ces données personnelles sont fournies sur une base volontaire et leur traitement est basé sur le consentement volontaire. Le consentement volontaire est réputé être donné par la personne concernée qui enregistre ses données personnelles sur la surface électronique du site Internet. L’étendue des données personnelles traitées correspond à celle des données fournies lors de la réservation.
Le traitement des données est exclusivement effectué en relation avec les services offerts par le Contrôleur de Données, et aucune donnée ne doit être divulguée ou transférée à des tiers. Les données personnelles fournies sont utilisées uniquement pour la durée des services et immédiatement supprimées par la suite.
La publication d’études de cas et de photographies
En ce qui concerne le paragraphe 1 de l’article 2:48 du Code civil, le Contrôleur de Données crée et publie exclusivement des enregistrements audio et vidéo et de mouvement sous réserve de l’accord préalable de la personne concernée et de la manière qui y est déterminée. Un tel traitement de données a lieu exclusivement avec le consentement exprès, volontaire et clair du sujet. L’étendue des données traitées est indiquée sur le formulaire de consentement et la durée du traitement des données expire à la suppression de la publication ou au retrait du consentement de la personne concernée.
Si la personne concernée est reconnaissable sur les enregistrements audio, vidéo et de mouvement, ces données sont considérées comme des données personnelles et le consentement à leur traitement peut être retiré à tout moment. En cas de retrait du consentement ou sur réception d’une demande de suppression, le Contrôleur de Données prend immédiatement les mesures informatiques nécessaires pour que les données concernées deviennent inaccessibles en permanence.
Le Contrôleur de Données déclare que les études de cas seront présentées de manière anonyme, les personnes concernées n’étant pas reconnaissables. Si un enregistrement est joint à l’étude de cas où une personne concernée est reconnaissable, le consentement explicite de la personne concernée à la combinaison de l’étude de cas et de l’enregistrement est demandé.
Transfert de données à un intermédiaire
Le Contrôleur de Données stipule que le paiement des frais de service pour les services via un assureur ou un fonds de santé comme indiqué ci-dessus peut nécessiter le transfert de données personnelles à l’assureur ou à son intermédiaire. Comme indiqué ci-dessus, ce consentement est volontaire.
Service bulletin
Le Contrôleur de Données fournit aux abonnés un service bulletin à des fins de marketing direct. L’abonnement au service bulletin est volontaire et la base juridique pour le traitement des données y afférent est le consentement volontaire de la personne concernée qui peut être révoqué à tout moment par une déclaration unilatérale, sans aucune justification, et le Contrôleur de Données ne doit pas recourir à un recours juridique en cas de retrait de consentement. Le traitement des données s’étend au nom de la personne concernée et au courrier électronique, et se poursuit jusqu’à ce que la personne concernée retire son consentement ou que le Contrôleur de Données mette fin au service bulletin. Le retrait du consentement se fait par une déclaration écrite adressée au Contrôleur de Données ou en cliquant sur le lien de désabonnement dans le bulletin.
GESTION DES INCIDENTS DE VIOLATION DES DONNÉES PERSONNELLES
Une politique distincte a été adoptée par le Contrôleur de Données dans le but de prévenir, de traiter, de remédier et de tenir à jour les incidents de violation de données à caractère personnel annexés aux présentes en annexe no. 1 et que le Contrôleur de Données doit divulguer publiquement et informer ses employés. Les procédures de traitement des incidents de violation de données personnelles par le Contrôleur de Données sont régies par une telle politique distincte.
PROVISIONS FINALES
La direction du Contrôleur de Données est habilitée à formuler et à modifier la présente politique.
Le Contrôleur de Données publiera la présente politique sur son site Internet et à son siège et en informera ses employés.
POLITIQUE DE GESTION DES INCIDENTS DE VIOLATION DES DONNÉES PERSONNELLES
En sa qualité de responsable du traitement des données, Suba Dentál Korlátolt Felelősségű Társaság (siège social: 1024 Budapest, Ady Endre utca 1. 3. em. 9., avec le numéro d’enregistrement de la société 01-09-197084, numéro de TVA: 25054721-2-41, numéro de téléphone: +36307278616, e-mail: subadr@gmail.com, ci-après dénommé le Contrôleur de Données), conformément à la législation en vigueur et compte tenu de l’état de la science et de la technologie, des coûts de mise en œuvre, du la nature, la portée, les circonstances et les objectifs du traitement des données, ainsi que les risques pour les droits et libertés des personnes physiques, sont tenus de mettre en œuvre des mesures techniques et organisationnelles raisonnables afin de garantir un niveau de sécurité des données adapté à l’étendue du risque.
Les incidents de violation de données personnelles comprennent les atteintes à la sécurité qui entraînent la destruction, la perte, la modification accidentelle ou illégale, la publication ou l’accès injustifiés aux données personnelles transférées, stockées ou autrement traitées. Les incidents de violation de données personnelles impliquent en particulier la perte d’un ordinateur portable ou d’un téléphone mobile stockant des données personnelles, un stockage non sécurisé, la destruction et le transfert de supports de données stockant des données personnelles et des attaques contre les systèmes informatiques utilisés par le Contrôleur de Données et les hacks de sites Internet.
Le Contrôleur de Données s’efforce de prévenir les incidents de violation de données personnelles; les mesures et procédures relatives à la gestion, aux recours et à la tenue de dossiers sont détaillées dans la présente Politique.
- Mesures proactives
Le Contrôleur de Données a développé un système de protection des données dans lequel toutes les circonstances pertinentes relatives au traitement des données ont été réglementées. Le Contrôleur de Données doit veiller à ce que ses employés se familiarisent avec les obligations légales et réglementaires relatives au traitement des données et les respectent, et considèrent le respect des règles de protection des données comme une obligation essentielle liée à l’emploi. En outre, ils ne peuvent accéder aux données personnelles que s’ils détiennent les autorisations appropriées, de la manière et aux fins énoncées dans leurs descriptions de tâches respectives, et ne peuvent traiter que les données qui y sont détaillées. Les employés et les responsables du traitement des données qui effectuent le traitement des données doivent faire une déclaration de non-divulgation concernant le traitement des données.
Le Contrôleur de Données doit garantir la protection des données personnelles dans ses enregistrements électroniques et papier. Dans l’intérêt de la protection des données traitées électroniquement, le Contrôleur de Données fournit à ses systèmes informatiques un pare-feu et une protection contre les virus et programme un pare-feu et une protection contre les virus et sélectionne des programmes conformes aux réglementations de sécurité informatique telles que modifiées de temps à autre. Le Contrôleur de Données attribue différents niveaux d’autorité à ses systèmes informatiques et restreint l’accès à ceux-ci au moyen d’une protection par mot de passe et veille à ce que des mesures soient prises pour garantir la restauration des fichiers, en particulier, des sauvegardes régulières des données et le stockage séparé et sécurisé des données.
Le Contrôleur de Données doit stocker les documents contenant des données personnelles sous clé, en garantissant une protection physique et conformément à son système de gestion des documents, et veille à ce qu’aucun personnel non autorisé n’y ait accès.
Évaluation des risques en cas d’incident de violation de données personnelles
En cas d’incident de violation de données personnelles, le Contrôleur de Données évaluera l’incident conformément aux critères suivants:
- Portée et classification des données concernées (données personnelles ou une catégorie spéciale de celles-ci), nombre et catégorie de personnes concernées, identifiabilité sur la base des données concernées des personnes concernées
- circonstances du traitement des données
- si une action immédiate est requise pour éviter de nouveaux dommages ou pour atténuer les dommages causés; si la gestion de l’incident de violation des données personnelles nécessite un travail au-delà de la gestion de routine ou une perturbation de celle-ci
- si le dommage a placé la personne concernée dans une situation défavorable permanente
- si le dommage peut donner lieu à une procédure pénale ou d’infraction
- l’enquête sur les circonstances des dommages causés, l’étendue des dommages à la sécurité et l’enquête sur la volonté en relation avec la survenance de l’incident de violation des données personnelles
III. Procédure en cas d’incident de violation de données personnelles
Si l’un des employés du Contrôleur de Données détecte un incident de violation de données personnelles, il doit le signaler sans délai à une personne agissant pour le compte de l’employeur et enregistrer les circonstances de celui-ci, en particulier les éléments suivants:
- Heure et date de détection, heure (présumée) et données de l’occurrence de l’incident de violation de données;
- l’étendue des données personnelles affectées par l’incident de violation de données personnelles;
- la raison et la durée de l’incident
Un incident de violation de données peut être signalé par toute personne aux coordonnées susmentionnées du Contrôleur de Données.
Afin de remédier à l’incident de violation de données, la personne agissant pour le compte de l’employeur ou le salarié habilité ou autorisé à agir doit prendre sans délai les mesures nécessaires et les documenter en détail. Ces mesures comprennent notamment le retrait de certaines autorisations des employés, la modification des mots de passe et le blocage temporaire des systèmes informatiques.
Dans l’intérêt de suivre ces mesures et d’aviser les personnes concernées, le Contrôleur de Données tient des registres, y compris la portée des données personnelles concernées, la portée et le nombre de personnes touchées par l’incident de violation de données personnelles, ainsi que le temps, les circonstances et les effets. et les mesures mises en œuvre pour éviter l’incident de violation de données, ainsi que toute autre donnée stipulée par la législation sur la protection des données.
L’évaluation susmentionnée de l’incident de violation de données personnelles est due dans les 24 heures suivant sa détection. Le Contrôleur de Données doit, sans retard indu, mais de préférence dans les 72 heures suivant la prise de connaissance de l’incident de violation des données personnelles, déposer un rapport auprès de l’Autorité Nationale pour la Protection des Données et la Liberté d’Information conformément à l’annexe no. 1, sauf si l’incident de violation de données personnelles est probablement associé aux risques susmentionnés.
En cas de risque important, le Contrôleur de Données informera la personne concernée de l’incident de violation de données à caractère personnel, de sa nature, de ses conséquences potentielles, ainsi que des mesures correctives prises ou prévues, y compris, le cas échéant, celles destinées à atténuer les effets négatifs potentiel, les conséquences résultant de l’incident de violation des données personnelles. La personne concernée est informée au moyen d’informations accessibles au public si l’une des conditions suivantes est remplie:
- Le Contrôleur de Données a pris les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données impliquées dans l’incident de violation des données personnelles, en particulier des mesures telles que le chiffrement, qui rendent les données personnelles inintelligibles pour les personnes sans droit d’accès.
- Le Contrôleur de Données a pris de nouvelles mesures à la suite de l’incident de violation de données personnelles qui, selon toute probabilité, élimineront à l’avenir les risques élevés pour les droits et libertés de la personne concernée
- La divulgation d’informations nécessiterait un effort indu.