Scorri in alto
9086 Győr - Riserva naturale, Area esterna 078/29
+3696 900 490
hotel@landplanhotel.hu

GDPR

1. Scopo del Regolamento

La presente Politica di gestione e protezione dei dati (di seguito denominata Politica) disciplina i processi di gestione dei dati del Titolare del trattamento relativamente ai dati personali delle persone fisiche e garantisce i diritti degli interessati. La finalità della Policy è definire le misure tecniche e organizzative relative al trattamento e alla protezione dei dati personali. Il Regolamento è il documento interno del Titolare del trattamento e le informazioni sulla gestione dei dati pubblici e sulla protezione dei dati ai sensi della normativa sulla protezione dei dati sono contenute nell'informativa sulla protezione e gestione dei dati.

1.1. Dati del Titolare

I dati attuali del Titolare del trattamento sono i seguenti:
  • Nome: Land Plan Ltd.
  • Sede centrale: 9012 Győr, Ménfői u. 64.
  • Numero di registrazione della società: 08-09-028190
  • Codice fiscale: 25586505-2-08
  • Tribunale di registrazione: Tribunale commerciale di Győr
  • Numero di telefono: +3696 900 490
  • Indirizzo email: hotel@landplanhotel.hu

2. Ambito di applicazione del Regolamento

2.1. Ambito temporale

Regolamento 2018.05.25. entrerà in vigore alla data. La presente Policy resterà in vigore fino alla cessazione dell’esistenza del Titolare del trattamento o all’emanazione di una nuova Policy con contestuale abrogazione della presente Policy.

2.2. Ambito personale

L'ambito di applicazione del Regolamento comprende:

  • alle persone fisiche presso le quali il Titolare del trattamento gestisce o tratta dati personali (Interessato),
  • soggetti che svolgono attività di trattamento dei dati per conto del Titolare del trattamento (dipendenti o soggetti in altro rapporto di lavoro),
  • soggetti che svolgono attività di trattamento dei dati per conto del titolare del trattamento (dipendenti o soggetti in altro rapporto di lavoro).

Tutti i dipendenti del Titolare del trattamento o altri collaboratori in un rapporto giuridico di lavoro sono tenuti a svolgere tutte le attività nell'ambito del proprio lavoro o delle proprie mansioni al fine di agevolare e attuare le disposizioni della presente Politica.

2.3. Ambito

L'ambito materiale della presente Informativa riguarda i dati personali gestiti o trattati dal Titolare del trattamento nel corso delle attività di gestione dei dati rientranti nell'ambito personale della presente Informativa.

3. Legislazione sulla protezione e sicurezza dei dati

Le leggi con contenuto di protezione e sicurezza dei dati ai fini della presente Politica sono in particolare le seguenti:

  1. REGOLAMENTO (UE) 2016/27 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 2016 aprile 679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GDPR),
  2. Legge CXII del 2011 sul diritto all'autodeterminazione informativa e alla libertà di informazione. Legge (di seguito denominata Legge sull'informazione),
  3. Legge V del 2013 sul Codice civile (di seguito denominato Codice civile),
  4. Capitolo CXIX. Legge sul trattamento dei dati di nome e indirizzo a fini di ricerca e marketing diretto
  5. Legge XLVIII.tv (Grt.) del 2008 sulle condizioni di base e alcune limitazioni dell'attività pubblicitaria economica
  6. Legge CVIII del 2001 su alcune questioni relative ai servizi di commercio elettronico e ai servizi connessi alla società dell'informazione. Atto (Ekertv.)
  7. Legge C del 2000 sulla contabilità (Legge sulla contabilità),
  8. la legge sulla tutela dei consumatori del 1997. Atto (Fgytv.).
  9. Legge CXXXIII del 2005 sulle norme di tutela delle persone e dei beni e sulle attività di investigatore privato. legge
  10. Legge I del 2012 sul Codice del lavoro. (Monte)

4. Definizioni di concetti

Dato personale: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“Interessato”); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (articolo 4(1) del GDPR)

  • Interessato: persona fisica identificata o identificabile (articolo 4 del GDPR).
  • Trattamento dei dati: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o archivi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (articolo 4 del GDPR).
  • Limitazione del trattamento: contrassegno dei dati personali conservati allo scopo di limitarne il trattamento futuro (articolo 4(3) del GDPR)
  • Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; se le finalità e i mezzi del trattamento dei dati sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o gli aspetti specifici relativi alla designazione del titolare del trattamento possono essere determinati anch'essi dal diritto dell'Unione o degli Stati membri (articolo 4(7) del GDPR)
  • Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (articolo 4, paragrafo 8, del GDPR)
  • Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Le autorità pubbliche che possono accedere ai dati personali nel contesto di un'indagine individuale conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di tali autorità pubbliche deve rispettare le norme applicabili in materia di protezione dei dati in conformità alle finalità del trattamento (articolo 4(9) del GDPR)
  • Consenso dell'interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (articolo 4(11) del GDPR).
  • Violazione dei dati: violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti trattati (articolo 4(12) del GDPR)
  • Autorità di controllo: autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 (articolo 4 21 del GDPR)

5. Norme sulla protezione e sicurezza dei dati

5.1. Principi

Il Titolare del trattamento rispetta i principi in materia di trattamento dei dati personali stabiliti dall’articolo 5 del GDPR, secondo il quale:

"(1) Dati personali:

  1. a) il trattamento deve essere effettuato in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
  2. b) raccolti esclusivamente per finalità determinate, esplicite e legittime, e trattati in modo non incompatibile con tali finalità; un ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici ('limitazione della finalità') non è considerato incompatibile con la finalità originaria ai sensi dell'articolo 89(1);
  3. (c) devono essere adeguati e pertinenti rispetto alle finalità del trattamento e limitati a quanto necessario (“data economy”);
  4. d) devono essere esatti e, ove necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità del trattamento (“esattezza”);
  5. e) devono essere conservati in una forma che consenta l'identificazione degli interessati solo per il periodo di tempo necessario al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per un periodo più lungo solo se saranno trattati a fini di archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate per tutelare i diritti e le libertà degli interessati come previsto dal presente regolamento ("conservazione limitata");
  6. f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, dalla perdita accidentale, dalla distruzione o dal danno ("integrità e riservatezza").

(2) Il titolare del trattamento è responsabile del rispetto del paragrafo (1) e deve essere in grado di dimostrare tale rispetto (“responsabilità”).

Il Titolare del trattamento garantisce il rispetto dei principi sopra indicati in particolare:

  • la definizione delle basi giuridiche di cui al punto a) è contenuta nel registro delle attività di trattamento dei dati (AKNy),
  • La definizione delle finalità dell'attività di trattamento dei dati di cui al punto b) è fornita dal Titolare del trattamento nel modello di documento delle definizioni delle finalità di cui all'Allegato 1. L'allegato n. 2 contiene il registro di gestione dei dati campione. Allegato incluso,
  • L'ambito dei dati personali trattati ai sensi del punto c) è compreso nell'AKNy,
  • La durata del trattamento dei dati ai sensi del punto ad) è compresa nell'AKNy,
  • le misure organizzative e tecniche relative all'archiviazione e alla cancellazione dei dati ai sensi del punto e) (o un riferimento alle stesse) sono incluse nella presente Politica,
  • le misure organizzative e tecniche di cui al punto f) (o un riferimento alle stesse) sono contenute nel presente Regolamento,
  • Al fine di rispettare il principio di responsabilità, nella presente Politica sono inclusi obblighi di documentazione.

5.2. Liceità del trattamento dei dati

5.2.1. Base giuridica per il trattamento dei dati personali

Il Titolare del trattamento tratta i dati personali solo nei seguenti casi e in base alle seguenti basi giuridiche:

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche /articolo 31 (1) a) del GDPR/,
  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso /articolo 31 (1) b) del GDPR/,
  3. il trattamento dei dati è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento /GDPR articolo 31 (1) c)/,
  4. il trattamento è necessario per salvaguardare gli interessi vitali dell'interessato o di un'altra persona fisica /articolo 31 (1) d) del GDPR/,
  5. il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri di cui è investito il Titolare del trattamento /GDPR articolo 31 (1) e)/,
  6. il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore /articolo 31 (1) f) del GDPR/.

Il Titolare del trattamento effettua il trattamento dei dati prevalentemente sulla base delle basi giuridiche indicate ai punti a), c) ed f), ed in misura minore sulla base della base giuridica indicata al punto a). L'applicazione della base giuridica di cui ai punti d) ed e) al trattamento dei dati non è tipica del Titolare del trattamento. Le basi giuridiche precise per ogni attività di trattamento dei dati sono contenute nella legge sulla protezione dei dati.

5.2.2. Obbligo di documentazione relativo alle basi giuridiche del trattamento dei dati

5.2.2.1. Contributo

Se l'Autorità Garante per la protezione dei dati personali specifica il consenso come base giuridica per il trattamento dei dati, il Titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato un consenso volontario, specifico e inequivocabile, basato su informazioni adeguate, al trattamento dei propri dati personali. Il consenso è un atto che esprime in modo chiaro una dichiarazione o affermazione e con il quale hai manifestato il tuo esplicito consenso al trattamento dei dati personali che ti riguardano o che ti riguardano.

Il Titolare del trattamento tratta dati appartenenti a categorie particolari di dati personali solo nei seguenti casi:

– sulla base del consenso espresso dell’interessato,

– nel caso di un dipendente, al fine di adempiere ad un obbligo legale basato sulla normativa in materia di lavoro, previdenza e protezione sociale.

Il Titolare del trattamento restituisce il documento contenente dati sensibili inviato dall'Interessato al Titolare del trattamento senza farne copia e senza trattare i dati in esso contenuti, ad eccezione dei documenti o dati soggetti a trattamento per l'adempimento di un obbligo di legge.

I dati personali dell'interessato possono essere trattati sulla base giuridica del consenso solo dopo che la dichiarazione di consenso documentata dell'interessato è disponibile in formato cartaceo o elettronico. Il Titolare del trattamento predispone un modello di documento per il consenso dell'interessato.

5.2.2.2. Test di bilanciamento degli interessi

Se l'autorità per la protezione dei dati specifica un interesse legittimo come base giuridica per il trattamento dei dati, deve essere condotto e documentato un test di bilanciamento degli interessi. Nell'ambito del test di bilanciamento, vengono determinati l'interesse legittimo del titolare del trattamento (o di terzi), gli interessi, i diritti e le libertà fondamentali dell'interessato e la considerazione viene effettuata sulla base di tali fattori. Se l'esito della valutazione non è chiaramente positivo, devono essere applicate ulteriori garanzie per proteggere i diritti dell'interessato.

In caso di legittimo interesse, i dati personali possono essere trattati – tenendo conto del principio di responsabilizzazione – solo dopo aver effettuato una valutazione comparativa e averlo documentato per iscritto.

Il test di bilanciamento deve essere preparato con il coinvolgimento del responsabile della protezione dei dati e del rappresentante legale prima dell'inizio del trattamento dei dati.

La documentazione scritta dei test di bilanciamento è conservata dal Responsabile della protezione dei dati.

5.3. Regolamento sulla tutela dei diritti degli interessati

5.3.1. Diritto a informazioni e comunicazioni trasparenti

5.3.1.1. Articolo 12 GDPR “(1) Il titolare del trattamento adotta misure appropriate affinché all’interessato siano fornite tutte le informazioni di cui agli articoli 13 e 14 e le informazioni di cui agli articoli da 15 a 22 relative al trattamento dei dati personali. e fornire tutte le informazioni di cui all'articolo 34 in forma concisa, trasparente, intelligibile e facilmente accessibile, in un linguaggio chiaro e semplice, in particolare nel caso di informazioni destinate ai minori. Le informazioni devono essere fornite per iscritto o con altri mezzi, compresi, ove opportuno, mezzi elettronici. Su richiesta dell'interessato, possono essere fornite informazioni anche oralmente, purché l'identità dell'interessato sia stata verificata in altro modo.

(2) Il titolare del trattamento agevola l'interessato nell'esecuzione delle misure precontrattuali adottate a norma dell'art. 15-22. esercizio dei suoi diritti ai sensi dell'articolo XNUMX.

Il Titolare del trattamento fornisce agli Interessati le informazioni relative al trattamento dei dati personali sotto forma di Informativa. L'Informativa contiene informazioni in un formato conciso, trasparente, comprensibile e facilmente accessibile, formulate in modo chiaro e comprensibile. Le Informazioni saranno fornite all'Interessato in forma scritta (su carta o in formato elettronico).

Il Titolare del trattamento predisporrà modelli di documenti conformi agli elementi di contenuto obbligatori stabiliti dagli articoli 13-14 del GDPR, le cui date di notifica saranno effettuate in conformità alla normativa in un elenco separato.

Le Comunicazioni dovranno essere fornite nei seguenti momenti, tenendo conto delle circostanze specifiche del trattamento dei dati personali:

  • se i dati personali sono stati ottenuti dall'interessato, al momento dell'acquisizione,
  • se i dati personali non sono stati ottenuti dall'interessato, entro un termine ragionevole dalla data di ottenimento dei dati personali, ma non oltre un mese,
  • se i dati personali sono utilizzati allo scopo di comunicare con l'interessato, almeno al primo contatto con l'interessato, oppure
  • se è previsto che i dati siano comunicati ad altri destinatari, al più tardi al momento della prima comunicazione dei dati personali,
  • Se il Titolare del trattamento intende trattare i dati personali per una finalità diversa da quella per cui sono stati raccolti, deve informare l'interessato di tale diversa finalità e di ogni ulteriore informazione pertinente di cui all'articolo 14, paragrafo 2, del GDPR prima di procedere all'ulteriore trattamento.

Articolo 14(5) del GDPR. Sulla base di ciò, il Titolare del trattamento ha il diritto di rifiutare l'esercizio del diritto di informazione dell'interessato nei seguenti casi:

  1. a) l'interessato dispone già delle informazioni,
  2. b) la comunicazione delle informazioni è impossibile, richiede uno sforzo sproporzionato oppure rende impossibile o pregiudica il conseguimento delle finalità per le quali i dati sono trattati e per le quali il titolare del trattamento ha adottato misure adeguate per tutelare i legittimi interessi dell'interessato,
  3. c) nel caso di una espressa disposizione di legge che preveda contestualmente la tutela dei legittimi interessi dell'interessato,
  4. d) se il trattamento dei dati deve rimanere riservato a causa di un obbligo legale di segreto professionale o di un obbligo legale di riservatezza.

GDPR Articolo 12 (2) par. "Nei casi di cui all'articolo 11, paragrafo 2, il titolare del trattamento informa l'interessato di quanto segue: non può rifiutare di soddisfare una richiesta di esercizio dei diritti di cui all'articolo 15, salvo che dimostri che non è possibile identificare l'interessato.

(3) Il titolare del trattamento informa l'interessato senza ingiustificato ritardo, e comunque entro un mese dal ricevimento della richiesta, delle informazioni di cui agli articoli da 15 a 22. sulle misure adottate a seguito di una richiesta ai sensi dell'art. Se necessario, tenendo conto della complessità della domanda e del numero di domande, tale termine può essere prorogato di ulteriori due mesi. Il titolare del trattamento informa l'interessato della proroga del termine, indicando i motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato ha presentato la richiesta per via elettronica, le informazioni sono fornite, se possibile, per via elettronica, a meno che l'interessato non chieda diversamente.

(4) Se il titolare del trattamento non ottempera alla richiesta dell'interessato, informa l'interessato senza ritardo, e comunque entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e del fatto che l'interessato può proporre reclamo a un'autorità di controllo e esercitare il suo diritto di ricorso giurisdizionale.

(5) Le informazioni di cui agli articoli 13 e 14 e agli articoli da 15 a 22 sono e le informazioni e le misure di cui all'articolo 34 sono fornite gratuitamente. Se la richiesta dell'interessato è manifestamente infondata o eccessiva, in particolare per il suo carattere ripetitivo, il titolare del trattamento, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione richieste o per intraprendere l'azione richiesta:

  1. a) addebitare una tariffa ragionevole, o
  2. b) può rifiutare di dare seguito alla richiesta.

L'onere di provare che la richiesta è manifestamente infondata o eccessiva incombe al titolare del trattamento.

(6) Fatto salvo l'articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi sul fatto che l'interessato abbia rispettato i requisiti di cui agli articoli da 15 a 21, In relazione all'identità della persona fisica che presenta una richiesta ai sensi dell'articolo XNUMX, il titolare del trattamento può richiedere ulteriori informazioni necessarie per confermare l'identità dell'interessato.

(7) Le informazioni da fornire all'interessato ai sensi degli articoli 13 e 14 possono essere integrate da icone standardizzate al fine di fornire all'interessato informazioni generali sul trattamento previsto in una forma chiaramente visibile, facilmente comprensibile e leggibile. Le icone visualizzate elettronicamente devono essere leggibili dalla macchina."

GDPR Articolo 11 "(Trattamento di dati che non richiedono identificazione)

(1) Se le finalità per le quali il titolare del trattamento tratta i dati personali non richiedono o non richiedono più l'identificazione dell'interessato da parte del titolare del trattamento, il titolare del trattamento non è obbligato a conservare, ottenere o trattare ulteriori informazioni per identificare l'interessato al solo fine di conformarsi al presente regolamento.

(2) Se, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento può dimostrare di non essere in grado di identificare l'interessato, ne informa, ove possibile, l'interessato. In questi casi, il 15-20. L'articolo XNUMX non si applica a meno che l'interessato non fornisca ulteriori informazioni che consentano la sua identificazione ai fini dell'esercizio dei suoi diritti ai sensi di tali articoli.

Il Titolare del trattamento informa l’Interessato ai sensi degli artt. 15-22 del GDPR. Dopo aver presentato una richiesta documentata (archiviata) per esercitare i diritti previsti dall'articolo XNUMX, la stessa verrà esaminata dal dipendente che esegue l'attività di trattamento dei dati, se necessario con il coinvolgimento del Responsabile della protezione dei dati o del rappresentante legale del Titolare del trattamento, al fine di determinare:

– la richiesta è stata presentata da un interessato identificabile o da una persona autorizzata a farlo,

– l’esercizio del quale si riferisce la richiesta,

– se il Titolare del trattamento sia tenuto a soddisfare la richiesta.

Dopo aver esaminato la richiesta, il dipendente del Titolare del trattamento che esegue attività di elaborazione dei dati preparerà una bozza del feedback e la sottoporrà al Responsabile della protezione dei dati per un commento, quindi fornirà un feedback alla persona che ha presentato la richiesta senza indebito ritardo, e comunque non oltre un mese e gratuitamente:

  • Azione intrapresa dal titolare del trattamento,
  • Mancata adozione di misure da parte del titolare del trattamento (ivi compresa la proroga del termine per il riscontro) e relative motivazioni ai sensi di legge,
  • informazioni sui rimedi giurisdizionali (l’interessato può presentare reclamo all’Autorità di controllo ed esercitare il diritto di ricorso giurisdizionale),
  • ulteriori informazioni correlate alla richiesta, informazioni sul trattamento di tali dati da parte del Titolare del trattamento in fase di identificazione.

Il Titolare del trattamento predispone modelli di documenti al fine di inviare feedback (lettere di risposta) in modo uniforme e lecito.

Il termine di un mese a disposizione del Titolare del trattamento per la risposta può essere prorogato di ulteriori due mesi se giustificato dalla complessità della richiesta e dal numero di richieste.

Il titolare del trattamento può rifiutare di soddisfare una richiesta presentata dall'interessato o può addebitare un contributo spese ragionevole per le informazioni richieste o i costi amministrativi sostenuti qualora la richiesta sia palesemente e palesemente infondata o eccessiva (in particolare per la sua natura ripetitiva).

Se nella richiesta è coinvolto anche il Destinatario, quest'ultimo deve esserne informato contestualmente all'invio del feedback (lettera di risposta).

5.3.2. Diritto di accesso dell'interessato

Articolo 15 GDPR “(1) L’interessato ha il diritto di ottenere dal titolare del trattamento informazioni se sia o meno in corso un trattamento di dati personali che lo riguardano e, qualora tale trattamento sia in corso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

  1. a) le finalità del trattamento dei dati;
  2. b) le categorie di dati personali interessati;
  3. c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. d) se del caso, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri per determinare tale periodo;
  5. e) il diritto dell'interessato di chiedere al titolare del trattamento la rettifica, la cancellazione o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  6. f) il diritto di proporre reclamo a un'autorità di controllo;
  7. g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
  8. h) l'esistenza di un processo decisionale automatizzato di cui all'articolo 22, paragrafi 1 e 4, compresa la profilazione, e almeno in tali casi, informazioni intelligibili sulla logica utilizzata, nonché l'importanza e le conseguenze prevedibili di tale trattamento per l'interessato.

(2) Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate per il trasferimento conformemente all'articolo 46.

(3) Il titolare del trattamento fornisce all'interessato una copia dei dati personali oggetto del trattamento. Per ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato ha presentato la richiesta per via elettronica, le informazioni sono fornite in un formato elettronico di uso comune, a meno che l'interessato non chieda diversamente.

(4) Il diritto di richiedere una copia di cui al paragrafo (3) non deve ledere i diritti e le libertà altrui.”

Qualora l'interessato richieda al Titolare del trattamento una copia dei propri dati personali, la prima volta la fornitura dei dati sarà gratuita. Se l'interessato richiede copie aggiuntive, il titolare del trattamento ha il diritto di addebitare un contributo spese ragionevole basato sui costi amministrativi.

Tuttavia, la richiesta da parte dell'interessato di una copia dei propri dati personali e il relativo espletamento non possono ledere i diritti e le libertà altrui, pertanto un documento contenente dati relativi ad altri interessati può essere rilasciato solo previa opportuna anonimizzazione.

Per copia dei dati personali si intende solo una copia dei dati personali archiviati dal Titolare del trattamento, ma non include la copia di alcun documento (inclusi documenti cartacei ed elettronici) creato utilizzando i dati personali, per i quali il Titolare del trattamento non è tenuto a fornire una copia ai sensi del GDPR.

5.3.3. Diritto alla rettifica

GDPR Articolo 16 “L’interessato ha il diritto di ottenere dal titolare del trattamento, su sua richiesta, la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento dei dati, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa."

Articolo 19 GDPR “Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali eventuali rettifiche effettuate a norma dell’articolo 16…, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. L'interessato è informato di tali destinatari dal titolare del trattamento su richiesta."

5.3.4. Il diritto alla cancellazione (“diritto all’oblio”)

Articolo 17 GDPR “(1) L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali che lo riguardano, se sussiste uno dei motivi seguenti:

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. b) l'interessato revoca il consenso che costituiva la base del trattamento ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), e non sussiste altro fondamento giuridico per il trattamento;
  3. c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;
  4. d) i dati personali sono stati trattati illecitamente;
  5. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. f) i dati personali sono stati raccolti relativamente alla fornitura di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

(2) Qualora il titolare del trattamento abbia reso pubblici dati personali ed è obbligato a cancellarli ai sensi del paragrafo (1), tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati della richiesta dell'interessato di cancellare i link, le copie o le repliche dei suoi dati personali.

(3) I paragrafi (1) e (2) non si applicano se il trattamento è necessario:

  1. a) ai fini dell'esercizio del diritto alla libertà di espressione e di informazione;
  2. b) per l'adempimento di un obbligo di trattamento di dati personali previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  3. c) per motivi di interesse pubblico nel settore della sanità pubblica, conformemente all'articolo 9, paragrafo 2, lettere h) e i), e all'articolo 9, paragrafo 3;
  4. d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici conformemente all'articolo 89, paragrafo 1, quando il diritto di cui al paragrafo 1 rischierebbe di rendere impossibile o di compromettere gravemente tale trattamento; O
  5. e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.”

Articolo 19 del GDPR: “Il titolare del trattamento informa tutti i destinatari …, articolo 17(1) …. di tutte le ….. cancellazioni ai sensi di … a cui o con cui i dati personali sono stati comunicati, a meno che ciò si riveli impossibile o implichi uno sforzo sproporzionato. L'interessato è informato di tali destinatari dal titolare del trattamento su richiesta."

L'interessato ha il diritto di chiedere al titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali che lo riguardano, se sussiste uno dei motivi seguenti:

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. b) l'interessato revoca il consenso, che costituisce la base per il trattamento dei suoi dati personali generali o particolari, e non sussiste altro fondamento giuridico per il trattamento;
  3. c) l'interessato si oppone al trattamento dei dati per motivi di interesse pubblico, di autorità pubblica o di legittimo interesse, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento dei propri dati per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a marketing diretto;
  4. d) i dati personali sono stati trattati illecitamente;
  5. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro applicabile al titolare del trattamento;
  6. f) i dati personali sono stati raccolti relativamente alla fornitura di servizi della società dell'informazione direttamente ai minori.

Il diritto alla cancellazione dell'interessato può essere limitato e il titolare del trattamento può continuare legittimamente a trattare i dati di cui si chiede la cancellazione nei seguenti casi:

  1. a) ai fini dell'esercizio del diritto alla libertà di espressione e di informazione,
  2. b) al fine di adempiere un obbligo previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento dei dati personali, o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento,
  3. c) il trattamento è necessario per finalità di prevenzione sanitaria o di medicina del lavoro, per valutare la capacità lavorativa del dipendente, per formulare una diagnosi medica, per fornire assistenza o terapia sanitaria o sociale, ovvero per la gestione dei sistemi e servizi sanitari o sociali, sulla base del diritto dell'Unione o degli Stati membri o in conformità di un contratto concluso con un professionista del settore sanitario, fatto salvo l'obbligo di riservatezza del professionista come garanzia, e sulla base dell'interesse pubblico nel settore della sanità pubblica,
  4. d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici, quando il diritto alla cancellazione rischierebbe di rendere impossibile o di compromettere gravemente tale trattamento, oppure
  5. e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

5.3.5. Diritto di limitare il trattamento dei dati

Articolo 18 del GDPR “(1) L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

  1. a) l'interessato contesta l'esattezza dei dati personali, nel qual caso la limitazione si applica per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;
  2. b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati e chiede invece che ne sia limitato l'utilizzo;
  3. c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; O
  4. d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1; in tal caso, la limitazione si applica per il periodo necessario affinché venga accertato se i motivi legittimi del titolare del trattamento prevalgano su quelli dell'interessato.

(2) Se il trattamento è soggetto a limitazioni a norma del paragrafo 1, tali dati personali possono essere trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per importanti motivi di interesse pubblico dell'Unione o di uno Stato membro.

(3) Il titolare del trattamento informa l'interessato, su richiesta del quale il trattamento dei dati è stato limitato ai sensi del paragrafo (1), prima della revoca della limitazione del trattamento dei dati.

Articolo 19 GDPR “Il titolare del trattamento informa tutti i destinatari di …. tutti … ai sensi dell’articolo 18. sulla limitazione del trattamento dei dati, a chi o al quale sono stati comunicati i dati personali, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. L'interessato è informato di tali destinatari dal titolare del trattamento su richiesta."

La limitazione del trattamento dei dati è principalmente una misura temporanea, fino alla valutazione di un reclamo o all'adozione di misure.

Possono essere conservati con limitazione del trattamento dei dati e trattati nei seguenti casi:

– con il consenso dell’interessato, oppure

– per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

– al fine di proteggere i diritti di un’altra persona fisica o giuridica, oppure

– nell’interesse pubblico rilevante dell’Unione o di uno Stato membro.

5.3.6. Diritto alla portabilità dei dati

Articolo 20 GDPR “(1) L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora:

  1. a) il trattamento si basa sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); E
  2. b) il trattamento dei dati sia effettuato con mezzi automatizzati.

(2) Nell'esercitare il diritto alla portabilità dei dati a norma del paragrafo (1), l'interessato ha il diritto di chiedere la trasmissione diretta dei dati personali tra titolari del trattamento, ove tecnicamente fattibile.

(3) L'esercizio del diritto di cui al paragrafo 1 del presente articolo non pregiudica l'articolo 17. Il diritto di cui sopra non si applica quando il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.

(4) Il diritto di cui al paragrafo (1) non deve ledere i diritti e le libertà altrui.”

L'interessato ha il diritto di esercitare il diritto alla portabilità dei dati limitatamente ai dati che lo riguardano e da lui forniti al Titolare del trattamento se:

– il trattamento dei dati personali o dei dati personali sensibili si basa sulla base giuridica del consenso o sulla base giuridica di un contratto e

– il trattamento dei dati è effettuato in modo automatizzato.

Il diritto alla portabilità dei dati non viola il diritto alla cancellazione e la portabilità dei dati non implica la cancellazione dei dati. Il diritto alla portabilità dei dati si riferisce alla portabilità dei dati personali conservati presso il Titolare del trattamento e non si riferisce alla portabilità dei documenti cartacei o elettronici contenenti tali dati.

5.3.7. Diritto di protestare

Articolo 21 del GDPR “(1) L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. In tal caso, il titolare del trattamento non potrà più trattare i dati personali, salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure sono connessi all'accertamento, all'esercizio o alla difesa di un diritto in sede giudiziaria.

(2) Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a marketing diretto.

(3) Se l'interessato si oppone al trattamento dei dati personali per finalità di marketing diretto, i dati personali non possono più essere oggetto di trattamento per tale finalità.

(4) Il diritto di cui ai paragrafi (1) e (2) deve essere espressamente portato a conoscenza dell'interessato al più tardi al momento del primo contatto e le informazioni ad esso relative devono essere esposte in modo chiaro e separato da tutte le altre informazioni.

(5) Nel contesto dell'utilizzo di servizi della società dell'informazione e in deroga alla direttiva 2002/58/CE, l'interessato può esercitare il diritto di opposizione anche con mezzi automatizzati basati su specifiche tecniche.

(6) Qualora i dati personali siano trattati a fini di ricerca scientifica e storica o a fini statistici conformemente all'articolo 89, paragrafo 1, l'interessato ha il diritto di opporsi, per motivi connessi alla sua situazione particolare, al trattamento di dati personali che lo riguardano, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico».

L'interessato ha il diritto di opporsi al trattamento dei dati personali che lo riguardano effettuato nei confronti del Titolare del trattamento solo per motivi connessi alla sua situazione particolare nei seguenti casi:

– nell’interesse pubblico, nel caso di trattamento dei dati basato sulla base giuridica dell’autorità pubblica o sulla base giuridica del legittimo interesse (nel qual caso il Titolare del trattamento può trattare ulteriormente i dati solo se dimostra la base giuridica del legittimo interesse del Titolare del trattamento), oppure

– nel caso di trattamento dei dati per finalità di marketing diretto, compresa la profilazione, se connessa a tale marketing diretto (nel qual caso i dati non possono più essere trattati ma devono essere cancellati), oppure

– i dati sono trattati per finalità di ricerca scientifica e storica o a fini statistici e non sussiste alcuna base giuridica per l’esecuzione di un compito svolto per motivi di interesse pubblico.

5.3.8. Processo decisionale automatizzato nei singoli casi, compresa la profilazione

Articolo 22 GDPR “(1) L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

(2) Il paragrafo (1) non si applica se la decisione:

  1. a) necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e il titolare del trattamento;
  2. b) è consentito dal diritto dell'Unione o degli Stati membri applicabile al titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; O
  3. (c) si basa sul consenso esplicito dell'interessato.

(3) Nei casi di cui al paragrafo (2), lettere a) e c), il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, compreso almeno il diritto dell'interessato di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di opporsi alla decisione.

(4) Le decisioni di cui al paragrafo 2 non possono basarsi sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano state adottate misure idonee a tutelare i diritti, le libertà e i legittimi interessi dell’interessato».

Il titolare del trattamento ha il diritto di adottare una decisione basata sul trattamento automatizzato dei dati, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, nei casi seguenti:

  1. a) necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e il titolare del trattamento;
  2. b) è consentito dal diritto dell'Unione o dello Stato membro applicabile cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; O
  3. c) si basa sul consenso espresso dell'interessato e
  4. d) il trattamento dei dati di cui ai punti da a) a c) non riguarda dati personali sensibili (a meno che il trattamento dei dati personali sensibili non sia basato sul consenso e non sia vietato dalla legge, oppure il trattamento dei dati sia giustificato da un legittimo interesse pubblico ai sensi della legge).

5.4. Responsabile della protezione dei dati

5.4.1. Designazione di un responsabile della protezione dei dati

Al fine di garantire che le attività di trattamento dei dati siano conformi alla legge, il Titolare del trattamento nomina un Responsabile della protezione dei dati, il cui nome e i cui dati di contatto sono elencati nella Sezione 3. incluso nell'allegato.

5.4.2. I compiti del Responsabile della Protezione dei Dati:

  1. a) fornisce informazioni e consulenza professionale ai dipendenti del Titolare del trattamento in merito ai loro obblighi ai sensi del GDPR e di altre disposizioni UE o nazionali sulla protezione dei dati,
  2. b) verifica il rispetto del GDPR, di altre disposizioni dell'UE o nazionali e il rispetto della presente Politica, ed è responsabile della preparazione e del mantenimento aggiornato della presente Politica, in particolare della preparazione e del mantenimento aggiornato del Registro delle attività di trattamento dei dati del Titolare del trattamento,
  3. c) verifica l'assegnazione dei compiti relativi alla gestione dei dati, partecipa alle attività di audit interno del Titolare del trattamento, formula proposte di regolamenti e modifiche relative alla protezione dei dati personali e fornisce pareri sugli enti regolatori dal punto di vista della protezione dei dati personali,
  4. d) organizzare e monitorare la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento dei dati,
  5. e) fornisce consulenza professionale sulle valutazioni d'impatto sulla protezione dei dati e ne monitora il completamento;
  6. e) collabora e si consulta con l'Autorità di controllo su qualsiasi questione, funge da punto di contatto per l'Autorità di controllo e, in tale contesto, partecipa alle attività di gestione degli incidenti relativi alla protezione dei dati del Titolare del trattamento.

5.4.3. Procedura del Responsabile della Protezione dei Dati

Se un dipendente del Titolare del trattamento rileva una circostanza che richiede un intervento in relazione al trattamento dei dati nell'ambito delle operazioni del Titolare del trattamento, deve procedere come segue:

  1. a) Se un interessato presenta a sé stesso o al titolare del trattamento una richiesta relativa al trattamento dei dati, è tenuto a comunicarlo al responsabile della protezione dei dati della società.
  2. b) Se si verifica un evento indicativo di un incidente relativo alla protezione dei dati o si acquisiscono altre informazioni rilevanti al riguardo, è necessario darne immediata comunicazione al responsabile di primo livello del Titolare del trattamento e inoltrargli i documenti e le informazioni rilevanti.

5.5. Registrazioni e documentazione

Il Titolare del trattamento garantisce il rispetto delle norme di legge applicabili alle proprie attività di gestione dei dati (trattamento dei dati) sulla base dei registri di seguito dettagliati e della documentazione già specificata nel Regolamento, nonché della documentazione specificata nella presente sezione. Il Titolare del trattamento (responsabile del trattamento) mette a disposizione dell'Autorità di controllo i registri e i documenti designati, ma tali documenti non sono considerati pubblici.

I registri del Titolare del trattamento sono conservati dal Responsabile della protezione dei dati.

5.5.1. Registrazioni delle attività di trattamento dei dati

Il Titolare del trattamento tiene un registro delle attività di trattamento dei dati personali (AKNy) da esso svolte, ai sensi dell'articolo 2 del Regolamento. con contenuto corrispondente al campione in allegato.

Il Titolare del trattamento verifica e mantiene costantemente aggiornati i registri di gestione dei dati, in particolare come segue:

– registrazione delle nuove attività di elaborazione dei dati,

– cancellazione delle attività di elaborazione dati cessate,

– modifica dell’attività di elaborazione dei dati.

Il registro di gestione dei dati costituisce la base delle Note informative e solo la gestione dei dati inclusa nell'AKNy può essere registrata nelle Note informative.

L'organizzazione di lavoro del Titolare del trattamento dei dati notifica la richiesta di modifica dell'AKNy al responsabile della protezione dei dati, il quale provvede all'aggiornamento del registro.

L'AKNy costituisce la base per il controllo e l'attuazione dell'obbligo di cancellazione dei dati personali. Il Titolare del trattamento verifica trimestralmente i registri di gestione dei dati nei casi in cui il periodo di conservazione dei dati è correlato alla cessazione di un rapporto giuridico e se registra un periodo correlato a un termine di prescrizione. L'AKNy opera altrimenti sulla base dell'anno solare, con ogni anno solare III. sarà sottoposto a una revisione completa nel quarto trimestre.

Se un'attività di elaborazione dati viene eliminata dall'AKNy, la cancellazione dei dati personali relativi a tale attività verrà implementata contestualmente e, in caso contrario, alle date di revisione della cancellazione indicate sopra.

Le misure adottate per la cancellazione dei dati vengono documentate mediante la registrazione di un rapporto, che viene poi conservato in un formato cartaceo protetto da password e bloccato elettronicamente.

Prima di includere una nuova attività di trattamento dei dati nella legge sulla protezione dei dati, il titolare del trattamento dei dati deve condurre una valutazione d'impatto per determinare se il trattamento dei dati possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Le informazioni sulla valutazione d'impatto sono contenute nell'AKNy.

5.5.2. Registro dei responsabili del trattamento dei dati

Qualora il Titolare del trattamento agisca in qualità di Responsabile del trattamento, dovrà tenere traccia dei trattamenti effettuati ai sensi dell'articolo 4 del Regolamento. secondo il modello allegato.

Per il resto, la revisione del registro di elaborazione dei dati è disciplinata dalle norme che disciplinano la revisione del registro di gestione dei dati.

5.5.3. Registrazione degli incidenti sulla protezione dei dati

Il Titolare del trattamento conserva i registri degli incidenti di protezione dei dati relativi alle attività di trattamento dei dati personali ai sensi dell'articolo 33(5) del GDPR. basato su. Il verbale riporta i fatti, le circostanze, gli effetti e le azioni relative all'incidente di protezione dei dati.

Il modello per il registro degli incidenti sulla protezione dei dati è riportato nella Sezione 5 del presente Regolamento. contenute nell'allegato.

Il Titolare del trattamento garantisce il continuo aggiornamento del Registro degli Incidenti sulla Protezione dei Dati. L'AINy contiene tutti gli incidenti verificatisi nei confronti del Titolare del trattamento, indipendentemente dal fatto che il Titolare del trattamento abbia l'obbligo di segnalare all'Autorità di controllo o di notificare agli interessati.

5.6. Norme generali relative alle attività di trattamento dei dati

5.6.1. Conservazione, utilizzo e trasferimento dei dati personali nell'ambito del Titolare del trattamento

Il Titolare del trattamento conserva e utilizza, trasmette all'interno e all'esterno del Titolare del trattamento o altrimenti elabora i dati personali nel rispetto dei principi del GDPR (articolo 5.1 del Regolamento).

Le misure tecniche dettagliate e le norme di sicurezza sono contenute nella Politica sulla sicurezza delle informazioni del Titolare del trattamento dei dati.

Ulteriori misure organizzative e tecniche sono contenute nella Politica di gestione dei documenti del Titolare del trattamento.

Il Titolare del trattamento conserva i dati – a seconda della loro origine – come segue:

  • i dati trattati sulla base di una dichiarazione scritta, di un contratto/accordo scritto, sono conservati nella forma scritta originale o sotto forma di copia elettronica del documento originale,
  • memorizza dati che non sono stati generati sulla base di dichiarazioni scritte sotto forma di registrazioni audio o video o in altro formato elettronico.

Nel trattamento dei dati personali all'interno dell'organizzazione del Titolare del trattamento, quest'ultimo si impegna a ridurre al minimo la trasmissione di copie cartacee o elettroniche di documenti cartacei, al fine di garantire che ciò avvenga solo nella misura necessaria per svolgere il compito assegnato.

5.6.2. Cancellazione dei dati personali

Il Titolare del trattamento garantisce la cancellazione di determinati dati personali allo scadere del periodo specificato nel registro di gestione dei dati o immediatamente dopo la decisione di valutazione della richiesta di cancellazione dell'interessato (incluso l'esercizio del diritto di opposizione oltre all'esercizio del diritto alla cancellazione nella richiesta di cancellazione).

Nell'adempimento dell'obbligo di cancellazione, il Titolare del trattamento cancella i dati personali dal database, sia nel luogo di archiviazione elettronica, sia nel documento cartaceo.

5.6.3. Adatbiztonság

Il Titolare del trattamento (responsabile del trattamento) mette in atto misure tecniche e organizzative adeguate, tenendo conto dello stato della scienza e della tecnologia, dei costi di attuazione e dei rischi che le attività di trattamento dei dati presentano per i diritti e le libertà delle persone fisiche, per garantire un livello di sicurezza dei dati adeguato al rischio, ai sensi dell'articolo 32 del GDPR.

Il Titolare del trattamento (responsabile del trattamento) garantisce che i propri dipendenti che hanno accesso ai dati personali degli Interessati elaborino i dati personali in conformità alla legge (a meno che non siano tenuti a discostarsi da tale obbligo da un atto giuridico dell'Unione Europea o dell'Ungheria).

5.7. Regole per l'utilizzo di un elaboratore di dati

Il Titolare del trattamento si avvale esclusivamente di un Responsabile del trattamento dei dati conforme ai requisiti del GDPR. Il Titolare del trattamento, prima dell'instaurazione del rapporto contrattuale, ottiene dal Responsabile del trattamento una dichiarazione attestante che quest'ultimo rispetta i requisiti del GDPR.

Il contratto di elaborazione dei dati deve essere stipulato per iscritto contestualmente al contratto per l'utilizzo del responsabile del trattamento dei dati, come contratto separato o come parte di un contratto con altro contenuto.

L'organizzazione di lavoro deve notificare in anticipo al responsabile della protezione dei dati la propria intenzione di concludere un contratto relativo al trattamento dei dati, al fine di garantire la legalità dei registri di gestione dei dati e dei registri di trattamento dei dati.

5.8. Incidente sulla protezione dei dati

5.8.1. Determinazione dell'incidente di protezione dei dati

Il Titolare del trattamento è consapevole che l'incidente di protezione dei dati può causare danni fisici, materiali o immateriali agli Interessati, in particolare:

– Perdita del controllo sui dati dell’interessato o limitazione dei suoi diritti,

– furto di identità o uso improprio dell’identità,

– perdita finanziaria,

– danno alla reputazione,

– violazione della riservatezza dei dati protetti dal segreto professionale,

– discriminazione,

– altro significativo svantaggio economico o sociale.

Nel determinare un incidente di protezione dei dati, è necessario determinarne principalmente la qualità:

  • Incidente di riservatezza: divulgazione accidentale di dati o accesso a essi,
  • incidente di integrità: alterazione accidentale o illecita dei dati,
  • Incidente di accessibilità: distruzione o perdita accidentale o illecita di dati.

Qualora un dipendente o collaboratore del Titolare del trattamento venga a conoscenza di un incidente relativo alla protezione dei dati o ne sospetti uno, dovrà immediatamente inoltrare le informazioni rilevanti al Responsabile della protezione dei dati.

Sulla base dei fatti e delle circostanze emersi dall'indagine da svolgere immediatamente e tenendo conto dei risultati della valutazione del rischio dell'incidente relativo alla protezione dei dati, il Responsabile della protezione dei dati formula una proposta di decisione al Titolare del trattamento in merito a quanto segue:

  • se l'evento si qualifica come un incidente di protezione dei dati,
  • se si è verificato un incidente di protezione dei dati, presenta un rischio per i diritti e le libertà delle persone fisiche e in quale caso sussiste l'obbligo di notifica all'autorità di controllo,
  • Informare gli interessati in caso di rischio elevato di incidente soggetto all'obbligo di segnalazione all'autorità di controllo.

La proposta di decisione elaborata dal responsabile della protezione dei dati terrà conto anche dei legittimi interessi delle autorità di contrasto nei casi in cui una divulgazione prematura comprometterebbe inutilmente l'indagine sulle circostanze del caso.

All'elaborazione della proposta decisionale da parte del Responsabile della protezione dei dati contribuiscono anche altri dipendenti del Titolare del trattamento, interessati dagli eventi e dalle circostanze. Le misure adottate o da adottare per affrontare l'incidente relativo alla protezione dei dati sono determinate contestualmente alla decisione di segnalare il fatto all'autorità di controllo e di informare gli interessati.

5.8.2. Segnalazione di una violazione dei dati all'Autorità di controllo

GDPR Articolo 33 “(1) Il titolare del trattamento notifica la violazione dei dati personali all’autorità di controllo competente ai sensi dell’articolo 72 senza ingiustificato ritardo e, ove possibile, entro 55 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Se la comunicazione non avviene entro 72 ore, occorre allegare le motivazioni che giustificano il ritardo.

(2) Il responsabile del trattamento notifica al titolare del trattamento l'incidente di protezione dei dati senza ingiustificato ritardo dopo averne avuto conoscenza.

(3) La notifica di cui al paragrafo (1) deve includere almeno:

  1. a) descrivere la natura della violazione dei dati, compresi, ove possibile, le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di dati interessati dalla violazione;
  2. b) devono essere forniti il ​​nome e i dati di contatto del responsabile della protezione dei dati o di un'altra persona di contatto per ulteriori informazioni;
  3. c) devono essere descritte le probabili conseguenze dell'incidente relativo alla protezione dei dati;
  4. d) descrivere le misure adottate o pianificate dal titolare del trattamento per porre rimedio all'incidente di protezione dei dati, comprese, se del caso, le misure volte ad attenuare eventuali conseguenze negative derivanti dall'incidente di protezione dei dati.

(4) Se e nella misura in cui non è possibile comunicare simultaneamente le informazioni, esse possono essere comunicate in parti in un secondo momento senza ulteriore indebito ritardo.

(5) Il titolare del trattamento conserva i registri degli incidenti di protezione dei dati, indicando i fatti relativi all'incidente di protezione dei dati, i suoi effetti e le misure adottate per porvi rimedio. Tale registro consente all’autorità di controllo di verificare il rispetto delle prescrizioni del presente articolo».

5.8.3. Informare l'interessato dell'incidente di protezione dei dati

Articolo 34 GDPR “(1) Qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento informa l’interessato della violazione dei dati personali senza ingiustificato ritardo.

2. Le informazioni fornite all'interessato di cui al paragrafo 1 descrivono in modo chiaro e intelligibile la natura della violazione dei dati personali e includono almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).

(3) L'interessato non è tenuto a essere informato ai sensi del paragrafo (1) se ricorre una delle seguenti condizioni:

  1. a) il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione e tali misure sono state applicate ai dati personali interessati dalla violazione, in particolare misure – quali l’uso della cifratura – che rendono i dati incomprensibili a persone non autorizzate ad accedervi;
  2. b) il titolare del trattamento ha adottato ulteriori misure a seguito della violazione dei dati personali per garantire che il rischio elevato per i diritti e le libertà dell'interessato di cui al paragrafo (1) non sia più probabile che si concretizzi;
  3. (c) fornire informazioni richiederebbe uno sforzo sproporzionato. In tali casi, gli interessati dovrebbero essere informati mediante informazioni pubblicate oppure dovrebbero essere adottate misure analoghe per garantire che gli interessati siano informati in modo altrettanto efficace.

(4) Se il titolare del trattamento non ha ancora notificato all'interessato la violazione dei dati personali, l'autorità di controllo può, dopo aver valutato se la violazione dei dati personali è suscettibile di comportare un rischio elevato, ordinare che l'interessato ne sia informato o stabilire che è soddisfatta una delle condizioni di cui al paragrafo (3)."

5.9. Rimedi legali dell'interessato

5.9.1. Diritto di proporre reclamo all’Autorità di controllo

Articolo 77 GDPR “(1) Fatti salvi altri ricorsi amministrativi o giurisdizionali, ciascun interessato ha il diritto di proporre reclamo a un'autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione, se ritiene che il trattamento che lo riguarda violi il presente regolamento.

(2) L'autorità di controllo a cui è stato presentato il reclamo informa il cliente degli sviluppi procedurali e dell'esito del reclamo, compreso il diritto del cliente a un ricorso giurisdizionale ai sensi dell'articolo 78.

5.9.2. Il diritto a un ricorso giurisdizionale effettivo contro l'Autorità di controllo

Articolo 78 GDPR “(1) Fatti salvi altri ricorsi amministrativi o extragiudiziali, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

(2) Fatti salvi altri ricorsi amministrativi o extragiudiziali, ogni interessato ha il diritto a un ricorso giurisdizionale effettivo qualora l'autorità di controllo competente ai sensi dell'articolo 55 o 56 non tratti il ​​reclamo o non informi l'interessato dello stato di avanzamento o dell'esito del reclamo proposto ai sensi dell'articolo 77 entro tre mesi.

(3) Le azioni contro un'autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

(4) Se viene avviato un procedimento contro una decisione dell'autorità di controllo in relazione alla quale il comitato ha precedentemente emesso un parere o adottato una decisione nell'ambito del meccanismo di coerenza, l'autorità di controllo è tenuta a trasmettere tale parere o decisione al tribunale.

La causa rientra nella giurisdizione del tribunale competente.

5.9.3. Il diritto a un ricorso giurisdizionale effettivo nei confronti del Titolare del trattamento o del Responsabile del trattamento

Articolo 79 del GDPR “(1) Fatti salvi i ricorsi amministrativi o extragiudiziali a disposizione dell’interessato, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento dei dati personali che lo riguardano effettuato in modo non conforme al presente regolamento.

(2) Le azioni contro il titolare del trattamento o il responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento è stabilito. Tali azioni possono essere promosse anche dinanzi ai tribunali dello Stato membro in cui l’interessato risiede abitualmente, a meno che il titolare del trattamento o il responsabile del trattamento non sia un’autorità pubblica di uno Stato membro che agisce nell’esercizio dei suoi pubblici poteri».

La causa rientra nella giurisdizione del tribunale competente.

6. Iscrizione e invio newsletter

Finalità del trattamento dei dati: Il nome e l’indirizzo e-mail volontariamente forniti dagli iscritti saranno trattati esclusivamente per l’invio delle newsletter.
Base giuridica per il trattamento dei dati: sulla base del consenso degli interessati (articolo 6 (1) a) del GDPR).
Durata del trattamento dei dati: I dati saranno trattati fino alla revoca del consenso.
Diritti degli interessati: gli interessati hanno il diritto di richiedere informazioni, correzione, cancellazione dei propri dati e limitazione del trattamento dei dati presso il punto di contatto centrale del nostro hotel e ristorante, all'indirizzo hotel@landplanhotel.hu a.

 

 

Mellékletek

  1. NO. Allegato: Finalità e modalità del trattamento dei dati personali (esempio)
  2. NO. Allegato: Registro delle attività di trattamento dei dati (campione)
  3. NO. Allegato: Designazione del Responsabile della Protezione dei Dati
  4. NO. Allegato: Registro dell'elaborazione dei dati (campione)
  5. NO. Allegato: Registro degli incidenti relativi alla protezione dei dati (campione)

Numero 1 allegato

Finalità e modalità del trattamento dei dati personali

  1. Finalità del trattamento dei dati personali
1. Obiettivo principale
1.1 Sotto-obiettivo
1.2 Sotto-obiettivo

 

  1. Strumenti per il trattamento dei dati personali

 

  Servizio IT Tipo/designazione
1. Sistema di archiviazione/gestione dei documenti
2. Sistema di posta
3. Sistema del lavoro
4. Sistema salariale
5. Sistema contabile
6. Sistema di controllo degli accessi
7. Sistema di telecamere
8. Sistema GPS
9. Sistema di sicurezza informatica
10 Sito web

Numero 2 allegato

Titolare del trattamento dei dati: Land Plan Kft.

Responsabile della protezione dei dati

nome: Dott.ssa Nóra Nagy
Informazioni sui contatti: borbely.bea@landplanhotel.hu Informazioni sui contatti: dr.nagy.nora.avt@upcmail.hu

 

REGISTRAZIONE DELLE ATTIVITÀ DI TRATTAMENTO DEI DATI

 

Numero AKN

Categoria dell'interessato e categoria dei dati personali

(con dati speciali contrassegnati separatamente)

 Scopo della gestione dei dati

Gestione dati

base giuridica

 Finalità e base giuridica del trasferimento dei dati Destinatario del trasferimento dei dati Tempo di eliminazione mirato per una categoria di dati

GDPR Articolo 32 (1) par. descrizione generale delle misure tecniche e organizzative ai sensi

a) -metodo di informazione

– esistenza del consenso

– esistenza di un contratto di elaborazione dati

b) – livello di rischio

– sicurezza dei dati. misura

 Note, altri dati richiesti dalla legge
1.1 Categoria interessata
1.1.1 Categoria di dati personali

 

Numero 3 allegato

RESPONSABILE DELLA PROTEZIONE DEI DATI

IDENTIFICAZIONE DELL'ARTICOLO E DATI DI CONTATTO

Responsabile della protezione dei dati del Titolare del trattamento: Dott. Nora Nagy

Numero di telefono: 46/412-327

Numero di fax: 46/415-623

E-mail: dr.nagy.nora.avt@upcmail.hu

4.NO. allegato

Nome del responsabile del trattamento dei dati: Land Plan Kft.

Responsabile della protezione dei dati

il mio nome è Dott. Nora Nagy
Informazioni sui contatti: borbely.bea@landplanhotel.hu Informazioni sui contatti: dr.nagy.nora.avt@upcmail.hu

 

DOCUMENTI DI ELABORAZIONE DEI DATI

 

Nome, dati di contatto, rappresentante del titolare del trattamento e nome e dati di contatto del responsabile della protezione dei dati del titolare del trattamento Data e durata del contratto di elaborazione dei dati Categoria dell'interessato e categoria dei dati personali Finalità del trattamento dei dati Nome e dati di contatto del sub-responsabile del trattamento, del suo rappresentante e nome e dati di contatto del responsabile della protezione dei dati Finalità e base giuridica del trasferimento dei dati Destinatario del trasferimento dei dati GDPR Articolo 32(1) par. descrizione generale delle misure tecniche e organizzative ai sensi
               
               
               

 

Numero 5 allegato

Nome del responsabile del trattamento dei dati: Land Plan Kft.

Responsabile della protezione dei dati

nome: Dott. Nora Nagy
Informazioni sui contatti: borbely.bea@landplanhotel.hu Informazioni sui contatti: dr.nagy.nora.avt@upcmail.hu

 

Registrazione degli incidenti sulla protezione dei dati

  1. A) Evento
numero di serie designazione Data di notifica ad AVT

 

  1. B) Fatti relativi all'evento
  • Quello che è successo?
  • Dove è successo?
  • Quando è successo?
  • Perché è successo?
  1. C) Classificazione dell'incidente, impatto
  • Categoria di rischio
  • Effetto/Conseguenza
  • Corso
  • Data proposta AVT
  • Obbligo di segnalazione alle autorità (sì/no)
  • Data, numero di registrazione
  • Obbligo di informare l'interessato (sì/no)
  • Data, numero di registrazione
  1. D) Rimedio per gli incidenti
  • Azione immediata
  • Descrizione della misura
  1. E) Note