en
Plant
Plant
Project
Finance
HR
+ 36 70 361 7401 Mészáros Márk - Plant Manager meszaros.mark@bepe.hu
+36 30 520 9209 Károlyi Roland - Project Manager karolyi.roland@bepe.hu
+36 96 519 850 Fax: +36 96 519 851 penzugy@bepe.hu
+36 96 519 850 Szalánczi Kata - HR Coordinator szalanczi.kata@bepe.hu
Ceritified
ISO 9001:2015
The Best
#1 in Hungary
The success of our customers,
the guarantee of our success!
Get A Quote

Adatvédelmi irányelvek

I.       Bevezetés

Jelen adatvédelmi szabályzat („Szabályzat”) az alábbi társaság adatkezeléssel és adatfeldolgozással kapcsolatos tevékenységére irányadó:

Társaság neve: BEPE ‘2004 Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
A cég rövidített elnevezése BEPE ‘2004 Kft.
Társaság székhelye: H-1119 Budapest, Andor utca 21.C. földszint
Társaság telephelye: H-9027 Győr, Égerfa utca 2.
Társaság irodája/adattárolás helye: H-9027 Győr, Égerfa utca 2.
Társaság cégjegyzékszáma: 01-09-867170
Társaság adószáma: 13336437-2-43
Társaság statisztikai számjele: 13336437-2562-113-01
Társaság főtevékenysége: Fémmegmunkálás (2562 ’08)
Társaság tulajdonosa/ügyvezetője: Bertalan Péter (ÜV)
Társaság tulajdonosa/cégvezetője: Szlama Orsolya (CV)
Társaság adatkezelésért felelős munkatársa („Adatvédelmi Felelős”): Szíjártó Andrea

Jelen Szabályzat célja, hogy a Társaság a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait – a tevékenysége során előforduló esetekre tekintettel – rögzítse, valamint a Társaság belső adatvédelmi eljárásait összefoglalja.

A Társaság vállalja, hogy az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá a Társaság kötelezettséget vállal arra, hogy csak olyan Személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.

A Társaság vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki a Társaság helyett és/vagy nevében eljár a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat rendelkezései szerint járnak el.

A Társaság vállalja, hogy – amennyiben szükséges – a jelen Szabályzat tartalmát megismerteti az üzleti partnereivel, illetőleg bármely Személy Adat átadását megelőzően ellenőrzi, hogy az üzleti partnerei a jelen Szabályzattal azonos szintű adatkezelési tevékenységekkel kapcsolatos és adatfeldolgozási tevékenységekkel kapcsolatos minimum standardokkal rendelkeznek-e, illetve, hogy az adatbiztonságot a Társasággal azonos színvonalon biztosítják-e.

A Társaság vállalja, hogy az adatkezeléssel kapcsolatos tevékenységei és adatfeldolgozással kapcsolatos tevékenységei során a jelen Szabályzatban, illetve a jogszabályokban foglaltaknak megfelelően jár el, különös tekintettel az alábbi jogszabályokra:

  • Magyarország Alaptörvénye („Alaptörvény”);
  • Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) („Rendelet”);
  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”).

II.      Fogalomtár

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel;

Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

Álnevesítés: Személyes Adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes Adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes Adatot nem lehet kapcsolni;

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.

Érintett: azonosított vagy azonosítható természetes személy;

Különleges Adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adat;

Személyes Adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján (bárki által) azonosítható.

III.    Szabályzat

Személyes Adatok kezelése

Személyes Adatok

Személyes Adatnak minősül azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.

Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Személyes Adatnak minősül – többek között – a természetes személy neve, lakcíme, születési helye és ideje, továbbá a képmása vagy a természetes személy beszédéről készült hangfelvétel is.

Adatkezelés

Adatkezelésnek minősül a Személyes Adatokon végzett bármely művelet vagy műveletek összessége. Adatkezelés így a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, lekérdezése, a Személyes Adatokba történő betekintés, a Személyes Adatok felhasználása, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolása vagy összekapcsolása, korlátozása, törlése, illetve megsemmisítése.

Adatkezelésnek minősül – többek között –  a munkavállalói adatok felvétele és tárolása, a szerződéses partnerek kapcsolattartói elérhetőségének felvétele egy adatbázisba (pl.: programba), – felépített adatbázisban tárolt nevek és e-mail címek.

  1. A Társaság a következő Személyes Adatok kezelésére vonatkozó tevékenységeket folytatja:
  2. Társaság tagjainak személyes adatainak kezelése a Társaság társasági dokumentumaiban;
  3. Munkavállalói adatok (és kapcsolódó családtagok) kezelése a jogszabályi rendelkezéseknek (bejelentés, kijelentés, szabadnapok meghatározása, bérszámfejtés, letiltás….) történő megfelelés érdekében;
  4. Munkavállalói adatok kezelése kapcsolattartás céljából;
  5. Munkavállalók Munkaidő nyilvántartáson szereplő személyes adatainak kezelése;
  6. Üzemorvosi (és egyéb orvosi) vizsgálatok elvégzéséhez személyes adatok kezelése;
  7. Munka- tűz- balesetvédelmi, s egyéb belső/külső képzés kapcsán a kapcsolatos személyes adatok kezelése;
  8. Belső, külső auditokon felmerülő adatok ellenőrzése/érintkezés személyes adatokkal;
  9. Telephelyen kamerarendszer működtetése –biztonsági okokból;
  10. Kiállított és befogadott számviteli bizonylatokkal kapcsolatos adatkezelés;
  11. Szerződésben szereplő kapcsolattartási adatok kezelése, szerződéses/megbízással rendelkező partnerek (megrendelők, (be)szállítók, alvállalkozók, szolgáltatók, együttműködő partnerek,) kapcsolattartási adatainak kezelése;
  12. Névjegykártyán, e-mailben szereplő személyes adatok kezelése.

A Személyes Adatok kezelésére vonatkozó részletes nyilvántartásokat (Adatkezelő neve, Adatkezelő elérhetősége, Adatvédelmi Felelős, Adatkezelés célja, Érintettek kategóriái, Személyes Adatok kategóriái, Címzettek kategóriái, Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása, Törlésre előirányzott határidők, Technikai és szervezési intézkedések leírása) jelen Szabályzat: V. pontja: Adatkezelési tevékenységek nyilvántartása fejezete tartalmazza.

Különleges Adatok

Különleges Adatok a Személyes Adatok speciális kategóriáját képezik. Különleges Adatnak minősülnek az alábbi Személyes Adatok:

  • a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat,
  • a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat,
  • az egészségügyi adat, és
  • a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes adat.

Különleges Adatnak minősül – többek között – a munkavállaló várandósságára vonatkozó információ, az orvosi igazolás a keresőképtelen állományba vételéről (ún. táppénzes papír), továbbá beléptető rendszerben tárolt ujjlenyomat (bár ilyen szervezetünknél nem alkalmazott).

Különleges Adatok kezelése

Különleges Adatok kezelése alapvetően tilos, kivételesen, az alábbi esetekben kezelhetők Különleges Adatok:

ha az Érintett kifejezett hozzájárulását adta az adott Különleges Adat kezeléséhez (kifejezett hozzájárulás esetén sem kezelhető Különleges Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);

ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;

ha az Adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

ha az Adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy (i) az Adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és (ii) a Személyes Adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

ha az Adatkezelés olyan Különleges Adatra vonatkozik, amelyeket az Érintett kifejezetten nyilvánosságra hozott;

ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

ha az Adatkezelés jelentős közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll).

ha az Adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

ha az Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

A Társaság a következő Különleges Adatok kezelésére vonatkozó tevékenységeket folytatja:

A Társaság a munkavállalóinak a foglalkoztatáshoz kapcsolódó különleges adatait kezeli/kezelheti (pl. csökkent munkaképesség igazolása, üzemorvos által előírt feltételek…stb…), a Társaság további különleges adatokat nem kezel.

A Különleges Adatok kezelésére vonatkozó információkat jelen Szabályzat Személyes Adatok kezelésére vonatkozó részletes nyilvántartások című fejezete tartalmazza.

Adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel.

Adatfeldolgozónak minősül pl. a Társaság számítógépes rendszerének rendszergazdája, vagy a Társaság honlapjának tárhely-szolgáltatója, továbbá a Társaság nevében hírlevelet küldő harmadik személy (utóbbi szervezetünknél nem fordul elő – direkt marketinget nem folytatunk).

A Társaság a következő Adatfeldolgozók szolgáltatásait veszi/veheti igénybe a tevékenysége végzése során:

A Társaság honlapja: www.bepe.hu – ügyfél tájékoztató célra használjuk, magyar-angol nyelven nyújt tájékoztatást. A honlap alap sütiket (cookie) használ. (A sütik apró, tökéletesen veszélytelen fájlok, amelyeket a weboldal helyez el a felhasználó/böngésző számítógépén, hogy minél egyszerűbbé tegye a böngészést. “Engedélyezem” feliratú gombra kattintva, el lehet fogadni azok használatát, ill. a sütiket le lehet tiltani).

A Társaság weboldal kapcsán tárhely üzemeltetést, szerverszolgáltatást vesz igénybe, neve: ARPANET Informatikai Tanácsadó és Rendszerfejlesztő Kft.

A honlap tartalmazza szervezetünk adatait, ezen felül a kapcsolati telefonszámokat, személyes e-mail címeket. Érdeklődőnek, ügyfeleknek lehetősége van kapcsolatot felvenni direkt formában, ill. a kapcsolat-felvételi űrlap kitöltésével-saját adatainak megadásával. Az itt megadott személyes adatokat, csak kapcsolattartás végett, a kapcsolattartás idejéig kezeljük, ezt követően, amennyiben szerződéses/megbízási kapcsolat nem jön létre, úgy abban az esetben ezen adatokat nem használjuk.

Szervezetünk direkt marketinget nem folytat, hírleveleket nem küldünk ki.

A Társaság informatikai rendszerének karbantartásával felkért szervezetet: Hajdú Zsolt E.V.-informatikus – személyes adattal nem érintkezik, adatot nem kezel, nem dolgoz fel.

A Társaság weboldal rendszerének karbantartásával felkért szervezetet: Bokán Roland E.V.-programozó – személyes adattal nem érintkezik, adatot nem kezel, nem dolgoz fel.

Szervezetünk belső kamerarendszert használ biztonságtechnikai célból: – kezelése belsőleg megoldott, adattároló a Szerverszobában helyezkedik el – adatmentés 3 napig biztosított. Kamerarendszer karbantartásával: a Hess System Kft. a megbízott –aki adatot nem kezel, de javítás/karbantartás során találkozhat képfelvételekkel. Kamera által rögzített felvételek visszanézésre az Ügyvezető, ill. az Adatvédelmi felelős jogosult.

Munkatársaink számára belépő kártyát biztosítunk, amit szintén a Hess System Kft. programoz fel, a munkatárs munkaköréhez tartozó jogosultságokkal. A beléptető kártya, a biztonsági zónák lezárásához szükségesek, a rendszer: Cryptex Kontroller panel szoftver által: adatot kezel tárol ki-mikor melyik zónán haladt keresztül-ez biztonsági problémák esetében vissze ellenőrizhető.

Bérszámfejtést + könyvelést belsőleg oldjuk meg, külső szolgáltató felé adat nem kerül kiadásra. Használt program: Babér Bérprogram – adatállománya belső szerveren tárolt. A programot szükség szerint fejleszti: SOFT Consulting Hungary Zrt. – amely könyvelési adatainkat nem érinti, nem kezeli.

A Társaság a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként:

A Társaság nem folytat adatfeldolgozói tevékenységet, csupán a munkatársak személyes adatit kezeli a felvétel-kijelentés jogi procedúrája, havi bérszámfejtés…stb… véget-amit Horváth Györgyné könyvelő végez el helyben; aki így adatfeldolgozóként szerepel.

Cookik (sütik) használata, kezelése

A Társaság honlapja: www.bepe.hu sütiket ’cookikat’ használ.

Amennyiben meglátogat valaki egy weboldalt, az adatokat tárolhat és nyerhet ki a saját böngészőről, főleg sütik formájában. Ezek az adatok érinthetik a kereső személyt, a preferenciákat, eszközöket, és legfőképp arra használják őket, hogy az oldalak az elvárt módon működjenek. Ezek az adatok általában nem alkalmasak a személyes azonosításra, de arra igen, hogy személyre szabott élményt nyújthassanak. A legtöbb cookikat használó oldal esetében be lehet állítani, hogy mely sütiket engedélyezzük!

Működéshez szükséges sütik:

Ezek a sütik szükségesek a weboldal működéséhez és nem kapcsolhatóak ki a rendszerekben. Ezek általában csak olyan tevékenységekre válaszként kerülnek beállításra, amik szolgáltatás kéréseként értelmezhetőek, mint például az adatvédelmi beállítások módosítása, bejelentkezés vagy űrlapok kitöltése. Beállítható a böngészőben, hogy letiltsa vagy figyelmeztessen ezekről a sütikről, de ebben az esetben az oldal bizonyos részei nem fognak működni. Ezek a sütik nem tárolnak személyes azonosításra alkalmas adatokat.

(pl.: Google (NID, CONSENT, P_JAR, HSID, APISID, SAPISID, SID, SIDCC, SSID))

Teljesítmény sütik:

Ezek a sütik teszik lehetővé, hogy oldallátogatásokat és forgalomforrásokat számoljanak, hogy mérhessék és növelhessék az oldalak teljesítményét. Segítenek felmérni, hogy melyik oldalak leg- vagy legkevésbé népszerűbbek, illetve hogy a látogatók hogyan mozognak az oldalon. Az ezen sütik által gyűjtött adatok összesítettek és anonimizáltak. Ha nem engedélyezzük ezeket a sütiket, nem fogják tudni mikor meglátogatjuk a keresett oldalt, és nem fogják tudni monitorozni az oldal teljesítményét.

(pl.: Google Analytics (_ga, _gat, _gid))

Jogszerűség, tisztességes eljárás és átláthatóság

A Személyes Adatokat jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell kezelni.

A Személyes Adatokat a Társaság akkor kezeli jogszerűen, ha a Társaság az Adatkezelést megfelelő jogalap alapján végzi. Ha a Társaság a szerződés teljesítéséhez szükséges Személyes Adatokat kezeli, akkor az Adatkezelés akkor jogszerű, ha a jogalap a szerződés teljesítése. Nem jogszerű az Adatkezelés azonban ebben az esetben, ha a Társaság a Személyes Adatokat hozzájárulás alapján kezeli.

A Személyes Adatokat a Társaság akkor kezeli tisztességesen, ha az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. A tisztességesség elve korlátot szab az Adatkezelési tevékenységek folytatásának, annak figyelembevételével, hogy az Érintett „nem pusztán tárgya, hanem alanya az Adatkezelésnek”. Így a Társaság nem tévesztheti meg az Érintettet az Adatkezelés során, nem bocsáthat ki megtévesztő tartalmú tájékoztató anyagot.

A Személyes Adatokat a Társaság akkor kezeli átláthatóan, ha a Társaság az Érintettet teljes körűen tájékoztatja az Adatkezelésről, az Érintett jogairól, valamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az Érintett a Társaság által kezelt Személyes Adataival a jogszabályi kereteken belül rendelkezhessen. Az átláthatóság elve továbbá megköveteli, hogy a Társaság valamennyi adatkezeléssel kapcsolatos intézkedését megfelelően dokumentálja.

Célhoz kötöttség

A Személyes Adatokat meghatározott, egyértelmű és jogszerű célból kezelheti a Társaság. Ezzel a céllal össze nem egyeztethető módon nem kezelheti a Társaság a Személyes Adatokat. A Társaság nem kezelhet továbbá Személyes Adatokat meghatározott cél nélkül vagy jövőbeli felhasználás érdekében.

A Társaság az Adatkezelés célját az Adatkezelés megkezdése előtt világosan, a törvényekkel összhangban meghatározza oly módon, hogy a célt nem túl tágan fogalmazza meg. A Társaság az Adatkezelés céljáról tájékoztatja az Érintetteket annak érdekében, hogy az Érintettek megalapozott döntést tudjanak hozni az Adatkezelésről.

A Társaság a célhoz kötöttségnek történő megfelelés érdekében szükséges lépéseket átgondolja, dokumentálja és megteszi.

Ha a Társaság ugyanazon Személyes Adatokat több egymáshoz nem kapcsolódó adatkezelési célból kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el. Egymáshoz nem kapcsolódó adatkezelési célok – többek között – egy nyereményjátékra való regisztráció és azt követően hírlevél küldése az Érintett részére.

Adattakarékosság

A Társaság a konkrét Adatkezelési cél szempontjából megfelelő, releváns és szükséges Személyes Adatokat kezeli.

A Társaság valamennyi Adatkezelés esetén megvizsgálja, hogy az Adatkezelési cél megvalósítható lenne-e egyéb módon, ami a magánszférát kevésbé sérti. A Társaság már az Adatkezelés megtervezésénél figyelembe veszi, hogy a Személyes Adatok kezelése a konkrét Adatkezelési cél megvalósításához szükséges-e, azzal arányos-e, van-e bármilyen egyéb mód arra, hogy az Adatkezelési célt elérje a Társaság.

Pontosság

A Társaság a Személyes Adatok pontosságát biztosítja az Adatkezelés céljára figyelemmel, illetve amennyiben szükséges gondoskodik arról, hogy a Személyes Adatok naprakészek legyenek. Ha a Személyes Adatok az Adatkezelés célja szempontjából pontatlanok, akkor a Társaság a Személyes Adatokat helyesbíti vagy – ha a helyesbítésre nincs mód – akkor törli.

A Társaság megtesz mindent annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat egyéb személyes információkat tartalmaznak, azokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.

Korlátozott tárolhatóság

A Társaság a Személyes Adatokat olyan formában tárolja, hogy az az Érintettek azonosítását csak a Személyes Adatok kezelése céljának eléréséhez szükséges mértékben tegye lehetővé.

A Társaság a Személyes Adatok tárolási idejére vonatkozó listát készít, amely lista alapján az egyes Személyes Adatok törlésének idejét nyomon követi. A Társaság a listát rendszeres időközönként felülvizsgálja.

Amikor a Személyes Adatok kezelésének célja megvalósul, akkor a Társaság a Személyes Adatokat törli. A Személyes Adatok törlését pedig írásban rögzíti.

Integritás és bizalmas jelleg

A Társaság olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a Személyes Adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a Személyes Adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.

A Társaság biztosítja, hogy a papír alapon vagy elektronikusan tárolt Személyes Adatokhoz csak az arra jogosult személy férjen hozzá a Társaság szervezetén belül, illetve harmadik személy e Személyes Adatokhoz jogosulatlanul ne férjen hozzá.

A Társaság biztosítja, hogy egy esetleges adatvédelmi incidens esetén a Személyes Adatok kellő időben visszaállíthatók legyenek.

Elszámoltathatóság

A Társaság felelős azért, hogy valamennyi fenti alapelvnek megfeleljen. A Társaság továbbá felelős azért, hogy képes legyen igazolni a fenti alapelveknek való megfelelést. A Társaság anyagi felelősséggel tartozik az adatvédelmi alapelvek végrehajtásáért.

A Társaság – többek között – a következő intézkedéseket teszi meg az alapelveknek való megfelelés és annak igazolhatósága érdekében:

  • írásbeli adatvédelmi szabályzat készítése;
  • adatkezelési tájékoztatók készítése és kihelyezése;
  • adatvédelmi kérdésekkel kapcsolatos dokumentáció elkészítése;
  • számítógépes hálózatok biztonságának átgondolása, ellenőrzése és szükség esetén a biztonsági szint javítása;
  • munkavállalók oktatása, stb.
  • A Személyes Adatok kezelése akkor és olyan mértékben jogszerű, amikor és amennyiben legalább az egyik alábbi pontban foglaltak teljesülnek:
  • az Érintett hozzájárulását adta Személyes Adatainak konkrét célból történő kezeléséhez;
  • az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
  • az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az Adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek Személyes Adatok védelmét teszik szükségessé (különösen, ha az Érintett gyermek).

A Társaság az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg.

  • Amennyiben a Társaság a Személyes Adatokat egy konkrét célból gyűjti és a gyűjtött Személyes Adatokat bármely más célból kívánja használni, akkor – amennyiben az eltérő célú Adatkezelés nem az Érintett hozzájárulásán vagy nem olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban – a Társaság az eltérő célú Adatkezelés jogszerűségének megítélése szempontjából az alábbi szempontokat veszi figyelembe:
  • a Személyes Adatok gyűjtésének céljait és a tervezett további Adatkezelés céljai közötti esetleges kapcsolatokat;
  • a Személyes Adatok gyűjtésének körülményeit (különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra);
  • a Személyes Adatok jellegét (különösen azt, hogy Személyes Adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó);
  • azt, hogy az Érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
  • megfelelő garanciák meglétét (például titkosítás vagy álnevesítés).

Hozzájárulás feltételei

Hozzájáruláson alapuló Adatkezelés esetén a Társaságnak mindenkor képesnek kell lennie arra, hogy igazolja, hogy az Érintett a Személyes Adatainak kezeléséhez hozzájárult.

A hozzájárulás csak akkor fogadható el a Rendeletnek megfelelő hozzájárulásnak, ha érthető, megfelelő tájékoztatáson alapul, világos és egyszerű nyelvezettel van megfogalmazva. Bármely a fenti feltételeknek meg nem felelő hozzájárulás sérti a Rendelet előírásait és kötelező erővel nem bír.

Ha az Érintett a hozzájárulását olyan nyilatkozatban adja meg, amely más ügyre is vonatkozik, akkor a Személyes Adatok kezelésére vonatkozó hozzájárulás iránti kérelmet a más ügyekre vonatkozó nyilatkozatoktól külön kell kérni, annak érthető és könnyen hozzáférhető formában kell tartalmaznia a hozzájárulás kérését és azt világos és egyszerű nyelvezettel kell megfogalmazni. Amennyiben a hozzájárulást tartalmazó nyilatkozat bármely része nem felel meg a Rendelet előírásainak, akkor az kötelező erővel nem bír.

Az Érintett jogosult a hozzájárulását bármikor visszavonni, azonban a hozzájárulás visszavonása nem teszi jogszerűtlenné a hozzájárulás visszavonását megelőző időszakban folytatott Adatkezelési tevékenységet, amennyiben az jogszerű hozzájáruláson alapult. A hozzájárulás visszavonására a Társaságnak olyan egyszerű formában kell lehetőséget biztosítania a Társaság részére, mint amilyen egyszerű formában lehetőséget biztosított a hozzájárulás megadására.

A Társaság az alábbi hozzájáruláson alapuló adatkezelési tevékenységeket végzi:

  • munkatársak személyes adatainak kezelése, (szabályozó anyag: munkaszerződés, munkaügyi tájékoztató, oktatás)
  • beszállító, alvállalkozó, egyéb szolgáltató vezetője, munkatársa, kapcsolattartó személy neve, telefonszáma, e-mail címe (vállalkozási szerződés/megbízás alapján)
  • munkavégzés során a megrendelő, ill. a megrendelő képviselője, kapcsolattartó személy neve, telefonszáma, e-mail címe (vállalkozási szerződés/megbízás alapján – megrendelés: e-mailben)
  • kamerarendszer működtetése (tájékoztató kiadása, oktatás).

Az Érintettek az alábbi (6.1-6.9 pontokban részletezett) jogokkal rendelkeznek:

  • tájékoztatáshoz való jog,
  • hozzáféréshez való jog,
  • helyesbítéshez való jog,
  • törléshez való jog,
  • Adatkezelés korlátozásához való jog,
  • adathordozhatósághoz való jog,
  • tiltakozáshoz való jog,
  • panasztételhez való jog, valamint
  • az Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog.

A Társaság az Érintett részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást (oktatást) nyújt a Személyes Adatok kezelése tekintetében.

A Társaság a tájékoztatást írásban, elektronikusan vagy más módon nyújtja. A Társaság a tájékoztatást szabványosított ikonokkal is kiegészítheti a jól látható, könnyen érthető és jól olvasható formájú általános tájékoztatás érdekében (elektronikusan megjelenített ikonoknak géppel olvashatónak kell lennie). Amennyiben az Érintett kéri, akkor a Társaság szóban is tájékoztatást nyújt, amennyiben az Érintett személyazonosságát – megfelelő okmányok bemutatásával – igazolta.

A Társaság az Érintett jogainak gyakorlását elősegíti. Ha az Érintett elektronikus úton nyújt be kérelmet, akkor a kérelmet elektronikus úton válaszolja meg a Társaság, kivéve, ha az Érintett másként nem kéri.

A Társaság az Érintettet a beérkezett kérelem alapján tett intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatja. A 30 napos határidő legfeljebb további 60 nappal meghosszabbítható a kérelem összetettségére és a kérelmek számára tekintettel. A Társaság tájékoztatja az Érintettet a kérelem beérkezésétől számított 30 napos határidőn belül, amennyiben a határidő meghosszabbításra kerül.

Ha a Társaság nem tesz intézkedést a kérelem beérkezésétől számított 30 napon belül, akkor a Társaság tájékoztatja a kérelem beérkezésétől számított 30 napos határidőn belül az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamelyik felügyeleti hatóságnál és élhet bírósági jogorvoslat jogával.

A Társaság az Érintett által benyújtott kérelem teljesítését csak akkor tagadhatja meg, ha bizonyítja, hogy az Érintettet nem áll módjában azonosítani.

A Társaság az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja. Amennyiben az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, akkor a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy ésszerű összegű díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. Amennyiben erre sor kerül, a Társaságnak kell bizonyítania, hogy az Érintett kérelme megalapozatlan vagy túlzó.

Ha a Társaságnak megalapozott kétségei vannak a kérelmet benyújtó személy kilétével kapcsolatban, akkor az Érintett személyazonossága megerősítéséhez szükséges további információkat kérhet.

Tájékoztatáshoz való jog

A Társaság tájékoztatást nyújt az Érintettek részére az alábbiak szerint a jelen pont (iii) és (iv) alpontjában foglalt tartalommal:

a Személyes Adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb 30 napon belül;

ha a Személyes Adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy

ha várhatóan más Címzettel is közlik az adatokat, legkésőbb a Személyes Adatok első alkalommal való közlésekor.

Ha a Társaság az eredeti Adatkezelési céltól eltérő célból további Adatkezelést kíván végezni, akkor valamennyi további Adatkezelést megelőzően tájékoztatja az Érintettet az új Adatkezelési célról, valamint valamennyi (iii) szerinti releváns kiegészítő információról.

A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat az Érintettől gyűjti:

az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;

az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;

az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;

adott esetben a Személyes Adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a Személyes Adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;

a Személyes Adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;

hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott Adatkezelés jogszerűségét;

felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

arról, hogy a Személyes Adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a Személyes Adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat harmadik személytől gyűjti:

az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei (ha van ilyen);

az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);

a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;

az érintett Személyes Adatok kategóriái;

a Személyes Adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);

adott esetben annak ténye, hogy az Adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás;

a Személyes Adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;

az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;

hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

felügyeleti hatósághoz címzett panasz benyújtásának joga;

a Személyes Adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben

az Érintett már rendelkezik az információkkal;

a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet vonatkozó rendelkezésében foglalt feltételek és garanciák figyelembevételével végzett Adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen Adatkezelés céljainak elérését (az Adatkezelőnek ebben az esetben megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében);

az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

a Személyes Adatoknak szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

A Társaság az alábbiak szerint jár el a megfelelő tájékoztatás nyújtása érdekében:

Az Adatvédelmi Felelős feladatkörébe tartozik a tájékoztatás nyújtása.

Az Adatvédelmi Felelős valamennyi adatkezelési tevékenység megkezdését megelőzően átgondolja, hogy az adatkezelési tevékenység tekintetében fennáll-e tájékoztatási kötelezettsége.

Amennyiben a Társaságnak tájékoztatási kötelezettsége áll fenn, akkor a Társaság elkészíti a jelen 6.1. pont (iii), valamint (iv) alpontjában foglaltak szerint az adatkezelési tevékenységre vonatkozó tájékoztatót.

Az Adatvédelmi Felelős, valamit a Társaság ügyvezetője szükség esetén külső jogi tanácsadóval konzultál a tájékoztató elkészítése tekintetében.

Hozzáféréshez való jog

Az Érintett jogosult tájékoztatást kérni és kapni arról, hogy a Társaság a kérelem beérkezésekor kezeli-e a Személyes Adatait.

Ha a Társaság a kérelmet benyújtó Érintett Személyes Adatait kezeli a kérelem beérkezésekor, akkor az Érintett jogosult a következő információkhoz hozzáférni:

  • az Adatkezelés céljai;
  • az érintett Személyes Adatok kategóriái;
  • azon Címzettek vagy Címzettek kategóriái, akikkel, illetve amelyekkel a Személyes Adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli Címzetteket, illetve a nemzetközi szervezeteket;
  • adott esetben a Személyes Adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen Személyes Adatok kezelése ellen;
  • felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  • az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.

Ha a Társaság a Személyes Adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az Érintett a megfelelő garanciákra vonatkozó tájékoztatásra is jogosult.

A Társaság ingyenesen az Érintett rendelkezésére bocsátja az Adatkezelés tárgyát képező Személyes Adatokat. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait.

További másolatok igénylése esetén a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy ésszerű összegű díjat számíthat fel.

A Társaság az alábbiak szerint jár el a hozzáféréshez való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős biztosítja a hozzáférési jog érvényre juttatását.

Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül ellenőrzi, hogy a Társaság kezeli-e a kérelmező személyes adatait.

Amennyiben a Társaság nem kezeli a kérelmező személyes adatait, akkor az Adatvédelmi Felelős további 5 (öt) napon belül tájékoztatást nyújt a kérelmező részére arról, hogy a Társaság nem kezeli a személyes adatait.

Amennyiben a Társaság a kérelmező személyes adatait kezeli, akkor az Adatvédelmi Felelős az ellenőrzést követően, de a kérelem beérkezésétől számított legfeljebb 30 napon belül a következő lépéseket teszi meg a kérelem megválaszolása érdekében:

  • megvizsgálja, hogy a kérelmező mely személyes adatait kezeli a Társaság;
  • megvizsgálja, hogy a kérelmező személyes adatait milyen célból kezeli a Társaság;
  • megvizsgálja, hogy a kérelmező személyes adatait mely címzettek részére továbbította a Társaság;
  • jogszabályi vagy egyéb szerződéses kötelezettség alapján mely személyes adatokat milyen időtartamra köteles a Társaság megőrizni.

Az Adatvédelmi Felelős tájékoztatást nyújt a kérelmező részére az alábbiakról:

  • a kérelmező személyes adatai kezelésének céljáról;
  • a kérelmező Társaság által kezelt személyes adatainak kategóriáiról;
  • a kérelmező személyes adatait mely címzettek részére továbbította a Társaság;
  • jogszabályi vagy egyéb szerződéses kötelezettség alapján mely személyes adatokat milyen időtartamra őrzi a Társaság;
  • a kérelmező hogyan kérelmezheti a személyes adatai helyesbítését, törlését vagy kezelésének korlátozását, és hogyan tiltakozhat a személyes adatai kezelése ellen;
  • a kérelmező hogyan nyújthat be panaszt a felügyeleti hatósághoz, ide értve a felügyeleti hatóság elérhetőségére vonatkozó tájékoztatást;
  • amennyiben a Társaság a személyes adatokhoz nem közvetlenül a kérelmezőtől jutott hozzá, akkor a személyes adatokhoz való hozzájutásra vonatkozó valamennyi információról;
  • amennyiben a Társaság a személyes adatokat automatizált döntéshozatal céljából kezeli, akkor az automatizált döntéshozatalra vonatkozó információkról;
  • amennyiben a Társaság a személyes adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az adattovábbításra vonatkozó információkról.

Az Adatvédelmi Felelős a kérelmező Társaság rendelkezésére álló személyes adatairól másolatot ad át a tájékoztatással egyidejűleg a kérelmező részére.

Helyesbítéshez való jog

A Társaság az Érintett kérése esetén – indokolatlan késedelem nélkül – helyesbíti az Érintettre vonatkozó pontatlan vagy hiányos Személyes Adatokat.

A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a helyesbítéshez való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

A Társaság az alábbiak szerint jár el a helyesbítéshez való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős biztosítja a helyesbítéshez való jog érvényre juttatását.

Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül ellenőrzi, hogy a helyesbíteni kért személyes adatok milyen folyamatokban szerepelnek.

Az Adatvédelmi Felelős a pontatlan vagy hiányos adatokat a kérelmező kérésének megfelelően a folyamatban lévő ügyekben, illetve a jövőre nézve helyesbíti. Az Adatvédelmi Felelős a helyesbített adatokról minden olyan címzettet tájékoztat, akivel, vagy amivel a Társaság az adott, helyesbíteni kért személyes adatot közölte. Az Adatvédelmi Felelős a helyesbíteni kért adatok helyesbítéséről a kérelmezőt tájékoztatja.

Törléshez való jog

A Társaság az Érintett kérése esetén – indokolatlan késedelem nélkül – törli az Érintettre vonatkozó Személyes Adatokat.

A Társaság törli a Személyes Adatokat, amennyiben az alábbi pontokban foglaltak valamelyike fennáll:

  • a Személyes Adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az Érintett visszavonja az Adatkezelés alapját képező hozzájárulását, és az Adatkezelésnek nincs más jogalapja;
  • az Érintett saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az Adatkezelésre, vagy az Érintett közvetlen üzletszerzési célból kezelt Személyes Adatok kezelése ellen tiltakozik;
  • a Személyes Adatokat jogellenesen kezelték;
  • a Személyes Adatokat az Adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
  • a Személyes Adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Amennyiben a Társaság nyilvánosságra hozta a Személyes Adatot és azt törölni köteles, akkor – az elérhető technológia és a megvalósítás költségeinek figyelembe vételével – megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa a Személyes Adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük az adott Személyes Adatra mutató linkek vagy e Személyes Adatok másolatának, illetve másodpéldányának törlését.

A Társaság nem törli azonban a Személyes Adatokat és nem tesz lépéseket a Személyes Adatokat kezelő Adatkezelők tájékoztatása érdekében, amennyiben az Adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a Személyes Adatok kezelését előíró, az Adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  • a népegészségügy területét érintő közérdek alapján;
  • a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a törléshez való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

A Társaság az alábbiak szerint jár el a törléshez való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős biztosítja a törléshez való jog érvényre juttatását.

Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül a következő lépéseket teszi meg a kérelem teljesítése érdekében:

  • megvizsgálja, hogy a kérelmező személyes adatait milyen célból, milyen jogalapon kezeli a Társaság és az adott célból, jogalapon történő adatkezelés következtében a személyes adatokat mennyi ideig jogosult a Társaság kezelni;
  • megvizsgálja, hogy a fent felsorolt törlési okok valamelyike fennáll-e;
  • megvizsgálja, hogy a törölni kért személyes adatok kezelése bármely okból szükséges-e.

Amennyiben a fent felsorolt valamely törlési ok fennáll és az adatkezelést egyik fenti kivétel sem alapozza meg a kérelmező által törölni kért személyes adat(ok) tekintetében a Társaság a kérelmező kérésének megfelelően törli a törölni kért személyes adatokat, és a személyes adatok törléséről tájékoztat valamennyi olyan címzettet, aki/amely részére a személyes adatok továbbításra kerültek.

Amennyiben azonban a kérelmező által törölni kért személyes adatok kezelése a fent felsorolt bármely okból szükséges, akkor a Társaság nem törli a kérelmező által törölni kért személyes adatokat, hanem azokat a nyilvántartásaiban megőrzi. Ebben az esetben az Adatvédelmi Felelős tájékoztatja a kérelmezőt, hogy a kérelmező által törölni kért személyes adatok Társaság által történő megőrzése a fent felsorolt mely ok alapján szükséges.

A kérelmező kérése esetén tájékoztatást nyújt az Adatvédelmi Felelős arról, hogy a kérelmező személyes adatait mely címzettek részére továbbította.

Adatkezelés korlátozásához való jog

A Társaság korlátozza a Személyes Adatok kezelését, amennyiben az Érintett erre irányuló kérelmet nyújt be a Társaság részére és valamelyik alábbi pontban foglalt feltétel teljesül:

  • az Érintett vitatja a Személyes Adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a Személyes Adatok pontosságát;
  • az Adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a Személyes Adatokra Adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az Érintett saját helyzetével kapcsolatos okokból tiltakozott az Adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben).

A Társaság Személyes Adatok kezelésének korlátozása esetén a Személyes Adatokat a tárolás kivételével csak az Érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez vagy más természetes személy vagy jogi személy jogainak védelme érdekében vagy fontos közérdekből kezelheti.

A Társaság az Érintettet előzetesen tájékoztatja a Személyes Adatok kezelése korlátozásának feloldásáról, amennyiben a Személyes Adatok kezelésének korlátozására korábban sor került.

A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett az Adatkezelés korlátozásához való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

Az Adatvédelmi Felelős gondoskodik a Társaságon belül arról, hogy a kérelmező korlátozáshoz való jogát érvényre juttassa.

Az Adatvédelmi Felelős a kérelem beérkezésétől számított legfeljebb 10 (tíz) napon belül megvizsgálja, hogy az adatkezelés korlátozásának a jelen 6.5. pontban foglalt feltétele fennáll-e.

Amennyiben valamely korlátozási ok fennáll, a Társaság korlátozza a személy adat(ok) kezelését; a korlátozásáról a Társaság részéről az Adatvédelmi Felelős a kérelmezőt tájékoztatja.

Adathordozhatósághoz való jog

Az Érintett megkaphatja a rá vonatkozó, általa a Társaság rendelkezésére bocsátott Személyes Adatokat tagolt, széles körben használt, géppel olvasható formátumban, továbbá továbbíthatja ezeket az adatokat egy másik Adatkezelőnek anélkül, hogy ezt akadályozná a Társaság, ha:

  • az Adatkezelés hozzájáruláson vagy szerződésen alapul; és
  • az Adatkezelés automatizált módon történik.

Az Érintett kérheti, hogy a Társaság a Személyes Adatait másik Adatkezelő részére közvetlenül továbbítsa.

Az adathordozhatósághoz való jog gyakorlása nem sértheti a Személyes Adatok törléséhez való jogot. Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

Az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

A Társaság végez hozzájáruláson vagy szerződésen alapuló adatkezelést, azonban a személyes adatok kezelésére nem automatizált módon kerül sor.

Az adathordozhatósághoz való joggal kapcsolatos kérések esetén a Társaság részéről az Adatvédelmi Felelős tájékoztatja a kérelmezőt, hogy a Társasághoz benyújtott adathordozhatósághoz való joggal kapcsolatos kérésének a Társaság nem tud eleget tenni, mivel nem végez automatizált módon történő adatkezelést.

Tiltakozáshoz való jog

Az Érintett bármikor tiltakozhat saját helyzetével kapcsolatos okokból a Személyes Adatainak kezelése ellen, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A Társaság az Érintett tiltakozása esetén nem kezelheti tovább a Személyes Adatokat, kivéve, ha a Társaság bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Közvetlen üzletszerzés érdekében történő Adatkezelés esetén az Érintett bármikor tiltakozhat a Személyes Adatai üzletszerzési célból történő kezelése ellen (üzletszerzés érdekében folytatott profilalkotás esetén is). Az Érintett tiltakozása esetén a Személyes Adatok üzletszerzési célból a Társaság nem kezelheti a tiltakozást követően.

Az Érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a Személyes Adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó Személyes Adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

Az Adatvédelmi Felelős gondoskodik arról, hogy a Társaság a tiltakozáshoz való jog érvényre juttatására vonatkozó kérelemmel kapcsolatban eljárjon.

Az Adatvédelmi Felelős a kérelem beérkezésétől számított legfeljebb 10 (tíz) napon belül a kérelem teljesítése érdekében megvizsgálja az adatkezelés célját.

Jogos érdeken alapuló adatkezelés

Az Adatvédelmi Felelős megvizsgálja, hogy az adatkezelést indokolják-e olyan kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, vagy amelyek a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. A kényszerítő erejű jogos okok tekintetében az Adatvédelmi Felelős megtekinti a Társaság által korábban lefolytatott érdekmérlegelési tesztben foglaltakat, illetve amennyiben korábban érdekmérlegelési teszt lefolytatása nem történt meg, akkor elkészíti az érdekmérlegelést[1] abban a tekintetében, hogy az Adatkezelő vagy a harmadik fél érdekei elsőbbséget élveznek-e a kérelmező érdekeivel, jogaival vagy szabadságaival szemben.

Ha a vizsgálat eredményeként az Adatvédelmi Felelős arra jut, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, vagy a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, akkor a Társaság folytatja a személyes adatok kezelését. Ellenkező esetben a Társaság megszünteti a személyes adatok kezelését, azaz törli a személyes adatokat.

Adatkezelés közvetlen üzletszerzés érdekében

Amennyiben az adatkezelés közvetlen üzletszerzés érdekében történik, az Adatvédelmi Felelős megvizsgálja, hogy a Társaság a kérelmező személyes adatait más célból is kezeli-e. Amennyiben kizárólag közvetlen üzletszerzés érdekében kezeli a törölni kért személyes adatokat, akkor az e célból történő adatkezelést megszünteti, azaz a személyes adatokat törli. Ha nem kizárólag közvetlen üzletszerzés érdekében kezeli a Társaság a kérelmező személyes adatait, akkor a Társaság kizárólag a közvetlen üzletszerzési célból történő adatkezelést szünteti meg és ezen adatkezelési cél tekintetében kezelt személyes adatokat törli.

Adatkezelés tudományos és történelmi kutatási célból vagy statisztikai célból

Amennyiben a kérelmező a saját helyzetével kapcsolatos okokból tiltakozik az adatkezelés ellen az Adatvédelmi Felelős megvizsgálja, hogy az adatkezelésre tudományos és történelmi kutatási célból vagy statisztikai célból kerül-e sor, illetve közérdekű okból végzett feladat végrehajtása érdekében van-e szükség az adatkezelésre.

Ha az adatkezelés közérdekű okból végzett feladat végrehajtása érdekében szükséges, akkor a személyes adatok kezelése elleni tiltakozásra nem jogosult a kérelmező. A Társaság részéről az Adatvédelmi Felelős tájékoztatja a kérelmezőt e tényről.

Ha az adatkezelés közérdekű okból végzett feladat végrehajtása érdekében nem szükséges, akkor a Társaság a kérelmező tiltakozási jogának teljesítése érdekében törli a személyes adatokat.

A Társaság értesíti a kérelmezőt a kérelem beérkezésétől számított 30 (harminc) napon belül arról, hogy a fenti folyamat eredményeként arra jutott, hogy a kezelt személyes adatokat törli vagy nem törli.

Panasztételhez való jog

Az Érintett jogosult a felügyeleti hatóságnál panasszal élni, ha megítélése szerint a rávonatkozó Személyes Adatok kezelése megsérti a Rendeletet.

Az Érintett egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül jogosult panaszt benyújtani a felügyeleti hatósághoz.

Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog

Az Érintett jogosult bírósági jogorvoslatra, ha megítélése szerint a Személyes Adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.

Szervezetünk adatot nem továbbít, kivételt képez el alól a jogszabályi megfelelés érdekében végzett adat továbbítás, amelyek közül rendszeres:

  • NAV felé – bejelentés, kijelentés: a munkavállaló személyes adatai.

[1] Az érdekmérlegelési teszt elkészítéséhez a mintát jelen Szabályzat tartalmazza.

Kockázatok azonosítása és értékelése

A Társaság felméri, hogy az általa kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből potenciálisan milyen kockázatok erednek.

A Társaság a fentiek szerint azonosított kockázatokat azok felmerülésének valószínűsége és a Személyes Adatok biztonsága szempontjából meghatározott súlyossága szerint besorolja.

Adatbiztonsági követelmények kialakításának szempontjai

A Társaság a Személyes Adatok biztonságát a fenti pont szerint azonosított kockázatok mérséklése érdekében a következő szempontok figyelembe vételével alakítja ki:

tudomány és technológia állása;

megvalósítás költségei;

adatkezelés jellege, hatóköre, körülményei és céljai;

természetes személyek jogai és szabadságai.

Adatbiztonságot szolgáló intézkedési lehetőségek

A Társaság a megállapított kockázatok és a fenti pont szerinti szempontok figyelembevételével – többek között – az alábbi intézkedések hajtja végre a Személyes Adatok biztonsága érdekében:

  • a Személyes Adatok Álnevesítése és titkosítása;
  • a Személyes Adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének biztosítása;
  • fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a Személyes Adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  • az Adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás.

Az Adatkezelő továbbá biztosítja, hogy az Adatkezelőnél, illetve az Adatfeldolgozónál a Személyes Adatokhoz hozzáférő személyek a Személyes Adatokat kizárólag az Adatkezelő utasításának megfelelően kezelhessék. E személyek akkor kezelhetik a Személyes Adatokat az Adatkezelő utasításától eltérően, ha őket az Európai Unió vagy az Európai Unió tagállamának joga erre kötelezi.

Adatbiztonság megvalósulása a Társaságnál

A Társaság a felsorolt adatkezelési tevékenységekkel kapcsolatban kezel személyes adatokat, ide értve a személyes adatok gyűjtését, adatbázisban tárolását, bizonyos azonosító okmányokról készült másolatok őrzését.

A Társaság az általa kezelt személyes adatokkal kapcsolatban az alábbi kockázatokat azonosítja és az azonosított kockázatokat az alábbiak szerint értékeli:

Esemény Kockázat
azonosítás bekövetkezésének valószínűsége súlyossága
Véletlen megsemmisítés időlegesen nem elérhető 2 Alacsony
Jogellenes megsemmisítés időlegesen nem elérhető 1 Alacsony
Elvesztés idegen hozzáférés lehetséges 2 Alacsony
Megváltoztatás Téves adat jelentése 2 Alacsony
Jogosulatlan nyilvánosságra hozatal Idegen hozzáférés 1 Alacsony
Jogosulatlan hozzáférés Célzott adatlopás, idegen hozzáférés 2 Alacsony

(A kockázat valószínűségét és súlyosságát a Társaság 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)

A Társaság a fenti táblázat szerinti értékek megadása során az alábbi szempontokat mérlegelte:

A Társaság működése során nem került sor adatok véletlenszerű megsemmisítésére, mivel a Társaság munkavállalói tisztában vannak azzal, hogy mennyire fontos a gondos eljárás. A Társaságnál csak azon munkavállaló fér hozzá az egyes személyes adatokat tartalmazó dokumentumokhoz, amely munkavállalónak a személyes adatokkal feladata van (Ügyvezető, Adatvédelmi felelős, Könyvelés), így tisztában van azzal, hogy az adott személyes adatot tartalmazó dokumentumot hol és mennyi ideig kell őrizni.

A Társasághoz a működése során nem törtek be, onnan semmilyen dokumentumot nem távolítottak el, a számítógépes rendszerbe sem történt illetéktelen behatolás, a rendszer védett, így a korábbi tapasztalatok azt mutatják, hogy a Társaságnál alacsony a kockázata a személyes adatok véletlen megsemmisítésének, illetve jogellenes megsemmisítésének.

A személyes adatokat tartalmazó dokumentumok akkor vannak az elvesztés kockázatának kitéve, amikor azokat esetleg postai úton küldené a Társaság. A Társaság felügyeletén kívül eső körben a Társaság nem tud gondoskodni arról, hogy a személyes adatokhoz idegenek ne férjenek hozzá –de ilyen jellegű folyamat sem jellemző!

A Társaságnál a megváltoztatás kockázata az elektronikusan kezelt és tárolt személyes adatok körében merülhet fel. A Társaság adott személyes adatokhoz hozzáférő munkavállalói esetlegesen abban a helyzetben vannak, hogy a személyes adatokat megváltoztassák, de erre semmilyen érdek nem vezérelhet, mivel ezen munkatársak egyben a cég tulajdonosai + a Könyvelés-akiknek jogszabályok szerint kell eljárniuk.

Szervezetünk belső szervert használ, a szerver szoba elzárt, riasztóval védett. Felhőben nem tárolunk adatokat.

A Társaság hosszú idő óta, megbízható munkavállalókkal dolgozik, akik a Társaság érdekeit tarják szem előtt, továbbá a korábbi tapasztalatok is azt mutatják, hogy a személyes adatok megváltoztatására nagyon ritkán került sor.

A Társaság papír alapon és elektronikusan kezeli a munkavállalással kapcsolatos adatokat, valamint a szerződéses (megrendelők, beszállítók) partnerei adatait. A Társaság helyiségeibe nem történt betörés vagy egyéb módon illetéktelen behatolás, így személyes adatokhoz nem fért hozzá idegen személy.

A Társaság munkavállalói közül azon személyek férnek hozzá a személyes adatokat tartalmazó dokumentumokhoz, akiknek ez a feladataik elvégzéséhez szükséges. A Társaság az egyes munkavállalók feladatai meghatározása során alakította ki, hogy mely munkakörben foglalkoztatott munkavállaló, mely dokumentumokhoz fér hozzá, továbbá a több éves gyakorlat is kialakult a tekintetben, hogy mely dokumentumok szükségesek a feladatok ellátásához. A hosszú ideje fennálló munkaviszonyra tekintettel a munkavállalók a Társaság érdekeit tartják szem előtt, így a társaság álláspontja szerint alacsony annak a kockázata, hogy olyan személyes adatokat tartalmazó dokumentumokhoz kívánnának hozzáférni, amelyekhez nem férhetnek hozzá.

A szervezet biztonsági zónákat hozott létre, a munkatársak ezen zónákban korlátozottan közlekedhetnek, a Cyprex kontroller panel szoftver ezen mozgásokat rögzíti. Külső fél az irodába (ahol az adatok 98%-tárolt) csak a fogadó által történő beengedés után tud bejutni, illetéktelen besurranás nem történhet!

Szervezetünk kamerarendszert használ, nemmegfelelőségek 3 napig visszanézhetőek, munkatársak ill. külső partnerek számára piktogram, ill. tájékoztató jelzi a kamerarendszer használatát, amely egy tervezett külső behatolás kockázatát csökkenti. A kamerarendszer számára biztosított adat tárolós szintén a szerverteremben található, amely elzárt, ill. riasztóval ellátott.

Szervezetünk riasztó rendszert használ, az egyes zónák külön is riaszthatóak. Riasztó jelzése a Multi Alarm Kft.-hez bekötött, jelzés alapján területi kiszállás történik, riasztás esetén kapcsolható IT eszközről: pl.: okos telefonról is elérhető a kamera képe – jogosultsággal az Ügyvezető bír.

A Társaság a Személyes Adatok biztonsága érdekében a következő intézkedéseket teszi:

A Társaság a papír alapon tárolt szerződéseket, illetve Személyes Adatot tartalmazó egyéb dokumentumokat: zárt irodában, a zárt irodában szekrényben tárolja – itt alapvetően az Ügyvezető, Könyvelő, Adatvédelmi felelős, Adminisztrációs munkatársak tartózkodnak. A személyes adatokat tartalmazó papír alapú dokumentumokhoz más nem férhet hozzá.

A Társaság tulajdonában álló számítógépet kizárólag a Társaság tevékenysége végzéshez használják/használhatják. A számítógépek a Társaság helyiségeiben találhatóak, jelszavas védelemmel vannak ellátva.

A Társaság a számítógépein végpontvédelmet használ (tűzfal és spam szűrő) védi a külső behatolások ellen, továbbá a Társaság számítógépeire vírusellenőrző programot telepítettünk. Számítógépeket, laptopokat külső szakképzett informatikus ellenőrizheti – külön felkérés alapján, távoli elérés biztosított.

A számítógépeken futó Windows operációs rendszer letölti a frissítéseket az operációs rendszer biztonsági réseinek megoldása érdekében.

A használt számítógépen munkafolyamatokhoz és egyéb folyamatokhoz tartozó adat nem jellemző. Számítógépek hálózatba kötöttek –szerveren kell dolgozni, adatot menteni.

Levelezés: info@bepe.hu cím a megadott céges kapcsolati e-mail cím, + a munkatársak által használt kiosztott céges e-mail címek. Munkatársak egyéb magán e-mail címei ügyfeleknek, egyéb külső 3. fél számára nem kiadott.

Adatvédelmi Incidens

Adatvédelmi Incidens történik, ha a Személyes Adatok biztonsága olyan sérülést szenved, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Adatvédelmi Incidens bejelentése

A Társaság az Adatvédelmi Incidenst indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával azt követően, hogy az Adatvédelmi Incidensről tudomást szerzett bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az Adatvédelmi Incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha a Társaság az Adatvédelmi Incidenst annak tudomására jutásától számított 72 órán belül nem jelenti be, akkor a későbbi bejelentéssel egyidejűleg igazolja a késedelem indokait.

A Társaság a bejelentésben legalább az alábbiakat ismerteti:

az Adatvédelmi Incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

az Adatvédelmi Incidensből eredő, valószínűsíthető következményeket;

az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Adatvédelmi Incidens nyilvántartása

A Társaság nyilvántartja az Adatvédelmi Incidenseket, amelyek olyan Személyes Adatokat érintenek, amelyek tekintetében a Társaság Adatkezelőként jár el. A Társaság az Adatvédelmi Incidensekről készült nyilvántartásban a következőket tűnteti fel:

Adatvédelmi Incidenshez kapcsolódó tények;

Adatvédelmi Incidens hatásai;

Adatvédelmi Incidens orvoslására tett intézkedések.

Érintettek tájékoztatása az Adatvédelmi Incidensről

A Társaság indokolatlan késedelem nélkül tájékoztatja az Érintetteket valamennyi olyan Adatvédelmi Incidensről, ami olyan Személyes Adatokat érint, amely tekintetében a Társaság Adatkezelőként jár el, és amely valószínűsíthetően magas kockázattal jár a természetes személye jogaira és szabadságaira nézve.

A Társaság az Adatvédelmi Incidensre vonatkozó tájékoztatásban világosan és közérthetően nyújt tájékoztatást az alábbiakról:

  • Adatvédelmi Incidens jellege;
  • az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei;
  • az Adatvédelmi Incidensből eredő, valószínűsíthető következmények;
  • az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Nem kell azonban az Érintetteket tájékoztatni, ha

  • a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az Adatvédelmi Incidens által érintett adatok tekintetében alkalmazták;
  • a Társaság az Adatvédelmi Incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor az Érintetteket nyilvánosan közzétett információk útján tájékoztatja a Társaság vagy olyan hasonló intézkedést hoz, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.

Az Adatvédelmi Felelős feladata, hogy az adatvédelmi incidens megtörténtét a Szabályzat részét képező nyilvántartásba felvegye, valamint az adatvédelmi hatóság felé bejelentse!

Adatvédelmi hatásvizsgálat

Ha az Adatkezelés valamely – különösen új technológiákat alkalmazó típusa – figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az Adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a Személyes Adatok védelmét hogyan érintik.

Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

A Társaság az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni, amennyiben a Társaság adatvédelmi tisztviselőt jelölt ki.

Az adatvédelmi hatásvizsgálatot – többek között – az alábbi esetekben kell elvégezni:

  • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált Adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
  • a Személyes Adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó Személyes Adatok nagy számban történő kezelése; vagy
  • nyilvános helyek nagymértékű, módszeres megfigyelése.

A hatásvizsgálat kiterjed legalább az alábbi pontokra:

  • a tervezett Adatkezelési műveletek módszeres leírására és az Adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
  • az Adatkezelés céljaira figyelemmel az Adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • az Érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
  • a kockázatok kezelését célzó intézkedések bemutatására, ideértve a Személyes Adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A Társaság által végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy a Társaság teljesíti-e az általa jóváhagyott magatartási kódexek előírásait.

A hatásvizsgálatot nem kell lefolytatni, ha

  • a Társaságra mint Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges vagy közérdekű, vagy a Társaságra mint Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges Adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és
  • e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint
  • e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot,

kivéve, ha a tagállamok az Adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

A Társaság 1.3 pontban felsorolt adatkezelési tevékenységeket végzi. A Társaság a Rendelet alapján nem köteles hatásvizsgálatot végezni az általa folytatott adatkezelési tevékenységek végzése tekintetében.

A Társaság szükség szerint, de legalább az Adatkezelési műveletek által jelentett kockázat változása vagy új Adatkezelési tevékenység megkezdése esetén ellenőrzést folytat le annak értékelése céljából, hogy a Személyes Adatok kezelése tekintetében adatvédelmi hatásvizsgálatot kell-e lefolytatni.

Előzetes konzultáció

Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az Adatkezelés valószínűsíthetően magas kockázattal jár, a Személyes Adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal.

Ha a felügyeleti hatóság véleménye szerint a tervezett Adatkezelés megsértené a Rendeletet – különösen, ha az Adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az Adatkezelőnek és adott esetben az Adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja a Rendelet szerinti hatásköreit (utasíthatja az Adatkezelőt és az Adatfeldolgozót, hogy a szükséges tájékoztatást a részére megadja, vizsgálatot folytathat le adatvédelmi auditok formájában stb.).

Az előzetes konzultációra nyitva álló határidő– a tervezett Adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított 30 napon belül tájékoztatja az Adatkezelőt vagy adott esetben az Adatfeldolgozót a meghosszabbításról és a késedelem okairól.

A felügyeleti hatóság felfüggesztheti az írásbeli tanács adására vonatkozó időtartamot, valamint a hatáskörök gyakorlására vonatkozó időtartamot arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

A Társaság a felügyeleti hatósággal folytatott konzultáció során a felügyeleti hatóságot tájékoztatja:

  • adott esetben az Adatkezelésben részt vevő Adatkezelő, közös adatkezelők és Adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli Adatkezelés esetén;
  • a tervezett Adatkezelés céljairól és módjairól;
  • az Érintettek Rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
  • adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;
  • az adatvédelmi hatásvizsgálatról; és
  • a felügyeleti hatóság által kért minden egyéb információról.