Politique de confidentialité

AVIS DE CONFIDENTIALITÉ POUR LES INVITÉS ET LES PASSAGERS

Nom de la société : Silverline Cruises Kft.

Siège social : 1044 Budapest, Zsilip utca 9.

Numéro d’immatriculation : 01-09-973821

Numéro fiscal : 23692800-2-41

Représentée par : Nóra Ágnes Bakonyi, Directrice générale

E-mail : silverlinecruiseskft@gmail.com

Numéro de téléphone, ligne directe : +36-20-332-5364

E-mail : hello@silver-line.hu

En tant que responsable du traitement (ci-après dénommé le « Responsable »), la société publie le présent Avis pour informer ses passagers et ses invités :

En tant que société de croisières, Silverline Cruises Kft. fournit et commercialise des services de croisières touristiques à ses passagers. Les services proposés par Silverline Cruises Kft., leur description détaillée ainsi que les conditions générales d’utilisation figurent dans les Conditions Générales de Vente, les Conditions d’Utilisation et les informations générales disponibles sur www.silver-line.hu.

Le Responsable n’a pas de Délégué à la Protection des Données. La Directrice générale est responsable de la mise en œuvre des opérations de traitement des données.

Sommaire

  1. I. INTRODUCTION

  2. II. TRAITEMENT, TYPE DE DONNÉES PERSONNELLES, FINALITÉ ET BASE LÉGALE DU TRAITEMENT

    1. DISPOSITIONS GÉNÉRALES

    2. OPÉRATIONS DE TRAITEMENT DE SILVERLINE CRUISES Kft.

      1. Traitement des données liées à l’achat de billets

      2. Paiement par carte bancaire

      3. Traitement des données relatives aux réclamations

      4. Traitement des données relatives aux incidents

      5. Enregistrement des objets trouvés

      6. Système de vidéosurveillance

      7. Photographies et vidéos

      8. Autres traitements de données

        1. Contacts e-mail, correspondance

      9. Autres traitements de données, transferts de données

      10. Cookies

        1. Google Analytics

  3. III. MÉTHODE DE CONSERVATION DES DONNÉES PERSONNELLES, SÉCURITÉ DU TRAITEMENT

  4. IV. DROITS ET RECOURS DE LA PERSONNE CONCERNÉE

    • Droit de rectification

    • Droit à l’effacement (« droit à l’oubli »)

    • Droit à la limitation du traitement

    • Droit à l’information concernant la rectification ou l’effacement de données personnelles ou la limitation du traitement

    • Droit à la portabilité des données

    • Droit d’opposition

    • Décision individuelle automatisée, y compris le profilage

    • Droit d’être informé d’une violation de données personnelles

    • Droit d’introduire une réclamation auprès d’une autorité de contrôle

    • Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

    • Droit à réparation et indemnisation

  5. V. RÈGLES DE PROCÉDURE RELATIVES À L’EXERCICE DES DROITS

I. INTRODUCTION

Le Responsable s’engage à protéger les données personnelles des personnes physiques.
Il reconnaît être lié par les dispositions du présent Avis et s’engage à ce que ses traitements
de données soient pleinement conformes à celui-ci. Le Responsable se réserve le droit de
modifier le présent Avis. Les données personnelles sont traitées de manière confidentielle
et toutes les mesures de sécurité, techniques et organisationnelles sont prises afin d’assurer
la protection et la sécurité des données.

II. TRAITEMENT, TYPE DE DONNÉES PERSONNELLES, FINALITÉ ET BASE LÉGALE DU TRAITEMENT

II.1. DISPOSITIONS GÉNÉRALES

Le traitement effectué par le Responsable repose principalement sur le consentement volontaire de la personne concernée.
Si le traitement est nécessaire pour se conformer à une obligation légale, le consentement de la personne concernée n’est
pas requis, mais celle-ci doit être informée du caractère obligatoire du traitement, de l’étendue des données traitées,
de la finalité, de la base légale et de la durée du traitement, de l’identité du responsable et du sous-traitant, ainsi que
des droits de la personne concernée et des voies de recours à sa disposition.

Les principes de traitement du Responsable sont conformes à la législation applicable en matière de protection des données,
notamment :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques
    à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
    95/46/CE (Règlement général sur la protection des données – « RGPD ») ;

  • Loi hongroise CXII de 2011 relative à l’autodétermination informationnelle et à la liberté d’information (« Loi sur l’information ») ;

  • Loi V de 2013 portant Code civil hongrois (« Code civil ») ;

  • Loi CLV de 1997 relative à la protection des consommateurs (« Loi sur la protection des consommateurs ») ;

  • Loi CXCVII de 2017 relative à la procédure pénale (« Code de procédure pénale ») ;

  • Loi C de 2000 relative à la comptabilité (« Loi sur la comptabilité ») ;

  • Loi CVIII de 2001 sur certaines questions relatives aux activités de commerce électronique et aux services de la société de l’information (« Loi sur le commerce électronique ») ;

  • Loi C de 2003 relative aux communications électroniques (« Loi sur les communications électroniques ») ;

  • Loi CXXXIII de 2005 relative aux services de sécurité et aux activités des détectives privés (« Loi sur les services de sécurité ») ;

  • Loi XLVIII de 2008 relative aux conditions essentielles et à certaines limitations de l’activité publicitaire (« Loi sur la publicité commerciale ») ;

  • Loi XXV de 2023 relative aux plaintes, aux signalements d’intérêt public et aux règles applicables à l’alerte professionnelle (« Loi sur les plaintes »).

II.2. OPÉRATIONS DE TRAITEMENT DE SILVERLINE CRUISES Kft.

II.2.1. Traitement des données liées à l’achat de billets

Il est possible d’acheter des billets pour les services fournis par le Responsable via le site internet.
L’achat de billets ne nécessite pas d’inscription préalable.

Finalité du traitement : établir les factures pour les clients, documenter les achats et paiements,
remplir les obligations comptables.

Base légale du traitement : le traitement est nécessaire à l’exécution d’un contrat auquel le client
concerné est partie (article 6, paragraphe 1, point b) du Règlement).

Données personnelles traitées : nom, adresse, numéro de téléphone, adresse e-mail du client (personne physique),
contenu de la commande, mode de paiement, date d’achat, ainsi que, le cas échéant, d’autres données personnelles si elles sont fournies.

Durée de conservation : pour les factures, 8 ans conformément à l’article 169(2) de la Loi sur la comptabilité.
Pour les autres données : 1 an à compter de la date de fourniture.

Conséquences possibles du refus de fournir les données : le client ne pourra pas acheter de billet.
Le nom et l’adresse doivent être indiqués pour l’émission de la facture. La facture est envoyée au client par e-mail,
donc l’adresse e-mail est obligatoire. Le numéro de téléphone doit également être fourni, afin que le Responsable puisse informer
le client par téléphone en cas d’annulation ou de modification des croisières.

Méthode de conservation : électronique.

Base légale du transfert de données : nécessaire à l’exécution du contrat
(article 6, paragraphe 1, point b) du Règlement).

II.2.2. Paiement par carte bancaire

Les billets peuvent être achetés via le site internet. En cas de paiement par carte bancaire,
le Responsable ne traite aucune donnée relative aux cartes bancaires et n’y a pas accès,
ne les collecte ni ne les conserve. La société utilise le système de paiement en ligne SimplePay,
développé et exploité par OTP Mobil Kft., pour le traitement électronique des paiements.
Pour les paiements en EUR, la plateforme STRIPE peut également être utilisée en complément de SimplePay.

Le prestataire du service SimplePay est la société OTP Mobil Szolgáltató Korlátolt Felelősségű Társaság.

  • Siège social : 1143 Budapest, Hungária krt. 17-19, Hongrie
  • Numéro d’immatriculation : 01-09-174466
  • Numéro fiscal : 24386106-2-42

L’avis d’information relatif au fonctionnement du système de paiement en ligne SimplePay est disponible
sur le site internet en cliquant sur l’icône SimplePay sur la page de paiement ou sur
www.simplepay.hu.

L’utilisateur a également le droit d’utiliser la méthode de paiement SimplePay.

Pour les paiements en EUR, la plateforme de paiement Stripe peut être utilisée en plus de SimplePay.
Avec Stripe, les paiements sont effectués par carte bancaire en EUR.
Des informations complémentaires sont disponibles sur www.stripe.com.

Finalité du traitement : exécuter les transactions de paiement, identifier la transaction,
envoyer un retour sur le résultat du paiement, prévenir les abus.

Base légale du traitement : le traitement est nécessaire à l’exécution d’un contrat auquel le client
concerné est partie et à l’exécution d’une obligation légale et contractuelle
(article 6, paragraphe 1, points b) et c) du Règlement).

Données personnelles traitées et transférées : nom, numéro de téléphone, adresse e-mail, montant de la transaction,
adresse IP, résultat, date et heure et identifiant de la transaction, adresse de facturation,
données de la carte bancaire enregistrées via SimplePay, type de carte, numéro, validité,
nom du produit acheté dans l’application SimplePay.

Le Responsable n’a pas accès aux données des cartes bancaires, mais les transmet au sous-traitant.
Les sous-traitants ayant accès aux données sont OTP Mobil Kft., OTP Bank Nyrt. et Borgun hf.

Durée de conservation : 5 ans à compter de la date de la transaction.

Conséquences possibles du refus de fournir les données : le client ne pourra pas régler le prix d’achat par carte bancaire.

Méthode de conservation : électronique.

Sous-traitants : OTP Mobil Kft., OTP Bank Nyrt. et Borgun hf.

Transfert de données :

  • Les opérations financières sont réalisées par OTP Bank Nyrt. et Borgun hf,
  • en cas d’abus, aux autorités compétentes légalement habilitées.

Base légale du transfert : garantir l’exécution des transactions financières,
exécution d’un contrat (article 6, paragraphe 1, point b) du Règlement).

II.2.3. Traitement des données relatives aux réclamations

Finalité du traitement : gérer les réclamations relatives aux services fournis par le Responsable.

Base légale du traitement : le traitement est nécessaire à l’exécution d’un contrat auquel le client concerné est partie, ainsi qu’au respect d’une obligation légale (article 6, paragraphe 1, points b) et c) du Règlement).

Données personnelles traitées : nom et adresse du client ; lieu, date et mode de dépôt de la réclamation ; description de la réclamation ; documents et autres preuves présentées par le client ; nom et signature de la personne rédigeant le rapport de réclamation et signature du client (en cas de réclamation orale) ; lieu et date de rédaction du rapport ; numéro d’identification unique de la réclamation.

Durée de conservation : conformément à l’article 17/A(7) de la Loi sur la protection des consommateurs :
5 ans pour le rapport rédigé sur la réclamation et une copie de la réponse ;
2 ans pour la copie des inscriptions dans le livre des clients.

Conséquences possibles du refus de fournir les données : le client ne pourra pas exercer ses droits de consommateur.

Méthode de conservation : sur support papier et sous forme électronique.

Transfert de données : aucun.

II.2.4. Traitement des données relatives aux incidents

Finalité du traitement : documenter et enregistrer les événements extraordinaires (par ex. vol, dommage) sur le bateau et sur le ponton.

Base légale du traitement : nécessaire aux fins des intérêts légitimes poursuivis par le Responsable ou par un tiers.
L’intérêt légitime consiste à consigner et prouver les incidents (article 6, paragraphe 1, point f) du Règlement).

Données personnelles traitées : nom, adresse et numéro de téléphone de la personne blessée ou victime ;
nom et coordonnées du parent/tuteur ; date et heure de l’incident ; description de l’incident ; description des mesures prises ;
nom, adresse et numéro de téléphone du témoin ; nom de la personne rédigeant le rapport ; signatures de la personne rédigeant le rapport,
de la victime, du plaignant, de son représentant, et des témoins.

Durée de conservation : jusqu’à l’expiration du délai de prescription des réclamations liées à l’incident.

Conséquences possibles du refus de fournir les données : l’événement ne pourra pas être prouvé a posteriori,
empêchant la personne lésée d’exercer ses droits.

Méthode de conservation : support papier.

Transfert de données : aux autorités compétentes si des mesures supplémentaires sont nécessaires (par ex. Police, Tribunaux).

Base légale du transfert : exécution d’une obligation légale.

II.2.5. Enregistrement des objets trouvés

Finalité du traitement : tenir un registre des objets trouvés sur le bateau et sur le ponton,
enregistrer les données de l’inventeur, informer l’inventeur et le propriétaire.

Base légale du traitement : consentement volontaire de la personne concernée et respect d’une obligation légale
(article 6, paragraphe 1, points a) et c) du Règlement).

Données personnelles traitées : date et heure de la découverte ; nom et coordonnées de l’inventeur ;
nom de l’objet trouvé ; lieu et durée de conservation ; nom et coordonnées du propriétaire (si connu) ;
lieu et date de remise ; nom du destinataire ; signatures.

Durée de conservation : les données sont supprimées après la remise de l’objet à son propriétaire, à l’inventeur
ou au notaire municipal. En cas de vente, le Responsable supprime les données un an après la date de découverte.

Conséquences possibles du refus de fournir les données : le Responsable ne pourra pas remplir ses obligations légales,
et l’inventeur ne pourra pas exercer les droits prévus à l’article 5:54 du Code civil.

Méthode de conservation : support papier.

Transfert de données : au notaire municipal compétent.

Base légale du transfert : respect d’une obligation légale (article 5:54 du Code civil).

II.2.6. Système de vidéosurveillance

Des caméras ont été installées sur les bateaux et sur les pontons.

Caméras : Des informations complémentaires sur l’emplacement exact des caméras et les zones surveillées
sont disponibles dans l’avis d’information affiché au comptoir du salon des invités.
Les caméras ne sont pas destinées à surveiller le comportement des invités ou des personnes présentes sur le ponton.
Le Responsable utilise les caméras pour une surveillance en direct et pour des enregistrements.
Les caméras n’enregistrent pas le son.

Sous-traitant : L’avis affiché au comptoir dans l’espace invités indique l’identité et les coordonnées du sous-traitant.

Finalité du traitement : protection des biens, prévention des infractions, preuve des infractions et incidents,
enquête sur les circonstances d’accidents éventuels, détection des infractions.

Base légale du traitement : intérêt légitime du Responsable (article 6, paragraphe 1, point f) du RGPD).

Intérêt légitime : Le Responsable a un intérêt légitime à l’exploitation du système de caméras.
La protection des biens, la prévention et la détection des infractions ne peuvent être assurées efficacement par d’autres moyens ;
les caméras sont installées uniquement aux endroits strictement nécessaires.

Type de données personnelles traitées : images faciales et autres données personnelles des personnes et employés
entrant ou se trouvant sur le bateau ou dans la zone du ponton, telles qu’apparaissant sur les images enregistrées
par le système de vidéosurveillance.

Durée de conservation : en l’absence d’utilisation, maximum 72 heures
[article 31(3)(c) et (d) de la Loi CXXXIII de 2005].

Informations sur la conservation : Les enregistrements sont stockés dans des conditions de sécurité renforcées,
afin qu’aucune personne non autorisée ne puisse les consulter ou les copier.
Les enregistrements sont conservés sur les supports de stockage situés sur le ponton.

Accès aux images : Seuls la directrice générale du Responsable ou un employé dûment autorisé peuvent consulter
les données enregistrées. L’image en direct transmise par la caméra est visible depuis le bureau de coordination.
Les personnes visionnant les enregistrements doivent rédiger un rapport.
La personne concernée, dont les droits ou intérêts légitimes sont affectés par l’enregistrement,
peut demander, en justifiant de ses droits ou intérêts légitimes, que le Responsable ne détruise pas ou ne supprime pas l’enregistrement
jusqu’à ce qu’un tribunal ou une autorité en décide.
La personne figurant sur l’enregistrement peut également demander que le Responsable l’informe par écrit du contenu de l’enregistrement.
La personne concernée ne peut recevoir une copie de l’enregistrement que si aucune autre personne n’y figure,
ou uniquement si les autres personnes y apparaissent de manière non reconnaissable.
Si cela n’est pas possible, le Responsable doit offrir à la personne concernée la possibilité de visionner
l’enregistrement dans lequel elle apparaît.

Transfert de données : en cas d’infraction ou de procédure pénale, aux autorités ou tribunaux compétents.

Étendue des données transférées : enregistrements issus du système de caméras contenant des informations pertinentes.

Base légale du transfert : articles 71(1), 151(2)(a) et 171(2) du Code de procédure pénale,
ainsi que les articles 75(1)(a) et 78(3) de la Loi sur les contraventions.

II.2.7. Photographies et vidéos

Le Responsable peut réaliser des enregistrements audio et vidéo, ainsi que des diffusions en direct sur les réseaux sociaux,
des événements se déroulant sur les bateaux, des services fournis à bord, ainsi que des images des pontons et des personnes
s’y trouvant. Ces enregistrements peuvent être publiés et utilisés sur son site internet et sur d’autres pages de réseaux sociaux.
Le Responsable se réserve le droit de modifier les images pour des raisons de mise en valeur ou d’anonymisation.
L’objectif est de présenter des situations générales, dans le respect de la dignité humaine.
Aucune image offensante pour les personnes photographiées n’est publiée.

Finalité du traitement : présenter, documenter et promouvoir le Responsable et les services fournis,
et encourager leur utilisation.

Base légale : intérêt légitime du Responsable à accroître sa notoriété et à documenter ses événements
(article 6, paragraphe 1, point f) du Règlement).

Données traitées : image et voix, apparence et mouvements des personnes apparaissant sur les enregistrements.

Durée de conservation : jusqu’à opposition de la personne concernée. En cas d’exercice du droit d’opposition,
le Responsable fera tout son possible pour supprimer l’enregistrement contesté, dans la mesure du raisonnable et du faisable
techniquement.

II.2.8. Autres traitements de données

II.2.8.1. Contact par e-mail et correspondance

Le Responsable conserve un registre des courriels reçus, comprenant le nom de l’expéditeur, son adresse e-mail,
la date et l’heure d’envoi, ainsi que les données personnelles communiquées dans le message.

Données traitées : nom de l’expéditeur, adresse e-mail et données personnelles communiquées dans le message.

Finalité : assurer le contact, enregistrer les clients et les demandeurs.

Base légale : consentement volontaire de la personne concernée (article 6, paragraphe 1, point a) du Règlement).

Transfert : aucun transfert de données sans consentement exprès de la personne concernée.

Durée de conservation : aussi longtemps que nécessaire pour atteindre les finalités précisées dans le présent Avis,
et au maximum 5 ans à compter de la fourniture des données.

Méthode de conservation : électronique.

Conséquence en cas de non-fourniture : le Responsable ne pourra pas être contacté.

II.2.9. Traitements et transferts supplémentaires

II.2.9.1. Services liés au site internet

Si la personne concernée fournit des données personnelles pour utiliser les services du site,
l’hébergeur du site agit en tant que sous-traitant et peut y avoir accès.

Nom : Magyar Hosting Kft.
Coordonnées : https://www.tarhely.com/kapcsolat

II.2.9.2. Réseaux sociaux

Le site du Responsable est présent sur plusieurs plateformes sociales (Facebook, Twitter, Google+, Instagram, YouTube).
Par exemple, si la personne concernée « aime » la page Facebook ou « suit » le Responsable sur Twitter,
celui-ci peut accéder à certaines données personnelles publiques de son profil.
Pour plus de détails, se référer aux politiques de confidentialité des plateformes concernées.

II.2.9.3. Facturation

Dans le cadre de la facturation, l’Administration fiscale nationale de Hongrie (NAV) est autorisée à accéder
aux données personnelles transmises à cette fin.
Nom : Administration nationale des impôts et des douanes de Hongrie
Site / contact : https://www.nav.gov.hu/nav/kapcsolat

II.2.10. Cookies

Pour assurer le bon fonctionnement du site, de petits fichiers de données (« cookies ») peuvent être placés
sur l’appareil de l’utilisateur, comme sur la plupart des sites modernes.

II.2.10.1. Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte enregistré sur l’appareil de l’utilisateur (ordinateur, smartphone, etc.)
qui permet au site de mémoriser ses préférences (langue, taille des caractères, affichage, etc.),
afin qu’elles ne doivent pas être reconfigurées à chaque visite.

Cookies utilisés sur le site :

  • Google Analytics
  • Google Tag Manager
  • Google Ads Remarketing Tag
  • Facebook Pixel
  • Smartlook Code

II.2.10.2. À quoi servent les cookies ?

Les cookies sont utilisés pour améliorer l’expérience utilisateur, assurer une navigation claire et simple,
et faciliter les achats en ligne. Ils ne sont pas utilisés pour identifier personnellement l’utilisateur.
Ils ne servent qu’aux fins décrites ci-dessus. Les cookies peuvent être supprimés ou bloqués,
mais dans ce cas, certaines fonctionnalités du site peuvent ne pas fonctionner correctement.

II.2.10.3. Gestion des cookies

L’utilisateur peut supprimer les cookies ou bloquer leur enregistrement dans la plupart des navigateurs.
Dans ce cas, certaines préférences devront être reconfigurées à chaque utilisation,
et certains services pourraient ne pas fonctionner.

Informations détaillées disponibles sur www.AllAboutCookies.org et
sur les pages d’aide des navigateurs (Firefox, Chrome, Internet Explorer, Safari, Opera, etc.).

II.2.10.4. Google Analytics

Le site utilise Google Analytics, un service d’analyse fourni par Google Inc. (« Google »).
Google Analytics utilise des cookies pour analyser l’utilisation du site.
Les informations générées sont transmises à un serveur de Google aux États-Unis et y sont conservées.
Avec l’anonymisation IP activée, l’adresse IP de l’utilisateur est tronquée dans l’Union européenne ou dans l’Espace économique européen.
Google utilise ces données pour évaluer l’utilisation du site, générer des rapports pour l’exploitant
et fournir d’autres services liés à l’utilisation d’internet.
L’utilisateur peut empêcher l’installation de cookies via les paramètres du navigateur ou télécharger
le module complémentaire disponible à https://tools.google.com/dlpage/gaoptout?hl=fr.

III. MÉTHODE DE CONSERVATION DES DONNÉES PERSONNELLES, SÉCURITÉ DU TRAITEMENT

Les systèmes informatiques et autres lieux de stockage de données du Responsable sont situés au siège social,
dans ses locaux ainsi que chez ses sous-traitants.

Le Responsable met en œuvre des mesures techniques et organisationnelles appropriées et établit des règles
procédurales afin de minimiser les risques liés au traitement et d’assurer un niveau de sécurité adapté
au degré de risque. Les données personnelles sont traitées de manière confidentielle et protégées contre
la destruction accidentelle ou illicite, la perte, la modification, la divulgation ou l’accès non autorisé.

Le Responsable sélectionne et utilise des outils informatiques de manière à garantir que les données traitées :

  • soient accessibles aux personnes autorisées (disponibilité) ;
  • puissent être vérifiées quant à leur authenticité (authenticité du traitement) ;
  • soient contrôlables quant à leur intégrité (intégrité des données) ;
  • soient protégées contre tout accès non autorisé (confidentialité).

Le Responsable veille, par des moyens techniques appropriés, à ce que les données stockées dans ses registres
ne soient pas directement reliées à la personne concernée, sauf disposition légale contraire.

Pendant le traitement, le Responsable maintient :

  • confidentialité : seules les personnes habilitées ont accès aux informations ;
  • intégrité : exactitude et exhaustivité des informations et des méthodes de traitement ;
  • disponibilité : garantir que l’utilisateur autorisé puisse accéder à l’information quand il en a besoin.

Les systèmes et réseaux informatiques du Responsable et de ses partenaires sont protégés contre la fraude,
l’espionnage, le sabotage, le vandalisme, l’incendie, l’inondation, les virus informatiques, les intrusions
et les attaques susceptibles d’entraîner un déni de service. La sécurité est assurée à la fois au niveau des serveurs
et des applications.

Le Responsable informe les utilisateurs que les messages électroniques transmis via Internet
(e-mails, web, ftp, etc.) sont vulnérables aux menaces de réseau pouvant conduire à des activités frauduleuses,
à des litiges contractuels ou à la divulgation et modification d’informations.
Le Responsable prend toutes les précautions raisonnables pour se protéger contre ces menaces,
contrôle ses systèmes afin de détecter toute faille de sécurité et fournir la preuve d’incidents éventuels.
Ce contrôle permet également de vérifier l’efficacité des mesures prises.

Le Responsable impose à ses employés une obligation de confidentialité écrite concernant le traitement des données personnelles.
L’accès est limité selon des niveaux d’autorisation définis par fonction.
Des contrôles réguliers garantissent que les activités des employés respectent les instructions données.

Les documents papier, dossiers et supports contenant des données personnelles sont conservés dans un coffre sécurisé.
Les documents relatifs aux travaux en cours ne peuvent être consultés que par les employés habilités et doivent être remis
au lieu de stockage immédiatement après utilisation.

Les données personnelles stockées et traitées électroniquement sont protégées par un pare-feu et un antivirus adaptés.
Aucune donnée personnelle n’est traitée ni conservée dans des services cloud.
Le Responsable chiffre ou pseudonymise, le cas échéant, les données personnelles soumises à un traitement spécial.

Pour le traitement électronique et la tenue de registres, un logiciel conforme aux exigences du RGPD est utilisé.
Seules les personnes autorisées y ont accès. Les accès et opérations sont journalisés afin de permettre un contrôle a posteriori.

Lors du traitement automatisé, le Responsable et ses sous-traitants prennent des mesures supplémentaires pour garantir :

  • l’empêchement des saisies non autorisées ;
  • l’empêchement de l’utilisation non autorisée des systèmes automatisés par transmission de données ;
  • la vérification des destinataires des données transmises ;
  • la traçabilité des saisies (qui, quand, quelles données) ;
  • la possibilité de restaurer les systèmes en cas de panne ;
  • la détection et le signalement des erreurs de traitement automatisé.

Les sous-traitants sont contractuellement tenus de respecter ces exigences de sécurité, et le Responsable en contrôle l’application.

Le Responsable consigne tout incident de violation de données personnelles, en indiquant les faits, ses conséquences
et les mesures correctives adoptées. Toute violation susceptible de représenter un risque pour les droits et libertés
des personnes est notifiée à l’Autorité nationale de protection des données et de la liberté de l’information (Hongrie)
dans un délai de 72 heures maximum à compter de sa découverte, sauf si elle est jugée sans risque.

IV. DROITS ET RECOURS DE LA PERSONNE CONCERNÉE

Droit à l’information :
La personne concernée a le droit d’obtenir du Responsable des informations écrites sur le traitement de ses données personnelles,
sous une forme concise, transparente, compréhensible et aisément accessible, rédigée en termes clairs et simples,
conformément aux articles 13 et 14 du RGPD.

Droit d’accès :
En adressant une demande au Responsable, par e-mail ou courrier postal à son siège social,
la personne concernée peut demander à être informée si ses données personnelles font l’objet d’un traitement.
Si tel est le cas, elle peut accéder aux données traitées ainsi qu’aux informations suivantes :
finalités du traitement, catégories de données concernées, destinataires ou catégories de destinataires,
notamment dans des pays tiers ou organisations internationales, durée de conservation prévue ou critères de détermination,
droit de rectification, d’effacement, de limitation ou d’opposition, droit de réclamation auprès d’une autorité de contrôle,
source des données si elles n’ont pas été collectées auprès de la personne concernée,
et enfin l’existence d’une prise de décision automatisée, y compris le profilage.

En cas de transfert vers un pays tiers, la personne concernée a le droit d’être informée des garanties appropriées mises en place.

Le Responsable fournit une copie des données traitées sur demande. Des frais raisonnables peuvent être facturés pour toute copie supplémentaire.
Si la demande est faite par voie électronique, la réponse sera fournie dans un format électronique courant, sauf demande contraire.

IV.1. Droit de rectification

La personne concernée a le droit d’obtenir, sans retard injustifié, la rectification de ses données personnelles inexactes.
Elle peut aussi demander à compléter ses données incomplètes, y compris par une déclaration complémentaire.

IV.2. Droit à l’effacement (« droit à l’oubli »)

La personne concernée peut demander l’effacement de ses données personnelles sans délai lorsque :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • elle retire son consentement et il n’existe pas d’autre base légale au traitement ;
  • elle s’oppose au traitement et aucun motif légitime impérieux ne le justifie ;
  • les données ont été traitées illicitement ;
  • l’effacement est requis pour respecter une obligation légale du droit de l’UE ou du droit national ;
  • les données ont été collectées dans le cadre de l’offre de services de la société de l’information.

Ce droit ne s’applique pas si le traitement est nécessaire : à la liberté d’expression et d’information,
au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public,
à des raisons de santé publique, à des fins archivistiques, de recherche scientifique ou statistique,
ou pour l’établissement, l’exercice ou la défense de droits en justice.

IV.3. Droit à la limitation du traitement

La personne concernée peut obtenir la limitation du traitement si :

  • elle conteste l’exactitude des données (durée permettant au Responsable de vérifier) ;
  • le traitement est illicite et elle s’oppose à l’effacement, préférant la limitation ;
  • les données ne sont plus nécessaires au Responsable mais utiles pour des droits en justice ;
  • elle s’est opposée au traitement, dans l’attente de la vérification des motifs légitimes du Responsable.

En cas de limitation, les données ne peuvent être traitées (sauf conservation) qu’avec le consentement de la personne concernée
ou pour des droits en justice, la protection des droits d’autrui, ou des motifs importants d’intérêt public.
La levée de la limitation est notifiée à la personne concernée.

IV.4. Droit à l’information concernant la rectification, l’effacement ou la limitation

La personne concernée peut demander au Responsable d’indiquer les destinataires ayant reçu ses données.
Le Responsable informe tous les destinataires de toute rectification, effacement ou limitation,
sauf si cela est impossible ou implique des efforts disproportionnés.

IV.5. Droit à la portabilité des données

La personne concernée a le droit de recevoir ses données personnelles dans un format structuré,
couramment utilisé et lisible par machine, et de les transmettre à un autre responsable sans obstacle,
lorsque :

  • le traitement est fondé sur le consentement ou nécessaire à un contrat ;
  • et qu’il est effectué à l’aide de procédés automatisés.

Lorsque cela est techniquement possible, la personne peut demander le transfert direct entre responsables.

IV.6. Droit d’opposition

La personne concernée peut s’opposer à tout moment, pour des raisons tenant à sa situation particulière,
au traitement de ses données basé sur l’intérêt légitime ou l’exécution d’une mission publique.
Dans ce cas, le Responsable ne pourra plus traiter les données sauf motifs légitimes impérieux ou droits en justice.

En cas de traitement à des fins de prospection commerciale, la personne concernée peut s’y opposer à tout moment.
Dans ce cas, les données ne seront plus traitées à cette fin.

IV.7. Décision individuelle automatisée, y compris profilage

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé,
y compris le profilage, produisant des effets juridiques ou significatifs à son égard.
Ce droit ne s’applique pas si la décision :

  • est nécessaire pour un contrat ;
  • est autorisée par une loi prévoyant des garanties appropriées ;
  • ou repose sur son consentement explicite.

IV.8. Droit d’être informé d’une violation de données

La personne concernée a le droit d’être informée en cas de violation de ses données personnelles.

IV.9. Droit de retrait du consentement

La personne concernée peut retirer son consentement à tout moment.
Ce retrait n’affecte pas la licéité du traitement fondé sur le consentement avant ce retrait.

IV.10. Droit de réclamation auprès d’une autorité de contrôle

La personne concernée peut introduire une réclamation auprès de l’autorité de contrôle si elle estime
que le traitement viole le Règlement, notamment dans l’État de sa résidence habituelle, de son lieu de travail
ou du lieu de l’infraction présumée.

Autorité compétente :
Autorité nationale hongroise de protection des données et de la liberté de l’information
(adresse postale : 1530 Budapest, Pf. 5. ; siège : 1125 Budapest, Szilágyi Erzsébet fasor 22/c. ;
site : www.naih.hu ; tél. : +36-1-391-1400 ; e-mail : ugyfelszolgalat@naih.hu).

IV.11. Droit à un recours juridictionnel effectif

Si la personne concernée estime que le Responsable viole ses droits en traitant ses données de manière illicite,
elle peut saisir les tribunaux de l’État membre où le Responsable est établi.
Les procédures relatives à la protection des données personnelles sont exemptées de frais de justice.

IV.12. Droit à réparation et indemnisation

En cas de dommage matériel ou moral subi du fait d’une violation du Règlement,
la personne concernée a droit à réparation par le Responsable ou le sous-traitant impliqué.
Le Responsable est responsable de tout dommage causé par un traitement contraire au Règlement,
sauf s’il prouve qu’il n’est en rien responsable de l’événement à l’origine du dommage.
Si plusieurs responsables ou sous-traitants sont impliqués, ils sont solidairement responsables.

V. RÈGLES DE PROCÉDURE RELATIVES À L’EXERCICE DES DROITS

Le Responsable facilite l’exercice des droits des personnes concernées.
Après identification de la personne concernée, il l’informe des mesures prises à la suite de sa demande
sans retard excessif et, en tout état de cause, dans un délai d’un mois à compter de la réception.
Ce délai peut être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.
En cas de prolongation, la personne concernée est informée dans le délai d’un mois.

Si le Responsable ne donne pas suite à la demande, il en informe la personne concernée au plus tard dans un délai d’un mois,
en précisant les raisons du refus ainsi que la possibilité d’introduire une réclamation auprès de l’autorité de contrôle
et d’exercer un recours juridictionnel.

Les informations et mesures relatives à l’exercice des droits sont fournies gratuitement.
Toutefois, si une demande est manifestement infondée ou excessive, le Responsable peut facturer des frais de 3 500 HUF,
en tenant compte des coûts administratifs, ou refuser d’y donner suite.

Les droits énoncés dans le présent Avis peuvent être exercés via n’importe quel moyen de contact du Responsable.
Le Responsable se réserve le droit de demander une preuve d’identité à la personne concernée.

Fait à Budapest, le 1er juin 2025.