ANNEXE N°1
ANNEXE N°1
AVIS DE CONFIDENTIALITÉ DROITS DE LA PERSONNE CONCERNÉE EN MATIÈRE DE TRAITEMENT DE SES DONNÉES PERSONNELLES
AVIS DE CONFIDENTIALITÉ DROITS DE LA PERSONNE CONCERNÉE EN MATIÈRE DE TRAITEMENT DE SES DONNÉES PERSONNELLES
I. INTRODUCTION
I. INTRODUCTION Le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (ci-après : le « Règlement »), impose au Responsable du traitement de prendre les mesures appropriées pour fournir à la personne concernée toutes les informations relatives au traitement des données à caractère personnel, de manière concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples, et de faciliter l’exercice de ses droits. L’obligation d’information préalable de la personne concernée est également prévue par la loi hongroise CXII de 2011 sur l’autodétermination informationnelle et la liberté de l’information. La présente notice d’information est fournie en exécution de ces obligations légales. Cette notice doit être publiée sur le site web de la société ou envoyée à la personne concernée sur demande.
I. INTRODUCTION
I. INTRODUCTION Le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (ci-après : le « Règlement »), impose au Responsable du traitement de prendre les mesures appropriées pour fournir à la personne concernée toutes les informations relatives au traitement des données à caractère personnel, de manière concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples, et de faciliter l’exercice de ses droits. L’obligation d’information préalable de la personne concernée est également prévue par la loi hongroise CXII de 2011 sur l’autodétermination informationnelle et la liberté de l’information. La présente notice d’information est fournie en exécution de ces obligations légales. Cette notice doit être publiée sur le site web de la société ou envoyée à la personne concernée sur demande.
I. INTRODUCTION
I. INTRODUCTION Le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (ci-après : le « Règlement »), impose au Responsable du traitement de prendre les mesures appropriées pour fournir à la personne concernée toutes les informations relatives au traitement des données à caractère personnel, de manière concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples, et de faciliter l’exercice de ses droits. L’obligation d’information préalable de la personne concernée est également prévue par la loi hongroise CXII de 2011 sur l’autodétermination informationnelle et la liberté de l’information. La présente notice d’information est fournie en exécution de ces obligations légales. Cette notice doit être publiée sur le site web de la société ou envoyée à la personne concernée sur demande.
II. IDENTITÉ DU RESPONSABLE DU TRAITEMENT
1. Le présent avis est publié par, et le responsable du traitement est : Nom de la société : Imperial Dental Kft.
Numéro fiscal : 23063077-2-13
Numéro d’immatriculation : 13-09-238569
Siège social : 2083 Solymár, Vörösmarty utca 75
Téléphone / Fax : 1/2250055
Site internet : www.imperialdental.hu
Adresse e-mail : info@imperialdental.hu (ci-après désignée : la « Société » ou « Imperial Dental »)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft.
(Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft. (Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
et Imperial Dental Kft. sont considérés comme responsables conjoints du traitement concernant les données des patients ayant une relation contractuelle avec le DMC mais recevant leurs soins chez Imperial Dental.
La prise de rendez-vous, l’administration, la facturation ainsi que la gestion du système de vidéosurveillance sont assurées par le DMC dans son propre système, en tant que responsable du traitement indépendant.
Infrastructure technique du traitement des données : – les données sont stockées dans le système Főnix exploité par le DMC ; – Imperial Dental consigne également les données médicales nécessaires dans son propre système Flexident à des fins de documentation des soins.
II. IDENTITÉ DU RESPONSABLE DU TRAITEMENT
1. Le présent avis est publié par, et le responsable du traitement est : Nom de la société : Imperial Dental Kft.
Numéro fiscal : 23063077-2-13
Numéro d’immatriculation : 13-09-238569
Siège social : 2083 Solymár, Vörösmarty utca 75
Téléphone / Fax : 1/2250055
Site internet : www.imperialdental.hu
Adresse e-mail : info@imperialdental.hu (ci-après désignée : la « Société » ou « Imperial Dental »)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft.
(Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft. (Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
et Imperial Dental Kft. sont considérés comme responsables conjoints du traitement concernant les données des patients ayant une relation contractuelle avec le DMC mais recevant leurs soins chez Imperial Dental.
La prise de rendez-vous, l’administration, la facturation ainsi que la gestion du système de vidéosurveillance sont assurées par le DMC dans son propre système, en tant que responsable du traitement indépendant.
Infrastructure technique du traitement des données : – les données sont stockées dans le système Főnix exploité par le DMC ; – Imperial Dental consigne également les données médicales nécessaires dans son propre système Flexident à des fins de documentation des soins.
II. IDENTITÉ DU RESPONSABLE DU TRAITEMENT
1. Le présent avis est publié par, et le responsable du traitement est : Nom de la société : Imperial Dental Kft.
Numéro fiscal : 23063077-2-13
Numéro d’immatriculation : 13-09-238569
Siège social : 2083 Solymár, Vörösmarty utca 75
Téléphone / Fax : 1/2250055
Site internet : www.imperialdental.hu
Adresse e-mail : info@imperialdental.hu (ci-après désignée : la « Société » ou « Imperial Dental »)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft.
(Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
Traitement conjoint avec Duna Medical Center Kft.
Le Duna Medical Center Kft. (Siège : 1095 Budapest, Lechner Ödön fasor 5 ;
Numéro d’immatriculation : 01-09-191967 ;
Numéro fiscal : 24963145-2-43)
et Imperial Dental Kft. sont considérés comme responsables conjoints du traitement concernant les données des patients ayant une relation contractuelle avec le DMC mais recevant leurs soins chez Imperial Dental.
La prise de rendez-vous, l’administration, la facturation ainsi que la gestion du système de vidéosurveillance sont assurées par le DMC dans son propre système, en tant que responsable du traitement indépendant.
Infrastructure technique du traitement des données : – les données sont stockées dans le système Főnix exploité par le DMC ; – Imperial Dental consigne également les données médicales nécessaires dans son propre système Flexident à des fins de documentation des soins.
II. DÉLÉGUÉS AU TRAITEMENT DES DONNÉES
2. Un délégué au traitement (sous-traitant) est une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (article 4, paragraphe 8 du RGPD).
3. Le recours à un sous-traitant ne nécessite pas le consentement préalable de la personne concernée, mais celle-ci doit en être informée. En conséquence, nous vous informons que, conformément à l'annexe 1 de notre Règlement sur la protection des données, les sous-traitants désignés dans cet annexe sont autorisés à agir aux fins spécifiées.
II. DÉLÉGUÉS AU TRAITEMENT DES DONNÉES
2. Un délégué au traitement (sous-traitant) est une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (article 4, paragraphe 8 du RGPD).
3. Le recours à un sous-traitant ne nécessite pas le consentement préalable de la personne concernée, mais celle-ci doit en être informée. En conséquence, nous vous informons que, conformément à l'annexe 1 de notre Règlement sur la protection des données, les sous-traitants désignés dans cet annexe sont autorisés à agir aux fins spécifiées.
II. DÉLÉGUÉS AU TRAITEMENT DES DONNÉES
2. Un délégué au traitement (sous-traitant) est une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (article 4, paragraphe 8 du RGPD).
3. Le recours à un sous-traitant ne nécessite pas le consentement préalable de la personne concernée, mais celle-ci doit en être informée. En conséquence, nous vous informons que, conformément à l'annexe 1 de notre Règlement sur la protection des données, les sous-traitants désignés dans cet annexe sont autorisés à agir aux fins spécifiées.
II. GARANTIR LA LICÉITÉ DU TRAITEMENT DES DONNÉES
Traitement basé sur le consentement de la personne concernée
1. Si la Société souhaite effectuer un traitement de données fondé sur le consentement, elle doit obtenir le consentement explicite de la personne concernée.
2. Est également considéré comme un consentement valable, le fait que la personne concernée coche une case correspondante lors de la navigation sur le site Internet de la Société, configure ses paramètres techniques pour utiliser des services liés à la société de l'information ou fasse toute autre déclaration ou action indiquant clairement son accord au traitement prévu de ses données personnelles. Le silence, les cases précochées ou l'inactivité ne constituent pas un consentement.
3. Le consentement couvre toutes les activités de traitement ayant la même finalité. Si le traitement poursuit plusieurs finalités, le consentement doit être donné pour chacune d'elles.
4. Si le consentement est donné dans une déclaration écrite couvrant également d'autres sujets (par ex. : contrat de vente ou de services), il doit être clairement distinct, rédigé dans un langage clair et accessible. Toute partie de cette déclaration qui ne respecte pas le RGPD n’a pas de force obligatoire.
5. La Société ne peut conditionner la conclusion ou l’exécution d’un contrat à un consentement au traitement de données non nécessaires à l'exécution dudit contrat.
6. Le retrait du consentement doit être aussi simple que son octroi.
7. Si les données personnelles ont été collectées sur la base du consentement, le responsable du traitement peut continuer à les traiter sans consentement supplémentaire, ou même après retrait du consentement, s’il y est légalement obligé.
8. Les traitements fondés sur le consentement s’effectuent uniquement sur la base d’un consentement volontaire, éclairé et explicite. Ce consentement peut être retiré à tout moment sans justification, en écrivant à info@imperialdental.hu. Traitement fondé sur une obligation légale
9. Lorsque le traitement repose sur une obligation légale, les finalités, la durée de conservation, les données traitées et les destinataires sont définis par les textes de loi applicables.
10. Dans ce cas, l’information de la personne concernée est obligatoire avant le début du traitement, notamment sur la finalité, la base juridique, les destinataires, la durée du traitement et ses droits. Intérêt légitime
11. La Société peut traiter des données sur la base de ses intérêts légitimes. Système de vidéosurveillance
12. Un système de vidéosurveillance fonctionne dans les locaux. Il est exploité par Duna Medical Center Kft., qui est le responsable indépendant du traitement des données ainsi collectées. Ce système vise à garantir la sécurité des biens et des personnes. Les images sont stockées sur les serveurs de DMC. Les droits relatifs à ces enregistrements peuvent être exercés directement auprès de DMC. Prise de rendez-vous, administration et facturation
13. Dans le cadre des soins fournis par le DMC, les rendez-vous, l’administration et la facturation sont réalisés via leur système (Főnix). Le paiement est effectué à la réception du DMC et la facture est émise par celui-ci. Imperial Dental Kft. n’a accès à ces données que dans la mesure nécessaire à la prestation des soins. Exercice des droits de la personne concernée
14. La Société garantit l’exercice des droits des personnes concernées dans tous les traitements de données. Délégué à la protection des données
15. Imperial Dental Kft. a désigné un délégué à la protection des données chargé de veiller au respect des règles relatives à la protection des données.
16. Le délégué est chargé de surveiller les traitements, d’assurer la conformité aux lois et d’assurer la liaison avec l’autorité compétente. Nom du délégué : [à compléter] Adresse e-mail : [à compléter]
17. Les personnes concernées peuvent s’adresser directement au délégué pour toute question ou réclamation. Traitement dans le système national EESZT
18. En Hongrie, le nouveau système e-santé (EESZT) permet l'accès aux données médicales autrefois conservées sous format papier par les patients eux-mêmes.
19. Ce système facilite la circulation des informations vers les personnes autorisées. Il contient des données personnelles et médicales protégées au plus haut niveau (niveau 5). L’opérateur est le Centre national des services de santé (ÁEEK).
20. Une information complémentaire est disponible en annexe n°2 du présent document. Surveillance sur le lieu de travail
21. Dans ses bureaux et zones d’accueil, la Société utilise un système de vidéosurveillance à des fins de protection des personnes, des biens et des secrets commerciaux. Ces enregistrements peuvent inclure l’image et/ou le son, considérés comme des données personnelles.
22. Ce traitement est fondé sur l’intérêt légitime de l’employeur.
23. L’utilisation du système doit être clairement signalée. Chaque caméra doit faire l’objet d’une information spécifique décrivant la finalité, la base légale, la durée de conservation, les destinataires et les droits des personnes.
24. L’entrée dans une zone surveillée vaut consentement implicite, si l’information sur la surveillance est affichée de manière visible.
25. Les enregistrements sont conservés au maximum 3 jours ouvrables, sauf en cas d’utilisation comme preuve dans une procédure. Traitement lié à l’envoi de newsletters
26. Toute personne s’inscrivant à la newsletter via le site web doit cocher une case (non pré-cochée) pour consentir au traitement de ses données. L’information sur le traitement doit être accessible par lien. Le désabonnement est possible à tout moment via le lien prévu ou par message écrit, ce qui entraîne l’effacement immédiat de toutes les données. Données traitées : nom, adresse e-mail, numéro de téléphone.
27. Finalité du traitement : a. envoi de newsletters concernant les produits et services de la Société, b. envoi de documents publicitaires.
28. Base juridique : le consentement explicite de la personne concernée.
29. Destinataires : le personnel de la Société chargé de la relation client et du marketing, ainsi que les prestataires IT en charge de l’hébergement.
30. Durée de conservation : tant que la newsletter est active ou jusqu’au retrait du consentement (demande de suppression).
II. GARANTIR LA LICÉITÉ DU TRAITEMENT DES DONNÉES
Traitement basé sur le consentement de la personne concernée
1. Si la Société souhaite effectuer un traitement de données fondé sur le consentement, elle doit obtenir le consentement explicite de la personne concernée.
2. Est également considéré comme un consentement valable, le fait que la personne concernée coche une case correspondante lors de la navigation sur le site Internet de la Société, configure ses paramètres techniques pour utiliser des services liés à la société de l'information ou fasse toute autre déclaration ou action indiquant clairement son accord au traitement prévu de ses données personnelles. Le silence, les cases précochées ou l'inactivité ne constituent pas un consentement.
3. Le consentement couvre toutes les activités de traitement ayant la même finalité. Si le traitement poursuit plusieurs finalités, le consentement doit être donné pour chacune d'elles.
4. Si le consentement est donné dans une déclaration écrite couvrant également d'autres sujets (par ex. : contrat de vente ou de services), il doit être clairement distinct, rédigé dans un langage clair et accessible. Toute partie de cette déclaration qui ne respecte pas le RGPD n’a pas de force obligatoire.
5. La Société ne peut conditionner la conclusion ou l’exécution d’un contrat à un consentement au traitement de données non nécessaires à l'exécution dudit contrat.
6. Le retrait du consentement doit être aussi simple que son octroi.
7. Si les données personnelles ont été collectées sur la base du consentement, le responsable du traitement peut continuer à les traiter sans consentement supplémentaire, ou même après retrait du consentement, s’il y est légalement obligé.
8. Les traitements fondés sur le consentement s’effectuent uniquement sur la base d’un consentement volontaire, éclairé et explicite. Ce consentement peut être retiré à tout moment sans justification, en écrivant à info@imperialdental.hu. Traitement fondé sur une obligation légale
9. Lorsque le traitement repose sur une obligation légale, les finalités, la durée de conservation, les données traitées et les destinataires sont définis par les textes de loi applicables.
10. Dans ce cas, l’information de la personne concernée est obligatoire avant le début du traitement, notamment sur la finalité, la base juridique, les destinataires, la durée du traitement et ses droits. Intérêt légitime
11. La Société peut traiter des données sur la base de ses intérêts légitimes. Système de vidéosurveillance
12. Un système de vidéosurveillance fonctionne dans les locaux. Il est exploité par Duna Medical Center Kft., qui est le responsable indépendant du traitement des données ainsi collectées. Ce système vise à garantir la sécurité des biens et des personnes. Les images sont stockées sur les serveurs de DMC. Les droits relatifs à ces enregistrements peuvent être exercés directement auprès de DMC. Prise de rendez-vous, administration et facturation
13. Dans le cadre des soins fournis par le DMC, les rendez-vous, l’administration et la facturation sont réalisés via leur système (Főnix). Le paiement est effectué à la réception du DMC et la facture est émise par celui-ci. Imperial Dental Kft. n’a accès à ces données que dans la mesure nécessaire à la prestation des soins. Exercice des droits de la personne concernée
14. La Société garantit l’exercice des droits des personnes concernées dans tous les traitements de données. Délégué à la protection des données
15. Imperial Dental Kft. a désigné un délégué à la protection des données chargé de veiller au respect des règles relatives à la protection des données.
16. Le délégué est chargé de surveiller les traitements, d’assurer la conformité aux lois et d’assurer la liaison avec l’autorité compétente. Nom du délégué : [à compléter] Adresse e-mail : [à compléter]
17. Les personnes concernées peuvent s’adresser directement au délégué pour toute question ou réclamation. Traitement dans le système national EESZT
18. En Hongrie, le nouveau système e-santé (EESZT) permet l'accès aux données médicales autrefois conservées sous format papier par les patients eux-mêmes.
19. Ce système facilite la circulation des informations vers les personnes autorisées. Il contient des données personnelles et médicales protégées au plus haut niveau (niveau 5). L’opérateur est le Centre national des services de santé (ÁEEK).
20. Une information complémentaire est disponible en annexe n°2 du présent document. Surveillance sur le lieu de travail
21. Dans ses bureaux et zones d’accueil, la Société utilise un système de vidéosurveillance à des fins de protection des personnes, des biens et des secrets commerciaux. Ces enregistrements peuvent inclure l’image et/ou le son, considérés comme des données personnelles.
22. Ce traitement est fondé sur l’intérêt légitime de l’employeur.
23. L’utilisation du système doit être clairement signalée. Chaque caméra doit faire l’objet d’une information spécifique décrivant la finalité, la base légale, la durée de conservation, les destinataires et les droits des personnes.
24. L’entrée dans une zone surveillée vaut consentement implicite, si l’information sur la surveillance est affichée de manière visible.
25. Les enregistrements sont conservés au maximum 3 jours ouvrables, sauf en cas d’utilisation comme preuve dans une procédure. Traitement lié à l’envoi de newsletters
26. Toute personne s’inscrivant à la newsletter via le site web doit cocher une case (non pré-cochée) pour consentir au traitement de ses données. L’information sur le traitement doit être accessible par lien. Le désabonnement est possible à tout moment via le lien prévu ou par message écrit, ce qui entraîne l’effacement immédiat de toutes les données. Données traitées : nom, adresse e-mail, numéro de téléphone.
27. Finalité du traitement : a. envoi de newsletters concernant les produits et services de la Société, b. envoi de documents publicitaires.
28. Base juridique : le consentement explicite de la personne concernée.
29. Destinataires : le personnel de la Société chargé de la relation client et du marketing, ainsi que les prestataires IT en charge de l’hébergement.
30. Durée de conservation : tant que la newsletter est active ou jusqu’au retrait du consentement (demande de suppression).
II. GARANTIR LA LICÉITÉ DU TRAITEMENT DES DONNÉES
Traitement basé sur le consentement de la personne concernée
1. Si la Société souhaite effectuer un traitement de données fondé sur le consentement, elle doit obtenir le consentement explicite de la personne concernée.
2. Est également considéré comme un consentement valable, le fait que la personne concernée coche une case correspondante lors de la navigation sur le site Internet de la Société, configure ses paramètres techniques pour utiliser des services liés à la société de l'information ou fasse toute autre déclaration ou action indiquant clairement son accord au traitement prévu de ses données personnelles. Le silence, les cases précochées ou l'inactivité ne constituent pas un consentement.
3. Le consentement couvre toutes les activités de traitement ayant la même finalité. Si le traitement poursuit plusieurs finalités, le consentement doit être donné pour chacune d'elles.
4. Si le consentement est donné dans une déclaration écrite couvrant également d'autres sujets (par ex. : contrat de vente ou de services), il doit être clairement distinct, rédigé dans un langage clair et accessible. Toute partie de cette déclaration qui ne respecte pas le RGPD n’a pas de force obligatoire.
5. La Société ne peut conditionner la conclusion ou l’exécution d’un contrat à un consentement au traitement de données non nécessaires à l'exécution dudit contrat.
6. Le retrait du consentement doit être aussi simple que son octroi.
7. Si les données personnelles ont été collectées sur la base du consentement, le responsable du traitement peut continuer à les traiter sans consentement supplémentaire, ou même après retrait du consentement, s’il y est légalement obligé.
8. Les traitements fondés sur le consentement s’effectuent uniquement sur la base d’un consentement volontaire, éclairé et explicite. Ce consentement peut être retiré à tout moment sans justification, en écrivant à info@imperialdental.hu. Traitement fondé sur une obligation légale
9. Lorsque le traitement repose sur une obligation légale, les finalités, la durée de conservation, les données traitées et les destinataires sont définis par les textes de loi applicables.
10. Dans ce cas, l’information de la personne concernée est obligatoire avant le début du traitement, notamment sur la finalité, la base juridique, les destinataires, la durée du traitement et ses droits. Intérêt légitime
11. La Société peut traiter des données sur la base de ses intérêts légitimes. Système de vidéosurveillance
12. Un système de vidéosurveillance fonctionne dans les locaux. Il est exploité par Duna Medical Center Kft., qui est le responsable indépendant du traitement des données ainsi collectées. Ce système vise à garantir la sécurité des biens et des personnes. Les images sont stockées sur les serveurs de DMC. Les droits relatifs à ces enregistrements peuvent être exercés directement auprès de DMC. Prise de rendez-vous, administration et facturation
13. Dans le cadre des soins fournis par le DMC, les rendez-vous, l’administration et la facturation sont réalisés via leur système (Főnix). Le paiement est effectué à la réception du DMC et la facture est émise par celui-ci. Imperial Dental Kft. n’a accès à ces données que dans la mesure nécessaire à la prestation des soins. Exercice des droits de la personne concernée
14. La Société garantit l’exercice des droits des personnes concernées dans tous les traitements de données. Délégué à la protection des données
15. Imperial Dental Kft. a désigné un délégué à la protection des données chargé de veiller au respect des règles relatives à la protection des données.
16. Le délégué est chargé de surveiller les traitements, d’assurer la conformité aux lois et d’assurer la liaison avec l’autorité compétente. Nom du délégué : [à compléter] Adresse e-mail : [à compléter]
17. Les personnes concernées peuvent s’adresser directement au délégué pour toute question ou réclamation. Traitement dans le système national EESZT
18. En Hongrie, le nouveau système e-santé (EESZT) permet l'accès aux données médicales autrefois conservées sous format papier par les patients eux-mêmes.
19. Ce système facilite la circulation des informations vers les personnes autorisées. Il contient des données personnelles et médicales protégées au plus haut niveau (niveau 5). L’opérateur est le Centre national des services de santé (ÁEEK).
20. Une information complémentaire est disponible en annexe n°2 du présent document. Surveillance sur le lieu de travail
21. Dans ses bureaux et zones d’accueil, la Société utilise un système de vidéosurveillance à des fins de protection des personnes, des biens et des secrets commerciaux. Ces enregistrements peuvent inclure l’image et/ou le son, considérés comme des données personnelles.
22. Ce traitement est fondé sur l’intérêt légitime de l’employeur.
23. L’utilisation du système doit être clairement signalée. Chaque caméra doit faire l’objet d’une information spécifique décrivant la finalité, la base légale, la durée de conservation, les destinataires et les droits des personnes.
24. L’entrée dans une zone surveillée vaut consentement implicite, si l’information sur la surveillance est affichée de manière visible.
25. Les enregistrements sont conservés au maximum 3 jours ouvrables, sauf en cas d’utilisation comme preuve dans une procédure. Traitement lié à l’envoi de newsletters
26. Toute personne s’inscrivant à la newsletter via le site web doit cocher une case (non pré-cochée) pour consentir au traitement de ses données. L’information sur le traitement doit être accessible par lien. Le désabonnement est possible à tout moment via le lien prévu ou par message écrit, ce qui entraîne l’effacement immédiat de toutes les données. Données traitées : nom, adresse e-mail, numéro de téléphone.
27. Finalité du traitement : a. envoi de newsletters concernant les produits et services de la Société, b. envoi de documents publicitaires.
28. Base juridique : le consentement explicite de la personne concernée.
29. Destinataires : le personnel de la Société chargé de la relation client et du marketing, ainsi que les prestataires IT en charge de l’hébergement.
30. Durée de conservation : tant que la newsletter est active ou jusqu’au retrait du consentement (demande de suppression).
III. Traitement des visiteurs sur le site internet de la Société (Cookies)
1. Les visiteurs du site doivent être informés de l’utilisation de cookies, et leur consentement est requis, à l’exception des cookies strictement nécessaires (de session). Informations générales sur les cookies
2. Un cookie est une information envoyée par le site visité au navigateur de l’utilisateur (sous forme de paire clé-valeur), qui est stockée localement et peut être relue lors de visites ultérieures. Les cookies peuvent être valides jusqu’à la fermeture du navigateur ou pour une durée illimitée.
3. Le but principal des cookies est de permettre l’identification de l’utilisateur (ex. : session active ou panier). Ils peuvent aussi servir à suivre les utilisateurs sans qu’ils le sachent, ce qui permet la création de profils (par exemple via Google Analytics, Facebook). Dans ce cas, les cookies peuvent contenir des données personnelles.
4. Types de cookies : a) Cookies strictement nécessaires (de session) : essentiels au bon fonctionnement du site (ex. : maintien de la connexion, panier). Ils stockent uniquement un identifiant de session ; les autres données sont conservées sur le serveur, ce qui les rend plus sûres. Une mauvaise configuration peut exposer au risque de détournement de session (session hijacking). b) Cookies fonctionnels : mémorisent les préférences de l'utilisateur (ex. : langue, affichage). c) Cookies de performance : recueillent des informations sur la manière dont le site est utilisé (ex. : durée de visite, clics). Ces cookies sont souvent placés par des tiers (ex. : Google Analytics, AdWords, Yandex) et peuvent servir à établir des profils utilisateur.
5. Informations sur les cookies Google Analytics : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
6. Informations sur les cookies Google AdWords : https://support.google.com/adwords/answer/2407785?hl=hu
7. L’acceptation des cookies n’est pas obligatoire. L’utilisateur peut configurer son navigateur pour refuser tous les cookies ou être alerté lors de leur envoi. Par défaut, la plupart des navigateurs acceptent les cookies, mais cela peut être désactivé.
8. Paramètres cookies pour les navigateurs les plus utilisés : Google Chrome : https://support.google.com/accounts/answer/61416?hl=hu Firefox : https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amitweboldak-haszn Internet Explorer 11 : http://windows.microsoft.com/hu-hu/internet-explorer/deletemanage-cookies#ie=ie-11 Edge : http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq Safari : https://support.apple.com/hu-hu/HT201265
9. Certaines fonctionnalités du site peuvent ne pas fonctionner correctement sans cookies.
10. Données collectées lors de la visite du site : Adresse IP de l’utilisateur Type de navigateur Caractéristiques du système d’exploitation utilisé (langue) Date et heure de la visite Pages, fonctions ou services consultés Clics réalisés
11. Ces données sont conservées pendant un maximum de 90 jours et utilisées principalement pour enquêter sur des incidents de sécurité.
12. Cookies strictement nécessaires (de session) : But : assurer le fonctionnement du site. Ils permettent de mémoriser les actions de l’utilisateur pendant la visite (navigation, authentification). Ces cookies expirent à la fermeture du navigateur. Base juridique : Article 13/A § (3) de la loi hongroise CVIII de 2001 sur les services du commerce électronique.
13. Cookies fonctionnels : But : améliorer l’efficacité du service, l’expérience utilisateur et le confort d’utilisation du site. Ils enregistrent les préférences de l’utilisateur. Base juridique : consentement de l’utilisateur.
14. Cookies de performance : But : analyse du site et envoi de publicités personnalisées. Ils collectent des données sur le comportement de l’utilisateur. Base juridique : consentement de la personne concernée.
III. Traitement des visiteurs sur le site internet de la Société (Cookies)
1. Les visiteurs du site doivent être informés de l’utilisation de cookies, et leur consentement est requis, à l’exception des cookies strictement nécessaires (de session). Informations générales sur les cookies
2. Un cookie est une information envoyée par le site visité au navigateur de l’utilisateur (sous forme de paire clé-valeur), qui est stockée localement et peut être relue lors de visites ultérieures. Les cookies peuvent être valides jusqu’à la fermeture du navigateur ou pour une durée illimitée.
3. Le but principal des cookies est de permettre l’identification de l’utilisateur (ex. : session active ou panier). Ils peuvent aussi servir à suivre les utilisateurs sans qu’ils le sachent, ce qui permet la création de profils (par exemple via Google Analytics, Facebook). Dans ce cas, les cookies peuvent contenir des données personnelles.
4. Types de cookies : a) Cookies strictement nécessaires (de session) : essentiels au bon fonctionnement du site (ex. : maintien de la connexion, panier). Ils stockent uniquement un identifiant de session ; les autres données sont conservées sur le serveur, ce qui les rend plus sûres. Une mauvaise configuration peut exposer au risque de détournement de session (session hijacking). b) Cookies fonctionnels : mémorisent les préférences de l'utilisateur (ex. : langue, affichage). c) Cookies de performance : recueillent des informations sur la manière dont le site est utilisé (ex. : durée de visite, clics). Ces cookies sont souvent placés par des tiers (ex. : Google Analytics, AdWords, Yandex) et peuvent servir à établir des profils utilisateur.
5. Informations sur les cookies Google Analytics : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
6. Informations sur les cookies Google AdWords : https://support.google.com/adwords/answer/2407785?hl=hu
7. L’acceptation des cookies n’est pas obligatoire. L’utilisateur peut configurer son navigateur pour refuser tous les cookies ou être alerté lors de leur envoi. Par défaut, la plupart des navigateurs acceptent les cookies, mais cela peut être désactivé.
8. Paramètres cookies pour les navigateurs les plus utilisés : Google Chrome : https://support.google.com/accounts/answer/61416?hl=hu Firefox : https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amitweboldak-haszn Internet Explorer 11 : http://windows.microsoft.com/hu-hu/internet-explorer/deletemanage-cookies#ie=ie-11 Edge : http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq Safari : https://support.apple.com/hu-hu/HT201265
9. Certaines fonctionnalités du site peuvent ne pas fonctionner correctement sans cookies.
10. Données collectées lors de la visite du site : Adresse IP de l’utilisateur Type de navigateur Caractéristiques du système d’exploitation utilisé (langue) Date et heure de la visite Pages, fonctions ou services consultés Clics réalisés
11. Ces données sont conservées pendant un maximum de 90 jours et utilisées principalement pour enquêter sur des incidents de sécurité.
12. Cookies strictement nécessaires (de session) : But : assurer le fonctionnement du site. Ils permettent de mémoriser les actions de l’utilisateur pendant la visite (navigation, authentification). Ces cookies expirent à la fermeture du navigateur. Base juridique : Article 13/A § (3) de la loi hongroise CVIII de 2001 sur les services du commerce électronique.
13. Cookies fonctionnels : But : améliorer l’efficacité du service, l’expérience utilisateur et le confort d’utilisation du site. Ils enregistrent les préférences de l’utilisateur. Base juridique : consentement de l’utilisateur.
14. Cookies de performance : But : analyse du site et envoi de publicités personnalisées. Ils collectent des données sur le comportement de l’utilisateur. Base juridique : consentement de la personne concernée.
III. Traitement des visiteurs sur le site internet de la Société (Cookies)
1. Les visiteurs du site doivent être informés de l’utilisation de cookies, et leur consentement est requis, à l’exception des cookies strictement nécessaires (de session). Informations générales sur les cookies
2. Un cookie est une information envoyée par le site visité au navigateur de l’utilisateur (sous forme de paire clé-valeur), qui est stockée localement et peut être relue lors de visites ultérieures. Les cookies peuvent être valides jusqu’à la fermeture du navigateur ou pour une durée illimitée.
3. Le but principal des cookies est de permettre l’identification de l’utilisateur (ex. : session active ou panier). Ils peuvent aussi servir à suivre les utilisateurs sans qu’ils le sachent, ce qui permet la création de profils (par exemple via Google Analytics, Facebook). Dans ce cas, les cookies peuvent contenir des données personnelles.
4. Types de cookies : a) Cookies strictement nécessaires (de session) : essentiels au bon fonctionnement du site (ex. : maintien de la connexion, panier). Ils stockent uniquement un identifiant de session ; les autres données sont conservées sur le serveur, ce qui les rend plus sûres. Une mauvaise configuration peut exposer au risque de détournement de session (session hijacking). b) Cookies fonctionnels : mémorisent les préférences de l'utilisateur (ex. : langue, affichage). c) Cookies de performance : recueillent des informations sur la manière dont le site est utilisé (ex. : durée de visite, clics). Ces cookies sont souvent placés par des tiers (ex. : Google Analytics, AdWords, Yandex) et peuvent servir à établir des profils utilisateur.
5. Informations sur les cookies Google Analytics : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
6. Informations sur les cookies Google AdWords : https://support.google.com/adwords/answer/2407785?hl=hu
7. L’acceptation des cookies n’est pas obligatoire. L’utilisateur peut configurer son navigateur pour refuser tous les cookies ou être alerté lors de leur envoi. Par défaut, la plupart des navigateurs acceptent les cookies, mais cela peut être désactivé.
8. Paramètres cookies pour les navigateurs les plus utilisés : Google Chrome : https://support.google.com/accounts/answer/61416?hl=hu Firefox : https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amitweboldak-haszn Internet Explorer 11 : http://windows.microsoft.com/hu-hu/internet-explorer/deletemanage-cookies#ie=ie-11 Edge : http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq Safari : https://support.apple.com/hu-hu/HT201265
9. Certaines fonctionnalités du site peuvent ne pas fonctionner correctement sans cookies.
10. Données collectées lors de la visite du site : Adresse IP de l’utilisateur Type de navigateur Caractéristiques du système d’exploitation utilisé (langue) Date et heure de la visite Pages, fonctions ou services consultés Clics réalisés
11. Ces données sont conservées pendant un maximum de 90 jours et utilisées principalement pour enquêter sur des incidents de sécurité.
12. Cookies strictement nécessaires (de session) : But : assurer le fonctionnement du site. Ils permettent de mémoriser les actions de l’utilisateur pendant la visite (navigation, authentification). Ces cookies expirent à la fermeture du navigateur. Base juridique : Article 13/A § (3) de la loi hongroise CVIII de 2001 sur les services du commerce électronique.
13. Cookies fonctionnels : But : améliorer l’efficacité du service, l’expérience utilisateur et le confort d’utilisation du site. Ils enregistrent les préférences de l’utilisateur. Base juridique : consentement de l’utilisateur.
14. Cookies de performance : But : analyse du site et envoi de publicités personnalisées. Ils collectent des données sur le comportement de l’utilisateur. Base juridique : consentement de la personne concernée.
V. INFORMATION SUR LES DROITS DE LA PERSONNE CONCERNÉE
1. Résumé des droits de la personne concernée :
a. Information transparente, communication et facilitation de l’exercice des droits ;
b. Droit à l’information préalable lorsque les données sont collectées auprès de la personne concernée ;
c. Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée ;
d. Droit d’accès ;
e. Droit de rectification ;
f. Droit à l’effacement (« droit à l’oubli ») ;
g. Droit à la limitation du traitement ;
h. Obligation de notification relative à la rectification, à l’effacement ou à la limitation ;
i. Droit à la portabilité des données ;
j. Droit d’opposition ;
k. Décision individuelle automatisée, y compris le profilage ;
l. Restrictions ;
m. Notification des violations de données personnelles ;
n. Droit de déposer une plainte auprès d’une autorité de contrôle ;
o. Droit à un recours juridictionnel effectif contre une autorité de contrôle ;
p. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant.
Transparence de l'information, communication et facilitation de l'exercice des droits de la personne concernée
2. Le responsable du traitement fournit à la personne concernée toutes les informations relatives au traitement des données à caractère personnel de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier dans le cas d'informations adressées spécifiquement à des enfants. Les informations sont fournies par écrit ou par tout autre moyen, y compris, si approprié, par voie électronique. À la demande de la personne concernée, les informations peuvent également être fournies oralement, à condition que l'identité de la personne concernée ait été vérifiée par d'autres moyens.
3. Le responsable du traitement doit faciliter l'exercice des droits de la personne concernée.
4. Le responsable du traitement informe la personne concernée, sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des mesures prises à la suite d’une demande d’exercice d’un droit. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation dans un délai d’un mois à compter de la réception de la demande, en indiquant les raisons du report.
5. Si le responsable du traitement ne donne pas suite à la demande de la personne concernée, il en informe celle-ci sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des raisons de son inaction, et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et d’intenter une action en justice.
6. Les informations et toutes communications dans le cadre de l’exercice des droits de la personne concernée sont fournies gratuitement. Toutefois, si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs ou refuser de donner suite à ces demandes.
7. Les règles détaillées sont énoncées à l’article 12 du Règlement.
Droit à l'information préalable – lorsque les données personnelles sont collectées auprès de la personne concernée
8. La personne concernée a le droit d’être informée des faits et des informations relatifs au traitement des données avant le début du traitement. À ce titre, elle doit être informée :
a. de l’identité et des coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
b. des coordonnées du délégué à la protection des données, s’il y en a un ;
c. de la finalité du traitement envisagé des données à caractère personnel ainsi que de la base juridique du traitement ;
d. dans le cas d’un traitement fondé sur l’intérêt légitime, des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e. des destinataires ou des catégories de destinataires des données à caractère personnel, le cas échéant ;
f. le cas échéant, de l’intention du responsable du traitement d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.
9. Pour garantir un traitement loyal et transparent, le responsable du traitement doit fournir à la personne concernée les informations complémentaires suivantes :
a. la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b. l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, ou une limitation du traitement, ou le droit de s’opposer au traitement, ainsi que le droit à la portabilité des données ;
c. lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d. le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
e. si la communication de données à caractère personnel est une obligation légale ou contractuelle ou une condition nécessaire à la conclusion d’un contrat, ainsi que si la personne concernée est tenue de fournir les données à caractère personnel et des conséquences éventuelles du défaut de fourniture de ces données ;
f. l’existence d’une prise de décision automatisée, y compris le profilage, et, au moins dans de tels cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
10. Lorsque le responsable du traitement envisage de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, il doit fournir à la personne concernée, avant ce traitement ultérieur, des informations au sujet de cette autre finalité et toute autre information pertinente mentionnée ci-dessus.
11. Les règles détaillées relatives au droit à l’information préalable sont définies à l’article 13 du Règlement.
Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée
12. Si les données à caractère personnel n’ont pas été obtenues directement auprès de la personne concernée, celle-ci doit être informée par le responsable du traitement, au plus tard dans un délai d’un mois après l’obtention des données ; ou, si les données sont utilisées pour entrer en contact avec la personne concernée, au plus tard lors du premier contact ; ou, s’il est prévu de les communiquer à d’autres destinataires, au plus tard lors de la première communication des données. Cette information inclut également les catégories de données concernées, leur origine, et si elles proviennent de sources accessibles au public.
13. Les dispositions visées au point précédent (droit à l’information préalable) sont applicables mutatis mutandis.
14. Les règles détaillées relatives à ce droit figurent à l’article 14 du Règlement
Droit d’accès
15. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations visées aux articles 13 et 14 du Règlement.
16. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées en vertu de l’article 46 du Règlement.
17. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs.
18. Les règles détaillées relatives au droit d’accès sont définies à l’article 15 du Règlement.
Droit de rectification
19. La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel inexactes la concernant.
20. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
21. Les règles relatives à ce droit sont définies à l’article 16 du Règlement.
22. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a. les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
b. la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
c. la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
d. les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e. les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ;
f. les données ont été collectées dans le cadre de l’offre de services de la société de l’information à des enfants.
23. Le droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire :
a. à l’exercice du droit à la liberté d’expression et d’information ;
b. pour respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
c. pour des raisons de santé publique d’intérêt public ;
d. à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce traitement ;
e. à la constatation, à l’exercice ou à la défense de droits en justice.
24. Les règles détaillées relatives au droit à l’effacement sont définies à l’article 17 du Règlement
Droit à la limitation du traitement
25. Lorsque le traitement est limité, les données à caractère personnel ne peuvent, à l’exception de leur conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou pour des motifs importants d’intérêt public de l’Union ou d’un État membre.
26. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque :
a. l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données ;
b. le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c. le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d. la personne concernée s’est opposée au traitement ; dans ce cas, la limitation s’applique pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
27. Avant que la limitation du traitement ne soit levée, la personne concernée doit en être informée.
28. Les règles pertinentes sont énoncées à l’article 18 du Règlement
Obligation de notification relative à la rectification, à l’effacement ou à la limitation
29. Le responsable du traitement communique à chaque destinataire auquel les données à caractère personnel ont été divulguées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectuée conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18 du Règlement, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement informe la personne concernée au sujet de ces destinataires si celle-ci en fait la demande.
30. Ces règles sont énoncées à l’article 19 du Règlement.
Droit à la portabilité des données
31. Conformément aux conditions énoncées dans le Règlement, la personne concernée a le droit de recevoir les données à caractère personnel la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a. le traitement est fondé sur le consentement ou sur un contrat ; et b. le traitement est effectué à l’aide de procédés automatisés.
32. La personne concernée a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
33. L’exercice du droit à la portabilité des données ne porte pas atteinte à l’article 17 du Règlement (droit à l’effacement). Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Ce droit ne doit pas porter atteinte aux droits et libertés de tiers.
34. Les règles détaillées relatives à ce droit figurent à l’article 20 du Règlement.
Droit d’opposition
35. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
36. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. Si la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
37. Ce droit doit être porté explicitement à l’attention de la personne concernée au plus tard au moment de la première communication avec celle-ci, et cette information doit être présentée clairement et séparément de toute autre information.
38. La personne concernée peut exercer son droit d’opposition par des moyens automatisés utilisant des spécifications techniques.
39. Lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement des données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.
Décision individuelle automatisée, y compris le profilage
40. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
41. Ce droit ne s’applique pas lorsque la décision :
a. est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
b. est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis, qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c. est fondée sur le consentement explicite de la personne concernée.
42. Dans les cas visés aux points a. et c., le responsable du traitement met en œuvre des mesures appropriées pour sauvegarder les droits et libertés ainsi que les intérêts légitimes de la personne concernée, au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
43. Les règles détaillées relatives à ce droit figurent à l’article 22 du Règlement.
Restrictions
44. Le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement ou le sous-traitant est soumis peut restreindre, par voie législative, la portée des droits et obligations (articles 12 à 22, article 34 et article 5) à condition que cette restriction respecte l’essence des droits et libertés fondamentaux.
45. Les conditions de ces restrictions sont énoncées à l’article 23 du Règlement.
Notification des violations de données personnelles
46. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie à la personne concernée dans les meilleurs délais. Cette notification décrit, en termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
a. le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
b. la description des conséquences probables de la violation de données à caractère personnel ;
c. la description des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, les mesures prises pour en atténuer les éventuelles conséquences négatives
47. La notification à la personne concernée n’est pas requise si l’une des conditions suivantes est remplie :
a. le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel concernées par la violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès, comme le chiffrement ;
b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées ne se matérialisera plus ;
c. cela exigerait des efforts disproportionnés. Dans ce cas, une communication publique ou une mesure similaire est utilisée à la place.
48. Les règles détaillées relatives à cette obligation figurent à l’article 34 du Règlement
Droit d’introduire une réclamation auprès d’une autorité de contrôle (recours administratif)
49. La personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’État membre de sa résidence habituelle, de son lieu de travail ou du lieu de l’infraction présumée, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du Règlement. L’autorité de contrôle saisie de la réclamation informe le plaignant de l’état d’avancement de la procédure et de l’issue de celle-ci, y compris de la possibilité d’un recours juridictionnel.
50. Ces règles sont définies à l’article 77 du Règlement.
Si la personne concernée estime que le traitement de ses données personnelles n’est pas conforme à la réglementation en vigueur, elle peut déposer une plainte auprès du responsable du traitement, ainsi qu’auprès de l’autorité de contrôle suivante :
Autorité Nationale de la Protection des Données et de la Liberté de l’Information (NAIH) Adresse : 1055 Budapest, Falk Miksa utca 9–11. Tél. : +36 1 391 1400 E-mail : ugyfelszolgalat@naih.hu Site internet : www.naih.hu
51. Les réclamations relatives aux pratiques de traitement de données de DMC peuvent également être adressées directement à : Duna Medical Center Kft. ; Adresse : 1095 Budapest, Lechner Ödön fasor 5.
Droit à un recours juridictionnel effectif contre une autorité de contrôle
1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit à un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle la concernant.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a également le droit à un recours juridictionnel effectif si l’autorité de contrôle compétente ne traite pas une réclamation ou ne l’informe pas dans un délai de trois mois de l’état d’avancement ou de l’issue de la réclamation introduite.
3. Les procédures à l’encontre d’une autorité de contrôle doivent être introduites devant les juridictions de l’État membre où l’autorité de contrôle a son siège.
4. Lorsqu’une procédure est engagée contre une décision d’une autorité de contrôle ayant fait l’objet d’un avis ou d’une décision du Comité dans le cadre du mécanisme de cohérence, l’autorité de contrôle transmet cet avis ou cette décision à la juridiction concernée.
5. Ces règles sont définies à l’article 78 du Règlement.
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un soustraitant
6. Sans préjudice de tout recours administratif ou extrajudiciaire disponible – y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle –, toute personne concernée a le droit à un recours juridictionnel effectif si elle estime que ses droits ont été violés à la suite d’un traitement de ses données personnelles non conforme au Règlement.
7. Les procédures contre un responsable du traitement ou un sous-traitant doivent être introduites devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant a un établissement. Une telle procédure peut également être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le soustraitant est une autorité publique agissant dans l’exercice de ses prérogatives de puissance publique.
8. Ces règles sont définies à l’article 79 du Règlement.
9. Imperial Dental applique des mesures informatiques, organisationnelles et techniques pour assurer la protection des données pendant le traitement. En cas d’incident de sécurité des données, nous en informons l’autorité de contrôle compétente et, si nécessaire, les personnes concernées, conformément à la législation applicable.
Fait à Budapest, le 1er juillet 2025.
V. INFORMATION SUR LES DROITS DE LA PERSONNE CONCERNÉE
1. Résumé des droits de la personne concernée :
a. Information transparente, communication et facilitation de l’exercice des droits ;
b. Droit à l’information préalable lorsque les données sont collectées auprès de la personne concernée ;
c. Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée ;
d. Droit d’accès ;
e. Droit de rectification ;
f. Droit à l’effacement (« droit à l’oubli ») ;
g. Droit à la limitation du traitement ;
h. Obligation de notification relative à la rectification, à l’effacement ou à la limitation ;
i. Droit à la portabilité des données ;
j. Droit d’opposition ;
k. Décision individuelle automatisée, y compris le profilage ;
l. Restrictions ;
m. Notification des violations de données personnelles ;
n. Droit de déposer une plainte auprès d’une autorité de contrôle ;
o. Droit à un recours juridictionnel effectif contre une autorité de contrôle ;
p. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant.
Transparence de l'information, communication et facilitation de l'exercice des droits de la personne concernée
2. Le responsable du traitement fournit à la personne concernée toutes les informations relatives au traitement des données à caractère personnel de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier dans le cas d'informations adressées spécifiquement à des enfants. Les informations sont fournies par écrit ou par tout autre moyen, y compris, si approprié, par voie électronique. À la demande de la personne concernée, les informations peuvent également être fournies oralement, à condition que l'identité de la personne concernée ait été vérifiée par d'autres moyens.
3. Le responsable du traitement doit faciliter l'exercice des droits de la personne concernée.
4. Le responsable du traitement informe la personne concernée, sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des mesures prises à la suite d’une demande d’exercice d’un droit. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation dans un délai d’un mois à compter de la réception de la demande, en indiquant les raisons du report.
5. Si le responsable du traitement ne donne pas suite à la demande de la personne concernée, il en informe celle-ci sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des raisons de son inaction, et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et d’intenter une action en justice.
6. Les informations et toutes communications dans le cadre de l’exercice des droits de la personne concernée sont fournies gratuitement. Toutefois, si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs ou refuser de donner suite à ces demandes.
7. Les règles détaillées sont énoncées à l’article 12 du Règlement.
Droit à l'information préalable – lorsque les données personnelles sont collectées auprès de la personne concernée
8. La personne concernée a le droit d’être informée des faits et des informations relatifs au traitement des données avant le début du traitement. À ce titre, elle doit être informée :
a. de l’identité et des coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
b. des coordonnées du délégué à la protection des données, s’il y en a un ;
c. de la finalité du traitement envisagé des données à caractère personnel ainsi que de la base juridique du traitement ;
d. dans le cas d’un traitement fondé sur l’intérêt légitime, des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e. des destinataires ou des catégories de destinataires des données à caractère personnel, le cas échéant ;
f. le cas échéant, de l’intention du responsable du traitement d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.
9. Pour garantir un traitement loyal et transparent, le responsable du traitement doit fournir à la personne concernée les informations complémentaires suivantes :
a. la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b. l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, ou une limitation du traitement, ou le droit de s’opposer au traitement, ainsi que le droit à la portabilité des données ;
c. lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d. le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
e. si la communication de données à caractère personnel est une obligation légale ou contractuelle ou une condition nécessaire à la conclusion d’un contrat, ainsi que si la personne concernée est tenue de fournir les données à caractère personnel et des conséquences éventuelles du défaut de fourniture de ces données ;
f. l’existence d’une prise de décision automatisée, y compris le profilage, et, au moins dans de tels cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
10. Lorsque le responsable du traitement envisage de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, il doit fournir à la personne concernée, avant ce traitement ultérieur, des informations au sujet de cette autre finalité et toute autre information pertinente mentionnée ci-dessus.
11. Les règles détaillées relatives au droit à l’information préalable sont définies à l’article 13 du Règlement.
Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée
12. Si les données à caractère personnel n’ont pas été obtenues directement auprès de la personne concernée, celle-ci doit être informée par le responsable du traitement, au plus tard dans un délai d’un mois après l’obtention des données ; ou, si les données sont utilisées pour entrer en contact avec la personne concernée, au plus tard lors du premier contact ; ou, s’il est prévu de les communiquer à d’autres destinataires, au plus tard lors de la première communication des données. Cette information inclut également les catégories de données concernées, leur origine, et si elles proviennent de sources accessibles au public.
13. Les dispositions visées au point précédent (droit à l’information préalable) sont applicables mutatis mutandis.
14. Les règles détaillées relatives à ce droit figurent à l’article 14 du Règlement
Droit d’accès
15. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations visées aux articles 13 et 14 du Règlement.
16. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées en vertu de l’article 46 du Règlement.
17. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs.
18. Les règles détaillées relatives au droit d’accès sont définies à l’article 15 du Règlement.
Droit de rectification
19. La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel inexactes la concernant.
20. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
21. Les règles relatives à ce droit sont définies à l’article 16 du Règlement.
22. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a. les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
b. la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
c. la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
d. les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e. les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ;
f. les données ont été collectées dans le cadre de l’offre de services de la société de l’information à des enfants.
23. Le droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire :
a. à l’exercice du droit à la liberté d’expression et d’information ;
b. pour respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
c. pour des raisons de santé publique d’intérêt public ;
d. à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce traitement ;
e. à la constatation, à l’exercice ou à la défense de droits en justice.
24. Les règles détaillées relatives au droit à l’effacement sont définies à l’article 17 du Règlement
Droit à la limitation du traitement
25. Lorsque le traitement est limité, les données à caractère personnel ne peuvent, à l’exception de leur conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou pour des motifs importants d’intérêt public de l’Union ou d’un État membre.
26. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque :
a. l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données ;
b. le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c. le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d. la personne concernée s’est opposée au traitement ; dans ce cas, la limitation s’applique pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
27. Avant que la limitation du traitement ne soit levée, la personne concernée doit en être informée.
28. Les règles pertinentes sont énoncées à l’article 18 du Règlement
Obligation de notification relative à la rectification, à l’effacement ou à la limitation
29. Le responsable du traitement communique à chaque destinataire auquel les données à caractère personnel ont été divulguées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectuée conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18 du Règlement, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement informe la personne concernée au sujet de ces destinataires si celle-ci en fait la demande.
30. Ces règles sont énoncées à l’article 19 du Règlement.
Droit à la portabilité des données
31. Conformément aux conditions énoncées dans le Règlement, la personne concernée a le droit de recevoir les données à caractère personnel la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a. le traitement est fondé sur le consentement ou sur un contrat ; et b. le traitement est effectué à l’aide de procédés automatisés.
32. La personne concernée a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
33. L’exercice du droit à la portabilité des données ne porte pas atteinte à l’article 17 du Règlement (droit à l’effacement). Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Ce droit ne doit pas porter atteinte aux droits et libertés de tiers.
34. Les règles détaillées relatives à ce droit figurent à l’article 20 du Règlement.
Droit d’opposition
35. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
36. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. Si la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
37. Ce droit doit être porté explicitement à l’attention de la personne concernée au plus tard au moment de la première communication avec celle-ci, et cette information doit être présentée clairement et séparément de toute autre information.
38. La personne concernée peut exercer son droit d’opposition par des moyens automatisés utilisant des spécifications techniques.
39. Lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement des données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.
Décision individuelle automatisée, y compris le profilage
40. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
41. Ce droit ne s’applique pas lorsque la décision :
a. est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
b. est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis, qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c. est fondée sur le consentement explicite de la personne concernée.
42. Dans les cas visés aux points a. et c., le responsable du traitement met en œuvre des mesures appropriées pour sauvegarder les droits et libertés ainsi que les intérêts légitimes de la personne concernée, au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
43. Les règles détaillées relatives à ce droit figurent à l’article 22 du Règlement.
Restrictions
44. Le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement ou le sous-traitant est soumis peut restreindre, par voie législative, la portée des droits et obligations (articles 12 à 22, article 34 et article 5) à condition que cette restriction respecte l’essence des droits et libertés fondamentaux.
45. Les conditions de ces restrictions sont énoncées à l’article 23 du Règlement.
Notification des violations de données personnelles
46. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie à la personne concernée dans les meilleurs délais. Cette notification décrit, en termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
a. le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
b. la description des conséquences probables de la violation de données à caractère personnel ;
c. la description des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, les mesures prises pour en atténuer les éventuelles conséquences négatives
47. La notification à la personne concernée n’est pas requise si l’une des conditions suivantes est remplie :
a. le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel concernées par la violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès, comme le chiffrement ;
b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées ne se matérialisera plus ;
c. cela exigerait des efforts disproportionnés. Dans ce cas, une communication publique ou une mesure similaire est utilisée à la place.
48. Les règles détaillées relatives à cette obligation figurent à l’article 34 du Règlement
Droit d’introduire une réclamation auprès d’une autorité de contrôle (recours administratif)
49. La personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’État membre de sa résidence habituelle, de son lieu de travail ou du lieu de l’infraction présumée, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du Règlement. L’autorité de contrôle saisie de la réclamation informe le plaignant de l’état d’avancement de la procédure et de l’issue de celle-ci, y compris de la possibilité d’un recours juridictionnel.
50. Ces règles sont définies à l’article 77 du Règlement.
Si la personne concernée estime que le traitement de ses données personnelles n’est pas conforme à la réglementation en vigueur, elle peut déposer une plainte auprès du responsable du traitement, ainsi qu’auprès de l’autorité de contrôle suivante :
Autorité Nationale de la Protection des Données et de la Liberté de l’Information (NAIH) Adresse : 1055 Budapest, Falk Miksa utca 9–11. Tél. : +36 1 391 1400 E-mail : ugyfelszolgalat@naih.hu Site internet : www.naih.hu
51. Les réclamations relatives aux pratiques de traitement de données de DMC peuvent également être adressées directement à : Duna Medical Center Kft. ; Adresse : 1095 Budapest, Lechner Ödön fasor 5.
Droit à un recours juridictionnel effectif contre une autorité de contrôle
1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit à un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle la concernant.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a également le droit à un recours juridictionnel effectif si l’autorité de contrôle compétente ne traite pas une réclamation ou ne l’informe pas dans un délai de trois mois de l’état d’avancement ou de l’issue de la réclamation introduite.
3. Les procédures à l’encontre d’une autorité de contrôle doivent être introduites devant les juridictions de l’État membre où l’autorité de contrôle a son siège.
4. Lorsqu’une procédure est engagée contre une décision d’une autorité de contrôle ayant fait l’objet d’un avis ou d’une décision du Comité dans le cadre du mécanisme de cohérence, l’autorité de contrôle transmet cet avis ou cette décision à la juridiction concernée.
5. Ces règles sont définies à l’article 78 du Règlement.
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un soustraitant
6. Sans préjudice de tout recours administratif ou extrajudiciaire disponible – y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle –, toute personne concernée a le droit à un recours juridictionnel effectif si elle estime que ses droits ont été violés à la suite d’un traitement de ses données personnelles non conforme au Règlement.
7. Les procédures contre un responsable du traitement ou un sous-traitant doivent être introduites devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant a un établissement. Une telle procédure peut également être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le soustraitant est une autorité publique agissant dans l’exercice de ses prérogatives de puissance publique.
8. Ces règles sont définies à l’article 79 du Règlement.
9. Imperial Dental applique des mesures informatiques, organisationnelles et techniques pour assurer la protection des données pendant le traitement. En cas d’incident de sécurité des données, nous en informons l’autorité de contrôle compétente et, si nécessaire, les personnes concernées, conformément à la législation applicable.
Fait à Budapest, le 1er juillet 2025.
V. INFORMATION SUR LES DROITS DE LA PERSONNE CONCERNÉE
1. Résumé des droits de la personne concernée :
a. Information transparente, communication et facilitation de l’exercice des droits ;
b. Droit à l’information préalable lorsque les données sont collectées auprès de la personne concernée ;
c. Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée ;
d. Droit d’accès ;
e. Droit de rectification ;
f. Droit à l’effacement (« droit à l’oubli ») ;
g. Droit à la limitation du traitement ;
h. Obligation de notification relative à la rectification, à l’effacement ou à la limitation ;
i. Droit à la portabilité des données ;
j. Droit d’opposition ;
k. Décision individuelle automatisée, y compris le profilage ;
l. Restrictions ;
m. Notification des violations de données personnelles ;
n. Droit de déposer une plainte auprès d’une autorité de contrôle ;
o. Droit à un recours juridictionnel effectif contre une autorité de contrôle ;
p. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant.
Transparence de l'information, communication et facilitation de l'exercice des droits de la personne concernée
2. Le responsable du traitement fournit à la personne concernée toutes les informations relatives au traitement des données à caractère personnel de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier dans le cas d'informations adressées spécifiquement à des enfants. Les informations sont fournies par écrit ou par tout autre moyen, y compris, si approprié, par voie électronique. À la demande de la personne concernée, les informations peuvent également être fournies oralement, à condition que l'identité de la personne concernée ait été vérifiée par d'autres moyens.
3. Le responsable du traitement doit faciliter l'exercice des droits de la personne concernée.
4. Le responsable du traitement informe la personne concernée, sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des mesures prises à la suite d’une demande d’exercice d’un droit. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation dans un délai d’un mois à compter de la réception de la demande, en indiquant les raisons du report.
5. Si le responsable du traitement ne donne pas suite à la demande de la personne concernée, il en informe celle-ci sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande, des raisons de son inaction, et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et d’intenter une action en justice.
6. Les informations et toutes communications dans le cadre de l’exercice des droits de la personne concernée sont fournies gratuitement. Toutefois, si les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs ou refuser de donner suite à ces demandes.
7. Les règles détaillées sont énoncées à l’article 12 du Règlement.
Droit à l'information préalable – lorsque les données personnelles sont collectées auprès de la personne concernée
8. La personne concernée a le droit d’être informée des faits et des informations relatifs au traitement des données avant le début du traitement. À ce titre, elle doit être informée :
a. de l’identité et des coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
b. des coordonnées du délégué à la protection des données, s’il y en a un ;
c. de la finalité du traitement envisagé des données à caractère personnel ainsi que de la base juridique du traitement ;
d. dans le cas d’un traitement fondé sur l’intérêt légitime, des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e. des destinataires ou des catégories de destinataires des données à caractère personnel, le cas échéant ;
f. le cas échéant, de l’intention du responsable du traitement d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.
9. Pour garantir un traitement loyal et transparent, le responsable du traitement doit fournir à la personne concernée les informations complémentaires suivantes :
a. la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b. l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, ou une limitation du traitement, ou le droit de s’opposer au traitement, ainsi que le droit à la portabilité des données ;
c. lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d. le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
e. si la communication de données à caractère personnel est une obligation légale ou contractuelle ou une condition nécessaire à la conclusion d’un contrat, ainsi que si la personne concernée est tenue de fournir les données à caractère personnel et des conséquences éventuelles du défaut de fourniture de ces données ;
f. l’existence d’une prise de décision automatisée, y compris le profilage, et, au moins dans de tels cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
10. Lorsque le responsable du traitement envisage de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, il doit fournir à la personne concernée, avant ce traitement ultérieur, des informations au sujet de cette autre finalité et toute autre information pertinente mentionnée ci-dessus.
11. Les règles détaillées relatives au droit à l’information préalable sont définies à l’article 13 du Règlement.
Droit à l’information lorsque les données ne sont pas collectées auprès de la personne concernée
12. Si les données à caractère personnel n’ont pas été obtenues directement auprès de la personne concernée, celle-ci doit être informée par le responsable du traitement, au plus tard dans un délai d’un mois après l’obtention des données ; ou, si les données sont utilisées pour entrer en contact avec la personne concernée, au plus tard lors du premier contact ; ou, s’il est prévu de les communiquer à d’autres destinataires, au plus tard lors de la première communication des données. Cette information inclut également les catégories de données concernées, leur origine, et si elles proviennent de sources accessibles au public.
13. Les dispositions visées au point précédent (droit à l’information préalable) sont applicables mutatis mutandis.
14. Les règles détaillées relatives à ce droit figurent à l’article 14 du Règlement
Droit d’accès
15. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations visées aux articles 13 et 14 du Règlement.
16. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées en vertu de l’article 46 du Règlement.
17. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Pour toute copie supplémentaire demandée par la personne concernée, le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs.
18. Les règles détaillées relatives au droit d’accès sont définies à l’article 15 du Règlement.
Droit de rectification
19. La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel inexactes la concernant.
20. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
21. Les règles relatives à ce droit sont définies à l’article 16 du Règlement.
22. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a. les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
b. la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
c. la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
d. les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e. les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ;
f. les données ont été collectées dans le cadre de l’offre de services de la société de l’information à des enfants.
23. Le droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire :
a. à l’exercice du droit à la liberté d’expression et d’information ;
b. pour respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
c. pour des raisons de santé publique d’intérêt public ;
d. à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce traitement ;
e. à la constatation, à l’exercice ou à la défense de droits en justice.
24. Les règles détaillées relatives au droit à l’effacement sont définies à l’article 17 du Règlement
Droit à la limitation du traitement
25. Lorsque le traitement est limité, les données à caractère personnel ne peuvent, à l’exception de leur conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou pour des motifs importants d’intérêt public de l’Union ou d’un État membre.
26. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque :
a. l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données ;
b. le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c. le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d. la personne concernée s’est opposée au traitement ; dans ce cas, la limitation s’applique pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
27. Avant que la limitation du traitement ne soit levée, la personne concernée doit en être informée.
28. Les règles pertinentes sont énoncées à l’article 18 du Règlement
Obligation de notification relative à la rectification, à l’effacement ou à la limitation
29. Le responsable du traitement communique à chaque destinataire auquel les données à caractère personnel ont été divulguées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectuée conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18 du Règlement, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement informe la personne concernée au sujet de ces destinataires si celle-ci en fait la demande.
30. Ces règles sont énoncées à l’article 19 du Règlement.
Droit à la portabilité des données
31. Conformément aux conditions énoncées dans le Règlement, la personne concernée a le droit de recevoir les données à caractère personnel la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a. le traitement est fondé sur le consentement ou sur un contrat ; et b. le traitement est effectué à l’aide de procédés automatisés.
32. La personne concernée a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
33. L’exercice du droit à la portabilité des données ne porte pas atteinte à l’article 17 du Règlement (droit à l’effacement). Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Ce droit ne doit pas porter atteinte aux droits et libertés de tiers.
34. Les règles détaillées relatives à ce droit figurent à l’article 20 du Règlement.
Droit d’opposition
35. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
36. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. Si la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
37. Ce droit doit être porté explicitement à l’attention de la personne concernée au plus tard au moment de la première communication avec celle-ci, et cette information doit être présentée clairement et séparément de toute autre information.
38. La personne concernée peut exercer son droit d’opposition par des moyens automatisés utilisant des spécifications techniques.
39. Lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement des données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.
Décision individuelle automatisée, y compris le profilage
40. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
41. Ce droit ne s’applique pas lorsque la décision :
a. est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
b. est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis, qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
c. est fondée sur le consentement explicite de la personne concernée.
42. Dans les cas visés aux points a. et c., le responsable du traitement met en œuvre des mesures appropriées pour sauvegarder les droits et libertés ainsi que les intérêts légitimes de la personne concernée, au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
43. Les règles détaillées relatives à ce droit figurent à l’article 22 du Règlement.
Restrictions
44. Le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement ou le sous-traitant est soumis peut restreindre, par voie législative, la portée des droits et obligations (articles 12 à 22, article 34 et article 5) à condition que cette restriction respecte l’essence des droits et libertés fondamentaux.
45. Les conditions de ces restrictions sont énoncées à l’article 23 du Règlement.
Notification des violations de données personnelles
46. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie à la personne concernée dans les meilleurs délais. Cette notification décrit, en termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
a. le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
b. la description des conséquences probables de la violation de données à caractère personnel ;
c. la description des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, les mesures prises pour en atténuer les éventuelles conséquences négatives
47. La notification à la personne concernée n’est pas requise si l’une des conditions suivantes est remplie :
a. le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel concernées par la violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès, comme le chiffrement ;
b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées ne se matérialisera plus ;
c. cela exigerait des efforts disproportionnés. Dans ce cas, une communication publique ou une mesure similaire est utilisée à la place.
48. Les règles détaillées relatives à cette obligation figurent à l’article 34 du Règlement
Droit d’introduire une réclamation auprès d’une autorité de contrôle (recours administratif)
49. La personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’État membre de sa résidence habituelle, de son lieu de travail ou du lieu de l’infraction présumée, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du Règlement. L’autorité de contrôle saisie de la réclamation informe le plaignant de l’état d’avancement de la procédure et de l’issue de celle-ci, y compris de la possibilité d’un recours juridictionnel.
50. Ces règles sont définies à l’article 77 du Règlement.
Si la personne concernée estime que le traitement de ses données personnelles n’est pas conforme à la réglementation en vigueur, elle peut déposer une plainte auprès du responsable du traitement, ainsi qu’auprès de l’autorité de contrôle suivante :
Autorité Nationale de la Protection des Données et de la Liberté de l’Information (NAIH) Adresse : 1055 Budapest, Falk Miksa utca 9–11. Tél. : +36 1 391 1400 E-mail : ugyfelszolgalat@naih.hu Site internet : www.naih.hu
51. Les réclamations relatives aux pratiques de traitement de données de DMC peuvent également être adressées directement à : Duna Medical Center Kft. ; Adresse : 1095 Budapest, Lechner Ödön fasor 5.
Droit à un recours juridictionnel effectif contre une autorité de contrôle
1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit à un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle la concernant.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a également le droit à un recours juridictionnel effectif si l’autorité de contrôle compétente ne traite pas une réclamation ou ne l’informe pas dans un délai de trois mois de l’état d’avancement ou de l’issue de la réclamation introduite.
3. Les procédures à l’encontre d’une autorité de contrôle doivent être introduites devant les juridictions de l’État membre où l’autorité de contrôle a son siège.
4. Lorsqu’une procédure est engagée contre une décision d’une autorité de contrôle ayant fait l’objet d’un avis ou d’une décision du Comité dans le cadre du mécanisme de cohérence, l’autorité de contrôle transmet cet avis ou cette décision à la juridiction concernée.
5. Ces règles sont définies à l’article 78 du Règlement.
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un soustraitant
6. Sans préjudice de tout recours administratif ou extrajudiciaire disponible – y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle –, toute personne concernée a le droit à un recours juridictionnel effectif si elle estime que ses droits ont été violés à la suite d’un traitement de ses données personnelles non conforme au Règlement.
7. Les procédures contre un responsable du traitement ou un sous-traitant doivent être introduites devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant a un établissement. Une telle procédure peut également être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le soustraitant est une autorité publique agissant dans l’exercice de ses prérogatives de puissance publique.
8. Ces règles sont définies à l’article 79 du Règlement.
9. Imperial Dental applique des mesures informatiques, organisationnelles et techniques pour assurer la protection des données pendant le traitement. En cas d’incident de sécurité des données, nous en informons l’autorité de contrôle compétente et, si nécessaire, les personnes concernées, conformément à la législation applicable.
Fait à Budapest, le 1er juillet 2025.