ПАМЯТКА ПО УПРАВЛЕНИЮ ПЕРСОНАЛЬНЫМИ ДАННЫМИ ЗАКРЫТОГО

АКЦИОНЕРНОГО ОБЩЕСТВА МЕ^IМРЕX ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ: 13 ОКТЯБРЯ 2021 ГОДА

Вш3аре81-1385494.9

 

Содержание

  1. ОБЩАЯ ИНФОРМАЦИЯ
  2. ОБНОВЛЕНИЕ ПАМЯТКИ И ЕЁ ДОСТУПНОСТЬ
  3. СПЕЦИФИЧЕСКИЕ УСЛОВИЯ В ОБЛАСТИ ОХРАНЫ ДАННЫХ
  4. ОБРАБАТЫВАЕМЫЕ ДАННЫЕ И ЦЕЛИ ОБРАБОТКИ ДАННЫХ
  5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ (ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ)
  6. ПРАВА НА ЗАЩИТУ ДАННЫХ СУБЪЕКТОВ ДАННЫХ И ПРАВОВЫЕ ГАРАНТИИ ДЛЯ СУБЪЕКТОВ ДАННЫХ

Вш3аре81-1385494.9

 

  1. ОБЩАЯ ИНФОРМАЦИЯ

Закрытое акционерное общество МЕ^IМРЕX (в дальнейшем: Компания) в отношении своих клиентов, контактных лиц договорных партнёров, адресатов своих маркетинговых сообщений, посетителей своих площадок, а также остальных субъектов данных (в дальнейшем: Субъекты данных) обрабатывает информацию, в соответствии с пунктом 1 статьи 4 Общего регламента по защите данных (С^РК) под номером Е^ 2016/679 считающуюся «личной информацией». Настоящая памятка об управлении персональными данными (в дальнейшем: Памятка) предоставляет информацию об управлении таковыми персональными данными, а также о правах и правовых гарантиях Субъектов данных в связи с управлением данными.

Контактные данные Компании

Юридический адрес Компании: 1134 Вийарез!, ^еЬе1 и!са 11.

Номер Компании в реестре юридических лиц: Сд. 01-10-043448

Компания состоит на учёте в Регистрационном суде Городского суда Будапешта

Номер телефона Компании: +36 20 259 61 72

Электронный адрес работодателя: й{каг5ад@тейтрех.йи

Веб-сайт работодателя: тотото.тейтрех.йи

Представитель работодателя и его контактные данные:                                                   Жолт Викторин,

viktorin.zsolt@medimpex.hu

  1. ОБНОВЛЕНИЕ ПАМЯТКИ И ЕЁ ДОСТУПНОСТЬ

Компания оставляет за собой право в одностороннем порядке вносить изменения, не имеющие обратной силы, с учётом ограничений, зафиксированных в соответствующих правовых нормах, и, в случае необходимости, при предварительном уведомлении субъектов данных. Изменения в настоящюю Памятку могут быть внесены особенно в том случае, если в этом возникает необходимость в связи с изменениями в правовых нормах, в связи с практикикой государственных органов в области защиты персональных данных, в связи с новым видом деятельности, связанной с обработкой персональных данных, из-за вновь выявленных факторов риска в области безопасности или из-за откликов субъектов данных. В случае коммуникации, связанной с настоящей Памяткой или вопросами защиты данных, а также при любом другом общении с субъектом данных Компания может использовать для связи и общения контактные данные субъекта данных, имеющиеся в распоряжении Компании. Например, по просьбе субъекта данных Компания отправляет ему экземпляр действующей Памятки или подтверждает, что субъекты данных ознакомились с Памяткой.

  1. СПЕЦИФИЧЕСКИЕ УСЛОВИЯ В ОБЛАСТИ ОХРАНЫ ДАННЫХ

В некоторых особых случаях может возникнуть необходимость в применении специфических условий в области защиты данных, о которых субъекты данных получат отдельную информацию. Такой является, например, информация о наличии системы электронного наблюдения (камер), а также информация об использовании на сайтах Компании файлов куки (сооЫе).

  1. ОБРАБАТЫВАЕМЫЕ ДАННЫЕ И ЦЕЛИ ОБРАБОТКИ ДАННЫХ

Цели обработки данных, правовая основа обработки данных, объём обрабатываемых данных, срок обработки данных и лица, имеющие право на доступ к данным, а также объем адресатов при передаче данных представлены в таблице ниже. Если цель обработки данных необходима для обеспечения соблюдения законных интересов Компании или третьей стороны, тест на оценку интересов, используемый для определения законного интереса, Компания предоставляет по запросу, сделанному по любым из вышеуказанных контактных данных. Компания особо обращает внимание субъектов данных на то, что субъект данных имеет право в любое время по причинам, связанным с его ситуацией,

Вийаре§1-1385494.9

 

возразить против обработки его личных данных на основе законного интереса, в том числе профилирование на основе вышеуказанных положений. В этом случае Компания не будет далее обрабатывать персональные данные, если Компания не докажет, что обработка необходима по таким вынуждающим к обработке законным причинам, которые имеют приоритет над интересами, правами и свободами субъекта данных или которые связаны с представлением, исполнением или защитой юридических претензий. Если персональные данные обрабатываются непосредственно с целью расширения бизнеса (маркетинга), субъект данных имеет право в любое время возразить против обработки собственных персональных данных для этой цели, включая профилирование, если оно непосредственно связано с расширением бизнеса. Если субъект данных возражает против обработки персональных данных с целью непосредственного расширения бизнеса, не допускается дальнейшая обработка персональных данных для этой цели.

Если в качестве срока обработки данных вы укажете срок исковой давности настоящей Памятки, действие, прерывающее срок исковой давности, продлит период обработки данных до новой даты ограничения срока давности (Закон № V 2013 года о Гражданском кодексе (в дальнейшем: ГК, § (2), раздел 6:25). Если срок исковой давности прекращается, требование может быть удовлетворено в течение одного года (трёх месяцев в случае срока истечения исковой давности, составляющего год или менее) с момента устранения препятствия даже если срок исковой давности истек или до его истечения осталось меньше, чем указано выше (§ (2), раздел 6:24 ГК).

8-летний период хранения данных, зафиксированный в законе № С от 2000 года о бухгалтерском учете (в дальнейшем: ЗБУ), следует рассчитывать с того момента, как связанная с этими данными позиция бухгалтерского учета или баланс / бухгалтерия каким бы то ни было способом опирались на эти данные. На практике, если данные включены в контракт, по которому имеют место несколько позиций (например, в рамках одного контракта предоставляется несколько консультаций), 8 лет следует отсчитывать отдельно для каждой позиции, так как по каждой позиции счёт выставляют отдельно, на основании чего каждая сделка проводится по бухгалтерии. Если данные включены в договор, например, о продаже вещи (происходит передача, и договор прекращается после осуществления сделка), сделку проводят через бухгалтерию в данном году на основании договора и счета, и от этого момента начинается отсчёт вышеупомянутых 8-и лет.

К данным, указанным в нижеприведённой таблице, имеют право общего доступа генеральный директор, отдел ИТ и директор по хозяйству. В рамках аудита Компании ознакомиться с персональными данными может также ООО Мадуаг §2акег1ш НоЫт§ Кй. (1115 Вийарез!, Огога1 и!са 4. 1. ет. 1.).

Во всех случаях субъекты данных обязаны предоставить Компании необходимые персональные данные в соответствии с действующими в данной сфере правовыми нормами. В частности, они должны иметь соответствующее и информированное согласие или другое правовое основание для передачи персональных данных (например, в случае передачи данных контактных лиц, родственников). Если Компании становится известно, что данные субъекта данных были раскрыты без его согласия или другого иного соответствующего правового основания, Компания может немедленно удалить данные, при этом, субъект данных имеет право воспользоваться правами и правовыми гарантиями в соответствии с настоящей Памяткой. Компания не несет ответственности за любой ущерб, убытки или вред, могущие возникнуть в результате нарушения вышеуказанного обязательства или заявления субъекта данных.

Вийарез1-1385494.9

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
1. Обеспечение участия в промо-акциях, рекламных компаниях, спортивных

мероприятиях, пресс­конференциях — в

соответствии с директивными условиями участия

Пункт (1) а) статьи 6 Общего регламента по защите данных — добровольное согласие субъекта данных, которое он даёт в ходе промо-акции или в рекламной компании в соответствии с директивными условиями участия.

Субъект данных имеет право в любой момент отозвать своё согласие. Отзыв согласия не затрагивает правомочность обработки данных, производившейся на основании согласия до его отзыва.

В отсутствие согласия субъекта данных субъект данных не может участвовать в данной промо-акции, рекламной кампании или призовой игре.

Лица, имеющие право на участие, а также объем обрабатываемых персональных данных определяются в каждом случае особо, в соответствии с положениями директивных условий участия (например, полное имя, адрес). Срок хранения данных:

продолжительность обработки данных определяются в каждом случае особо, в соответствии с положениями директивных условий участия, с учетом объявленной даты окончания промо-акции или рекламной кампании и времени, необходимого для отправки возможных выигрышей.

При отсутствии такого положения — 5 лет с даты окончания соответствующей промо-акции, лотереи, кампании или публикации в СМИ (общий срок исковой давности в гражданском праве).

Имеют право доступа в рамках Компании: Сотрудники группы «Торговля и готовая продукция»

 
2. Новостная рассылка

(Фейсбук, рассылка для тех, кто подписался на неё на мероприятиях и через сайт)

Пункт (1) а) статьи 6 Общего регламента по защите данных — добровольное согласие субъекта данных, которое он даёт, подписываясь на рассылку.

Субъект данных имеет право в

Полное имя и электронный адрес субъекта данных. Срок хранения данных:

Компания обрабатывает персональные данные до отзыва согласия субъектом данных.

Имеют право доступа в рамках Компании: сотрудники

Виёарез1-1385494.9

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
  любой момент отозвать своё согласие. Отзыв согласия не затрагивает правомочность обработки данных, производившейся на основании согласия до его отзыва.

В отсутствие согласия субъекта данных субъект данных не может подписаться на рассылку.

  коммерческого подразделения, коммерческий руководитель

Данные передаются рекламному агентству №тойоог Соттишсайопз §2о1§а11а1б КогШоЙ Ре1е1о88ё§й Тагзазад (1044 Вийарез!, Айу Епйге и!са 23.), которое делает новостную рассылку.

 
3. Документирование корпоративных мероприятий, фото- и видеозаписи Пункт (1) а) статьи 6 Общего регламента по защите данных (добровольное согласие субъекта данных).

Субъект данных имеет право в любой момент отозвать своё согласие. Отзыв согласия не затрагивает правомочность обработки данных, производившейся на основании согласия до его отзыва.

Без согласия субъекта данных делать фото- и видеозаписи запрещено.

В случае записи публичных выступлений субъекта данных, а также массовых записей не требуется согласие субъекта данных для подготовки и использования

Фотографии и / или видеозаписи мероприятий, организованных Компанией (изображения субъектов данных). С согласия субъекта данных или на основании законного интереса Компании (в случае записи публичных действий субъекта данных и массовых записей) записи могут быть размещены во внутренней сети Компании, на внешнем интернет-интерфейсе (например: веб-сайт Компании, её страничка в ^ткейIп и иные социальные сети), и в других сетевых или печатных СМИ (например, в сетевых или печатных корпоративных маркетинговых материалах). Срок хранения данных: запись может быть удалена в любое время по запросу субъекта данных. В случае уже опубликованных записей право на отзыв может быть полностью реализовано только до публикации этих материалов. Например, третьи стороны могут скачать и / или скопировать опубликованные записи, и Компания не может контролировать эти процессы.

Что касается печатных материалов, в случае отзыва согласия Компания не может отзывать печатные экземпляры, уже выпущенные продажу, не находящиеся под контролем Компании.

Субъект данных должен давать

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
  записей (§ 2:48 Гражданского кодекса).

В этом случае правовой основой для создания и использования записей является (1) статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления законных интересов Компании).

Законный интерес: коммерческий интерес Компании состоит в том, чтобы создавать и использовать записи и фотографии для улучшения и продвижения коммерческого облика Компании, а также для побуждения сотрудников к улучшению атмосферы на рабочем месте.

  своё согласие, понимая и принимая вышеуказанные ограничения.

Записи, которые обрабатывают на основе законных интересов Компании, Компания может обрабатывать до тех пор, пока субъект данных не реализует своё право на возражение.

До публикации записей право доступа в рамках организации Компании имеют следующие лица: сотрудники коммерческого подразделения, коммерческий руководитель

 
4. Рассылка приглашений на мероприятия, организованные Компанией Пункт (1) ^ статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления законных интересов Компании).

Законный интерес: успешная и эффективная организация мероприятий.

Контактные данные субъектов данных, которых Компания собирается пригласить: имена участников и название представляемых ими организаций, иные предоставленные ими сведения, связанные с участием в мероприятиях (например: время прибытия, предпочтительная презентация и т. д.). Срок хранения данных: если субъект данных не возражает против обработки его данных, контактные данные могут быть использованы и после мероприятия для отправки приглашений на организуемые Компанией мероприятия, для налаживания контактов. Компания обрабатывает данные в течение 5 лет после последнего контакта с

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
      субъектом данных (Раздел 6:22 § (1) ГК — срок действия требований истекает через 5 лет).

Имеют право доступа в рамках Компании: Сотрудники коммерческого подразделения, коммерческий руководитель

 
5. Обработка контактных данных договорных партнеров и / или лиц, привлечённых к исполнению / к контролю за исполнением с целью выполнения контракта (ежедневное

исполнение). Это

включает, например, управление почтовыми адресами контактных лиц, указания контактных лиц в интересах осуществления платежей, или отправку официальных уведомлений с использованием контактной информации и информации о договорных

обязательствах, которые

В зависимости от того, заключен ли договор с субъектом данных (например, индивидуальными предпринимателями) или с другой фирмой: пункт (1) (Ь) статьи 6 Общего регламента по защите данных — выполнение (исполнение) договора, заключенного непосредственно с субъектом данных / пункт (1) (^) статьи 6 Общего регламена по защите данных — законный интерес Компании и компании, состоящей с ней в договорных отношениях: выполнение договорных обязательств, осуществление прав и координация коммерческого сотрудничества между сторонами.

Передача персональных данных является договорным требованием; без персональных данных Компания не сможет заключить и исполнить договор.

Имена, контактные данные (электронная почта, номер телефона, номер мобильного телефона, номер факса) контактных лиц партнеров по договору и лиц, участвующих в выполнении и мониторинге выполнения, а также любые действия и коммуникация, связанные с договором и содержащие персональные данные (например, любые акты общения со стороны контактного лица или любого физического лица, действующего на стороне партнера).

Персональные данные предоставляются Компании либо партнером по договору, либо самими субъектами данных.

Срок хранения данных: 5 лет с

момента прекращения договорных правовых отношений (§ (1) раздела 6:22 ГК — если иное не предусмотрено Гражданским кодексом, срок действия требований истекает через 5 лет).

Что касается выполнения налоговых обязательств: срок хранения данных составляет 5 лет с последнего дня того календарного года, в котором нужно было подать налоговую декларацию и предоставить данные о налогах, или, в случае отсутствия декларации, и данных, налог должен был быть уплачен (Закон № ^ 2017 года о порядке налогообложения — § 78 (3), § 202 (1)).

В случае бухгалтерских документов: срок хранения

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
подлежат выполнению. Например: договоры аренды, контракты с поставщиками, уведомления властей, обработка технической информации, сообщения об ошибках.     данных составляет 8 лет (ЗБУ § 168-169). На практике это имеет место, если данные являются частью подтверждающих документов для бухгалтерского учета, например, в документах, связанных с заключением договора между Компанией и партнером (например, в заказе), или фигурируют в выставленном счете.

Имеет право доступа в рамках Компании: отделы, связанные с контрактом, помощник генерального директора

 
6. Обработка обращений партнеров,

потребителей и иных запросов в Компанию

Пункт (1) ^ статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления законных интересов Компании, субъектов данных, потребителей и иных лиц).

Законный интерес: обработка поступающих в Компанию запросов, ответы на вопросы и взаимное выполнение обязательств по договору с партнерами.

Персональные данные, затрагиваемые запросами, которые получает Компания, необходимые для общения контактные данные партнеров, потребителей и иных лиц (имя, адрес, адрес электронной почты, номер телефона), запись действий, предпринятых в связи с запросом. Срок хранения данных: 5 лет с

момента ответа на запрос, в случае гражданско-правового договора с Компанией — с момента прекращения правовых отношений, с учетом того, что по смыслу § (1) раздела 6:22 ГК срок действия требований обычно истекает через 5 лет.

Имеют право доступа в рамках Компании: сотрудники коммерческого подразделения, коммерческий руководитель, руководитель отдела обеспечения качества

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
       
 
7. Управление

контактными данными партнеров по контракту и лиц, участвующих в исполнении и в контроле за исполнением, с целью соответствия контракту или для любых других действий, связанных с выполнением контракта, включая поиск средств правовых гарантий, необходимых для обеспечения договорных прав. Например: договоры аренды, контракты с поставщиками.

В этом случае правовой основой является законный интерес Компании (Пункт (1) статьи 6 Общего регламента по защите данных). Законный интерес: урегулирование связанных с договором вопросов соответствия или любые другие действия, связанные с выполнением контракта, включая поиск средств правовых гарантий, необходимых для обеспечения договорных прав. Имена, контактные данные (электронная почта, номер телефона, номер мобильного телефона, номер факса) контактных лиц партнеров по договору и лиц, участвующих в выполнении и мониторинге выполнения, а также любые действия и коммуникация, связанные с договором и содержащие персональные данные (например, любые акты общения со стороны контактного лица или любого физического лица, действующего на стороне партнера).

Персональные данные предоставляются Компании либо партнером по договору, либо самими субъектами данных.

Срок хранения данных: 5 лет с

момента прекращения договорных правовых отношений (§ (1) раздела 6:22 ГК — если иное не предусмотрено Гражданским кодексом, срок действия требований истекает через 5 лет).

Что касается выполнения налоговых обязательств: 5 лет с

последнего дня того календарного года, в котором нужно было подать налоговую декларацию и предоставить данные о налогах, или, в случае отсутствия декларации, и данных, налог должен был быть уплачен (Закон № ^ о порядке налогообложения — § 78 (3), § 202 (1)).

В случае бухгалтерских документов: 8 лет (ЗБУ § 168­169). На практике это имеет место, если данные являются частью подтверждающих документов для бухгалтерского учета, например, в документах, связанных с заключением договора между Компанией и партнером (например, в заказе), или

 

Цель обработки данных Правовая основа обработки данных Собираемые данные Срок хранения данных, право доступа, адресаты для передачи данных
      фигурируют в выставленном счете.

Имеет право доступа в рамках Компании: отделы, связанные с контрактом, помощник генерального директора.

 
8. Работа системы контроля входа — с помощью гостевых карточек фиксируется время и место входа на территорию Компании и выхода с неё, в том числе входа в отдельные здания и выхода из них. Пункт (1) ^ статьи 6 Общего регламента по защите данных) — законный интерес Компании.

Законный интерес: защита собственности Компании, в соответствии с регулирующими использование систем входа- выхода положениями статьи (1) § 32 закона № СХХХШ 2005 года о нормах деятельности, направленной на защиту личности и имущества, и деятельности частных следователей (ЗЗС).

Объем данных, связанных с именной входной картой (время и частота входа в офис или иное помещение). В случае возникновения проблем с безопасностью (например, кража, кража со взломом) Компания может проверять вход в офисы и другие помещения (например, какой Сотрудник, в какой точке входа и когда входил в офис). Срок хранения данных: в случае регулярного входа — после прекращения права на вход, но, в случае данных, созданных в период его действия (например, время входа), не позднее 6 месяцев с момента создания данных, в случае разового входа — по истечении 24 часов после выхода. (Статьи (2) — (3) § 32 ЗЗС.)

Имеют право доступа в рамках Компании: Директор по логистике и эксплуатации, ассистент по логистике, начальник склада, ОАО Огтез!ег Уадуопуейе^ N711.

 

 

9. Управление данными, связанными с обеспечением соблюдения прав субъектов данных на защиту данных (подробнее см. пункт 6) Пункт (1) с) статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления правовых обязательств Компании как контролёра данных).

Правовое обязательство:

реализация прав субъекта данных, зафиксированных в статьях 15-22 Общего регламента по защите данных, а также документирование инхы шагов, предпринятых в связи с запросом.

Получаемые Компанией персональные данные, связанные с запросами о защите данных: в случае физических / юридических лиц или других организаций, обращающихся в Компанию, контактные данные контактных лиц (в частности: имя, адрес, адрес электронной почты, номер телефона), содержание запроса и шаги, предпринятые в связи с запросом, и документы, подготовленные в связи с запросом. Например, если субъект данных запрашивает по электронной почте удаление всех своих данных в соответствии с Общим регламентом по защите данных, и Компания делает это, вне зависисмости от этого само электронное письмо с запросом на удаление будет сохранено. Срок хранения данных:

бессрочно, если иного не требует директива органа по защите данных.

Сотрудники, участвующие в ответе на запрос или на вопрос, а также представитель Компании.

 
10. Архивирование

согласий субъектов данных на обработку данных и возможный отзыв согласия

Пункт (1) с) статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления правовых обязательств Компании как контролёра данных).

Правовое обязательство:

согласно статье 7 (1) Общего регламента по защите данных, если обработка основана на согласии, контролёр должен иметь возможность доказать, что субъект

Если какое-либо управление данными Компании было основано на согласии субъекта данных, Компания должна архивировать это согласие. Это делается для того, чтобы в любой момент можно было проверить законность согласия. Если субъект данных отзывает своё согласие, Компания также обязана сохранить заявление об отзыве (и связанные с ним сообщения). Это необходимо для того, чтобы Компания всегда знала, что субъект Срок хранения данных:

бессрочно, если иного не требует директива органа по защите данных.

Сотрудники и представитель Компании, участвующие в управлении согласием или отзывом согласия.

 

  данных дал согласие на обработку своих персональных данных. данных отозвал своё согласие на конкретную обработку данных.  
 
11. Запись инцидентов, связанных с защитой данных (включая документацию шагов, предпринятых для устранения инцидентов) Пункт (1) с) статьи 6 Общего регламента по защите данных (обработка данных необходима для осуществления правовых обязательств Компании как контролёра данных).

Юридическое обязательство: в

соответствии со статьей 33 (5) Общего регламента по защите данных (О^РК) контролёр регистрирует инциденты в области защиты данных, указывая факты, связанные с инцидентом защиты данных, его последствия и меры, принятые для их устранения. Этот реестр позволяет органу по защите данных проверять соответствие требованиям О^РК.

Персональные данные субъектов данных, связанных с инцидентом в области защиты данных. Срок хранения данных:

бессрочно, если иного не требует директива органа по защите данных.

Сотрудники, участвующие в рассмотрении инцидента, связанного с защитой данных, а также представитель Компании.

 

5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ (ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ)

5.1  ИТ-поддержка для управления инцидентами в области защиты данных и реестром инцидентов.

В рамках этого, необходимо проводить регулярные самоаудиты, в ходе которых Компания проверяет, соответствуют ли работа её ИТ-системы и директивные корпоративные правила требованиям законодательства. В рамках самоаудита, помимо проверки соответствия, Компания также проверяет технологическую устойчивость (проверка ИТ-безопасности). Компания регулярно анализирует реестр данных, обрабатываемых и хранимых в ИТ- системах (инвентаризация ИТ-безопасности), и риски ИТ-безопасности, которые ему угрожают.

5.2             Системы идентификации

Компания использует центральную систему базы адресов для проверки прав пользователей с помощью управления паролями (требуя и обеспечивая минимальную сложность пароля и изменение пароля).

5.3             Управление инцидентами в области       безопасности

Компания собирает и хранит технические журналы систем и приложений. Компания постоянно отслеживает состояние и статистику систем ИТ-безопасности.

5.4             Сетевая безопасность

Сетевые соединения контролируются и регулируются Компанией с помощью многоуровневой системы межсетевого экрана с отслеживанием состояния. Компания централизованно наблюдает за беспроводными сетями, используемыми на её объектах, поэтому беспроводной доступ находится под контролем. Для обеспечения высокого уровня безопасности ИТ-систем и коммуникаций Компания связывает сети различных своих объектов с помощью зашифрованных каналов данных (УР№).

5.5             Защита мобильных систем

Компания регистрирует корпоративные мобильные устройства и обеспечивает безопасный канал доступа к корпоративным системам.

5.6             Управление уязвимостью

Компания регулярно замеряет, анализирует и оценивает уязвимость ИТ-безопасности и на основании этого принимает необходимые меры. Компания регулярно устанавливает обновления безопасности на корпоративные компьютеры и устройства.

5.7             Фильтрация содержимого электронной почты

Компания использует многоуровневую, основанную на различных технологиях, автоматизированную систему для фильтрации электронной почты, содержащей спам, фишинг и вредоносные программы, а также использует защитные процедуры для предотвращения специальных (низкотехнологичных) атак на основе протоколов. Там, где это возможно, Компания стремится создать надежный и безопасный почтовый канал с использованием технологий идентификации отправителя и криптографических процедур.

 

5.8 Защита конечных точек (например, компьютеры или другие устройства, серверы)

Компания использует межсетевой экран (файлвол) для защиты сетевого подключения конечных устройств. Компания обеспечивает защиту всех компьютеров, допускающих такую защиту, и других конечных устройств от вредоносных программ, применяя постоянные автоматические проверки при доступе и регулярные полные проверки компьютеров.

5.9 Физическая защита документов и данных

Что касается физической защиты данных, а также электронных и бумажных документов, у Компании есть запираемые серверные комнаты, а также прозрачные и должным образом оговоренные с сотрудниками методы обращения с документами, которые требуют, чтобы бумажные документы хранились в запираемом шкафу, и к ним имели доступ исключительно уполномоченные лица.

  1. ПРАВА НА ЗАЩИТУ ДАННЫХ СУБЪЕКТОВ ДАННЫХ И ПРАВОВЫЕ ГАРАНТИИ ДЛЯ СУБЪЕКТОВ ДАННЫХ

6.1             Права в области защиты данных и правовые гарантии

Право на защиту данных и правовые гарантии субъектов данных подробно изложены в соответствующих положениях О^РК (в частности, в статьях 15, 16, 17, 18, 19, 20, 21, 22, 77, 78, 79, 80 и 82). Нижеследующее резюме содержит наиболее важные положения, и Компания в соответствии с ними предоставляет субъектам данных информацию об их правах, связанных с обработкой данных, и о правовых гарантиях.

Информация должна быть предоставлена в письменном виде или другими способами, в том числе, при необходимости, необходимо предоставить ссылку на электронный путь доступа. По просьбе субъекта данных ему может быть предоставлена и устная информация при условии, что личность субъекта данных установлена иным образом.

Компания должна без необоснованной задержки, но в любом случае в течение одного месяца с момента получения запроса субъекта данных на осуществление соответствующего права (см. Статьи 15-22 О^РК) проинформировать его о действиях, предпринятых по его запросу. При необходимости, учитывая сложность заявки и количество заявок, этот срок может быть продлен ещё на два месяца. Компания в течение одного месяца с момента получения запроса информирует субъекта данных о продлении срока с указанием причин задержки. Если субъект данных подал запрос с помощью электронных средств, информация, по возможности, должна быть предоставлена с помощью электронных средств, если субъект данных не требует иного.

Если Компания не принимает меры по запросу субъекта данных, она должна незамедлительно, но не позднее, чем через один месяц с момента получения запроса, проинформировать субъект данных о причинах бездействия и о том, что субъект данных может подать жалобу в какой-либо надзорный орган и может обратиться в суд.

 

6.2  Право доступа субъекта данных

(1)  Субъект данных имеет право получать обратную связь от Компании о том, обрабатываются ли его личные данные. Если такая обработка имеет место, субъект данных имеет право на получение доступа к личным данным и к следующей информации:

  1. a) цели обработки данных;
  2. b) категории персональных данных субъекта данных;
  3. c) получатели или категории получателей, которым Компания передала или будет передавать персональные данные, включая, в частности, получателей из третьих стран или международные организации;

й)                                  в определённых случаях, предполагаемый период хранения личных данных, или,

если это невозможно, критерии определения этого периода; е) право субъекта данных требовать от Компании исправления, удаления или

ограничения обработки касающихся его персональных данных, а также возражать против обработки таких персональных данных;

^                                    право подать жалобу в какой-либо надзорный орган; а также

д)                                  если данные были получены не от субъекта данных, вся доступная информация

об их источнике;

Ь)                                  автоматизированное принятие решений (пункты (1) и (4) статьи 22 О^РК.),

включая профилирование, и, по крайней мере, в этих случаях, понятная информация о применяемой логике и о том, какое значение имеет такая обработка данных, а также о том, какие ожидаемые последствия это имеет в отношении субъекта данных.

(2)  Если личные данные передают в третью страну, субъект данных имеет право быть проинформированным о соответствующих гарантиях передачи.

(3)  Компания должна сделать копию обрабатываемых персональных данных доступной субъекту данных. За дополнительные копии, запрошенные субъектом данных Компания может взимать разумную плату, основанную на административных расходах. Если субъект данных подал запрос с помощью электронных средств, информация должна быть предоставлена в широко распространённом электронном формате, если субъект данных не требует иного.

6.3  Право на исправление

Субъект данных имеет право потребовать у Компании, чтобы касающиеся его неточные персональные данные были исправлены без неоправданной задержки. Субъект данных также имеет право потребовать дополнения неполных персональных данных, в частности, посредством дополнительного заявления.

6.4  Право на уничтожение данных («право на забвение»)

(1)  Субъект данных имеет право потребовать у Компании, чтобы касающиеся его персональные данные были уничтожены без неоправданной задержки в том случае, если имеет место одна из нижеперечисленных причин:

  1. a) личные данные больше не требуются для тех целей, для которых Компания их собирала или обрабатывала иным образом;
  2. b) субъект данных отзывает свое согласие, на котором основана обработка, и нет другой правовой основы для обработки;
  3. c) субъект данных возражает против обработки, и в данном случае нет имеющей приоритет веской законной причины для обработки;

й)    персональные данные попали на обработку незаконным путём;

 

е) личные данные должны быть удалены с целью выполнения правовых обязательств, определяемых законодательством ЕС или государства-члена и применимых к Компании; или ^     личные данные были собраны в связи с предоставлением услуг, связанных с

информационным обществом.

(2)  Если Компания раскрыла личные данные и в соответствии с вышеперечисленным должна удалить их, она должна предпринять разумные шаги, включая технические меры, с учетом доступной технологии и стоимости осуществления, чтобы проинформировать контролёров данных о том, что субъект данных запросил удаление ссылок на персональные данные или копий или дубликатов тех персональных данных, о которых идет речь.

(3)  Пункты 1 и 2 невозможно применять, если обработка данных необходима, в том числе:

  1. a) с целью осуществления права на свободу выражения мнения и права на получение информации;
  2. b) с целью выполнения предписывающих обработку данных правовых обязательств, определяемых законодательством ЕС или государства-члена и применимых к Компании;
  3. c) с целью архивирования в общественных интересах, для целей научных и исторических исследований или для статистических целей, в том случае, если право, указанное в пункте (1), может сделать такую обработку невозможной или серьезно поставить под угрозу; или

й)    для подачи, обеспечения соблюдения или защиты судебных исков.

6.5  Право на ограничение обработки данных

(1)  Субъект данных имеет право потребовать у Компании, чтобы она ограничила обработку его персональных данных, если имеет место одна из нижеперечисленных причин:

  1. a) субъект данных оспаривает точность персональных данных, в этом случае ограничение распространяется на тот период времени, который позволяет Компании проверить точность персональных данных;
  2. b) обработка незаконна, и субъект данных выступает против удаления данных, а вместо этого требует ограничить их использование;
  3. c) Компании больше не нужны личные данные для целей обработки данных, но субъект данных запрашивает их для подачи, обеспечения соблюдения или защиты юридических требований; или

й)    субъект данных возражал против их обработки; в этом случае ограничение

применяется до тех пор, пока не будет определено, имеют ли законные основания Компании приоритет над законными основаниями субъекта данных.

(2)  Если обработка данных ограничена в соответствии с пунктом (1), такие личные данные, можно обрабатывать, за исключением хранения, лишь для подачи, обеспечения соблюдения или защиты юридических требований, или для защиты прав другого физического или юридического лица, или для защиты важных общественных интересов ЕС или одного из государств-участников.

(3)  Компания должна заранее проинформировать об отмене ограничения на управление данными субъекта данных, по запросу которого управление данными было ограничено на основании вышеизложенного.

 

6.6  Обязанность уведомлять об исправлении или удалении личных данных или об ограничении обработки данных

Компания обязана проинфоровать всех получателей, которым она передала личные данные, о любом исправлении, удалении или ограничении обработки данных, если это не окажется невозможным или потребует несоразмерных усилий. По запросу субъекта данных Компания обязана предоставить ему информацию об этих получателях.

6.7  Право на перенос данных

(1)  Субъект данных имеет право получить относящиеся к нему персональные данные, предоставленные им Компании, в структурированном, широко используемом, машиночитаемом формате, и имеет право передавать такие данные другому контролёру данных, при этом Компания не имеет права препятствовать ему, если:

  1. a) управление данными основано на согласии или договоре; а также
  2. b) управление данными осуществляется автоматически.

(2)  При реализации права на перенос данных в соответствии с пунктом (1) субъект данных имеет право, если это технически возможно, запросить прямую передачу персональных данных между контролёрами данных (такими как Компания и другие контролёры данных).

(3)  Осуществление вышеописанного права не должно наносить ущерба положениям, относящимся к праву отмены («праву на забвение»), и не должно отрицательно влиять на права и свободы других лиц.

6.8  Право на протест

(1)  Субъект данных имеет право в любое время по причинам, связанным с его ситуацией, возразить против обработки его личных данных на основе законного интереса, в том числе профилирование. В этом случае Компания не будет далее обрабатывать персональные данные, если Компания не докажет, что обработка необходима по таким вынуждающим к обработке законным причинам, которые имеют приоритет над интересами, правами и свободами субъекта данных или которые связаны с представлением, исполнением или защитой юридических претензий.

(2)  Если персональные данные обрабатываются непосредственно с целью расширения бизнеса, субъект данных имеет право в любое время возразить против обработки собственных персональных данных для этой цели, включая профилирование, если оно непосредственно связано с расширением бизнеса.

(3)  Если субъект данных возражает против обработки персональных данных с целью непосредственного расширения бизнеса, не допускается дальнейшая обработка персональных данных для этой цели.

(4)  В связи с использованием услуг информационного общества и в порядке отступления от Директивы 2002/58/ЕС вы также можете реализовать свое право на возражение с помощью автоматизированных средств, основанных на технических предписаниях.

(5)  Если личные данные обрабатывают для научных и исторических исследований или статистических целей, субъект данных имеет право возражать против обработки касающихся его личных данных на основании, относящемся к его собственной ситуации, за исключением случаев, когда такая обработка необходима для выполнения задачи, выполняемой в общественных интересах.

 

6.9  Право на подачу жалобы в надзорный орган

Субъект данных имеет право подать жалобу в надзорный орган, в частности, в государстве- члене ЕС по его обычному месту жительства, месту работы или по месту предполагаемого нарушения, если субъект данных считает, что обработка касающихся его персональных данных нарушает положения О^РК. В Венгрии компетентный надзорный орган: Национальное управление по защите данных и свободе информации (№тгей Айа1уёйсМ ез ЫГогтааозгаЬайзад На1оза§) ((сайт: НДрУ/паНтЬи/: адрес: 1055 Вийарсзр Ра1к М1кза иса 9-11.; адрес для почтовых отправлений: 1374 Вийарсзр РГ 603.; телефон: +36 1 391 1400; факс: +36 1 391 1410; с-тай: ицуГе1з2о1ца1а1:@па11т1н1).

6.10          Право на эффективную судебную защиту от надзорного органа

(1)  Субъект данных имеет право на эффективную судебную защиту от юридически обязательного решения надзорного органа в отношении субъекта данных.

(2)  Субъект данных имеет право на эффективную судебную защиту, если компетентный надзорный орган не рассматривает жалобу или в течение трех месяцев не информирует субъекта данных о процессуальных действиях, связанных с поданной жалобой, или о результатах поданной жалобы.

(3)  Дело против надзорного органа должно быть возбуждено в суде того государства-члена, на территории которого находится надзорный орган.

6.11          Право на эффективную судебную защиту против Компании или обработчика данных

(1)  Без ущерба для любых доступных субъекту данных административных или внесудебных средств правовой защиты, включая право подавать жалобу в надзорный орган, субъект данных должен иметь эффективную судебную защиту, если он считает, что в результате обращения с его личными данными, несоответствующего Общему регламенту по защите данных, были нарушены его права, гарантируемые Общим регламентом по защите данных.

(2)  Судебное разбирательство против Компании или обработчика данных должно быть возбуждено в судах государства-члена, в котором зарегистрирована Компания или обработчик данных. Такое разбирательство также может быть возбуждено в суде государства-члена ЕС, в котором постоянно проживает субъект данных. В Венгрии такой иск подпадает под юрисдикцию суда Венгрии. Субъект данных также может по своему усмотрению подать иск в суд по месту его жительства или пребывания. Информацию о юрисдикции и контактные данные суда вы найдёте на сайте: тотого.Ыгозад.Ьи.