Jelen adatvédelmi szabályzat („Szabályzat”) az alábbi társaság adatkezeléssel és adatfeldolgozással kapcsolatos tevékenységére irányadó:
Társaság neve: | BEPE ‘2004 Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság |
A cég rövidített elnevezése | BEPE ‘2004 Kft. |
Társaság székhelye: | H-1119 Budapest, Andor utca 21.C. földszint |
Társaság telephelye: | H-9027 Győr, Égerfa utca 2. |
Társaság irodája/adattárolás helye: | H-9027 Győr, Égerfa utca 2. |
Társaság cégjegyzékszáma: | 01-09-867170 |
Társaság adószáma: | 13336437-2-43 |
Társaság statisztikai számjele: | 13336437-2562-113-01 |
Társaság főtevékenysége: | Fémmegmunkálás (2562 ’08) |
Társaság tulajdonosa/ügyvezetője: | Bertalan Péter (ÜV) |
Társaság tulajdonosa/cégvezetője: | Szlama Orsolya (CV) |
Társaság adatkezelésért felelős munkatársa („Adatvédelmi Felelős”): | Szíjártó Andrea |
Jelen Szabályzat célja, hogy a Társaság a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait – a tevékenysége során előforduló esetekre tekintettel – rögzítse, valamint a Társaság belső adatvédelmi eljárásait összefoglalja.
A Társaság vállalja, hogy az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá a Társaság kötelezettséget vállal arra, hogy csak olyan Személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.
A Társaság vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki a Társaság helyett és/vagy nevében eljár a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat rendelkezései szerint járnak el.
A Társaság vállalja, hogy – amennyiben szükséges – a jelen Szabályzat tartalmát megismerteti az üzleti partnereivel, illetőleg bármely Személy Adat átadását megelőzően ellenőrzi, hogy az üzleti partnerei a jelen Szabályzattal azonos szintű adatkezelési tevékenységekkel kapcsolatos és adatfeldolgozási tevékenységekkel kapcsolatos minimum standardokkal rendelkeznek-e, illetve, hogy az adatbiztonságot a Társasággal azonos színvonalon biztosítják-e.
A Társaság vállalja, hogy az adatkezeléssel kapcsolatos tevékenységei és adatfeldolgozással kapcsolatos tevékenységei során a jelen Szabályzatban, illetve a jogszabályokban foglaltaknak megfelelően jár el, különös tekintettel az alábbi jogszabályokra:
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel;
Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;
Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Álnevesítés: Személyes Adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes Adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes Adatot nem lehet kapcsolni;
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.
Érintett: azonosított vagy azonosítható természetes személy;
Különleges Adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adat;
Személyes Adat:
azonosított vagy azonosítható természetes személyre vonatkozó bármely
információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett
módon, különösen valamely azonosító, például név, szám, helymeghatározó adat,
online azonosító vagy a természetes személy testi, fiziológiai, genetikai,
szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy
több tényező alapján (bárki által) azonosítható.
Személyes Adatok kezelése
Személyes Adatok
Személyes Adatnak minősül azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.
Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Személyes Adatnak minősül – többek között – a természetes személy neve, lakcíme, születési helye és ideje, továbbá a képmása vagy a természetes személy beszédéről készült hangfelvétel is.
Adatkezelés
Adatkezelésnek minősül a Személyes Adatokon végzett bármely művelet vagy műveletek összessége. Adatkezelés így a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, lekérdezése, a Személyes Adatokba történő betekintés, a Személyes Adatok felhasználása, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolása vagy összekapcsolása, korlátozása, törlése, illetve megsemmisítése.
Adatkezelésnek minősül – többek között – a munkavállalói adatok felvétele és tárolása, a szerződéses partnerek kapcsolattartói elérhetőségének felvétele egy adatbázisba (pl.: programba), – felépített adatbázisban tárolt nevek és e-mail címek.
A Személyes Adatok kezelésére vonatkozó részletes nyilvántartásokat (Adatkezelő neve, Adatkezelő elérhetősége, Adatvédelmi Felelős, Adatkezelés célja, Érintettek kategóriái, Személyes Adatok kategóriái, Címzettek kategóriái, Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása, Törlésre előirányzott határidők, Technikai és szervezési intézkedések leírása) jelen Szabályzat: V. pontja: Adatkezelési tevékenységek nyilvántartása fejezete tartalmazza.
Különleges Adatok
Különleges Adatok a Személyes Adatok speciális kategóriáját képezik. Különleges Adatnak minősülnek az alábbi Személyes Adatok:
Különleges Adatnak minősül – többek között – a munkavállaló várandósságára vonatkozó információ, az orvosi igazolás a keresőképtelen állományba vételéről (ún. táppénzes papír), továbbá beléptető rendszerben tárolt ujjlenyomat (bár ilyen szervezetünknél nem alkalmazott).
Különleges Adatok kezelése
Különleges Adatok kezelése alapvetően tilos, kivételesen, az alábbi esetekben kezelhetők Különleges Adatok:
ha az Érintett kifejezett hozzájárulását adta az adott Különleges Adat kezeléséhez (kifejezett hozzájárulás esetén sem kezelhető Különleges Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);
ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
ha az Adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
ha az Adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy (i) az Adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és (ii) a Személyes Adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
ha az Adatkezelés olyan Különleges Adatra vonatkozik, amelyeket az Érintett kifejezetten nyilvánosságra hozott;
ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
ha az Adatkezelés jelentős közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll).
ha az Adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
ha az Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
A Társaság a következő Különleges Adatok kezelésére vonatkozó tevékenységeket folytatja:
A Társaság a munkavállalóinak a foglalkoztatáshoz kapcsolódó különleges adatait kezeli/kezelheti (pl. csökkent munkaképesség igazolása, üzemorvos által előírt feltételek…stb…), a Társaság további különleges adatokat nem kezel.
A Különleges Adatok kezelésére vonatkozó információkat jelen Szabályzat Személyes Adatok kezelésére vonatkozó részletes nyilvántartások című fejezete tartalmazza.
Adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel.
Adatfeldolgozónak minősül pl. a Társaság számítógépes rendszerének rendszergazdája, vagy a Társaság honlapjának tárhely-szolgáltatója, továbbá a Társaság nevében hírlevelet küldő harmadik személy (utóbbi szervezetünknél nem fordul elő – direkt marketinget nem folytatunk).
A Társaság a következő Adatfeldolgozók szolgáltatásait veszi/veheti igénybe a tevékenysége végzése során:
A Társaság honlapja: www.bepe.hu – ügyfél tájékoztató célra használjuk, magyar-angol nyelven nyújt tájékoztatást. A honlap alap sütiket (cookie) használ. (A sütik apró, tökéletesen veszélytelen fájlok, amelyeket a weboldal helyez el a felhasználó/böngésző számítógépén, hogy minél egyszerűbbé tegye a böngészést. “Engedélyezem” feliratú gombra kattintva, el lehet fogadni azok használatát, ill. a sütiket le lehet tiltani).
A Társaság weboldal kapcsán tárhely üzemeltetést, szerverszolgáltatást vesz igénybe, neve: ARPANET Informatikai Tanácsadó és Rendszerfejlesztő Kft.
A honlap tartalmazza szervezetünk adatait, ezen felül a kapcsolati telefonszámokat, személyes e-mail címeket. Érdeklődőnek, ügyfeleknek lehetősége van kapcsolatot felvenni direkt formában, ill. a kapcsolat-felvételi űrlap kitöltésével-saját adatainak megadásával. Az itt megadott személyes adatokat, csak kapcsolattartás végett, a kapcsolattartás idejéig kezeljük, ezt követően, amennyiben szerződéses/megbízási kapcsolat nem jön létre, úgy abban az esetben ezen adatokat nem használjuk.
Szervezetünk direkt marketinget nem folytat, hírleveleket nem küldünk ki.
A Társaság informatikai rendszerének karbantartásával felkért szervezetet: Hajdú Zsolt E.V.-informatikus – személyes adattal nem érintkezik, adatot nem kezel, nem dolgoz fel.
A Társaság weboldal rendszerének karbantartásával felkért szervezetet: Bokán Roland E.V.-programozó – személyes adattal nem érintkezik, adatot nem kezel, nem dolgoz fel.
Szervezetünk belső kamerarendszert használ biztonságtechnikai célból: – kezelése belsőleg megoldott, adattároló a Szerverszobában helyezkedik el – adatmentés 3 napig biztosított. Kamerarendszer karbantartásával: a Hess System Kft. a megbízott –aki adatot nem kezel, de javítás/karbantartás során találkozhat képfelvételekkel. Kamera által rögzített felvételek visszanézésre az Ügyvezető, ill. az Adatvédelmi felelős jogosult.
Munkatársaink számára belépő kártyát biztosítunk, amit szintén a Hess System Kft. programoz fel, a munkatárs munkaköréhez tartozó jogosultságokkal. A beléptető kártya, a biztonsági zónák lezárásához szükségesek, a rendszer: Cryptex Kontroller panel szoftver által: adatot kezel tárol ki-mikor melyik zónán haladt keresztül-ez biztonsági problémák esetében vissze ellenőrizhető.
Bérszámfejtést + könyvelést belsőleg oldjuk meg, külső szolgáltató felé adat nem kerül kiadásra. Használt program: Babér Bérprogram – adatállománya belső szerveren tárolt. A programot szükség szerint fejleszti: SOFT Consulting Hungary Zrt. – amely könyvelési adatainkat nem érinti, nem kezeli.
A Társaság a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként:
A Társaság nem folytat adatfeldolgozói tevékenységet, csupán a munkatársak személyes adatit kezeli a felvétel-kijelentés jogi procedúrája, havi bérszámfejtés…stb… véget-amit Horváth Györgyné könyvelő végez el helyben; aki így adatfeldolgozóként szerepel.
A Társaság honlapja: www.bepe.hu sütiket ’cookikat’ használ.
Amennyiben meglátogat valaki egy weboldalt, az adatokat tárolhat és nyerhet ki a saját böngészőről, főleg sütik formájában. Ezek az adatok érinthetik a kereső személyt, a preferenciákat, eszközöket, és legfőképp arra használják őket, hogy az oldalak az elvárt módon működjenek. Ezek az adatok általában nem alkalmasak a személyes azonosításra, de arra igen, hogy személyre szabott élményt nyújthassanak. A legtöbb cookikat használó oldal esetében be lehet állítani, hogy mely sütiket engedélyezzük!
Működéshez szükséges sütik:
Ezek a sütik szükségesek a weboldal működéséhez és nem kapcsolhatóak ki a rendszerekben. Ezek általában csak olyan tevékenységekre válaszként kerülnek beállításra, amik szolgáltatás kéréseként értelmezhetőek, mint például az adatvédelmi beállítások módosítása, bejelentkezés vagy űrlapok kitöltése. Beállítható a böngészőben, hogy letiltsa vagy figyelmeztessen ezekről a sütikről, de ebben az esetben az oldal bizonyos részei nem fognak működni. Ezek a sütik nem tárolnak személyes azonosításra alkalmas adatokat.
(pl.: Google (NID, CONSENT, P_JAR, HSID, APISID, SAPISID, SID, SIDCC, SSID))
Teljesítmény sütik:
Ezek a sütik teszik lehetővé, hogy oldallátogatásokat és forgalomforrásokat számoljanak, hogy mérhessék és növelhessék az oldalak teljesítményét. Segítenek felmérni, hogy melyik oldalak leg- vagy legkevésbé népszerűbbek, illetve hogy a látogatók hogyan mozognak az oldalon. Az ezen sütik által gyűjtött adatok összesítettek és anonimizáltak. Ha nem engedélyezzük ezeket a sütiket, nem fogják tudni mikor meglátogatjuk a keresett oldalt, és nem fogják tudni monitorozni az oldal teljesítményét.
(pl.: Google Analytics (_ga, _gat, _gid))
Jogszerűség, tisztességes eljárás és átláthatóság
A Személyes Adatokat jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell kezelni.
A Személyes Adatokat a Társaság akkor kezeli jogszerűen, ha a Társaság az Adatkezelést megfelelő jogalap alapján végzi. Ha a Társaság a szerződés teljesítéséhez szükséges Személyes Adatokat kezeli, akkor az Adatkezelés akkor jogszerű, ha a jogalap a szerződés teljesítése. Nem jogszerű az Adatkezelés azonban ebben az esetben, ha a Társaság a Személyes Adatokat hozzájárulás alapján kezeli.
A Személyes Adatokat a Társaság akkor kezeli tisztességesen, ha az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. A tisztességesség elve korlátot szab az Adatkezelési tevékenységek folytatásának, annak figyelembevételével, hogy az Érintett „nem pusztán tárgya, hanem alanya az Adatkezelésnek”. Így a Társaság nem tévesztheti meg az Érintettet az Adatkezelés során, nem bocsáthat ki megtévesztő tartalmú tájékoztató anyagot.
A Személyes Adatokat a Társaság akkor kezeli átláthatóan, ha a Társaság az Érintettet teljes körűen tájékoztatja az Adatkezelésről, az Érintett jogairól, valamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az Érintett a Társaság által kezelt Személyes Adataival a jogszabályi kereteken belül rendelkezhessen. Az átláthatóság elve továbbá megköveteli, hogy a Társaság valamennyi adatkezeléssel kapcsolatos intézkedését megfelelően dokumentálja.
Célhoz kötöttség
A Személyes Adatokat meghatározott, egyértelmű és jogszerű célból kezelheti a Társaság. Ezzel a céllal össze nem egyeztethető módon nem kezelheti a Társaság a Személyes Adatokat. A Társaság nem kezelhet továbbá Személyes Adatokat meghatározott cél nélkül vagy jövőbeli felhasználás érdekében.
A Társaság az Adatkezelés célját az Adatkezelés megkezdése előtt világosan, a törvényekkel összhangban meghatározza oly módon, hogy a célt nem túl tágan fogalmazza meg. A Társaság az Adatkezelés céljáról tájékoztatja az Érintetteket annak érdekében, hogy az Érintettek megalapozott döntést tudjanak hozni az Adatkezelésről.
A Társaság a célhoz kötöttségnek történő megfelelés érdekében szükséges lépéseket átgondolja, dokumentálja és megteszi.
Ha a Társaság ugyanazon Személyes Adatokat több egymáshoz nem kapcsolódó adatkezelési célból kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el. Egymáshoz nem kapcsolódó adatkezelési célok – többek között – egy nyereményjátékra való regisztráció és azt követően hírlevél küldése az Érintett részére.
Adattakarékosság
A Társaság a konkrét Adatkezelési cél szempontjából megfelelő, releváns és szükséges Személyes Adatokat kezeli.
A Társaság valamennyi Adatkezelés esetén megvizsgálja, hogy az Adatkezelési cél megvalósítható lenne-e egyéb módon, ami a magánszférát kevésbé sérti. A Társaság már az Adatkezelés megtervezésénél figyelembe veszi, hogy a Személyes Adatok kezelése a konkrét Adatkezelési cél megvalósításához szükséges-e, azzal arányos-e, van-e bármilyen egyéb mód arra, hogy az Adatkezelési célt elérje a Társaság.
Pontosság
A Társaság a Személyes Adatok pontosságát biztosítja az Adatkezelés céljára figyelemmel, illetve amennyiben szükséges gondoskodik arról, hogy a Személyes Adatok naprakészek legyenek. Ha a Személyes Adatok az Adatkezelés célja szempontjából pontatlanok, akkor a Társaság a Személyes Adatokat helyesbíti vagy – ha a helyesbítésre nincs mód – akkor törli.
A Társaság megtesz mindent annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat egyéb személyes információkat tartalmaznak, azokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.
Korlátozott tárolhatóság
A Társaság a Személyes Adatokat olyan formában tárolja, hogy az az Érintettek azonosítását csak a Személyes Adatok kezelése céljának eléréséhez szükséges mértékben tegye lehetővé.
A Társaság a Személyes Adatok tárolási idejére vonatkozó listát készít, amely lista alapján az egyes Személyes Adatok törlésének idejét nyomon követi. A Társaság a listát rendszeres időközönként felülvizsgálja.
Amikor a Személyes Adatok kezelésének célja megvalósul, akkor a Társaság a Személyes Adatokat törli. A Személyes Adatok törlését pedig írásban rögzíti.
Integritás és bizalmas jelleg
A Társaság olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a Személyes Adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a Személyes Adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.
A Társaság biztosítja, hogy a papír alapon vagy elektronikusan tárolt Személyes Adatokhoz csak az arra jogosult személy férjen hozzá a Társaság szervezetén belül, illetve harmadik személy e Személyes Adatokhoz jogosulatlanul ne férjen hozzá.
A Társaság biztosítja, hogy egy esetleges adatvédelmi incidens esetén a Személyes Adatok kellő időben visszaállíthatók legyenek.
Elszámoltathatóság
A Társaság felelős azért, hogy valamennyi fenti alapelvnek megfeleljen. A Társaság továbbá felelős azért, hogy képes legyen igazolni a fenti alapelveknek való megfelelést. A Társaság anyagi felelősséggel tartozik az adatvédelmi alapelvek végrehajtásáért.
A Társaság – többek között – a következő intézkedéseket teszi meg az alapelveknek való megfelelés és annak igazolhatósága érdekében:
A Társaság az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg.
Hozzájárulás feltételei
Hozzájáruláson alapuló Adatkezelés esetén a Társaságnak mindenkor képesnek kell lennie arra, hogy igazolja, hogy az Érintett a Személyes Adatainak kezeléséhez hozzájárult.
A hozzájárulás csak akkor fogadható el a Rendeletnek megfelelő hozzájárulásnak, ha érthető, megfelelő tájékoztatáson alapul, világos és egyszerű nyelvezettel van megfogalmazva. Bármely a fenti feltételeknek meg nem felelő hozzájárulás sérti a Rendelet előírásait és kötelező erővel nem bír.
Ha az Érintett a hozzájárulását olyan nyilatkozatban adja meg, amely más ügyre is vonatkozik, akkor a Személyes Adatok kezelésére vonatkozó hozzájárulás iránti kérelmet a más ügyekre vonatkozó nyilatkozatoktól külön kell kérni, annak érthető és könnyen hozzáférhető formában kell tartalmaznia a hozzájárulás kérését és azt világos és egyszerű nyelvezettel kell megfogalmazni. Amennyiben a hozzájárulást tartalmazó nyilatkozat bármely része nem felel meg a Rendelet előírásainak, akkor az kötelező erővel nem bír.
Az Érintett jogosult a hozzájárulását bármikor visszavonni, azonban a hozzájárulás visszavonása nem teszi jogszerűtlenné a hozzájárulás visszavonását megelőző időszakban folytatott Adatkezelési tevékenységet, amennyiben az jogszerű hozzájáruláson alapult. A hozzájárulás visszavonására a Társaságnak olyan egyszerű formában kell lehetőséget biztosítania a Társaság részére, mint amilyen egyszerű formában lehetőséget biztosított a hozzájárulás megadására.
A Társaság az alábbi hozzájáruláson alapuló adatkezelési tevékenységeket végzi:
Az Érintettek az alábbi (6.1-6.9 pontokban részletezett) jogokkal rendelkeznek:
A Társaság az Érintett részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást (oktatást) nyújt a Személyes Adatok kezelése tekintetében.
A Társaság a tájékoztatást írásban, elektronikusan vagy más módon nyújtja. A Társaság a tájékoztatást szabványosított ikonokkal is kiegészítheti a jól látható, könnyen érthető és jól olvasható formájú általános tájékoztatás érdekében (elektronikusan megjelenített ikonoknak géppel olvashatónak kell lennie). Amennyiben az Érintett kéri, akkor a Társaság szóban is tájékoztatást nyújt, amennyiben az Érintett személyazonosságát – megfelelő okmányok bemutatásával – igazolta.
A Társaság az Érintett jogainak gyakorlását elősegíti. Ha az Érintett elektronikus úton nyújt be kérelmet, akkor a kérelmet elektronikus úton válaszolja meg a Társaság, kivéve, ha az Érintett másként nem kéri.
A Társaság az Érintettet a beérkezett kérelem alapján tett intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatja. A 30 napos határidő legfeljebb további 60 nappal meghosszabbítható a kérelem összetettségére és a kérelmek számára tekintettel. A Társaság tájékoztatja az Érintettet a kérelem beérkezésétől számított 30 napos határidőn belül, amennyiben a határidő meghosszabbításra kerül.
Ha a Társaság nem tesz intézkedést a kérelem beérkezésétől számított 30 napon belül, akkor a Társaság tájékoztatja a kérelem beérkezésétől számított 30 napos határidőn belül az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamelyik felügyeleti hatóságnál és élhet bírósági jogorvoslat jogával.
A Társaság az Érintett által benyújtott kérelem teljesítését csak akkor tagadhatja meg, ha bizonyítja, hogy az Érintettet nem áll módjában azonosítani.
A Társaság az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja. Amennyiben az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, akkor a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy ésszerű összegű díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. Amennyiben erre sor kerül, a Társaságnak kell bizonyítania, hogy az Érintett kérelme megalapozatlan vagy túlzó.
Ha a Társaságnak megalapozott kétségei vannak a kérelmet benyújtó személy kilétével kapcsolatban, akkor az Érintett személyazonossága megerősítéséhez szükséges további információkat kérhet.
Tájékoztatáshoz való jog
A Társaság tájékoztatást nyújt az Érintettek részére az alábbiak szerint a jelen pont (iii) és (iv) alpontjában foglalt tartalommal:
a Személyes Adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb 30 napon belül;
ha a Személyes Adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
ha várhatóan más Címzettel is közlik az adatokat, legkésőbb a Személyes Adatok első alkalommal való közlésekor.
Ha a Társaság az eredeti Adatkezelési céltól eltérő célból további Adatkezelést kíván végezni, akkor valamennyi további Adatkezelést megelőzően tájékoztatja az Érintettet az új Adatkezelési célról, valamint valamennyi (iii) szerinti releváns kiegészítő információról.
A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat az Érintettől gyűjti:
az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;
az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
adott esetben a Személyes Adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a Személyes Adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
a Személyes Adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;
hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott Adatkezelés jogszerűségét;
felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
arról, hogy a Személyes Adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a Személyes Adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat harmadik személytől gyűjti:
az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei (ha van ilyen);
az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
az érintett Személyes Adatok kategóriái;
a Személyes Adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
adott esetben annak ténye, hogy az Adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás;
a Személyes Adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;
hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
felügyeleti hatósághoz címzett panasz benyújtásának joga;
a Személyes Adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben
az Érintett már rendelkezik az információkkal;
a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet vonatkozó rendelkezésében foglalt feltételek és garanciák figyelembevételével végzett Adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen Adatkezelés céljainak elérését (az Adatkezelőnek ebben az esetben megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében);
az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
a Személyes Adatoknak szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
A Társaság az alábbiak szerint jár el a megfelelő tájékoztatás nyújtása érdekében:
Az Adatvédelmi Felelős feladatkörébe tartozik a tájékoztatás nyújtása.
Az Adatvédelmi Felelős valamennyi adatkezelési tevékenység megkezdését megelőzően átgondolja, hogy az adatkezelési tevékenység tekintetében fennáll-e tájékoztatási kötelezettsége.
Amennyiben a Társaságnak tájékoztatási kötelezettsége áll fenn, akkor a Társaság elkészíti a jelen 6.1. pont (iii), valamint (iv) alpontjában foglaltak szerint az adatkezelési tevékenységre vonatkozó tájékoztatót.
Az Adatvédelmi Felelős, valamit a Társaság ügyvezetője szükség esetén külső jogi tanácsadóval konzultál a tájékoztató elkészítése tekintetében.
Hozzáféréshez való jog
Az Érintett jogosult tájékoztatást kérni és kapni arról, hogy a Társaság a kérelem beérkezésekor kezeli-e a Személyes Adatait.
Ha a Társaság a kérelmet benyújtó Érintett Személyes Adatait kezeli a kérelem beérkezésekor, akkor az Érintett jogosult a következő információkhoz hozzáférni:
Ha a Társaság a Személyes Adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az Érintett a megfelelő garanciákra vonatkozó tájékoztatásra is jogosult.
A Társaság ingyenesen az Érintett rendelkezésére bocsátja az Adatkezelés tárgyát képező Személyes Adatokat. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait.
További másolatok igénylése esetén a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy ésszerű összegű díjat számíthat fel.
A Társaság az alábbiak szerint jár el a hozzáféréshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős biztosítja a hozzáférési jog érvényre juttatását.
Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül ellenőrzi, hogy a Társaság kezeli-e a kérelmező személyes adatait.
Amennyiben a Társaság nem kezeli a kérelmező személyes adatait, akkor az Adatvédelmi Felelős további 5 (öt) napon belül tájékoztatást nyújt a kérelmező részére arról, hogy a Társaság nem kezeli a személyes adatait.
Amennyiben a Társaság a kérelmező személyes adatait kezeli, akkor az Adatvédelmi Felelős az ellenőrzést követően, de a kérelem beérkezésétől számított legfeljebb 30 napon belül a következő lépéseket teszi meg a kérelem megválaszolása érdekében:
Az Adatvédelmi Felelős tájékoztatást nyújt a kérelmező részére az alábbiakról:
Az Adatvédelmi Felelős a kérelmező Társaság rendelkezésére álló személyes adatairól másolatot ad át a tájékoztatással egyidejűleg a kérelmező részére.
Helyesbítéshez való jog
A Társaság az Érintett kérése esetén – indokolatlan késedelem nélkül – helyesbíti az Érintettre vonatkozó pontatlan vagy hiányos Személyes Adatokat.
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a helyesbítéshez való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
A Társaság az alábbiak szerint jár el a helyesbítéshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős biztosítja a helyesbítéshez való jog érvényre juttatását.
Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül ellenőrzi, hogy a helyesbíteni kért személyes adatok milyen folyamatokban szerepelnek.
Az Adatvédelmi Felelős a pontatlan vagy hiányos adatokat a kérelmező kérésének megfelelően a folyamatban lévő ügyekben, illetve a jövőre nézve helyesbíti. Az Adatvédelmi Felelős a helyesbített adatokról minden olyan címzettet tájékoztat, akivel, vagy amivel a Társaság az adott, helyesbíteni kért személyes adatot közölte. Az Adatvédelmi Felelős a helyesbíteni kért adatok helyesbítéséről a kérelmezőt tájékoztatja.
Törléshez való jog
A Társaság az Érintett kérése esetén – indokolatlan késedelem nélkül – törli az Érintettre vonatkozó Személyes Adatokat.
A Társaság törli a Személyes Adatokat, amennyiben az alábbi pontokban foglaltak valamelyike fennáll:
Amennyiben a Társaság nyilvánosságra hozta a Személyes Adatot és azt törölni köteles, akkor – az elérhető technológia és a megvalósítás költségeinek figyelembe vételével – megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa a Személyes Adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük az adott Személyes Adatra mutató linkek vagy e Személyes Adatok másolatának, illetve másodpéldányának törlését.
A Társaság nem törli azonban a Személyes Adatokat és nem tesz lépéseket a Személyes Adatokat kezelő Adatkezelők tájékoztatása érdekében, amennyiben az Adatkezelés szükséges:
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a törléshez való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
A Társaság az alábbiak szerint jár el a törléshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős biztosítja a törléshez való jog érvényre juttatását.
Az Adatvédelmi Felelős a kérelem beérkezésétől számított 10 (tíz) napon belül a következő lépéseket teszi meg a kérelem teljesítése érdekében:
Amennyiben a fent felsorolt valamely törlési ok fennáll és az adatkezelést egyik fenti kivétel sem alapozza meg a kérelmező által törölni kért személyes adat(ok) tekintetében a Társaság a kérelmező kérésének megfelelően törli a törölni kért személyes adatokat, és a személyes adatok törléséről tájékoztat valamennyi olyan címzettet, aki/amely részére a személyes adatok továbbításra kerültek.
Amennyiben azonban a kérelmező által törölni kért személyes adatok kezelése a fent felsorolt bármely okból szükséges, akkor a Társaság nem törli a kérelmező által törölni kért személyes adatokat, hanem azokat a nyilvántartásaiban megőrzi. Ebben az esetben az Adatvédelmi Felelős tájékoztatja a kérelmezőt, hogy a kérelmező által törölni kért személyes adatok Társaság által történő megőrzése a fent felsorolt mely ok alapján szükséges.
A kérelmező kérése esetén tájékoztatást nyújt az Adatvédelmi Felelős arról, hogy a kérelmező személyes adatait mely címzettek részére továbbította.
Adatkezelés korlátozásához való jog
A Társaság korlátozza a Személyes Adatok kezelését, amennyiben az Érintett erre irányuló kérelmet nyújt be a Társaság részére és valamelyik alábbi pontban foglalt feltétel teljesül:
A Társaság Személyes Adatok kezelésének korlátozása esetén a Személyes Adatokat a tárolás kivételével csak az Érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez vagy más természetes személy vagy jogi személy jogainak védelme érdekében vagy fontos közérdekből kezelheti.
A Társaság az Érintettet előzetesen tájékoztatja a Személyes Adatok kezelése korlátozásának feloldásáról, amennyiben a Személyes Adatok kezelésének korlátozására korábban sor került.
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett az Adatkezelés korlátozásához való jogát gyakorolta, akivel vagy amivel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
Az Adatvédelmi Felelős gondoskodik a Társaságon belül arról, hogy a kérelmező korlátozáshoz való jogát érvényre juttassa.
Az Adatvédelmi Felelős a kérelem beérkezésétől számított legfeljebb 10 (tíz) napon belül megvizsgálja, hogy az adatkezelés korlátozásának a jelen 6.5. pontban foglalt feltétele fennáll-e.
Amennyiben valamely korlátozási ok fennáll, a Társaság korlátozza a személy adat(ok) kezelését; a korlátozásáról a Társaság részéről az Adatvédelmi Felelős a kérelmezőt tájékoztatja.
Adathordozhatósághoz való jog
Az Érintett megkaphatja a rá vonatkozó, általa a Társaság rendelkezésére bocsátott Személyes Adatokat tagolt, széles körben használt, géppel olvasható formátumban, továbbá továbbíthatja ezeket az adatokat egy másik Adatkezelőnek anélkül, hogy ezt akadályozná a Társaság, ha:
Az Érintett kérheti, hogy a Társaság a Személyes Adatait másik Adatkezelő részére közvetlenül továbbítsa.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a Személyes Adatok törléséhez való jogot. Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.
Az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
A Társaság végez hozzájáruláson vagy szerződésen alapuló adatkezelést, azonban a személyes adatok kezelésére nem automatizált módon kerül sor.
Az adathordozhatósághoz való joggal kapcsolatos kérések esetén a Társaság részéről az Adatvédelmi Felelős tájékoztatja a kérelmezőt, hogy a Társasághoz benyújtott adathordozhatósághoz való joggal kapcsolatos kérésének a Társaság nem tud eleget tenni, mivel nem végez automatizált módon történő adatkezelést.
Tiltakozáshoz való jog
Az Érintett bármikor tiltakozhat saját helyzetével kapcsolatos okokból a Személyes Adatainak kezelése ellen, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A Társaság az Érintett tiltakozása esetén nem kezelheti tovább a Személyes Adatokat, kivéve, ha a Társaság bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Közvetlen üzletszerzés érdekében történő Adatkezelés esetén az Érintett bármikor tiltakozhat a Személyes Adatai üzletszerzési célból történő kezelése ellen (üzletszerzés érdekében folytatott profilalkotás esetén is). Az Érintett tiltakozása esetén a Személyes Adatok üzletszerzési célból a Társaság nem kezelheti a tiltakozást követően.
Az Érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
Ha a Személyes Adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó Személyes Adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Az Adatvédelmi Felelős gondoskodik arról, hogy a Társaság a tiltakozáshoz való jog érvényre juttatására vonatkozó kérelemmel kapcsolatban eljárjon.
Az Adatvédelmi Felelős a kérelem beérkezésétől számított legfeljebb 10 (tíz) napon belül a kérelem teljesítése érdekében megvizsgálja az adatkezelés célját.
Jogos érdeken alapuló adatkezelés
Az Adatvédelmi Felelős megvizsgálja, hogy az adatkezelést indokolják-e olyan kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, vagy amelyek a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. A kényszerítő erejű jogos okok tekintetében az Adatvédelmi Felelős megtekinti a Társaság által korábban lefolytatott érdekmérlegelési tesztben foglaltakat, illetve amennyiben korábban érdekmérlegelési teszt lefolytatása nem történt meg, akkor elkészíti az érdekmérlegelést[1] abban a tekintetében, hogy az Adatkezelő vagy a harmadik fél érdekei elsőbbséget élveznek-e a kérelmező érdekeivel, jogaival vagy szabadságaival szemben.
Ha a vizsgálat eredményeként az Adatvédelmi Felelős arra jut, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, vagy a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, akkor a Társaság folytatja a személyes adatok kezelését. Ellenkező esetben a Társaság megszünteti a személyes adatok kezelését, azaz törli a személyes adatokat.
Adatkezelés közvetlen üzletszerzés érdekében
Amennyiben az adatkezelés közvetlen üzletszerzés érdekében történik, az Adatvédelmi Felelős megvizsgálja, hogy a Társaság a kérelmező személyes adatait más célból is kezeli-e. Amennyiben kizárólag közvetlen üzletszerzés érdekében kezeli a törölni kért személyes adatokat, akkor az e célból történő adatkezelést megszünteti, azaz a személyes adatokat törli. Ha nem kizárólag közvetlen üzletszerzés érdekében kezeli a Társaság a kérelmező személyes adatait, akkor a Társaság kizárólag a közvetlen üzletszerzési célból történő adatkezelést szünteti meg és ezen adatkezelési cél tekintetében kezelt személyes adatokat törli.
Adatkezelés tudományos és történelmi kutatási célból vagy statisztikai célból
Amennyiben a kérelmező a saját helyzetével kapcsolatos okokból tiltakozik az adatkezelés ellen az Adatvédelmi Felelős megvizsgálja, hogy az adatkezelésre tudományos és történelmi kutatási célból vagy statisztikai célból kerül-e sor, illetve közérdekű okból végzett feladat végrehajtása érdekében van-e szükség az adatkezelésre.
Ha az adatkezelés közérdekű okból végzett feladat végrehajtása érdekében szükséges, akkor a személyes adatok kezelése elleni tiltakozásra nem jogosult a kérelmező. A Társaság részéről az Adatvédelmi Felelős tájékoztatja a kérelmezőt e tényről.
Ha az adatkezelés közérdekű okból végzett feladat végrehajtása érdekében nem szükséges, akkor a Társaság a kérelmező tiltakozási jogának teljesítése érdekében törli a személyes adatokat.
A Társaság értesíti a kérelmezőt a kérelem beérkezésétől számított 30 (harminc) napon belül arról, hogy a fenti folyamat eredményeként arra jutott, hogy a kezelt személyes adatokat törli vagy nem törli.
Panasztételhez való jog
Az Érintett jogosult a felügyeleti hatóságnál panasszal élni, ha megítélése szerint a rávonatkozó Személyes Adatok kezelése megsérti a Rendeletet.
Az Érintett egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül jogosult panaszt benyújtani a felügyeleti hatósághoz.
Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog
Az Érintett jogosult bírósági jogorvoslatra, ha megítélése szerint a Személyes Adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.
Szervezetünk adatot nem továbbít, kivételt képez el alól a jogszabályi megfelelés érdekében végzett adat továbbítás, amelyek közül rendszeres:
[1] Az érdekmérlegelési teszt elkészítéséhez a mintát jelen Szabályzat tartalmazza.
Kockázatok azonosítása és értékelése
A Társaság felméri, hogy az általa kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből potenciálisan milyen kockázatok erednek.
A Társaság a fentiek szerint azonosított kockázatokat azok felmerülésének valószínűsége és a Személyes Adatok biztonsága szempontjából meghatározott súlyossága szerint besorolja.
Adatbiztonsági követelmények kialakításának szempontjai
A Társaság a Személyes Adatok biztonságát a fenti pont szerint azonosított kockázatok mérséklése érdekében a következő szempontok figyelembe vételével alakítja ki:
tudomány és technológia állása;
megvalósítás költségei;
adatkezelés jellege, hatóköre, körülményei és céljai;
természetes személyek jogai és szabadságai.
Adatbiztonságot szolgáló intézkedési lehetőségek
A Társaság a megállapított kockázatok és a fenti pont szerinti szempontok figyelembevételével – többek között – az alábbi intézkedések hajtja végre a Személyes Adatok biztonsága érdekében:
Az Adatkezelő továbbá biztosítja, hogy az Adatkezelőnél, illetve az Adatfeldolgozónál a Személyes Adatokhoz hozzáférő személyek a Személyes Adatokat kizárólag az Adatkezelő utasításának megfelelően kezelhessék. E személyek akkor kezelhetik a Személyes Adatokat az Adatkezelő utasításától eltérően, ha őket az Európai Unió vagy az Európai Unió tagállamának joga erre kötelezi.
Adatbiztonság megvalósulása a Társaságnál
A Társaság a felsorolt adatkezelési tevékenységekkel kapcsolatban kezel személyes adatokat, ide értve a személyes adatok gyűjtését, adatbázisban tárolását, bizonyos azonosító okmányokról készült másolatok őrzését.
A Társaság az általa kezelt személyes adatokkal kapcsolatban az alábbi kockázatokat azonosítja és az azonosított kockázatokat az alábbiak szerint értékeli:
Esemény | Kockázat | ||
azonosítás | bekövetkezésének valószínűsége | súlyossága | |
Véletlen megsemmisítés | időlegesen nem elérhető | 2 | Alacsony |
Jogellenes megsemmisítés | időlegesen nem elérhető | 1 | Alacsony |
Elvesztés | idegen hozzáférés lehetséges | 2 | Alacsony |
Megváltoztatás | Téves adat jelentése | 2 | Alacsony |
Jogosulatlan nyilvánosságra hozatal | Idegen hozzáférés | 1 | Alacsony |
Jogosulatlan hozzáférés | Célzott adatlopás, idegen hozzáférés | 2 | Alacsony |
(A kockázat valószínűségét és súlyosságát a Társaság 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)
A Társaság a fenti táblázat szerinti értékek megadása során az alábbi szempontokat mérlegelte:
A Társaság működése során nem került sor adatok véletlenszerű megsemmisítésére, mivel a Társaság munkavállalói tisztában vannak azzal, hogy mennyire fontos a gondos eljárás. A Társaságnál csak azon munkavállaló fér hozzá az egyes személyes adatokat tartalmazó dokumentumokhoz, amely munkavállalónak a személyes adatokkal feladata van (Ügyvezető, Adatvédelmi felelős, Könyvelés), így tisztában van azzal, hogy az adott személyes adatot tartalmazó dokumentumot hol és mennyi ideig kell őrizni.
A Társasághoz a működése során nem törtek be, onnan semmilyen dokumentumot nem távolítottak el, a számítógépes rendszerbe sem történt illetéktelen behatolás, a rendszer védett, így a korábbi tapasztalatok azt mutatják, hogy a Társaságnál alacsony a kockázata a személyes adatok véletlen megsemmisítésének, illetve jogellenes megsemmisítésének.
A személyes adatokat tartalmazó dokumentumok akkor vannak az elvesztés kockázatának kitéve, amikor azokat esetleg postai úton küldené a Társaság. A Társaság felügyeletén kívül eső körben a Társaság nem tud gondoskodni arról, hogy a személyes adatokhoz idegenek ne férjenek hozzá –de ilyen jellegű folyamat sem jellemző!
A Társaságnál a megváltoztatás kockázata az elektronikusan kezelt és tárolt személyes adatok körében merülhet fel. A Társaság adott személyes adatokhoz hozzáférő munkavállalói esetlegesen abban a helyzetben vannak, hogy a személyes adatokat megváltoztassák, de erre semmilyen érdek nem vezérelhet, mivel ezen munkatársak egyben a cég tulajdonosai + a Könyvelés-akiknek jogszabályok szerint kell eljárniuk.
Szervezetünk belső szervert használ, a szerver szoba elzárt, riasztóval védett. Felhőben nem tárolunk adatokat.
A Társaság hosszú idő óta, megbízható munkavállalókkal dolgozik, akik a Társaság érdekeit tarják szem előtt, továbbá a korábbi tapasztalatok is azt mutatják, hogy a személyes adatok megváltoztatására nagyon ritkán került sor.
A Társaság papír alapon és elektronikusan kezeli a munkavállalással kapcsolatos adatokat, valamint a szerződéses (megrendelők, beszállítók) partnerei adatait. A Társaság helyiségeibe nem történt betörés vagy egyéb módon illetéktelen behatolás, így személyes adatokhoz nem fért hozzá idegen személy.
A Társaság munkavállalói közül azon személyek férnek hozzá a személyes adatokat tartalmazó dokumentumokhoz, akiknek ez a feladataik elvégzéséhez szükséges. A Társaság az egyes munkavállalók feladatai meghatározása során alakította ki, hogy mely munkakörben foglalkoztatott munkavállaló, mely dokumentumokhoz fér hozzá, továbbá a több éves gyakorlat is kialakult a tekintetben, hogy mely dokumentumok szükségesek a feladatok ellátásához. A hosszú ideje fennálló munkaviszonyra tekintettel a munkavállalók a Társaság érdekeit tartják szem előtt, így a társaság álláspontja szerint alacsony annak a kockázata, hogy olyan személyes adatokat tartalmazó dokumentumokhoz kívánnának hozzáférni, amelyekhez nem férhetnek hozzá.
A szervezet biztonsági zónákat hozott létre, a munkatársak ezen zónákban korlátozottan közlekedhetnek, a Cyprex kontroller panel szoftver ezen mozgásokat rögzíti. Külső fél az irodába (ahol az adatok 98%-tárolt) csak a fogadó által történő beengedés után tud bejutni, illetéktelen besurranás nem történhet!
Szervezetünk kamerarendszert használ, nemmegfelelőségek 3 napig visszanézhetőek, munkatársak ill. külső partnerek számára piktogram, ill. tájékoztató jelzi a kamerarendszer használatát, amely egy tervezett külső behatolás kockázatát csökkenti. A kamerarendszer számára biztosított adat tárolós szintén a szerverteremben található, amely elzárt, ill. riasztóval ellátott.
Szervezetünk riasztó rendszert használ, az egyes zónák külön is riaszthatóak. Riasztó jelzése a Multi Alarm Kft.-hez bekötött, jelzés alapján területi kiszállás történik, riasztás esetén kapcsolható IT eszközről: pl.: okos telefonról is elérhető a kamera képe – jogosultsággal az Ügyvezető bír.
A Társaság a Személyes Adatok biztonsága érdekében a következő intézkedéseket teszi:
A Társaság a papír alapon tárolt szerződéseket, illetve Személyes Adatot tartalmazó egyéb dokumentumokat: zárt irodában, a zárt irodában szekrényben tárolja – itt alapvetően az Ügyvezető, Könyvelő, Adatvédelmi felelős, Adminisztrációs munkatársak tartózkodnak. A személyes adatokat tartalmazó papír alapú dokumentumokhoz más nem férhet hozzá.
A Társaság tulajdonában álló számítógépet kizárólag a Társaság tevékenysége végzéshez használják/használhatják. A számítógépek a Társaság helyiségeiben találhatóak, jelszavas védelemmel vannak ellátva.
A Társaság a számítógépein végpontvédelmet használ (tűzfal és spam szűrő) védi a külső behatolások ellen, továbbá a Társaság számítógépeire vírusellenőrző programot telepítettünk. Számítógépeket, laptopokat külső szakképzett informatikus ellenőrizheti – külön felkérés alapján, távoli elérés biztosított.
A számítógépeken futó Windows operációs rendszer letölti a frissítéseket az operációs rendszer biztonsági réseinek megoldása érdekében.
A használt számítógépen munkafolyamatokhoz és egyéb folyamatokhoz tartozó adat nem jellemző. Számítógépek hálózatba kötöttek –szerveren kell dolgozni, adatot menteni.
Levelezés: info@bepe.hu cím a megadott céges kapcsolati e-mail cím, + a munkatársak által használt kiosztott céges e-mail címek. Munkatársak egyéb magán e-mail címei ügyfeleknek, egyéb külső 3. fél számára nem kiadott.
Adatvédelmi Incidens
Adatvédelmi Incidens történik, ha a Személyes Adatok biztonsága olyan sérülést szenved, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi Incidens bejelentése
A Társaság az Adatvédelmi Incidenst indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával azt követően, hogy az Adatvédelmi Incidensről tudomást szerzett bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az Adatvédelmi Incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a Társaság az Adatvédelmi Incidenst annak tudomására jutásától számított 72 órán belül nem jelenti be, akkor a későbbi bejelentéssel egyidejűleg igazolja a késedelem indokait.
A Társaság a bejelentésben legalább az alábbiakat ismerteti:
az Adatvédelmi Incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
az Adatvédelmi Incidensből eredő, valószínűsíthető következményeket;
az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Adatvédelmi Incidens nyilvántartása
A Társaság nyilvántartja az Adatvédelmi Incidenseket, amelyek olyan Személyes Adatokat érintenek, amelyek tekintetében a Társaság Adatkezelőként jár el. A Társaság az Adatvédelmi Incidensekről készült nyilvántartásban a következőket tűnteti fel:
Adatvédelmi Incidenshez kapcsolódó tények;
Adatvédelmi Incidens hatásai;
Adatvédelmi Incidens orvoslására tett intézkedések.
Érintettek tájékoztatása az Adatvédelmi Incidensről
A Társaság indokolatlan késedelem nélkül tájékoztatja az Érintetteket valamennyi olyan Adatvédelmi Incidensről, ami olyan Személyes Adatokat érint, amely tekintetében a Társaság Adatkezelőként jár el, és amely valószínűsíthetően magas kockázattal jár a természetes személye jogaira és szabadságaira nézve.
A Társaság az Adatvédelmi Incidensre vonatkozó tájékoztatásban világosan és közérthetően nyújt tájékoztatást az alábbiakról:
Nem kell azonban az Érintetteket tájékoztatni, ha
Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor az Érintetteket nyilvánosan közzétett információk útján tájékoztatja a Társaság vagy olyan hasonló intézkedést hoz, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.
Az Adatvédelmi Felelős feladata, hogy az adatvédelmi incidens megtörténtét a Szabályzat részét képező nyilvántartásba felvegye, valamint az adatvédelmi hatóság felé bejelentse!
Adatvédelmi hatásvizsgálat
Ha az Adatkezelés valamely – különösen új technológiákat alkalmazó típusa – figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az Adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a Személyes Adatok védelmét hogyan érintik.
Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
A Társaság az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni, amennyiben a Társaság adatvédelmi tisztviselőt jelölt ki.
Az adatvédelmi hatásvizsgálatot – többek között – az alábbi esetekben kell elvégezni:
A hatásvizsgálat kiterjed legalább az alábbi pontokra:
A Társaság által végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy a Társaság teljesíti-e az általa jóváhagyott magatartási kódexek előírásait.
A hatásvizsgálatot nem kell lefolytatni, ha
kivéve, ha a tagállamok az Adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.
A Társaság 1.3 pontban felsorolt adatkezelési tevékenységeket végzi. A Társaság a Rendelet alapján nem köteles hatásvizsgálatot végezni az általa folytatott adatkezelési tevékenységek végzése tekintetében.
A Társaság szükség szerint, de legalább az Adatkezelési műveletek által jelentett kockázat változása vagy új Adatkezelési tevékenység megkezdése esetén ellenőrzést folytat le annak értékelése céljából, hogy a Személyes Adatok kezelése tekintetében adatvédelmi hatásvizsgálatot kell-e lefolytatni.
Előzetes konzultáció
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az Adatkezelés valószínűsíthetően magas kockázattal jár, a Személyes Adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett Adatkezelés megsértené a Rendeletet – különösen, ha az Adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az Adatkezelőnek és adott esetben az Adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja a Rendelet szerinti hatásköreit (utasíthatja az Adatkezelőt és az Adatfeldolgozót, hogy a szükséges tájékoztatást a részére megadja, vizsgálatot folytathat le adatvédelmi auditok formájában stb.).
Az előzetes konzultációra nyitva álló határidő– a tervezett Adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított 30 napon belül tájékoztatja az Adatkezelőt vagy adott esetben az Adatfeldolgozót a meghosszabbításról és a késedelem okairól.
A felügyeleti hatóság felfüggesztheti az írásbeli tanács adására vonatkozó időtartamot, valamint a hatáskörök gyakorlására vonatkozó időtartamot arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.
A Társaság a felügyeleti hatósággal folytatott konzultáció során a felügyeleti hatóságot tájékoztatja: