ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT
1.2.1 A szabályzat karbantartása 5
4.1.2 A személyes adatok kezelésére vonatkozó ajánlások 7
5.1.5 Az adatkezelés korlátozása: 8
5.1.8 Nyilvántartási rendszer: 9
5.1.13 Az érintett hozzájárulása: 9
5.1.14 Adatvédelmi incidens: 9
6.1 A személyes adatok kezelésének elvei a következők: 10
6.2 Az adatkezelés jogszerűsége (jogalapjai) 10
6.3 A hozzájárulás feltételei 12
6.4 A személyes adatok különleges kategóriáinak kezelése_ 12
6.5 Azonosítást nem igénylő adatkezelés 13
6.7 Tájékoztatás és a személyes adatokhoz való hozzáférés 14
6.8 Az érintett hozzáférési joga_ 17
6.9 A helyesbítéshez való jog_ 17
6.10 A törléshez való jog („az elfeledtetéshez való jog”) 18
6.11 Az adatkezelés korlátozásához való jog_ 19
6.13 Az adathordozhatósághoz való jog_ 19
6.14 A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyek_ 20
6.15 Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást 21
8.1 Vezetői elkötelezettség: 23
8.2 A vezető tisztviselő feladatai az adatvédelemmel kapcsolatban. 23
8.2.2 Adatvédelmi tisztviselő_ 24
8.2.4 Adatkezelésre feljogosított személyek 25
9.2.1 Szerverek biztonsága: 27
10.1 Munkavállalók adatainak kezelése: 28
10.1.1 Elektronikus megfigyelés 28
10.1.2 A kezelt adatok köre: 28
10.1.3 Az adatkezelés célja és egyes kamerák elhelyezése: 28
10.1.4 Az adatkezelés időtartama: 29
10.1.6 A személyes adatok kezelésének jogalapja: 29
10.1.7 A személyes adatok megismerésére jogosultak köre, adatfeldolgozás; 30
10.2 Munkára jelentkezők adataival kapcsolatos adatkezelés 30
10.2.1 A vállalkozáshoz történő jelentkezés folyamata: 30
10.2.2 A „berepülő önéletrajzokkal” és a munkaerő-toborzással kapcsolatos általános szabályok: 30
10.2.3 Az „berepülő önéletrajzokra” vonatkozó különleges szabályok: 31
10.2.4 Munkaerő toborzására vonatkozó szabályok: 31
10.2.5 Pályázatokra vonatkozó adatkezelési szabály: 31
10.2.6 Adatkezelés célja és időtartama 31
10.3 A munkaviszonnyal kapcsolatos adatkezelés szabályai. 32
10.3.1 Személyazonosító igazolványok fénymásolása 33
10.3.2 Hozzátartozók adatainak kezelése munkaviszonnyal összefüggésben: 33
10.4 Munkavállalók munkára alkalmas állapotának ellenőrzése során megvalósult adatkezelés: 34
10.4.1 A szabályozás célja: 34
10.4.2 Az ellenőrzés menete: 34
10.4.3 A kezelt adtok köre: 34
10.4.5 Adatkezelés időtartama: 35
10.4.6 A személyes adatok kezelésének jogalapja: 35
10.4.7 Személyes adatok felhasználása: 36
10.5 Ügyfélmegkereséssel kapcsolatos adatkezelés: 36
10.6 Beszállítók és potenciális beszállítók adatainak kezelése_ 36
10.7 Egyéb szerződésekkel kapcsolatos adatkezelések_ 36
10.8 Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából: 37
10.9 Adatkezelés kifizetői kötelezettség teljesítése céljából: 37
10.10 Adatkezelés a Szilvási és Társai Kft. Facebook oldalán: 38
10.11 A Szilvási és Társai Kft. honlapon történő adatkezelés (http:www.szil-coop.hu) 38
10.12 Adatvédelmi incidensek kezelése_ 38
10.12.1 Az incidenskezelés Szerepkörei 38
10.12.2 Incidenskezelési folyamat 38
10.12.3 Incidensek észlelése 39
10.12.4 Incidensek bejelentése 39
10.12.5 Az incidensek nyilvántartása 39
10.12.6 Gyorselemzés, kárenyhítés 39
10.12.7 Az incidens egyértelműen nem jár kockázattal Érintettek számára 40
10.12.8 Döntés az Incidensről 40
10.12.9 Az incidens eszkalálása 41
10.12.11 Bejelentés a felügyeleti hatóságnak 41
10.12.12 Érintettek tájékoztatása 42
10.12.13 Javító intézkedések tervezése és végrehajtása 43
1. Bevezetés
1.1 A szabályzat célja
A Szilvási és Társai Korlátlan Felelőségű Társaság (a továbbiakban: Társaság ) jelen szabályzat megalkotásával és hatályba léptetésével a személyes adatok törvényi követelményeknek és a Társaság üzleti stratégiájának megfelelő kezelését biztosító szabályrendszert hozott létre.
A Társaság a szabályzat által meghatározott rendszer működtetésével a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
A szabályzat célja, hogy alkalmazásával a Társaság megfeleljen az EU 2016/679 számú Általános Adatvédelmi Rendeletének (a továbbiakban: GDPR), és a személyes adatok kezelését érintő magyar jogszabályoknak.
1.2 A szabályzat kezelése
1.2.1 A szabályzat karbantartása
Jelen szabályzatot legalább évente, vagy jogszabályi változásokat, illetve jelentős Társaság i változásokat követően át kell vizsgálni és aktualizálni kell.
A GDPR változása és/vagy a magyarországi vonatkozó jogszabályok változása esetén a szabályzat aktualizálását teljes körűen és késedelem nélkül el kell végezni.
Jelen szabályzat szabályozza az Szilvási és Társai Kft. munkavállalóinak, ügyfeleinek, valamint weblapjának (www.szil-coop.hu ) személyes adatok kezelésével kapcsolatos adatkezelését.
A szabályzat elkészítéséért és rendszeres felülvizsgálatáért a felelős: Adatvédelmi felelős
Az ellenőrzést elvégzi az: Adatvédelmi Tisztviselő
2. Az adatkezelő alapadatai, jogállása:
Név: Szilvási és Társai Korlátlan Felelőségű Társaság
Rövidített név: Szilvási és Társai Kft.
Székhely:6000 Kecskemét, Izsáki út 2.
GDPR besorolás: Vállalkozás, Kis-és Középvállalkozás
Jogállás: Korlátlan felelőségű társaság
Adószáma: 11722120-2-03
Cégjegyzék száma:03-09-119441
Törvényes felügyeleti szerv: Cégbíróság
Képviseli:Szilvási Zoltán
kapcsolati e-mail cím szilvasi.bt@t-online.hu
3. A Szabályzat célja, hatálya
Jelen Szabályzat a Szilvási és Társai Kft.. adatkezelési tevékenységének minden adatkezelésére, adatkezelési tevékenységére vonatkozó belső szabályait tartalmazza, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme és az ilyen adatok szabad áramlása, valamint a GDPR rendeletnek való megfelelés céljából.
A Szilvási és Társai Kft. jelen Szabályzatában a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.
A Szilvási és Társai Kft. a Szabályzatban rögzített eljárások, folyamatok és intézkedések alapján kötelezettséget vállal arra, hogy az adatkezelési tevékenységével kapcsolatos minden adatkezelés megfelel a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.
A Szilvási és Társai Kft. a Szabályzatban rögzítettek szerint a lehető legmagasabb szinten kívánja biztosítani a természetes személyek alapvető jogainak és szabadságainak – így különösen a személyes adatok védelméhez való jognak – az érvényesülését.
A Szilvási és Társai Kft., mint adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a hatályos jogszabályoknak megfelelően történjen.
A Társaság az adatvédelmi tevékenységei során hozott intézkedéseket a meghatározott időszakonként felülvizsgálja és szükség esetén naprakésszé teszi.
3.1 Szabályzat célja:
3.1.1. Egyrészt, hogy érvényre juttassa a személyes adatok kezelésére vonatkozó GDPR rendelet 5. cikkében meghatározott alábbi alapelveket:
- jogszerűség, tisztességes eljárás és átláthatóság elve
- gyermekek kiemelt védelme
- célhoz kötöttség elve
- adattakarékosság elve
- pontosság elve
- korlátozott tárolhatóság elve
- integritás és bizalmas jelleg elve
- elszámoltathatóság elve.
3.1.2. Másrészt, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban Infotv.) figyelembe vételével meghatározza a Szilvási és Társai Kft. által vezetett nyilvántartások működésének törvényes rendjét, valamint biztosítja az adatvédelem alkotmányos elveinek, az adatbiztonság és adatvédelem követelményeinek érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát.
- A Szilvási és Társai Kft., mint adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések fő célja különösen annak biztosítása, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú más személy számára.
3.2 Szabályzat hatálya:
3.2.1 Jelen Szabályzat hatálya azoknak a természetes személyeknek az adataira terjed ki, akik adatait a Szilvási és Társai Kft. bármilyen vonatkozásban kezeli (tehát a Szilvási és Társai Kft. minden szervezeti egységénél folytatott valamennyi személyes adatokat tartalmazó adatkezelésekre), de nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.
4. A Szabályzat alapjául szolgáló jogszabályok
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
- évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
További törvények:
- A munka törvénykönyvéről szóló 2012. évi I. törvény
- A Polgári Törvénykönyvről szóló 2013. évi V. törvény
- A Büntető Törvénykönyvről szóló 2012. évi C. törvény
- Az általános forgalmi adóról szóló 2017. évi CXXVII. törvény
- A számvitelről szóló 2000. évi C. törvény
- A személyi jövedelemadóról szóló 1995. évi CXVII. törvény
- Az adózás rendjéről szóló 2017. évi CL törvény
- A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény
- A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény
- A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény
- Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
- A munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet
4.1.2.1 EU Bizottsági iránymutatások a GDPR alkalmazásához, ARTICLE 29 WORKING PARTY
- WP242 – Iránymutatás az adatok hordozhatóságáról
- WP243 – Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban
- WP244 – Iránymutatás az adatkezelő vagy az adatfeldolgozó fő felügyeleti hatóságának meghatározásához
- WP248 – Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár” -e
- WP250 – Guidelines on Personal data breach notification under Regulation 2016/679
- WP251 –Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679
- WP253 – Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679
- WP259 – Guidelines on Consent under Regulation 2016/679
- WP260 – Guidelines on transparency under Regulation 2016/679
5. Értelmező rendelkezések, Fogalomtár
5.1 A jelen Szabályzat alkalmazása során az alábbi fogalmak alatt a következő értelmező rendelkezések szerinti tartalmat kell érteni:
5.1.1 Személyes adat:
azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
5.1.2 Adatalany/érintett:
bármely meghatározott személyes adat alapján azonosított vagy egyébként – közvetlenül vagy közvetve – azonosítható természetes személy. A személy különösen akkor tekinthető azonosíthatónak, ha őt –közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
5.1.3 Adatbiztonság:
az adatok jogosulatlan megszerzése, módosítása és megsemmisítése elleni technikai és szervezési megoldások rendszere.
5.1.4 Adatkezelés:
a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
5.1.5 Az adatkezelés korlátozása:
a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
5.1.6 Profilalkotás:
személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
5.1.7 Álnevesítés:
a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
5.1.8 Nyilvántartási rendszer:
a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, avagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
5.1.9 Adatkezelő:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
5.1.10 Adatfeldolgozó:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
5.1.11 Címzett:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
5.1.12 Harmadik fél:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
5.1.13 Az érintett hozzájárulása:
az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
5.1.14 Adatvédelmi incidens:
a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
5.1.15 Vállalkozás:
gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.
6. Az adatkezelés elvei:
6.1 A személyes adatok kezelésének elvei a következők:
- A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
- A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- A személyes adatok kezelésének pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ban az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
- A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”);
- A Társaság az adatkezelés során felelős a Szabályzat 6.1.1., 6.1.2., 6.1.3.,.6.1.4., 6.1.5., 6.1.6. pontjainak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
6.2 Az adatkezelés jogszerűsége (jogalapjai)
6.2.1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű. amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez („az érintett hozzájárulása”);
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges („szerződéskötés);
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges („jogi kötelezettség teljesítése”);
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges („létfontosságú érdek”);
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges („közhatalom gyakorlása”);
- az adatkezelés az adatkezelő vagy egy harmadik személy jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek („jog, jogos érdek, érdekmérlegelés”).
6.2.2. A „jog, jogos érdek, érdekmérlegelés” esetköre nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
6.2.3. Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a GDPR 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
- a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
- a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
- a személyes adatok jellegét, különösen pedig azt, hogy a GDPR 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a GDPR 10. cikk szerinti kezeléséről van-e szó;
- azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
- megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
6.3 A hozzájárulás feltételei
6.3.1. Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
6.3.2. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR-t, kötelező erővel nem bír.
6.3.3. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
6.3.4. Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
6.3.5. Ha az érintett hozzájárulásán alapuló adatkezelés alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
6.3.6. Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
6.4 A személyes adatok különleges kategóriáinak kezelése
6.4.1. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
6.4.2. Azokat az eseteket, amikor a Szabályzat 6.4.1. pontja nem alkalmazandó a GDPR 9. cikk (2)-(3) bekezdései tartalmazzák.
6.5 Azonosítást nem igénylő adatkezelés
6.5.1. Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen a GDPR-nak.
6.5.2. Ha a Szabályzat 2.5.1. pontjában említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a GDPR 15-20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.
6.6 Az érintett jogai
6.6.1 Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések
6.6.2. Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkeiben említett valamennyi információt és a GDPR 15-22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
6.6.3. Az adatkezelő elősegíti az érintett GDPR 15-22. cikk szerinti jogainak a gyakorlását. A Szabályzat 18. §-ban említett esetekben az adatkezelő az érintett GDPR 15-22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
6.6.4. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
6.6.5. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
6.6.6. A GDPR 13. és 14. cikk szerinti információkat és a GDPR 15-22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
- a kért tájékoztatás jellegéhez és terjedelméhez igazodó, észszerű összegű díjat számíthat fel, vagy
- megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
6.6.7. A GDPR 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a GDPR 15-21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
6.7 Tájékoztatás és a személyes adatokhoz való hozzáférés
6.7.1. Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:.
- az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei;
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- a GDPR 6. cikk (1) bekezdés f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik személy jogos érdekei;
- adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
6.7.2. A Szabályzat 6.7.1. pontjában említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
- a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
- a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdés a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
- a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
6.7..3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a Szabályzat 3.2.2. pontjában említett minden releváns kiegészítő információról.
6.7.4. A Szabályzat 6.7.1., 6.7.2., 6.7.3. pontjai nem alkalmazandók, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
6.7.5. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő által az érintett rendelkezésére bocsátja a következő információkat:
- az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei;
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- az érintett személyes adatok kategóriái;
- a személyes adatok címzettjei, illetve a címzettek kategóriái, ha ilyen;
- adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
6.7.6. A Szabályzat 6.7.5. pontjában említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
- a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- ha az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontján alapul, az adatkezelő vagy harmadik személy jogos érdekéről;
- az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
- a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdés a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e, és
- a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
6.7.7. Az adatkezelő a Szabályzat 6.7.5. és 6.7..6. pontja szerinti tájékoztatást az alábbiak szerint adja meg:
- a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
- ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
- ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
6.7.8 Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről a célról és a Szabályzat 3.2.6. pontjában említett minden releváns kiegészítő információról.
6.7.9. A Szabályzat 6.7.5, 6.7.6., 6.7.7., 6.7.8. pontjait nem kell alkalmazni, ha és amilyen mértékben:
- az érintett már rendelkezik az információkkal;
- a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben a GDPR 14. cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
- az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
- a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
6.8 Az érintett hozzáférési joga
6.8.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR 15. cikk (1) bekezdésében meghatározott információkhoz hozzáférést kapjon.
6.8.2. Az érintett hozzáférési jogával kapcsolatos további rendelkezéseket a GDPR 15. cikk (2)-(4) bekezdései tartalmazzák.
6.9 A helyesbítéshez való jog
6.9.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
6.10 A törléshez való jog („az elfeledtetéshez való jog”)
6.10.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
6.10.2. Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és a Szabályzat 6.10.1. pontja értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
6.10.3. A Szabályzat 6.10.1. és 6.10.2. pontjai nem alkalmazandók, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a GDPR 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
- a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a Szabályzat 3.5.1. pontjában említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
6.11 Az adatkezelés korlátozásához való jog
6.11.1. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
6.11.2 Ha az adatkezelés a Szabályzat 3.6.1. pontja alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
6.11.3. Az adatkezelő az érintettet, akinek a kérésére a Szabályzat 3.6.1. pontja alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
6.12 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
3.7.1. Az adatkezelő minden olyan címzettet tájékoztat a Szabályzat 6.9.1. pontja, a 6.10.1. pontja, illetve a 6.11.1.-6.11.3. pontjai szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
6.13 Az adathordozhatósághoz való jog
6.13.1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
- az adatkezelés automatizált módon történik.
6.13.2. Az adatok hordozhatóságához való jognak a Szabályzat 6.13.1. pontja szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
6.13.3. A Szabályzat 6.13.1. pontjában említett jog gyakorlása nem sértheti a GDPR 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
6.13.4. A Szabályzat 6.13.1. pontjában említett jog nem érintheti hátrányosan mások jogait és szabadságait.
6.14 A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyek
6.14.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
6.14.2 A Szabályzat 3.9.1. pontjában említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
6.14.3. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
6.14.4. Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
6.15 Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
6.15.1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
6.15.2. A Szabályzat 6.15.1. pontja nem alkalmazandó abban az esetben, ha a döntés:
- az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
- meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
- az érintett kifejezett hozzájárulásán alapul.
6.15.3. A GDPR 22. cikk (2) bekezdés a) és c) pontjában említett esetekben (ha döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; illetőleg ha a döntés az érintett kifejezett hozzájárulásán alapul) az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
6.15.4. A Szabályzat 3.10.2. pontjában említett döntések nem alapulhatnak a személyes adatoknak a GDPR 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a GDPR 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
6.16 Korlátozások
6.16.1. Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a GDPR 12-22. cikkben és a GDPR 34. cikkben foglalt, valamint a GDPR 12-22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az GDPR 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint a GDPR 23. cikk (1) bekezdés a)-j) pontjaiban említettek védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban.
7. Az adatkezelési folyamatok menedzselése, szabályai:
Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és a belső adatvédelmi felelős ellenőrizheti. Az adatvédelmi felelős neve és elérhetősége az 1. sz. mellékletben található.
A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel.
A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni. (2. sz. melléklet)
Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
A Társaság a vezető tisztségviselő – vagy amennyiben kinevezésre vagy megbízásra került – a belső adatvédelmi felelős útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A Társaság a belső adatvédelmi felelős útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat (3. sz. melléklet).
A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségeket az adatfeldolgozóval kötött megbízási szerződésben érvényesítendők. Az adatfeldolgozóval a Társaság az GDPR rendelet és az Infotv. által előírt Adatfeldolgozói szerződést köt ( 4. sz. melléklete).
8. A Társaság adatvédelmi rendszere:
8.1 Vezetői elkötelezettség:
A Társaság vezetése elkötelezett abban, hogy megfelelő intézkedéseket tegyen a természetes személyek személyes adatainak védelmében.
Ezen elkötelezettség jegyében a Társaság vezetése a vállalati stratégiájával összhangban adatvédelmi szabályrendszert alakít ki, vezet be és működtet.
A Társaság vezetése biztosítja az adatvédelmi szabályrendszer céljainak megvalósulásához szükséges erőforrásokat, közvetlenül támogatja az adatvédelmi szabályrendszer működését biztosító személyek munkáját és a szabályrendszer folyamatos fejlesztését.
A Társaság vezetése ezen felül rendszeresen, de minimálisan évente egy alkalommal ellenőrzi és értékeli a személyes adatkezelés folyamatait.
A Társaság mindenkori vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.
A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el egy általa kinevezett vagy megbízott adatvédelmi felelős útján.- a belső adatvédelmi felelős neve és elérhetősége az 1.számú mellékletben található.
8.2 A vezető tisztviselő feladatai az adatvédelemmel kapcsolatban.
8.2.1 Ügyvezető feladatai:
- felelős az érintettek a GDPR rendeletben és a hatályos Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
- felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
- felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy
- jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
- felügyeli a belső adatvédelmi felelős tevékenységét;
- vizsgálatot rendelhet el;
- kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.
8.2.2 Adatvédelmi tisztviselő
A Társaság a GDPR 37. cikk (1) bekezdés a) pontja alapján adatvédelmi tisztviselőt jelöl ki.
Az adatvédelmi tisztviselő hatáskörét, felelősségét és feladatait a munkaköri leírása vagy a megbízási szerződése tartalmazza. A feladat meghatározást az – az .Adatvédelmi tisztviselő feladatai és felelősségeit az 5.sz melléklet tartalmazza.
Legfontosabb feladatai:
- Ellenőrzi a Társaságba a GDPR rendelet elvárásainak és a belső adatvédelemmel kapcsolatos szabályozásoknak való megfelelést, a feladatkörök kijelölését, az adatkezelésben részt vevők képzését és az auditokat,
- Kérésre szakmai tájékoztatást és tanácsot adat adatkezelési kérdésekben, így különösen az adatvédelmi hatásvizsgálatra vonatkozóan, és nyomon követi annak elvégzését
- Kapcsolatot tart, konzultál és együttműködik az adatvédelmi hatósággal
- tájékoztat és szakmai tanácsot ad a Társaságban az adatkezelést végző alkalmazottak részére a GDPR rendelet és a hatályos magyar jogszabályok szerinti kötelezettségeikkel kapcsolatosan
- kezeli az adatvédelmi incidenseket
- Érintetti igényérvényesítési kéréseket intézi
A Társaság biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
A Társaság támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
A Társaság biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el.
Az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és szankcióval nem sújtható.
Az adatvédelmi tisztviselő közvetlenül a Társaság legfelső vezetésének tartozik felelősséggel.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség (ha van ilyen) vagy a személyes adatok kezelésére vonatkozó titoktartási kötelezettség köti. Ez utóbbit a 2.sz melléklet Titoktartási nyilatkozat alapján kell elkészíteni.
Amennyiben az adatvédelmi tisztviselő más feladatokat is ellát, a Társaság biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
- Ez különösen azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a Társaságon belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit, azaz a Társaság en belül nem tölthet be felsővezetői pozíciót (például ügyvezető, üzletág igazgató,).
Az Adatvédelmi Tisztviselő szerepkört a Társaság külső vállalkozó bevonásával is elláthatja. Az 8.2.2 pontban megfogalmazott elvárásokat a külső vállalkozóval szerződéses formában rögzíteni kell.
A Társaság az Adatvédelmi tisztviselő kinevezését követően késedelem nélkül
- bejelentést teszt a területileg illetékes adatvédelmi hatóságnál a kinevezésről.
- a Társaság által kiadott adatvédelmi tájékoztatókban közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét.
- A Társaság adatvédelmi tisztviselőjének elérhetősége: Az 1.sz mellékletben meghatározva
8.2.3 Adatvédelmi felelős
A Társaság tekintettel az adatvédelmi feladatok menedzselésének fontosságára és az operatív feladatok ellátására Adatvédelmi felelőst nevez ki.
Az Adatvédelmi felelős jogállása és feladatköre nem azonos a GDPR 38. és 39. cikkében megadott Adatvédelmi tisztviselő jogállásával, még akkor sem, ha azokat a feladatokat elvégzi.
Az Adatvédelmi felelős hatáskörét, felelősségét és feladatait a munkaköri leírása vagy megbízási szerződése tartalmazza. A feladat meghatározás az Adatvédelmi felelős feladatai és felelősségei 6.sz melléklet tartalmazza.
A Társaság biztosítja, hogy az Adatvédelmi felelős a személyes adatok védelmével kapcsolatos összes ügyben megfelelő módon és időben bekapcsolódjon.
A Társaság támogatja az Adatvédelmi felelős feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az Adatvédelmi felelős szakértői szintű ismereteinek fenntartásához szükségesek.
Az Adatvédelmi maneger a Vállalkozás ügyvezetőjének tartozik felelősséggel.
Az Adatvédelmi felelős kifejezetten a személyes adatok kezelésére vonatkozó titoktartási kötelezettséget vállal az Titoktartási nyilatkozat 2.sz. mellékletben meghatározottak alapján. Amennyiben az Adatvédelmi felelős más feladatokat is ellát, a Társaság biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
A Társaság minden alkalmazottja kisebb-nagyobb mértékben kezel a munkája során személyes adatokat.
A Társaság gondoskodik arról, hogy minden alkalmazottja a személyes adatok kezelésére vonatkozó titoktartási kötelezettséget vállaljon. A titoktartási nyilatkozatokat az Titoktartási nyilatkozat 2.sz. mellékletben meghatározottak alapján kell elkészíteni.
A titoktartási nyilatkozatokat a munkavállalókkal a belépéskor a beléptetést végző humánerőforrás munkatárs tölteti ki, és a adatvédelmi felelős ellenőrzi.
Jelen szabályzat bevezetése előtt munkába állt kollégák esetében a Titoktartási nyilatkozat 2.sz mellékletében meghatározottak szerint a bevezetést követő 30 napon belül alá kell íratni.
9. Adatbiztonsági előírások:
9.1 Fizikai védelem.
A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket
alkalmazza:
- az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók;
- a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
- a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
- a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
- a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
- amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.
9.2 Informatikai védelem:
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság, összhangban
a hatályos informatikai szabályzatának előírásaival, az alábbi intézkedéseket és garanciális elemeket alkalmazza:
- az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a Társaság;
- a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről Társaság rendszeresen, illetve indokolt esetben gondoskodik;
- az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
- a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő
jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
- amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
- a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el a Társaság az adatvesztést;
- a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik;
- a lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt;
- a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
- a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
9.2.1 Szerverek biztonsága:
A Társaság által kezelt személyes adatok áramlását elektronikus módon szerverek segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével. Mind az adattárolókat mind pedig a szervereket külön erre a célra kialakított helyiségben kell elhelyezni. Erre a helyiségre vonatkozóan ki kell alakítani egy hozzáférési jogosultsággal rendelkező munkavállaló bázist, akik engedéllyel férhetnek hozzá ezekhez az eszközökhöz és esetlegesen a rajtuk tárolt adatokhoz. A szerverszobába való belépési jogosultságot a munkavállalónak külön kell igényelnie, amit az Informatika működésért felelős személy és az adatvédelmi felelős bírálja el.
A helyiségbe csak jelen szabályzat Szerverszoba belépési jogosultsága 7. sz. mellékletében meghatározott és tételesen felsorolt személyek léphetnek be.
A személyes adatok tárolásának helyén, a szerverszobákban tárolt szerverek fizikai védelme érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
- a szerverszoba fizikai védelmét zárható biztonsági ajtó biztosítja,
- a szerverszoba klimatizált és tűzjelző berendezéssel ellátott,
- a szerverszobába csak a szerverszoba kulcsfelvételi jogosultsággal rendelkező
személy veheti át a kulcskezelési szabályok alapján a kulcs kezelőjétől a szerverszoba kulcsát,
- a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az adatkezelő,
- aki nem a Társaság alkalmazottja, az nem rendelkezhet kulcsfelvételi engedéllyel,
- a kezelt kulcsok típusa lehet állandó vagy eseti, állandó kulcsfelvételi jogosultság birtokában
dedikált kulccsal rendelkezhet az engedély birtokosa,
- Társaság ezen feladattal megbízott munkatársa a kulcskezelési szabályok alapján a folyamatosan rögzíti a nem dedikált kulcsok felvételét és leadását,
- amennyiben olyan személynek kell tevékenysége ellátása miatt bemenni a szerverszobába, aki nem jogosult a kulcs felvételére vagy nem a Társaság alkalmazottja, akkor minden esetben tartózkodik vele egy olyan személy is a szerverszobában, aki kulcsfelvételi engedéllyel rendelkezik.
9.2.2 Jogosultságkezelés:
A jogosultság kezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Vállalkozást a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez. A szabályozás kiterjed az elektronikus megfigyelőrendszerek informatikai rendszerére és az azokhoz csatlakozó eszközökre.
Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, módosítása, megszűnése) dokumentálni kell.
A személyes adatok biztonsága érdekében a Vállalkozás az alábbi jogosultságkezelési előírásokat alkalmazza:
Alapelvek
- Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az informatikáért felelős személy (a továbbiakban IT-üzemeltető) végzi.
- A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
- El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására nem igényt tartó személyek.
- Adminisztrátori jogosultsággal rendelkező nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az adatkezelő vezető tisztségviselője vagy akadályoztatása esetén helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
- Külső – karbantartó vagy üzemeltető – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásból, jogosulatlan nyilvánosságra hozatalból vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Az Adatkezelő köteles biztosítani, hogy a szervezeten belül csak az indokolt munkavállalónak, szerződéses adatfeldolgozónak, és csak a jogosultsággal rendelkező körben legyen hozzáférése a kezelt személyes adatokhoz.( betekintési jogosultsággal rendelkező személyek 8.sz melléklet)
10. A társaságnál megvalósuló ADATKEZELÉS:
10.1 Munkavállalók adatainak kezelése:
10.1.1 Elektronikus megfigyelés
Az elektronikus megfigyelőrendszer üzemeltetése a hatályos jogi szabályozások alapján, valamint az előírt követelményeknek megfelelően történik az Infotv.,a személy- és vagyonvédelmi, a magánnyomozói tevékenység szabályairól szóló 2005 CXXXIII. törvény ( továbbiakban: Szvtv.) az Mt., továbbá a GDPR vonatkozó rendelkezéseire.
10.1.2 A kezelt adatok köre:
Adatkezelő a kamerás megfigyelés során a telephelyre érkező vásárló, beszállító valamint Munkavállaló képmását, illetve megfigyelés idején és látókörében tanúsított magatartását, tevékenységét kezeli
Adatkezelő kijelenti, hogy a kamerarendszer hangot nem rögzít.
10.1.3 Az adatkezelés célja és egyes kamerák elhelyezése:
A Kamerarendszerrel történő megfigyelés célja:
- a személyvédelem. az Adatkezelő használatában álló területre ( a továbbiakban megfigyelt terület) belépő, ott tartózkodó személyek emberi életének, testi épségének, személyi szabadságának védelme;
- a vagyonvédelem. a megfigyelt területen található épületek ingóságok berendezések, járművek, továbbá a megfigyelt területre belépő, ott tartózkodó személyek vagyontárgyainak védelme;
- munkavállalók munkaviszonyával összefüggő megatartásának ellenőrzése az Mt. 9. és 11§-ával összhangban, a munkavégzés során esetlegesen megvalósuló fegyelmi jogsértés, szabálysértés vagy bűncselekmény bizonyítása érdekében;
- a kamerahasználat célja bűncselekmény megelőzése, a munkavállalók elleni esetleges atrocitások megelőzése, illetve bizonyítási eszközként történő felhasználása;
A kamerarendszer kizárólag az adatkezelő használatában álló magánterület megfigyelésére szolgál, Adatkezelő sem közterületet, sem más magánterületét nem tartja megfigyelés alatt.
A célhoz kötött adatkezelés elve minden egyes kamera látószögével érvényesül. Ennek megfelelően a kamerák látószöge a céljával mindenkor összhangban álló területre irányul. A megfigyelt területen lévő kamerák nyilvántartása és teljes terjedelemben a területen lévő kamera rendszerek üzemeltetéséről szóló szabályzat tartalmazza. A kamerák napra kész nyilvántartásáért és üzemkész állapotáért a kamera üzemeltetéséért felelős személy gondoskodik.
Adatkezelő rejtett kamerát nem üzemeltet, továbbá nem folytat kamerás megfigyelést olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti.
Adatkezelő a kamerarendszert nem használja a Munkavállalók munka végzésének állandó és folyamatos megfigyelésére.
10.1.4 Az adatkezelés időtartama:
Adatkezelő a kamerarendszer által rögzített személyes adatokat a rögzítéstől számított legfeljebb 3 munkanapig őrzi meg.
A felvételek a megőrzési idő leteltével egyidejűleg haladéktalanul, automatikusa felülírással vagy egyéb módon véglegesen törlésre kerülnek.
10.1.5 Adattovábbítás
Adatkezelő a kamerarendszer által rögzített személyes adatokat harmadik személynek nem továbbítja, kivéve ha arra folyamatban lévő eljárás lefolytatása érdekében az eljáró hatóság vagy bíróság megkeresése alapján vonatkozó eljárási törvényben foglaltaknak megfelelően köteles. Adatkezelő az egyes adattovábbításról adattovábbítási nyilvántartást vezet.
Az adatkezelő kifejezett jogszabályi rendelkezés hiányában csak az adott Érintett kifejezett hozzájárulásával adja át harmadik személynek a személyes azonosításra alkalmas adatokat.
10.1.6 A személyes adatok kezelésének jogalapja:
A kamerarendszer alkalmazásával együtt járó adatkezelés jogalapja az adatkezelő jogos érdeke. A jogszabályi rendelkezéseknek való megfelelés érdekében adatkezelő elvégezte az érdekmérlegelés tesztjét, amelynek eredményeképp a következőket állapította meg:
- Adatkezelőnek – megítélése szerint- Jogos érdeke fűződik a megfigyelt területen megvalósuló jogsértések észleléséhez, az elkövető tettenéréséhez, valamint a jogsértő cselekmény megelőzéséhez és bizonyításához;
- Az adatkezelés célja a személy- és vagyonvédelem valamint a munkavállalók munkaviszonnyal összefüggő megatartásának ellenőrzése az adatkezelő jogos érdekének érvényesítése céljából;
- Adatkezelő a rögzített felvételeket és az azon szereplő személyes adatokat kizárólag fegyelmi, bírósági, vagy más hatósági eljárásban bizonyítékként használhatja fel.
- A munkavállaló személyes adatai, magánélete védelméhez fűződő jogát arányosa korlátozza az adatkezelő jelen pontban meghatározott jogos érdeke, és a jogos érdeken alapuló adatkezelés. Adatkezelő a jogos érdek és az adatkezelése szempontjából megvizsgálta mindazon eszközöket és lehetőségeket, amelyek a kívánt – és jelen szabályzatban megjelölt – cél elérése érdekében figyelembe vehető és úgy ítélte meg, hogy a kamerarendszer jelen szabályzatban meghatározott módon történő alkalmazása a magánszférát a lehető legkevésbé korlátozó megoldásnak tekinthető és így megfelel a szükségesség és arányosság követelményeinek.
Ennek érdekében:
- a kamerarendszer a felvételeket automatikusan rögzíti, emberi beavatkozásra nincs lehetőség és a szabályzatban meghatározott megőrzési idő lejáratás követően a felvételek automatikusan és haladéktalanul törlésre kerülnek;
- megfigyelés kizárólag az munkavégzéssel összefüggésben történhet, az munkavállalók magánéletét az adatkezelő semmilyen körülmények között nem ellenőrzi, így az étkezőben, pihenőhelyiségekben, öltözőben, mosdókban nem üzemel kamera;
- a megfigyelés nem irányul a munkavállaló munkavégzésének állandó megfigyelésére;
- Adatkezelő kizárólag a jelen szabályzatban jelzett cél érdekében használhatja fel a felvételeket;
- Adatkezelő minden körülmények között biztosítja a munkavállalóknak a jelen szabályzatban meghatározott jogok gyakorlását.
A fentiek alapján az adatkezelő megítélése szerint a kamerarendszer alkalmazása megfelel a jogos érdeken alapuló adatkezelésre vonatkozó jogszabályi és hatósági követelményeknek.
10.1.7 A személyes adatok megismerésére jogosultak köre, adatfeldolgozás;
A személyes adatok megismerésére, a kamerarendszer által rögzített felvételek visszanézésére az adatkezelés céljára tekintettel kizárólag a ( Elektronikus megfigyeléssel kapcsolatos adatok betekintésének jogosultsága 9. sz melléklet) alapján meghatározott személyeknek van jogosultságuk.
Az előbbiekben meghatározott munkatársak hozzáférési jogosultságának jogalapja és célja , hogy amennyiben olyan hibát észlel, amely valamely jogszabály vagy az adatkezelőre vonatkozó belsőszabályzatban meghatározott előírás megsértésének gyanúját veti fel, akkor lehetőség van az észlelt esettel kapcsolatban hozható rögzített felvételt visszanézni, ami alapján meggyőződhet arról hogy a hiba mire (vagy kire) vezethető vissza. A jogosult személyek ez alapján lehetősége van a szüksége, jogszabályban vagy a belső szabályzatban előírt intézkedéseket megtenni. A felvételek visszanézéséről minden esetben jegyzőkönyv készül a jelen szabályzatban meghatározott feltételek szerint.
Amennyiben a munkavállalóval kapcsolatban, rá vonatkozóan kerül sor a felvétel visszanézésére, adatkezelő biztosítja a lehetőséget a munkavállalónak, hogy a felvételt megtekinthesse. A felvétel megtekintése legalább két hozzáférésre jogosult személy jelenlétében történik, a felvétel megtekintéséről az adatkezelő minden esetben jegyzőkönyvet készít, amelyben szerepel a betekintő(k) személye a betekintés célja és ideje. A jegyzőkönyvet az adatkezelő 3 évig őrzi meg.
10.2 Munkára jelentkezők adataival kapcsolatos adatkezelés
10.2.1 A vállalkozáshoz történő jelentkezés folyamata:
A megfelelő munkavállaló kiválasztásáért az ügyvezető által megbízott szakmai vezető a felelős, így a jelen adatkezeléssel összefüggő feladatok ellátása során a vállalkozás pénzügyi vezetőjével együttműködve kötelesek az érintett jogait biztosítani.
10.2.2 A „berepülő önéletrajzokkal” és a munkaerő-toborzással kapcsolatos általános szabályok:
A Vállalkozás a munkára jelentkezés céljából érkezett személyes adatokat tartalmazó önéletrajzok (továbbiakban: Ö.R) esetén nem tesz különbséget azok érkezésének módja között: azonos elbírálás alá esik a papíralapon és az elektronikus módon érkezett Ö.R.
Fő szabály szerint az önéletrajzokat későbbi felhasználás céljából kategorizálja a Vállalkozás, a később megüresedő vagy betöltendővé váló pozíciók miatt papíralapon is eltárolja. Az eltárolt önéletrajzokat egy év elteltével megsemmisíti, lévén ennyi idő elteltével már vélhetően nem relevánsak a munkakeresés szempontjából az adatok.
Minden, az Vállalkozás előtt feltárt Ö.R esetében az adatkezelésre az GDPR II fejezet 7 cikk ad jogalapot, amely szerint „az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell”. Az adatkezeléshez adott vélelmezett hozzájárulás visszavonható, így az érintett jelen szabályzat szerint meghatározottak alapján visszavonhatja hozzájárulását.
10.2.3 Az „berepülő önéletrajzokra” vonatkozó különleges szabályok:
A nem meghirdetett álláshelyre való jelentkezés esetén a Vállalkozás válaszlevelet küld a jelentkezőnek, amelyben tájékoztatja az adatkezelés tényéről, jogalapjáról és az adatkezelés elleni tiltakozás formáiról. A „Válaszlevél beérkező „berepülő önéletrajzokra” című válasz a szabályzat 6. sz. melléklete.
10.2.4 Munkaerő toborzására vonatkozó szabályok:
A Vállalkozás a Ö.R-kat fő szabály szerint a későbbi felhasználás céljából eltárolja Az Ö.R-t és az azon szereplő személyes adatokat a Vállalkozás a szabályzatban foglaltak szerint kezeli. Erre vonatkozóan tájékoztatást küld Társaság – a tájékoztatás szövege a szabályzat 7. sz. melléklete.
10.2.5 Pályázatokra vonatkozó adatkezelési szabály:
A Vállalkozó által meghirdetett állások történő jelentkezés és annak elbírálása során Adatkezelő a Pályázóval összefüggésben a Pályázó által a jelentkezés során, az általa beküldött önéletrajzban vagy más módon megadott alábbi személyes adatokat kezeli:
- személyes adatok:
fénykép;
lakcím;
születési év;
állampolgárság;
nem;
telefonszám;
- tanulmányok:
végzettség típusa, neve, intézmény neve, befejezés időpontja;
IT ismeret, certifikáció;
nyelvtudás; nyelv szint,megszerzés ideje;
jogosítvány típusa, megszerzés ideje;
egyéb ismeretek.
- munkatapasztalat:
foglalkoztató cég neve;
munkakör megnevezése;
munkavégzés címe;
foglalkoztatás ideje;
munkakör leírása.
Adatkezelő kizárólag olyan különleges adatokat gyűjt a Pályázó írásbeli hozzájárulása alapján, amelyek az adott munkakör betöltéséhez szükségesek, illetve amennyiben a Pályázó maga adja meg ezen adatait és azok a munkakör betöltéséhez nem szükségesek, Adatkezelő haladéktalanul törli a különleges adatokat.
10.2.6 Adatkezelés célja és időtartama
10.2.6.1 Az adatkezelés célja:
- a megjelölt állásajánlattal kapcsolatban a Pályázóval való kapcsolattartás;
- az Adatkezelő által közzétett állásajánlattal kapcsolatban kiválasztási eljárás lefolytatása;
- munkaviszony létrehozásának és fenntartásának elősegítése.
Álláshirdetésre jelentkezés esetén Adatkezelő a személyes adatokat az adatkezelés céljának fennállása alatt, így konkrét állásajánlat esetén az állásajánlattal kapcsolatos kiválasztási eljárás idejéig, illetve addig kezeli, amíg az Érintett nem kéri adat törlését vagy vonja vissza hozzájárulását.
Amennyiben a Pályázó a kiválasztási eljárás során ehhez külön hozzájárul, Adatkezelő a Pályázó önéletrajzát a konkrét állásajánlattal kapcsolatos kiválasztási eljárás lezárását követően is – a Pályázó hozzájárulásának visszavonásáig vagy törlési kérelméig – megőrzi annak érdekében, hogy a Pályázó részére érdeklődésének, illetve képzettségének, adottságaink és igényeinek megfelelő állásajánlatot közvetítsen
10.2.6.2 A személyes adatok kezelésének jogalapja
A személyes adatok kezelése a Pályázó jelen tájékoztatás ismeretében adott önkéntes hozzájárulásán alapul.
10.2.6.3 A személyes adatok megismerésére jogosultak köre
A Pályázóval kapcsolatban kezelt személyes adatokhoz kizárólag az Adatkezelő azon munkavállalói férhetnek hozzá, akik az adott állásajánlattal összefüggő kiválasztási eljárással kapcsolatban eljárási vagy döntési jogosultsággal rendelkeznek.
10.2.6.4 A Munkavállalók jogai és kötelezettségei
Pályázó jogaira a jelen Szabályozás 6. pontjában foglalt rendelkezések irányadók.
Adattárolás módja: papíron és elektronikusa.
10.3 A munkaviszonnyal kapcsolatos adatkezelés szabályai.
A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése.
Vállalkozó a hatályos jogszabályok előírásai alapján köteles adatokat felvenni, és adatokat átadni az állami adó- és vámhatóság irányába biztosítási jogviszony, így munkaviszony létesítése, egyszerűsített foglalkoztatás vagy megbízási jogviszony esetén.
A jogviszony létesítése önkéntes hozzájáruláson alapul, de az adatszolgáltatás az állami adó- és vámhatóság felé, így az adatok felvétele, tehát az adatkezelés kötelező az adózás rendjéről szóló 2017. évi CL. törvény 1. sz. melléklet 3. pontja alapján, valamint az egyszerűsített foglalkoztatásról szóló 2010. évi LXXV. törvény 3. és 11.§ alapján.
Az adatkezelésben érintettek köre: Minden természetes személy, aki az Vállalkozóval munkaviszonyt, vagy egyéb jogviszonyt létesít, amellyel kapcsolatban az Adatkezelőnek bejelentési kötelezettsége fakad.
Kezelt, állami adó- és vámhatóság felé szolgáltatott adatok köre
munkaviszony esetén:
biztosított családi és utóneve*,
adóazonosító jel*,
születési idő*,
biztosítási jogviszonyának kezdete*,
kódja*,
megszűnése*, a
biztosítás szünetelésének időtartama*,
a heti munkaidő*,
a FEOR-szám*, a
TAJ szám*,
a végzettségét, szakképzettségét, szakképesítését, továbbá az
ezt igazoló okiratot kibocsátó intézmény neve és az okirat száma*.
Ha a biztosított nem rendelkezik adóazonosító jellel, a születési családi és utónevét, születési helyét, anyja születési családi és utónevét és a biztosított állampolgárságát is kötelező bejelenteni*,
bankszámlaszám,
személyazonosító igazolvány száma,
telefonszám,
e-mail cím,
érintett személyes képmása,
idegen nyelv tudása,
munkakör,
munkaköri leírás,
Kezelt adatok köre megbízási jogviszony esetén a fentieken túl: bruttó megbízási díj, nettó megbízási díj*, bankszámlaszám, feladatvégzés helye. A *-gal jelölt adatok kezelése és elsőfokú adóhatóság felé történő bejelentése a 2017. évi CL. törvény 1. melléklet 3. pontja alapján kötelező.
A fentieken túl az Adatkezelő a következő adatok megadását kéri az érintettektől az alábbi célokból:
telefonszám kapcsolattartás céljából;
e-mail cím kapcsolattartás céljából
10.3.1 Személyazonosító igazolványok fénymásolása
A Vállalkozás – összhangban a NAIH álláspontjával – nem készít fénymásolatot személyazonosító igazolványokról. A hatósági okmányról készített fénymásolat nem alkalmas a természetes személyek azonosítására, mivel az egyén személyes jelenléte elengedhetetlen a hatósági igazolvány alapján történő személyazonosításhoz. Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. Egy hatósági igazolványról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes hatósági igazolványnak.
Az adatrögzítés és az adatminőség elvének megtartása céljából a Társaság azonban az újonnan belépő vagy adatot módosító munkavállalók azonosító igazolványairól maszkolt fénymásolatot (vagy szkennelt képet – együtt: fénymásolat) készíthet. A fénymásolás során az adatkezelő az igazolvány csak azon részeit hagyja fénymásolásra alkalmas, a továbbiakban olvasható állapotban, amely adatokat a munkavállaló a belépése során egyébként is köteles magáról megadni. A fénymásolat ebben az esetben az adategyeztetés céljából készül. A fénymásolatot a Társaság azonnal és visszavonhatatlanul törli vagy megsemmisíti a munkavállaló által kitöltött belépőpapírokon és a maszkolt igazolvány-fénymásolatokon szereplő adatok a Társaság által kijelölt munkatársa általi összehasonlítását, de legkésőbb a fénymásolat készültét követő 30 nap elteltével.
10.3.2 Hozzátartozók adatainak kezelése munkaviszonnyal összefüggésben:
A munkaviszony kapcsán a munkavállaló hozzátartozóinak adatait is kezeli a Vállalkozás kedvezmények érvényesítése céljából. Az így beszerzett harmadik személy adatai a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.
Ilyen kedvezmény lehet a pótszabadság, családi adókedvezmény igénybe vétele, adómentes természetbeni juttatásnak minősülő kedvezményes utazási igazolvány igénylés, valamint adómentes iskolakezdési támogatás.
Abban az esetben, ha a munkavállaló harmadik személy adatait adja meg, úgy a harmadik személytől köteles az adatkezeléshez a harmadik személy hozzájárulását megszerezni, amellyel a Vállalkozás igazolni tudja, hogy a harmadik személy adatainak kezelésére felhatalmazással rendelkezik. A nyilatkozat jelen szabályzat 10. sz. melléklete.
adatkezelés célja: munkaviszonnyal összefüggő kedvezmények biztosítása
kezelt adatok köre: munkavállaló közvetlen hozzátartozójának neve, születési neve, születési helye és ideje, állampolgársága, anyja születési neve, lakóhelyének címe, adóazonosító jele, TAJ száma, elérhetősége
adatkezelés jogalapja: az érintett hozzájárulása GDPR II fejezet 7 cikk Infotv. 5. § (1) a)
adattárolás határideje: az adatkezelés céljának megvalósulásáig, fő szabály szerint
- munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnéséig
- munkaviszonyból fakadó jogosultságokkal kapcsolatosan a nyugdíjfolyósításról szóló jogszabályokban meghatározott határideig
adatkezelés módja: papíralapon és elektronikusan
10.4 Munkavállalók munkára alkalmas állapotának ellenőrzése során megvalósult adatkezelés:
10.4.1 A szabályozás célja:
A Munkáltató a munkavédelemről szóló 1993.évi XCIII. törvény (továbbiakban Mvt.) 2.§ (3)-ban a kapott felhatalmazás alapján az alábbiak szerint határozza meg az alkoholos befolyásoltságra vonatkozóan az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek megvalósításával összefüggő ellenőrzés személyes adatok védelmével kapcsolatos szabályait.
A Munkavállaló munkavégzésre alkalmas állapotának ellenőrzésével kapcsolatos általános szabályok és követelmények:
Az alkoholos befolyásoltság ellenőrzése nem járhat a Munkavállaló emberi méltóságának megsértésével így a Munkáltató nem élhet vissza ellenőrzési jogával, illetve azt nem gyakorolhatja annak rendeltetésével ellentétesen.
10.4.2 Az ellenőrzés menete:
Az ellenőrzés eljárási rendjét és menetét a vállalkozás Munkavédelmi előírásai tartalmazzák.
10.4.3 A kezelt adtok köre:
A munkavégzésre alkalmas állapot ellenőrzése során a következő személyes adatokat kezeli:
- Munkavállaló neve;
- ellenőrzés indoka;
- ellenőrzés eredménye (alkohollal befolyásoltság ténye és szintje);
- ellenőrzés során tapasztalt egyéb tünetek;
- az esetlegesen elvégzett véralkoholszint vizsgálat eredménye;
- az ellenőrzéssel kapcsolatban alkalmazott intézkedés.
10.4.4 Adatkezelés célja:
Az ellenőrzés célja a Munkavállaló munkavégzésre alkalmas állapotának ellenőrzése az Mt. és Mvt. rendelkezéseivel összhangban a biztonságos munkavégzésre, illetve a saját, illetve más személyek életének, testi épségének védelmére, valamint a jogszabályokban és belső szabályzatokban meghatározott egyéb munkavégzésre vonatkozó szabályok biztosítása érdekében.
10.4.5 Adatkezelés időtartama:
A munkavégzésre alkalmas állapot ellenőrzéséből fakadó jogok és kötelezettségek által megalapozott igények érvényesítésére rendelkezésre álló ideig őrzi meg a Munkáltató az ahhoz szükséges személyes adatokat. Ennek értelmében az ellenőrzés során rögzített valamennyi különleges adatot a Munkáltató az ellenőrzés eredménye alapján alkalmazott intézkedés meghozatalát követően töröl, kizárólag az ellenőrzés ténye és annak eredménye kerül megőrzésre a jogérvényesítésre rendelkező ideig.
10.4.6 A személyes adatok kezelésének jogalapja:
A munkáltatói ellenőrzéssel összefüggő adatkezelés jogalapja az Mt. 11.§ bekezdése, az Mvt. 54. § (7) bekezdés b) pontja és 60. § (1) bekezdése, valamint a Munkáltató jogos érdekében alapul GDPR-ban foglaltak szerint. A hivatkozott rendelkezésnek való megfelelés érdekében Munkáltató elvégezte az érdekmérlegelés tesztjét, melynek eredményeképpen a következőket állapította meg:
- Munkáltatónak – megítélése szerint – jogos érdeke fűződik ahhoz, hogy a munkahelyen a biztonságos munkavégzést, illetve a Munkavállalók, illetve más személyek életének, testi munkavégzésre vonatkozó szabályok és követelmények megtartását biztosítsa.
- Az adatkezelés célja a Munkavállaló munkavégzésre alkalmas állapotellenőrzése a Munkáltató jogos érdekének érvényesítése céljából.
- Munkáltató az Adatkezelés során kezelt személyes adatokat kizárólag fegyelmi, bírósági vagy más hatósági eljárásban bizonyítékként használhatja fel.
- A Munkavállaló személyes adatai, magánélete védelméhez fűződő jogát arányosan korlátozza a Munkáltató jelen pontban meghatározott jogos érdeke, és a jogos érdeken alapuló adatkezelés. Munkáltató a jogos érdek és az adatkezelése szempontjából megvizsgálta mindazon eszközöket és lehetőségeket, amelyek a kívánt- és jelen Szabályzatban megjelölt – cél elérése érdekében figyelembe vehető és úgy ítélte meg, hogy a Munkavállaló munkavégzése alkalmas állapotának jelen Szabályzatban meghatározott módon történő ellenőrzése a magánszférát a lehető legkevésbé korlátozó megoldásnak tekinthető és így megfelel a szükségesség és arányosság követelményének. Ennek érdekében
- a Munkáltató a jelen Szabályzatban meghatározott ellenőrzést csak kivételesen, a Munkáltató jogos érdekét sértő vagy veszélyeztető tevékenység, helyzet megalapozott gyanúja esetén vagy szúrópróbaszerűen alkalmazza;
- az ellenőrzés kizárólag a munkavégzéssel összefüggésben történhet, a Munkavállalók magánéletét a Munkáltató semmilyen körülmények között nem ellenőrzi;
- az Ellenőrzés nem irányul a Munkavállaló munkavégzésével kapcsolatos magatartásának állandó megfigyelésére;
- Munkáltató kizárólag a jelen Szabályzatban jelzett cél érdekében használhatja fel az ellenőrzést;
- Munkáltató szabályzatban meghatározott jogok gyakorlását.
A fentiek alapján a Munkáltató megítélése szerint a Munkáltató Munkavállalók munkavégzésére alkalmas állapotának ellenőrzésével összefüggő adatkezelés megfelel a jogos érdeken alapuló adatkezelésre vonatkozó jogszabályi és hatósági követelményeknek.
10.4.7 Személyes adatok felhasználása:
Munkáltató az ellenőrzés során esetlegesen rögzített személyes adatokat kizárólag a jelen Szabályzatban meghatározott esetben és célból használhatja fel.
10.5 Ügyfélmegkereséssel kapcsolatos adatkezelés:
Adatkezelő a beérkezett e-maileket, üzeneteket, telefonon megadott adatokat az érdeklődő nevével és e-mail címével, valamint más, önként megadott személyes adatával együtt, az adatközléstől számított legfeljebb 2 év elteltével törli. A Társaság rendelkezésére bocsátott adatokat kizárólag az ügyféllel egyeztetett közös érdekű célhoz kötötten kezeli. Az adatkezeléssel kapcsolatos tájékoztatást minden esetben biztosítani kell az érintett számára.
Az ügyfelek részéről történt megkeresés jogalapja: Szerződés teljesítése (GDPR 6. cikk b) pont alapján: „b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződésmegkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;”
10.6 Beszállítók és potenciális beszállítók adatainak kezelése
A beszállítók a megrendelés után kiszállítják a megrendelt alapanyagokat. A beszállítókkal folyamatosan tartani kell a kapcsolatot. A kiszállítás és a kapcsolattartás érdekében elengedhetetlenül szükséges a beszállító neve, számlázási címe, adószáma, telephelyének címe, kapcsolattartó neve, telefonszáma és e-mail címe.
A beszállítókkal kapcsolatos adatkezelés időtartama: Az adatkezelés az üzleti kapcsolat megszűnéséig tart, kivéve, ha törvény másképpen nem rendeli. A potenciális beszállító adatait, amennyiben nem jön létre üzleti kapcsolat, későbbi üzleti kapcsolat reményében, hozzájárulásával megőrizzük, kérésére adatait azonnali hatállyal töröljük. Amennyiben a potenciális beszállító árut rendelt, ezzel szerződés jött létre, így a személyes adatainak egy részét, már a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni.
10.7 Egyéb szerződésekkel kapcsolatos adatkezelések
Az adatkezelés jogszerűnek minősül akkor is, ha annak jogalapja szerződés teljesítése, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A Szilvási és Társai Kft. szerződés teljesítése alapján kezeli a vele szerződő természetes személy partner adatait, így tehát a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából a vele szerződött természetes személyek nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, személyi igazolvány számát, lakcímét, jogi személy székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát.
A személyes adatok címzettjei a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkatársi, a könyvelési, adózási, jogi feladatokat ellátó adatfeldolgozó. A személyes adatok tárolásának időtartama, a szerződés megszűnését követő 5 évig terjedhet.
A Szilvási és Társai Kft. az érintett természetes személlyel az adatkezelés megkezdése előtt minden esetben közöli, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, mely tájékoztatás a szerződésben is rögzítésre kerül. Az érintettet személyes adatainak az esetleges adatfeldolgozó részére történő átadásáról szintén előzetesen kell tájékoztatni az érintettet. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési tájékoztatás szövegét jelen Szabályzat 11. sz. melléklet tartalmazza.
A jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai vonatkozásában a kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.
A jogi személy ügyfelek természetes személy képviselői vonatkozásában a személyes adatok kezelésének célja a Szilvási és Társai Kft. jogi személy partnerével kötött szerződés teljesítése és üzleti kapcsolattartás, amelynek jogalapja az a Szerződés teljesítése. A személyes adatok címzettjei, illetve a címzettek kategóriái a Szilvási és Társai Kft. ezzel kapcsolatos feladatokat ellátó munkatársai.
A személyes adatok tárolásának időtartama az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig terjedhet.
A jogi személy képviselőnek vonatkozásában az adatfelvétellel kapcsolatos nyilatkozatot jelen Szabályzat 12. sz. melléklet tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkatársnak ismertetnie kell az érintett személlyel, és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
10.8 Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából:
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó- és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
10.8.1 A kezelt adatok a következők lehetnek:
az általános forgalmi adóról szóló 2017. évi CXXVII. törvény 169.§. és 202.§-a alapján, különösen: adószám, név, cím, adózási státusz;
a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása;
a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása;
a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (a továbbiakban: Szja.) alapján: vállalkozói igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei a Szilvási és Társai Kft. adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó adatfeldolgozói.
10.9 Adatkezelés kifizetői kötelezettség teljesítése céljából:
A Szilvási és Társai Kft. jogi kötelezettség teljesítése jogcímén, törvényben előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli, illetve továbbítja az adatfeldolgozónak azon érintettek – munkatársak, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel az adózás rendjéről szóló 2017. évi CL. törvény (a továbbiakban: Art.) 7.§ 31. szerint kifizetői kapcsolatban áll.
- A kezelt adatok köre kiterjed az Art. 50.§-ában meghatározott adatokra.
- Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Szilvási és Tásra Btt. kezelheti, illetve továbbíthatja az adatfeldolgozónak a munkatársak egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatait adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
- A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
- A személyes adatok címzettjei a Szilvási és Társai Kft. adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkatársai és adatfeldolgozói.
10.10 Adatkezelés a Szilvási és Társai Kft. Facebook oldalán:
- A Szilvási és Társai Kft. szolgáltatásai megismertetése, népszerűsítése céljából Facebook oldalt tart fenn.
- A Szilvási és Társai Kft. Facebook oldalán feltett bármely kérdés, megjegyzés, észrevétel nem minősül hivatalosan benyújtott panasznak, és a látogatók által közzétett személyes adatokat a Szilvási és Társai Kft. nem kezeli.
- A Szilvási és Társai Kft. Facebook oldalának látogatóira a Facebook Adatvédelmi- és Szolgáltatási Feltételei az irányadók.
- Jogellenes, vagy gyalázó, sértő tartalom publikálása esetén a Szilvási és Társai Kft. előzetes értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását.
- A Facebook felhasználók által közzétett jogszabályt sértő adattartalmakért, hozzászólásokért a Szilvási és Társai Kft.-t semmilyen felelősség nem terheli.
- A Szilvási és Társai Kft. nem felel semmilyen, a Facebook működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
10.11 A Szilvási és Társai Kft. honlapon történő adatkezelés (http:www.szil-coop.hu)
10.11.1 A Társaság honlapjához és a társaság által közölt információkhoz bármely külső látogató hozzáférhet. A honlap látogatása során látogatói adatokat nem rögzít. A honlap nem helyez el sütiket (cookie) a látogatók számítógépein.
10.12 Adatvédelmi incidensek kezelése
10.12.1 Az incidenskezelés Szerepkörei
Az adatvédelmi Incidensek menedzseléséért felelős az: Adatvédelmi Tisztviselő,
- akinek felelőssége és feladata a teljes incidenskezelési folyamat menedzselése, az incidenskezelésben résztvevő munkatársak és szakértők munkájának irányítása.
Az Adatvédelmi Tisztviselő amennyiben ennek szükségét látja – kérheti a Társaság más munkatársainak segítségét az incidenskezelési folyamat során.
10.12.2 Incidenskezelési folyamat
A Társaság az adatvédelmi incidensek kezelésére a következő folyamatot vezeti be
10.12.3 Incidensek észlelése
Adatvédelmi incidensekkel, illetve az Információbiztonsági és adatvédelmi kontrollok gyengeségeivel, potenciális veszélyforrásokkal a Társaság valamennyi alkalmazottja, szerződött partnere, ügyfele, sportolója illetve az informatikai rendszereit fejlesztő, működtető és üzemeltető munkatársa szembesülhet, illetve észlelhet incidensre utaló jeleket.
Az incidensek korai felismerése érdekében a Társaság információbiztonsági rendszereket és eljárásokat működtet, melynek segítségével észlelésre kerülnek információbiztonsági és/vagy adatvédelmi események, amelyek adott esetben incidensnek minősülhetnek.
Incidens észlelésekor minden lényeges részletet azonnal fel kell jegyezni, a számítógép képernyőről másolatot kell készíteni (amennyiben releváns).
Általában az incidensek bekövetkezése előtt vagy bekövetkezése során különleges emberi viselkedés és/vagy az informatikai rendszer helytelen, szokatlan működése lép fel. Az esemény későbbi nyomon-követhetősége érdekében fontos, hogy szakmai kompetencia hiányában az incidenst észlelő ne avatkozzon be, saját hatáskörben ne kezdje meg az esemény kivizsgálását. (Kivételt képez ez alól a vagyoni kárelhárítás, illetve az emberi élet védelmében tett intézkedések.)
10.12.4 Incidensek bejelentése
A Társaság adatkezelési tevékenysége kapcsán felmerülő minden személyes adatokra vonatkozó adatvédelmi incidenst indokolatlan késedelem nélkül az Adatvédelmi Tisztviselő) felé kell jelenteni.
Folyamat:
- Az incidenst észlelő késedelem nélkül (azonnal) értesíti az Adatvédelmi Tisztviselőt telefonon az 1.sz mellékletben megjelölt kapcsolattartási telefonszámon vagy személyesen.
10.12.5 Az incidensek nyilvántartása
A bejelentést követően az Adatvédelmi Tisztviselő az incidens adatait rögzíti az 3.sz mellékletben Adatvédelmi incidensek nyilvántartása táblázatban
Az Adatvédelmi Tisztviselő kötelessége, hogy az incidenskezelési folyamat minden lépése – a bejelentéstől az incidens lezárásáig – dokumentált legyen.
A nyilvántartás naprakész vezetése egyben lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze vonatkozó törvényi követelményeinek való megfelelést.
10.12.6 Gyorselemzés, kárenyhítés
A bejelentés követően az Adatvédelmi Tisztviselő azonnal megkezdi az incidensek elemzését.
Már ebben a fázisában is szükséges lehet – az Adatvédelmi Tisztviselő döntése alapján – további szakértők (jogász, informatikus, információbiztonsági elemző) bevonása.
Az Adatvédelmi Tisztviselő információt gyűjt az incidensről. Az incidens körülményeinek vizsgálata és a kezdeti diagnosztikai lépések célja, hogy minél hamarabb, minél részletesebb információ álljon rendelkezésre az incidensről. Cél, hogy meghatározásra kerüljön:
- az incidens jellege
- az érintettek kategóriái és száma
- az érintett személyes adatok kategóriái és száma
- a valószínűsíthető következmények
- az érintett IT infrastruktúra, alkalmazói rendszer környezet, felhasználói kör,
- ki vagy mi okozta az esemény bekövetkezését,
- milyen sérülékenység, gyengeség került kihasználásra.
Ebben a szakaszban elsősorban az incidens káros hatásának a minimalizálásához szükséges ismereteket kell összegyűjteni, feltárni, hogy meghatározható legyen az incidens súlyossági szintje, kiterjedtsége, annak érdekében, hogy a fellépő káreseményt minimalizálni lehessen.
Az elemzés során kiemelt figyelmet kell fordítani az incidenshez kapcsolódó bizonyítékok szakszerű gyűjtésére és megőrzésére.
Az összegyűjtött releváns információkat a kapcsolódó nyilvántartásban rögzíteni kell.
Amennyiben indokolt az incidens természetéhez illeszkedően azonnali válaszlépésként meg kell tenni a szükséges és lehetséges intézkedéseket az incidens elhatárolására. Cél, hogy a fellépő károk minimalizálása érdekében az incidens kiterjedését, a további károkat megakadályozzuk.
Az elhatárolási módszer kiválasztásánál figyelembe kell venni a bizonyítékgyűjtési elvárásokat és az üzleti alkalmazások és egyéb szolgáltatások által támasztott rendelkezésre állási követelményeket.
10.12.7 Az incidens egyértelműen nem jár kockázattal Érintettek számára
Amennyiben a gyorselemzés során egyértelműen bebizonyosodik, hogy a bejelentés téves volt vagy a korábban megtett biztonsági intézkedések (pl.: titkosítás) következtében az Érintettek személyes adatai nincsenek veszélyben az incidens vizsgálata az Adatvédelmi Tisztviselő döntését követően lezárható.
Az Adatvédelmi Tisztviselő az incidenst és a hozzá kapcsolódó összes bizonyítékot jelen utasítás rendelkezéseinek megfelelően az 3 sz. melléklet Adatvédelmi incidensek nyilvántartásban dokumentálja.
A bejelentett incidens lezárható például a következő esetekben:
- Titkosított notebook vagy USB adathordozó elvesztése/ eltulajdonítása esetén.
- Személyes adatok rendelkezésre állásának sérülése esetén abban azt esetben, ha az informatikai mentési rendszerből az adatok hiánytalanul visszaállításra kerültek.
- Személyes adatok integritásának sérülése esetén, ha az informatikai mentési rendszerből az adatok az eredeti állapotban visszaállításra kerültek.
10.12.8 Döntés az Incidensről
Az azonnali kárenyhítő intézkedések megtételét követően, vagy ha lehetséges azzal egyidőben az Adatvédelmi Tisztviselő kiértékeli az incidens a következő szempontok alapján:
- Érintettek száma, köre
- Érintett személyes adatok kategóriái
- Az érintett adatrekordok száma, köre
- Érint-e különleges adatot
- Könnyen/nehezen azonosíthatók az érintett természetes személyek
- Érint-e gyermekeket vagy hátrányos helyzetű/ sérült embereket
- Sérült-e a személyes adatok bizalmassága
- Sérült-e a személyes adatok integritása
- Sérült-e a személyes adatok rendelkezésre állása
- Szándékos károkozás történt?
- A jogsértés (lehetséges) következményei, annak súlyossága
Minden egyes szempont értékelését rögzíteni kell az adatvédelmi incidensek nyilvántartásában.
Az egyes szempontok áttekintését követően amennyiben az incidens nem zárható le az 10.12.7. pontban megfogalmazott szempontok alapján az Adatvédelmi Tisztviselő döntést hoz az incidens eszkalálásáról.
10.12.9 Az incidens eszkalálása
Az Adatvédelmi felelős 10.12.8. pontban meghozott döntése alapján az incidens eszkalálásra kerül, azaz az incidenskezelés további folyamatába bevonásra kerül a Társaság Ügyvezetője /jogi csoportja
Az eszkalációt követően, a kibővített csoport újraértékeli az adatvédelmi incidens kockázatait és döntést hoz az incidens kezeléséről, amely a következő lehet:
- az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve és 10.12.7. pontban meghatározottak mentén lezárásra kerül. (Az Adatvédelmi Tisztviselő rosszul ítélte meg a helyzetet vagy újabb korábban nem ismert körülmény került a vizsgálat fókuszába)
- az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Az incidenskezelést folytatni kell és az incidenst be kell jelenti az illetékes adatvédelmi hatóságnak az 10.12.11. pontban meghatározottak alapján.
- az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Az incidenskezelést folytatni kell és az incidenst be kell jelenti az illetékes adatvédelmi hatóságnak az 10.12.11. pontban meghatározottak alapján és az incidensről tájékoztatni kell az érintetteket az 10.12.12. pontban meghatározottak alapján.
Az incidens magas kockázatúnak kell tekinteni minimálisan a következő esetekben:
- Ha az incidens különleges adatokat, kiemelten gyermekek különleges adatait érinti
- Ha az incidens az adatkezelési folyamatban kezelt összes adatot érinti
- Ha az incidens az érintett pénzügyi adatainak integritását érintette
Az incidenskezelésbe bevontak körén túl bármilyen kommunikáció csak a Társaság Ügyvezetőjének jóváhagyásával lehetséges.
Az incidens természetétől és súlyosságától függően a Társaság tájékoztatja a következő érdekelti köröket:
- az illetékes felügyeleti hatóságot (lásd:12.11. pont)
- az érintetteket (lásd: 12.12 pont)
- a Társaság munkatársait, illetve azok adott csoportjait,
- azokat az adatkezelőket, akik személyes adatokat adtak át a Társaság részre további adatkezelésre vagy adatfeldolgozásra, és az átadott személyes adatok érintettek az incidensben
A média, illetve a fenti felsorolásban nem szereplő személyek és Szervezetek részére tájékoztatás adására csak a ügyvezetője vagy felhatalmazással rendelkező személy jogosult.
Azt az adatvédelmi incidenst, amely valószínűsíthetően kockázattal jár az Adatvédelmi Tisztviselő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH – https://www.naih.hu/).
Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni szükséges a késedelem igazolására szolgáló indokokat is.
A bejelentésnek legalább a következőket kell tartalmaznia (összhangban a hatóság által elvártakkal):
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell a bejelentő Adatvédelmi Tisztviselő nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha nem lehetséges az információkat egyidejűleg közölni, azokat további indokolatlan késedelem nélkül később részletekben kell közölni.
A bejelentéseket minden esetben írásos formában, a hatóság által biztosított felületen / formában kell megtenni.
A bejelentések kapcsán a Társaság Adatvédelmi Tisztviselő
- nyilvántartást vezet a bejelentésektől,
- köteles meggyőződni a bejelentések hatósághoz történő megérkezéséről,
- további kommunikációt folytat az bejelentett incidensek hatósági megítéléséről és a teendőkről.
Arról az adatvédelmi incidensről, amely valószínűsíthetően magas kockázattal jár, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintetteket.
Az érintettek részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:
- a Társaság Adatvédelmi Tisztviselőjének nevét, elérhetőségét,
- az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
- az Társaság által az adatvédelmi incidens javítására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az értesítés összeállítását a Társaság Adatvédelmi Tisztviselője végzi és a Társaság Ügyvezetője hagyja jóvá.
Az értesítéstől el lehet tekinteni, korlátozni lehet, illetve halasztani lehet a következők mérlegelésével:
- a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy a „magas kockázat” a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé, ilyen esetekben az érintetteket nyilvánosan közzétett információk (pl. honlap, média stb.) útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha a Társaság még nem értesítette az érintetteket az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett(ek) tájékoztatását, vagy megállapíthatja a fenti bekezdésben említett feltételek valamelyikének teljesülését.
Az érintettek felé megvalósult tájékoztatásról a Társaság Adatvédelmi Tisztviselője nyilvántartást vezet.
A károk enyhítését és az incidens lokalizálását követően az Adatvédelmi Tisztviselő az incidenst kiváltó ok megtalálásával, meghatározásával foglalkozik. Az javító intézkedések kidolgozásakor a meglévő intézkedéseket mind a szervezési, a technikai és az információbiztonsági területeken át kell tekinteni.
A Társaság Vezetője felelős a javító intézkedések végrehajtásához szükséges erőforrások biztosításáért és a javító intézkedések jóváhagyásáért.
A kidolgozott és jóváhagyott javító intézkedéseket az adatvédelmi incidensek nyilvántartásába be kell vezetni.
11. Igénybevett adatfeldolgozók:
11.1 informatika
Az informatikai rendszerek üzemeltetését külső szolgáltató szerződéses megbízásban látja el. Az általuk, a szerződésben foglalt utasításoknak megfelelően a személyes adatok alábbi körét kezeli:
11.1.1 Adatfeldolgozó neve, elérhetősége:
11.1.2 Az érintettek köre: Munkavállalók Vásárlók, szerződéses partnerek.
11.1.3 A kezelt adatok köre: A szerver biztonsági adatmentésével kapcsolatos személyes adatok
11.1.4 Az adatkezelés célja: Szükséges adat betekintés.
11.2 Könyvelés
11.2.1 Adatfeldolgozó neve, elérhetősége: Tóth Anita egyéni vállalkozó.
11.2.2 Adatfeldolgozó címe: 6000 Kecskemét Bakócz T u. 10
11.2.3 Az érintettek köre: A Szilvási és Társai Kft. munkavállalói
11.2.4 A kezelt adatok köre: Számviteli tv.-ben foglaltaknak megfelelően
11.2.5 Az adatkezelés célja: munkaszerződésben foglalt kötelezettségek teljesítése, jogszabályi megfelelés
11.2.6 Az adatkezelés időtartama, törlési határideje: Munkaszerződés megszűnését követő 8 év
11.3 Üzemorvos:
11.3.1 Adatfeldolgozó neve, elérhetősége: Dr Jakkel Anna
11.3.2 Adatfeldolgozó címe: 6000 Kecskemét Nyíri út 63.
11.3.3 Az érintettek köre: a Szilvási és Társai Kft.. munkavállalói
11.3.4 A kezelt adatok köre: név, születési idő, hely, TAJ szám, munkaköri alkalmasság ténye
11.3.5 Az adatkezelés célja: munkaköri alkalmasság ténye
11.3.6 Az adatkezelés időtartama, törlési határideje: Munkaszerződés megszűnése
11.4 Munkavédelem
11.4.1 Adatfeldolgozó neve: Cenzál Munkavédelmi és Szolgáltató Bt.
11.4.2 Adatfeldolgozó címe: 6000 Kecskemét, Kőhíd út 6
11.4.3 Az érintettek köre: a Szilvási és Társai Kft.. munkavállalói
11.4.4 A kezelt adatok köre: név, születési idő, hely, anyja neve,
11.4.5 Az adatkezelés célja: munkakörhöz szükséges munkavédelmi oktatás rögzítése
11.4.6 Az adatkezelés időtartama, törlési határideje: Munkaszerződés megszűnése
11.5 Tűvédelem.
11.5.1 Adatfeldolgozó neve: Sirok Imre egyéni vállalkozó
11.5.2 Adatfeldolgozó címe: 6503 Baja Mártonszállási út 9
11.5.3 Az érintettek köre: a Szilvási és Társai Kft. munkavállalói
11.5.4 A kezelt adatok köre: név, születési idő, hely, anyja neve,
11.5.5 Az adatkezelés célja: munkakörhöz szükséges munkavédelmi oktatás rögzítése
11.5.6 Az adatkezelés időtartama, törlési határideje: Munkaszerződés megszűnése
11.6 Aktív rendszerek listája:
11.6.1 Bérszámfejtő program Paraméter Bt.
11.6.2 Könyvelő program Softeverest Számítástechnikai bt
11.6.3 Készlet nyilvántartó program: Adrenalin Szoftverház Kft.
12. Zárórendelkezések
Jelen Szabályzat módosítására, felülvizsgálatára a Szilvási és Társai Kft. ügyvezető igazgatója jogosult, melynek módosítása az Infotv. módosítását követően indokolt.
E Szabályzat rendelkezéseit meg kell ismertetni a Szilvási és Társai Kft. valamennyi munkatársával, továbbá a munkavégzésre irányuló szerződésekben elő kell írni, hogy jelen Szabályzat betartása és érvényesítése lényeges munkaköri kötelezettség.
A Szabályzat függelékének módosítása, kiegészítése a jelen Szabályzat módosítását nem igényli.
A jelen Szabályzat rendelkezéseit a Szilvási és Társai Kft.., Szervezeti és Működési Szabályzatával összhangban kell alkalmazni.
Jelen Szabályzat 2018. május 25. napján lép hatályba, kötelezően és közvetlenül alkalmazandó.