A KOLPING HOTEL KFT.
ПРАВИЛА ИСПОЛЬЗОВАНИЯ И ЗАЩИТЫ ДАННЫХ

1. Цель Кодекса

Целью Кодекса является соблюдение положений Закона CXII, 2011 года о праве на самоопределение и свободу информации в соответствии с требованиями законодательства. (в дальнейшем именуемый «Инфотв.») и в соответствии с положениями Регламента (ЕС) 2016/679 Европейского парламента и Совета (ЕС) 2016/679 информировать заинтересованных лиц о личных данных, которыми управляет контроллер данных, упомянутый в пункте 2, о цели и способе управления данными а также любые другие факты, связанные с управлением данными, включая, помимо прочего, права на управление данными и доступные им средства защиты

2. Название компании - пользователя данных, место нахождения, официальный представитель

• Название отеля: Kolping Hotel Kft.
• Aдрес: 8394 Alsópáhok, Fő utca 120.
• Официальный представитель: Чаба Балдауф, Генеральный директор
• Контактное лицо в вопросах защиты данных: Юдит Ниро заместитель директора по управлению

3. Имя и контактные данные сотрудника по вопросам конфиденциальности, статус и задачи

• Др. Болдижар Морваи- dpo@kolping.hotel.hu 

Правовой статус сотрудника по защите данных
Контролер должен обеспечить, чтобы сотрудник по защите данных надлежащим образом и своевременно участвовал во всех вопросах, касающихся защиты личных данных. Должно быть обеспечено наличие ресурсов, необходимых для поддержания уровня экспертизы DPO.
Сотрудник по защите данных не может принимать инструкции от кого-либо при исполнении своих обязанностей. Контролер или обработчик данных не могут выпускать или налагать санкции на DPO при исполнении своих обязанностей. Сотрудник по защите данных несет прямую ответственность перед высшим руководством обработчика данных.
Заинтересованные стороны могут обращаться к сотруднику по защите данных по всем вопросам, касающимся работы с их персональными данными и реализации их прав.
Сотрудник по защите данных обязан соблюдать конфиденциальность или обязательство сохранять конфиденциальность данных.
Сотрудник по защите данных может выполнять и другие задачи, но только в том случае, если нет конфликта интересов между этими задачами.

Задачи сотрудника по защите данных:

• Предоставляет информацию и консультации для обработчика данных, а также сотрудников, которые работают с данными;
• Cлежение за соблюдением внутренних правил защиты данных oбработчикoм или работающего с персональными данными
• предоставление профессиональной консультации по оценке влияния на защиту данных по запросу, и контролирование результатов оценки их действия;
• сотрудничество с надзорными органоми.

4. Законодательство об использовании данных

- Основной закон Венгрии, VI. Статья

- Закон CXII 2011 года о самоопределении информации и свободе информации; (далее именуемое «Инфотв.»);

-Регламент о защите персональных данных физических лиц в отношении их обработки и о свободном перемещении таких данных, а так же и отмене, Постановление № 95/46 ЕК) от 2016/679 (GDPR)

5. В настоящих правилах используемые понятия

• обработчик данных: обработчик данных, это любое физическое или юридическое лицо, государственный орган, агентство или какой либо другой орган, который обрабатывает персональные данные от имени того кто работает с персональными данными
• обработка данных: любой набор операций, выполняемых в автоматическом или неавтоматизированном режиме с личными данными или файлами, таких как сбор, запись, систематизация, распространение, хранение, преобразование или изменение, запрос, понимание, использование, передача, распространение или другие средства доступа, координации или присоединения, ограничения, удаления или уничтожения
• обработчик данных (обслуживатель): предприятие, а также любое физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который определяет цели и средства обработки персональных данных, как один, так и совместно с другими; если цели и средства обработки данных определены законодательством ЕС или государства-члена
• инциндент в защите данных: ущерб безопасности, приводящий к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к персональным данным, передаваемым, хранящимся или иным образом обрабатываемым
• биометрические данные: личные данные, полученные с помощью какой-либо конкретной технической процедуры, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, позволяющие или подтверждающие индивидуальную идентификацию физического лица, такие как изображение лица или дактилоскопические данные
• адресат: физическое или юридическое лицо, государственный орган, агентство или любой другой орган, которым передаются персональные данные, независимо от того, являются ли они третьими лицами. Государственные органы, которые имеют доступ к персональным данным в соответствии с законодательством Евросоюза или государства-члена в контексте конкретного расследования, не должны рассматриваться в качестве получателя; обработка таких данных этими государственными органами должна осуществляться в соответствии с правилами защиты данных, применимыми к целям управления данными
• заинтересован-ная персона: физическое лицо, персональные данные которого обрабатываются
• согласие заинтересован-ной персоны: декларация воли субъекта данных на добровольной, конкретной и соответствующей основе, посредством декларации, прямо выражающей его согласие или согласие на обработку относящихся к нему персональных данных
• GDPR: Постановление (ЕС) 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, или отмене, Постановление (ЕС) № 95/46 (Общее положение о защите данных)
• третье лицо: физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который не совпадает с субъектом данных, обработчиком или лицами, уполномоченными обрабатывать персональные данные под непосредственным контролем обработчика
• Info tv.: закон о самоопределении и свободе информации,  от  2011 года CXII 
• Сотрудник: В любых других трудовых отношениях с Поставщиком услуг или в любых других трудовых отношениях, в частности: услуга, контракт на заказ, постоянное лицо, подрядчик (и) и агенты.
• cоздание профиля: любая форма автоматизированной обработки персональных данных, в которой персональные данные используются для оценки определенных личных характеристик, связанных с физическим лицом, в частности тех, которые касаются производительности на работе, экономической ситуации, состояния здоровья, личных предпочтений, интересов, надежности, поведения, места жительства или перемещения; используется для прогнозирования
• персональные данные: любая информация, относящаяся к идентифицированному или конкретному («заинтересованному»); лицу которое идентифицирует физическое лицо, прямо или косвенно, в частности, посредством ссылки на, такую информацию как имя, номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, связанных с физической, физиологической, генетической, интеллектуальной, экономической, культурной или социальной идентичностью физического лица
• специальные категории персональных данных: персональные данные, относящиеся к расовому или этническому происхождению, политические убеждения, религиозные или философские убеждения или членство в профсоюзе, а также генетические и биометрические данные, предназначенные для однозначной идентификации физических лиц, персональные данные, касающиеся сексуальной жизни или сексуальной ориентации физических лиц

6. Оценка эффекта по оценке данных

Обработчик данных отвечает за оценку действий защиты данных, на правах свободы физического лица, оценка источника определяется, характером, уникальности и серьезности этого риска. Результаты оценки должны быть приняты во внимание при определении того, какие меры являются подходящими для демонстрации того, что обработка персональных данных соответствовала общим правилам конфиденциальности. Если, оценка воздействий на защиту данных, сопряжены с высоким риском, и обработчик данных не может их снизить, существующиеми технологиями и затратами на внедрение защитных мер, следует обратиться к Национальной службе защиты данных и свободы информации (NAIH) до начала работы с данными. Если в дальнейшем необходимо проводить оценку по воздействию защиты данных высокого риска, то можно получить консультацию во Французском национальном органе по защите данных (Национальная комиссия по информатике и свободе, далее именуемое «CNIL») (также известное как NAIH) : «Программное обеспечение PIA», именуемое в дальнейшем «программное обеспечение для оценки воздействия».

В связи с оценкой защиты данных, их обработчик, подготавливает отдельные регуляторы

7. Тест на заинтересованность - основанный на законных интересах обработки данны

Рассмотрение теста в случае обоюдных законных интересов обработки данных (раздел 6 (1) (f) GDPR) основан на резолюции NAIH / 2015/3731/2 / V. На основе этого, тест на измерение взаимных интересов, представляет собой многоэтапный процесс, который определяет законный интерес обработчика данных и интересы субъекта данных, как основное фундаментальное право и, в конечном итоге, взвешивание, что личные данные, могут ли быть обработаны.

Тест для изучения интереса, а пошаговом применении:

• Шаг 1 – Изучает, необходима ли обработка данных или это возможно проделать иным способом
• Шаг 2 - Как можно точнее определить законные интересы
• Шаг 3 - Определите цель управления данными, какие личные данные, сколько времени занимает управление данными
• Шаг 4 - Определить аспекты заинтересованных сторон
• Шаг 5 – Оценка определения

Обработчикданных подготавливает отдельную политику для теста взвешивания взимных интересов.

8. Обработка и защита персональных данных

8.1. Задачи обработчика данных по работе, полномочий и ответственности за них

Обработчик данных, выполняющий первичную обработку , обязан возместить ущерб, причиненный другому лицу, путем незаконного обращения с его данными или с нарушением требований технической защиты этих данных. Обработчик данных также несет ответственность субъекту данных, за ущерб, нанесенный им в процессе работы . Обработчик данных освобождается от ответственности, если докажет, что ущерб был причинен неизбежной причиной, выходящей за рамки управления данными. Компенсация не выплачивается, если она была вызвана преднамеренным или грубым небрежным поведением потерпевшего.

8.2. Задачи обработчика данных по работе, полномочий и ответственности за них

Права и обязанности работающего с данных в связи с обработкой персональных данных определяются в соответствии с настоящими Правилами и соответствующим законодательством. Он отвечает за обработку, изменение, удаление, передачу и раскрытие персональных данных в рамках обработки их. В договоре с обработчиком данных должно быть указано, что другие обработчики данных могут использовать процессор данных при выполнении своих операций по обработке данных, и что нарушение правил обработки данных может послужить основанием для немедленного расторжения договора.

9. Принципы и основные положения

- Принцип законности, надлежащей правовой процедуры и прозрачности:
(Сбор данных и управление ими должны быть справедливыми, законными и прозрачными для субъекта данных.)

- Принцип cвязи с целью:
(Согласно Infotv., Персональные данные могут обрабатываться только для определенной цели, с целью осуществления права и выполнения обязательства. Управление данными должно соответствовать цели управления данными на всех этапах. Для этой цели могут управляться только личные данные, которые необходимы для управления данными. Персональные данные могут быть обработаны только в объеме и в течение времени, необходимого для достижения цели.)

- Принцип минимализации данных:
(Основываясь на принципе минимализации запроса данных, менеджер данных может работать только с теми персональными данными, которые строго необходимы для этого)

- Принцип точности:
(Данные, обрабатываемые обработчиком данных, должны быть точными и, при необходимости, обновленными; необходимо предпринять все разумные меры для удаления или исправления личных данных, которые являются неточными для целей работы с ними)

- принцип ограниченного хранения:
(Персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных не дольше, чем это необходимо для целей, для которых были обработаны персональные данные.)

- Честность и конфиденциальность:
(Обработка персональных данных должна осуществляться таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту данных от несанкционированного или незаконного использования, случайной потери, уничтожения или повреждения, путем применения соответствующих технических или организационных мер.)

- Принцип подотчетности:
(Контролер отвечает за соблюдение принципов и правил управления данными, а также должен иметь возможность проверить это соответствие.)

- Принцип безопасности данных
(Контроллер данных планирует и реализует операции обработки данных для обеспечения конфиденциальности субъектов данных при применении Информации и других правил управления данными. Контроллер данных обеспечивает безопасность данных, принимает технические и организационные меры и разрабатывает их в Процедуры, необходимые для обеспечения соблюдения правил Infotv. И других данных и правил конфиденциальности. Контроллер данных защищает данные соответствующими мерами, в частности, от несанкционированного доступа, изменения, передачи, раскрытия, удаления или уничтожения, а также от случайного уничтожения и повреждения. Кроме того, для защиты файлов данных с электронным управлением различных регистров контроллер данных должен иметь надлежащий технический контроль. Таким образом, это гарантирует, что данные, хранящиеся в записях, если это не разрешено законом, не могут быть напрямую связаны и назначены субъекту данных. Для обеспечения безопасности и предотвращения обработки данных, которая нарушает GDPR, контроллер данных оценивает риски, связанные с характером управления данными, и применяет меры по снижению таких рисков, такие как шифрование. Эти меры обеспечат адекватный уровень безопасности, включая конфиденциальность, с учетом состояния науки и техники, а также затрат на внедрение и характера персональных данных, требующих защиты. При оценке рисков безопасности данных следует учитывать риски управления персональными данными, такие как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передаваемым, сохраненным или иным образом управляемым персональным данным, или моральный вред.

10 Правa субъектов и их персональныe данныe

- Право доступа:
(Физическoe лицo имеет право быть проинформированным oбработчикoм данных о том, что его персональные данные обрабатываются, а в случае обработки таких данных, будет иметь доступ к персональным данным, физическoe лицo должно быть проинформированнo об обстоятельствах, связанных с их обработкой. Oбработчик данных информирует физическoe лицo, если нет неоправданной причины без задержки и в течение месяца после получения запроса о мерах, принятых в ответ на его запрос. При необходимости, с учетом сложности заявки и количество заявок, этот срок может быть продлен еще на два месяца. Обработчик данных информирует физическoe лицo о продлении срока с указанием причин задержки в течение одного месяца с момента получения запроса. Если заявка представляется с помощью электронных средств, информация, по возможности, предоставляется с помощью электронных средств, если физическoe лицo не запрашивает иных средств связей.

- Право на исправление:
(Физическoe лицo имеет право без промедления удалить относящиеся к нему личные данные, если существует одно из следующих оснований)

-Право на удаление данных

• (а) личные данные больше не нужны для целей, для которых они были собраны или обработаны иным образом;
• (б) обработкa данных отозвано физическим лицом в соответствии со статьей 6 (1) (а) или статьей 9 (2) (а) ГСОД или обработка данных не имеет другой правовой основы;
• (в) Физическoe лицo возражает против обработки в соответствии со статьей 21 (1) GDPR, и нет никаких юридических оснований для того, чтобы этим данным был отдан приоритет, или это связано с GDPR. Возражения против обработки данных в соответствии со статьей 21 (2);
• (г) личные данные были незаконно обработаны oбработчикoм данных;
• (д) где личные данные должны быть удалены по закону;
• (е) личные данные были собраны в связи с предоставлением услуг информационного общества, упомянутых в Статье 8 (1) GDPR (условия для согласия ребенка).

Данные не удаляются oбработчикoм данных, если управление данными необходимо по одной из следующих причин:

• (а) осуществлять право на свободу выражения мнений и информации;
• (б) выполнить обязательство в соответствии с законодательством, регулирующим обработку персональных данных;
• в) или необходимых для представления, приведения в исполнение или защиты юридических требований. 

- Право на ограничение обработки данных:
(Субъект данных имеет право ограничить работы с данными по своей просьбе, если выполняется одно из следующих условий:

• а) физическое лицо оспаривает достоверность персональных данных, и в этом случае ограничение применяется в течение срока, разрешенного обработчиком данных, для проверки достоверности персональных данных;
• (б) обработка является незаконной, и физическое лицо данных выступает против удаления данных и вместо этого просит ограничения на их использование;
• в) oбработчикy данных больше не нужны персональные данные для целей обработки данных, но физическое лицо запрашивает их для представления, подтверждения или защиты юридических требований; или
• (г) физическое лицо возражает против обработки; в этом случае ограничение применяется в течение периода, пока не будет установлено, преобладают ли законные основания oбработчикa данных над законными основаниями физического лица. За исключением хранения, персональные данные подлежащие ограничению, могут обрабатываться только с согласия физического лица, либо для подачи, исполнения или защиты судебных исков, либо для защиты прав других физических или юридических лиц, либо для важных общественных интересов Союза или государства-члена. Oбработчикик данных предоставляет физическому лицу предварительную информацию о снятии ограничения.

- Право на протест:

(физическое лицо имеет право в любое время возразить против любых своих персональных данных GPPR. 6 статья, по причинам, связанным с его / ее ситуацией. Европейский парламент и Совет, действуя квалифицированным большинством по предложению комиссии и после консультаций с экономическим и социальным комитетом и Комитетом регионов, должны действовать единодушно. В этом случае обработчик данных не может осуществлять дальнейшую обработку персональных данных, если он не докажет, что обработка обоснована вескими законными причинами, которые имеют приоритет над интересами, правами и свободами физических лиц или которые касаются подачи, исполнения или защиты исковых требований.)

- Право на хранение данных:

(физическое лицо имеет право получать свои персональные данные в структурированном, широко используемом машиночитаемом формате и пересылать такие данные другому обработчикy данных без предупреждения нынешнего обработчика данных, которому он предоставил персональные данные, Если: а) обработка данных регулируется ВВП. 6. Статья 9 пункт (1) (А) или пункт (9) статья (2) пункта а) в соответствии с взносом или ВВП 6. (B) обработка данных осуществляется в автоматическом режиме.)

11. Подробные правила управления данными

11.1. Информация по работе с данными

Заинтересованные стороны имеют право обрабатывать свои личные данные в краткой, прозрачной и легкодоступной форме с четкой и понятной информацией. Если персональные данные собираются от физического лица, то он также должен быть проинформирован об обязательстве раскрывать персональные данные и последствиях непредоставления данных. Информация, касающаяся обработки персональных данных, относящихся к физическому лицy, предоставляется во время сбора данных или, если данные были получены из других источников, помимо от физического лица, то данные должны предоставляться в течение разумного периода времени с учетом обстоятельств дела. Если персональные данные могут быть законно переданы другому адресату, соответствующее лицо должно быть проинформировано об этом при первом обращении к адресату. Если обработчик данных желает обрабатывать персональные данные для целей, отличных от тех, для которых они были первоначально собраны, он должен сообщить физическому лицу об этой иной цели и о любой другой необходимой информации до дальнейшей обработки.

Информация должна включать в себя:

• личность и контактные данные обработчика данных
• контактные данные сотрудника по защите данных
• цель обработки персональных данных и правовые основы обработки данных
• в случае обработки данных на основе «законного интереса»
• получатели персональных данных
• планируемая продолжительность управления данными
• права физиеского лица
• является ли заключение договора предпосылкой для заключения договора или возможными последствиями непредоставления данных
• возможно автоматизированное принятие решений, в том числе профилирование.
• средства правовой защиты, доступные для заинтересованных сторон

11.2 Законность управления данными

Обработка персональных данных является законной, если у обработчика данных имеется одна из следующих правовых основ для управления данными:

• Согласие заинтересованного лица, на обработку личных данных
• Управление данными необходимо для выполнения контракта, в котором участвует одна сторона
• Управление данными необходимо для выполнения юридического обязательства обработчика данных
• Управление данными необходимо для защиты жизненно важных интересов физического лица
• Управление данными необходимо для выполнения задач, представляющих общественный интерес
• Oбработка данных необходима для законных интересов обработчика данных или третьей стороны, если только такие интересы не перевешивают интересы или основные права и свободы физического лица, что требует защиты персональных данных, в частности, когда речь идет о ребенке.

11.3 объем персональных данных, управляемых обработчикам данных, цель и продолжительность обработки данных регулируются настоящими Правилами 1. отчет о деятельности по управлению данными, который публикуется на веб-сайте обработчика данных.

Запись управления данными должна содержать:

• цель управления данными,
• тип данных,
• правовые основы его управления,
• заинтересованные лица,
• источник данных,
• вид, адресат и правовая основа любой передачи данных,
• дата удаления соответствующего типа данных,
• где данные обрабатываются, данные процессора, местоположение обработки данных, активность обработки данных.

В связи с обработкой данных, внесенных в регистр управления данными, была подготовлена отдельная информация управления данными, которая является регистром 1-21. Европейского парламента и Совета.

11.4. Продолжительность управления данными

Данные могут хранится только в течение как можно более короткого периода времени. При определении этого периода следует учитывать причины, по которым обработчик данных осуществляет управление данными, и юридические обязательства по сохранению данных в течение определенного периода времени.

11.5. Внутренняя передача данных

Персональные данные в организации обработчикa данных могут передаваться только в соответствии с принципом ограничения целей, а права доступа к данным могут предоставляться только для соответствующей цели.

11,6. Передача данных третьим лицам

Персональные данные могут быть переданы третьей стороне только на основании закона или с согласия физического лица, если соблюдены условия управления данными для каждой персональной информации. Перед передачей данных обработчик данных обязан проверить, существуют ли его установленные законом условия или применяются ли условия управления данными после каждой передачи для каждой личной информации. Сотрудник по защите данных также должен участвовать в проверке законности передачи данных для одних и тех же физических лиц и для одной и той же цели, для одних и тех же обработчиков данных. Нет необходимости проводить отдельный тест во время последующих передач данных. Сотрудник по защите данных должен вести запись о передаче данных и хранить ее в соответствии с правилами. Передача данных должна сохраняться до конца пятого года (в течение двадцати лет в случае специальных данных).

Запись передачи включает в себя:

• дата передачи персональных данных, обработанных перевозчиком данных
• диапазон передаваемых данных,
• правовое основание и адресат перевода (имя, адрес, место
• имя и номер телефона лица, ответственного за перевод.

11.7 Передача данных за границу или в третью страну

Перед передачей данных, при участии сотрудника по их защите, обработчик данных обязан проверить, выполнены ли все юридические условия и выполнены ли условия по управлению данными после каждой перданной персональной информации.

11.8 Oбработчики данных не должены обрабатывать какие-либо специальные данные, здесь понимаются и биометрические данные.

12. Инцидент в конфиденциальности

В контексте инцидента, связанного с конфиденциальностью, GDPR означает нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к передаваемым, сохраненным или иным образом обработанным персональным данным.

12.1 Уведомление об инциденте с конфиденциальностью

Об инциденте, связанном с защитой данных, следует уведомлять компетентный орган надзора (NAIH) без неоправданной задержки и, если возможно, в течение 72 часов после того, как инцидент, связанный с защитой данных, был доведен до сведения контролера данных, если только инцидент, связанный с защитой данных, вряд ли представляет угрозу для прав физических лиц и уважение свободы. Если уведомление не сделано в течение 72 часов, оно должно сопровождаться вескими причинами, оправдающими задержку.

12.2 Расследование и управление инцидентом в сфере конфиденциальности

Сотрудник по защите данных изучает уведомление, запрашивает отчет у уведомителя, который заявитель обязан заполнить немедленно, но не позднее, чем в течение 2 рабочих дней.

Поставка данных должна включать:

• дата и место происшествия
• описание, обстоятельства и последствия инцидента
• это влияет на объем и количество данных во время инцидента
• лица, на которых распространяются данные
• описание мер, принятых для предотвращения инцидента,
• описание мер, принятых для предотвращения, устранения и уменьшения ущерба.

DPO предложит необходимые меры. Лицо, ответственное за обработку или обработку данных, обязано информировать сотрудника по защите данных о любых действиях, предпринятых для разрешения инцидента защиты данных, в течение 2 рабочих дней с момента реализации мер.

12.3 Ведение реестра инцидентов в защите данных

Обработчик данных обязан регистрировать все инциденты, происходящие по защите данных. GDPR требует, чтобы обработчик данных принимал соответствующие технические и организационные меры, чтобы иметь возможность обнаруживать и оценивать уязвимости и безопасность в сфере охраны персональных данных. Таким образом, в дополнение к документированию происходящих инцидентов в защите данных, обработчик должен применять соответствующие меры для своевременного обнаружения проблем и обеспечению безопасности.

13. Сфера применения и изменения настоящих Правил

Эта политика вступила в силу с 30 ноября 2018 года. Работающий с данными имеет право изменить политику самостоятельно в любое время - если поправка не противоречит действующему законодательству. Устав можно посмотреть в главном офисе обработчика данных.

Алшопахок, 30 ноября 2018.