Складанням і наданням доступу до цього повідомлення про обробку персональних даних (далі – «Повідомлення») компанія Menza Co. Korlátolt Felelősségű Társaság (ТзОВ «Менза Ко.»; юридична адреса: 1061 Будапешт, площа Ліст Ференц, 2; реєстраційний номер компанії: 01-09-714752; податковий номер: 13016177-2-42; далі – «Компанія») висловлює намір забезпечити дотримання вимог
Загального регламенту про захист даних Європейського Парламенту і Ради (ЄС) № 2016/679 про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних та про скасування Директиви № 95/46/ЄС (далі – «GDPR»), і Закону Угорщини про право на інформаційне самовизначення і свободу інформації CXII від 2011 року (далі – «Закон про інформацію»).
Сфера дії Повідомлення охоплює всі процеси, які виконуються всіма організаційними підрозділами Компанії, в ході яких проходить опрацювання персональних даних. Термін дії Повідомлення – до моменту відкликання. Компанія залишає за собою право вносити зміни до цього Повідомлення та повідомить про це шляхом публікації зміненого Повідомлення на своєму веб-сайті.
I. ОПРАЦЮВАННЯ ДАНИХ
Контролер персональних даних: Товариство з обмеженою відповідальністю «Менза Ко. (Menza Co. Kft.).
Юридична адреса: 1061 Будапешт, площа Ліст Ференц, 2.
Реєстраційний номер компанії: 01-09-714752
Податковий номер: 13016177-2-42
Телефон: +36 (1) 413-1482
e-mail: info@menzaetterem.hu
II. ЗАГАЛЬНІ ПОНЯТТЯ
1. суб'єкт даних: фізична особа, яка ідентифікована або може бути ідентифікована на основі будь-якої інформації (фізична особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, шляхом посилання на певний ідентифікатор, наприклад, ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або на один або кілька факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності фізичної особи);
2. персональні дані: будь-яка інформація, що стосується ідентифікованої або такої, яку можна ідентифікувати, фізичної особи (суб'єкта даних) (даними, що можуть бути пов'язані з суб'єктом даних, є, зокрема, ім'я, ідентифікаційний номер та один або кілька факторів, характерних для фізичної, фізіологічної, психічної, економічної, культурної чи соціальної ідентичності суб'єкта даних, а також висновок, який можна зробити на основі даних, що стосуються суб'єкта даних);
3. особливі категорії даних: будь-які дані, які належать до особливих категорій персональних даних, а саме: персональні дані, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані, біометричні дані, що слугують для ідентифікації фізичної особи, дані про стан здоров'я та персональні дані, що стосуються статевого життя або сексуальної орієнтації фізичної особи;
4. контролер даних: фізична чи юридична особа або організація без статусу юридичної особи, яка самостійно або спільно з іншими визначає цілі, щодо яких повинні опрацьовуватись (оброблятись) дані, приймає та виконує рішення щодо обробки даних (включаючи використовувані засоби) або доручає таку обробку обробникові даних – у межах, визначених законом або юридично обов'язковим актом Європейського Союзу;
5. обробка даних: будь-яка операція або сукупність операцій, які виконуються щодо даних, незалежно від використовуваної (-их) процедур(и), зокрема, збір, запис, реєстрація, систематизація, зберігання, зміна, використання, запит, передача, розкриття, узгодження або комбінування, блокування, видалення та знищення, а також запобігання подальшому використанню даних, фотографування, звуко- або відеозапис, реєстрація фізичних характеристик, які можуть бути використані для ідентифікації особи (відбитки пальців, долонь, зразки ДНК, сканування райдужної оболонки ока);
1. обробник даних: фізична або юридична особа або організація без статусу юридичної особи, яка обробляє персональні дані від імені або за дорученням контролера даних, у межах та на умовах,визначених законом або юридично обов'язковим актом Європейського Союзу;
2. порушення безпеки даних: порушення безпеки даних, що призводить до випадкового або неправомірного знищення, втрати, зміни, несанкціонованого розкриття або передачі чи доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином.
Інші законодавчі акти, на які є посилання:
Закон XLVIII від 2008 року «Про основні умови та деякі обмеження комерційної рекламної діяльності»,
Закон CXXXIII від 2005 року «Про правила захисту особистих і майнових прав та проведення приватних розслідувань»,
Закон C від 2000 року «Про бухгалтерський облік та звітність».
III. ОБРОБКА ДАНИХ КОМПАНІЇ
3.1. Веб-сайт Компанії
Веб-сайт Компанії http://menzaetterem.hu не вимагає надання жодних персональних даних для ознайомлення з інформацією, опублікованою для загального доступу. Компанія не збирає жодних персональних даних про відвідувачів веб-сайту.
3.2 Обробка даних покупців
Компанія має право обробляти персональні дані покупців, які пов'язані з замовленням і договором між покупцем і Компанією, включаючи його створення, реєстрацію та виконання. Оброблювані дані включають ім'я, номер телефону та адресу електронної пошти, надані під час замовлення, тобто дані, необхідні для видачі квитанцій, а також контактну інформацію, необхідну для виконання замовлення. Квитанції, що видаються споживачам при споживанні в ресторанах, не містять жодних персональних даних.
1. Мета обробки даних: мета обробки даних пов'язана виключно з укладенням, виконанням, зміною або розірванням договору.
2. Правова підстава для обробки даних: правовою підставою для обробки даних є згода суб'єкта даних [п. а) абз. (1) ст. 6 GDPR], а також укладення та виконання договору між суб'єктом даних та Компанією [п. b) абз. (1) ст. 6 GDPR].
3. Тривалість обробки даних: тривалість обробки даних становить 8 (вісім) років після виконання договору, відповідно до правових положень про зберігання підтверджуючих документів згідно з Законом «Про бухгалтерський облік та звітність».
3.3. Обробка даних постачальників, ділових партнерів
Компанія має право обробляти персональні дані своїх постачальників, ділових партнерів, пов'язані з пропозицією та договором між замовником та Компанією, включаючи його укладення, реєстрацію та виконання. Обсяг оброблюваних даних: дані, надані в запиті на пропозицію, замовленні, договорі, контактна інформація та дані, необхідні для видачі квитанцій.
1. Мета обробки даних: мета обробки даних пов'язана виключно з укладенням, виконанням, зміною або розірванням договору.
2. Правова підстава для обробки даних: правовою підставою для обробки даних є згода суб'єкта даних [п. а) абз. (1) ст. 6 GDPR], а також укладення та виконання договору між суб'єктом даних та Компанією [п. b) абз. (1) ст. 6 GDPR].
3. Тривалість обробки даних: тривалість обробки становить 8 (вісім) років після виконання договору, відповідно до правових положень про зберігання підтверджуючих документів відповідно до Закону «Про бухгалтерський облік та звітність».
3.4. Обробка даних кандидатів на працевлаштування
Компанія обробляє персональні дані, що містяться у «вхідних» і цільових резюме та інших доданих до них документах, отриманих безпосередньо або через кадрове агентство. Обсяг опрацьовуваних даних: персональні дані, надані суб'єктом даних у резюме та інших поданих документах.
1. Мета обробки даних: метою обробки даних є інформування суб'єкта даних про вакансії, які найкраще відповідають його кваліфікації та інтересам, призначення індивідуальної співбесіди з суб'єктом даних та проведення процедури відбору.
2. Правова підстава для обробки даних: правовою підставою для обробки даних є добровільна згода суб'єкта даних [п. а) абз. (1) ст. 6 GDPR], яку суб'єкт даних надає, надсилаючи своє резюме та пов'язані з ним документи.
3. Тривалість обробки даних: тривалість обробки даних – це тривалість трудових відносин у разі успішного розгляду заявки; у разі неуспішного розгляду заявки, файли заявок кандидатів, які не пройшли відбір, будуть видалені після завершення процесу відбору.
3.5. Обробка даних, пов’язаних із відеоспостереженням
У головному офісі Товариства функціонує система електронного спостереження та запису в зонах, позначених піктограмою камери або попереджувальною інформацією (зони спостереження). Система відеоспостереження контролює територію ресторану. Система відеоспостереження фіксує зображення та дії осіб, які входять до зони спостереження. Система відеоспостереження не записує звук. Тільки уповноважені працівники контролерів даних мають право переглядати актуальні зображення та записи з камер. Система камер експлуатується Компанією і не користується послугами жодного іншого виконавця, тому Компанія є єдиним контролером даних. Обсяг оброблюваних даних: зображення суб'єкта даних.
1. Мета обробки даних: метою обробки даних є захист майна та осіб, які перебувають у будівлі, захист комерційної таємниці та підтвердження (доказ) можливих зловживань, порушень, а також забезпечення безпеки зберігання небезпечних матеріалів.
2. Правова підстава для обробки даних: правовою підставою для обробки даних є добровільна згода суб'єкта даних (при вступі до будівлі) [п. а) абз. (1) ст. 6 GDPR], з одного боку, та законний дозвіл, наданий статтями 30–31 Закону «Про правила захисту особистих і майнових прав та проведення приватних розслідувань», з іншого.
3. Тривалість обробки даних: тривалість обробки даних становить 30 (тридцять) днів з дати запису (враховуючи, що Компанія обробляє готівкові кошти на значну суму у своїх комерційних підрозділах у зв'язку зі своєю діяльністю згідно з п. с) абз. (3) статті 31 Закону «Про правила захисту особистих і майнових прав та проведення приватних розслідувань»), після чого записи автоматично видаляються.
IV. ОСОБИ, ЯКІ МАЮТЬ ПРАВО ДОСТУПУ ДО ДАНИХ
Доступ до персональних даних можуть мати працівники Компанії, які мають права доступу у зв'язку з відповідною метою обробки даних, або особи чи організації, які здійснюють обробку даних або аутсорсингову діяльність для нашої Компанії на підставі договорів про надання послуг, в обсязі, визначеному нашою Компанією, і в межах, необхідних для виконання їхньої діяльності.
Для обробки даних, що стосуються суб'єктів даних, Компанія користується послугами наступних обробників даних у рамках договорів про надання послуг для цієї мети:
Circumstance Creative Kft. (ТзОВ «Серкамстенс Кріейтів»; юридична адреса: 5435 Мортфю, вул. Міксат Калман 1; податковий номер: 24671550-2-16).
Вищезгаданий підрядник розробляє та експлуатує веб-сайт Компанії, а також здійснює діяльність з обробки даних.
HOTEL-INFORMATIKA Vendéglátóipari Számítástechnikai Szolgáltató Korlátolt Felelősségű Társaság (Товариство з обмеженою відповідальністю «Постачальник ІТ-послуг для індустрії громадського харчування «ГОТЕЛЬ-ІНФОРМАТИКА» (юридична адреса: 1145 Будапешт, вул. Мексікоі, 62. I/1.; податковий номер: 10753345-2-42).
Вищевказаний підрядник здійснює діяльність з обробки даних для розробки та обслуговування ІТ-систем, що використовуються Компанією.
VINPRO Számviteli Szolgáltató Betéti Társaság (Командитне товариство «Постачальник бухгалтерських послуг ВІНПРО» (юридична адреса: 1141 Будапешт, вул. Фоґороші, 95; податковий номер: 21591442-1-42).
Вищезазначене товариство надає Компанії послуги з бухгалтерського обліку та нарахування заробітної плати, і, таким чином, здійснює діяльність з обробки даних щодо даних, які обробляються у зв'язку з виданими Компанією квитанціями (рахунками) (та персональних даних, які обробляються в них) та нарахуванням заробітної плати.
V. БЕЗПЕКА ДАНИХ
Під час експлуатації наших ІТ-систем за допомогою застосування рішень, необхідних для управління доступом, внутрішньої організації та технічних рішень ми ґарантуємо, що дані суб'єктів даних не можуть бути доступними для неавторизованих осіб, а також що неавторизовані особи не можуть видаляти, видобувати з системи чи редагувати (змінювати) дані.
Ми ведемо облік будь-яких випадків порушення захисту даних і, за необхідності інформуємо суб'єкта даних про появу будь-яких випадків порушення захисту даних, якщо цього вимагають GDPR та «Закон про інформацію».
VI. ПРАВА, ПОВ'ЯЗАНІ З ОБРОБКОЮ ДАНИХ ТА ЇХ РЕАЛІЗАЦІЄЮ
6.1. ПРАВО НА ЗАПИТ ІНФОРМАЦІЇ ТА ПРАВО ДОСТУПУ
Суб'єкт даних може подати письмовий запит на отримання інформації від Компанії стосовно того:
1. які персональні дані,
2. на якій правовій підставі,
3. з якою метою обробляються,
4. з якого джерела,
5. протягом якого часу обробляються,
6. кому, коли, на підставі якого закону, до яких персональних даних Компанія надала доступ або кому Компанія передала його персональні дані.
Компанія надасть відповідь на запит суб'єкта персональних даних протягом максимум 15 (п'ятнадцяти) днів шляхом надсилання листа електронною або звичайною поштою на контактну адресу, вказану суб'єктом персональних даних.
Перед задоволенням запиту Компанія може попросити суб'єкта даних уточнити зміст запиту та конкретизувати запитувану інформацію або дії з обробки даних.
Якщо право доступу суб'єкта даних, передбачене цим пунктом, негативно впливатиме на права і свободи інших осіб, зокрема на комерційну таємницю або інтелектуальну власність інших осіб, Компанія має право відмовити у задоволенні запиту суб'єкта даних в необхідних і пропорційних межах.
У випадку, якщо суб'єкт даних подає запит на отримання більш ніж одного примірника вищезазначеної інформації, контролер даних має право стягувати обґрунтовану плату, пропорційну адміністративним витратам на виготовлення додаткових копій.
Якщо Компанія не обробляє персональні дані, зазначені суб'єктом даних, вона зобов'язана повідомити про це суб'єкта даних у письмовій формі.
6.2. ПРАВО НА ВИПРАВЛЕННЯ
Суб'єкт даних може письмово вимагати від Компанії виправлення неточних, неправильних або неповних персональних даних. У такому випадку Компанія без невиправданої затримки, але не пізніше ніж протягом 5 (п'яти) днів виправляє або уточнює зазначені персональні дані, або, якщо це сумісно з цілями обробки, доповнює їх додатковими персональними даними, наданими суб'єктом даних, або декларацією суб'єкта даних про оброблювані персональні дані. Компанія повідомляє про це суб'єкта даних електронною або звичайною поштою на контактну адресу, надану суб'єктом даних.
Компанія звільняється від обов'язку виправлення у випадках, коли
1. точні, правильні або повні персональні дані не доступні Компанії і не надані суб'єктом даних; або
2. точність персональних даних, наданих суб'єктом даних, не може бути однозначно встановлена.
6.3. ПРАВО НА ВИДАЛЕННЯ
Суб'єкт даних може звернутися до Компанії з письмовою вимогою про видалення його персональних даних. Суб'єкт даних повинен подати свій запит на видалення в письмовій формі та вказати причини, за якими він бажає, щоб його персональні дані були видалені.
Компанія відхиляє запит на видалення, якщо закон зобов'язує Компанію продовжувати зберігати персональні дані. Якщо такий обов'язок відсутній, Компанія задовольнить вимогу суб'єкта персональних даних протягом максимум 15 (п'ятнадцяти) днів і повідомить про це суб'єкта персональних даних електронною або звичайною поштою на контактну адресу, вказану суб'єктом даних.
6.4. ПРАВО НА БЛОКУВАННЯ
Суб'єкт даних може письмово вимагати від Компанії заблокувати його персональні дані. Блокування триває до тих пір, поки вказана суб'єктом даних причина вимагає зберігати ці дані. Суб'єкт даних може вимагати блокування даних, наприклад, якщо він вважає, що його персональні дані були незаконно оброблені Компанією, але для цілей офіційного або судового розгляду, ініційованого суб'єктом даних, необхідно, щоб персональні дані не були видалені Компанією. У такому випадку Компанія продовжить зберігати персональні дані до тих пір, поки орган влади або суд не витребує їх, після чого видалить дані і повідомить про це суб'єкта даних електронною поштою або поштовим відправленням на контактну адресу, вказану суб'єктом даних.
6.5. ПРАВО НА ОБМЕЖЕННЯ ОБРОБКИ ДАНИХ
Суб'єкт даних може письмово вимагати від Компанії обмежити обробку його персональних даних. У період дії обмеження Компанія або обробник даних, який діє від її імені або за її дорученням, може здійснювати операції з обробки, крім зберігання персональних даних, на які поширюється обмеження, виключно з метою реалізації законних інтересів суб'єкта даних або у випадках, передбачених законом. Обмеження на обробку може вимагатися суб'єктом даних тоді і на стільки, на скільки це необхідно,
1. якщо суб'єкт даних оскаржує точність, правильність або повноту персональних даних, які обробляються Компанією або обробником даних, і точність, правильність або повнота оброблених персональних даних не може бути однозначно встановлена (на період часу, необхідний для усунення сумнівів),
2. якщо дані повинні бути видалені, але є достатні підстави вважати, на підставі письмової заяви суб'єкта даних або на підставі інформації, наявної у Компанії, що видалення даних порушить законні інтереси суб'єкта даних (на період дії законного інтересу не видаляти дані),
3. якщо дані могли би підлягати видаленню, але вони є необхідними для збереження їх як доказів у провадженнях, що проводяться державним органом або за його участю (до завершення розслідування або провадження).
У випадку обмеження персональні дані можуть оброблятися, за винятком зберігання, лише за згодою суб'єкта даних або для встановлення, здійснення або захисту правових вимог, або для захисту прав іншої фізичної чи юридичної особи, або для захисту важливих суспільних інтересів [Європейського] Союзу або держави-члена Європейського Союзу.
Компанія заздалегідь інформує суб'єкта даних про зняття обмеження на обробку.
Компанія без невиправданої затримки після виконання вимоги суб'єкта даних про реалізацію його права на обмеження інформує про це осіб, яким були розкриті персональні дані суб'єкта даних, за умови, що це не є неможливим або пов'язано з непропорційними зусиллями з боку Компанії. На вимогу суб'єкта даних Компанія повідомить його про таких одержувачів.
6.6. ПРАВО НА ЗАПЕРЕЧЕННЯ
Якщо обробка даних суб'єктів даних ґрунтується на законному інтересі, суб'єкту даних надається адекватна інформація та право на заперечення проти обробки. Це право має бути чітко доведено до відома суб'єкта даних щонайпізніше під час першого контакту з ним.
Суб'єкт даних має право заперечити на цій підставі проти обробки його персональних даних, і в такому випадку Компанія більше не буде обробляти персональні дані суб'єкта даних, якщо не буде доведено, що
1. обробка виправдана вагомими законними підставами з боку Компанії, які переважають інтереси, права і свободи суб'єкта даних, або
2. обробка пов'язана зі встановленням, здійсненням або захистом Компанією юридичних позовів.
6.7. ПРАВО НА ПРАВОВИЙ ЗАХИСТ
6.7.1. Вирішення спорів з Компанією
Суб'єкти даних можуть подавати свої заперечення або запити щодо обробки своїх персональних даних Компанії в усній (особисто) або письмовій формі (особисто або за допомогою документа, доставленого іншою особою, або поштою чи електронною поштою), використовуючи контактні дані, зазначені в розділі I, на ім'я Контролера даних.
6.7.2. Право на подання скарги
Якщо ваші заперечення, скарги або запити щодо ваших персональних даних не вдалося задовільно вирішити з Компанією, або якщо ви вважаєте, що в будь-який час існував або існує неминучий ризик порушення прав у зв'язку з обробкою ваших персональних даних, ви маєте право подати скаргу до Національного органу з питань захисту даних та свободи інформації.
Контактні дані Національного органу з питань захисту даних та свободи інформації:
Місцезнаходження: 1125 Будапешт, алея Ержийбет, 22/с.
Поштова адреса: 1530 Будапешт, а/с 5.
Телефон: +36 (1) 391-1400
Факс: +36 (1) 391-1410
e-mail: ugyfelszolgalat@naih.hu
Веб-сайт: http://naih.hu
6.7.3. Право на звернення до суду (право на позов)
Незалежно від права на подання скарги, суб'єкти даних можуть звернутися до суду, якщо при обробці їхніх персональних даних були порушені їхні права, передбачені GDPR або Законом про інформацію.
Проти Компанії, як контролера даних, зареєстрованого в Угорщині, може бути поданий позов до угорського суду.
Суб'єкт даних також може подати позов до суду за місцем проживання. Контактні дані судів в Угорщині можна знайти за наступним посиланням: http://birosag.hu/torvenyszekek.
VII. ІНША ІНФОРМАЦІЯ
7.1. ЗДІЙСНЕННЯ ПРАВ ЩОДО ПЕРСОНАЛЬНИХ ДАНИХ ПІСЛЯ СМЕРТІ СУБ'ЄКТА ДАНИХ
Протягом п'яти років після смерті суб'єкта даних права, на які померла особа мала право за життя, може здійснювати особа, уповноважена суб'єктом даних, за допомогою адміністративного розпорядження або заяви, зробленої контролеру (в публічному або приватному документі, що має повну доказову силу). Якщо суб'єкт даних не зробив такої заяви, права померлого за життя можуть бути реалізовані його близьким родичем у розумінні Цивільного кодексу протягом п'яти років після смерті суб'єкта даних (у разі наявності кількох близьких родичів, такими правами може скористатися перший, хто їх реалізує).
7.2. СПЕЦІАЛЬНІ ПОЛОЖЕННЯ ЩОДО ВІДЕОЗАПИСІВ
7.2.1. Право на запит інформації
Суб'єкт даних має право протягом 3 (трьох) днів з дати запису вимагати інформацію про те, що показано на записі стосовно суб'єкта даних. У запиті повинно бути зазначено, де було зроблено запис, в який час і як можна ідентифікувати суб'єкта даних. Компанія зобов'язана задовольнити запит протягом 15 (п'ятнадцяти) днів.
7.2.2. Право на блокування
Протягом 3 (трьох) днів з дати запису суб'єкт даних може вимагати, щоб його дані не були знищені або стерті контролерами даних (блокування), обґрунтовуючи своє право або законний інтерес. У запиті повинно бути зазначено, де був зроблений запис, в який час, як можна ідентифікувати суб'єкта даних і причину блокування. Одночасно з блокуванням суб'єкту даних бажано ініціювати необхідне офіційне або судове провадження, оскільки Компанія оприлюднює записи лише у відповідь на запит органу влади або суду.
7.2.3. Право на доступ
Суб'єкт даних може вимагати доступу до зроблених щодо нього записів протягом 3 (трьох) днів з дати, коли запис було зроблено. У запиті повинно бути зазначено, де і коли було зроблено запис, як можна ідентифікувати суб'єкта даних, і в який день суб'єкт даних бажає отримати доступ до запису. Компанія зможе надати доступ у робочі дні з понеділка по п'ятницю з 9:00 до 15:00.