Protections des données


Politique de protection et de sécurité des données d’
Express Luck Europe Electric Korlátolt Felelősségű Társaság

En vigueur à partir du 01/01/2024

Dispositions générales

Le règlement relatif à la protection et à la sécurité des données (ci-après : « règlement« ) a pour objet de déterminer la procédure légale de traitement des données personnelles chez Express LUCK Europe Electric Korlátolt Felelősségű Társaság (ci-après : « contrôleur des données« ), ainsi que d’assurer l’application des principes constitutionnels de la protection des données, l’autodétermination des exigences en matière de sécurité des données d’information.

 

Données du contrôleur des données :

Contrôleur de données : Express LUCK Europe Electric Korlátolt Felelősségű Társaság

Siège social du contrôleur des données : 2310 Szigetszentmiklós, Leshegy út 2.

Numéro d’enregistrement du contrôleur des données : 13-09-184069

Numéro d’identification fiscale du contrôleur des données : 25807938-2-44

Adresse électronique du contrôleur des données : adatkezeles@expressluck.hu

Nom et adresse du représentant du contrôleur des données : Xie Jungang, 1222 Budapest, Bajcsy-Zsilinszky utca 6.

 

Données du délégué à la protection des données :

Nom du délégué à la protection des données : Gu Yang

Adresse électronique : adatkezeles@expressluck.hu

 

Le présent règlement doit être appliqué conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), et à la loi CXII de 2011 relative au droit à l’autodétermination en matière d’information et à la liberté d’information (Infotv.), ainsi qu’aux exigences légales sectorielles applicables.

 

Le champ d’application du règlement couvre tous les employés du responsable du traitement, ainsi que ceux qui sont employés dans le cadre d’autres relations juridiques visant le travail (ci-après dénommés collectivement « employés »), le délégué à la protection des données et toutes les personnes qui ont accès aux données à caractère personnel dans le cadre d’autres relations juridiques avec le responsable du traitement.

 

  1. Définitions essentielles

 

Basé sur le RGPD:

  1. données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;

 

  1. traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

 

  1. Restriction du traitement » : marquage des données à caractère personnel stockées dans le but de limiter leur traitement à l’avenir ;

 

  1. pseudonymisation » : le traitement de données à caractère personnel de telle sorte que ces données ne puissent plus être attribuées à une personne concernée précise sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;

 

  1. responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou des États membres, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l’Union ou des États membres ;

 

  1. « sous-traitant » : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

 

  1. destinataire » : une personne physique ou morale, une autorité publique, un service ou un autre organisme auquel les données à caractère personnel sont communiquées, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui peuvent recevoir des données à caractère personnel dans le cadre d’une enquête particulière conformément au droit de l’Union ou des États membres ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques doit être conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;

 

  1. tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;

 

  1. consentement » de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

 

  1. violation de données à caractère personnel » : une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

 

  1. autorité de contrôle » : une autorité publique indépendante établie par un État membre conformément à l’article 51 du RGPD ;

 

  1. On entend par « traitement transfrontalier » soit
  • le traitement de données à caractère personnel effectué dans le cadre des activités d’établissements situés dans plus d’un État membre d’un responsable du traitement ou d’un sous-traitant dans l’Union, lorsque le responsable du traitement ou le sous-traitant est établi dans plus d’un État membre ; ou
  • le traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant dans l’Union, mais qui affecte ou est susceptible d’affecter sensiblement des personnes concernées dans plus d’un État membre.

 

 

  1. DIRECTIVES SUR LA GESTION DES DONNÉES

 

L’entreprise gère les données de manière légale et équitable, ainsi que de manière transparente pour la personne concernée (légalité, procédure équitable et transparence).

 

L’entreprise ne collecte des données à caractère personnel que pour des finalités spécifiques, claires et légitimes, et ne les traite pas d’une manière incompatible avec ces finalités (limitation de la finalité).

 

L’entreprise gère les données de manière appropriée et pertinente en fonction de ses objectifs et se limite à ce qui est nécessaire (sauvegarde des données). En conséquence, l’entreprise ne collecte ni ne stocke plus de données que ce qui est absolument nécessaire pour atteindre l’objectif de la gestion des données.

 

La gestion des données de l’entreprise est exacte et à jour. L’entreprise prend toutes les mesures raisonnables pour s’assurer que les données personnelles inexactes aux fins de la gestion des données sont immédiatement supprimées ou corrigées (exactitude).

 

L’entreprise ne conserve les données personnelles sous une forme permettant l’identification des personnes concernées que pendant le temps nécessaire à la réalisation des objectifs du traitement des données personnelles, sous réserve de l’obligation de conservation définie dans la législation pertinente (limitation de la conservation).

L’entreprise assure une sécurité adéquate des données à caractère personnel en appliquant des mesures techniques ou organisationnelles appropriées, y compris la protection contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction ou l’endommagement des données à caractère personnel (intégrité et confidentialité).

 

L’entreprise est responsable du respect des principes de base détaillés ci-dessus, et l’entreprise prouve ce respect (responsabilité). À cet effet, l’entreprise veille à l’application permanente des dispositions du présent règlement interne, à l’examen continu de sa gestion des données et, si nécessaire, à la modification et à l’ajout de procédures de gestion des données. L’entreprise prépare la documentation nécessaire pour prouver qu’elle respecte les obligations légales.

 

  1. BASE JURIDIQUE DU TRAITEMENT DES DONNÉES

 

Le traitement des données à caractère personnel n’est légal que si et dans la mesure où au moins l’une des bases juridiques spécifiées dans les points ci-dessous est remplie :

 

La personne concernée a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités déterminées (ci-après : traitement des données fondé sur le consentement).

 

La gestion des données est nécessaire à l’exécution d’un contrat dont la personne concernée est l’une des parties, ou elle est nécessaire pour prendre des mesures à la demande de la personne concernée avant la conclusion du contrat (ci-après : traitement des données fondé sur le contrat).

 

La gestion des données est nécessaire pour remplir l’obligation légale de l’entreprise (ci-après : traitement des données basé sur l’obligation légale).

 

La gestion des données est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique (ci-après : traitement des données fondé sur les intérêts vitaux).

 

La gestion des données est dans l’intérêt public ou est nécessaire à l’exécution d’une tâche effectuée dans le cadre de l’exercice d’une autorité publique accordée à l’entreprise (ci-après : traitement des données basé sur l’autorité publique).

 

Le traitement des données est nécessaire à la réalisation des intérêts légitimes de l’entreprise ou d’un tiers, à moins que ne prévalent sur ces intérêts les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, en particulier si l’enfant est concerné (ci-après : traitement des données fondé sur l’intérêt légitime).

 

  1. DROITS EN MATIÈRE DE PROTECTION DES DONNÉES ET VOIES DE RECOURS

 

  1. Droit à l’information

 

Le responsable du traitement prend les mesures appropriées pour fournir à la personne concernée toutes les informations concernant le traitement des données à caractère personnel visées aux articles 13 et 14, aux articles 15 à 22 et à l’article 34 du RGPD, sous une forme concise, transparente, compréhensible et aisément accessible, d’une manière claire et compréhensible, en particulier en ce qui concerne les informations destinées aux enfants.

 

  1. Droit d’accès

 

La personne concernée a le droit d’obtenir du responsable du traitement des données un retour d’information indiquant si le traitement de ses données personnelles est en cours, et si ce traitement est en cours, elle a le droit d’accéder aux données personnelles et aux informations suivantes : les finalités du traitement des données ; les catégories de données à caractère personnel concernées ; les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris notamment les destinataires de pays tiers ou les organisations internationales ; la durée de conservation prévue des données à caractère personnel ; le droit de rectifier, d’effacer ou de limiter le traitement des données et de protester ; le droit d’introduire une réclamation auprès de l’autorité de contrôle ; des informations sur les sources de données ; la prise de décision automatisée, y compris le profilage, et des informations compréhensibles sur la logique utilisée et l’importance de ce traitement des données pour la personne concernée. Lorsque des données à caractère personnel sont transférées à un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées concernant le transfert.

 

Le responsable du traitement met à la disposition de la personne concernée une copie des données à caractère personnel faisant l’objet du traitement. Pour les copies supplémentaires demandées par la personne concernée, le responsable du traitement peut facturer des frais raisonnables basés sur les coûts administratifs. Lorsque la personne concernée a soumis sa demande par voie électronique, les informations sont fournies dans un format électronique largement utilisé, sauf demande contraire de la personne concernée.

 

À la demande de la personne concernée, le responsable du traitement fournit les informations sous forme électronique, par courrier électronique.

 

Le droit d’accès peut être exercé par écrit aux coordonnées du contrôleur des données indiquées dans la présente politique.

 

Sur demande, les informations peuvent être fournies oralement à la personne concernée après vérification et identification de son identité.

 

  1. Droit de rectification

 

La personne concernée a le droit de faire rectifier par le responsable du traitement, dans les meilleurs délais, les données à caractère personnel inexactes la concernant. Compte tenu de la finalité du traitement des données, la personne concernée a le droit de demander que les données à caractère personnel incomplètes soient complétées (notamment au moyen d’une déclaration complémentaire).

 

  1. Droit defacement

 

La personne concernée a le droit de demander au responsable du traitement de supprimer ses données à caractère personnel dans les meilleurs délais si l’une des raisons suivantes existe :

 

  1. a) les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  2. b) la personne concernée retire le consentement sur lequel le traitement est fondé et il n’existe pas d’autre base juridique pour le traitement ;
  3. c) la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  4. d) les données à caractère personnel ont été traitées de manière illicite ;
  5. e) les données à caractère personnel doivent être supprimées afin de remplir les obligations imposées ou requises par la loi par le responsable du traitement des données ;
  6. f) les données à caractère personnel ont été collectées dans le cadre de la fourniture de services de la société de l’information.

 

  1. Droit de restreindre la gestion des données

 

L’effacement des données ne peut être entrepris si le traitement est nécessaire : pour exercer le droit à la liberté d’expression et d’information ; pour respecter une obligation découlant du droit de l’Union européenne ou du droit des États membres régissant le traitement des données à caractère personnel ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; dans le domaine de la santé publique ou à des fins d’archivage, de recherche scientifique et historique ou à des fins statistiques, dans l’intérêt public ; ou pour introduire, faire valoir ou défendre des réclamations en justice.

 

La personne concernée a le droit de limiter le traitement des données à la demande du responsable du traitement si l’une des conditions suivantes est remplie :

 

  1. a) la personne concernée conteste l’exactitude des données à caractère personnel, auquel cas la limitation s’applique pendant une période permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
  2. b) le traitement est illicite et la personne concernée s’oppose à l’effacement des données et demande plutôt que leur utilisation soit limitée ;
  3. c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement des données, mais la personne concernée les demande afin d’introduire, d’exécuter ou de protéger des réclamations légales ; ou
  4. d) la personne concernée s’est opposée au traitement conformément à l’article 21, paragraphe 1, du RGPD ; dans ce cas, la limitation s’applique aussi longtemps qu’il est établi que les motifs légitimes du responsable du traitement prévalent sur les motifs légitimes de la personne concernée.

 

Lorsque le traitement est limité, les données à caractère personnel autres que le stockage ne peuvent être traitées qu’avec le consentement de la personne concernée ou dans le but d’introduire, de faire valoir ou de protéger des réclamations légales ou de protéger les droits d’une autre personne physique ou morale ou dans l’intérêt public important de l’Union européenne ou d’un État membre.

 

Le responsable du traitement des données informe la personne concernée à l’avance de la levée de la limitation du traitement des données.

 

  1. Droit de manifester

 

La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation, au traitement de ses données à caractère personnel nécessaire aux fins des intérêts légitimes du responsable du traitement ou d’un tiers, y compris au profilage fondé sur lesdites dispositions.

 

En cas d’opposition, le responsable du traitement ne peut plus traiter les données à caractère personnel, à moins que cela ne soit justifié par des raisons légitimes impérieuses qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou qui sont liées à la présentation, à l’exécution ou à la protection de réclamations légales.

 

Lorsque des données à caractère personnel sont traitées à des fins de prospection commerciale directe, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à cette fin, y compris le profilage, dans la mesure où il est lié à la prospection commerciale directe.

 

En cas d’opposition au traitement des données à caractère personnel à des fins de prospection commerciale directe, les données ne seront pas traitées par le responsable du traitement à cette fin.

 

Le responsable du traitement examine la réclamation dans les meilleurs délais, et au plus tard dans les 15 jours suivant l’introduction de la demande, prend une décision sur le bien-fondé de la demande et informe la personne concernée de sa décision par écrit.

 

Si le responsable du traitement des données établit la validité de la contestation de la personne concernée, le traitement des données – y compris la collecte et le transfert ultérieurs de données – est interrompu et les données sont bloquées, et le responsable du traitement des données informe toutes les personnes auxquelles les données personnelles concernées par la contestation ont été précédemment transmises et qui sont tenues de prendre des mesures pour faire valoir le droit de contestation.

 

Si la personne concernée n’est pas d’accord avec la décision du contrôleur des données, ou si le contrôleur des données ne respecte pas le délai de 15 jours, la personne concernée peut saisir un tribunal dans un délai de 30 jours à compter de la notification de la décision ou du dernier jour du délai.

 

  1. Droit à la portabilité des données

 

La personne concernée a le droit de recevoir les données à caractère personnel la concernant mises à la disposition du responsable du traitement dans un format structuré, largement utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement sans en être empêchée par le responsable du traitement dont les données à caractère personnel ont été fournies si : le traitement est fondé sur le consentement de la personne concernée ou sur un contrat ; et la gestion des données est automatisée. Lorsqu’elle exerce son droit à la portabilité des données, la personne concernée a le droit, si cela est techniquement possible, de demander le transfert direct des données à caractère personnel entre les responsables du traitement.

 

  1. Droit de retirer son consentement

 

Si le traitement des données est fondé sur le consentement, la personne concernée a le droit de retirer à tout moment son consentement au traitement des données. L’exercice de ce droit n’affecte pas la licéité du traitement effectué sur la base du consentement avant son retrait.

 

  1. Recours officiels et judiciaires contre le traitement des données

 

Si les droits de la personne concernée sont violés, celle-ci peut saisir un tribunal. L’action peut, au choix de la personne concernée, être portée devant le tribunal du lieu où la personne concernée a son domicile ou sa résidence.

 

La personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle, en particulier dans l’État membre dans lequel elle a sa résidence habituelle, son lieu de travail ou dans lequel elle soupçonne une infraction, si la personne concernée considère que le traitement des données à caractère personnel enfreint le RGPD. En Hongrie, l’autorité de contrôle compétente est l’Autorité nationale pour la protection des données et la liberté d’information (http://naih.hu/ ; siège social : 1055 Budapest, Falk Miksa utca 9-11, adresse postale:1363 Budapest, P.O.B. : 9 ; téléphone : +36 (30) 683-5969 ; +36 (30) 549-6838 ; +36 (1) 391 1400 ; e-mail : ugyfelszolgalat@naih.hu).

 

Auprès de l’Autorité nationale pour la protection des données et la liberté d’information (http://naih.hu/ ; siège social : 1055 Budapest, adresse postale : 1363 Budapest, B.P. : 9 : 1055 Budapest, Falk Miksa utca 9-11, adresse postale : 1363 Budapest, P.O.B. : 9 ; téléphone : +36 (30) 683-5969 ; +36 (30) 549-6838 ; +36 (1) 391 1400 ; e-mail : ugyfelszolgalat@naih.hu) toute personne peut ouvrir une enquête au motif qu’une violation de la loi s’est produite ou est en danger imminent en relation avec le traitement de données à caractère personnel.

 

La personne concernée a droit à un recours juridictionnel effectif contre une décision juridiquement contraignante de l’autorité de contrôle la concernant.

 

La personne concernée a droit à un recours juridictionnel effectif si l’autorité de contrôle compétente ne traite pas la réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’évolution de la procédure ou de l’issue de la réclamation.

 

Les recours contre l’autorité de contrôle sont portés devant les juridictions de l’État membre où l’autorité de contrôle a son siège.

 

  1. SYSTÈME DE PROTECTION DES DONNÉES DU RESPONSABLE DU TRAITEMENT

 

Responsabilités liées au traitement des données à caractère personnel chez le contrôleur des données

 

L’administrateur du contrôleur des données est responsable de la protection des données à caractère personnel et de la légalité du traitement des données.

 

Dans ce contexte

  1. a) il détermine, par le biais de règlements et d’instructions obligatoires, les mesures techniques et organisationnelles appropriées requises du point de vue de la protection des données à caractère personnel et de la légalité de la gestion des données, et prévoit leur application continue et leur mise à jour ;
  2. b) assure les conditions personnelles et matérielles de la gestion des données, le fonctionnement du système institutionnel de protection et de sécurité des données et la mise en œuvre des mesures nécessaires au fonctionnement ;
  3. c) désigne par écrit le délégué à la protection des données du responsable du traitement et son adjoint ;
  4. d) prend des décisions concernant la gestion des données en ce qui concerne le contrôleur des données en tant que responsable du traitement des données ;
  5. e) est responsable de l’exécution de l’obligation de divulgation liée aux activités de gestion des données du gestionnaire des données.

 

Les personnes employées par le contrôleur des données :

  1. a) traiter les données à caractère personnel dont ils ont connaissance dans le cadre de l’exercice de leurs fonctions conformément au Règlement ;
  2. b) respecter les règles contenues dans les lois et autres règlements internes concernant la gestion des données ;
  3. c) maintenir leurs connaissances à jour en ce qui concerne les réglementations relatives à la protection et à la sécurité des données qui régissent leur travail et afin de reconnaître les incidents présumés en matière de protection des données.
  4. d) Le délégué à la protection des données du responsable du traitement des données est directement responsable devant le directeur du responsable du traitement des données et exécute les tâches spécifiées dans le règlement général sur la protection des données et le présent règlement de manière indépendante et sans influence.

 

Implication de personnes extérieures à l’organisation du contrôleur de données dans le processus de gestion des données

Si, sur la base de la décision du responsable du traitement, il est nécessaire de faire appel à un sous-traitant pour mener à bien les activités du responsable du traitement, la responsabilité du sous-traitant doit être consignée dans un contrat distinct ou dans le cadre du contrat de service conclu entre les parties, conformément à l’article 28 du règlement RGPD. Lors de l’élaboration du contenu du contrat, l’avis du délégué à la protection des données doit être sollicité.

 

L’obligation contenue dans le paragraphe précédent ne s’applique pas dans la mesure où les conditions d’encadrement et de garantie du recours au sous-traitant sont déterminées par la loi.

 

Lorsqu’un responsable du traitement indépendant entre dans une relation juridique contractuelle avec le responsable du traitement en tant que destinataire, il est nécessaire de stipuler dans le cadre du contrat les mesures à appliquer pour la protection et la sécurité des données à caractère personnel. L’avis du délégué à la protection des données doit être sollicité lors de l’élaboration de la partie du contrat relative à la gestion des données.

 

Nomination, statut juridique et fonctions du délégué à la protection des données

 

Le directeur général du responsable du traitement nomme par écrit le délégué à la protection des données pour une durée indéterminée, parmi les employés ayant au moins un an d’expérience dans le domaine de la protection des données et des connaissances en matière de sécurité des données, ainsi que des compétences professionnelles.

 

Le rôle de délégué à la protection des données ne peut être exercé par une personne qui est un parent d’une personne autorisée à prendre des décisions de fond auprès du responsable du traitement des données conformément à l’article 8:1 (1) point 2 de la loi V de 2013 sur le code civil.

 

Le délégué à la protection des données doit pouvoir consulter les données classifiées, dans la mesure où cela est nécessaire à l’exercice de ses fonctions définies dans le RGPD et d’autres législations, ainsi que dans le présent règlement, et inspecter les documents marqués d’une classification.

 

Le nom et les coordonnées du délégué à la protection des données doivent être rendus publics par le biais d’informations sur la gestion des données publiées sur le site web du responsable du traitement des données, et les employés du responsable du traitement des données doivent être informés de leur nomination par écrit.

 

Les tâches non transférables du délégué à la protection des données, en particulier les tâches liées à la gestion des incidents en matière de protection des données, sont exécutées par l’adjoint en cas d’absence, d’empêchement ou d’implication de ce dernier. Avant de s’acquitter de cette tâche, l’adjoint est tenu d’examiner si les conditions relatives au conflit d’intérêts prévues par le règlement sont remplies dans son cas.

 

Le directeur du responsable du traitement donne au délégué à la protection des données l’accès et les autorisations appropriées aux systèmes électroniques, documents et autres données nécessaires à l’exercice de ses fonctions, et lui fournit les outils et ressources nécessaires à l’exercice de ses fonctions et à la mise à jour de ses connaissances professionnelles.

 

Le délégué à la protection des données du responsable du traitement est tenu d’exécuter les tâches du délégué à la protection des données en plus des autres obligations spécifiées dans sa description de poste, indépendamment de cela, il ne peut pas être licencié pendant l’exécution de ses fonctions et tâches liées à son poste de délégué à la protection des données, et il est directement responsable devant le directeur général du responsable du traitement des données en ce qui concerne l’exécution de ce poste.

 

Outre les tâches énoncées à l’article 39 du RGPD, le délégué à la protection des données peut également effectuer d’autres tâches que le responsable du contrôleur des données peut lui confier, notamment, mais sans s’y limiter, l’aide à l’évaluation des plaintes, l’aide à l’enquête sur les incidents liés à la protection des données, etc.

 

La personne faisant l’objet d’un traitement de données couvert par le règlement peut s’adresser directement et librement au délégué à la protection des données pour toute question relative à la gestion de ses données à caractère personnel et à l’exercice de ses droits.

Toute personne concernée a le droit de demander que le délégué à la protection des données ne révèle pas son identité au directeur du contrôleur des données ou à tout autre employé, en invoquant des raisons découlant de sa propre situation. Le délégué à la protection des données est tenu d’accéder à cette demande, même si, à défaut, le problème de protection des données soulevé ne peut être résolu, mais il est tenu d’en informer la personne concernée.

 

Si toutes les informations pertinentes nécessaires à son enquête sont disponibles, le délégué à la protection des données doit examiner la plainte dans un délai de 15 jours et notifier le résultat de l’enquête à la personne concernée.

 

Le délégué à la protection des données est autorisé à

 

  1. a) demander des informations et des éclaircissements sur tous les traitements de données couverts par le présent règlement ;
  2. b) inspecter tous les traitements de données couverts par le présent règlement et pénétrer dans tous les locaux où des traitements de données sont effectués ;
  3. c) participer, avec le droit de consultation et d’avis, à tout forum où des questions liées à l’exercice de ses fonctions sont à l’ordre du jour ;
  4. d) faire une proposition directement au responsable du contrôleur des données sur une question concernant le traitement des données à caractère personnel ;
  5. e) initier avec le responsable du contrôleur des données la transformation des réglementations pertinentes en matière de protection des données et des pratiques établies en matière de gestion des données, ou la mise en œuvre d’autres mesures nécessaires concernant le traitement des données.
  6. f) demander à la personne impliquée dans le traitement des données de rétablir le statut juridique.

 

Obligations liées à la mise en place du traitement des données

 

Avant le début d’une nouvelle activité impliquant le traitement de données à caractère personnel, ou l’entrée en vigueur de modifications liées à des activités de gestion de données en cours, la personne responsable de l’exécution de la tâche initie la mise en œuvre des mesures nécessaires et proportionnées auprès du responsable du contrôleur de données pour l’établissement légal de la gestion des données et le respect du principe d’obligation de rendre des comptes.

 

Dans la demande visée au paragraphe précédent, le responsable de l’exécution de la tâche liée au traitement des données consigne les caractéristiques les plus importantes de la gestion prévue des données, c’est-à-dire au moins

 

  1. a) les circonstances ou la disposition légale à l’origine du traitement des données ;
  2. b) l’étendue des données nécessaires à l’exécution de la tâche et leur source prévue ;
  3. c) la durée de conservation prévue ou définie par la loi, ou les éléments nécessaires pour la déterminer ;
  4. d) les destinataires du transfert de données concerné ;
  5. e) les mesures prévues pour réduire la sécurité des données et les risques identifiés pour les personnes concernées.

 

Le responsable du traitement des données est tenu d’examiner la demande sur le fond, de demander l’avis du délégué à la protection des données à cet égard et de prendre une décision sur cette base.

 

Il n’est possible de transmettre des données à caractère personnel que pour une finalité légitime et précisément définie, avec une base juridique directement référencée dans le cas d’espèce, et l’éventail des données à transmettre doit être réduit à l’éventail nécessaire aux fins de la gestion des données, compte tenu des exigences légales applicables et des règles internes relatives à la gestion des documents.

 

Exigences en matière de sécurité des données

 

Le responsable du traitement applique un système de protection organisationnel et technique fermé, complet et continu, qui garantit la confidentialité, l’intégrité et la disponibilité des données à caractère personnel qu’il traite, qui est proportionné aux risques encourus par les parties concernées, qui est à jour en termes de développement technologique, et qui est complet et continu.

 

Le responsable du traitement prend les mesures appropriées pour protéger les données à caractère personnel, notamment contre l’accès non autorisé, la modification, la divulgation, la destruction, ainsi que la destruction et les dommages accidentels, de même que l’accès résultant de changements dans la technologie utilisée.

 

Le responsable du traitement protège les données personnelles qu’il traite en limitant l’accès à l’information. Les données gérées ne peuvent être consultées que par les personnes pour lesquelles cela est nécessaire pour atteindre les objectifs susmentionnés.

 

Afin de protéger les fichiers de données gérés électroniquement dans les registres, les données stockées dans les registres ne doivent pas être directement liées et attribuées à la personne concernée par une solution technique appropriée.

 

Lors de la planification et de l’application de la sécurité des données, il convient de tenir compte de l’état actuel de la technologie. Parmi plusieurs solutions possibles de gestion des données, celle qui assure un niveau plus élevé de protection des données à caractère personnel doit être choisie, à moins qu’elle ne représente une difficulté disproportionnée pour le responsable du traitement.

 

Afin de mettre en œuvre la sécurité de la gestion des données, le responsable du traitement applique des contrôles physiques, logiques et administratifs.

 

Le contrôleur des données applique au moins les contrôles physiques suivants :

 

    • le responsable du traitement s’assure que des personnes non autorisées ne peuvent pas entrer dans son bâtiment/bureau en utilisant un système de contrôle d’accès capable de filtrer l’entrée de personnes non autorisées [utilisation d’un système de contrôle d’accès électronique ; entrée par clé, où la clé n’est disponible que pour les personnes autorisées à entrer].
    • afin d’éviter tout accès non autorisé aux données qu’il gère, tant par voie électronique que sur papier, le responsable du traitement veille à ce qu’aucune personne non autorisée ne puisse accéder physiquement aux données gérées [fermeture des bureaux, des salles de serveurs ; application de films sur les écrans ; placement des écrans de manière à ce que seules les personnes autorisées puissent voir les données qu’ils contiennent ; seuls les supports de données vérifiés par le responsable du traitement peuvent être connectés aux ordinateurs ;].

 

Le contrôleur des données applique au moins les contrôles logiques suivants :

 

    • le responsable du traitement des données veille à ce que seules les personnes disposant d’une autorisation appropriée aient accès aux données qu’il gère [détermination des niveaux d’autorisation par fonction ; définition de l’accès aux bases de données informatiques en fonction des niveaux d’autorisation ; subordination de l’accès au réseau informatique interne à un nom d’utilisateur et à un mot de passe].

 

Les droits d’accès aux systèmes d’information électroniques et aux bases de données du responsable du traitement, ainsi qu’aux enregistrements non électroniques, sont accordés ou révoqués par le directeur du responsable du traitement ou par une personne désignée par lui.

 

L’entreprise applique au moins les contrôles administratifs suivants :

 

    • l’entreprise veille à ce que tout accès aux données à caractère personnel puisse être retracé dans la documentation [enregistrement des activités ; enregistrement de l’entrée dans le bâtiment/bureau].
    • l’entreprise veille à la mise en place d’une procédure de gestion des documents afin que les documents contenant des données à caractère personnel reçus par erreur soient filtrés le plus rapidement possible et connus du cercle le plus restreint possible de personnes.

 

Exigences en matière de transparence des opérations de traitement des données

 

En ce qui concerne les activités de gestion des données du responsable du traitement, il est nécessaire de compiler les informations de gestion des données d’une manière claire, facilement compréhensible et transparente pour la personne concernée par la gestion des données, conformément aux objectifs de la gestion des données, conformément aux articles 13 et 14 du RGPD.

 

Le délégué à la protection des données est tenu de contrôler l’adéquation du contenu, l’actualité et la disponibilité des informations contenues dans les informations relatives à la gestion des données.

 

Pour les personnes qui établissent une relation de travail avec le responsable du traitement, il est nécessaire d’envoyer par voie électronique les informations relatives à la gestion des données les concernant, accompagnées de la documentation requise pour l’entrée.

 

Les personnes concernées qui se présentent en personne au siège, sur les sites et dans les succursales du responsable du traitement des données doivent être informées du traitement des données qui les concerne au moyen d’une fiche d’information sur la gestion des données sur papier disponible à l’accueil du responsable du traitement des données, ainsi que d’un panneau d’avertissement. En outre, lorsque cela s’avère nécessaire, en particulier pour les malvoyants ou les personnes dont la capacité à lire ou à comprendre un texte est limitée, il est également obligatoire de fournir des informations orales.

 

Dans le cas du groupe de personnes concernées qui n’est pas régi par les paragraphes précédents, le responsable du traitement publiera les informations nécessaires sur son site web.

 

Registre des activités de gestion des données

 

Le responsable du traitement des données enregistre les activités de traitement des données conformément au principe de responsabilité afin de pouvoir contrôler et vérifier la conformité avec le RGPD.

 

Le délégué à la protection des données du responsable du traitement des données conserve les enregistrements des activités de gestion des données du responsable du traitement des données par voie électronique, dans un système informatique fermé disponible uniquement au siège du responsable du traitement des données.

 

Le responsable du traitement des données tient au moins les registres suivants des activités de gestion des données menées sous sa responsabilité :

 

  1. l’enregistrement du transfert de données,
  2. l’enregistrement des demandes visant à faire respecter les droits des personnes concernées et les réponses données par le responsable du traitement,
  3. l’enregistrement des demandes officielles et les réponses données par le responsable du traitement,
  4. l’enregistrement des demandes de cessation de la gestion des données,
  5. registre des clients,
  6. l’enregistrement des demandes de renseignements à des fins de marketing,
  7. l’enregistrement de la gestion des données personnelles liées à la relation de travail,
  8. les antécédents professionnels,
  9. l’enregistrement des incidents liés à la protection des données.

 

Le registre des activités de gestion des données est constitué d’entrées de registre compilées en fonction des objectifs de gestion des données, avec le contenu défini par l’article 30 du RGPD, qui doit être conforme au contenu des informations de gestion des données correspondantes.

 

Le délégué à la protection des données met à jour et modifie le registre si nécessaire.

 

  1. LES TÂCHES LIÉES AU TRAITEMENT DES INCIDENTS RELATIFS À LA PROTECTION DES DONNÉES

 

Si un employé du responsable du traitement des données soupçonne qu’un incident lié à la protection des données s’est produit, il en informe immédiatement le délégué à la protection des données ou le directeur du responsable du traitement des données. Le délégué à la protection des données et le directeur général du responsable du traitement des données, ou la personne qu’ils ont désignée, s’informent immédiatement des circonstances essentielles de l’affaire après la notification correspondante.

 

La notification contient au moins

  1. a) la nature et une brève description de l’incident lié à la protection des données, y compris en particulier le moment présumé de la détection et de l’occurrence, la désignation du système ou du document affecté ;
  2. b) l’éventail des personnes susceptibles d’être affectées ;
  3. c) les catégories et l’ampleur des données à caractère personnel susceptibles d’être affectées ;
  4. d) les mesures urgentes qu’il a prises ;
  5. e) à son avis, la gravité de l’impact sur les droits et libertés des personnes concernées,
  6. f) une description des mesures supplémentaires qu’il envisage.

 

Afin d’évaluer et de déterminer les effets possibles de l’incident lié à la protection des données, le délégué à la protection des données fait appel, si nécessaire, au responsable de la sécurité informatique du responsable du traitement des données ou à des personnes compétentes dans le domaine concerné par l’incident lié à la protection des données.

 

Si l’incident de protection des données est vraisemblablement lié à la sécurité des systèmes d’information électroniques exploités par le responsable du traitement des données, le délégué à la protection des données est également tenu de le signaler au responsable de la sécurité des informations électroniques du responsable du traitement des données. Le responsable de la sécurité des informations électroniques du responsable du traitement des données doit immédiatement préparer un avis à l’intention du délégué à la protection des données sur la question de savoir si l’incident de protection des données affecte réellement la sécurité du système informatique, et décrire les mesures proposées et prises à cet égard.

 

Si l’incident de protection des données s’est produit dans le cadre des activités du sous-traitant utilisé par le responsable du traitement, le représentant du sous-traitant doit également être impliqué dans l’enquête sur les circonstances de l’incident de protection des données et sur les risques et effets possibles qui y sont associés.

 

Dans le cadre de son enquête, le délégué à la protection des données examine les risques encourus par les personnes concernées du fait de l’incident lié à la protection des données. Pour ce faire, il prend en compte au moins les éléments suivants :

 

  1. a) la nature de l’incident lié à la protection des données ;
  2. b) l’éventail des personnes concernées et leur nombre approximatif ;
  3. c) les catégories de données affectées par l’incident, les données spéciales concernées et les données sensibles conformément au paragraphe 75 du préambule du RGPD, ainsi que leur nombre approximatif et leur importance ;
  4. d) les conséquences probables de l’incident lié à la protection des données ;
  5. e) toutes les mesures prises ou prévues pour résoudre l’incident de protection des données, y compris les mesures visant à atténuer toute conséquence négative résultant de l’incident de protection des données ;
  6. f) dans le cas d’incidents impliquant la sécurité de l’information électronique, le risque supplémentaire identifié par le responsable de la sécurité de l’information électronique.

 

Sans préjudice de l’exécution en temps voulu de l’obligation de notification définie à l’article 33, paragraphe 1, du RGPD, le délégué à la protection des données informe le responsable du traitement par écrit ou, en cas d’urgence, oralement, des constatations faites en rapport avec l’incident lié à la protection des données et des risques probables pour la personne concernée, et élabore une proposition pour la protection des données concernant les mesures à prendre en rapport avec l’incident.

Si, de l’avis du délégué à la protection des données, l’enquête ne peut être entièrement menée dans les 72 heures, ou s’il n’est pas possible d’établir clairement, sur la base des données disponibles, l’éventail des personnes concernées par l’incident de protection des données, l’éventail des données concernées par cet incident, ou toutes les autres circonstances pertinentes de la survenue de l’incident de protection des données, le délégué à la protection des données, sur la base des données disponibles, propose au responsable du contrôleur des données une notification par étapes. Après avoir déterminé les données manquantes, le délégué à la protection des données prendra des mesures pour soumettre le rapport complet.

 

La personne concernée par l’incident lié à la protection des données ne peut pas participer à l’audit du contrôleur des données initié dans le cadre de la notification.

 

Si, sur la base des informations fournies, le responsable du traitement considère que l’incident de protection des données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, ou s’il l’estime nécessaire sur la base d’autres circonstances de l’événement, il ordonne l’information des parties concernées en rapport avec l’incident de protection des données, sauf dans les cas énumérés à l’article 34, paragraphe 3, du RGPD.

 

S’il n’est pas raisonnablement possible d’informer les personnes physiques concernées par l’incident de protection des données, notamment en raison du nombre de personnes concernées ou de l’atteinte à la sécurité des données de contact, le délégué à la protection des données entreprend la publication d’une notification concernant les principales caractéristiques de l’incident de protection des données sur le site web du responsable du traitement des données.

 

Conformément à l’article 33, paragraphe 5, du RGPD, le délégué à la protection des données tient un registre des incidents liés à la protection des données qui se sont produits dans un système d’information électronique fermé qui ne contient pas de données à caractère personnel et qui est disponible au siège du responsable du traitement des données.

 

  1. a) le numéro de dossier de l’incident relatif à la protection des données ;
  2. b) la désignation ou l’identifiant du document, de l’enregistrement ou du système d’information électronique concerné par l’incident lié à la protection des données ;
  3. c) la date de détection de l’incident et la date établie ou probable de sa survenance ;
  4. d) l’éventail des données à caractère personnel concernées ;
  5. e) les effets et les conséquences de l’incident, ainsi que les mesures prises pour y remédier ;
  6. f) la date de notification à l’autorité de contrôle – si l’incident de protection des données a été signalé conformément à l’article 33, paragraphe 1, du RGPD, ou une brève explication de la raison pour laquelle l’incident de protection des données n’a pas été signalé.