ÁRAJÁNLATKÉRÉSI ŰRLAP

E-mail: info@adaptiv.eu    Telefon: +36-22/338-273   /   +36-20/490-3716

árajánlatkérési űrlap
árajánlatkérési űrlap

Adatvédelmi nyilatkozat

ADATVÉDELMI SZABÁLYZAT

Nagy és Társa Kft.

Hatályos 2021. június 1-től

A Nagy és Társa Kft. (a továbbiakban: Társaság) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi szabályzatot alkotja.

Adatkezelő megnevezése: Nagy és Társa Kft.

Adatkezelő cégjegyzékszáma: 07-09-009876

Adatkezelő székhelye: 8000 Székesfehérvár, Zámoly utca 43.

Adatkezelő képviselője: Nagy István, ügyvezető

I. rész: Általános elvek, az adatvédelem rendszere

1.      A szabályzat célja

A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR) 13-14. cikkeiben meghatározott érintetti tájékoztatáshoz való jog megvalósulását.

A Szabályzat célja, hogy alkalmazásával a Társaság megfeleljen a GDPR, és a személyes adatok kezelését érintő magyar jogszabályokban foglalt rendelkezéseknek, így különösen a 2018. július 25. napjától módosult, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.

Az Adatvédelmi Szabályzat felfekteti a Társaságnál zajló adatkezelések törvényes kereteit, biztosítja az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegíti az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést, kialakítja az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat az adatbiztonságban.

A Szabályzat célja továbbá a Társaság által adatkezelői, illetve esetlegesen adatfeldolgozói minőségben kezelt és feldolgozott személyes adatok védelmi rendszerének kiépítése és működtetése.

Jelen Szabályzat célja továbbá, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve a Társaság által esetlegesen megbízott adatfeldolgozók által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről, valamint az érintett jogairól.

Fentiekre tekintettel a Társaság a Szabályzat által meghatározott adatvédelmi rendszer, és az adatvédelemre vonatkozó adatvédelmi gyakorlat kialakításával a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

2.   A szabályzat hatálya

A szabályzat időbeli hatálya 2021. június 1-től visszavonásig tart.

A szabályzat tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul.

Egyéni vállalkozó, egyéni cég vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.

A szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

3.     Fogalmak

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ[1]; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;

Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;

 Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

 Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

 Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele, nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.

 Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.

Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.

 Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az Adatkezelővel vagy az adatfeldolgozóval.

 Harmadik ország: minden olyan állam, amely nem EGT-állam.

 EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

4.     A szabályzat kötelező felülvizsgálata

A GDPR által támasztott elvárás, hogy az adatkezelő annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, törlési vagy rendszeres felülvizsgálati határidőket állapítson meg.

Jelen szabályzat a fenti elvárásoknak megfelelően kötelezően felülvizsgálandó:

  • jelentős szervezeti, vagy jogszabályi változásokat követően,
  • a hatályossá válását követő minden harmadik évben, így az első kötelező felülvizsgálat időpontja: 2024.;
  • az adatkezelések változása, új adatkezelés bevezetése esetén haladéktalanul.

5.     Az adatkezelések elvei, szabályai

A Társaság az adatkezelések során kiemelten fontosnak tartja az alábbi alapelvek betartását, adatkezeléseit ezek mentén határozza meg:

  • jogszerűség, tisztességesség és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
  • célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
  • adattakarékosság: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;
  • pontosság: a személyes adatoknak pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
  • korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
  • integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

 Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést, így különösen:

A Társaság személyes adatot csak a GDPR 6. cikkében meghatározott jogalapok alapján kezel. A személyes adatok kezelése tehát csak akkor jogszerű, ha az alábbiak közül legalább az egyike megvalósul:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez [GDPR 6. cikk (1) bek. a) pont];
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges [GDPR 6. cikk (1) bek. b) pont];
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges [GDPR 6. cikk (1) bek. c) pont];
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges [GDPR 6. cikk (1) bek. d) pont];
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges [GDPR 6. cikk (1) bek. e) pont];
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek [GDPR 6. cikk (1) bek. f) pont].

Különleges személyes adatokat a Társaság – figyelembe véve a GDPR 9. cikkében foglalt rendelkezéseket – abban az esetben kezel, ha annak fenn állnak a GDPR 9. cikk (2) és (3) bekezdésében meghatározott feltételei, így különösen:

  • az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
  • az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  • az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki (szakmai) titoktartási kötelezettség hatálya alatt áll.

A Társaság a személyes adatok különleges kategóriáit csak a legszükségesebb, elkerülhetetlen esetekben kezeli.

Bűnügyi személyes adatot a Társaság nem kezel.

A 16. életévét be nem töltött gyermek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A Társaság – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

Amennyiben az adatkezelés jogalapja a Társaság vagy harmadik fél jogos érdeke, a Társaság minden esetben érdekmérlegelési tesztet folytat le.

A Társaság legkésőbb az adat felvételével egy időben minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

6.     A Társaság adatvédelmi rendszere

A Társaság mindenkori ügyvezetője, illetve ügyvezetői a Társaság sajátosságainak figyelembe vételével meghatározzák az adatvédelem szervezetét, az adatvédelemre valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelölik az adatkezelés felügyeletét ellátó személyt.

Az ügyvezető az adatvédelemmel kapcsolatosan:

  1. felelős az érintettek GDPR-ban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  2. felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  3. felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért;
  4. kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait;
  5. kijelöli az adatvédelmi kérdések tárgyában hatáskörrel rendelkező személyt.

Az ügyvezető által kijelölt, az adatvédelmi kérdések kapcsán hatáskörrel rendelkező személy (Társaság adatvédelemért felelős munkavállalója) adatvédelemmel kapcsolatos kötelezettségei:

  1. segítséget nyújt az érintetteknek bármely az adatkezeléssel, vagy jogaikkal kapcsolatban felmerült kérdésük kapcsán;
  2. együttműködik a felügyeleti hatósággal;
  3. vezeti az adatkezelési nyilvántartást;
  4. vezeti az incidens nyilvántartást;
  5. figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen szabályzat módosítását.

7.     Adatvédelmi incidensek

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Adatvédelmi incidensnek számít személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, a megváltoztatás, az adat jogellenes továbbítása, nyilvánosságra hozatala, törlése vagy megsemmisítése, valamint véletlen megsemmisülése és sérülése.

A Társaság ezért a tudomására jutott adatvédelmi incidenst az alábbi előírások szerint kezeli:

7.1.             Adatvédelmi incidens észlelése és jelentése

 A Társaság minden munkavállalója – beleértve az munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst a tudomására jutást követően haladéktalanul jelenteni a Társaság bármely ügyvezetőjének, aki továbbítja azt az adatvédelemért felelős munkavállalóhoz. A bejelentés tartalmazza a bejelentő nevét, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor a bejelentést a Társaság informatikáért felelős személyének (a továbbiakban: informatikus) is meg kell küldeni.

7.2.             Adatvédelmi incidens kivizsgálása, értékelése

A Társaság adatvédelemért felelős munkavállalója – informatikai rendszert érintő incidens esetén az informatikussal együttműködve – megvizsgálja a bejelentést és amennyiben szükséges, a bejelentőtől további adatokat kér az incidensre vonatkozóan. Az adatvédelemért felelős munkavállaló felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.

A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 4 munkaórán belül teljesíti.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel a Társaság adatvédelemért felelős munkavállalója, valamint egyéb, a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.

A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.

A vizsgálat eredményét haladéktalanul megküldi az adatvédelemért felelős munkavállaló az ügyvezetőknek.

A vizsgálat eredményeként a Társaság ügyvezetői – szükség esetén az informatikus tanácsát kikérve – intézkednek a szükséges lépések megtételéről.

A vizsgálatot legkésőbb a Társaság ügyvezetőihez érkezéstől számított három munkanapon belül be kell fejezni.

7.3.             Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről a Társaság adatvédelemért felelős munkavállalója nyilvántartást vezet.

A nyilvántartás tartalmazza:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit,
  • hatásait,
  • az elhárítására megtett intézkedéseket és
  • egyéb jogszabályban előírt adatokat.

7.4.             Az adatvédelmi incidens bejelentése a Hatóság részére

A Társaság adatvédelemért felelős munkavállalója az adatvédelmi incidenst a Társaság tudomására jutását követően haladéktalanul, de legkésőbb az incidens Társaság tudomására jutásától számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, a Társaság adatvédelemért felelős munkavállalója köteles ennek okát igazolni a Hatóság részére.

A Hatósági bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
  • az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
  • az adatvédelmi incidens jellegét, körülményeit,
  • az adatvédelmi incidens valószínűsíthető következményeit és
  • az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

7.5.             Az érintettek tájékoztatása adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, a Társaság adatvédelemért felelős munkavállalója haladéktalanul értesíti az érintetteket. Az érintettek tájékoztatása független a Hatóság felé irányuló tájékoztatási kötelezettségtől.

Nem kell az érintetteket tájékoztatni:

  • ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét.
  • ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.
  • ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

7.6.             Rendszeres tréningek

A Társaság jelen szabályzattal gondoskodik az adatvédelmi tudatosság növelése céljából adatvédelmi incidensekkel kapcsolatos oktatásról, mely során a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, vagy a lehetséges adatvédelmi incidensek veszélyeit ismerteti, elemzi, a kockázatok csökkentésével, megelőzésével kapcsolatosan tájékoztatást ad, illetve az ismereteket ellenőrzi.

8.     Adatvédelmi hatásvizsgálat

A természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben a Társaság köteles – annak érdekében, hogy az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve felmérje a magas kockázat különös valószínűségét és súlyosságát – az adatkezelés előtt adatvédelmi hatásvizsgálatot végezni. Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.

8.1.             Adatvédelmi hatásvizsgálat lefolytatása

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően a Társaság hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők.

A hatásvizsgálatot főszabály szerint a Társaság adatvédelemért felelős munkavállalója végzi. Amennyiben szükséges, adatvédelmi szakértő véleményét kell kikérni a hatásvizsgálat lefolytatása során.

8.1.1.A hatásvizsgálat elemei

  1. az adatkezelés leírása

A hatásvizsgálat lefolytatása során részletesen be kell mutatni a vizsgált adatkezelést, kitérve az adatkezelés környezetének vizsgálatára is. Be kell mutatni ezek alapján az alábbiakat:

  • személyes adatok körét,
  • adatkezelés célját,
  • adatkezelés jogalapján
  • adatfelvétel módját,
  • kik férhetnek hozzá a személyes adatokhoz,
  • megőrzési határidőket,
  • az adatkezelést támogató informatikai rendszereket,
  • el kell készíteni az adatkezelés funkcionális leírását.
  1. jogszabályi megfelelőség

A hatásvizsgálat kiterjed arra is, miként felel meg az adatkezelés a GDPR előírásainak, illetve az adatkezelő hogyan biztosítja az érintetti jogok gyakorlásának feltételeit.

  1. kockázatok meghatározása, elemzése

A hatásvizsgálatban a Társaság elemzi a természetes személyek jogaira és szabadságaira nézve magas kockázatokat, így első lépésként szükséges egy kockázati lista felállítása.

Ennek megfelelően vizsgálja:

  • a kockázatok forrását, természetét
  • sajátosságait,
  • súlyosságát (alacsony-közepes-magas kockázat),
  • miként fordulhatnak elő az egyes kockázatok kapcsán a nem kívánt hatások, mekkora a valószínűsége ennek bekövetkeztének és ez milyen következményekkel jár az érintett magánszférájára nézve.
  1. garanciák és intézkedések meghatározása

A hatásvizsgálatban szükséges kitérni arra, milyen intézkedéseket tesz a Társaság a kockázatok csökkentésére ill. megszüntetésére. Részletezni kell továbbá, hogy az intézkedés milyen mértékben csökkenti a kockázatot, ki felelős az intézkedés végrehajtásáért és az intézkedés mennyire általános megoldása a kockázat csökkentésének.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni.

8.2.             Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor a Társaság az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során a Társaság csatolja:

  • az elvégzett hatástanulmányt,
  • a Társaság hatáskörrel rendelkező ügyvezetőjének elérhetőségét,
  • az adatkezelési folyamatban résztvevő adatkezelő(k), adatfeldolgozó(k)feladatköreinek felsorolását,
  • az adatkezelés célját, módját és

az érintettek jogai, szabadságai biztosításának védelmében hozott intézkedéseket, garanciákat.

9.     Adatkezelési tevékenységek nyilvántartása

9.1.           Nyilvántartás vezetése és felülvizsgálata

A Társaság az általa végzett adatkezelési tevékenységekről nyilvántartást vezet a GDPR 30. cikk (1) bekezdése alapján (a továbbiakban: „Nyilvántartás”). A Nyilvántartás vezetése az adatvédelemért felelős munkavállaló feladatkörébe tartozik.

Az Adatkezelési Nyilvántartásnak az egyes adatkezelési tevékenységek tekintetében legalább az alábbi adatokat szükséges tartalmaznia:

  • az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az Adatvédelemért felelős munkavállalónak a neve és elérhetősége;
  • az adatkezelés célja és jogalapja;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását;
  • a különböző adatkategóriák törlésére előirányzott határidők;
  • az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása.

Fontos kiemelni, hogy egy adott adatkezelési tevékenységet az életciklusa alatt több jogalapja is lehet alapítani, így szükséges ezek mindegyikét feltűntetni az Adatkezelési Nyilvántartásban.

Az Adatkezelési Nyilvántartás tartalmát az átláthatóság és elszámoltathatóság elvének szem előtt tartásával folyamatosan felül kell vizsgálni és naprakészen kell tartani, így különösen:

  • rögzíteni kell az új adatkezelési tevékenységeket, különösen új adatkezelési cél vagy új érintetti kör esetén;
  • a már meglévő adatkezelési tevékenység módosulása esetén rögzíteni kell például, ha megváltozott az adatkezelés jogalapja, célja az igénybe vett adatfeldolgozó, a címzettek köre, a személyes adatok köre stb.;
  • törölni kell a már nem végzett adatkezelési tevékenységeket.

9.2.             Adatfeldolgozói nyilvántartás

Abban az esetben, ha a Társaság valamely adatkezelő nevében adatfeldolgozói tevékenységet végez, arról adatfeldolgozói nyilvántartást vezet a GDPR. 30. cikk (2) bekezdésének értelmében. A nyilvántartás vezetése az adatvédelemért felelős munkavállaló kötelezettsége.

Abban az esetben, ha a Társaság valamely adatkezelővel adatfeldolgozói tevékenységre vonatkozó szerződést köt, köteles a szervezeti egység vezetője bejelenteni a szerződéskötés tényét a Társaság adatvédelemért felelős munkavállalójának.

A GDPR. 30. cikk (2) bekezdésének értelmében a nyilvántartás a következő információkat tartalmazza:

  • az adatfeldolgozó neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek, vagy akinek a nevében az adatfeldolgozóként eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az Adatvédelemért felelős munkavállalónak a neve és elérhetőségei;
  • az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását;
  • az adatbiztonság érdekében tett technikai és szervezési intézkedések általános leírása.

10.        Adatfeldolgozó igénybevételével kapcsolatos általános szabályok és jogszabályi dokumentációs kötelezettség és a közös adatkezelés

A Társaság, mint Adatkezelő csak olyan Adatfeldolgozókat vesz igénybe, amelyek megfelelnek a GDPR 32. cikke szerinti előírásoknak. Az adatfeldolgozási megállapodást írásban kell megkötni az adatfeldolgozó igénybevételére vonatkozó szerződéssel egyidejűleg, vagy annak részeként.

Amennyiben a fentiektől eltérően az eset összes körülményét figyelembe véve nem adatfeldolgozásnak, hanem közös adatkezelésnek minősül az érintett jogviszony, akkor az Adatkezelő és a további adatkezelők a közöttük létrejött megállapodásban kötelesek meghatározni a GDPR-ban foglalt kötelezettségek teljesítéséért fennálló felelősségük megoszlását, különösen az érintettek jogainak gyakorlásával és tájékoztatásával kapcsolatban. A megállapodásban meg kell jelölni, hogy melyikük tartja az kapcsolatot az érintettel. A megállapodás lényegéről az érintetteket tájékoztatni kell. Biztosítani kell az érintett jogait abban az esetben is, ha azokat a megállapodás feltételeitől függetlenül kívánja gyakorolni.

11.   Az érintettek jogainak érvényesítése

Az érintett tájékoztatást kérhet személyes adatai kezeléséről, jogosult arra, hogy hozzáférjen a GDPR 15. cikkében meghatározott információkhoz, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését vagy kezelésének korlátozását, illetve tiltakozhat a személyes adatok kezelése ellen a Társaság feltüntetett elérhetőségein.

Az érintett főszabály szerint az adatvédelemért felelős munkavállalóhoz intézi a fenti megkeresését. Amennyiben mégsem így történik, a címzett (pl. a Társaság ügyvezetője/ügyvezetői, a Társaság bármely munkavállalója) köteles a megkeresést haladéktalanul továbbítani a Társaság adatvédelemért felelős munkavállalója részére, és erről egyidejűleg az érintettet is köteles értesíteni.

A Társaság az adatvédelemért felelős munkavállaló útján az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb egy hónapon belül írásban, közérthető formában választ ad.

 11.1.             Tájékoztatás és hozzáférés

A tájékoztatás kiterjed a GDPR 13., 14. és 15. cikkében meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg.

A tájékoztatás főszabály szerint ingyenes, költségtérítést Társaság csak a GDPR 12. cikk (5) bekezdésében meghatározott esetben számít fel.

Az érintett hozzáférési joga – a GDPR 15. cikkében meghatározottakkal összhangban – az alábbi információk rendelkezésre bocsátására terjed ki:

  • adatkezelés céljai;
  • érintett személyes adatok kategóriái;
  • azon címzettek, akikkel a személyes adatokat közlik vagy közölni fogják;
  • személyes adatok tárolásának tervezett időtartama;
  • érintett jogai a személyes adatok kezelése körében;
  • az adatok forrása, amennyiben nem az érintettől gyűjtötték őket;
  • automatizált döntéshozatalra vonatkozó információk.
  • Helyesbítés

A valóságnak nem megfelelő adatot a Társaság – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – indokolatlan késedelem nélkül helyesbíti.

Arra az időtartamra, amíg a Társaság ellenőrzi a személyes adatok pontosságát, a kérdéses személyes adatok korlátozásra kerülnek a jelen szabályzat 11.4. pontjának megfelelően.

11.3.        Törlés

A Társaság az érintett kérésére indokolatlan késedelem nélkül törli a személyes adatot, amennyiben az adatkezelés hozzájáruláson alapult, az érintett kéri az adatok törlését (visszavonja a hozzájárulását) és nincs más adatkezelési jogalap.

A Társaság törli továbbá a személyes adatokat, amennyiben:

  • már nincs szükség a személyes adatokra;
  • az érintett a GDPR 21. cikkének megfelelően tiltakozik a személyes adatai kezelése ellen;
  • a személyes adatok kezelése jogellenes;
  • jogi kötelezettség teljesítése okán szükséges az adatok törlése.

11.4.          Az adatkezelés korlátozása

Az adatkezelés korlátozására abban az esetben kerülhet sor, amennyiben:

  • az érintett vitatja az adatok pontosságát, az adatok helyességének megállapításáig terjedő időtartamra a Társaság korlátozza a személyes adatok kezelését;
  • az adatkezelés jogellenes és az érintett törlés helyett a felhasználás korlátozását kéri;
  • az adatkezelőnek már nincs szüksége az adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez;
  • az érintett tiltakozik a személyes adatok kezelése ellen a GDPR 21. cikke szerint tiltakozott, a tiltakozással kapcsolatos mérlegelés elvégzésének erejéig.

Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára – de legfeljebb 5 napra – az adatkezelést az adatkezelést végző szervezeti egység vezetője felfüggeszti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt tájékoztatja.

Amennyiben a tiltakozás indokolt, az adatot a Társaság korlátozza, azaz kizárólag a tárolás, mint adatkezelés valósulhat meg mindaddig, amíg

  • az érintett hozzájárul az adatkezeléshez;
  • jogi igények érvényesítéséhez szükséges a személyes adatok kezelése;
  • más természetes vagy jogi személy jogainak védelme érdekében szükségessé válik a személyes adatok kezelése; vagy
  • jogszabály közérdekből elrendeli az adatkezelést.

Ha az adatkezelés korlátozását az érintett kérte, a korlátozás feloldásáról Társaság előzetesen tájékoztatja az érintettet.

11.5.            Tiltakozás

Az érintett abban az esetben tiltakozhat személyes adatai kezelése ellen, ha az adatkezelés jogalapja

  • a GDPR 6. cikk. (1) bekezdés e) pontja szerinti közérdek vagy
  • a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek.

Tiltakozási jog gyakorlása esetén a Társaság nem kezelheti tovább a személyes adatokat, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Annak megállapítása kapcsán, hogy az adatkezelést kényszerítő erejű jogos okok indokolják, a Társaság vezérigazgatója dönt, az adatvédelmi tisztviselővel együttműködésben. Az ezzel kapcsolatos álláspontjáról véleményben tájékoztatja az érintettet.

A megállapításig terjedő időtartamra a személyes adatok a 11.4. pontnak megfelelően korlátozásra kerülnek.

11.6.            Adathordozhatóság

Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, amennyiben:

  • az adatkezelés jogalapja az érintett hozzájárulása vagy az adatkezelésre olyan szerződés teljesítése érdekében volt szükség, amelyben az érintett az egyik fél vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges [GDPR 6. cikk (1) bek. a) vagy b) pont, illetve 9. cikk (2) bek. a) pont] és
  • az adatkezelés automatizált módon történik.

11.7.            Jogorvoslat

A Társaság az érintett adatainak a GDPR-t sértő kezelésével másnak okozott kárt, illetve az általa igénybe vett adatfeldolgozó által okozott azon károkat, amelyek nem amiatt következtek be, mert az adatfeldolgozó nem tartotta be a GDPR előírásait vagy a Társaság utasításait, a Társaság köteles megtéríteni. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt előidéző eseményért semmilyen felelősség nem terheli. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az érintett a Társaság adatkezelési eljárásával kapcsolatos panasszal Magyarország területén a NAIH-hoz fordulhat:

név:                      Nemzeti Adatvédelmi és Információszabadság Hatóság

székhely:               1024 Budapest, Szilágyi Erzsébet fasor 22/C.

honlap:                 www.naih.hu

Az érintett – választása szerint – bírósági úton is érvényesítheti igényét. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

II. Rész:  A Társaságnál megvalósuló adatkezelések

12.   Munkára jelentkezők adataival kapcsolatos adatkezelés

12.1.          A Társasághoz történő jelentkezés

A beérkező önéletrajzokkal kapcsolatos közös szabályok

Minden, a cég előtt feltárt CV esetében az adatkezelésre az érintett ráutaló magatartással tett hozzájárulása ad jogalapot. A GDPR szerint a hozzájárulás valamely aktív, tevőleges magatartással valósulhat meg, a tájékoztatásnak pedig legalább az adatkezelő személyére és az adatkezelési célra ki kell, hogy terjedjen. Tekintettel arra, hogy az érintett a CV megküldésekor ezekkel tisztában van, a hozzájárulás megvalósul.

Tekintettel arra, hogy a Társaság köteles az érintettet tájékoztatni a személyes adatok kezelésének részleteiről, a benyújtott önéletrajzok kapcsán a Társaság a jelen szabályzat 1. számú mellékletét képező tájékoztató üzenetet küld vagy ad át az érintettnek, amely tartalmazza a GDPR 13-14. cikkében meghatározott információkat.

Az adatkezeléshez adott hozzájárulását az érintett bármikor visszavonhatja.

A Társaság a CV-ket főszabály szerint a későbbi felhasználás céljából nem tárolja el. Amennyiben erre mégis sor kerülne, ahhoz külön hozzájárulást kér az érintettől a Társaság.

A CV alapján kiválasztott érintett adatainak további kezelése (úgy mint: alkalmasság eldöntése) már a munkaviszony létesítése céljából történik, így az azzal kapcsolatos adatkezelést a következő pont taglalja.

adatkezelés célja: a megüresedő álláshelyek betöltésére megfelelő leendő munkavállaló kiválasztása, a jelentkezők személyes adatainak kezelése

kezelt adatok köre: név, születési dátum, anyja neve, lakcím, képzési adatok, korábbi munkahelyek, fénykép, az érintett által a CV-ben megadott egyéb adatok

adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja szerinti érintetti hozzájárulás

adattárolás határideje: a megfelelő jelölt kiválasztásáig, illetve külön hozzájárulás alapján legfeljebb további egy évig

adattárolás módja: papíralapon és elektronikusan

13.   Munkaviszonnyal kapcsolatos adatkezelés

A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése, és az ehhez kapcsolódó jogszabályi és egyéb kötelezettségek teljesítése.

A munkavállalók adatkezelésének jogalapja elsősorban a törvényi felhatalmazás (a Munka Törvénykönyvéről szóló 2012. évi I. törvény), valamint a GDPR 6. cikkében meghatározott jogalapok közül a GDPR 6. cikk (1) bek. b) pontja, amely szerint az adat kezelése az érintettre vonatkozó szerződés teljesítéséhez szükséges, valamint ugyenezen bekezdés c) pontja, mely szerint az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges az adatok kezelése.

A munkaviszony kapcsán beszerzett harmadik személy adatai (például pótszabadság, családi adókedvezmény kapcsán) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők. Az adatok megadása önkéntes, az adatok megadása minden esetben az érintetti hozzájárulás eseti beszerzése mellett történhet. Abban az esetben tehát, ha az érintett munkavállaló ilyen kedvezményt kíván igénybe venni, szükséges az általa megadott természetes személy adatkezeléshez hozzájáruló nyilatkozatát beszerezni.

A munkavállalói adatok kezelésére vonatkozóan a szabályzat 2. sz. mellékleteként munkavállalói tájékoztató készült, amelynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről.

13.1.          A munkaviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok

Amennyiben a munkaviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a munkavállalótól, úgy a nyilatkozat beszerzése során a Társaság minden esetben felhívja a munkavállaló figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára, céljára.

A munkaügyi, adó-, társadalom-, nyugdíj- és egészségbiztosítási bevallási kötelezettségek teljesítése során a Társaság kizárólag a jogszabályokban előírt, a kötelezettség teljesítéséhez szükséges és egyben kötelező, a hatóságok által használt nyomtatványokon feltüntetendő adatokat kezeli. A nyomtatványok pontos adattartalmát a munkavállalók megismerhetik a NAV, a Magyar Államkincstár, valamint a Nemzeti Egészségbiztosítási Alapkezelő honlapján.

Amennyiben a nyilatkozat érvényességéhez okmány bemutatása szükséges (személyi igazolvány, diákigazolvány), úgy a Társaság semmilyen módon nem kezeli az okmány adatait és/vagy képét, hanem a Társaság arra jogosult munkavállalója aláírásával tanúsítja az okmány bemutatását és annak érvényességét.

13.1.1.   Általános munkavállalói adatok nyilvántartása

adatkezelés célja: munkaviszony létesítése, teljesítése vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása

kezelt adatok köre:

munkavállaló kapcsán

  • neve,
  • születési neve,
  • születési helye és ideje,
  • állampolgársága,
  • anyja születési neve,
  • lakóhelyének, tartózkodási címe (amennyiben eltérő a lakóhelytől),
  • adóazonosító jele,
  • társadalombiztosítási azonosító jele (TAJ szám),
  • végzettség, szakképzettség, szakképesítés és az okiratot kibocsátó intézmény neve és okirat száma,
  • folyószámla száma,
  • munkaviszony kezdő napja,
  • biztosítási jogviszony típusa,
  • heti munkaórák száma,
  • telefonszáma, e-mail címe
  • munkaköre,
  • szabadság ideje,
  • munkaidő és jelenlét,
  • kiküldetési rendelvény kapcsán:
    • név,
    • adóazonosító
    • a gépjármű gyártmányának, típusának megnevezése, forgalmi rendszáma,
    • a hivatali, üzleti utazás(ok) célja, időtartama, útvonala,
    • a futásteljesítmény, az utazás költségtérítése, valamint ezen költségtérítés kiszámításához szükséges adatok (üzemanyag-fogyasztási norma, üzemanyagár stb.),

adatkezelés jogalapja:

  • a GDPR 6. cikk (1) bek. c) pont szerinti jogi kötelezettség teljesítése
    • a Munka Törvénykönyvéről szóló 2012. évi I. törvény 10. § (1) és (3) bekezdései;
    • a munkaidő nyilvántartása és szabadság ideje kapcsán az Mt. 134. §-a,
    • az adózás rendjéről szóló 2017. évi CL. törvény (Art.) 1. mellékletének 3. pontja szerint:

„A munkáltató és a kifizető … bejelenti az általa foglalkoztatott biztosított családi és utónevét, adóazonosító jelét, születési idejét, biztosítási jogviszonyának kezdetét, kódját, megszűnését, a biztosítás szünetelésének időtartamát, a heti munkaidejét, a FEOR-számát, a TAJ számát, a végzettségét, szakképzettségét, szakképesítését, továbbá az ezt igazoló okiratot kibocsátó intézmény nevét és az okirat számát. Ha a biztosított nem rendelkezik adóazonosító jellel, a születési családi és utónevét, születési helyét, anyja születési családi és utónevét és a biztosított állampolgárságát is kötelező bejelenteni.”

  • a kiküldetési rendelvényen szereplő adatok vonatkozásában a személyi jövedelemadóról szóló 1995. évi CXVII. törvény 3. § 83. pontja;
  • a társadalombiztosítási adatok vonatkozásában a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény 46. § (2) bekezdése szerint:

„A foglalkoztató a biztosítottakról – az egyéni vállalkozó a biztosítással összefüggő adatairól – köteles a külön törvényben meghatározottak szerint olyan nyilvántartást vezetni, amely tartalmazza a biztosított nevét és személyi adatait, társadalombiztosítási azonosító jelét, a foglalkoztató adatait, a biztosítási időre és a szolgálati időre vonatkozó adatokat, a biztosítottól levont járulékok alapját és összegét.”

  • az érintettre vonatkozó szerződés teljesítése [GDPR 6. cikk (1) bek. b) pont] a bankszámla-adatok, valamint a telefonszám és e-mail cím vonatkozásában.

adattárolás határideje: az adatkezelés céljának megvalósulásáig, főszabály szerint

  • munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnését követő 5 év elteltéig,
  • munkaviszonyból fakadó jogosultságokkal kapcsolatosan a nyugdíjfolyósításról szóló jogszabályokban meghatározott határideig,
  • a számviteli bizonylatnak minősülő adatok tekintetében a számviteli törvény szerinti legalább 8 évig

adatkezelés módja: papíralapon és elektronikusan

  • Egyes kifizetésekhez, pótszabadságokhoz és adókedvezményekhez kapcsolatos adatok
  • baleseti táppénz, gyermekgondozási díj, csecsemőgondozási díj, gyermekápolás igénybevételével kapcsolatban a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény 61. §-a alapján ezek igénybevételét a foglalkoztatónál kell bejelenteni, aki köteles az egészségbiztosító által rendszeresített formanyomtatványokon ÁNYK használatával bejelenteni az igényeket. A formanyomtatványok elérhetőek a https://egbiztpenzbeli.tcs.allamkincstar.gov.hu/nyomtatványok.html Az igénybejelentő az fő alábbi adatokat tartalmazza:
    • név;
    • születés időpontja;
    • lakcím;
    • adóazonosító jel;
    • Taj szám;
    • gyermek neve, születési időpontja, lakcíme, Taj száma.

 az Mt. 120. § alapján járó pótszabadság igénybevételével kapcsolatosan:

a rehabilitációs szakértői szerv legalább ötven százalékos mértékű egészségkárosodását megállapítását igazoló okmány fénymásolata, fogyatékossági támogatásra jogosultságot igazoló okmány fénymásolata, vakok személyi járadékára jogosultságot igazoló okmány fénymásolata;

  • pótszabadság, családi adókedvezmény igénybe vétele, adómentes természetbeni juttatásnak minősülő kedvezményes utazási igazolvány igénylésének vagy adómentes iskolakezdési támogatás céljából munkavállaló 16. életévét be nem töltött hozzátartozójának
    • születési helye és ideje,
    • lakcíme,
    • anyja neve,
    • munkahelye,
    • társadalombiztosítási azonosító jele (TAJ szám),
    • adóazonosító jele
  • pótszabadság, családi adókedvezmény igénybe vétele, adómentes természetbeni juttatásnak minősülő kedvezményes utazási igazolvány igénylésének vagy adómentes iskolakezdési támogatás céljából munkavállaló 16. életévét betöltött hozzátartozójának, élettársának
    • születési helye és ideje,
    • lakcíme,
    • anyja neve,
    • társadalombiztosítási azonosító jele (TAJ szám),
    • adóazonosító jele,
    • érvényes diákigazolvány meglétének ténye.

adatkezelés jogalapja:

  • a GDPR 6. cikk (1) bek. c) pont szerinti jogi kötelezettség teljesítése
    • a Munka Törvénykönyvéről szóló 2012. évi I. törvény;
    • a személyi jövedelemadóról szóló 1995. évi CXVII. törvény
    • a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény;
  • az érintettre vonatkozó szerződés teljesítése [GDPR 6. cikk (1) bek. b) pont];
  • és az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pont].

adattárolás határideje: az adatkezelés céljának megvalósulásáig, főszabály szerint

  • munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnését követő 5 év elteltéig,
  • munkaviszonyból fakadó jogosultságokkal kapcsolatosan a nyugdíjfolyósításról szóló jogszabályokban meghatározott határideig,
  • egyéb esetben az ágazati jogszabályokban meghatározott határideig.

adatkezelés módja: papíralapon és elektronikusan

13.1.3.   Bérszámfejtés teljesítéséhez szükséges adatok

adatkezelés célja: a munkaviszony vonatkozásában felmerült elszámolási kötelezettségek teljesítése

kezelt adatok köre: azonosító adatok; béradatok; számlaszám, jelenléti ív, szabadságra vonatkozó nyilatkozatok, pótszabadság, betegszabadság, keresőképtelenségre vonatkozó nyilatkozatok, igazolások, adóigazolások, adatszolgáltatások

adatkezelés jogalapja: jogi kötelezettség teljesítése [2017. évi CL. törvény az adózás rendjéről, 1995. évi CXVII. törvény a személyi jövedelemadóról; irányadó TB jogszabályok], valamint az érintettre vonatkozó szerződés teljesítése [GDPR 6. cikk (1) bek. b) pont]

adattárolás határideje: a hivatkozott, irányadó jogszabályi rendelkezésekben kerül meghatározásra

 Jelenlét nyilvántartása

A Társaságnál a munkavállalók kötelesek a munkavégzés helyére történő be-, illetve onnan történő kilépésüket papír alapon vezetni.

adatkezelés célja: a munkavállaló munkavégzésre történő megjelenésének, illetve munkában töltött idejének ellenőrzése

kezelt adatok köre: munkavállaló neve, munkavégzés helye, beosztás, pihenőnapok, munkavállaló és a vezető aláírása

adatkezelés jogalapja: az Mt. 134. § (1) bekezdése alapján a GDPR 6. cikk (1) bek. c) pontja

adattárolás határideje: a munkaviszony megszűnésétől számított 5. év végéig

adatkezelés módja: elektronikusan

14.   Kamerás megfigyelés

14.1.          A kamerás megfigyelés célja, jogalapja

A jelen szabályzat hatálya alá tartozó elektronikus megfigyelőrendszer (a továbbiakban: kamerarendszer) alkalmazása során az a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII törvény (a továbbiakban: Szvtv.), a GDPR, valamint az Mt. vonatkozó rendelkezéseit tartja elsődlegesen szem előtt a Társaság.

Az adatkezelés célja tekintetében elsősorban az Szvtv. 31. §-ában meghatározott célt tekinti az adatkezelő irányadónak. Ennek megfelelően az adatkezelés célja elsősorban az emberi élet, testi épség, személyi szabadság védelme, valamint a vagyonvédelem. Az elektronikus megfigyelőrendszer ennek megfelelően kifejezetten azokon a helyeken működik, ahol magas a kockázata baleset bekövetkeztének, vagy a munkamenet során jelentős értéket képviselő eszközök, illetve értéktárgyak kerülnek használatra.

A Társaság, mint munkáltató szem előtt tartja, hogy kizárólag a cél eléréséhez szükséges adatokat kezelje, így figyelemmel van arra, hogy a megfigyelés az érintett (munkavállaló) emberi méltóságát ne sértse, illetve a munkavállaló magánéletét ne ellenőrizze, így kamera nem került kihelyezésre a szabadidőszobában, illetve az étkezőben.

Az elhelyezett kamerák a kizárólag az adott helyiség (pl. parkoló, udvar, raktár) teljes területét figyelik, egyik sem alkalmas egy meghatározott munkavállaló megfigyelésére.

Az érdekmérlegelési teszt alapján megállapítható, hogy míg a munkáltató jogos érdeke a vagyonvédelem; a munkavállaló védendő érdeke ezzel szemben az emberi méltósághoz való joga, valamint személyiségi jogai. Az érdekmérlegelés alapján megállapítható, hogy a garanciális szabályok alkalmazása mellett (azaz: szűk jogosulti kör hozzáférése a kamerafelvételekhez; a kamerafelvételek tárolási határidejének Szvtv. szerinti korlátozása; személyes területek – magánélet – megfigyelésének mellőzése, tájékoztatáshoz való jog biztosítása) a munkavállalók alapjogainak ilyen fokú korlátozása arányban áll az adatkezelő, mint munkáltató érdekeivel.

14.2.          Az adatkezelés rendszere, betekintési jogosultságok

Az elektronikus megfigyelőrendszerrel rögzített felvételekbe főszabály szerint csak a Társaság ügyvezetője, illetve ügyvezetői (mint a kamerarendszer felügyeletét ellátó személyek) tekinthetnek be.

Az ügyvezető, illetve ügyvezetők akadályoztatása esetén az általuk előzetesen írásban kijelölt helyettesítő személy tekinthet be a kamera felvételeibe – ebben az esetben a helyettesítő személynek külön hozzáférési jogosultságot kell engedélyezni. A helyettesítés lehet állandó vagy eseti jellegű.

A felvételek visszanézésére kizárólag az alábbi esetekben kerülhet sor:

  • szabálysértési értékhatárt meghaladó összegű károkozás vagy lopás észlelése;
  • baleset körülményeinek kivizsgálása;
  • bűncselekmény elkövetésének gyanúja.

Abban az esetben, ha előre meghatározott személyre (érintettre) vonatkozóan történik a kamerafelvétel visszanézése, biztosítani kell számára, hogy a megtekintésen ő vagy meghatalmazott képviselője jelen legyen.

14.3.          A felvételek törlési határideje, zárolás

A Társaság az elektronikus megfigyelőrendszerrel megfigyelt területeken az Szvtv. 31. § (2) szerinti főszabály, a három munkanapos tárolási határidő érvényesül. A megfigyelés célja a vagyonvédelem az emberi élet, testi épség védelme.

A felvétel felhasználás hiányában a rögzítéstől számított 3, azaz három munkanap elteltével törlésre kerül [Szvtv. 31. § (2)]. Felhasználásnak az minősül, ha a felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.

Bíróság vagy más hatóság megkeresésére a rögzített felvételt a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a felvétel törlésre kerül, amennyiben a megőrzésére irányadó alapszabály szerinti határidő már eltelt, ellenkező esetben a határidőn belüli további kezelése folytatódik.

Kamerakép zárolását csak a Társaság kamerarendszere által megvalósított adatkezelés felügyeletére kijelölt személye rendelhet el.

Kamerakép zárolását kezdeményezheti bárki, akinek jogát vagy jogos érdekét a felvétel érinti.

adatkezelés célja: kamerákkal történő megfigyelés vagyonvédelem és emberi élet, testi épség védelme céljából

kezelt adatok köre: az érintett képmása, a kameraképpel megszerezhető adatok (tartózkodási hely, tartózkodási idő)

adatkezelés jogalapja: az érintett ráutaló magatartással tanúsított hozzájárulása [Szvtv. 30. § (2)] a látogatók esetében, míg a munkavállalók kapcsán a GDPR 6. cikk (1) bek. f) pontja

adattárolás határideje: a felvétel felhasználás hiányában a rögzítéstől számított 3, azaz három munkanap elteltével törlésre kerül [Szvtv. 31. § (2)],

adatkezelés módja: elektronikusan

15.   Szolgáltatási tevékenységgel összefüggő adatkezelés

15.1.          Ügyfélkezelés

A Társaság szerződések teljesítése céljából a szerződés megkötése, teljesítése, megszűnése, kezeli a vele szerződő jogi személy kapcsolattartóinak nevét, e-mail címét és telefonszámát. Az adatkezelés jogalapja az érintett hozzájárulása – a hozzájárulás beszerzése érdekében a vonatkozó szerződésekbe foglaltak a hozzájárulási kötelezettségek.

adatkezelés célja: az ügyfelek, partnerek igényeinek teljesítéséhez szükséges kapcsolattartás.

kezelt adatok köre: ügyfél kapcsolattartójának neve, e-mail címe, telefonszáma, címe

adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) szerinti érintetti hozzájárulása.

adattárolás határideje: a cél megvalósulásáig, de amennyiben az érintett kéri adatai törlését, úgy addig az időpontig.

adattárolás módja: elektronikus

15.2.          Számlák kezelése

adatkezelés célja: számlák kiállítása és tárolása

kezelt adatok köre: ügyfél neve, címe

adatkezelés jogalapja: a GDPR 6. cikk (1) bek. c) pontja, illetva a számvitelről szóló 2000. évi C. törvény 167. §-a

adattárolás határideje: a számviteli bizonylatokat a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése értelmében legalább 8 évig köteles a Társaság megőrizni. A Társaság 8+1 év elteltével automatikusan törli az érintett személyes adatait

adattárolás módja: elektronikus

15.3.          Vásárlói panaszok kezelése

A vásárló a fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgy.tv.) alapján jogosult szóban, elektronikus eszközzel vagy írásban panaszt benyújtani a Társasághoz. Az elektronikus panaszokat az vásárló az info@adaptiv.eu e-mail címre tudja megküldeni.

adatkezelés célja: a vásárlói panaszok kivizsgálása, elintézése

kezelt adatok köre: az érintett neve, lakcíme, e-mail címe, a panasszal kapcsolatos, a Fgy.tv. 17/a. § (5) bekezdésében meghatározott egyéb adatok

adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja szerinti érintetti hozzájárulás, valamint a Fgy.tv. 17/a.§ (5) bekezdése

adattárolás határideje: a cél megvalósulásáig: amennyiben a válasz megküldését követően az érintett nem élt további kifogással, a válasz megküldésétől számított 5 év elteltével törli az adatkezelő az adatokat, további igényérvényesítés esetén az elévülési idő leteltét követően kerülnek az adatok törlésre

adattárolás módja: elektronikus

15.4.          Hírlevéllel és direkt marketinggel kapcsolatos adatkezelés

Az ügyfelek igényeinek minél teljesebb körű kiszolgálása érdekében a Társaság az érintett előzetes egyértelmű és kifejezett hozzájárulása alapján közvetlen ajánlatadási illetve informális céllal e-maileket, valamint hírleveleket küld az érintettnek. Amennyiben a hírlevélre a honlapon iratkozhat fel az érintett, a feliratkozás megtételének helyén el kell fogadnia az adatvédelmi szabályzatot. Ezt egy jelölőnégyzettel teheti meg. A Társaság biztosítja, hogy a marketing célú e-mailekről az érintett bármikor ingyenesen leiratkozzon. A Társaság az ilyen tárgyú információkat személyesen vagy telefonon is közvetíti az ügyfelek felé.

Amennyiben az érintett adatai törlését kéri, úgy a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvényben (a továbbiakban: Katv.) meghatározottak szerint a Társaság tilalmi listát vezet. A Társaság kötelezi magát, hogy a reklámcélú megkeresés előtt ellenőrzi, hogy az érintett szerepel-e a tilalmi listán.

adatkezelés célja: az érintettek tájékoztatása a Társaság legfontosabb híreiről, direkt marketing

kezelt adatok köre: érintett neve, e-mail címe

adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja szerinti érintetti hozzájárulás

adattárolás határideje: a hírlevélszolgáltatás üzemeltetésének végéig, de amennyiben az érintett kéri adatai törlését (leiratkozik a hírlevélről), úgy a törlési kérelmét követően azonnal

adattárolás módja: elektronikus

1] A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintett-tel helyreállítható.  A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.