Adatvédelmi szabályzat

PREAMBULUM

 

(1) Az Öreghegy Fogadó Kft. (továbbiakban: társaság) tevékenysége során elkötelezett az adatvédelmi és adatbiztonsági előírások betartása iránt. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: infotv.) mindenkor hatályos szabályain túl a társaság vezetője kiadja jelen adatvédelmi és adatbiztonsági szabályzatot (továbbiakban: szabályzat). A szabályzat a helyben szokásos közzétételt követő naptól hatályba lép, és a társaság alkalmazottaival, a társasággal szerződéses kapcsolatban állókkal az őket érintő terjedelemben meg kell ismertetni.

 

(2) A társaság tevékenységi köréből adódóan szálláshely szolgáltatói tevékenységet végez, amelynek során a vendégek személyes adatait kezeli. A társaság a szabályzat elfogadása idején munkavállalókat foglalkoztat, tevékenységéhez kapcsolódóan szerződéses kapcsolatokat létesít (beszállítók), adatfeldolgozókat is igénybe vesz, így a kapcsolódó adatkezelésekről is jelen szabályzat rendelkezik. A társaság papír alapú adatkezeléseken, nyilvántartásokon túl, elektronikus formában is kezel és tart nyilván adatokat, az adatbiztonsági követelményeket jelen szabályzat szerint teljesíti.

 

(3) A társaság a Hotrest nevű minősített szoftvert használja a tevékenysége adminisztrációja érdekében. A szoftver fejlesztője a Chrome-Soft Kft. A szoftver fejlesztője köteles jelen szabályzatban foglaltaknak megfelelő minimális védelmi, jogosultsági szinteket biztosítani és igazolni a társaság részére.

 

(4) A társaság informatikai eszközei, hálózatának üzemeltetésében esetileg megbízott informatikus teljesít feladatokat (szerverépítés, szoftvertelepítés, konfigurálás, hibaelhárítás, biztonsági ellenőrzés). A társaság gondoskodik megfelelő vírusvédelemről, tűzfalról, biztonsági mentésekről, szünetmentes működésről. Az informatikai eszközöket jelszó, a társaság törekszik a hordozható informatikai eszközök titkosítására.

 

(5) A társaság ügyfeleit, munkatársait, illetve a vele bármilyen jogviszonyban álló személyeket nem kategorizálja, nem minősíti, ilyen célból adatot nem kezel.

 

(6) Az adatvédelmi elveknek a GDPR 25. cikk alapján a társaság valamennyi tevékenysége, döntése során érvényesülnie kell, a társaság törekszik arra, hogy a lehetőségekhez képest olyan adatvédelmi informatikai megoldást, szervezeti szabályozást alkalmazzon, amely az adatok védelmét a tudomány és technika állása szerint a leghatékonyabban biztosítja.

 

(7) A társaság valamennyi adatvédelmi folyamatának szabályozottnak, átláthatónak, nyomon követhetőnek, konkrét munkakörhöz rendelhetőnek kell lennie.

 

(8) A társaság törekszik arra, hogy amennyiben meghatározott cél elérése személyes adat kezelése nélkül is elérhető, úgy ne kezeljen személyes adatot.

 

(9) A társaság a munkavállalói tevékenységét úgy szervezi meg, hogy lehetőleg minél kevesebb munkavállaló kezeljen személyes adatokat, a személyes adatot kezelő munkavállaló pedig a személyes adatok egy csoportját kezelje (pl. személyügyi adatok, kifizetéshez kapcsolódó adatok, ügyfélkapcsolati adatok).

 

  1. RÉSZ

Általános rendelkezések

  1. A szabályozás célja

 

  1. A társaság adatvédelmi, adatbiztonsági szabályzata (a továbbiakban: Szabályzat) kibocsátásának célja, hogy tevékenysége során a személyes adatok védelméhez fűződő adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározásra kerüljenek az adatvédelmi és adatbiztonsági előírások, továbbá az érintettek jogai megfelelően biztosítva legyenek.

 

  1. A szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a társaság adatkezelő és adatfeldolgozó tevékenysége megfeleljen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR) szóló az Európai Parlament és a Tanács rendeletének – (2016. április 27.) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.

 

  1. Jelen szabályzatban nem szereplő kérdésekben a GDPR és az infotv. szabályai szerint kell eljárni.

 

  1. A Szabályzat hatálya természetes személyre vonatkozó személyes adatok Társaság általi kezelésére terjed ki, egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.

 

  1. A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre – nevükre, formájukra, elérhetőségükre – vonatkozik.

 

 

 

  1. Értelmező rendelkezések

 

  1. Jelen szabályzat alkalmazása során a GDPR 4. cikkben meghatározott fogalmakat kell érteni, a következő kiegészítésekkel:

 

  1. adatbiztonság: az adatvédelmi incidenst bekövetkezését megelőzni képes szervezési, technikai megoldások, valamint eljárási szabályok összessége; az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a minimálisra csökkentik.

 

  1. adatkezelési nyilvántartás: a GDPR 30. cikke alapján vezetett, személyesadat-kezeléseket tartalmazó nyilvántartás, amely az érintett adatkezeléshez kapcsolódó minden lényeges információt tartalmaz, jelen szabályzat számú melléklete.

 

  1. adatvédelmi incidens nyilvántartás: a GDPR 33. cikk (5) bekezdése alapján vezetett nyilvántartás, amely jelen szabályzat számú melléklete.

 

  1. dolgozói személyes adat: a társasággal munkaviszonyban, egyszerűsített foglalkoztatotti jogviszonyban álló személyek célhoz kötöttség elvének betartásával kezelt adata.

 

  1. nyilvántartási célú személyesadat-kezelés: előre meghatározott szempontok alapján gyűjtött személyesadat-fajtákból adott szempontok szerint strukturált papíralapú vagy elektronikus adatállomány, amelyben az adatkezelés időtartama alatt biztosított az adatok különböző jellemzők alapján történő visszakereshetősége, lekérdezhetősége. Nyilvántartási célú adatkezelésnek minősül az is, amennyiben az adatok a nyilvántartás felvételét megelőző ügyfélkapcsolati adatkezelésből származnak, de az adatok kezelése az adatkezelési cél tekintetében elválik az alapeljárástól. Nyilvántartási célú adatkezelésnek is meg kell felelni a GDPR alapelveinek, rendelkezéseinek.

 

  1. ügyviteli célú személyesadat-kezelés: a társaság által a hatósági hatáskör gyakorlásához más adatkezelő által rendelkezésre bocsátott személyes adatok kezelése (tevékenységre vonatkozó engedély). Az ügyvitelhez kapcsolódó adatkezelés szorosan az ügy feldolgozásához kapcsolódik, alapvető célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban szerepelnek, kezelésükre ezen célból csak az alapul szolgáló irat selejtezéséig van lehetőség.

 

 

  1. RÉSZ

Adatvédelem felelősségi rendszere

  1. Az adatkezelések szintjei

 

  1. A társaság kapcsolatban áll adatfeldolgozókkal – informatikus, könyvelő, alvállalkozó– amelyek kiválasztása körében törekszik a lehető legmagasabb szintű adatvédelmi és adatbiztonsági megoldásokat nyújtó partnerek kiválasztására, ebből a célból előzetesen megismeri az adatfeldolgozók adatvédelmi és adatbiztonsági szabályzatát, illetve az adatfeldolgozói szerződésben rögzítik a vonatkozó szervezeti és informatikai biztonságra vonatkozó rendelkezéseket.

 

  1. A társaság ügyel arra, hogy az adatfeldolgozók lehetőség szerint ne kerüljenek kapcsolatba a munkavállalók, megbízók személyes adataival, amennyiben ez nem kerülhető el, úgy azok – elektronikus, vagy papír alapú – átadása megfelelő biztonsági intézkedések keretében történhet.
  2. Az adatkezelő szerv vezetője felelősségi rendszere

 

  1. Az adatvédelemre vonatkozó előírások alkalmazása során adatkezelő szerv vezetőjének kell tekinteni a társaság ügyvezetőjét.

 

  1. Az adatkezelő szerv vezetője felelős:
  2. a társaság adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a szerv által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért;
  3. a munkavállalók adatvédelmi oktatásáért és továbbképzéséért;
  4. a vezetése vagy irányítása alá tartozó társaság tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  5. az érintettek jogainak gyakorolásához szükséges feltételek biztosításáért.
  6. adatvédelmi tisztviselő kiválasztásáról, alkalmazásáról, vagy megbízásáról.

 

  1. Az adatkezelő szerv vezetőjének felelőssége nem zárja ki a társasággal kapcsolatban álló személyek akár kártérítési, akár büntetőjogi felelősségét.

 

  1. Amennyiben a személyes adatokhoz való jog megsértése miatt a társaságnak sérelemdíj, kártérítés fizetési kötelezettsége keletkezik, a személyes adatokhoz fűződő jogsértést ténylegesen elkövető személy kilétének felderítésére mindent meg kell tenni, és amennyiben ez sikerrel jár, vele szemben kártérítési eljárást kell kezdeményezni.
  2. Az adatkezelő szerv vezetőjének feladat- és hatásköre

 

  1. Adatkezelő szerv vezetőjének feladat- és hatásköre:
  2. a társaság adatkezelési rendszerének (nyilvántartások, adattárak, munkafolyamatok, információáramlások és feldolgozások, jogosultságok) kialakítása és irányítása, rendeltetésszerű működtetése, melynek keretében teljes felelősséget visel a személyes adatok kezelésére vonatkozó törvények és az ezen alapuló rendelkezések érvényre juttatásáért.
  3. gondoskodik a személyes adatok körében a jogosulatlan hozzáférés, közlés, megváltoztatás, vagy törlés megelőzéséről, a technikai védelemről, továbbá, hogy a személyes adatok védelmének biztosítása érdekében az érintett az adatkezelő által kezelt adataihoz – ha törvény kivételt nem tesz – hozzáférhessen, illetve gyakorolhassa az őt megillető jogokat.
  4. az általa alkalmazott, vele szerződéses kapcsolatban állók tevékenységét, a törvényes és szakszerű működést, ezen belül az állomány adatkezelői tevékenységet irányítja, az adatvédelmi előírások, valamint a kapcsolódó ügyviteli szabályok betartását ellenőrzi.
  5. a védelmi és biztonsági szabályok gyakorlati érvényesülését ellenőrzi, intézkedik a hiányosságok felszámolására;
  6. kialakítja az adatkezelések szervezeti és működési feltételeit, gondoskodik a működési követelmények és az adatbiztonsági követelmények érvényre juttatásáról;
  7. biztosítja az adatkezelések szabályozottságának, dokumentáltságának kialakítását, ellenőrzését;
  8. gondoskodik az adatvédelmi kockázatok elemzéséről, hatásvizsgálat lefolytatásáról.
  9. az adatkezelési nyilvántartás, az adatvédelmi incidensek nyilvántartás vezetéséről, naprakészen tartásáról intézkedik.

 

  1. A társaság adatvédelmi tisztviselője

 

  1. A társaság adatvédelmi tisztviselője, amennyiben nem áll alkalmazásában, úgy olyan szerződéssel megbízott vállalkozó, aki szakmai szempontból rátermett, az adatvédelmi jogot és gyakorlatot szakértői szinten ismeri, a feladatok ellátására alkalmas.

 

  1. Amennyiben a társaság alkalmazásában áll az adatvédelmi tisztviselő, munkaköri leírásában az adatvédelemmel kapcsolatos feladatokat rögzíteni kell.

 

  1. A társaság az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el, szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül a társaság ügyvezetőjének tartozik felelősséggel.

 

  1. A társaság adatvédelmi tisztviselője feladatköre keretében:
  2. közreműködik a társaság adatvédelmi tevékenységének irányításában, tájékoztat, szakmai tanácsot, iránymutatást ad;
  3. segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
  4. felkérésre ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
  5. kivizsgálja a hozzá érkezett bejelentéseket és adatvédelmi incidens észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, indokolt esetben vizsgálat lefolytatását kezdeményezi a társaság vezetőjénél, javaslatot tesz az incidens káros következményeinek elhárítására, a hasonló jövőbeni incidensek megelőzésére;
  6. elkészíti az adatvédelem tárgyában kiadandó munkáltatói szabályzatok tervezetét, közreműködik az adatvédelmet érintő egyéb szabályzatok kidolgozásában. Segíti az ügyvezetőt az adatkezelésekre vonatkozó jogszabályok és szabályzatok érvényre juttatásában, ennek során figyelemmel kíséri az adatvédelemmel összefüggő jogszabályváltozásokat és jelzi a társaság vezetőjének a munkáltatói szabályzatok módosításának szükségességét;
  7. közreműködik a társasággal jogviszonyban állók oktatásában és igény szerinti vizsgáztatásában;
  8. egyedi ügyekben kidolgozott állásfoglalásával segíti az egységes gyakorlat kialakítását;
  9. adatkezelési tevékenységét érintő ügyekben közreműködik a társaság álláspontjának kialakításában, kapcsolatot tart a NAIH-hal, közreműködik a NAIH vizsgálatainak lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában;
  10. a kérelem tárgyában elkészíti az érintettnek a személyes adatai kezelésére vonatkozó kérelmére adandó válasziratokat;
  11. gondoskodik a társaság honlapján megjelenített adatvédelmi nyilatkozat, irányelvek és adatkezelési tájékoztató naprakészen tartásáról;
  12. peres ügyekben a társaság adatvédelemmel kapcsolatos álláspontját egyezteti a peres képviseletet ellátó személlyel. Az adatvédelemmel kapcsolatos perekben szakértőként vehet részt;
  13. éves jelentést tesz a személyes adatok kezelése, feldolgozása esetén a tájékoztatáshoz kapcsolódóan elutasított kérelmekről;
  14. a társaság vezetője részére igény esetén éves jelentésben értékeli a társaság adatvédelmi tevékenységét;
  15. adatvédelmi szempontból véleményezi a személyes adatokat tartalmazó informatikai nyilvántartásokra, szoftverekre vonatkozó fejlesztési javaslatokat;
  16. feladat- és hatáskörében – a célhoz kötöttség elvére figyelemmel – jogosult a társaságnál folytatott adatkezelésekbe betekinteni, az adatkezelőtől felvilágosítást kérni;
  17. felkérésre ellenőrzi a GDPR-nak, valamint az egyéb uniós és tagállami adatvédelmi rendelkezéseknek, jelen belső szabályzatnak való megfelelést, képzést, auditokat;
  18. közreműködik a betekintési és hozzáférési jogosultságok felügyeletében;
  19. szakmai tanácsot ad a hatásvizsgálatra vonatkozóan, nyomon követi a hatásvizsgálat elvégzését.
  20. felkérésre ellenőrzi az adatfeldolgozók adatfeldolgozói szerződésben vállalt kötelezettségeinek betartását, amennyiben szerződésbe ütköző gyakorlatot tapasztal, ezt jelzi a társaság vezetőjének, javaslatot tesz a szerződéses kapcsolat megszüntetésére.

 

  • RÉSZ

A személyes adatok védelme a társaságnál

  1. Az adatkezelés alapvető szabályai

 

  1. A társaságnál kezelt adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

 

  1. A társaság valamennyi adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles érvényre juttatni a Szabályzatban és más belső szabályozóiban és más dokumentumokban (folyamatokban, munkaszerződésekben, munkaköri leírásokban) és vezetői intézkedésekben meghatározott technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR és az Infotv., érvényre juttatásához szükségesek.

 

  1. Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét, jogaik gyakorlásának lehetőségét. A társaság a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő, amelyet a sz. melléklet tartalmaz.

 

  1. A személyes adatokhoz való hozzáférést a társaság, elektronikus úton (hálózati meghajtó, beléptető rendszer) jogosultsági szintek megadásával korlátozza.

 

  1. A folyamatban lévő munkavégzés, feldolgozás alatt lévő iratokhoz csak az érintett ügyintézők férhetnek hozzá, a bér- és munkaügyi, illetve egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva – zárható irodákban és zárható szekrényekben – kell tartani.

 

  1. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról. A társaság a tudomány és technológia állása és a megvalósítás költségei, az adatkezelés jellege hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett kockázat figyelembevételével köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adatvédelmi elvek, szabályok és az érintettek jogainak védelmére vonatkozó garanciák érvényre juttatásához szükségesek. Több lehetséges adatkezelési megoldás közül lehetőség szerint azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja.

 

  1. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

 

  1. A társaság személyes adatok automatizált feldolgozását végzi. Az automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
  2. az érintett tájékoztatását;
  3. az eszköz pontosságát, rendeltetésszerű működését;
  4. a jogosulatlan adatbevitel megakadályozását;
  5. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  6. annak ellenőrizhetőségét és megállapíthatóságát, ha a személyes adatokat adatátviteli berendezés alkalmazásával továbbították vagy továbbíthatják;
  7. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  8. a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát;
  9. az automatizált feldolgozás során fellépő hibákról jelentés készítését;
  10. az érintettnek biztosítani kell az emberi beavatkozás lehetőségét, lehetővé kell tenni, hogy álláspontját kifejthesse, és a döntéssel szembeni kifogást közölje.

 

  1. Az adatbiztonság alapvető szabályai

 

  1. A személyes adatok kezelésének helyszínéül szolgáló épület megfelelő fizikai, és tűzvédelméről gondoskodni kell. A személyes adatok kezelése zárható helyiségében történik, ahova csak az arra jogosultak léphetnek be.

 

  1. A társaság indokolt esetben külön adatbiztonsági szabályzatot alkalmaz.

 

  1. Az informatikai rendszerek tűzfalas védelméről, vírusvédelméről, az adattárolókon lévő személyes adatok biztonsági mentéséről, felhasználónév-jelszó védelméről, a mobil adathordozók titkosításáról, legalább féléves rendszerességű biztonsági mentéséről a vezető intézkedik.

 

  1. A nem irodai dolgozó (pl. takarító, karbantartó) személyes adatokkal nem kerülhet kapcsolatba, ezért az ilyen tartalmú dokumentumokat zárható szekrényben kell őrizni, a monitorok rálátásvédelméről, az informatikai eszköz őrizetlenül hagyása esetén a kijelző zárolásáról és jelszavas védelméről gondoskodni kell.

 

  1. Az társaság az informatikai rendszerek frissítéséről havi szinten gondoskodik, tesztelését nem valós adatokkal végezheti. Az informatikus programok telepítését, frissítését megelőzően, megfelelő időben értesíti a társaságot, annak érdekében, hogy a személyes adatokhoz való hozzáférés folyamatosan biztosított legyen.

 

  1. A társaság azon munkavállalói, akik személyes adat meghatározott csoportját nem kezelik (pl. alkalmazotti adatok, alkalmazottak pénzügyi adatai, ügyféladatok) azokhoz nem férhetnek hozzá.

 

  1. A rendszergazdai jogosultsággal rendelkezők esetén is nyomon követhetővé teszi azt, hogy személyhez rendelhető legyen valamennyi adatkezelési művelet (pl. admin1, admin2, admin3 felhasználónévvel).

 

  1. A társaság elektronikus adatfeldolgozásra, nyilvántartásra alkalmazott szoftvere lehetővé teszi a rendszer naplózhatóságát, hogy azonosítható legyen, mely felhasználó, mikor, mit rögzített, vagy törölt. A társaság, csak eredeti szoftvereket alkalmaz, beszerzi az alkalmazott szoftverekre vonatkozó hatásvizsgálati dokumentációt, amely igazolja a GDPR rendeletnek való megfelelést.

 

  1. A társaság a hardverek esetén a garanciális időszakot követően új adathordozókat szerez be, és a garanciális időszakot meghaladott adathordozókat megsemmisíti.

 

  1. A társaság gondoskodik mind az elektronikus, mind a papír alapú bejövő és kimenő kommunikáció ellenőrzéséről.

 

  1. A jelszavak használata esetén ügyelni kell arra, hogy több személynek nem lehet azonos jelszava, egymás jelszavát nem ismerhetik meg a felhasználók.

 

  1. A szkennelésnél ügyelni kell arra, hogy minden felhasználó a saját mappájába tudja menteni a személyes adatokat tartalmazó dokumentumokat.

 

  1. A dokumentumok nyomtatásánál alkalmazni kell a titkos nyomtatás funkciót.

 

  1. Informatikai eszköz elvesztése esetén gondoskodni kell az alkalmazásokhoz való hozzáférések visszavonásáról, az adatok távoli törléséről.

 

  1. Az informatikai rendszerek, alkalmazások sérülékenységi vizsgálatát bevezetését megelőzően el kell végezni.

 

  1. A társaság felhőszolgáltatás igénybevétele esetén olyan szolgáltatót választ, amelynek tárhelye az Európai Unió valamely országában található.

 

  1. A tárasaság eszközein a felhasználónevek, jelszavak megjegyzése nem állítható be. Jelszó papír alapon nem tárolható.

 

  1. Személyes adatot tartalmazó papír alapú dokumentumot a társaság épületéből kivinni, az 1. sz. mellékletben megjelölt helyről más helyre áthelyezni, csak vezetői engedéllyel lehet. Az irat mozgás dokumentálása érdekében a sz. mellékletet kell kitölteni.

 

  1. A társaság adatkezelési tájékoztatója

 

  1. A Társaság általános adatkezelési tájékoztatóját a sz. melléklet tartalmazza.

 

  1. Amennyiben a társaság eseti adatkezelést végez (pl. rendezvény szervezése, álláshirdetés) úgy a vonatkozó tájékoztató kidolgozásáról és az érintettek részére elérhetővé tételéről megfelelően gondoskodik. A társaság az eseti adatkezelést megelőzően az adatvédelmi tisztviselő véleményét beszerzi.

 

  1. RÉSZ

AZ ADATKEZELÉS LEHETSÉGES JOGALAPJAI

 

  1. A Társaság valamennyi adatkezelése során biztosítja az érintett jogainak főszabály szerint díjmentes gyakorlását.

 

  1. Az érintett hozzájárulása

 

  1. Amennyiben a személyes adatok kezelése hozzájáruláson alapul, az érintett hozzájárulását az számú melléklet szerinti adatkérő lap szerinti tájékoztatással és tartalommal kell beszerezni. A hozzájárulás önkéntességét biztosítani kell

 

  1. Hozzájárulásnak minősül az is, ha az érintett a társaság honlapjának megtekintése során bejelöl egy erre létrehozott négyzetet, amely az adott összefüggésben az érintett önkéntes, tájékoztatáson alapuló hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.

 

  1. A hozzájárulás az ugyanazon cél vagy célok érdekében történő összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra meg kell adni.

 

  1. Ha az érintett hozzájárulása más ügyekre is vonatkozik – így különösen értékesítési, szolgáltatási szerződés megkötése – a hozzájárulást ezektől a más ügyektől egyértelműen megkülönböztethető módon kell kifejezni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely a GDPR-ba ütközik, kötelező erővel nem bír.

 

  1. A Társaság nem kötheti szerződés megkötését, teljesítését olyan személyes adatok szolgáltatása feltételéül, amelyek nem szükségesek a szerződés teljesítéséhez.

 

  1. A hozzájárulás visszavonását azonos módon kell lehetővé tenni, mint annak megadását. A hírlevéről történő leiratkozás érdekében indokolt valamennyi hírlevél végén egy linkben biztosítani a hozzájárulás visszavonásának lehetőségét.

 

  1. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a rá vonatkozó jogi kötelezettség teljesítése céljából, törvény eltérő rendelkezésének hiányában további külön hozzájárulás nélkül, valamint a hozzájárulás visszavonását követően is kezelheti.

 

  1. A társaságnak bármikor igazolnia kell tudni azt, hogy az adatkezelési művelethez az érintett hozzájárult.

 

  1. Szerződés, mint jogalap

 

  1. A szerződés előkészítése során, a tervezet kidolgozásakor, véleményezésre megküldése során személyes adat feltüntetésére nem kerülhet sor.

 

  1. A szerződésben csak a szerződés érvényességéhez és a teljesítéséhez szükséges személyes adatok kezelhetőek.

 

  1. A szerződésekben külön adatvédelmi záradékot kell feltüntetni, amiben rögzíteni kell a papír alapú, illetve az elektronikus védelmi intézkedéseket a szerződésben szereplő személyes adatok védelme érdekében.

 

  1. A szerződésben szereplő személyes adatok kezelésére a szerződés hatálya ideje alatt történhet. A szerződés teljesítését, megszűnését követően 5 évig az esetlegesen szerződésen alapuló követelések kölcsönös bizonyítása, érvényesítése érdekében is sor kerülhet. Amennyiben a szerződésben nyújtott jótállás a szerződés teljesítését követő 5 éven túli időre kiterjed, úgy a jótállási idő leteltét követő 5 évig jogszerűen kezelhetők a szerződésben szereplő személyes adatok.

 

  1. A társaság a szerződést kötő partnerét tájékoztatja jelen szabályzatban meghatározott, szerződéskötéshez kapcsolódóan lényeges adatkezelési, adatvédelmi feltételekről.

 

  1. Jogi kötelezettség teljesítése

 

  1. A jogi kötelezettségen alapuló adatkezelés szabályaira – adatkezelés célja, kezelhető adatok köre, tárolás időtartama, címzettek – a vonatkozó jogszabály rendelkezései irányadók.

 

  1. A jogi kötelezettség teljesítésén alapuló adatkezelés az érintett hozzájárulásától független. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

 

  1. Érdekmérlegelés

 

  1. Személyes adat kezelhető abban az esetben is, amennyiben az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

 

  1. Ügyféladatok, alkalmazotti adatok további kezelésére ezen a jogalapon sor kerülhet, azonban meg kell vizsgálni ezen jogcímen alapuló adatkezelést megelőzően, hogy az érintett a személyes adatok gyűjtésének időpontjában számíthat-e ésszerűen arra, hogy adatkezelésre adott célból kerülhet sor.

 

  1. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

 

  1. A társaság érdekmérlegelési tesztjeit jelen szabályzat számú melléklete tartalmazza.

 

  1. Személyes adatok gyűjtési céltól eltérő kezelése

 

  1. Személyes adatok gyűjtési céljuktól eltérő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljával. A további adatkezelés megkezdése előtt indokolt kikérni az adatvédelmi tisztviselő állásfoglalását.

 

  1. A közérdekű archiválási, tudományos, történelmi kutatási célból, vagy statisztikai célból történő további adatkezelés megengedett.

 

 

  1. RÉSZ

MUNKAVISZONNYAL KAPCSOLATOS  ADATKEZELÉSEK

 

  1. Személyügyi nyilvántartás

 

  1. A társaság megnevezés alatt jelen részben írtak esetén, a munkáltatót is érteni kell a munka törvénykönyvéről szóló 2012. évi I. törvény szerint (a továbbiakban: Mt.).

 

  1. A munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges.

 

  1. A társaság köteles a munkavállalót tájékoztatni személyes adatainak kezeléséről. A társaság a munkavállalóra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet.

 

  1. A munkaviszonyból származó kötelezettségek teljesítése céljából a társaság a munkavállaló személyes adatait – az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint – adatfeldolgozó számára átadhatja. Erről a munkavállalót előzetesen tájékoztatni kell.

 

  1. A társaság a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A társaság ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.

 

  1. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul.

 

  1. A társaság nem jogosult a munkavállalói okmányainak másolására, amennyiben erre jogszabály nem hatalmazza fel. Erre való tekintettel az okmányazonosító rögzítésére a személyi ügyekkel foglalkozó munkavállaló jogosult, amely rögzítés helyességét a vezetője igazolja.

 

  1. A társaság a rá vonatkozó jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdése c) pontja) jogcímén a munkavállaló alábbi adatait kezeli:

 

  1. a) név
  2. b) születési név,,
  3. c) születési ideje,
  4. d) anyja neve,
  5. e) lakcíme,
  6. f) állampolgársága,
  7. g) adóazonosító jele,
  8. h) TAJ száma,
  9. i) nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
  10. j) személyi igazolvány száma,
  11. k) lakcímet igazoló hatósági igazolvány száma,
  12. l) munkába lépésének kezdő és befejező időpontja,
  13. m) munkakör,
  14. n) iskolai végzettségét, szakképzettségét igazoló okmány száma,
  15. o) munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
  16. p) a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
  17. q) a munkaviszony megszűnésének módja, indokai,
  18. r) a munkaköri alkalmassági vizsgálatok összegzése,
  19. s) magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
  20. t) külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma,
  21. u) munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
  22. v) a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;

 

  1. A társaság a munkáltatói jogos érdekeinek érvényesítése (GDPR 6. cikk (1) bekezdése f) pontja) jogcímén a munkaviszonyra vonatkozó szabályok, teljesítése, a kölcsönös együttműködés céljából kezeli:

 

  1. a) telefonszám,
  2. b) e-mail cím,
  3. c) bankszámlaszáma,
  4. d) online azonosító (ha van)
  5. e) fénykép,
  6. f) önéletrajz,
  7. g) a munkavállaló munkájának értékelése,
  8. h) munkakörtől függően erkölcsi bizonyítványa
  9. i) a társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve
  10. j) a helymeghatározó rendszerek által rögzített adatokat.

 

  1. Az adatok pontosságának garantálása érdekében a munkavállaló a fenti adatokban bekövetkezett változást, 8 napon belül írásban köteles bejelenteni a társaság vezetője részére.

 

  1. A személyes adatok címzettjei, a munkáltató vezetője, munkáltatói jogkör gyakorlója, a társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói. A társaság tulajdonosai részére csak a vezető állású munkavállalók személyes adatai továbbíthatók.

 

  1. A személyi anyagba csak az arra jogosultak tekinthetnek be, amelynek biztosítására betekintési naplót kell vezetni.

 

  1. A munkavállaló köteles a munkája során tudomására jutott üzleti titkot megőrizni. Ezen túlmenően sem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott a tudomására, és amelynek közlése a társaságra vagy más személyre hátrányos következménnyel járhat.

 

  1. A betegségre, üzemi tanácsi, szakszervezeti tagságára vonatkozó adatokat a társaság csak az Mt-ben meghatározott jog, vagy kötelezettség teljesítése céljából kezelhet.

 

  1. A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 50 év. A személyes adatokat irattárban, a jogosulatlan hozzáférés, megsemmisülés ellen védve kell tárolni.

 

  1. A társaság a munkaszerződés megkötésével egyidejűleg a jelen szabályzat számú melléklete szerinti Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogokról.

 

  1. Alkalmassági vizsgálatokra vonatkozó adatkezelés

 

  1. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

 

  1. A munkavállalót előzetesen tájékoztatni kell, hogy az adott munkakör betöltésére csak megfelelő készség, képesség esetén van lehetőség.

 

  1. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat arról is, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel, gyakorisággal történik, ki végezheti, eredménye milyen hatással lesz jogaikra, a személyes beavatkozás lehetősége fennáll-e, automatikus döntéshozatalra, profilalkotásra sor kerül-e. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabályi rendelkezésről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat számú melléklete tartalmazza.

 

  1. A pszichológiai vagy személyiségjegyeket kutató tesztlapok, az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében kitöltethető a munkavállalók nagyobb csoportjával, de csak akkor, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.

 

  1. A munkaalkalmasság, felkészültség mérésére irányuló tesztlapokat a tájékoztatást követően a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal. A tesztlapok kitöltése nem irányulhat a munkavállalók zaklatására, jogaik csorbítására.

 

  1. A munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.

 

  1. A kezelhető személyes adatok köre a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek megállapítása. Az adatkezelés jogalapja: a munkáltató jogos érdeke. A személyes adatok kezelésének célja munkaviszony létesítése, fenntartása, munkakör betöltése

 

  1. A vizsgálati eredményt az érintett munkavállalók, illetve a vizsgálatot végző, titoktartási kötelezettség alá eső szakember ismerheti meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját a munkáltató nem ismerheti meg.

 

  1. A személyes adatok a munkaviszony megszűnését követő 50 évig kezelhetőek. A teszteket, és a munkavállalókra vonatkozó értékeléseket a személyi anyagtól elkülönítve kell, elzártan tárolni.

 

  1. Önéletrajzok kezelése

 

  1. Annak érdekében, hogy a nem pályázati kiírás eredményeként érkező önéletrajz benyújtója, illetve a pályázat keretében benyújtott önéletrajzok további tárolása érdekében személyes adatok védelméhez fűződő joga ne sérüljön, a társaság honlapján az önéletrajzok kezelésével és tárolásával kapcsolatos tájékoztatót kell elhelyezni, melyben fel kell hívni a figyelmet arra, hogy az érintettnek a beküldött önéletrajzához csatolnia kell egy nyilatkozatot, amelyben hozzájárul önéletrajzának 3 hónapig tartó kezeléséhez. Hozzájárulás hiányában a társaság kizárólag annak vizsgálatára jogosult, hogy a pályázati anyagnak megfelelő betöltetlen álláshellyel rendelkezik-e, amennyiben ilyen álláshely nem áll rendelkezésre, az anyagot a benyújtójának vissza kell küldeni vagy meg kell semmisíteni.

 

  1. Az állásfelhívás feladása során jelezni kell, hogy az önéletrajzok tárolási ideje az adott pályázat lezárulásától, amennyiben a jelentkezés pályázattól függetlenül érkezett, a jelentkezés benyújtásától számított 3 hónap. A fel nem vett személyek önéletrajza a felvett, azonban próbaidő alatt megüresedő munkakör betöltése céljából kezelhető.

 

  1. Az adattárolási határidő lejártát, vagy az érintett hozzájárulásának visszavonását követően a pályázati anyagokat meg kell semmisíteni, ha arra a jelentkező külön igényt tart, részére vissza kell küldeni. Az adatmegsemmisítésről személyes adatokat nem tartalmazó jegyzőkönyvet kell felvenni.

 

  1. A kezelhető személyes adatok köre, a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, korábbi munkáltatói értékelés (ha van).

 

  1. A személyes adatok kezelésének célja, a megfelelő munkaerő kiválasztása. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.

 

  1. Az adatkezelés jogalapja pályázati kiírás esetén az érdekmérlegelés, tárolás esetén a hozzájárulás, felvett személyek esetén a szerződés.

 

  1. Az önéletrajzokat a társaságnál munkáltatói jogok gyakorlására jogosult vezető, személyügyi feladatokat ellátó munkavállalók kezelhetik.

 

  1. Amennyiben a társaság képviselője az állásinterjú során jegyzetet vesz fel, előzetesen az érintett hozzájárulását kell kérni és lehetővé kell tenni a jegyzet megismerését, amelyhez észrevételt tehet. Az állásinterjú végén az érintett amennyiben a jegyzet tartalmával egyetért, azt aláírja, aláírás megtagadása esetén a jegyzetet meg kell semmisíteni.

 

  1. Az álláspályázathoz kapcsolódóan a társaság nem jogosult korábbi munkáltatók megkeresésére.

 

  1. A társaság anonim álláshirdetést abban az esetben adhat fel, ha profilbővítésként a konkurencia elől rejtve kíván maradni, illetve ha meglévő dolgozója helyett megfelelőbb munkaerőt kíván kiválasztani.

 

  1. A társaság a munkaerő kiválasztása során előzetes tájékoztatást követően jogosult a jelentkező közösségi oldalon közzétett profiloldalának megtekintésére és a munkakör betöltéséhez szükséges adatok kezelésére. A társaság a pályázó közösségi oldal zárt csoporthoz kapcsolódó tevékenységet nem ellenőrizhet.

 

  1. A 118/2001. (VI. 30.) Korm. rendelet 10. § (1) bekezdés e) pontja meghatározza, hogy milyen adatokat nem lehet kezelni magán-munkaközvetítés során. A jogszabály értelmében tilos olyan személyes adatokat kezelni, amelyekre a munkát keresők alkalmasságának a megítéléséhez nincs szükség, illetve amelyek a keresett munkával nincsenek közvetlen összefüggésben.

 

  1. Az álláspályázat részenként hatósági erkölcsi bizonyítvány kérhető, amennyiben erre jogszabály lehetőséget ad, továbbá ha a munkakör jelentős vagyoni érdek védelméhez, törvény által védett titok megőrzéséhez, veszélyes áru kezeléséhez kapcsolódik.

 

  1. Elektronikus levelezőrendszer ellenőrzéséhez kapcsolódó adatkezelés

 

  1. A társaság munkavállalóit azért ellenőrizheti, hogy megbizonyosodjon róla, hogy üzleti, személyes adatokra vonatkozó titoktartási kötelezettségüknek eleget tesznek, munkaköri feladatuk ellátásáról, azok minőségéről, a munkavállalók, készségéről, képességéről meggyőződjön.

 

  1. A társaság e-mail fiókot bocsát a munkavállaló rendelkezésére, amely e-mail címet és fiókot a munkavállaló a munkaköri feladatai céljára használhatja, abból a célból, hogy a munkavállalók egymással kapcsolatot tartsanak, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. A munkavállaló az elektronikus levelezőrendszert magán célra nem használhatja, a fiókban személyes leveleket nem kezelhet, amely tilalomra a társaság félévente emlékezteti alkalmazottjait.

 

  1. Az ellenőrzés jogalapja a munkáltató jogos érdeke, célja, a munkaviszonyra vonatkozó kötelezettségek megtartásának ellenőrzése, a megfelelő munkavégzés biztosítása.

 

  1. A társaság elektronikus levelezőrendszerének informatikai védelméről, így annak rendelkezésre állásáról, sértetlenségéről, bizalmasságáról a rendszergazda útján gondoskodik. A levelezés biztonsági mentéséről a tárhelyet biztostosító szerver biztonsági mentésével azonos időközönként gondoskodik, amelynek hiányában havi rendszerességű biztonsági mentés készül.

 

  1. Az elektronikus levelezőrendszer használata során az érintett munkavállaló köteles megfelelő körültekintéssel eljárni, mind a címzettek megadása, titkos másolatok alkalmazása, mind a dokumentumok csatolása során. Ügyelni kell arra, hogy a címzettek és másolatot kapó személyhez kapcsolódó elektronikus levelezési cím is személyes adat.

 

  1. Az elektronikus levelezés során törekedni kell a személyes adatok titkosítására. A dokumentumok tervezeteit személyes adatok feltüntetése nélkül kell egyeztetésre küldeni.

 

  1. A munkahelyi levelezőrendszer használata kizárólag munkahelyi eszközökön engedélyezett.

 

  1. A munkáltató jogosult az e-mail fiók tartalmát és használatát rendszeresen – 3 havonta – ellenőrizni. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek teljesítésének ellenőrzése, jogalapja a munkáltató jogos érdeke.

 

  1. Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.

 

  1. Lehetőség szerint biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során, távollétében két személy jelenlétében jegyzőkönyvet kell felvenni a tapasztaltakról.

 

  1. Az ellenőrzés megkezdése előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről, ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az ellenőrzés eredményével kapcsolatban.

 

  1. Az ellenőrzés során a fokozatosság elvét kell érvényesíteni, így elsődlegesen levél címéből és tárgyából kell következtetést levonni arra vonatkozóan, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. A nem személyes célú e-mailek tartalmát a társaság korlátozás nélkül vizsgálhatja.

 

  1. Amennyiben megállapítható, hogy a munkavállaló az elektronikus levelezőrendszert személyes célra használta, fel kell szólítani, hogy a személyes adatokat haladéktalanul törölje, vagy mentse le. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli.

 

  1. Az elektronikus levelező rendszer jelen szabályzatba ütköző használata miatt a társaság a munkavállalóval szemben, az Mt. 56. § alapján, a munkaszerződésben rögzített jogkövetkezményeket alkalmazhat.

 

  1. A munkavállaló az elektronikus levelezőrendszer ellenőrzésével együtt járó adatkezeléssel kapcsolatban jelen szabályzatnak az érintett jogairól szóló részében írt jogokat gyakorolhatják.

 

  1. A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetleges magáncélú leveleit törölje. A jogviszony megszűnését követően a társaság az elektronikus levelezőrendszerben tárolt személyes adatokat megsemmisíti.

 

  1. Az alkalmazott munkahelyi levelezőrendszer GDPR-nak való megfelelőségére vonatkozó hatásvizsgálat eredményét a társaság a szoftverfejlesztőtől beszerzi.

 

  1. Az a munkavállaló, aki a levelezőrendszer működésében rendellenességet észlel, vagy olyan személyes adat válik számára hozzáférhetővé, amelynek megismerésére nem jogosult, köteles azonnal jelezni a rendszergazda, és a társaság vezetője felé.

 

  1. A társaság a 2018. május 25. napját követően bevezetésre, vagy módosításra kerülő ellenőrzési eljárás, alkalmazott szoftver esetén hatásvizsgálatot végez, az alkalmazott szoftver GDPR-nak megfelelésére vonatkozó igazolást beszerzi.

 

  1. Az informatikai eszközök ellenőrzésével kapcsolatos adatkezelés

 

  1. A társaság jelen szabályzattal előírja, hogy az általa biztosított számítástechnikai vagy elektronikus eszközt így különösen számítógépet, laptopot, tabletet a munkavállaló kizárólag a munkavégzéshez használhatja, ezek magáncélú használatát a társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelhet és nem tárolhat.

 

  1. Az elektronikai eszközök időszakos –félévente – szerverre történő mentéséről gondoskodni kell, megelőzően az érintetteket fel kell hívni, hogy esetleges személyes adataikat távolítsák el az adathordozókról.

 

  1. A társaság által biztosított mobil adathordozókon kívül egyéb eszköz nem csatlakoztatható a társaság informatikai eszközeihez, jelszavas védelmi ellenőrzéssel biztosítani kell az idegen eszközök használatának kizárását.

 

  1. Az informatikai eszköz javítására a társaság rendszergazdája intézkedik, amennyiben ő nem tudja megjavítani, úgy a javítás idején jelen kell lennie, hogy személyes adat jogosulatlanul ne kerülhessen ki az informatikai eszköz adathordozójáról. A harmadik személy által végzett javítás idején akkor lehet az informatikus távol, ha adathordozót (winchestert) nem ad át, vagy a harmadik személy igazolja, hogy az általa folytatott tevékenység a GDPR rendeletnek megfelel, és titoktartási nyilatkozatot tesz.

 

  1. Az informatikai eszköz selejtezését, értékesítését megelőzően gondoskodni kell az adathordozó fizikai megsemmisítéséről.

 

  1. A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetlegesen informatikai eszközön lévő magáncélú adatait törölje. A jogviszony megszűnését követően a társaság az informatikai eszközön tárolt személyes adatokat megsemmisíti.

 

  1. A munkáltató az informatikai eszközökön tárolt adatokat ellenőrizheti. Az informatikai eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben a 18. cím rendelkezései irányadók.

 

  1. A munkavállaló köteles 24 órán belül bejelenteni a társaság vezetője részére, ha informatikai eszközét elvesztette és közölni, hogy az eszközön megközelítőleg hány, és milyen jellegű személyes adat volt.

 

  1. A távmukavégzés a társaság által rendelkezésre bocsátott informatikai eszköz felhasználásával engedélyezhető. A távmunkavégzés esetén a munkavállalót tájékoztatni kell a társaság általi ellenőrzés és az informatikai eszköz használata korlátozásának 18. címben és jelen címben foglalt szabályairól, továbbá arról a szervezeti egységről, amelyhez a munkavállaló munkája kapcsolódik.

 

  1. Az informatikai eszközök védelméről a rendszergazda gondoskodik, amelynek során megfelelő intézkedéseket tesz annak érdekében, hogy az eszköz elvesztése esetén a tárolt személyes adatokhoz ne lehessen hozzáférni.

 

  1. A munkahelyi internethasználat ellenőrzésére vonatkozó adatkezelés

 

  1. A munkavállaló csak a munkaköri feladatával összefüggő honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.

 

  1. A társaság informatikai eszközeire interneten elérhető szoftver csak rendszergazdai engedéllyel telepíthető. A rendszergazda a szoftver telepítését személyesen, vagy távoli hozzáféréssel történő rendszergazdai felhasználónév és jelszó megadása után engedélyezi. A külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tiltott!

 

  1. A fájl letöltő-, játék-, csevegő-, szexuális szolgáltatásokat kínáló oldalak látogatása szigorúan tilos.

 

  1. A munkaköri feladatként a társaság nevében elvégzett internetes regisztrációk jogosultja a társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. A személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését kezdeményezi a társaság. A társaság informatikai eszközein nem megengedett a felhasználónév, jelszó megjegyzésének engedélyezése. A társaság nem jogosult megismerni a munkavállaló által alkalmazott jelszót.

 

  1. A munkavállaló munkahelyi internethasználatát a társaság 18. cím rendelkezései szerint ellenőrizheti és az ott meghatározott jogkövetkezményeket alkalmazhatja.

 

  1. A céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés

 

  1. A társaság a céges mobiltelefon magáncélú használatát nem engedélyezi, az csak munkavégzéssel összefüggő célokra használható, és a társaság valamennyi kimenő hívószámot és adatokat, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.

 

  1. A munkavállaló köteles bejelenteni a társaságnak, ha a céges mobiltelefont magáncélra használta. A munkáltató jogosult nyilatkoztatni a munkavállalót, amennyiben más azonos munkakört betöltő munkavállalói átlaghoz képest több, mint 50%-al magasabb telefonszámla keletkezik adott munkavállaló esetén. Ilyen esetben a társaság a telefonszolgáltatótól bekéri a hívásadatok részleteit és felhívja a munkavállalót arra, hogy a magáncélból hívott számokat tegye felismerhetetlenné. A társaság a magáncélú hívások költségeinek megfizetésére a munkavállalót kötelezheti.

 

  1. A munkavállaló jogviszonyának megszűnését megelőzően gondoskodik arról, hogy az esetleges magáncélú telefonszámait törölje. A jogviszony megszűnését követően a társaság a mobiltelefonon tárolt személyes adatokat megsemmisíti.

 

  1. A munkavállaló köteles 24 órán belül bejelenteni a társaság vezetője részére, ha céges mobiltelefonját elvesztette.

 

  1. A céges mobiltelefonokat el kell látni olyan programmal, amely lehetővé teszi a képernyő zárolását, illetve a telefonon, valamint a SIM kártyán tárolt adatok törlését abban az esetben, ha illetéktelen személy kívánna hozzáférni a telefonon tárolt személyes adatokhoz.

 

  1. Az ellenőrzésre és jogkövetkezményire a 18. cím rendelkezései irányadók.

 

  1. A navigációs, útvonal követő rendszer alkalmazásával kapcsolatos adatkezelés

 

  1. A navigációs rendszer (GPS) alkalmazásának jogalapja a munkáltató jogos érdeke, célja a munkafolyamatok hatékony megszervezése, logisztika, a munkáltató üzleti érdekeinek, illetve a munkavállalók életének, testi épségének, a gépjárműnek és a rakománynak védelme, elektronikus menetlevél elkészítése.

 

  1. A kezelt adatok a gépjármű rendszáma, a megtett útvonal, távolság, idő, tartózkodási hely, gépjárműhasználat ideje, amely adatok részben a gépjárművezető személyes adatának is minősülnek.

 

  1. Ellenőrzésre kizárólag munkaidőben kerülhet sor, a munkavállalók földrajzi helyzete munkaidőn kívül nem ellenőrizhető. Egyebekben az ellenőrzésre és jogkövetkezményeire a 19. cím rendelkezései irányadók, azzal, hogy a munkáltató jogosult nyilatkoztatni a munkavállalót, amennyiben a menetlevélben szereplő helyek közti távolságok az útvonaltervező programhoz képest 20%-al nagyobb eltérést mutatnak, amely esetben a költség megtérítésére kötelezheti a munkavállalót.

 

  1. Amennyiben a gépjárművet a munkavállaló magáncélra is használhatja, ellenőrzése nem lehetséges.

 

  1. Az alkalmazott navigációs rendszer GDPR-nak való megfelelőségére vonatkozó hatásvizsgálat eredményét a társaság beszerzi.

 

 

  1. A munkahelyi kamerás megfigyelésre vonatkozó adatkezelés

 

  1. A társaság a székhelyén, telephelyén, az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, veszélyes anyag, az üzleti titok védelme, baleset körülményeinek tisztázása, káresemény kivizsgálása és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést és tárolást is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít. Meghatározott vagyontárgy védelme esetén a kamerának közvetlenül és kizárólagosan a védendő vagyontárgyra kell irányulnia.

 

  1. Az adatkezelés jogalapja a munkáltató és a kamerafelvételen szereplő sértett jogos érdekeinek érvényesítése.

 

  1. A megfigyelőrendszer adott területen történő alkalmazásának tényéről a megfigyelt területre való belépést megelőzően, jól látható helyen, jól olvashatóan, az érintettek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera esetén biztosítani kell. A tájékoztatás mintát a számú melléklet tartalmazza.

 

  1. Nem alkalmazható elektronikus megfigyelőrendszer vagy technikai ellenőrzésre szolgáló más eszköz olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, egészségügyi vagy pszichológiai vizsgálat céljára szolgáló helyiségben, ideértve a vizsgálati helyiséghez tartozó váróhelyiséget is, étkezőben, munkahelyi pihenésre szolgáló helyiségben. A megfigyelőrendszer közterületre nem irányulhat.

 

  1. Technikai ellenőrzéssel összefüggően sem helyezhető el a munkavégzés, munkahelyi viselkedés megfigyelése céljából kamera olyan helyiségekben, ahol állandó munkavégzés folyik, sem pedig a munkaközi pihenés céljául szolgáló helyiségekben, kijelölt dohányzóhelyen, ügyeleti helyiségben.

 

  1. A fenti rendelkezések alól kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete, testi épsége veszélyben lehet, így pl. kivételesen működtethető kamera szerelőcsarnokban vagy más veszélyforrást tartalmazó objektumban, helyiségben.

 

  1. A rögzített felvételek felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni. Akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje

 

  1. A jelentős értéket képező eszközök, áruk elhelyezéséül szolgáló helyiségeiben, így különösen garázsban, egyéb, jelentős értéket képviselő eszközök tárolására szolgáló raktárban és az azokhoz vezető folyosókon elhelyezhető és működtethető kamera, azok működéséről azonban jól látható helyen és módon tájékoztatni kell az érintetteket.

 

  1. Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.

 

  1. A kamerák által vett képet közvetítő berendezést úgy kell elhelyezni, hogy azt csak az a személy láthassa, akinek a kamera által közvetített kép figyelése a munkaköri feladatainak részét képezi. A rögzített adatok megtekintésére a jogsértések feltárása és a rendszer működésének ellenőrzése céljából a kezelő személyzet, a társaság vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.

 

  1. A megfigyelés és a tárolt képfelvételek visszanézése kizárólag a jogsértő cselekmények kiszűrése, az azok megszüntetéséhez szükséges intézkedések kezdeményezése céljából végezhető.

 

  1. A kamerák által közvetített képet az adattároló egységen kívül más eszközzel rögzíteni nem lehet.

 

  1. Az adattároló eszközt elzárt helyen kell őrizni. A tárolt képfelvételekhez való hozzáférésnél az adatkezelő személyének azonosíthatónak kell maradnia. A képfelvételek visszanézését és a képfelvételekről készített mentést dokumentálni kell.

 

  1. A jogosultság indokának megszűnését követően a tárolt képfelvételekhez való hozzáférést haladéktalanul meg kell szüntetni. A rögzítő készülékben elkülönített merevlemezről fut az operációs rendszer és a tárolt felvételek. A felvételekről külön biztonsági másolat nem készül, távolról nem hozzáférhető.

 

  1. A jogsértő cselekmény észlelését követően a cselekményről készült felvétel rögzítéséről és a szükséges eljárás kezdeményezése felől intézkedni kell, egyben tájékoztatni kell az eljárásra jogosult szervet, hogy a cselekményről képfelvétel készült.

 

  1. A tárolt képfelvételek átadását megelőzően meg kell győződni arról, hogy ki nem adható adatok ne szerepeljenek, harmadik személyek személyhez fűződő joga ne sérüljön. Az át nem adható adatokat anonimizálni szükséges (pl. rendszámok, harmadik személyek).

 

  1. Az alkalmazott megfigyelő rendszer GDPR-nak való megfelelőségére vonatkozó hatásvizsgálat eredményét a társaság beszerzi, a 2018. május 25. napján követően alkalmazásra kerülő, munkavállalók, illetve ügyfelek megfigyelésére alkalmas kamera alkalmazása esetén a társaság hatásvizsgálatot végez.

 

  1. A tanulmányi szerződésekre vonatkozó adatkezelés

 

  1. A társaság a munkavállalóval tanulmányi szerződést köthet, az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződésen alapul, amely tájékoztatás történhet a szerződésben is.

 

  1. Az adatkezelés jogalapja a szerződés, adatkezelési idő 50 év.

 

  1. Az érintettet személyes adatai a képzést végző oktatási intézmény, mint közös adatkezelő részére átadhatók, amelyről a szerződésben tájékoztatni kell az érintettet.

 

  1. A munkavállalóval kötött szerződéshez kapcsolódó adatkezelési tájékoztató szövegét a számú melléklet tartalmazza.

 

  1. A személyes adatokat, a társaság személyügyi feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.

 

  1. A tanulmányi szerződés megkötésénél az Mt. 229. § (1) bekezdése és a törvény további rendelkezéseit is figyelembe kell venni.

 

 

  1. A szerződéses kapcsolattartói megjelölésre és a névjegykártya használatra vonatkozó adatkezelés

 

  1. A társaság szerződéses kapcsolatai során kapcsolattartót jelöl meg. A kapcsolattartó elérhetőségi adatai Név, e-mail cím, mobiltelefonszám a szerződésekben, illetve a társaság által biztosított névjegykártyán feltűntethető.

 

  1. Az adatkezelés jogalapja a társaság jogos érdekeinek érvényesítése, a munkavállaló munkaszerződésben, illetve munkaköri leírásában meghatározott feladatainak teljesítése.

 

  1. Az adatkezelési idő a szerződés megszűnését követő 5 évig, illetve a kapcsolattartásban bekövetkezett változásáig lehetséges.

 

 

  1. A bélyegző nyilvántartáshoz kapcsolódó adatkezelés

 

  1. A társaság az iratkezelési szabályzatban meghatározott személyek részére bélyegzőt ad ki, akik a meghatározott bélyegző lenyomatot aláírásukkal egyidejűleg elhelyezik a képviseleti jogkörükhöz tartozó dokumentumokon.

 

  1. Az adatkezelés jogalapja a társaság jogos érdekeinek érvényesítése.

 

  1. Az adatkezelési idő a bélyegzőn feltüntetett, illetve a jogosult személyében bekövetkezett változásáig hatályos.

 

 

 

  1. RÉSZ

HOZZÁJÁRULÁS, MINT AZ ADATKEZELÉS JOGALAPJA

 

  1. A honlap böngészésre vonatkozó (cookie) adatkezelés

 

  1. A cookie (süti) egy olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének, hogy az eltárolja és később betölthesse a tartalmát.

 

  1. Az adatkezelés jogalapja az érintett hozzájárulása.

 

  1. A felhasználó informatikai eszközén csak a felhasználó világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni (2003. évi C. törvény 155. § (4) bekezdés alapján).

 

  1. A társaság honlapjának látogatásakor egy rövid összefoglalót kell adni a cookie-k alkalmazásáról, és egy linken keresztül elérhetővé kell tenni a tájékoztató teljes szövegét a számú melléklet szerint. A tájékoztatóval a társaság biztosítja, hogy a látogató a honlap szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a társaság amely adatkezelési célokból, mely adatfajtákat kezel, ideértve az igénybevevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.

 

  1. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (e-kertv) 13/A. § (3) bekezdése szerint a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és oly módon kell üzemeltetnie az alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez – a szükséges mértékben és ideig – indokolt.

 

  1. Regisztráció a honlapon

 

  1. A honlapon regisztráló természetes személy az erre alkalmazott, üres négyzet (checkbox) bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez.

 

  1. A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító, számlázási, postázási név és cím. Felhasználónév, jelszó megadása nem kérhető, és nem is adható válaszüzenetben.

 

  1. A honlapon történt regisztrációt követően a regisztráló által megadott elektronikus elérhetőségre megerősítést kérő üzenetet kell küldeni, annak érdekében, hogy a társaság megbizonyosodjon arról, hogy valóban az érintett saját adataival regisztrált a honlapon. A visszaigazolásig az adatok nem kezelhetőek, visszaigazolás hiányában 1 hónap után az adatokat törölni kell.

 

  1. Az adatkezelés jogalapja az érintett hozzájárulása, célja:
  2. a) a honlapon nyújtott szolgáltatások teljesítése;
  3. b) kapcsolatfelvétel (elektronikus, telefonos, SMS, és postai megkereséssel);
  4. c) tájékoztatás a társaság termékeiről, szolgáltatásairól, szerződési feltételeiről; akcióiról;
  5. d) reklám-küldemény küldése;
  6. e) a honlap használatának elemzése.

 

  1. A személyes adatokat a társaság ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói kezelhetik, adatfeldolgozóként a társaság IT szolgáltatója munkavállalói a tárhelyszolgáltatás teljesítése céljából.

 

  1. A személyes adatok tárolására, az érintett hozzájárulásának visszavonásáig kerülhet sor.

 

  1. A honlapon keresztül megadott adatok kizárólag megfelelő álnevesítést követően tárolhatók.

 

  1. Az adatok elküldését megelőzően a visszaélés megelőzése érdekében robotszűrőt kell alkalmazni.

 

  1. Az adatrögzítési felület sérülékenységét előzetesen, illetve évente vizsgálni kell.

 

  1. Rendezvényeken készült képfelvételekkel kapcsolatos adatkezelés

 

  1. Rendezvény (családi nap, mikulás, nyugdíjas találkozó, jubileumi ünnepség) szervezése esetén a társaság részéről a rendezvényen kép-, vagy kép- és hangfelvétel készülhet. Az adatkezelés jogalapja: az érintett hozzájárulása.

 

  1. A kép- vagy kép- és hangfelvételeken történő részvétel kapcsán a képmásnak, mint személyes adatnak kezelésére – törvényi felhatalmazás hiányában – kizárólag az érintett előzetes hozzájárulásával kerülhet sor. Az érintettek hozzájárulását a sz. melléklet szerinti nyilatkozat kitöltésével kell megszerezni, kivéve, ha a felvétel:
  2. nyilvános közéleti szereplés során készült felvételnek minősül,
  3. tömegfelvételnek minősül, vagy
  4. ha a felvétel a munkavállalóról technikai ellenőrzés keretében, a térfigyelő kamerákra vonatkozó rendelkezés szerint készül.

 

  1. A hozzájáruló nyilatkozat aláírása önkéntes. Akik nem kívánnak a felvételeken szerepelni, e joguk érvényesítése érdekében – nevet, munkakört megjelölve – nyilvántartásba kell venni.

 

  1. A hozzájáruló nyilatkozatokat a rendezvény szervezésre kijelölt személy összegyűjti, a nyilvántartást elkészíti és elzárva tárolja. A nyilvántartott neveket kizárólag a felvételekkel kapcsolatos adatkezelést végző személyek, valamint az adatvédelmi tisztviselő ismerheti meg.

 

  1. A rendezvényen történő kép- és hangfelvétel készítése esetén a rendezvényért felelős feladata a rendezvény megkezdése előtt felhívni az érintettek figyelmét arra, hogy amennyiben a képfelvétel készítéséhez – ide nem értve a tömegfelvételt és a nyilvános közéleti szereplést – nem járulnak hozzá, úgy azt jelezzék a jelenlévő fotós részére.

 

  1. A jelenléti vagy regisztrációs ív alkalmazásával járó események esetén az adatkezelési tájékoztatót jól látható helyen elérhetővé kell tenni, és a jelenléti íven vagy regisztrációs adatlapon az adatkezelési hozzájárulásnak külön rubrikát kell kialakítani.

 

  1. A személyes adatok kezelésének célja a társasági kohézió növelése, megfelelő munkahelyi légkör kialakítása.

 

  1. Nincs szükség az érintett hozzájárulására a tömegfelvétel (ábrázolás módja nem egyéni, a felvétel összhatásában örökít meg a nyilvánosság előtt lezajlott eseményeket), illetve a közérdeklődésre számot tartó tudósítás, a jelenkor eseményeiről való szabad tájékoztatás esetén.

 

  1. A személyes adatok a hozzájárulás visszavonásáig tárolhatók, más jogalap hiányában.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

VII. RÉSZ

SZERZŐDÉS, MINT AZ ADATKEZELÉS JOGALAPJA

 

  1. A szerződő felek adatainak kezelése

 

  1. A társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, egyéni vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződéskötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

 

  1. A személyes adatokat, a társaság kereskedelemmel, ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói kezelhetik.

 

  1. A személyes adatok kezelésének időtartama: a szerződés megszűnését követő 8 év a számviteli iratok megőrzése céljából.

 

  1. Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződésen alapul, amely tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére átadható, amelyről a szerződésben tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési tájékoztató szövegét a számú melléklet tartalmazza.

 

  1. A jogi személy partnerek kapcsolattartóinak elérhetőségi adatai

 

  1. A társaság, az érintett természetes személy nevét, címét, telefonszámát, e-mail címét, online azonosítóját kezeli, jogalapja, a szerződés teljesítése, illetve az ehhez kapcsolódó munkáltatói érdek érvényesítése.

 

  1. Az adatkezelők a szerződésben számú mellékletben nyilatkoznak arról, hogy olyan személyt jelölnek meg kapcsolattartónak, akinek ez munkaköri feladatainak ellátásához tartozik, és akit tájékoztattak arról, hogy az adatkezelő tevékenységével kapcsolatban más adatkezelők a munkáltató által biztosított eszközön, munkaidőben megkereshetik.

 

  1. A személyes adatok kezelésének célja, a társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.

 

  1. A személyes adatok címzettjei, a társaság kereskedelemmel, ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.

 

  1. A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.

 

 

 

VIII. RÉSZ

JOGI KÖTELEZETTSÉG TELJESÍTÉSÉN ALAPULÓ ADATKEZELÉSEK

 

  1. Adó-, járulék- és számviteli kötelezettségek teljesítése céljából

 

  1. A társaság jogi kötelezettség teljesítése alapján, törvényben előírt adó-, járulék és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.

 

  1. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169. §, és 202. §-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167. §-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (továbbiakban: Szjatv.) alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.

 

  1. A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

 

  1. A jelen címhez kapcsolódó személyes adatokat a társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.

 

  1. Munkajogviszonyra vonatkozó adatkezelések

 

  1. A társaság jogi kötelezettség teljesítése alapján, törvényben előírt munkajogviszony szabályszerű teljesítése céljából kezeli a munkavállalók törvényben meghatározott adatait.

 

  1. Szabadság nyilvántartással kapcsolatban az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés c) pontja és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 8 év.

 

  1. Jelenlét nyilvántartása esetén az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés a) pontja és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 8 év.

 

  1. Fegyelmi eljárással és döntéssel kapcsolatban az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 56. § és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év.

 

  1. Kártérítési eljárás mukavállalónak okozott kár kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. XIII. fejezet és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság felelősségbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a felelősségbiztosító társasággal.

 

  1. Kártérítési eljárás munkáltatónak okozott kár esetén az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. XIV. fejezet és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság vagyon/készletbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a biztosító társasággal.

 

  1. Munkahelyi balesetekhez kapcsolódó adatkezelés kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a munkavédelemről szóló 1993 évi XCIII. törvény 7. §, 49. §-ai és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság felelősségbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a felelősségbiztosító társasággal.

 

  1. Szakszervezeti, üzemi tanácsi képviselő adataira vonatkozóan az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 232. § és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év.

 

  1. Gyakorlatot teljesítő személyek adatai kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét 2011. évi CLXXXVII. törvény és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. A szakképzésben közreműködő oktatási intézménnyel közös adatkezelői szerződést indokolt kötni.

 

  1. Munkaerő kölcsönzés kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. XVI. fejezet és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. A munkaerő közvetítő társasággal közös adatkezelői szerződést indokolt kötni.

 

  1. Készenlét kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés b) pontja és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év.

 

  1. A jelen címhez kapcsolódó személyes adatokat a társaság személyzeti feladatait ellátó munkavállalói, illetve a közös adatkezelők kezelhetik.

 

  1. Kifizetői adatkezelés

 

  1. A társaság a törvényben előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés)  céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (az adózás rendjéről szóló 2017. évi CL. törvény (Art.) 7. § 31. pontja) kapcsolatban áll. A kezelt adatok körét az Art. 50. §-a határozza meg, kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szjatv. 40. §) és szakszervezeti (Szjatv. 47. § (2) bekezdés b) pontja) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.

 

  1. A társadalombiztosítási járulék levonásához kapcsolódó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét társadalombiztosítási nyugellátásról szóló 1997. évi LXXX. törvény határozza meg.

 

  1. A társaság a munkavállalókat terhelő tartozásokhoz kapcsolódó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a bírósági végrehajtásról szóló 1994. évi LIII. törvény 24. § – 28. §-ai és a törvény további rendelkezései határozzák meg.

 

  1. Kiküldetés céljából történő adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Szjatv. 3 § 10., 11., 12., 83. pontjai és a törvény további rendelkezései határozzák meg.

 

  1. Cafeteria juttatásokkal kapcsolatos adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Szjatv. 71. §-a és a törvény további rendelkezései határozzák meg. A társaság a cafeteria szolgáltatást nyújtó szolgáltatókkal közös adatkezelésre vonatkozó szerződést köt.

 

  1. Baleseti ellátásra vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény (továbbiakban: Ebtv.) VI. fejezete és a törvény további rendelkezései határozzák meg.

 

  1. Csed, gyed kifizetés vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Ebtv. 40. § – 42./F §-ai és a törvény további rendelkezései határozzák meg.

 

  1. Betegszabadságra vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés c) pontja és a törvény további rendelkezései határozzák meg.

 

  1. Táppénz kifizetésre vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét 1997. évi LXXXIII. törvény 43. § és a törvény további rendelkezései határozzák meg.

 

  1. A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

 

  1. A személyes adatokat a társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.

 

  1. A maradandó értékű iratokra vonatkozó adatkezelés

 

  1. A társaság kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény szerint maradandó értékűnek minősülő iratait abból a célból, hogy irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.

 

  1. A személyes adatokat a társaság vezetője, iratkezelést, irattározást végző munkavállalója, a közlevéltár munkatársa kezelheti.

 

 

  1. A termék vásárlásához kapcsolódó igényekre vonatkozó adatkezelés

 

  1. A garanciális igények biztosítása érdekében a társaság garancia levelet tölt ki meghatározott termékek esetén. A garancialevelet a vásárlást követően átadjuk. A garancia későbbi érvényesítése esetén a gyártó, illetve a forgalmazó felé érvényesítjük a jogokat – kijavítás, kicserélés, pénzvisszafizetés – a garancialevél alapján, amelynek során személyes adatait kezeljük.

 

  1. A termék kijavítása, kicserélése esetén azt postai úton, illetve futárszolgálat segítségével a forgalmazó, illetve gyártó részére eljuttatjuk.

 

  1. Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) pontja, a társaságra vonatkozó jogi kötelezettség teljesítése a Ptk. XXIV. Fejezet alapján.

 

  1. Az adatokat a garanciális igény érvényesítését követően töröljük, pénzvisszafizetés esetén az elszámolás alapját képező iratokat 8 évig megőrizzük.

 

  1. Amennyiben a társasággal szemben panasszal kíván élni, a társaság jegyzőkönyvet vesz fel, amelyben rögzítésre kerül neve, címe, és a panasz leírása.

 

  1. Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) pontja, a társaságra vonatkozó jogi kötelezettség teljesítése a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § alapján.

 

  1. A panaszát 30 napon belül elbíráljuk, eredményéről értesítjük, a keletkezett iratokat 5 évig megőrizzük.

 

  1. A termék vásárlásához kapcsolódó igények körében az adatkezelésre a társaság meghatározott munkavállalója jogosult.

 

  1. A pénzmosás / terrorizmus finanszírozása elleni kötelezettségekhez, és korlátozó intézkedésekhez kapcsolódó adatkezelés

 

  1. A társaság, a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényben (Pmt.) meghatározott célból kezeli ügyfelei, ezek képviselői, és a tényleges tulajdonosok meghatározott adatait (családi utónevét, születési családi és utónevét, állampolgárságát, születési helyét, idejét, anyja születési nevét, lakcímét, ennek hiányában tartózkodási helyét, azonosító okmányának típusát és számát; lakcímet igazoló hatósági igazolványa számát). Az adatkezelés ideje a Pmt. 56. § (2) bekezdése alapján 8 év.

 

  1. A társaság az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvényben (Kit) meghatározott célból kezeli a törvényben meghatározott adatokat (családi utónevét, születési családi és utónevét, állampolgárságát, születési helyét, idejét, anyja születési nevét, lakcímét, ennek hiányában tartózkodási helyét, azonosító okmányának típusát és számát). Az adatkezelési idő a Kit. 16. § (5) bekezdése alapján 10 év.

 

  1. A személyes adatokat a társaság vezetője, ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, a társaság által kijelölt személye jogosult.

 

 

 

 

 

 

 

 

 

 

  1. RÉSZ

A TÁRSASÁG ADATFELDOLGOZÓIRA VONATKOZÓ RENDELKEZÉSEK

  1. Adatfeldolgozói tevékenységek

 

  1. A társaság az alábbi tevékenységek tekintetében vesz igénybe adatfeldolgozást:
  2. a) Számviteli, könyvvizsgálói, adószakértői tevékenység
  3. b) webtárhely szolgáltatás
  4. c) vállalatirányítás, számlázás
  5. d) Egyéb postai, futárpostai tevékenység

 

  1. Adatfeldolgozói garancianyújtás

 

  1. A társaság adatfeldolgozói garantálja – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – hogy a GDPR követelményeinek teljesülését, az adatkezelés biztonságát biztosító technikai és szervezési intézkedéseket végrehajtják.

 

  1. Az adatfeldolgozók biztosítják, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak. Az alkalmazandó titoktartási nyilatkozat szövegét a sz. melléklet tartalmazza.

 

  1. Az adatfeldolgozók megfelelő hardver és szoftver eszközökkel rendelkezik, az adatkezelés jogszerűségének és az érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására kötelezettséget vállal, amelyekről tájékoztatja a megbízó adatkezelőt.

 

  1. A társaság az állami szervekkel való elektronikus kapcsolattartás jogi és technikai feltételeivel rendelkezik. A társaság a saját neve alatt tartja a kapcsolatot az állami szervekkel, a megbízó adatkezelő felhasználónevét, jelszavát nem kezeli.

 

  1. A társaság a megbízó adatkezelő rendelkezésére bocsát minden olyan adatot, amely az adatfeldolgozó igénybevételére vonatkozó megfelelés igazolásához szükséges.

 

  1. Az adatkezelő kötelezettségei és jogai

 

  1. Az adatfeldolgozásra vonatkozó előzetes tájékoztatás megadása az adatkezelő felelőssége.

 

  1. Amennyiben az érintett a jelen szerződés tárgyát képező adatkezelési műveletekkel érintett személyes adatok tekintetében az érintetti jogok gyakorlása érdekében kérelmét az adatfeldolgozóhoz nyújtja be, az érintetti jogok gyakorlását minden esetben az adatkezelő jogosult és köteles biztosítani és az érintett értesítését teljesíteni.

 

  1. A megbízó adatkezelő jogosult ellenőrizni az adatfeldolgozónál a szerződés szerinti tevékenység végrehajtását.

 

  1. Az adatkezelőnek a szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért az adatkezelő felel, ugyanakkor az adatfeldolgozó köteles haladéktalanul jelezni az adatkezelőnek, amennyiben az utasítás vagy annak végrehajtása jogszabályba ütközne.

 

  1. Az adatkezelő kötelezettsége, hogy az érintett természetes személyeket jelen szabályzat szerinti adatfeldolgozásról tájékoztassa, ha jogszabály előírja, hozzájárulásukat beszerezze.

 

  1. Amennyiben az adatvédelmi incidensekre vonatkozó értesítéshez szükséges kapcsolattartáshoz az adatkezelő új elérhetőségeket határoz meg, vagy a meglévőket módosítja, arról haladéktalanul tájékoztatja az adatfeldolgozót.

 

  1. Az adatfeldolgozó kötelezettségei és jogai

 

  1. Az adatfeldolgozó tevékenységét az adatkezelő írásbeli utasítása és érdeke szerint teljesíti. Az adatfeldolgozó az adatkezelő utasításaitól csak halaszthatatlan esetekben, az adatkezelő érdekében és késedelem nélküli értesítése mellett térhet el.

 

  1. Az adatfeldolgozó biztosítja, hogy az érintett személyes adatokhoz hozzáférő személyek – ha jogszabályon alapuló titoktartási kötelezettség hatálya alatt egyébként nem állnak – titoktartási kötelezettséget vállaljanak.

 

  1. Az adatfeldolgozó a – tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének – megfelelő szintű adatbiztonságot garantálja.

 

  1. Az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az eltérésre uniós vagy tagállami jog kötelezi őket.

 

  1. Az adatfeldolgozó gondoskodik arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá.

 

  1. Az adatfeldolgozó gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről. Az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is.

 

  1. Az adatfeldolgozó a szerződésben meghatározott feladatok ellátása érdekében megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe venni. Köteles továbbá gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések, kötelezettségek, valamint az adatfelvétel célja és módja tekintetében.

 

  1. Az érintettől származó, érintetti jogok gyakorlása érdekében benyújtott kérelmeket, amennyiben azok az adatfeldolgozóhoz érkeznek, az adatfeldolgozó köteles az adatkezelő részére 3 munkanapon belül elektronikus úton továbbítani.

 

  1. Amennyiben az adatfeldolgozó számára a szerződés teljesítése során bármikor olyan körülmény áll elő, amely akadályozza az időben történő teljesítést, úgy az adatfeldolgozónak haladéktalanul, de legkésőbb 3 munkanapon belül írásban értesítenie kell az adatkezelőt a késedelemről, annak várható elhúzódásáról és okairól.

 

  1. Az adatfeldolgozó vállalja, hogy további adatfeldolgozót csak a GDPR-ben és az Infotv-ben meghatározott feltételek teljesítése mellett vesz igénybe. Az adatfeldolgozó kizárólag az adatkezelő előzetes írásbeli felhatalmazása esetén vehet igénybe további adatfeldolgozót.

 

  1. Az adatfeldolgozó a további adatfeldolgozó igénybe vételét megelőzően tájékoztatja az adatkezelőt a további adatfeldolgozó személyéről, valamint a további adatfeldolgozó által végzendő tervezett feladatokról. Ha az adatkezelő ezen tájékoztatás alapján a további adatfeldolgozó igénybe vételével szemben kifogást emel, a további adatfeldolgozó igénybevételére az adatfeldolgozó kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult. Ha az adatfeldolgozó további adatfeldolgozó szolgáltatásait igénybe veszi, erre köteles szerződést kötni, és a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek. A további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR és az infotv. követelményeinek. Ha a további adatfeldolgozó nem teljesíti az adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

 

  1. Az adatfeldolgozó tudomására jutott minden adat, információ kizárólag az adatkezelő részére hasznosítható.

 

  1. Amennyiben az adatfeldolgozó számára a szerződés teljesítése során bármikor olyan körülmény áll elő, amely akadályozza az időben történő teljesítést, úgy az adatfeldolgozónak haladéktalanul, de legkésőbb 3 munkanapon belül írásban értesítenie kell az adatkezelőt a késedelemről, annak várható elhúzódásáról és okairól.

 

  1. Amennyiben az adatkezelő megítélése szerint szükséges, az adatfeldolgozó az adatkezelő külön megkeresését követően részt vesz az adatkezelő által lefolytatott adatkezelési kockázatelemzésekben és adatvédelmi hatásvizsgálatban.

 

  1. Amennyiben az adatfeldolgozónál az adatkezelő részére feldolgozott adatok tekintetében adatvédelmi incidens következik be, az adatfeldolgozó az adatkezelő adatvédelmi tisztviselőjét haladéktalanul értesíti a sz. mellékletét szerinti incidens-bejelentési lap megküldésével.

 

  1. Az adatvédelmi incidens felderítése, a bekövetkezett hatások feltárása, az érintettekre gyakorolt következmények elhárítása, orvoslása érdekében, továbbá a felügyeleti hatóság (NAIH) esetleges eljárása esetén az adatfeldolgozó az adatkezelővel együttműködik, a szükséges dokumentációkat rendelkezésre bocsátja.

 

  1. Az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t, vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

 

  1. Az adatfeldolgozó, az adatok kezeléséhez használt adatkezelési rendszer biztonsági kockázatait – így különösen a személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő – elemezte, az általa a rendszerhez rendelt technikai és szervezési intézkedések a megállapított kockázatok kezelésére alkalmasak, a kockázatok elemzését tartalmazó dokumentáció rendelkezésre áll.

 

  1. Az adatkezelő, illetőleg a szerződésből eredő feladatai tekintetében az adatfeldolgozó köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Ennek keretében az adatfeldolgozó szavatolja, hogy a személyes adatokat kizárólag titoktartási nyilatkozatot tett és adatvédelmi oktatásban részesített, megfelelő szaktudással rendelkező személyek végzik.

 

  1. A titoktartási kötelezettség az Adatfeldolgozót a szerződés teljesítésére, illetőleg megszűnésére tekintet nélkül, határidő nélkül terheli.

 

  1. Az adatfeldolgozás általános szerződési feltételei

 

  1. A társaság az adatfeldolgozási tevékenységre a megbízó adatkezelővel írásbeli szerződést köt.

 

  1. A társaság adatfeldolgozási tevékenységének általános szerződési feltételeit a sz. melléklet tartalmazza.

 

  1. Az általános szerződési feltétel tartalmát a másik féllel a szerződéskötést megelőzően meg kell ismertetni, és azt a másik félnek el kell fogadnia.

 

 

 

  1. RÉSZ

ADATVÉDELMI INCIDENSEK KEZELÉSE

 

  1. Az adatvédelmi incidens fogalma

 

  1. Az adatvédelmi incidens fogalmát a GDPR 4. cikk 12. pontja tartalmazza. Adatvédelmi incidens lehet például: a pendrive, laptop vagy mobil telefon elvesztése, személyes adatok elvesztése, nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása (tévesen küldött email), ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése, személyes adatot kezelő informatikai rendszer elérhetetlenné válása, személyes adat nyilvánosságra hozatala.

 

  1. Adatvédelmi incidensek kezelés, orvoslása

 

  1. Az adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása, ellenőrzése a társaság vezetőjének feladata.

 

  1. Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni szükséges.

 

  1. Amennyiben a társaság ellenőrzésre jogosult munkavállalói adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a társaság vezetőjét.

 

  1. A társaság munkavállalói kötelesek írásban jelezni a vezetőnek, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

 

  1. Az adatvédelmi incidens bejelenthető a társaság központi e-mail címén, telefonszámán.

 

  1. Adatvédelmi incidens bejelentése esetén a társaság vezetője – az informatikai, pénzügyi és működési vezető és az adatvédelmi tisztviselő bevonásával – haladéktalanul megvizsgálja a bejelentést.

 

  1. Az előzetes vizsgálat során el kell dönteni, hogy valódi incidensről, vagy téves jelzésről van szó. Az előzetes vizsgálatba a vezető bevonja a rendszergazdát, szükség esetén az adatvédelmi tisztviselőt, illetve az adatfeldolgozót, valamint a személyes adat kezelésének ellenőrzésével megbízott személyt.

 

  1. A kivizsgálás eredményéről a társaság vezetője részére összefoglaló és döntési javaslat készül, valamint a feltárt hibák, hiányosságok orvoslására haladéktalanul intézkedni kell.

 

  1. Meg kell vizsgálni és meg kell állapítani:
  2. a) az incidens fajtáját
  3. b) a bekövetkezésének időpontját és helyét,
  4. c) az incidens körülményeit, hatásait,
  5. d) az incidens során kompromittálódott adatok körét, számosságát,
  6. e) a kompromittálódott adatokkal érintett személyek körét,
  7. f) az incidens elhárítása érdekében tett intézkedések leírását,
  8. g) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

 

  1. Amennyiben az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóság részére (NAIH), úgy erről a társaság vezetője dönt, és felkéri az adatvédelmi tisztviselőt az online rendszerben való rögzítésre.

 

  1. Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni, el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

 

  1. Amennyiben az adatvédelmi incidens kapcsán bűncselekmény gyanúja merül fel, úgy a társaság büntetőfeljelentést tesz.

 

  1. Az adatvédelmi incidensek megfelelő kezelését erre irányuló vezetői döntés esetén évente gyakorolni indokolt.

 

  1. Adatvédelmi incidensek nyilvántartása

 

  1. Az adatvédelmi incidensekről a sz. melléklet szerinti nyilvántartást kell vezetni, amely tartalmazza:
  2. a) az incidens jellegét,
  3. b) az érintett személyes adatok kategóriáit, számát,
  4. c) az adatvédelmi incidenssel érintettek körét és számát,
  5. d) az adatvédelmi incidensről történt tudomásszerzés időpontját, körülményeit,
  6. e) az adatvédelmi incidens körülményeit, hatásait,
  7. f) az adatvédelmi incidens orvoslására megtett intézkedéseket,
  8. g) a bejelentés időpontját,
  9. h) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

 

  1. A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

 

  1. Az adatvédelmi incidenseket nyilván kell tartani és amennyiben kockázatot jelentenek az érintettekre vonatkozóan, úgy a NAIH részére is be kell jelenteni. A társaság a NAIH honlapján elérhető online incindens bejelentő felületen regisztrál.

 

 

 

 

 

 

  1. RÉSZ

ADATVÉDELMI HATÁSVIZSGÁLAT

 

  1. Adatvédelmi hatásvizsgálat és előzetes konzultáció

 

  1. Ha az adatkezelés a NAIH honlapján közzétett hatásvizsgálati jegyzékben szerepel, illetve 29. cikk szerinti munkacsoport WP 248. számú állásfoglalása alapján hatásvizsgálat köteles, mivel – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

 

  1. Nem kell adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges vagy közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, és az adatkezelést jogszabály írja elő, amennyiben a jogalkotó a jogszabály-előkészítés során adatvédelmi hatásvizsgálatot végzett.

 

 

  1. Az adatvédelmi hatásvizsgálat szükségességének megállapításához az érintett szakterület megválaszolja az 1. függelékben foglalt kérdéseket.

 

  1. Ha a tervezett adatkezelés annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve – valószínűsíthetően magas kockázatot nem azonosít, vagy megállapítást nyer, hogy az adatkezelés az adatvédelmi jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét az érintett szakterület írásban rögzíti.

 

  1. Amennyiben az érintett szakterület az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve magas kockázatot azonosít vagy jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esete áll fenn, adatvédelmi hatásvizsgálat lefolytatását kezdeményezi az adatkezelő szerv vezetőjénél.

 

  1. Az adatkezelő szerv vezetője az érintett szakterület javaslatára elrendeli az adatvédelmi hatásvizsgálat lefolytatását, vagy írásban rögzíti mellőzésének okait. Az adatvédelmi hatásvizsgálat lefolytatásáig vagy az annak elmaradásával kapcsolatos okok írásban történő rögzítéséig az adatkezelésről szóló döntés nem hozható meg.

 

  1. Az adatvédelmi hatásvizsgálat lefolytatásában az adatkezelés által érintett szakterület vesz részt. Az adatvédelmi hatásvizsgálatot az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy segíti. Az adatvédelmi hatásvizsgálat iratai nem nyilvánosak.

 

  1. Az adatkezelési hatásvizsgálatot végző szakterület az adatvédelmi hatásvizsgálatról összefoglaló értékelést készít a 2. függelékben foglaltak alapján. Az összefoglaló értékelést az adatkezelő szerv vezetője hagyja jóvá, melyet követően az adatkezelést el lehet kezdeni.

 

  1. A hatásvizsgáltot a NAIH honlapján elérhető hatásvizsgálati szoftver (PIA szoftver) alkalmazásával kell teljesíteni.

 

  1. Az adatvédelmi hatásvizsgálat megrendeléséért a társaság vezetője a felelős. A hatásvizsgálatba, ha van kijelölt adatvédelmi tisztviselő, tanácsát ki kell kérni.

 

  1. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

 

  1. Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36. cikkei és az Infotv. rendelkezései irányadók.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

XII. RÉSZ

AZ ÉRINTETT JOGAI

 

  1. Az érintetti jogok gyakorlásának garanciái

 

  1. A társaság honlapján az érintettek jogairól tájékoztatót kell elhelyezni és azt folyamatosan karbantartani, amely tájékoztató jelen szabályzat számú melléklete.

 

  1. Az adatkezeléshez kapcsolódó igényeket a társaság vezetője részére be kell mutatni, aki gondoskodik arról, hogy határidőn belüli megválaszolásáról.

 

  1. Minden esetben meg kell győződni arról, hogy a jogokat gyakorolni kívánó személy jogosult-e a jogok gyakorlására. Ebből a célból az érintettnek a jog gyakorlásához kapcsolódó személyes adatait előzetesen ellenőrizni kell. Az azonosítás során csak az azonosítás teljesítéséhez szükséges adat kezelhető.

 

  1. A jogok gyakorlása során mások jogai, szabadsága nem sérülhet, ezért a társaság a meg nem ismerhető adatok anonimizálásáról gondoskodik.

 

  1. A társaság annak érdekében, hogy az érintett a jogait megfelelő módon és terjedelemben gyakorolhassa, az adatvédelmi tisztviselőt bevonja az érintettnek adandó választervezet előkészítésébe.

 

  1. Az érintett jogait díjmentesen gyakorolhatja. A visszaélésszerű joggyakorlás esetén – így különösen ugyanarra az adatra vonatkozó ismételt kérelem esetén – önköltségi díj számítható fel.

 

  1. Az érintett jogai:
  2. a) átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése;
  3. b) előzetes tájékozódás – ha a személyes adatokat az érintettől gyűjtik;
  4. c) az érintett tájékoztatása, ha a személyes adatait nem tőle szerezték meg;
  5. d) hozzáférési jog;
  6. e) helyesbítéshez való jog;
  7. f) törléshez való jog (elfeledtetéshez való jog);
  8. g) adatkezelés korlátozásához való jog;
  9. h) a helyesbítéséhez, törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítés joga;
  10. i) adathordozhatósághoz való jog;
  11. j) tiltakozáshoz való jog;
  12. k) automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást;
  13. l) korlátozások;
  14. m) tájékoztatás az adatvédelmi incidensről;
  15. n) a felügyeleti hatóságnál panaszhoz való jog (hatósági jogorvoslathoz való jog);
  16. o) a felügyeleti hatósággal szembeni bírósági jogorvoslat joga;
  17. p) az adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslat joga;

 

 

  1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának támogatása

 

  1. Az adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást díjmentesen, tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – dokumentáltan kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

 

  1. Az adatkezelőnek elősegíti az érintett jogainak a gyakorlását, ennek biztosítása érdekében konzultál az adatvédelmi tisztviselővel.

 

  1. Az adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a GDPR-ban írt feltételekkel további két hónappal meghosszabbítható. A határidő meghosszabbításáról és annak okairól az érintettet egy hónapon belül tájékoztatni kell.

 

  1. Ha az adatkezelő nem intézkedik az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

  1. Előzetes tájékozódáshoz való jog, ha a személyes adatokat az érintettől gyűjtik

 

  1. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelést megelőzően tájékoztatást kapjon az alábbiakról:
  2. a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
  3. b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
  4. c) a személyes adatok tervezett kezelésének céljáról, az adatkezelés jogalapjáról,
  5. d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
  6. e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik – illetve a címzettek kategóriáiról, ha van ilyen;
  7. e) annak tényéről, ha az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

 

  1. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:
  2. a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  3. b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  4. c) az érintett hozzájárulásán alapuló adatkezelés esetén, a hozzájárulás visszavonásához való jogról, amely nem érinti a visszavonás előtt végrehajtott adatkezelés jogszerűségét;
  5. d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  6. e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
  7. f) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

  1. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet az eltérő célról és az előző pontban írt minden releváns kiegészítő információról.

 

  1. Az érintett rendelkezésére bocsátandó információk, ha a személyes adatokat nem tőle szerezték meg

 

  1. Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell a megelőző cím első két pontjában írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint  a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

 

  1. A további szabályokra a megelőző cím első két pontjában írtak irányadók.

 

 

  1. Az érintett hozzáférési joga

 

  1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz és az Előzetes tájékoztatáshoz való jog kezdetű című 357. pontjában írt információkhoz hozzáférést kapjon.

 

  1. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére továbbítják, az érintett jogosult tájékoztatást kapni a GDPR 46. cikk szerinti továbbításra vonatkozó garanciákról.

 

 

  1. A helyesbítéshez való jog

 

  1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

 

  1. Az adatkezelés céljára figyelemmel, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

 

  1. A helyesbítés, kiegészítés gyakorlása esetén a megváltozott, illetve új adatok igazolását (bemutatását) kell kérni az érintettől.

 

  1. A törléshez való jog („az elfeledtetéshez való jog”)

 

  1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
  2. a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  3. b) az érintett visszavonja az adatkezelésre vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  4. c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
  5. d) a személyes adatokat jogellenesen kezelték;
  6. e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  7. f) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

  1. A törléshez való jog nem gyakorolható, ha az adatkezelés szükséges
  2. a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  3. b) az adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  4. c) a népegészségügy területét érintő közérdek alapján;
  5. d) a közérdekű archiválási-, tudományos és történelmi kutatási-, vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  6. e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

 

  1. Az adatkezelés korlátozásához való jog

 

  1. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha:
  2. a) az érintett vitatja a személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely alatt az adatkezelő ellenőrizheti a személyes adatok pontosságát;
  3. b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és helyette kéri azok felhasználásának korlátozását;
  4. c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  5. d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

 

  1. Az adatkezelés korlátozása esetén a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy személyek jogainak védelme érdekében, vagy fontos közérdekből lehet kezelni.

 

  1. Az adatkezelés korlátozásának idejére intézkedni kell az adatokhoz való felhasználói hozzáférés megszüntetéséről, az érintett adat honlapról való eltávolításáról, illetve a papír alapú, illetve elektronikus tárolás megváltoztatásáról.

 

  1. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.

 

  1. A helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

 

  1. Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

 

  1. Az adathordozhatósághoz való jog

 

  1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
  2. a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
  3. b) az adatkezelés automatizált módon történik.

 

  1. Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is.

 

  1. Az adathordozhatósághoz való jog gyakorlása nem sértheti a törléshez való jogot. Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

 

  1. Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

 

  1. Az adathordozhatósághoz való jog az adatkezelő által feldolgozás eredményeként létrejövő adatok esetén nem gyakorolható.

 

  1. A tiltakozáshoz való jog

 

  1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken, alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben az adatkezelő az érdekmérlegelési tesztet ismét lefolytatja és a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

 

  1. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése esetén, az érintett jogosult arra, hogy tiltakozzon a rá vonatkozó személyes adatok kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

 

  1. Az előző két pontban rögzített jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

 

  1. Az információs társadalommal összefüggő szolgáltatásokhoz kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja, amelyre legkésőbb az első kapcsolatfelvétel során fel kell hívni az érintett figyelmét.

 

  1. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

 

  1. Automatizált döntéshozatal, profilalkotás

 

  1. Az érintett jogosult arra, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

 

  1. Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:
  2. a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
  3. b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
  4. c) az érintett kifejezett hozzájárulásán alapul.

 

  1. Az iménti bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, magyarázatot kapjon, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be. Automatizált adatkezelés gyermekre, különleges adatokra, bűnügyi adatokra nem vonatkozhat.

 

  1. Korlátozások

 

  1. Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel a GDPR 23. cikkben meghatározott esetekben korlátozhatja jogok és kötelezettségek (Rendelet 12-22. cikk, 34. cikk, 5. cikk) terjedelmét, hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.

 

  1. Tájékoztatás az adatvédelmi incidensről

 

  1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

 

  1. Az adatvédelmi incidensről szóló tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább:

 

  1. a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  2. c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  3. d) az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

  1. Az érintettet nem kell az tájékoztatni, ha:
  2. a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  3. b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  4. c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

  1. A felügyeleti hatóságnál (NAIH) történő panasztétel joga

 

  1. Az érintett jogosult panaszt tenni a felügyeleti hatóságnál (Nemzeti Adatvédelmi és Információszabadság Hatóság), ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

 

  1. A felügyeleti hatósággal szembeni bírói jogorvoslat joga

 

  1. Az egyéb jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

 

  1. Az érintett jogosult a bírósági jogorvoslatra, ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

 

  1. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

 

  1. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében az Európai Adatvédelmi Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.

 

  1. Az adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslat joga

 

  1. A rendelkezésre álló nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a jogait.

 

  1. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

 

 

 

 

 

 

XIII. RÉSZ

ZÁRÓ RENDELKEZÉSEK

 

  1. A Szabályzat megállapítása, módosítása és beépítése

 

  1. A Szabályzat megállapítására és módosítására a társaság vezetője jogosult.

 

  1. Jelen szabályzatot a társaságnál helyben szokásos helyen és módon ismertetni kell a munkavállalókkal, a szerződéses partnerek részére igény esetén meg kell küldeni, át kell adni.

 

  1. Jelen szabályzat a társaságnál helyben szokásos helyen és módon történt kihirdetést követő napon hatályba lép.

 

  1. A szabályzatot a jogszabályi környezet, a NAIH joggyakorlatának jelentős változása, a társaság tevékenységében, adatkezeléseiben bekövetkező jelentős változás esetén soron kívül, egyéb esetben 3 évente felül kell vizsgálni.

 

  1. A társaság vezetője gondoskodik arról, hogy az adatvédelmi szabályzatban meghatározott előírások a társaság folyamataiban és mindennapjaiban érvényre jussanak.

 

 

  1. Jelen szabályzatban foglaltak betartása és érvényesítése a társaság valamennyi munkavállalójának kötelessége.

 

  1. A Szabályzat rendelkezéseit meg kell ismertetni a társaság valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége. A munkaszerződés kiegészítés mintáját jelen szabályzat számú melléklete tartalmazza.

 

  1. A társaság jelen szabályzat alapján a munkavállalók munkaszerződéseit kiegészíti, a munkavégzéssel együtt nem járó személyes adatok átadása esetére titoktartási kötelezettséget ír elő.

 

  1. A munkaszerződés módosításban a szabályzatban foglaltak be nem tartása esetén egy havi alapbéréig terjedő szankció állapítható meg, amennyiben a munkavállaló által okozott adatvédelmi incidenst legalább az adatvédelmi felügyeleti hatóság (NAIH) részére be kell jelenteni.

 

  1. A társaság az adatvédelmi szabályok megszegése esetén az érintettel szemben fegyelmi eljárást kezdeményez, illetve büntető feljelentést tesz.

 

  1. A társaság állományába újonnan került olyan személyeket, akik munkakörüknél fogva személyes adatokat kezelnek, az adatvédelmi tisztviselő, vagy más erre megbízott személy köteles az állományba vételt követő három munkanapon belül adatvédelmi oktatásban részesíteni és részére a szükséges jogszabályokat, belső normákat és egyéb segédanyagokat rendelkezésre bocsátani, majd az oktatást követő egy héten belül vizsgáztatásukat elvégezni.

 

  1. A társaság személyes adatok kezelő állománya évente adatvédelmi oktatáson vesz részt, amelyet adatvédelmi tisztviselő tart. Az éves oktatás során incidenskezelési gyakorlat megtartására is sor kerülhet (nem valós adatokkal).

 

  1. Az érintett vezető, a rá vonatkozó adatvédelmi szabályok betartásáról és a hozzá tartozó állomány kapcsán a szabályok érvényesüléséről gondoskodik. Az érintett vezető a 1. sz. melléklet szakterületét érintő részét figyelemmel kíséri, a változást jelzi a nyilvántartásért felelős személy részére.

 

  1. Az adatkezelő szerv adatvédelmi tevékenységének célellenőrzését az adatkezelő szerv vezetője rendelheti el. Az informatikai biztonsági feltételek teljesülését félévente ellenőrizni kell, eredményéről jelentést kell tenni a vezető részére.

 

  1. Jelen szabályzatot valamennyi munkavállaló számára elérhetővé kell tenni, mind elektronikusan, mind papír alapon.

 

  1. Jelen szabályzat és annak mellékletei dr. Kozma Gergely e.v. szellemi terméke, aki fenntart minden jogot ideértve a fordítást, többszörözést, értékesítést is.

 

 

 

 

 

 

 

  1. függelék kérdőív az előzetes kockázatelemzéshez

Első rész: Szükséges-e a hatásvizsgálat lefolytatása? Előzetes adatvédelmi kockázatelemzés

  1. Használ vagy fejleszt-e olyan informatikai rendszert, amely személyes adatokat kezel?

Igen  Nem 

  1. Szükséges-e személyes adatokat gyűjteni a szolgáltatás működtetéséhez?

Igen  Nem 

  1. Megvalósul-e a korábbiaktól eltérő célú adatkezelés már meglévő személyes adatokkal kapcsolatban?

Igen  Nem 

  1. a) Alkalmaz új adatköröket gyűjtő technológiát, amely jelentős mértékben megváltoztatja az adatkezelést?

Igen  Nem 

  1. b) Ha releváns szervezeti változás következik be:

– az egyesülés, beolvadás vagy egyéb szervezeti átalakulás hatással van-e az adatbázisokra?

Igen  Nem 

– ez a változás eredményezi új adatok kezelését vagy új nyilvánosságra hozatali eljárásokat?

Igen  Nem 

  1. c) Ha ez az információ már korábban be lett gyűjtve:

– érint-e új vagy nagy létszámú érintett csoportot?

Igen  Nem 

– rögzít-e ezen felül további személyes adatot?

Igen  Nem 

  1. A szolgáltatás korlátozza-e az érintettek személyes adataikhoz való hozzáféréséhez fűződő jogait?

Igen  Nem 

  1. Tervezi-e egymást követő 12 hónapból álló időszak során nagyszámú érintettekre vonatkozó személyes adatainak kezelését?

Igen  Nem 

  1. Megvalósul-e különleges adatok, tartózkodási helyre utaló adatok, illetve gyermekekre vagy munkavállalókra vonatkozó, széles körű nyilvántartási rendszerekben tárolt adatok kezelése?

Igen  Nem 

  1. Megvalósul-e profilalkotás, amelyre az érintett személy tekintetében joghatással bíró vagy az egyént hasonlóan jelentős mértékben érintő intézkedések épülnek?

Igen  Nem 

  1. Megvalósul-e egészségügyi ellátás nyújtására, járványügyi kutatásokra, mentális vagy fertőző betegségekre irányuló felmérésekre vonatkozó személyes adatok kezelése, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor?

Igen  Nem 

  1. Megvalósul-e nyilvánosság számára hozzáférhető területek (közterületek) nagyarányú, automatizált nyomon követése?

Igen  Nem 

  1. Megvalósul-e olyan adatkezelés, amely során a személyes adatok megsértése várhatóan hátrányosan érintené az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét?

Igen  Nem 

  1. Az adatkezelő vagy adatfeldolgozó fő tevékenységei olyan eljárásokat foglalnak-e magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű megfigyelését igénylik?

Igen  Nem 

  1. A személyes adatokat olyan jelentő számú személy számára teszi-e hozzáférhetővé, amely észszerűen elvárható módon nem korlátozható?

Igen  Nem 

  1. Létrejön-e új azonosító vagy hozzáférési jogosultságot ellenőző rendszer, például biometrikus azonosítás?

Igen  Nem 

  1. Megfigyelés alatt állnak-e az érintettek helyváltoztatás, másokkal való kommunikáció vagy egyéb magatartás tanúsítása közben?

Igen  Nem 

  1. Megvalósul-e automatizált adatfeldolgozás?

Igen  Nem 

  1. Személyes adatok védelmének növelése érdekében előre (ha volt ilyen) a korábbinál magasabb szintű adatbiztonsági követelményeket?

Igen  Nem 

  1. Személyes adatokkal való visszaélés megelőzése érdekében bevezetésre kerülnek-e új vagy módosított előírások?

Igen  Nem 

  1. Személyes adatok tárolásával kapcsolatban bevezetésre kerülnek-e új vagy módosított előírások?

Igen  Nem 

  1. Megvalósul-e tudományos kutatási vagy statisztikai célból történő adatkezelés?

Igen  Nem 

  1. Az adatkezelés kiterjed-e különleges adatokra?

Igen  Nem 

  1. Megvalósul-e bármilyen más, magánszférát érintő magatartás?

Igen  Nem 

  1. Végeztek-e már korábban hatásvizsgálatot? Ha a válasz igen, csatolja a dokumentumot!

Igen  Nem 

 

 

 

Második rész: Előzetes hatásvizsgálat

  1. Ki a tájékoztatásra kötelezett személy (név, telefonszám, e-mail-cím)? (Ha van adatvédelmi tisztviselő, akkor az ő adatai.)
  2. Mutassa be a szolgáltatás működését, felépítését!
  3. Ki az adatkezelő (név, telefonszám, e-mail-cím, postai cím)?
  4. Mi az adatkezelés pontos címe/helye/webhelye? (Csak akkor töltse ki, ha az eltér az adatkezelő címétől!)
  5. Mi az adatkezelés célja, módja és jogalapja?
  6. Mi az adatkezelés időtartama?
  7. Kíván-e adatfeldolgozót igénybe venni? Ha igen, mutassa be részletesen az adatfeldolgozó személyét (kapcsolattartó, adatkezeléssel összefüggő tevékenység, adatfeldolgozó címe, adatfeldolgozás helye, technológiája stb.)!
  8. Melyek a kezelni kívánt adatkörök?
  9. Határozza meg a gyűjteni kívánt adatok mennyiségét, illetve az érintett személyek számát (hozzávetőlegesen)!
  10. Melyek az adatfelvétel formái? Megvalósulhat az adatgyűjtés személyazonosítására alkalmas igazolvány segítségével is? Ha igen, fejtse ki!
  11. Az adatszolgáltatás önkéntes? Ha igen, az érintettek megfelelő mértékben tájékoztatva vannak-e a kezelt adatok köréről, illetve jogaikról?
  12. Az érintetteknek van-e lehetőségük arra, hogy adataik kizárólag meghatározott célokra történő felhasználásához nyújtsanak hozzájárulást? Ha igen, hogyan?
  13. Megvalósul-e harmadik országba irányuló adattovábbítás? Ha igen, írja le a továbbítandó adatok fajtáit, a továbbítás címzettjének adatait, valamint az adattovábbítás jogalapját!
  14. Fejtse ki, milyen lépéseket tesz az adatok biztonságának megőrzése érdekében!
  15. Ha megfelelő szintűnek vélt az adatok biztonsága, milyen eszközök óvják az azonosítatlan hozzáféréstől?
  16. A megfelelő védelmi eszközöket használja azonosítatlan hozzáférés megakadályozása érdekében? Fejtse ki álláspontját!
  17. Van egyéb közlendő információja?

 

Harmadik rész: További analízis

  1. Hogyan biztosítja az érintettek jogainak érvényesítését?
  2. Fejtse ki azokat az Ön által is ismert, alternatív megoldásokat, amelyek az eredeti eljáráshoz képest a cél elérése mellett kisebb mértékben érintenék a magánszférát!
  3. Milyen módszerekkel kívánja csökkenteni az azonosított kockázati tényezőket?
  4. Hogyan ellenőrzi az adatok teljességét?
  5. Megfelelően naprakészek-e a gyűjtött adatok? Ha igen, támassza alá válaszát!
  6. Kifejtett és részletezett az adatok természete?
  7. Kinek van hozzáférési joga (lehetősége) a személyes adatokhoz?
  8. Mi alapján kerülnek kiválasztásra azok a személyek, akik rendelkeznek ezzel a joggal?
  9. A személyes adatokhoz való hozzáférés feltételei, módja, korlátai rögzítve vannak?
  10. Milyen eszközök biztosítják az adatkezelés céljától eltérő felhasználás megakadályozását?
  11. Hozzáférhet-e más rendszer a saját rendszerben kezelt adatokhoz? Ha igen, fejtse ki!
  12. Az adatkezelés idejének lejárta után milyen módon kerülnek törlésre az adatok? Hogyan lesz dokumentálva az adattörlés?

 

  1. függelék az adatvédelmi hatásvizsgálatról szóló összefoglaló értékelés tartalmi elemei
  2. A tervezett vagy megváltozott adatkezelés leírása:

A tervezett/megváltozott adatkezelés folyamatának leírása, melyben bemutatásra kerülnek az alábbiak:

  1. a) adatkezelés jellege, hatóköre, körülményei;
  2. b) a személyes adatok, a címzettek, valamint a személyes adatok tárolási időtartamának meghatározása;
  3. c) funkcionális leírás az adatkezelési műveletről;
  4. d) módszeres leírás az adatfeldolgozásról, az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
  5. e) jogalap meghatározása;

f ) a személyes adatokhoz használt eszközök (hardverek, szoftverek, hálózatok, személyek, papírok vagy papíralapú továbbítási csatornák) megnevezése;

  1. g) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat;
  2. h) az adatkezelésre vonatkozó, rendelkezésre álló igazgatási rendszerterv vagy folyamatleírás bemutatása;
  3. i) hatásvizsgálatra vonatkozó szerep- és felelősségi körök meghatározása.
  4. Az adatkezelési műveletek szükségességi és arányossági vizsgálata:
  5. a) meghatározottak, kifejezettek és jogosak-e a cél(ok) [célhoz kötöttség elve – GDPR rendelet 5. cikk (1) bekezdés b) pontja];
  6. b) az adatkezelés jogszerűsége (GDPR rendelet 6. cikk);
  7. c) a kezelni kívánt adatok megfelelőek, relevánsak, és csak a szükséges adatokra korlátozódnak [adattakarékosság elve – GDPR rendelet 5. cikk (1) bekezdés c) pontja];
  8. d) korlátozott tárolási időtartam [korlátozott tárolhatóság elve – GDPR rendelet 5. cikk (1) bekezdés e) pontja].
  9. Meglévő vagy tervezett intézkedések: az adatkezeléssel összefüggő, a hatásvizsgálat elvégzésekor meglévő intézkedések felsorolása pl. jogosultságkezelés.
  10. A jogokat és szabadságokat érintő kockázatok vizsgálata:

A kérdőívek kitöltése, valamint az érintettekkel történő esetleges konzultáció után a hatásvizsgálatot lefolytató szerv az adatkezelés minden releváns részelemének ismeretében elvégzi a kockázatkezelést, amelynek elemei az alábbiak:

  1. a) a lehetséges kockázati tényezők azonosítása,
  2. b) a kockázati tényezők értékelése,
  3. c) a kockázati tényezők csökkentésére, megszüntetésére irányuló javaslatok megfogalmazása.

A kockázati tényezők azonosításában nagy szerepe van továbbá az érintettekkel való konzultációnak. A GDPR rendelet az érintettekkel való konzultációt nem szükségszerűen írja elő. Az adatkezelő „adott esetben” kéri ki az érintettek, illetve képviselőik véleményét. Ha az adatkezelő végleges döntése eltér az érintettek véleményétől, akkor dokumentumokkal alá kell támasztania annak végrehajtásának vagy elvetésének okait. Az adatkezelőnek dokumentumokkal kell indokolnia azt is, hogy miért nem kéri ki az érintettek véleményét, amennyiben úgy dönt, hogy erre nincs szükség.

4.1. Konzultáció az érintett szereplőkkel

Azonosítani kell az érintett szereplők lehetséges körét, majd megfelelő mértékben tájékoztatni kell őket az eljárásról. A tájékoztatás célja – a visszajelzések útján – a negatív hatások csökkentése, illetve a figyelem felhívása a jogorvoslati lehetőségre. A tájékoztatás során ki kell térni az eljárás menetére, idejére, várt eredményére. Az esetleges konzultációt már a tervezési/fejlesztési szakaszban célszerű elvégezni, hogy az érintettek észrevételeit, ajánlásait esetlegesen implementálni lehessen, jelentős többletköltség nélkül. Az érintetti kör nincs korlátozva, a projekt tárgyát tekintve érintett lehet állami és civil szervezet, támogató, szolgáltató, fejlesztő és az adatkezelés adatalanyai egyaránt.

Az érintettek hatásvizsgálatba való bevonásának lehetőségei:

– az egyes érintett kategóriák meghatározása és párbeszéd folytatása az egyes kategóriák képviselőivel;

– konzultációs eljárások biztosítása, hogy az érintetteknek lehetőségük legyen álláspontjaik kifejtésére;

– a tervezet érintettek számára történő hozzáférhetővé tétele.

A konzultáció formája többféle lehet: interjú, közvélemény-kutatás, meghallgatás, workshop, online konzultáció.

A tervezett adatkezelés negatív hatásainak csökkentése vagy kiküszöbölése érdekében célszerű a visszajelzéseket dokumentálni, és az adatkezelés megvalósítása során figyelembe venni.

4.2. A lehetséges kockázatok csoportjai

Személyeket érintő kockázatok:

– az adatok nem megfelelő nyilvánosságra hozatala növeli annak esélyét, hogy olyan adatokat is megosztanak, amelyeket jogszerűen nem lehetne;

– az adatkezelés célja megváltozhat, így az idő múlásával a tárolt adatokat másra használják fel az érintett tudta nélkül;

– adatbázisok összefésülése, amelynek köszönhetően olyan felhasználói profilok hozhatók létre, amelyekből új információk nyerhetők ki;

– azonosítók összekapcsolása, amely meggátolja az anonim felhasználást.

Szervezeteket érintő kockázatok:

– adatvédelmi hatóság álláspontjában vagy olyan jogszabályi előírásba való ütközés, amelynek következményeként bírság vagy más szankciók is kiszabhatók;

– olyan problémák felmerülése, amelyekre csupán a projekt elindítását követően derül fény, és a kijavításuk rendkívül költségigényes;

– az adatminimalizálás elvébe ütköző felesleges, készletező, esetleg többszöri adatgyűjtés, amely így csökkentheti a projekt hatékonyságát;

– a bizonytalan és nem megfelelő adatkezelés a társadalomban bizalomvesztést eredményezhet, amely bevételcsökkenés formájában jelenhet meg;

– adatvesztés, amely az érintettek számára kárt okoz, valamint az érintettek részéről kártérítési igényt generál.

Jogi szabályozásnak való megfelelés vizsgálata:

– az adatkezelés nem felel meg a tagállami hatóság állásfoglalásaiban foglaltaknak, az ágazatspecifikus előírásoknak vagy az alkotmányjogi előírásoknak.

4.3. Az adatvédelmi kockázatok rangsorolása

Az elemzés az 1. függelékben szereplő kérdéssor alapján azonosított kockázatok és az érintett konzultáció értékelésével folytatódik. A magánszférára gyakorolt hatásuk mértéke alapján megkülönböztethető:

– alacsony (esély van a kockázat megjelenésére, de vannak enyhítő körülmények);

– közepes (valószínű, hogy megjelenik a kockázat, ha nem történik korrekció);

– magas (megjelenik a kockázat, ha nem történik korrekció) szintű kockázat.

Egy kockázat mértékét négy tényező befolyásolja:

A személyes adatkezelés alapját képező elektronikus információs rendszer kritikussága: nem kritikus = 1 kritikus = 2.

Az adatkezelés hatóköréhez tartozó adatokhoz képest (pl. az adott népesség aránya) az adatkezelés

  1. kisszámú = 1,
  2. közepes = 2,
  3. nagyszámú = 3

érintett adatkezelését valósítja meg.

A kockázat elhárításának ügyviteli sürgőssége: a bejelentő nem ítéli sürgősnek = 1, a bejelentő sürgősnek ítéli = 2.

Az adatkezelés fontossága (súlya) a szervezet szempontjából: kritikus = 3, nem kritikus = 1.

A kockázati szint számértékét a tényezők összege adja.

Ha az adott eseménynél egy tényező nem értékelhető, akkor a legkisebb számértéket kell használni.

A tényezők alapján három kockázati szint használható:

Magas = 8 vagy több

Közepes = 5–7

Alacsony = 4

4.4. A „valószínűsíthetően magas kockázattal járó” adatkezelési műveletek megállapítása

Értékelési szempontok:

– Értékelés vagy pontozás: ideértve a profilalkotást és az előrejelzést is, különösen „az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők” alapján [GDPR rendelet (71) és (91) preambulum bekezdés]. Erre példaként említhető a pénzügyi vállalkozás, amely hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázist használ ügyfelei szűrésére, vagy a biotechnológiai vállalat, amely közvetlenül a fogyasztóknak kínál genetikai vizsgálatokat, hogy értékelje és előre jelezze a betegségek kockázatát és az egészségügyi kockázatokat, vagy a vállalkozás, amely viselkedési vagy üzletszerzési profilokat készít a honlapjának használata vagy böngészése alapján.

– Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal: adatkezelés, amelynek célja a „természetes személy tekintetében joghatással bíró” vagy „a természetes személyt hasonlóképpen jelentős mértékben érintő” döntések meghozatala [GDPR rendelet 35. cikk (3) bekezdés a) pontja]. Az adatkezelés adott esetben például egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti. Az egyénekre nézve csekély vagy semmilyen hatással nem járó adatkezelés nem felel meg ennek a konkrét szempontnak. Az itt említett fogalmakról további felvilágosítást nyújt majd a 29. cikk szerinti adatvédelmi munkacsoport soron következő, profilalkotásról szóló iránymutatása.

– Módszeres megfigyelés: érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés, többek között a hálózatokon keresztüli adatgyűjtés vagy a „nyilvános helyek nagymértékű, módszeres megfigyelése” [GDPR rendelet 35. cikk (3) bekezdés c) pontja]. Az ilyen jellegű megfigyelés azért tartozik a figyelembe veendő szempontok közé, mivel a személyes adatok gyűjtése olyan körülmények között folyhat, ahol előfordulhat, hogy az érintettek nem tudják, ki gyűjti és hogyan használja fel adataikat. Ezen kívül az egyéneknek talán nincs lehetőségük elkerülni, hogy közterületeken (vagy nyilvános helyeken) érintetté váljanak ilyen adatkezelésben.

– Különleges adatok vagy fokozottan személyes jellegű adatok: ide tartoznak a személyes adatok a GDPR rendelet 9. cikkében meghatározott különleges kategóriái (például az egyének politikai véleményére vonatkozó adatok), valamint a GDPR rendelet 10. cikkében meghatározott, büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok. Példaként említhető az általános kórház, amely nyilvántartást vezet a betegek kórtörténetéről, vagy a magánnyomozó, aki megőrzi az elkövetők adatait. A GDPR rendelet e rendelkezésein túlmenően bizonyos adatkategóriák tekinthetők úgy, hogy fokozzák az egyének jogait és szabadságait érintő lehetséges kockázatokat. Ezek a személyes adatok (a fogalom általánosan ismert jelentését tekintve) különlegesnek minősülhetnek, mivel otthoni vagy magánjellegű tevékenységekhez kapcsolódnak (például elektronikus hírközlési tevékenységekhez, amelyek bizalmassága védendő), kihatnak valamely alapvető jog gyakorlására (például helymeghatározó adatok, amelyek gyűjtése megkérdőjelezi a mozgás szabadságát), vagy az őket érintő jogsértések egyértelműen súlyos hatást gyakorolnak az érintett mindennapi életére (például pénzügyi adatok, amelyek csalásra használhatók). E tekintetben lényeges lehet, hogy az érintett vagy valamely harmadik személy már nyilvánosan hozzáférhetővé tette-e az adatokat. A személyes adatok nyilvános hozzáférhetősége az értékelés során egyik tényezőként figyelembe vehető, ha az adatok bizonyos célú további felhasználására lehet számítani. Ez a szempont olyan adatokra is vonatkozhat, mint például a személyes iratok, e-mailek, naplók, jegyzetelési funkcióval rendelkező e-olvasókból származó jegyzetek, valamint az életnaplózó alkalmazásokban tárolt, rendkívül személyes jellegű adatok.

– Nagy számban kezelt adatok: a GDPR rendelet nem határozza meg, mi értendő nagy szám alatt, jóllehet a GDPR rendelet (91) preambulum bekezdés nyújt némi iránymutatást. Mindenesetre a GDPR rendelet 29. cikke szerinti adatvédelmi munkacsoport ajánlása szerint különösen az alábbi tényezőket kell figyelembe venni annak megállapításakor, hogy az adatkezelés nagy számban történik-e:

  1. a) az érintettek száma konkrét számadat ként vagy a lakosság arányában;
  2. b) a kezelt adatok mennyisége vagy adatfajták köre;
  3. c) az adatkezelési tevékenység időtartama vagy állandó jellege;
  4. d) az adatkezelési tevékenység földrajzi kiterjedése.

Adatkészletek egymással való megfeleltetése vagy összevonása például két vagy több, különböző célokból, illetve eltérő adatkezelők által végzett adatkezelési műveletből származó adatokkal, az érintett észszerű elvárásait meghaladó módon.

– Adatkészletek egymással való megfeleltetése vagy összevonása

– Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok (GDPR rendelet 75. preambulum bekezdés): az ilyen jellegű adatok kezelése azért tartozik a figyelembe veendő szempontok közé, mivel nincs hatalmi egyensúly az érintettek és az adatkezelő között, ami azt jelenti, hogy az egyének adott esetben nem tudják adataik kezelését könnyen engedélyezni vagy ellenezni, illetve nem tudják a jogaikat gyakorolni. A kiszolgáltatott helyzetben lévő érintettek közé sorolhatók a gyermekek (ők úgy tekintendők, mint akik nem tudják tudatosan és átgondoltan ellenezni vagy engedélyezni adataik kezelését), a munkavállalók, a lakosság különleges védelmet igénylő, kiszolgáltatottabb helyzetben lévő rétegei (mentális betegségben szenvedők, menedékkérők vagy az idősek, betegek stb.), valamint az egyének minden olyan esetben, amikor az érintett és az adatkezelő közötti kapcsolatban egyenlőtlen helyzet alakul ki.

– Új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása: például az ujjlenyomat- és az arcfelismerés együttes használata a hatékonyabb beléptetés érdekében stb. A GDPR rendelet egyértelműen megfogalmazza [, hogy „a technológia elismert állásának megfelelő” módon meghatározott új technológia használata szükségessé teheti az adatvédelmi hatásvizsgálat elvégzését [GDPR rendelet 35. cikk (1) bekezdés, (89) és (91) preambulum bekezdés]. Ennek oka, hogy az ilyen technológiák használatához újfajta adatgyűjtési és -felhasználási formák kapcsolódhatnak, ami magas kockázattal járhat az egyének jogaira és szabadságára nézve. Az új technológiák bevezetésének személyes és társadalmi következményei tehát beláthatatlanok lehetnek. Az adatvédelmi hatásvizsgálat révén az adatkezelő megismerheti és orvosolhatja az ilyen jellegű kockázatokat. Például bizonyos, a „dolgok internetét” használó alkalmazások jelentős hatást gyakorolhatnak az egyének mindennapi életére és magánéletére, ezért szükségessé teszik az adatvédelmi hatásvizsgálat elvégzését.

– Azok az esetek, amikor az adatkezelés önmagában véve „megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek” [GDPR rendelet 22. cikk és (91) preambulum bekezdés]. Ide tartoznak az érintettek számára szolgáltatás igénybevételének vagy szerződéskötésnek a lehetővé tételére, módosítására vagy elutasítására irányuló adatkezelési műveletek. Erre példa, ha egy bank hitelreferencia-adatbázis alapján szűri ügyfeleit, hogy eldöntse, kínál-e nekik hitelt.

Az esetek többségében az adatkezelő tekintheti úgy, hogy két szempontnak megfelelő adatkezelés esetében szükség van adatvédelmi hatásvizsgálatra.

4.5. A hatásvizsgálat mellőzésének esetei:

– ha az adatkezelés valószínűsíthetően nem jár „magas kockázattal […] a természetes személyek jogaira és szabadságaira nézve” [GDPR rendelet 35. cikk (1) bekezdés];

– ha az adatkezelés a jellegét, hatókörét, körülményét és céljait tekintve nagyon hasonlít olyan adatkezelésre, amelyről már készült adatvédelmi hatásvizsgálat. Ilyen esetekben felhasználhatók a hasonló adatkezelés adatvédelmi hatásvizsgálatának eredményei [GDPR rendelet 35. cikk (1) bekezdés];

– ha az adatkezelési műveleteket felügyeleti hatóság meghatározott, azóta változatlan feltételek mellett 2018. május előtt ellenőrizte (lásd a GDPR rendelet III. fejezet C. szakaszát);

– ha a GDPR rendelet 6. cikk (1) bekezdés c) vagy e) pontja szerinti adatkezelési művelet jogalappal rendelkezik az uniós vagy tagállami jogban, a jog szabályozza az adott adatkezelési műveletet, és az említett jogalap megállapítása során már készült adatvédelmi hatásvizsgálat [GDPR rendelet 35. cikk (10) preambulum bekezdés], kivéve, ha a tagállam kimondta, hogy az adatkezelési műveletet megelőzően hatásvizsgálatot szükséges végezni;

– ha az adatkezelés szerepel azoknak az adatkezelési műveleteknek a (felügyeleti hatóság által összeállított) nem kötelező jegyzékében, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

  1. A kockázatok kezelésére irányuló intézkedések:

Az azonosított kockázati tényezők kategorizálása után a következő lépés a kockázatokat csökkentő eljárások megfogalmazása, amelyek csökkentik vagy megszüntetik az adott kockázati tényezőt.

A kockázat kezelésére irányuló intézkedések bemutatása, ideértve a személyes adatok védelmét és a rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

– Az adatbiztonság informatikai szempontú meghatározása.

  1. Dokumentáció, azaz a kockázatelemzés összegzése, eredményének megállapítása:

Beszámoló elkészítése, a folyamat, a fennmaradó kockázatok leírása, gazdasági szempontú értékelése. Annak indoklással alátámasztott megállapítása, hogy szükséges-e az előzetes konzultáció.

  1. Nyomon követés és felülvizsgálat:

Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

A kockázatok kezelésére hozott döntések rendszeres felülvizsgálatának a vezetési folyamat részévé kell válnia. Ezen túlmenően, az azonosítás–elemzés–értékelés–kezelésfolyamat (a kockázatok karaktereitől függő gyakoriságú) rendszeres ismétlése kritikus fontosságú az időbeli reagálás biztosítása miatt. A kockázatkezelési folyamatot magát, illetve eredményét (elemzés, döntéshozatal, ellenőrzés, kiegészítve a kontroll folyamatokkal) folyamatosan dokumentálni kell, és gondoskodni kell a külső-belső érintettek megfelelő, rendszeres tájékoztatásáról is.