ADATKEZLÉSI- ÉS ADATVÉDELMI SZABÁLYZAT
TARTALOMJEGYZÉK
PREAMBULUM
I. RÉSZ: ÁLTALÁNOS RENDELKEZÉSEK
1. A szabályozás célja és hatálya
2. Értelmező rendelkezések
II. RÉSZ: AZ ADATVÉDELEM FELELŐSSÉGI RENDSZERE
3. Az adatkezelések szintjei
4. Az adatkezelő szerv vezetője felelősségi szintjei
5. Az adatkezelő szerv vezetője feladat és hatásköre
6. A társaság adatvédelmi tisztviselője
III. RÉSZ: SZEMÉLYES ADATOK VÉDELME A TÁRSASÁGNÁL
7. Az adatkezelés alapvető szabályai
8. Adatvédelem alapvető szabályai
9. A társaság adatkezelési tájékoztatója
IV. RÉSZ: AZ ADATKEZELÉS LEHETSÉGES JOGALAPJAI
10. Az érintett hozzájárulása
11. Szerződés teljesítése
12. Jogi kötelezettség teljesítése
13. Érdekérvényesítés
14. Személyes adatok gyűjtési céltól eltérő kezelése
V. RÉSZ: MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
15. Munkaügyi, személyzeti nyilvántartás
16. Alkalmassági vizsgálatokra vonatkozó adatkezelés
17. Önéletrajzok kezelése
18. Elektronikus levelezőrendszer ellenőrzéséhez kapcsolódó adatkezelés
19. Informatikai eszközök ellenőrzésével kapcsolatos adatkezelés
20. A munkahelyi internethasználat ellenőrzésére vonatkozó adatkezelés
21. Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
22. A navigációs rendszer alkalmazásához kapcsolódó adatkezelés
23. Munkahelyi kamerás megfigyelésre vonatkozó adatkezelés
24. Tanulmányi szerződésekre vonatkozó adatkezelés
VI. RÉSZ: AZ ÉRINTETT HOZZÁJÁRULÁSA
25. A honlap böngészésre vonatkozó adatkezelés
26. Regisztráció a honlapon
27. Rendezvényeken készült képfelvételekkel kapcsolatos adatkezelés
VII. SZERZŐDÉS, MINT AZ ADATKEZELÉS JOGALAPJA
28. A szerződő felek adatainak kezelése
29. Jogi személy partnerek kapcsolattartóinak elérhetőségi adatai
VIII. RÉSZ – JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
30. Adatkezelés adó-, járulék- és számviteli kötelezettségek teljesítése céljából
31. Munkaviszonyra vonatkozó adatkezelések
32. Kifizetői adatkezelés
33. A maradandó értékű iratokkal kapcsolatos adatkezelés
34. A pénzmosás / terrorizmus finanszírozása elleni kötelezettségekhez, és korlátozó intézkedésekhez kapcsolódó adatkezelés
35. Az adatfeldolgozás általános szerződési feltételei
X. RÉSZ – ADATVÉDELMI INCIDENSEK KEZELÉSE
36. Az adatvédelmi incidens fogalma
37. Adatvédelmi incidensek kezelés, orvoslása
38. Adatvédelmi incidensek nyilvántartása
XI. RÉSZ – ADATVÉDELMI HATÁSVIZSGÁLAT
39. Adatvédelmi hatásvizsgálat és előzetes konzultáció
XII. RÉSZ – AZ ÉRINTETT JOGAI
40. Tájékoztatás a jogokról
41. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának támogatása
42. Előzetes tájékozódáshoz való jog, ha az adatokat az érintettől gyűjtik.
43. Az érintett rendelkezésére bocsátandó információk, ha az adatokat nem tőle szerezték meg
44. Az érintett hozzáférési joga
45. A helyesbítéshez való jog
46. A törléshez való jog („az elfeledtetéshez való jog”)
47. Az adatkezelés korlátozásához való jog
48. A helyesbítéshez, törléshez, korlátozáshoz kapcsolódó értesítési kötelezettség
49. Az adathordozhatósághoz való jog
50. A tiltakozáshoz való jog
51. Automatizált döntéshozatal, profilalkotás
52. Korlátozások
53. Tájékoztatás adatvédelmi incidensről
54. Felügyeleti hatóságnál (NAIH) történő panasztétel joga
55. A felügyeleti hatósággal szembeni bírósági jogorvoslat joga
56. Az adatkezelővel, vagy adatfeldolgozóval szembeni bírósági jogorvoslat joga
XIII. RÉSZ – ZÁRÓ RENDELKEZÉSEK
57. A Szabályzat megállapítása, módosítása és beépítése
MELLÉKLETEK
1. sz. melléklet: adatkezelési nyilvántartás
2. sz. melléklet: adatvédelmi incidens nyilvántartás
3. sz. melléklet: a társaság általános adatvédelmi tájékoztatója
4. sz. melléklet: hozzájáruló nyilatkozat
5. sz. melléklet: iratkölcsönzés
6. sz. melléklet: betekintési napló
7. sz. melléklet: munkavállalói tájékoztató
8. sz. melléklet tájékoztató alkalmassági vizsgálat
9. sz. melléklet jegyzőkönyv önéletrajz megsemmisítéséről
10. sz. melléklet kamerás tájékoztató
11. sz. melléklet szerződéses adatkezelési tájékoztató
12. sz. melléklet cookie tájékoztató
14. sz. melléklet szabályzat megismerésére és titoktartásra vonatkozó nyilatkozat
15. sz. incidens bejelentő
16. sz. melléklet adatfeldolgozás általános szerződési feltételei
17. sz. melléklet munkaszerződési kikötés
PREAMBULUM
(1) A G.E.B.E. Kft. (továbbiakban: társaság) tevékenysége során elkötelezett az adatvédelmi és adatbiztonsági előírások betartása iránt. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: infotv.) mindenkor hatályos szabályain túl a társaság vezetője kiadja jelen adatvédelmi és adatbiztonsági szabályzatot (továbbiakban: szabályzat). A szabályzat az elfogadást követő naptól hatályba lép, és a társaság alkalmazottaival, a társasággal szerződéses kapcsolatban állókkal az őket érintő terjedelemben meg kell ismertetni.
(2) A társaság tevékenységi köréből fuvarozási, szállítmányozási, raktározási tevékenységet végez, szolgáltatást nyújt. A társaság a szabályzat elfogadása idején munkavállalókat foglalkoztat így a kapcsolódó adatkezelésekről is jelen szabályzat rendelkezik. A társaság papír alapú adatkezeléseken, nyilvántartásokon túl, elektronikus formában is kezel és tart nyilván adatokat, az adatbiztonsági követelményeket jelen szabályzat szerint teljesíti.
(3) A társaság a Novitax könyvelőprogramot, a OLM online munkaidő nyilvántartó, a Transorg raktár és fuvarszervező programot, a WebEye gépjármű-nyomonkövető szoftvert használja A szoftver fejlesztője sorrendben a Novitax Kft., a Kulcs-Soft Számítástechnika Nyrt., a Transorg Kft., a WebEye Magyarország Kft. köteles jelen szabályzatban foglaltaknak megfelelő minimális védelmi, jogosultsági szinteket biztosítani és azt igazolni a társaság részére.
(4) A társaság biztosítja informatikai eszközei, hálózatának üzemeltetését (szerverépítés, szoftvertelepítés, konfigurálás, hibaelhárítás, biztonsági ellenőrzés). A társaság gondoskodik megfelelő vírusvédelemről, tűzfalról, biztonsági mentésekről, szünetmentes működésről. Az informatikai eszközöket jelszavas védelemmel látja el, a társaság törekszik a hordozható informatikai eszközök és az elektronikus kommunikáció titkosítására.
(5) A társaság ügyfeleit, munkatársait, illetve a vele bármilyen jogviszonyban álló személyeket nem kategorizálja, nem minősíti, ilyen célból adatot nem kezel.
(6) Az adatvédelmi elveknek a GDPR 25. cikk alapján a társaság valamennyi tevékenysége, döntése során érvényesülnie kell, a társaság törekszik arra, hogy a lehetőségekhez képest olyan adatvédelmi informatikai megoldást, szervezeti szabályozást alkalmazzon, amely az adatok védelmét a tudomány és technika állása szerint a leghatékonyabban biztosítja.
(7) A társaság valamennyi adatvédelmi folyamatának szabályozottnak, átláthatónak, nyomon követhetőnek, konkrét munkakörhöz rendelhetőnek kell lennie.
(8) A társaság törekszik arra, hogy amennyiben meghatározott cél elérése személyes adat kezelése nélkül is elérhető, úgy ne kezeljen személyes adatot.
(9) A társaság a munkavállalói tevékenységét úgy szervezi meg, hogy lehetőleg minél kevesebb munkavállaló kezeljen személyes adatokat, a személyes adatot kezelő munkavállaló pedig a személyes adatok egy csoportját kezelje (pl. személyügyi adatok, kifizetéshez kapcsolódó adatok, ügyfélkapcsolati adatok).
Általános rendelkezések
1. A szabályozás célja
1. A társaság adatvédelmi, adatbiztonsági szabályzata (a továbbiakban: Szabályzat) kibocsátásának célja, hogy tevékenysége során a személyes adatok védelméhez fűződő adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározásra kerüljenek az adatvédelmi és adatbiztonsági előírások, továbbá az érintettek jogai megfelelően biztosítva legyenek.
2. A szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a társaság adatkezelő és adatfeldolgozó tevékenysége megfeleljen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR) szóló az Európai Parlament és a Tanács 2016/679 rendeletének – (2016. április 27.) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
3. Jelen szabályzatban nem szereplő kérdésekben a GDPR és az infotv. szabályai szerint kell eljárni.
4. A Szabályzat hatálya természetes személyre vonatkozó személyes adatok Társaság általi kezelésére terjed ki, egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.
5. A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre – nevükre, formájukra, elérhetőségükre – vonatkozik.
2. Értelmező rendelkezések
6. Jelen szabályzat alkalmazása során a GDPR 4. cikkben meghatározott fogalmakat kell érteni, a következő kiegészítésekkel:
7. adatbiztonság: az adatvédelmi incidenst bekövetkezését megelőzni képes szervezési, technikai megoldások, valamint eljárási szabályok összessége; az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a minimálisra csökkentik.
8. adatkezelési nyilvántartás: a GDPR 30. cikke alapján vezetett, személyesadat-kezeléseket tartalmazó nyilvántartás, amely az érintett adatkezeléshez kapcsolódó minden lényeges információt tartalmaz, jelen szabályzat 1. számú melléklete.
9. adatvédelmi incidens nyilvántartás: a GDPR 33. cikk (5) bekezdése alapján vezetett nyilvántartás, amely jelen szabályzat 2. számú melléklete.
10. dolgozói személyes adat: a társasággal munkaviszonyban, egyszerűsített foglalkoztatotti jogviszonyban álló személyek célhoz kötöttség elvének betartásával kezelt adata.
11. nyilvántartási célú személyesadat-kezelés: előre meghatározott szempontok alapján gyűjtött személyesadat-fajtákból adott szempontok szerint strukturált papíralapú vagy elektronikus adatállomány, amelyben az adatkezelés időtartama alatt biztosított az adatok különböző jellemzők alapján történő visszakereshetősége, lekérdezhetősége. Nyilvántartási célú adatkezelésnek minősül az is, amennyiben az adatok a nyilvántartás felvételét megelőző ügyfélkapcsolati adatkezelésből származnak, de az adatok kezelése az adatkezelési cél tekintetében elválik az alapeljárástól. Nyilvántartási célú adatkezelésnek is meg kell felelni a GDPR alapelveinek, rendelkezéseinek.
12. ügyviteli célú személyesadat-kezelés: a társaság által a hatósági hatáskör gyakorlásához más adatkezelő által rendelkezésre bocsátott személyes adatok kezelése (tevékenységre vonatkozó engedély). Az ügyvitelhez kapcsolódó adatkezelés szorosan az ügy feldolgozásához kapcsolódik, alapvető célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban szerepelnek, kezelésükre ezen célból csak az alapul szolgáló irat selejtezéséig van lehetőség.
II. RÉSZ
Adatvédelem felelősségi rendszere
3. Az adatkezelések szintjei
13. A társaság kapcsolatban áll adatfeldolgozókkal, amelyek kiválasztása körében törekszik a lehető legmagasabb szintű adatvédelmi és adatbiztonsági megoldásokat nyújtó partnerek kiválasztására, ebből a célból előzetesen megismeri az adatfeldolgozók adatvédelmi és adatbiztonsági szabályzatát, illetve az adatfeldolgozói szerződésben rögzítik a vonatkozó szervezeti és informatikai biztonságra vonatkozó rendelkezéseket.
14. A társaság ügyel arra, hogy az adatfeldolgozók lehetőség szerint ne kerüljenek kapcsolatba a munkavállalók, megbízók személyes adataival, amennyiben ez nem kerülhető el, úgy azok – elektronikus, vagy papír alapú – átadása megfelelő biztonsági intézkedések keretében történhet.
4. Az adatkezelő szerv vezetője felelősségi rendszere
15. Az adatvédelemre vonatkozó előírások alkalmazása során adatkezelő szerv vezetőjének kell tekinteni a társaság ügyvezetőjét.
16. Az adatkezelő szerv vezetője felelős:
a) a társaság adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a szerv által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért;
b) a munkavállalók adatvédelmi oktatásáért és továbbképzéséért;
c) a vezetése vagy irányítása alá tartozó társaság tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
d) az érintettek jogainak gyakorolásához szükséges feltételek biztosításáért.
e) adatvédelmi tisztviselő kiválasztásáról, alkalmazásáról, vagy megbízásáról.
17. Az adatkezelő szerv vezetőjének felelőssége nem zárja ki a társasággal kapcsolatban álló személyek akár kártérítési, akár büntetőjogi felelősségét.
18. Amennyiben a személyes adatokhoz való jog megsértése miatt a társaságnak sérelemdíj, kártérítés fizetési kötelezettsége keletkezik, a személyes adatokhoz fűződő jogsértést ténylegesen elkövető személy kilétének felderítésére mindent meg kell tenni, és amennyiben ez sikerrel jár, vele szemben kártérítési eljárást kell kezdeményezni.
5. Az adatkezelő szerv vezetőjének feladat- és hatásköre
19. Adatkezelő szerv vezetőjének feladat- és hatásköre:
a) a feladat- és hatáskörbe utalt adatkezelési rendszerek egészének (nyilvántartások, adattárak, munkafolyamatok, információáramlások és feldolgozások, jogosultságok) kialakítása és irányítása, rendeltetésszerű működtetése, melynek keretében teljes felelősséget visel a személyes adatok kezelésére vonatkozó törvények és az ezen alapuló rendelkezések érvényre juttatásáért.
b) gondoskodik a személyes adatok körében a jogosulatlan hozzáférés, közlés, megváltoztatás, vagy törlés megelőzéséről, a technikai védelemről, továbbá, hogy a személyes adatok védelmének biztosítása érdekében az érintett az adatkezelő által kezelt adataihoz – ha törvény kivételt nem tesz – hozzáférhessen, illetve gyakorolhassa az őt megillető jogokat.
c) személyes felelősséggel tartozik a társaság és az általa alkalmazott, vele szerződéses kapcsolatban állók tevékenységéért, a törvényes és szakszerű működéséért, ezen belül az állomány adatkezelői tevékenységéért, az adatvédelmi előírások, valamint a kapcsolódó ügyviteli szabályok betartásáért.
d) a védelmi és biztonsági szabályok gyakorlati érvényesülésének ellenőrzése, intézkedés a hiányosságok felszámolására;
e) az adatkezelések szervezeti és működési feltételeinek kialakítása, gondoskodás a működési követelmények és az adatbiztonsági követelmények érvényre juttatásáról;
f) az adatkezelések szabályozottságának, dokumentáltságának kialakításáért, ellenőrzéséért;
g) az adatvédelmi kockázatok elemzéséről, hatásvizsgálat lefolytatásáért.
h) gondoskodik az adatkezelések nyilvántartás, az adatvédelmi incidensek nyilvántartás vezetéséről, naprakészen tartásáról.
6. A társaság adatvédelmi tisztviselője
20. A társaság adatvédelmi tisztviselője, amennyiben nem áll alkalmazásában, úgy olyan szerződéssel megbízott vállalkozó, aki szakmai szempontból rátermett, az adatvédelmi jogot és gyakorlatot szakértői szinten ismeri, a feladatok ellátására alkalmas.
21. Amennyiben a társaság alkalmazásában áll az adatvédelmi tisztviselő, munkaköri leírásában az adatvédelemmel kapcsolatos feladatokat rögzíteni kell.
22. A társaság az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el, szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül a társaság ügyvezetőjének tartozik felelősséggel.
23. A társaság adatvédelmi tisztviselője feladatköre keretében:
a) ellátja a társaság adatvédelmi tevékenységének irányítását, tájékoztat, szakmai tanácsot, iránymutatást ad;
b) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
c) ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
d) kivizsgálja a hozzá érkezett bejelentéseket és adatvédelmi incidens észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, indokolt esetben vizsgálat lefolytatását kezdeményezi a társaság vezetőjénél, javaslatot tesz az incidens káros következményeinek elhárítására, a hasonló jövőbeni incidensek megelőzésére;
e) elkészíti az adatvédelem tárgyában kiadandó munkáltatói szabályzatok tervezetét, közreműködik az adatvédelmet érintő egyéb szabályzatok kidolgozásában. Segíti az ügyvezetőt az adatkezelésekre vonatkozó jogszabályok és szabályzatok érvényre juttatásában, ennek során figyelemmel kíséri az adatvédelemmel összefüggő jogszabályváltozásokat és jelzi a társaság vezetőjének a munkáltatói szabályzatok módosításának szükségességét;
f) közreműködik a társasággal jogviszonyban állók oktatásában és igény szerinti vizsgáztatásában;
g) egyedi ügyekben kidolgozott állásfoglalásával segíti az egységes gyakorlat kialakítását;
h) adatkezelési tevékenységét érintő ügyekben kialakítja a társaság álláspontját, kapcsolatot tart a NAIH-hal, közreműködik a NAIH vizsgálatainak lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában;
i) a kérelem tárgyában elkészíti az érintettnek a személyes adatai kezelésére vonatkozó kérelmére adandó válasziratokat;
j) gondoskodik a társaság honlapján megjelenített adatvédelmi nyilatkozat, irányelvek és adatkezelési tájékoztató naprakészen tartásáról;
k) peres ügyekben a társaság adatvédelemmel kapcsolatos álláspontját egyezteti a peres képviseletet ellátó személlyel. Az adatvédelemmel kapcsolatos perekben szakértőként vehet részt;
l) éves jelentést tesz a személyes adatok kezelése, feldolgozása esetén a tájékoztatáshoz kapcsolódóan elutasított kérelmekről;
m) a társaság vezetője részére igény esetén éves jelentésben értékeli a társaság adatvédelmi tevékenységét;
n) adatvédelmi szempontból véleményezi a személyes adatokat tartalmazó informatikai nyilvántartásokra, szoftverekre vonatkozó fejlesztési javaslatokat;
o) feladat- és hatáskörében – a célhoz kötöttség elvére figyelemmel – jogosult a társaságnál folytatott adatkezelésekbe betekinteni, az adatkezelőtől felvilágosítást kérni;
p) ellenőrzi a GDPR-nak, valamint az egyéb uniós és tagállami adatvédelmi rendelkezéseknek, jelen belső szabályzatnak való megfelelést, képzést, auditokat;
q) közreműködik a betekintési és hozzáférési jogosultságok felügyeletében;
r) szakmai tanácsot ad a hatásvizsgálatra vonatkozóan, nyomon követi a hatásvizsgálat elvégzését.
s) ellenőrzi az adatfeldolgozók adatfeldolgozói szerződésben vállalt kötelezettségeinek betartását, amennyiben szerződésbe ütköző gyakorlatot tapasztal, ezt jelzi a társaság vezetőjének, javaslatot tesz a szerződéses kapcsolat megszüntetésére.
III. RÉSZ
A személyes adatok védelme a társaságnál
7. Az adatkezelés alapvető szabályai
24. A társaságnál kezelt adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
25. A társaság valamennyi adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles érvényre juttatni a Szabályzatban és más belső szabályozóiban és más dokumentumokban (folyamatokban, munkaszerződésekben, munkaköri leírásokban) és vezetői intézkedésekben meghatározott technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR és az Infotv., érvényre juttatásához szükségesek.
26. Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét, jogaik gyakorlásának lehetőségét. A társaság a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő, amelyet a 17. sz. melléklet tartalmaz.
27. A személyes adatokhoz való hozzáférést a társaság, elektronikus úton (hálózati meghajtó, beléptető rendszer) jogosultsági szintek megadásával korlátozza.
28. A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az érintett ügyintézők férhetnek hozzá, a bér- és munkaügyi, illetve egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva – zárható irodákban és zárható szekrényekben – kell tartani.
29. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról. A társaság a tudomány és technológia állása és a megvalósítás költségei, az adatkezelés jellege hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett kockázat figyelembevételével köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adatvédelmi elvek, szabályok és az érintettek jogainak védelmére vonatkozó garanciák érvényre juttatásához szükségesek. Több lehetséges adatkezelési megoldás közül lehetőség szerint azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja.
30. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
31. A társaság személyes adatok automatizált feldolgozását végzi. Az automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
a) az érintett tájékoztatását;
b) az eszköz pontosságát, rendeltetésszerű működését;
c) a jogosulatlan adatbevitel megakadályozását;
d) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
e) annak ellenőrizhetőségét és megállapíthatóságát, ha a személyes adatokat adatátviteli berendezés alkalmazásával továbbították vagy továbbíthatják;
f) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
g) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát;
h) az automatizált feldolgozás során fellépő hibákról jelentés készítését;
i) az érintettnek biztosítani kell az emberi beavatkozás lehetőségét, lehetővé kell tenni, hogy álláspontját kifejthesse, és a döntéssel szembeni kifogást közölje.
8. Az adatvédelem alapvető szabályai
32. A személyes adatok kezelésének helyszínéül szolgáló épület megfelelő fizikai, és tűzvédelméről gondoskodni kell. A személyes adatok kezelése zárható helyiségébe csak az arra jogosultak léphetnek be.
33. Az informatikai rendszerek tűzfalas védelméről, vírusvédelméről, az adattárolókon lévő személyes adatok biztonsági mentéséről, felhasználónév-jelszó védelméről, a mobil adathordozók titkosításáról a társaság gondoskodik.
34. A nem irodai dolgozó (pl. takarító, karbantartó) személyes adatokkal nem kerülhet kapcsolatba, ezért az ilyen tartalmú dokumentumokat zárható szekrényben kell őrizni, a monitorok rálátásvédelméről, az informatikai eszköz őrizetlenül hagyása esetén a kijelző zárolásáról és jelszavas védelméről gondoskodni kell.
35. Az társaság az informatikai rendszerek frissítéséről havi szinten gondoskodik, tesztelését nem valós adatokkal végezheti. Az informatikus programok telepítését, frissítését megelőzően, megfelelő időben értesíti a társaságot, annak érdekében, hogy a személyes adatokhoz való hozzáférés folyamatosan biztosított legyen.
36. A társaság azon munkavállalói, akik személyes adat meghatározott csoportját nem kezelik (pl. alkalmazotti adatok, alkalmazottak pénzügyi adatai, ügyféladatok) azokhoz nem férhetnek hozzá.
37. A rendszergazdai jogosultsággal rendelkezők esetén is nyomon követhetővé teszi azt, hogy személyhez rendelhető legyen valamennyi adatkezelési művelet (pl. admin1, admin2, admin3 felhasználónévvel).
38. A társaság elektronikus adatfeldolgozásra, nyilvántartásra alkalmazott szoftvere lehetővé teszi a rendszer naplózhatóságát, hogy azonosítható legyen, mely felhasználó, mikor, mit rögzített, vagy törölt. A társaság, csak eredeti szoftvereket alkalmaz, beszerzi az alkalmazott szoftverekre vonatkozó hatásvizsgálati dokumentációt.
39. A társaság a hardverek esetén a garanciális időszakot követően új adathordozókat szerez be, és a garanciális időszakot meghaladott adathordozókat megsemmisíti.
40. A társaság gondoskodik mind az elektronikus, mind a papír alapú bejövő és kimenő kommunikáció ellenőrzéséről.
41. A jelszavak használata esetén ügyelni kell arra, hogy több személynek nem lehet azonos jelszava, egymás jelszavát nem ismerhetik meg a felhasználók.
42. A szkennelésnél ügyelni kell arra, hogy minden felhasználó a saját mappájába tudja menteni a személyes adatokat tartalmazó dokumentumokat.
43. Személyes adatot tartalmazó papír alapú dokumentumot a társaság épületéből kivinni, az 1. sz. mellékletben megjelölt helyről más helyre áthelyezni, csak vezetői engedéllyel lehet. Az irat mozgás dokumentálása érdekében a 5. sz. mellékletet kell kitölteni.
9. A társaság adatkezelési tájékoztatója
44. A Társaság általános adatkezelési tájékoztatóját a 3. sz. melléklet tartalmazza.
45. Amennyiben a társaság eseti adatkezelést végez (pl. rendezvény szervezése, álláshirdetés) úgy a vonatkozó tájékoztató kidolgozásáról és az érintettek részére elérhetővé tételéről megfelelően gondoskodik. A társaság az eseti adatkezelést megelőzően az adatvédelmi tisztviselő véleményét beszerzi.
IV. RÉSZ
AZ ADATKEZELÉS LEHETSÉGES JOGALAPJAI
46. A Társaság valamennyi adatkezelése során biztosítja az érintett jogainak főszabály szerint díjmentes gyakorlását.
10. Az érintett hozzájárulása
47. Amennyiben a személyes adatok kezelése hozzájáruláson alapul, az érintett hozzájárulását az 4. számú melléklet szerinti adatkérő lap szerinti tájékoztatással és tartalommal kell beszerezni. A hozzájárulás önkéntességét biztosítani kell
48. Hozzájárulásnak minősül az is, ha az érintett a társaság honlapjának megtekintése során bejelöl egy erre létrehozott négyzetet, amely az adott összefüggésben az érintett önkéntes, tájékoztatáson alapuló hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.
49. A hozzájárulás az ugyanazon cél vagy célok érdekében történő összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra meg kell adni.
50. Ha az érintett hozzájárulása más ügyekre is vonatkozik – így különösen értékesítési, szolgáltatási szerződés megkötése – a hozzájárulást ezektől a más ügyektől egyértelműen megkülönböztethető módon kell kifejezni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely a GDPR-ba ütközik, kötelező erővel nem bír.
51. A Társaság nem kötheti szerződés megkötését, teljesítését olyan személyes adatok szolgáltatása feltételéül, amelyek nem szükségesek a szerződés teljesítéséhez.
52. A hozzájárulás visszavonását azonos módon kell lehetővé tenni, mint annak megadását. A hírlevéről történő leiratkozás érdekében valamennyi hírlevél végén egy linkben biztosítani kell a hozzájárulás visszavonásának lehetőségét.
53. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a rá vonatkozó jogi kötelezettség teljesítése céljából, törvény eltérő rendelkezésének hiányában további külön hozzájárulás nélkül, valamint a hozzájárulás visszavonását követően is kezelheti.
54. A társaságnak bármikor igazolnia kell tudni azt, hogy az adatkezelési művelethez az érintett hozzájárult.
11. Szerződés, mint jogalap
55. A szerződés előkészítése során, a tervezet kidolgozásakor, véleményezésre megküldése során személyes adat feltüntetésére nem kerülhet sor.
56. A szerződésben csak a szerződés érvényességéhez és a teljesítéséhez szükséges személyes adatok kezelhetőek.
57. A szerződésekben külön adatvédelmi záradékot kell feltüntetni, amiben rögzíteni kell a papír alapú, illetve az elektronikus védelmi intézkedéseket a szerződésben szereplő személyes adatok védelme érdekében.
58. A szerződésben szereplő személyes adatok kezelésére a szerződés hatálya ideje alatt történhet. A szerződés teljesítését, megszűnését követően 5 évig az esetlegesen szerződésen alapuló követelések kölcsönös bizonyítása, érvényesítése érdekében is sor kerülhet. Amennyiben a szerződésben nyújtott jótállás a szerződés teljesítését követő 5 éven túli időre kiterjed, úgy a jótállási idő leteltét követő 5 évig jogszerűen kezelhetők a szerződésben szereplő személyes adatok.
59. A társaság a szerződést kötő partnerét tájékoztatja jelen szabályzatban meghatározott, szerződéskötéshez kapcsolódóan lényeges adatkezelési, adatvédelmi feltételekről.
12. Jogi kötelezettség teljesítése
60. A jogi kötelezettségen alapuló adatkezelés szabályaira – adatkezelés célja, kezelhető adatok köre, tárolás időtartama, címzettek – a vonatkozó jogszabály rendelkezései irányadók.
61. A jogi kötelezettség teljesítésén alapuló adatkezelés az érintett hozzájárulásától független. Az érintettel az adatkezelés megkezdése előtt ezesetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
13. Érdekérvényesítés
62. Személyes adat kezelhető abban az esetben is, amennyiben az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
63. Ügyféladatok, alkalmazotti adatok további kezelésére ezen a jogalapon sor kerülhet, azonban meg kell vizsgálni ezen jogcímen alapuló adatkezelést megelőzően, hogy az érintett a személyes adatok gyűjtésének időpontjában számíthat-e ésszerűen arra, hogy adatkezelésre adott célból kerülhet sor.
64. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.
14. Személyes adatok gyűjtési céltól eltérő kezelése
65. Személyes adatok gyűjtési céljuktól eltérő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljával. A további adatkezelés megkezdése előtt indokolt kikérni az adatvédelmi tisztviselő állásfoglalását.
66. A közérdekű archiválási, tudományos, történelmi kutatási célból, vagy statisztikai célból történő további adatkezelés megengedett.
V. RÉSZ
MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
15. Személyügyi nyilvántartás
67. A társaság megnevezés alatt jelen részben írtak esetén, a munkáltatót is érteni kell a munka törvénykönyvéről szóló 2012. évi I. törvény szerint (a továbbiakban: Mt.).
68. A munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges.
69. A társaság köteles a munkavállalót tájékoztatni személyes adatainak kezeléséről. A társaság a munkavállalóra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet.
70. A munkaviszonyból származó kötelezettségek teljesítése céljából a társaság a munkavállaló személyes adatait – az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint – adatfeldolgozó számára átadhatja. Erről a munkavállalót előzetesen tájékoztatni kell.
71. A társaság a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A társaság ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.
72. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul.
73. A társaság a rá vonatkozó jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdése c) pontja) jogcímén a munkavállaló alábbi adatait kezeli:
a) név
b) születési név,,
c) születési ideje,
d) anyja neve,
e) lakcíme,
f) állampolgársága,
g) adóazonosító jele,
h) TAJ száma,
i) nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
j) személyi igazolvány száma,
k) lakcímet igazoló hatósági igazolvány száma,
l) munkába lépésének kezdő és befejező időpontja,
m) munkakör,
n) iskolai végzettségét, szakképzettségét igazoló okmány száma,
o) munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
p) a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
q) a munkaviszony megszűnésének módja, indokai,
r) a munkaköri alkalmassági vizsgálatok összegzése,
s) magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
t) külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma,
u) munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
v) a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;
74. A társaság a munkáltatói jogos érdekeinek érvényesítése (GDPR 6. cikk (1) bekezdése f) pontja) jogcímén a munkaviszonyra vonatkozó szabályok, teljesítése, a kölcsönös együttműködés céljából kezeli:
a) telefonszám,
b) e-mail cím,
c) bankszámlaszáma,
d) online azonosító (ha van)
e) fénykép,
f) önéletrajz,
g) a munkavállaló munkájának értékelése,
h) munkakörtől függően erkölcsi bizonyítványa
i) a társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve
j) a helymeghatározó rendszerek által rögzített adatokat.
75. Az adatok pontosságának garantálása érdekében a munkavállaló a fenti adatokban bekövetkezett változást, 8 napon belül írásban köteles bejelenteni a társaság vezetője részére.
76. A személyes adatok címzettjei, a munkáltató vezetője, munkáltatói jogkör gyakorlója, a társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói. A társaság tulajdonosai részére csak a vezető állású munkavállalók személyes adatai továbbíthatók.
77. A személyi anyagba csak az arra jogosultak tekinthetnek be, amelynek biztosítására betekintési naplót kell vezetni a 6. számú melléklet szerint.
78. A munkavállaló köteles a munkája során tudomására jutott üzleti titkot megőrizni. Ezen túlmenően sem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott a tudomására, és amelynek közlése a társaságra vagy más személyre hátrányos következménnyel járhat.
79. A betegségre, üzemi tanácsi, szakszervezeti tagságára vonatkozó adatokat a társaság csak az Mt-ben meghatározott jog, vagy kötelezettség teljesítése céljából kezelhet.
80. A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 50 év. A személyes adatokat irattárban, a jogosulatlan hozzáférés, megsemmisülés ellen védve kell tárolni.
81. A társaság a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 7. számú melléklete szerinti Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogokról.
16. Alkalmassági vizsgálatokra vonatkozó adatkezelés
82. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
83. A munkaalkalmasságra, felkészültségre irányuló tesztlapokat a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.
84. A pszichológiai vagy személyiségjegyeket kutató tesztlapokat, az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében kitöltethető a munkavállalók nagyobb csoportjával a személyiségjegyek kutatására alkalmas (pszichológiai) tesztlap, de csak akkor, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
85. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat arról is, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik, eredménye milyen hatással lesz jogaikra, a személyes beavatkozás lehetősége fennáll-e, automatikus döntéshozatalra, profilalkotásra sor kerül-e. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabályi rendelkezésről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat 8. számú melléklete tartalmazza.
86. A munkaalkalmasság, felkészültség mérésére irányuló tesztlapokat a tájékoztatást követően a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal. A tesztlapok kitöltése nem irányulhat a munkavállalók zaklatására, jogaik csorbítására.
87. A munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
88. A kezelhető személyes adatok köre a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek megállapítása. Az adatkezelés jogalapja: a munkáltató jogos érdeke. A személyes adatok kezelésének célja munkaviszony létesítése, fenntartása, munkakör betöltése
89. A vizsgálati eredményt az érintett munkavállalók, illetve a vizsgálatot végző, titoktartási kötelezettség alá eső szakember ismerheti meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját a munkáltató nem ismerheti meg.
90. A személyes adatok a munkaviszony megszűnését követő 50 évig kezelhetőek. A teszteket, és a munkavállalókra vonatkozó értékeléseket a személyi anyagtól elkülönítve kell, elzártan tárolni.
17. Önéletrajzok kezelése
91. Annak érdekében, hogy a nem pályázati kiírás eredményeként érkező önéletrajz benyújtója személyes adatok védelméhez fűződő joga ne sérüljön, a társaság honlapján az önéletrajzok kezelésével és tárolásával kapcsolatos tájékoztatót kell elhelyezni az Kapcsolat link alatt, melyben fel kell hívni a figyelmet arra, hogy az érintettnek a beküldött önéletrajzához csatolnia kell egy nyilatkozatot, amelyben hozzájárul önéletrajzának 3 hónapig tartó kezeléséhez. Amennyiben a beérkezett nyilatkozat a hozzájárulást nem tartalmazza, a társaság kizárólag annak vizsgálatára jogosult, hogy a pályázati anyagnak megfelelő betöltetlen álláshellyel rendelkezik-e, amennyiben ilyen álláshely nem áll rendelkezésre, az anyagot a benyújtójának vissza kell küldeni vagy meg kell semmisíteni.
92. Az állásfelhívás feladása során jelezni kell, hogy az önéletrajzok tárolási ideje az adott pályázat lezárulásától, amennyiben a jelentkezés pályázattól függetlenül érkezett, a jelentkezés benyújtásától számított 3 hónap. A fel nem vett személyek önéletrajza a felvett, azonban próbaidő alatt megüresedő munkakör betöltése céljából kezelhető.
93. Az adattárolási határidő lejártát, vagy az érintett hozzájárulásának visszavonását követően a pályázati anyagokat meg kell semmisíteni, ha arra a jelentkező külön igényt tart, részére vissza kell küldeni. Az adatmegsemmisítésről személyes adatokat nem tartalmazó jegyzőkönyvet kell felvenni a 9. számú melléklet szerint.
94. A kezelhető személyes adatok köre, a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, korábbi munkáltatói értékelés (ha van).
95. A személyes adatok kezelésének célja, a megfelelő munkaerő kiválasztása. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
96. Az adatkezelés jogalapja, az érintett hozzájárulása.
97. Az önéletrajzokat a társaságnál munkáltatói jogok gyakorlására jogosult vezető, személyügyi feladatokat ellátó munkavállalók kezelhetik.
98. Amennyiben a társaság képviselője az állásinterjú során jegyzetet vesz fel, előzetesen az érintett hozzájárulását kell kérni és a végén számára lehetővé kell tenni a jegyzet megismerését, amelyhez észrevételt tehet. Az állásinterjú végén az érintett amennyiben a jegyzet tartalmával egyet ért, azt aláírja, aláírás megtagadása esetén a jegyzetet meg kell semmisíteni.
99. Az álláspályázathoz kapcsolódóan a társaság nem jogosult korábbi munkáltatók megkeresésére.
100. A társaság a pályázó nyilvánosan közzétett, közösségi oldalakon szereplő adatait ellenőrizheti (azonban nem tárolhatja), amelynek tényére a pályázat kiírásakor, illetve a honlapon felhívja a figyelmet. A társaság a pályázó közösségi oldal zárt csoporthoz kapcsolódó tevékenységet nem ellenőrizhet.
101. A társaság anonim álláshirdetést nem ad fel.
102. A 118/2001. (VI. 30.) Korm. rendelet 10. § (1) bekezdés e) pontja meghatározza, hogy milyen adatokat nem lehet kezelni magán-munkaközvetítés során. A jogszabály értelmében tilos olyan személyes adatokat kezelni, amelyekre a munkát keresők alkalmasságának a megítéléséhez nincs szükség, illetve amelyek a keresett munkával nincsenek közvetlen összefüggésben.
103. Az álláspályázat részenként hatósági erkölcsi bizonyítvány kérhető.
18. Elektronikus levelezőrendszer ellenőrzéséhez kapcsolódó adatkezelés
104. A társaság e-mail fiókot bocsát a munkavállaló rendelkezésérem, amely e-mail címet és fiókot a munkavállaló a munkaköri feladatai céljára használhatja, abból a célból, hogy a munkavállalók egymással kapcsolatot tartsanak, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. A munkavállaló az elektronikus levelezőrendszert magán célra nem használhatja, a fiókban személyes leveleket nem kezelhet, amely tilalomra a társaság félévente emlékezteti alkalmazottjait.
105. Az ellenőrzés jogalapja a munkáltató jogos érdeke, célja, a munkaviszonyra vonatkozó kötelezettségek megtartásának ellenőrzése, a megfelelő munkavégzés biztosítása.
106. A társaság elektronikus levelezőrendszerének informatikai védelméről a rendszergazda gondoskodik.
107. Az elektronikus levelezőrendszer használata során az érintett munkavállaló köteles megfelelő körültekintéssel eljárni, mind a címzettek megadása, titkos másolatok alkalmazása, mind a dokumentumok csatolása során. Ügyelni kell arra, hogy a címzettek és másolatot kapó személyhez kapcsolódó elektronikus levelezési cím is személyes adat.
108. Az elektronikus levelezés során törekedni kell a személyes adatok titkosítására. A dokumentumok tervezeteit személyes adatok feltüntetése nélkül kell egyeztetésre küldeni.
109. A munkahelyi levelezőrendszer használata kizárólag munkahelyi eszközökön engedélyezett.
110. A munkáltató jogosult az e-mail fiók tartalmát és használatát rendszeresen – 3 havonta – ellenőrizni. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek teljesítésének ellenőrzése, jogalapja a munkáltató jogos érdeke.
111. Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
112. Lehetőség szerint biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során, távollétében két személy jelenlétében jegyzőkönyvet kell felvenni a tapasztaltakról
113. Az ellenőrzés megkezdése előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről, ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az ellenőrzés eredményével kapcsolatban.
114. Az ellenőrzés során a fokozatosság elvét kell érvényesíteni, így elsődlegesen levél címéből és tárgyából kell következtetést levonni arra vonatkozóan, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. A nem személyes célú e-mailek tartalmát a társaság korlátozás nélkül vizsgálhatja.
115. Amennyiben megállapítható, hogy a munkavállaló az elektronikus levelezőrendszert személyes célra használta, fel kell szólítani, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli.
116. Az elektronikus levelező rendszer jelen szabályzatba ütköző használata miatt a társaság a munkavállalóval szemben, az Mt. 56. § alapján, a munkaszerződésben rögzített jogkövetkezményeket alkalmazhat.
117. A munkavállaló az elektronikus levelezőrendszer ellenőrzésével együtt járó adatkezeléssel kapcsolatban jelen szabályzatnak az érintett jogairól szóló részében írt jogokat gyakorolhatják.
118. A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetleges magáncélú leveleit törölje. A jogviszony megszűnését követően a társaság az elektronikus levelezőrendszerben tárolt személyes adatokat megsemmisíti.
119. Az alkalmazott munkahelyi levelezőrendszer GDPR-nak való megfelelősségére vonatkozó hatásvizsgálat eredményét a társaság a szoftverfejlesztőtől beszerzi.
120. Az a munkavállaló, aki a levelezőrendszer működésében rendellenességet észlel, vagy olyan személyes adat válik számára hozzáférhetővé, amelynek megismerésére nem jogosult, köteles azonnal jelezni a rendszergazda, és a társaság vezetője felé.
19. Az informatikai eszközök ellenőrzésével kapcsolatos adatkezelés
121. A társaság jelen szabályzattal előírja, hogy az általa biztosított számítástechnikai vagy elektronikus eszközt így különösen számítógépet, laptopot, tabletet a munkavállaló kizárólag a munkavégzéshez használhatja, ezek magáncélú használatát a társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelhet és nem tárolhat.
122. Az elektronikai eszközök időszakos – félévente – szerverre történő mentéséről gondoskodni kell, megelőzően az érintetteket fel kell hívni, hogy esetleges személyes adataikat távolítsák el az adathordozókról.
123. A társaság által biztosított mobil adathordozókon kívül egyéb eszköz nem csatlakoztatható a társaság informatikai eszközeihez, jelszavas védelmi ellenőrzéssel biztosítani kell az idegen eszközök használatának kizárását.
124. Az informatikai eszköz javítására a társaság rendszergazdája intézkedik, amennyiben ő nem tudja megjavítani, úgy a javítás idején jelen kell lennie, hogy személyes adat jogosulatlanul ne kerülhessen ki az informatikai eszköz adathordozójáról. A harmadik személy által végzett javítás idején akkor lehet az informatikus távol, ha adathordozót (winchestert) nem ad át, vagy a harmadik személy igazolja, hogy az általa folytatott tevékenység a GDPR rendeletnek megfelel, és titoktartási nyilatkozatot tesz.
125. Az informatikai eszköz selejtezését, értékesítését megelőzően gondoskodni kell az adathordozó fizikai megsemmisítéséről.
126. A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetlegesen informatikai eszközön lévő magáncélú adatait törölje. A jogviszony megszűnését követően a társaság az informatikai eszközön tárolt személyes adatokat megsemmisíti.
127. A munkáltató az informatikai eszközökön tárolt adatokat ellenőrizheti. Az informatikai eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben a 18. cím rendelkezései irányadók.
128. A munkavállaló köteles 24 órán belül bejelenteni a társaság vezetője részére, ha informatikai eszközét elvesztette és közölni, hogy az eszközön megközelítőleg hány, és milyen jellegű személyes adat volt.
129. A távmukavégzés a társaság által rendelkezésre bocsátott informatikai eszköz felhasználásával engedélyzehető. A távmunkavégzés esetén a munkavállalót tájékoztatni kell a társaság általi ellenőrzés és az informatikai eszköz használata korlátozásának 18. címben és jelen címben foglalt szabályairól, továbbá arról a szervezeti egységről, amelyhez a munkavállaló munkája kapcsolódik.
130. Az informatikai eszközök védelméről a rendszergazda gondoskodik, amelynek során megfelelő intézkedéseket tesz annak érdekében, hogy az eszköz elvesztése esetén a tárolt személyes adatokhoz ne lehessen hozzáférni.
20. A munkahelyi internethasználat ellenőrzésére vonatkozó adatkezelés
131. A munkavállaló csak a munkaköri feladatával összefüggő honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
132. A társaság informatikai eszközeire interneten elérhető szoftver csak rendszergazdai engedéllyel telepíthető. A rendszergazda a szoftver telepítését személyesen, vagy távoli hozzáféréssel történő rendszergazdai felhasználónév és jelszó megadása után engedélyezi. A külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tiltott!
133. A fájl letöltő-, játék-, csevegő-, szexuális szolgáltatásokat kínáló oldalak látogatása szigorúan tilos.
134. A munkaköri feladatként a társaság nevében elvégzett internetes regisztrációk jogosultja a társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. A személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését kezdeményez a társaság.
135. A munkavállaló munkahelyi internethasználatát a társaság 18. cím rendelkezései szerint ellenőrizheti és az ott meghatározott jogkövetkezményeket alkalmazhatja.
21. A céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
136. A társaság a céges mobiltelefon magáncélú használatát nem engedélyezi, az csak munkavégzéssel összefüggő célokra használható, és a társaság valamennyi kimenő hívószámot és adatokat, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
137. A munkavállaló köteles bejelenteni a társaságnak, ha a céges mobiltelefont magáncélra használta. A munkáltató jogosult nyilatkoztatni a munkavállalót, amennyiben más azonos munkakört betöltő munkavállalói átlaghoz képest több, mint 50%-al magasabb telefonszámla keletkezik adott munkavállaló esetén. Ilyen esetben a társaság a telefonszolgáltatótól bekéri a hívásadatok részleteit és felhívja a munkavállalót arra, hogy a magáncélból hívott számokat tegye felismerhetetlenné. A társaság a magáncélú hívások költségeinek megfizetésére a munkavállalót kötelezheti.
138. A munkavállaló jogviszonyának megszűnését megelőzően gondoskodik arról, hogy az esetleges magáncélú telefonszámait törölje. A jogviszony megszűnését követően a társaság a mobiltelefonon tárolt személyes adatokat megsemmisíti.
139. A munkavállaló köteles 24 órán belül bejelenteni a társaság vezetője részére, ha céges mobiltelefonját elvesztette.
140. A céges mobiltelefonokat el kell látni olyan programmal, amely lehetővé teszi a képernyő zárolását, illetve a telefonon, valamint a SIM kártyán tárolt adatok törlését abban az esetben, ha illetéktelen személy kívánna hozzáférni a telefonon tárolt személyes adatokhoz.
141. Az ellenőrzésre és jogkövetkezményire a 18. cím rendelkezései irányadók.
22. A navigációs rendszer alkalmazásával kapcsolatos adatkezelés
142. A navigációs rendszer (GPS) alkalmazásának jogalapja a munkáltató jogos érdeke, célja a munkafolyamatok hatékony megszervezése, logisztika, a munkáltató üzleti érdekeinek, illetve a munkavállalók életének, testi épségének, a gépjárműnek és a szállított eszköznek a védelme.
143. A kezelt adatok a gépjármű rendszáma, a megtett útvonal, távolság, tartózkodási hely, gépjárműhasználat ideje.
144. Ellenőrzésre kizárólag munkaidőben kerülhet sor, a munkavállalók földrajzi helyzete munkaidőn kívül nem ellenőrizhető. Egyebekben az ellenőrzésre és jogkövetkezményire a 19. cím rendelkezései irányadók, azzal, hogy a munkáltató jogosult nyilatkoztatni a munkavállalót, amennyiben a menetlevélben szereplő helyek közti távolságok az útvonaltervező programhoz képest 20%-al nagyobb eltérést mutatnak, amely esetben a költség megtérítésére kötelezheti a munkavállalót.
145. Az alkalmazott navigációs rendszer GDPR-nak való megfelelősségére vonatkozó hatásvizsgálat eredményét a társaság beszerzi.
23. A munkahelyi kamerás megfigyelésre vonatkozó adatkezelés
146. A társaság a székhelyén, az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést és tárolást is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít. Meghatározott vagyontárgy védelme esetén a kamerának közvetlenül és kizárólagosan a védendő vagyontárgyra kell irányulnia.
147. Az adatkezelés jogalapja a munkáltató és a kamerafelvételen szereplő sértett jogos érdekeinek érvényesítése.
148. A megfigyelőrendszer adott területen történő alkalmazásának tényéről a megfigyelt területre való belépést megelőzően, jól látható helyen, jól olvashatóan, az érintettek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera esetén biztosítani kell. A tájékoztatás mintát a 10. számú melléklet tartalmazza.
149. Nem alkalmazható elektronikus megfigyelőrendszer vagy technikai ellenőrzésre szolgáló más eszköz olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, egészségügyi vagy pszichológiai vizsgálat céljára szolgáló helyiségben, ideértve a vizsgálati helyiséghez tartozó váróhelyiséget is. A megfigyelőrendszer közterületre nem irányulhat.
150. Technikai ellenőrzéssel összefüggően sem helyezhető el a munkavégzés, munkahelyi viselkedés megfigyelése céljából kamera olyan helyiségekben, ahol állandó munkavégzés folyik, sem pedig a munkaközi pihenés céljául szolgáló helyiségekben, kijelölt dohányzóhelyen, ügyeleti helyiségben.
151. A fenti rendelkezések alól kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete, testi épsége veszélyben lehet, így pl. kivételesen működtethető kamera szerelőcsarnokban vagy más veszélyforrást tartalmazó objektumban, helyiségben.
152. A rögzített felvételek felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni. Akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje
153. A jelentős értéket képező eszközök, áruk elhelyezéséül szolgáló helyiségeiben, így különösen garázsban, egyéb, jelentős értéket képviselő eszközök tárolására szolgáló raktárban és az azokhoz vezető folyosókon elhelyezhető és működtethető kamera, azok működéséről azonban jól látható helyen és módon tájékoztatni kell az érintetteket.
154. Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
155. A kamerák által vett képet közvetítő berendezést úgy kell elhelyezni, hogy azt csak az a személy láthassa, akinek a kamera által közvetített kép figyelése a munkaköri feladatainak részét képezi. A rögzített adatok megtekintésére a jogsértések feltárása és a rendszer működésének ellenőrzése céljából a kezelő személyzet, a társaság vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
156. A megfigyelés és a tárolt képfelvételek visszanézése kizárólag a jogsértő cselekmények kiszűrése, az azok megszüntetéséhez szükséges intézkedések kezdeményezése céljából végezhető.
157. A kamerák által közvetített képet az adattároló egységen kívül más eszközzel rögzíteni nem lehet.
158. Az adattároló eszközt elzárt helyen kell őrizni. A tárolt képfelvételekhez való hozzáférésnél az adatkezelő személyének azonosíthatónak kell maradnia. A képfelvételek visszanézését és a képfelvételekről készített mentést dokumentálni kell.
159. A jogosultság indokának megszűnését követően a tárolt képfelvételekhez való hozzáférést haladéktalanul meg kell szüntetni. A rögzítő készülékben elkülönített merevlemezről fut az operációs rendszer és a tárolt felvételek. A felvételekről külön biztonsági másolat nem készül.
160. A jogsértő cselekmény észlelését követően a cselekményről készült felvétel rögzítéséről és a szükséges eljárás kezdeményezése felől intézkedni kell, egyben tájékoztatni kell az eljárásra jogosult szervet, hogy a cselekményről képfelvétel készült.
161. A tárolt képfelvételek átadását megelőzően meg kell győződni arról, hogy ki nem adható adatok ne szerepeljenek, harmadik személyek személyhez fűződő joga ne sérüljön. Az át nem adható adatokat anonimizálni szükséges (pl. rendszámok, harmadik személyek).
162. Az alkalmazott megfigyelő rendszer GDPR-nak való megfelelősségére vonatkozó hatásvizsgálat eredményét a társaság beszerzi.
24. A tanulmányi szerződésekre vonatkozó adatkezelés
163. A társaság a munkavállalóval tanulmányi szerződést köthet, az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződésen alapul, amely tájékoztatás történhet a szerződésben is.
164. Az adatkezelés jogalapja a szerződés, adatkezelési idő 50 év.
165. Az érintettet személyes adatai a képzést végző oktatási intézmény, mint közös adatkezelő részére átadhatók, amelyről a szerződésben tájékoztatni kell az érintettet.
166. A munkavállalóval kötött szerződéshez kapcsolódó adatkezelési tájékoztató szövegét a 11. számú melléklet tartalmazza.
167. A személyes adatokat, a társaság személyügyi feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.
168. A tanulmányi szerződés megkötésénél az Mt. 229. § (1) bekezdése és a törvény további rendelkezéseit is figyelembe kell venni.
VII. RÉSZ
HOZZÁJÁRULÁS, MINT AZ ADATKEZELÉS JOGALAPJA
25. A honlap böngészésre vonatkozó (cookie) adatkezelés
169. A cookie (süti) egy olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének, hogy az eltárolja és később betölthesse a tartalmát.
170. Az adatkezelés jogalapja az érintett hozzájárulása.
171. A felhasználó informatikai eszközén csak a felhasználó világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni (2003. évi C. törvény 155. § (4) bekezdés alapján).
172. A társaság honlapjának látogatásakor egy rövid összefoglalót kell adni a cookie-k alkalmazásáról, és egy linken keresztül elérhetővé kell tenni a tájékoztató teljes szövegét a 12. számú melléklet szerint. A tájékoztatóval a társaság biztosítja, hogy a látogató a honlap szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a társaság mely adatkezelési célokból, mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
173. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (e-kertv) 13/A. § (3) bekezdése szerint a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és oly módon kell üzemeltetnie az alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez – a szükséges mértékben és ideig – indokolt.
26. Regisztráció a honlapon
174. A honlapon regisztráló természetes személy az erre alkalmazott, üres négyzet (checkbox) bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez.
175. A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító, számlázási, postázási név és cím. Felhasználónév, jelszó megadása nem kérhető, és nem is adható válaszüzenetben.
176. A honlapon történt regisztrációt követően a regisztráló által megadott elektronikus elérhetőségre megerősítést kérő üzenetet kell küldeni, annak érdekében, hogy a társaság megbizonyosodjon arról, hogy valóban az érintett saját adataival regisztrált a honlapon. A visszaigazolásig az adatok nem kezelhetőek, visszaigazolás hiányában 1 hónap után az adatokat törölni kell.
177. Az adatkezelés jogalapja az érintett hozzájárulása, célja:
a) a honlapon nyújtott szolgáltatások teljesítése;
b) kapcsolatfelvétel (elektronikus, telefonos, SMS, és postai megkereséssel);
c) tájékoztatás a társaság termékeiről, szolgáltatásairól, szerződési feltételeiről; akcióiról;
d) reklámüzenet küldése;
e) a honlap használatának elemzése.
178. A személyes adatokat a társaság ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói kezelhetik, adatfeldolgozóként a társaság IT szolgáltatója munkavállalói a tárhelyszolgáltatás teljesítése céljából.
179. A személyes adatok tárolására az érintett hozzájárulása visszavonásáig kerülhet sor.
27. Rendezvényeken készült képfelvételekkel kapcsolatos adatkezelés
180. Szakmai rendezvény szervezése esetén a társaság részéről a rendezvényen kép-, vagy kép- és hangfelvétel készülhet. Az adatkezelés jogalapja: az érintett hozzájárulása.
181. A kép- vagy kép- és hangfelvételeken történő részvétel kapcsán a képmásnak, mint személyes adatnak kezelésére – törvényi felhatalmazás hiányában – kizárólag az érintett előzetes hozzájárulásával kerülhet sor. Az érintettek hozzájárulását a 4. sz. melléklet szerinti nyilatkozat kitöltésével kell megszerezni, kivéve, ha a felvétel:
a) nyilvános közéleti szereplés során készült felvételnek minősül,
b) tömegfelvételnek minősül, vagy
c) ha a felvétel a munkavállalóról technikai ellenőrzés keretében, a térfigyelő kamerákra vonatkozó rendelkezés szerint készül.
182. A hozzájáruló nyilatkozat aláírása önkéntes. Akik nem kívánnak a felvételeken szerepelni, e joguk érvényesítése érdekében – nevet, munkakört megjelölve – nyilvántartásba kell venni.
183. A hozzájáruló nyilatkozatokat a rendezvény szervezésre kijelölt személy összegyűjti, a nyilvántartást elkészíti és elzárva tárolja. A nyilvántartott neveket kizárólag a felvételekkel kapcsolatos adatkezelést végző személyek, valamint az adatvédelmi tisztviselő ismerheti meg.
184. A rendezvényen történő kép- és hangfelvétel készítése esetén a rendezvényért felelős feladata a rendezvény megkezdése előtt felhívni az érintettek figyelmét arra, hogy amennyiben a képfelvétel készítéséhez – ide nem értve a tömegfelvételt és a nyilvános közéleti szereplést – nem járulnak hozzá, úgy azt jelezzék a jelenlévő fotós részére.
185. A jelenléti vagy regisztrációs ív alkalmazásával járó események esetén az adatkezelési tájékoztatót jól látható helyen elérhetővé kell tenni, és a jelenléti íven vagy regisztrációs adatlapon az adatkezelési hozzájárulásnak külön rubrikát kell kialakítani.
186. A személyes adatok kezelésének célja a társasági kohézió növelése, megfelelő munkahelyi légkör kialakítása.
187. A személyes adatok a hozzájárulás visszavonásáig tárolhatók.
VII. RÉSZ
SZERZŐDÉS, MINT AZ ADATKEZELÉS JOGALAPJA
28. A szerződő felek adatainak kezelése
188. A társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, egyéni vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződéskötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
189. A személyes adatokat, a társaság kereskedelemmel, ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói kezelhetik.
190. A személyes adatok kezelésének időtartama: a szerződés megszűnését követő 8 év a számviteli iratok megőrzése céljából.
191. Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződésen alapul, amely tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére átadható, amelyről a szerződésben tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési tájékoztató szövegét a 11. számú melléklet tartalmazza.
29. A jogi személy partnerek kapcsolattartóinak elérhetőségi adatai
192. A társaság, az érintett természetes személy nevét, címét, telefonszámát, e-mail címét, online azonosítóját kezeli, jogalapja, a szerződés teljesítése, illetve az ehhez kapcsolódó munkáltatói érdek érvényesítése.
193. Az adatkezelők a szerződésben 11. számú mellékletben nyilatkoznak arról, hogy olyan személyt jelölnek meg kapcsolattartónak, akinek ez munkaköri feladatainak ellátásához tartozik, és akit tájékoztattak arról, hogy az adatkezelő tevékenységével kapcsolatban más adatkezelők a munkáltató által biztosított eszközön, munkaidőben megkereshetik.
194. A személyes adatok kezelésének célja, a társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
195. A személyes adatok címzettjei, a társaság kereskedelemmel, ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.
196. A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.
VIII. RÉSZ
JOGI KÖTELEZETTSÉG TELJESÍTÉSÉN ALAPULÓ ADATKEZELÉSEK
30. Adó-, járulék- és számviteli kötelezettségek teljesítése céljából
197. A társaság jogi kötelezettség teljesítése alapján, törvényben előírt adó-, járulék és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
198. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169. §, és 202. §-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167. §-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (továbbiakban: Szjatv.) alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
199. A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
200. A jelen címhez kapcsolódó személyes adatokat a társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.
31. Munkajogviszonyra vonatkozó adatkezelések
201. A társaság jogi kötelezettség teljesítése alapján, törvényben előírt munkajogviszony szabályszerű teljesítése céljából kezeli a munkavállalók törvényben meghatározott adatait.
202. Szabadság nyilvántartással kapcsolatban az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés c) pontja és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 8 év.
203. Jelenlét nyilvántartása esetén az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés a) pontja és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 8 év.
204. Fegyelmi eljárással és döntéssel kapcsolatban az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 56. § és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év.
205. Kártérítési eljárás mukavállalónak okozott kár kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. XIII. fejezet és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság felelősségbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a felelősségbiztosító társasággal.
206. Kártérítési eljárás munkáltatónak okozott kár esetén az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. XIV. fejezet és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság vagyon/készletbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a biztosító társasággal.
207. Munkahelyi balesetekhez kapcsolódó adatkezelés kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a munkavédelemről szóló 1993 évi XCIII. törvény 7. §, 49. §-ai és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 50 év. Amennyiben a társaság felelősségbiztosítási szerződéssel rendelkezik, közös adatkezelői szerződést indokolt kötni a felelősségbiztosító társasággal.
208. Gyakorlatot teljesítő személyek adatai kapcsán az adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét 2011. évi CLXXXVII. törvény és a törvény további rendelkezései határozzák meg. Az adatkezelési idő 3 év. A szakképzésben közreműködő oktatási intézménnyel közös adatkezelői szerződést indokolt kötni.
209. A jelen címhez kapcsolódó személyes adatokat a társaság személyzeti feladatait ellátó munkavállalói, illetve a közös adatkezelők kezelhetik.
32. Kifizetői adatkezelés
210. A társaság a törvényben előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (az adózás rendjéről szóló 2017. évi CL. törvény (Art.) 7. § 31. pontja) kapcsolatban áll. A kezelt adatok körét az Art. 50. §-a határozza meg, kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szjatv. 40. §) és szakszervezeti (Szjatv. 47. § (2) bekezdés b) pontja) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
211. A társadalombiztosítási járulék levonásához kapcsolódó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét társadalombiztosítási nyugellátásról szóló 1997. évi LXXX. törvény határozza meg.
212. A társaság a munkavállalókat terhelő tartozásokhoz kapcsolódó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a bírósági végrehajtásról szóló 1994. évi LIII. törvény 24. § – 28. §-ai és a törvény további rendelkezései határozzák meg.
213. Kiküldetés céljából történő adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Szjatv. 3 § 10., 11., 12., 83. pontjai és a törvény további rendelkezései határozzák meg.
214. Cafeteria juttatásokkal kapcsolatos adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Szjatv. 71. §-a és a törvény további rendelkezései határozzák meg. A társaság a cafeteria szolgáltatást nyújtó szolgáltatókkal közös adatkezelésre vonatkozó szerződést köt.
215. Baleseti ellátásra vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény (továbbiakban: Ebtv.) VI. fejezete és a törvény további rendelkezései határozzák meg.
216. Csed, gyed kifizetés vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Ebtv. 40. § – 42./F §-ai és a törvény további rendelkezései határozzák meg.
217. Betegszabadságra vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét az Mt. 134. § (1) bekezdés c) pontja és a törvény további rendelkezései határozzák meg.
218. Táppénz kifizetésre vonatkozó adatkezelés jogalapját, az adatkezelés célját és a kezelt adatok körét 1997. évi LXXXIII. törvény 43. § és a törvény további rendelkezései határozzák meg.
219. A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
220. A személyes adatokat a társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói kezelhetik.
33. A maradandó értékű iratokra vonatkozó adatkezelés
221. A társaság kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény szerint maradandó értékűnek minősülő iratait abból a célból, hogy irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.
222. A személyes adatokat a társaság vezetője, iratkezelést, irattározást végző munkavállalója, a közlevéltár munkatársa kezelheti.
34. A pénzmosás / terrorizmus finanszírozása elleni kötelezettségekhez, és korlátozó intézkedésekhez kapcsolódó adatkezelés
223. A társaság, a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényben (Pmt.) meghatározott célból kezeli ügyfelei, ezek képviselői, és a tényleges tulajdonosok meghatározott adatait (családi utónevét, születési családi és utónevét, állampolgárságát, születési helyét, idejét, anyja születési nevét, lakcímét, ennek hiányában tartózkodási helyét, azonosító okmányának típusát és számát; lakcímet igazoló hatósági igazolványa számát). Az adatkezelés ideje a Pmt. 56. § (2) bekezdése alapján 8 év.
224. A társaság az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvényben (Kit) meghatározott célból kezeli a törvényben meghatározott adatokat (családi utónevét, születési családi és utónevét, állampolgárságát, születési helyét, idejét, anyja születési nevét, lakcímét, ennek hiányában tartózkodási helyét, azonosító okmányának típusát és számát). Az adatkezelési idő a Kit. 16. § (5) bekezdése alapján 10 év.
225. A személyes adatokat a társaság vezetője, ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, a társaság által kijelölt személye jogosult.
35. Az adatfeldolgozás általános szerződési feltételei
226. A társaság az adatfeldolgozási tevékenységre írásbeli szerződést köt.
227. A társaság adatfeldolgozási tevékenységének általános szerződési feltételeit a 16. sz. melléklet tartalmazza.
228. Az általános szerződési feltétel tartalmát a másik féllel a szerződéskötést megelőzően meg kell ismertetni, és azt a másik félnek el kell fogadnia.
X. RÉSZ
ADATVÉDELMI INCIDENSEK KEZELÉSE
36. Az adatvédelmi incidens fogalma
229. Az adatvédelmi incidens fogalmát a GDPR 4. cikk 12. pontja tartalmazza. Adatvédelmi incidens lehet például: a pendrive, laptop vagy mobil telefon elvesztése, személyes adatok elvesztése, nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása (tévesen küldött email), ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése, személyes adatot kezelő informatikai rendszer elérhetetlenné válása, személyes adat nyilvánosságra hozatala.
37. Adatvédelmi incidensek kezelés, orvoslása
230. Az adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása, ellenőrzése a társaság vezetőjének feladata.
231. Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni szükséges.
232. Amennyiben a társaság ellenőrzésre jogosult munkavállalói adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a társaság vezetőjét.
233. A társaság munkavállalói kötelesek írásban jelezni a vezetőnek, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
234. Az adatvédelmi incidens bejelenthető a társaság központi e-mail címén, telefonszámán.
235. Adatvédelmi incidens bejelentése esetén a társaság vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést.
236. Az előzetes vizsgálat során el kell dönteni, hogy valódi incidensről, vagy téves jelzésről van szó. Az előzetes vizsgálatba a vezető bevonja a rendszergazdát, szükség esetén az adatvédelmi tisztviselőt, illetve az adatfeldolgozót, valamint a személyes adat kezelésének ellenőrzésével megbízott személyt.
237. Meg kell vizsgálni és meg kell állapítani:
a) az incidens fajtáját
b) a bekövetkezésének időpontját és helyét,
c) az incidens körülményeit, hatásait,
d) az incidens során kompromittálódott adatok körét, számosságát,
e) a kompromittálódott adatokkal érintett személyek körét,
f) az incidens elhárítása érdekében tett intézkedések leírását,
g) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
238. Amennyiben az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóság részére (NAIH), úgy ennek érdekében a társaság vezetője intézkedik.
239. Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni, el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
240. Amennyiben az adatvédelmi incidens kapcsán bűncselekmény gyanúja merül fel, úgy a társaság büntetőfeljelentést tesz.
38. Adatvédelmi incidensek nyilvántartása
241. Az adatvédelmi incidensekről a 2. sz. melléklet szerinti nyilvántartást kell vezetni, amely tartalmazza:
a) az incidens jellegét,
b) az érintett személyes adatok kategóriáit, számát,
c) az adatvédelmi incidenssel érintettek körét és számát,
d) az adatvédelmi incidensről történt tudomásszerzés időpontját, körülményeit,
e) az adatvédelmi incidens körülményeit, hatásait,
f) az adatvédelmi incidens orvoslására megtett intézkedéseket,
g) a bejelentés időpontját,
h) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
242. A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
XI. RÉSZ
ADATVÉDELMI HATÁSVIZSGÁLAT
39. Adatvédelmi hatásvizsgálat és előzetes konzultáció
243. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
244. Az adatvédelmi hatásvizsgálat megrendeléséért a társaság vezetője a felelős. A hatásvizsgálatba, ha van kijelölt adatvédelmi tisztviselő, tanácsát ki kell kérni.
245. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
246. Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36. cikkei és az Infotv. rendelkezései irányadók.
XII. RÉSZ
AZ ÉRINTETT JOGAI
40. Tájékoztatás az érintett jogairól
247. A társaság honlapján az érintettek jogairól tájékoztatót kell elhelyezni és azt folyamatosan karbantartani.
248. Az adatkezeléshez kapcsolódó igényeket a társaság vezetője részére be kell mutatni, aki gondoskodik arról, hogy határidőn belüli megválaszolásáról.
249. Minden esetben meg kell győződni arról, hogy a jogokat gyakorolni kívánó személy jogosult-e a jogok gyakorlására. Ebből a célból az érintettnek a jog gyakorlásához kapcsolódó személyes adatait előzetesen ellenőrizni kell
250. A jogok gyakorlása során mások jogai, szabadságai nem sérülhetnek, ezért a társaság a meg nem ismerhető adatok anonimizálásáról gondoskodik.
251. A társaság annak érdekében, hogy az érintett a jogait megfelelő módon és terjedelemben gyakorolhassa, az adatvédelmi tisztviselőt bevonja az érintettnek adandó választervezet előkészítésébe.
252. Az érintett jogait díjmentesen gyakorolhatja. A visszaélésszerű joggyakorlás esetén – így különösen ugyanarra az adatra vonatkozó ismételt kérelem esetén – önköltségi díj számítható fel.
253. Az érintett jogai:
a) átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése;
b) előzetes tájékozódás – ha a személyes adatokat az érintettől gyűjtik;
c) az érintett tájékoztatása, ha a személyes adatait nem tőle szerezték meg;
d) hozzáférési jog;
e) helyesbítéshez való jog;
f) törléshez való jog (elfeledtetéshez való jog);
g) adatkezelés korlátozásához való jog;
h) a helyesbítéséhez, törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítés joga;
i) adathordozhatósághoz való jog;
j) tiltakozáshoz való jog;
k) automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást;
l) korlátozások;
m) tájékoztatás az adatvédelmi incidensről;
n) a felügyeleti hatóságnál panaszhoz való jog (hatósági jogorvoslathoz való jog);
o) a felügyeleti hatósággal szembeni bírósági jogorvoslat joga;
p) az adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslat joga;
41. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának támogatása
254. Az adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást díjmentesen, tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – dokumentáltan kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
255. Az adatkezelőnek elősegíti az érintett jogainak a gyakorlását, ennek biztosítása érdekében konzultál az adatvédelmi tisztviselővel.
256. Az adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a GDPR-ban írt feltételekkel további két hónappal meghosszabbítható. A határidő meghosszabbításáról és annak okairól az érintettet egy hónapon belül tájékoztatni kell.
257. Ha az adatkezelő nem intézkedik az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
258. Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban ha kérelme egyértelműen megalapozatlan, vagy túlzó, az adminisztratív költségekkel egyező összegű díjat számíthat fel.
42. Előzetes tájékozódáshoz való jog, ha a személyes adatokat az érintettől gyűjtik
259. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelést megelőzően tájékoztatást kapjon az alábbiakról:
a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
c) a személyes adatok tervezett kezelésének céljáról, az adatkezelés jogalapjáról,
d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik – illetve a címzettek kategóriáiról, ha van ilyen;
e) annak tényéről, ha az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
260. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) az érintett hozzájárulásán alapuló adatkezelés esetén, a hozzájárulás visszavonásához való jogról, amely nem érinti a visszavonás előtt végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
261. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet az eltérő célról és az előző pontban írt minden releváns kiegészítő információról.
43. Az érintett rendelkezésére bocsátandó információk, ha a személyes adatokat nem tőle szerezték meg
262. Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell a megelőző cím első két pontjában írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
263. A további szabályokra a megelőző cím első két pontjában írtak irányadók.
44. Az érintett hozzáférési joga
264. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz és az Előzetes tájékoztatáshoz való jog kezdetű című 1. pontjában írt kapcsolódó információkhoz hozzáférést kapjon.
265. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére továbbítják, az érintett jogosult tájékoztatást kapni a GDPR 46. cikk szerinti továbbításra vonatkozó garanciákról.
266. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.
45. A helyesbítéshez való jog
267. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
268. Az adatkezelés céljára figyelemmel, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.
46. A törléshez való jog („az elfeledtetéshez való jog”)
269. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelésre vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
270. A törléshez való jog nem gyakorolható, ha az adatkezelés szükséges
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő közérdek alapján;
d) a közérdekű archiválási-, tudományos és történelmi kutatási-, vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
47. Az adatkezelés korlátozásához való jog
271. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha:
a) az érintett vitatja a személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely alatt az adatkezelő ellenőrizheti a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és helyette kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
272. Az adatkezelés korlátozása esetén a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy személyek jogainak védelme érdekében, vagy fontos közérdekből lehet kezelni.
273. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.
48. A helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
274. Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
49. Az adathordozhatósághoz való jog
275. A társaság automatizált döntésen alapuló adatkezelést nem végez, ezért az adathordozhatósághoz való jog nem gyakorolható.
50. A tiltakozáshoz való jog
276. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
277. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése esetén, az érintett jogosult arra, hogy tiltakozzon a rá vonatkozó személyes adatok kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
278. Az előző két pontban rögzített jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
279. Az információs társadalommal összefüggő szolgáltatásokhoz kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
280. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
51. Automatizált döntéshozatal, profilalkotás
281. A társaság automatizált adatkezelést nem alkalmaz.
52. Korlátozások
282. Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel a GDPR 23. cikkben meghatározott esetekben korlátozhatja jogok és kötelezettségek (Rendelet 12-22. cikk, 34. cikk, 5. cikk) terjedelmét, hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.
53. Tájékoztatás az adatvédelmi incidensről
283. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
284. Az adatvédelmi incidensről szóló tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább:
a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
285. Az érintettet nem kell az tájékoztatni, ha:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
54. A felügyeleti hatóságnál (NAIH) történő panasztétel joga
286. Az érintett jogosult panaszt tenni a felügyeleti hatóságnál (Nemzeti Adatvédelmi és Információszabadság Hatóság), ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.
55. A felügyeleti hatósággal szembeni bírói jogorvoslat joga
287. Az egyéb jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
288. Az érintett jogosult a bírósági jogorvoslatra, ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
289. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
290. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében az Európai Adatvédelmi Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
56. Az adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslat joga
291. A rendelkezésre álló nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a jogait.
292. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
XIII. RÉSZ
ZÁRÓ RENDELKEZÉSEK
57. A Szabályzat megállapítása, módosítása és beépítése
293. A Szabályzat megállapítására és módosítására a társaság vezetője jogosult.
294. A társaság vezetője gondoskodik arról, hogy az adatvédelmi szabályzatban meghatározott előírások a társaság folyamataiban és mindennapjaiban érvényre jussanak.
295. Jelen szabályzatot valamennyi munkavállaló számára elérhetővé kell tenni, mind elektronikusan, mind papír alapon.
296. A Szabályzat rendelkezéseit meg kell ismertetni a társaság valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége. A munkaszerződés kiegészítés mintáját jelen szabályzat 17. számú melléklete tartalmazza.
297. A társaság jelen szabályzat alapján a munkavállalók munkaszerződéseit kiegészíti, a munkavégzéssel együtt nem járó személyes adatok átadása esetére titoktartási kötelezettséget ír elő.
298. A munkaszerződés módosításban a szabályzatban foglaltak be nem tartása esetére egy havi alapbéréig terjedő szankció állapítható meg, amennyiben a munkavállaló által okozott adatvédelmi incidenst legalább az adatvédelmi felügyeleti hatóság (NAIH) részére be kell jelenteni.
299. A társaság az adatvédelmi szabályok megszegése esetén az érintettel szemben büntető feljelentést tesz.
300. A társaság állományába újonnan került olyan személyeket, akik munkakörüknél fogva személyes adatokat kezelnek, az adatvédelmi tisztviselő, vagy más erre megbízott személy köteles az állományba vételt követő három munkanapon belül adatvédelmi oktatásban részesíteni és részére a szükséges jogszabályokat, belső normákat és egyéb segédanyagokat rendelkezésre bocsátani, majd az oktatást követő egy héten belül vizsgáztatásukat elvégezni.
301. A társaság személyes adatok kezelő állománya évente adatvédelmi oktatáson vesz részt, amelyet adatvédelmi tisztviselő tart. Az éves oktatás során incidenskezelési gyakorlat megtartására is sor kerülhet (nem valós adatokkal).
302. Az érintett vezető, a rá vonatkozó adatvédelmi szabályok betartásáról és a hozzá tartozó állomány kapcsán a szabályok érvényesüléséről gondoskodik. Az érintett vezető a 1. sz. melléklet szakterületét érintő részét figyelemmel kíséri, a változást jelzi a nyilvántartásért felelős személy részére.
303. Az adatkezelő szerv adatvédelmi tevékenységének célellenőrzését az adatkezelő szerv vezetője rendelheti el. Az informatikai biztonsági feltételek teljesülését félévente ellenőrizni kell, eredményéről tájékoztatni kell a vezetőt.
ADATKEZELÉSI- ÉS ADATVÉDELMI SZABÁLYZAT
A fenti szabályzatot megismertem, megértettem:
Név Aláírás Dátum