Adatkezelési szabályzat
Hatályos 2018. május 25-től
A PROOFIT Informatikai Kft. (a továbbiakban: Társaság) ügyvezetője
az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló – és 2018. május 25. napjától alkalmazandó – (EU) 2016/679 rendeletének (a továbbiakban: GDPR),
a GDPR által nem szabályozott körben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotörvény), valamint
a PROOFIT Informatikai Kft.-vel kapcsolatba kerülő természetes személy ügyfelek, illetve munkavállalóink, továbbá egyéb személyek személyes adatainak fokozott védelme, illetve ezen személyes adatok jogszerű, tisztességes és átlátható kezelése, valamint felhasználása módjának meghatározása céljából
a változó jogszabályi környezethez alkalmazkodás, és Társaságunk adatvédelem iránti elkötelezettsége, ezzel együtt ügyfeleink és üzleti partnereink irányába fennálló bizalom fenntartása érdekében
AZ ALÁBBI SZABÁLYZAT VÉGREHAJTÁSÁT RENDELI EL:
I. Adatkezelő adatai
Adatkezelő cégneve: PROOFIT Informatikai Kft.
Adatkezelő székhelye: 1112 Budapest, Törökbálinti út 24/A
Adatkezelő cégjegyzékszáma: 01-09-879856
Adatkezelő adószáma: 13919207-2-43
Adatkezelő telefonszáma
Adatkezelő elektronikus elérhetősége:
II. Fogalom-meghatározások
A jelen Szabályzat alkalmazásában:
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet (pl. gyűjtés, rögzítés, rendszerezés, lekérdezés, felhasználás, továbbítás, törlés), amelyet a Társaság üzletszerű gazdasági tevékenysége keretében végez;
- „adatkezelő”: a GDPR 4. cikk 7. pontjában meghatározott körben a Társaság;
- „adatvédelmi incidens”: a GDPR 4. cikk 12. pontjában meghatározott körülmény;
- „Hatóság”: a Nemzeti Adatvédelmi és Információszabadság Hatóság;
- „személyes adat”: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ, amelynek eredményeként a természetes személy közvetlen vagy közvetett módon, különösen valamely azonosító, így név, személyazonosításra alkalmas igazolvány adatai, helyadatok alapján egyedileg beazonosítható;
- „ügyfél”: a Társasággal üzletszerű gazdasági tevékenysége keretében végzett tevékenységére vonatkozóan kötelmi jogviszonyt létesítő természetes személy;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
III. Szabályzat célja és hatálya
- A jelen Szabályzat célja, hogy a Társaság valamennyi vezető tisztségviselője, illetve munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy tevékenysége során megtartsa az adatvédelemre vonatkozó mindenkor hatályos jogszabályi rendelkezéseket. A Társaság vezető tisztségviselői, munkavállalói, valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek a Társasággal kapcsolatba kerülő természetes személy ügyfelek és egyéb természetes személyek személyes adatainak kezelése alkalmával kötelesek a GDPR, az Infotörvény, valamint a jelen Szabályzat rendelkezéseinek mindenek felett álló megtartására.
- A Társaság a személyes adatok kezelése során köteles megtartani az adatkezelésre vonatkozó jogszabályokban meghatározott alábbi elveket (GDPR 5. cikk (1) bekezdés):
a) jogszerűség, tisztességes eljárás és átláthatóság: kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
b) célhoz kötöttség: gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés
c) adattakarékosság: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk
d) pontosság: pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék
e) korlátozott tárolhatóság: tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel
f) integritás és bizalmas jelleg: kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve
g) elszámoltathatóság: Az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
- A Társaság a beépített és alapértelmezett adatvédelem kívánalmának megfelelően valamennyi adatkezelési tevékenysége során az adatvédelem elveit, illetve az adatvédelemre vonatkozó mindenkor hatályos jogszabályi követelményeket megtartva jár el az elszámoltathatóság és a személyes adatok jogosultjai jogainak és szabadságainak védelme érdekében.
IV. Társaság által végzett adatkezelések
- A Társaság által végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. A Társaság személyes adatok vonatkozásában adatkezelésre csak akkor jogosult, ha arra jogcímmel rendelkezik.
- A Társaság személyes adatokon végzett adatkezelést, személyes adatok megismerését, gyűjtését vagy felhasználását csak abban az esetben jogosult végezni (akkor rendelkezik jogcímmel),
a) ha ahhoz a személyes adat jogosultja kifejezett hozzájárulását adta a személyes adatainak egy vagy több konkrét célból történő megismeréséhez és kezeléséhez;
b) amennyiben az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
c) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a személyes adatok jogosultja az egyik fél, vagy az a szerződés megkötését megelőzően a személyes adatok jogosultjának kérésére történő lépések megtételéhez szükséges;
d) amennyiben az adatkezelés a személyes adat jogosultjának vagy egy másik természetes személy létfontosságú érdekének védelme miatt szükséges, illetve a Társaság (vagy egy harmadik fél) jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha a Társasággal szemben elsőbbséget élveznek a személyes adat jogosultjának olyan érdekei és alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
- A Társaság adatkezelési tevékenysége során adatfeldolgozót igénybe vehet.
IV/A. [Ügyfelekkel kapcsolatban végzett adatkezelés]
- A jelen alfejezet szerinti adatkezelés célja:
a) a Társaság és a személyes adat jogosultja közötti, a Társaság üzletszerű gazdasági tevékenységével összefüggésben kötelmi jogviszony (pl. megbízási szerződés, adásvételi szerződés) létrehozása, fenntartása, e kötelmi jogviszonyból eredő jogok gyakorlása (pl. ellenérték követelése) és kötelezettségek teljesítése (pl. szerződésben vállalt szolgáltatás teljesítése);
b) a Társaság ügyféllel kapcsolatos jogos érdekének érvényesítése és védelme; továbbá
c) a Társaságot a kötelmi jogviszonnyal kapcsolatban – esetlegesen – terhelő jogi kötelezettség teljesítése.
- Az adatkezelés jogalapja:
a) Az érintett hozzájárulása, 6. cikk (1) bekezdés a) pont, az Infotv. 5. § (1) bekezdése,
b) Az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Elker tv.) 13/A. § (3) bekezdése: “A szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.”
- A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat jogosultja részéről megadott hozzájárulás megadásától kezdődően a kötelmi jogviszony megszűnését követő 5 év. Minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését követő 8 év.
- A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy elektronikus művelet.
- A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz a Társaság megfelelő jogcímmel rendelkezik. Amennyiben ez a jogcím a hozzájáruláson alapuló adatkezelés (14. a) pont), úgy az adatkezelés jogszerűségének feltétele, hogy a Társaság a jelen alfejezetben meghatározott rendelkezések figyelembevételével járjon el.
- Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: a személyes adatokat az adatkezelő értékesítési és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
- A Társaság az ügyfél – hozzájáruláson alapuló adatkezelés keretében – alábbi adatainak megismerésére és kezelésére jogosult:
a) a természetes személy személyazonosító adatai
b) a szerződéses jogviszony jellegétől függően a személyes adat jogosultjának bankszámlaszáma, illetve bankszámláját vezető pénzintézet neve, amennyiben azt a szerződés tartalmazza;
c) személyes adat jogosultjának elérhetősége (telefonszáma, email címe);
d) jogi személy fél esetén a jogi személy képviseletére jogosult természetes személy családi és utóneve; tisztsége; születési helye és ideje; anyja születési családi és utóneve; állandó lakcíme, ennek hiányában tartózkodási címe.
- A hozzájáruláson alapuló adatkezelés során a személyes adat jogosultját (ügyfelet) a Társaság a személyes adat jogosultjával létrehozandó kötelmi jogviszony létesítését megelőzően – az ügyféllel való első kapcsolatfelvétellel egyidőben – köteles tájékoztatni
a) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b) arról, hogy a kötelmi jogviszony csak abban az esetben jöhet létre, ha az ahhoz szükséges személyes adatainak Társaság általi megismeréséhez és kezeléséhez hozzájárul, illetve e hozzájárulás visszavonhatóságáról;
c) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d) a személyes adatok címzettjeiről, illetve kategóriáiról;
e) a személyes adat tárolásának tervezett idejéről;
f) a személyes adat jogosultját megillető jogokról;
g) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
A tájékoztatást a Társaság az 1. sz. melléklet felhasználásával és a személyes adat jogosultjának történő megküldésével, illetve részére történő hozzáférhetővé tétellel köteles teljesíteni.
- A Társaság a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A tájékoztatás megadása mellett a Társaság köteles a jelen Szabályzatot az ügyfél részére hozzáférhetővé tenni, kérésére elektronikus formában ügyfél elektronikus kézbesítési címére megküldeni.
- A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy a Társasággal kíván-e kötelmi jogviszonyt létrehozni. Az ügyfél hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) konkrét adatkezelésre (meghatározott – egy vagy több – kötelmi jogviszonnyal kapcsolatban) vonatkozik;
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
- A személyes adat jogosultjának hozzájárulásán alapuló adatkezelés feltétele, hogy a személyes adat jogosultja a személyes adatok kezeléséhez a Társasággal létrejövő jogviszonyát megelőzően a Társaság adatkezelési tájékoztatóját, a Társaság adatkezelésének célját, illetve az adatkezelés tényét, valamint a megismerni és kezelni kívánt adatok körét elismerje és az adatkezeléshez hozzájáruljon a Társaság számára a jelen Szabályzat 2. sz. melléklet tartalmával megegyező nyilatkozat aláírásával.
- A Társaság szerződéses kapcsolat esetén jogosult az ügyfél, mint személyes adatok jogosultja hozzájáruló nyilatkozatát a Társaság és az ügyfél között kötendő szerződés rendelkezései között megfogalmazni. Az ilyen rendelkezést tartalmazó szerződés aláírásával az ügyfél egyben személyes adatai Társaság általi megismerésére és kezelése vonatkozó hozzájáruló nyilatkozatát is megteszi.
- Az ügyfél hozzájáruló nyilatkozatában köteles megjegyezni, hogy a hozzájáruláson alapuló adatkezelés mellett kifejezetten megértette a Társaság arra vonatkozó tájékoztatását, hogy adatkezelésre a Társaság az ügyféllel kapcsolatban egyéb jogcímen is jogosult lehet.
- Amennyiben a személyes adatok jogosultja a személyes adatai kezeléséhez nem járul hozzá, vagy megtagadja a 2. sz. melléklet tartalmával megegyező tartalmú nyilatkozat aláírását, úgy a Társaság kötelmi jogviszonyt az érintett természetes személlyel nem létesíthet. A személyes adat jogosultja hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
- A Társaság köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával kötelmi jogviszonya bármely okból megszűnt, kivéve, amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult vagy amennyiben a személyes adatok megőrzését a Társaság számára jogszabály (pl. adójogi jogviszony) írja elő.
IV/B. [A munkaerő-felvétel során végzett adatkezelés]
- A Társaság munkaerő-felvétel során jogosult megismerni a Társaság által meghirdetett pozícióra jelentkező természetes személy pályázati anyagában megadott személyes adatait, amelyet közvetlenül vagy közvetve juttat el a Társasághoz. A jelentkező köteles erre vonatkozó hozzájárulását a jelen Szabályzat 4. sz. melléklet tartalmával megegyező nyilatkozat útján megtenni. A jelentkező hozzájárulása akkor tekinthető jogszerűnek, ha
a) az önkéntes;
b) pályázatának elbírálására vonatkozik;
c) megfelelő tájékoztatáson alapul;
d) egyértelmű akaratnyilatkozat.
A Társaság a munkaerő-felvételre jelentkező által tett hozzájárulási nyilatkozatot minden esetben jogszerűnek tekinti. A hozzájárulási nyilatkozat esetleges jogellenességét az érintett bizonyítja.
- A Társaság a munkaerő-felvétel céljából közzétett hirdetésben jogosult megjelölni, hogy a meghirdetett pozícióra jelentkező személy a jelentkezés tényével tudomásul veszi azt, hogy a pályázati anyagában megjelölt személyes adatai vonatkozásában a Társaság adatkezelést hajt végre, illetve hogy a pályázati anyagi megküldésével az érintett kifejezetten hozzájárul e személyes adatai Társaság általi megismeréséhez és kezeléséhez. A Társaság a jelentkező által megküldött pályázati anyag Társasághoz történő beérkezését követően köteles tájékoztatni a jelentkezőt a Társaság jelentkezővel kapcsolatos adatkezeléséről (a jelen Szabályzat 3. sz. mellékletét képező tájékoztatás révén), és – amennyiben hozzájáruló nyilatkozatot még nem tett – arról, hogy hozzájáruló nyilatkozatát milyen formában teheti meg. A hozzájáruló nyilatkozat megtételét megelőzően a Társaság a pályázati anyagban megjelölt személyes adatok megismerésére nem jogosult. A Társaság a kapcsolatfelvételt célzó email üzenetében köteles felhívni az érintett figyelmét arra, hogy a megküldött pályázati anyagában megjelölt személyes adatai vonatkozásában a Társaság adatkezelést hajt végre, illetve hogy az emailre adott – ilyen tartalmú – válaszával vagy olvasási visszaigazolásával kifejezetten hozzájárul ahhoz, hogy a Társaság e személyes adatait megismerje és kezelje.
- A Társaság a jelentkező pályázati anyagában meghatározott személyes adatokat kizárólag a munkaerő-felvétel céljából, a jelentkező alkalmasságának megállapítása érdekében ismerheti meg és kezelheti. Amennyiben az adott jelentkező vonatkozásában a munkaerő-felvétel sikertelen vagy a Társaság által tett ajánlatot a jelentkező elutasítja, úgy a Társaság – a hozzájárulási nyilatkozatot és annak adattartalmát leszámítva – a jelentkező valamennyi általa kezelt személyes adatát késedelem nélkül törölni köteles és erről előzetes köteles tájékoztatni a jelentkezőt. Ilyen esetben a Társaság a hozzájárulási nyilatkozatot jogos érdekének védelme és érvényesítése érdekében az általános elévülési idő leteltéig megőrzi. Amennyiben a munkaerő-felvétel sikeres, úgy a jelentkező által megadott azon adatok, amelyeket a munkáltató jogcím birtokában kezelhet, a munkavállalóról kezelt személyes adatok részét képezik azzal, hogy annak kezeléséhez a leendő munkavállaló – a munkaszerződés aláírását megelőzően – köteles hozzájárulni.
- A Társaság a jelentkezőről – a pályázati anyagában megadott személyes adatokon túl – egyéb forrásból személyes adatot nem szerezhet be és nem teheti a munkaerő-felvétel alkalmával szűrési feltételek részévé, kivéve, amennyiben a Társaság jogos érdekének érvényesítéséhez szükséges körben a jelentkező közösségi médiaprofiljának vizsgálata során olyan adat válik a Társaság számára hozzáférhetővé, amely a jelentkező pályázati anyagából hiányzik és az adott munkakör betöltése szempontjából releváns.
IV/C. [A Társaság vezető tisztségviselői, munkavállalói és a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek adatainak kezelése]
- A Társaság jogosult kezelni a Társaság vezető tisztségviselőinek, munkavállalóinak, valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek személyes adatait amennyiben az
a) adott személyes adat kezeléséhez a személyes adat jogosultja hozzájárult (pl. munkaerő-felvétel során megadott adatok további kezeléséhez való hozzájárulás, munkavállaló bankszámlaszáma a munkabér utalása céljából, végzettséget igazoló bizonyítvány másolata);
b) szerződés teljesítéséhez szükséges (pl. nyilvántartások vezetése);
c) jogszabályi kötelezettség teljesítése érdekében szükséges (pl. adózási kötelezettség teljesítése);
d) a Társaság (vagy a munkavállaló) jogos érdekeinek érvényesítéséhez szükséges.
- A jelen alfejezet szerinti adatkezelés célja: a Társasággal vezető tisztségviselői feladatok ellátására irányuló jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony létrehozása, fenntartása, e jogviszonyokból eredő jogok gyakorlása és kötelezettségek (pl. adóelőleg megfizetése) teljesítése, jogviszony megszüntetése.
- A jelen alfejezet szerinti adatkezelés időtartama:
a) jogszabályi kötelezettségként meghatározott adatkezelés esetén a vonatkozó jogszabályban meghatározott időtartam;
b) a személyes adat jogosultja részéről megadott hozzájárulást tartalmazó nyilatkozat aláírásától kezdődően a jogviszony megszűnését követő 5 évig;
c) minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését követő 8 évig.
- A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy elektronikus művelet. Az érintett a hozzájáruló nyilatkozat megtételével kifejezetten hozzájárul ahhoz, hogy a Társaság az érintett – vezető tisztségviselő jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony létesítéséhez, illetve fenntartásához, megszüntetéséhez szükséges és elengedhetetlen – személyes adatait tartalmazó okmányról, illetve egyéb iratról fénymásolatot vagy elektronikus másolatot készítsen, és a személyes adatok megőrzését e másolat megérzésén keresztül teljesítse. A Társaság az így készült másolatot az érintettre vonatkozó egyéb iratokkal együtt olyan helyen köteles megőrizni, ahol azokhoz illetéktelen személy nem férhet hozzá.
- A jelen alfejezet szerinti adatkezeléssel érintett személyes adatok köre:
a) az érintett családi és utóneve, születési családi és utóneve, születési helye és ideje, anyja születési családi és utóneve, lakcíme, illetve ennek hiányában tartózkodási címe, személyazonosító száma, személyazonosító igazolvány száma, adóazonosító jele, továbbá mindazon adatok, amelyeket – az érintett hozzájárulását nem igénylő módon jogszabályi kötelezettség teljesítéseként – a munkáltató Társaság megismerni és kezelni köteles, így különösen, de nem kizárólagosan a vezető tisztségviselő(k), munkavállalók vagy foglalkoztatottak személyi nyilvántartása, munkaidő nyilvántartása, szabadság nyilvántartása, bérnyilvántartás, utazási költségtérítés nyilvántartás, munkavédelmi oktatás nyilvántartás, egészségügyi alkalmassági nyilvántartás részét képező személyes adatok;
b) az érintett bankszámlájának száma, illetve a bankszámlát vezető pénzintézet neve, amennyiben a személyes adat jogosultja a munkabérét (egyéb ellenszolgáltatást) átutalás útján kéri megfizetni, a végzettséget igazoló bizonyítvány másolata és a vonatkozó személyes adat megismeréséhez kifejezett hozzájárulását adta;
c) amely egyébként a szerződés teljesítéséhez vagy a Társaság (illetve a foglalkoztatott) jogos érdekében (pl. tulajdonvédelem, kárfelelősség) érvényesítéséhez szükséges.
- A Társasággal vezetői tisztségviselői jogviszonyban, munkaviszonyban vagy foglalkoztatásra irányuló jogviszonyban álló egyéb természetes személyek kötelesek a Társaság által – e jogviszonyuk létesítéséhez, fenntartásához, megszüntetéséhez feltétlenül szükséges – személyes adataik kezeléséhez e jogviszony létrejöttét megelőzően hozzájárulni a jelen Szabályzat 6. sz. mellékletét képező nyilatkozat aláírásával.
A Társaság a 6. sz. mellékletben foglalt hozzájáruló nyilatkozat aláírását megelőzően köteles a személyes adat jogosultját tájékoztatni
a) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b) arról, hogy a vezető tisztségviselői jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony csak abban az esetben jöhet létre, ha az ahhoz szükséges személyes adatainak Társaság általi ismeréséhez és kezeléséhez hozzájárul;
c) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d) a személyes adatok címzettjeiről, illetve kategóriáiról;
e) a személyes adat tárolásának tervezett idejéről;
f) a személyes adat jogosultját megillető jogokról;
g) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
A Társaság a tájékoztatást az 5. sz. melléklet megfelelő alkalmazásával köteles teljesíteni.
- A Társaság a tájékoztatást tömören és közérthetően köteles megadni. A tájékoztatás megadása mellett a Társaság köteles a jelen Szabályzatot az vezető tisztségviselő, munkavállaló, Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy részére mindenkor hozzáférhetővé tenni, kérésére elektronikus formában a személyes adat jogosultja elektronikus kézbesítési címére megküldeni.
- A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy a Társasággal kíván-e vezető tisztségviselői jogviszonyt, munkaviszonyt vagy foglalkoztatásra irányuló egyéb jogviszonyt létrehozni. A személyes adat jogosultjának hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) a vezető tisztségviselői jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony létesítésére, fenntartására, e jogviszonyokból eredő jogok gyakorlására és kötelezettségek teljesítésére, jogviszony megszüntetésére vonatkozik.
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
- A Társaság köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával szemben a vezető tisztségviselői jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony bármely okból megszűnt, és az adatkezelés határideje letelt, kivéve, amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult, vagy a személyes adatok megőrzését a Társaság számára jogszabály (pl. adójogi jogviszony) írja elő, továbbá amennyiben annak kezelésére a Társaság jogos érdekének érvényesítése érdekében szükség van. Amennyiben a vezető tisztségviselő, munkavállaló vagy foglalkoztatásra irányuló jogviszonyban álló egyéb személy foglalkoztatásra irányuló szerződése versenytilalmi klauzulát tartalmazott, úgy e jogviszony megszűnését követően – a versenytilalmi klauzulában meghatározott időtartamra – a Társaság jogosult követni a személyes adat jogosultjának közösségi médiafelületét annak megállapítása érdekében, hogy a klauzulában meghatározott követelményeket az érintett megtartja-e. Amennyiben az érintett versenytilalmi kötelezettségeinek nem tesz eleget, a Társaság az e pontban meghatározott módon erre vonatkozóan megismert adatok felhasználására jogos érdekének érvényesítése céljából jogosult. Az adatok ilyen felhasználásához az érintett a jelen Szabályzat megismerésével és a 35. pontban megtett nyilatkozatával kifejezetten hozzájárul.
- A Társaság – az előző pontban meghatározottakon kívül – nem jogosult a vezető tisztségviselő, munkavállaló, vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy közösségi médiafelületeinek ellenőrzésére, illetve ilyen úton az érintettről adatok gyűjtésére. A Társaság az érintett kizárólagos kezelésében lévő, magáncélból használt közösségi médiafelületének Társaság érdekében történő felhasználását nem teheti kötelezővé (pl. ügyfélkör bővítése ismerősök útján).
- A polgári törvénykönyvről szóló 2013. évi V. törvény, valamint a munka törvénykönyvről szóló 2012. évi I. törvény rendelkezéseinek, valamint a Társaság érdekeinek figyelembevétele és a Társaság által végzett üzletszerű gazdasági tevékenység fenntartása érdekében a Társaság vezető tisztségviselői, munkavállalói és a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek az Eszközökön kizárólag a Társaság üzletszerű gazdasági tevékenységével összefüggő, munkaköri kötelezettség keretébe tartozó tevékenységet végezhetnek. Erre tekintettel e személyek tudomásul veszik, hogy az Eszközök által végzett naplózás, így a Társaság ilyen adatkezelése akkor is jogszerű, amennyiben az Eszköz olyan adatot naplóz, amely valamely vezető tisztségviselő, munkavállaló vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy magán- és családi életének része, az érintettek 35. pont szerinti nyilatkozatukkal ehhez kifejezetten hozzájárulnak. Annak megelőzése érdekében, hogy a tilalom ellenére a Társaság vezető tisztségviselőinek, munkavállalóinak, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyeknek olyan adatait kezelje a Társaság, amely a családi és magánélet része, a Társaság jogosult egyes weboldalak elérését, illetve szolgáltatások igénybevételét korlátozni az Eszközökön. Az ilyen korlátozást megfelelő időben és az érintettek körében tett megfelelő tájékoztatást követően jogosult végrehajtani. Az Eszközök magáncélú felhasználásának korlátozása körében a Társaság elrendelheti pl. a közösségi médiafelületek elérésének tiltását.
- A Társaság az otthoni és távmunka során jogosult az Eszközhöz, valamint a magáneszköz munkahelyi célú felhasználása esetén ezen eszköz által naplózott és az eszközt használó vezető tisztségviselőhöz, munkavállalóhoz, vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyhez kötődő adat megismerésére azzal a feltétellel, hogy az arányosság követelményét megtartva a Társaság az eszközökön tárolt magáncélú adatokat nem ismeri meg és az adatkezelése a személyes adat jogosultjának családi és magánéletét nem érinti.
- A Társaság a vezető tisztségviselőnek, munkavállalónak, valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személynek szóló tájékoztatásában köteles felhívni az érintett figyelmét arra, hogy – amennyiben a Társaság ilyennel rendelkezik – a Társaság által használatra átadott olyan Eszköz, amely – munkaidőn kívül is – helyadatot rögzít (pl. okostelefon, gépjármű), az Eszköz helyadatának megismeréséhez a Társaság kizárólag abból a célból jogosult, hogy az Eszköz helyét ellenőrizze vagyonvédelmi célból. Az ilyen adatkezelés munkaidőn kívül nem irányulhat arra, hogy a Társaság a vezető tisztségviselő, munkavállaló, vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy (feltételezett) tartózkodási helyadatát megismerje. A Társaság – amennyiben erre az adott Eszköz lehetőséget ad – köteles biztosítani, hogy munkaidőn kívül a használatra átadott Eszköz magáncélú felhasználása alkalmával az érintett az Eszköz helyadat szolgáltatását kikapcsolhassa.
IV/F. [Online látogatókkal kapcsolatos adatkezelés]
- A Társaság a www.proofit.hu honlap használatával, illetve e honlapon keresztül a hírlevél szolgáltatás [a szabályzat hatályba lépésének időpontjában nem működik] igénybevételére vonatkozó jelentkezéssel jogosult – az érintett önkéntesen, előzetesen meghatározott és konkrét adatkezelés (hírlevélszolgáltatás, illetve felhasználó előzmények rögzítése a felhasználó élmény növelése érdekében) céljából történő adatkezeléshez való hozzájárulásával – kezelni a honlapot látogató személyek (jelen alfejezetben a továbbiakban: Felhasználó) egyes személyes adatait.
- A Társaság kizárólag a Felhasználó előzetes hozzájárulásával jogosult a honlapon keresztül megadott személyes adatainak hírlevél szolgáltatás mint közvetlen üzletszerzés céljából történő felhasználására. Amennyiben a Felhasználó hozzájárul ahhoz, hogy megadott személyes adatait közvetlen üzletszerzés céljából a Társaság felhasználja, úgy az ilyen adatkezelés a hozzájárulás visszavonásáig illetve az utolsó hírlevél megnyitásától számított 2 évig érvényes.
- A Felhasználó a hírlevél szolgáltatás igénybevételére vonatkozó igényét a honlap „Feliratkozás” című parancsának aktiválásával, valamint igényelt személyes adatok megadásával jogosult jelezni. A Társaság által a hírlevélszolgáltatás igénybevételére vonatkozóan igényelt személyes adatok a következők:
a) a Felhasználó családi és utóneve;
b) a Felhasználó kezelésében álló elektronikus levelezési (email) cím;
c) a feliratkozás időpontja és a feliratkozási email cím (technikai művelet végrehajtásának céljából).
- Az adatkezelés célja: hasznos szakmai tartalmakat, tudásanyagokat, reklámot tartalmazó elektronikus üzenetek (e-mail, sms, push üzenet) küldése az érintett részére, tájékoztatás nyújtása az aktuális információkról, termékekről, akciókról, új funkciókról stb.
- Az adatkezelés jogalapja:
a) az érintett hozzájárulása, 6. cikk (1) bekezdés a) pont, az Infotv. 5. § (1) bekezdése
b) a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése: “A reklámozó, a reklámszolgáltató, illetve a reklám közzétevője – a hozzájárulásban meghatározott körben – a náluk hozzájáruló nyilatkozatot tevő személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.”
- A Felhasználó hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) a hírlevélszolgáltatás igénybevételére vonatkozik.
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
- A Társaság a hírlevél szolgáltatás igénybevételére vonatkozó igény leadását megelőzően köteles tájékoztatni a Felhasználót a jelen alfejezetben meghatározott és a Felhasználóval kapcsolatos adatkezelés rendjéről. A Felhasználó a tájékoztatás megadását köteles elismerni az elektronikus felületen történő – a jelen alfejezet értelmében végzett adatkezeléssel történő hozzájárulását tartalmú – nyilatkozat megtételével. A nyilatkozat megtételét az elektronikus felületen elhelyezett jelölőnégyzetben elhelyezett jelzés igazolja, és amely jelzés megtétele a hírlevél szolgáltatás igénybevételére vonatkozó igény Társaság részére történő megküldésének.
- Az adatkezelés az érintett hozzájárulásán alapul. Az érintett köteles a személyes adatokat megadni, ha hírlevelet szeretne kapni. Az adatszolgáltatás elmaradása azzal a következményekkel jár, hogy az adatkezelő nem tud az érintettnek direkt marketing küldeményt küldeni.
- Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: a személyes adatokat az adatkezelő értékesítési és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
- A Társaság fenntartja a jogot arra, hogy a hírlevél szolgáltatást adott Felhasználó vonatkozásában bármikor megszüntesse, amennyiben azt észleli, hogy a hírlevél szolgálatatást a Felhasználó a rendeltetési céljától eltérő célra, így különösen a Társaság üzletszerű gazdasági tevékenységével kapcsolatos jó hírnevének sérelmére használja.
- A Társaság nem küldhet kéretlen marketingüzeneteket és az érintett bármikor, ingyenesen leiratkozhat a hírlevélről / direkt marketing tevékenységről. Ilyen esetben a Társaság nem küldhet tövábbi ilyen célú üzeneteket és köteles az érintett erre vonatkozó adatait kitörölni. A Felhasználó által hírlevél szolgáltatás igénybevételére megtett hozzájárulását bármikor visszavonhatja a hírlevelekben jelzett „Leiratkozás a hírlevélről” című parancs aktiválásával.
- A hozzájárulás visszavonása a Társaság általi tudomásulvételtől függetlenül hatályos, és a visszavonást követően a Társaság hírlevél szolgáltatás nyújtására az adott Felhasználó vonatkozásában nem jogosult.
- A Szolgáltató kezelésében álló www.proofit.hu honlap a honlapra történő látogatás tényénél fogva a Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak megkönnyítése, a Felhasználó részére célzott reklám és egyéb célzott tartalom eljuttatása és piackutatás céljából. A sütik használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon megjelenő „Ez a weboldal sütiket (cookie-kat) használ” tájékoztató szöveg mellett, e hozzájárulás kinyilvánítására megadott „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon aktiválásával.
- A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának hiányában előfordulhat, hogy a honlap vagy annak egyes aloldalai nem működnek majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap megtagadhatja. A „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon mellett elhelyezett „További információt kérek” ikon aktiválásával a Felhasználót a weboldal az Adatkezelési Szabályzat weboldal használatával kapcsolatos része kivonatát tartalmazó aloldalára irányítja.
- A honlap használata során bizonyos felhasználói adatok automatikusan a Társaság kezelésébe kerülnek. Ezek a következő adatok:
a) Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító eszközének egyes adatai;
b) Felhasználó által használt IP cím
c) dátumok és időpontok
Ezen adatok kezelésének kizárólagos célja, hogy a Társaság honlap-látogatottsági adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat, továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja. Az ilyen adatkezelés jogalapja egyrészt a Felhasználó hozzájárulása, másrészt a Társaság jogos érdekének védelme. A Társaság az adatkezelésre vonatkozó tájékoztatást jelen alfejezet tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával, mint ráutaló magatartással adja meg a Társaság részére.
- Felhasználó kizárólagos felelősséggel tartozik azért, hogy a Társaság által üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. A Társaság nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
- A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat Társaság általi rögzítésétől számított 2 év.
Cookie típusa | Adatkezelés jogalapja | Adatkezelés időtartama | Kezelt adatkör |
Munkamenet cookie-k (session) | Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése | A vonatkozó látogatói munkamenet lezárásáig tartó időszak | connect.sid |
V. Igénybe vett adatfeldolgozók
- A Társaság tárhelyszolgáltató szolgáltatásait veszi igénybe, mely viszonteladói tárhelyszolgáltatást nyújt.
a) A weboldalakat használó valamennyi érintett által megadott személyes adatokhoz való hozzáférés, melynek célja a weboldal elérhetővé tétele, és megfelelő működtetése.
b) Az adatkezelés időtartama, az adatok törlésének határideje: az adatkezelés az adatkezelő és a tárhelyszolgáltató közötti megállapodás megszűnéséig, vagy az érintettnek a tárhelyszolgáltató felé intézett törlési kérelméig tart.
c) Az adatfeldolgozás jogalapja: a Felhasználó hozzájárulása, az Infotv. 5. § (1) bekezdése, 6. cikk (1) bekezdés a) pontja, illetve az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.
d) Adatfeldolgozó megnevezése és elérhetősége: Webber Digital Solutions Kft. Cím: 1085 Budapest, József körút 69. Telefon: +36 30 525 0954 E-mail: hello@webber360.com Web: https://webber360.com
- A Társaság hírlevél szolgáltatást is igénybe vesz, online hírlevél küldésére.
a) Adatfeldolgozó megnevezése és elérhetősége: MailChimp c/o The Rocket Science Group, LLC Cím: 675 Ponce De Leon Ave NE, Suite 5000 Atlanta, GA 30308 USA Web: https://mailchimp.com
VI. Közösségi oldalakkal kapcsolatos adatkezelés
67. A Társaság által kezelt adatok közé tartozik a Facebook /Google+ /Twitter /Pinterest /Youtube /Instagram stb. közösségi oldalakon regisztrált neve, illetve a felhasználó nyilvános profilképe, azoknak a természetes személyeknek, aki regisztrált a Facebook /Google+/Twitter /Pinterest /Youtube /Instagram stb. közösségi oldalakon, és „lájkolta” a weboldalakat. Az adatgyűjtés célja a közösségi oldalakon, a weboldal egyes tartalmi elemeinek, termékeinek, akcióinak vagy magának a weboldalnak a megosztása, illetve „lájkolása”, népszerűsítése.
68. Az adatkezelés a közösségi oldalakon valósul meg, így az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire az adott közösségi oldal szabályozása vonatkozik.
69. Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása személyes adatai kezeléséhez a közösségi oldalakon.
VII. Google AdWords és Google Analytics szolgáltatásokkal kapcsolatos adatkezelés
- Az adatkezelő használja a „Google AdWords” nevű online reklámprogramot, továbbá annak keretein belül igénybe veszi a Google konverziókövető szolgáltatását. A Google konverziókövetés a Google Inc. elemző szolgáltatása (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“)
a) Amikor a Felhasználó egy weboldalt Google-hirdetés által ér el, akkor egy a konverziókövetéshez szükséges cookie kerül a számítógépére. Ezeknek a cookie-knak az érvényessége korlátozott, és nem tartalmaznak semmilyen személyes adatot, így a Felhasználó nem is azonosítható általuk.
b) Amikor a Felhasználó a weboldal bizonyos oldalait böngészi, és a cookie még nem járt le, akkor a Google és az adatkezelő is láthatja, hogy a Felhasználó a hirdetésre kattintott.
c) Minden Google AdWords ügyfél másik cookie-t kap, így azokat az AdWords ügyfeleinek weboldalain keresztül nem lehet nyomon követni.
d) Az információk – melyeket a konverziókövető cookie-k segítségével a Google és az adatkezelő szerzett – azt a célt szolgálják, hogy a Google AdWords konverziókövetést választó ügyfeleinek számára konverziós statisztikákat készítsenek. Az ügyfelek így tájékozódnak a hirdetésükre kattintó és konverziókövető címkével ellátott oldalra továbbított felhasználók számáról. Azonban olyan információkhoz nem jutnak hozzá, melyekkel bármelyik felhasználót azonosítani lehetne.
e) Ha a Felhasználó nem szeretne részt venni a konverziókövetésben, akkor ezt elutasíthatja azáltal, hogy böngészőjében letiltja a cookie-k telepítésének lehetőségét. Ezután a Felhasználó nem fog szerepelni a konverziókövetési statisztikákban.
f) További információ valamint a Google adatvédelmi nyilatkozata az alábbi oldalon érhető el: https://www.google.de/policies/privacy/
- Az adatkezelő használja a Google Analytics alkalmazást, amely a Google Inc. („Google”) webelemző szolgáltatása. A Google Analytics úgynevezett „cookie-kat”, szövegfájlokat használ, amelyeket a Felhasználó számítógépére mentenek, így elősegítik a Felhasználó által látogatott weblap használatának elemzését.
a) A Felhasználó által használt a weboldalakkal kapcsolatos cookie-kkal létrehozott információk rendszerint a Google egyik USA-beli szerverére kerülnek és tárolódnak. Az IP-anonimizálás weboldali aktiválásával a Google a Felhasználó IP-címét az Európai Unió tagállamain belül vagy az Európai Gazdasági Térségről szóló megállapodásban részes más államokban előzőleg megrövidíti.
b) A teljes IP-címnek a Google USA-ban lévő szerverére történő továbbítására és ottani lerövidítésére csak kivételes esetekben kerül sor. A weboldalak üzemeltetőjének megbízásából a Google ezeket az információkat arra fogja használni, hogy kiértékelje, hogyan használta a Felhasználó a honlapot, továbbá, hogy a weboldal üzemeltetőjének a honlap aktivitásával összefüggő jelentéseket készítsen, valamint, hogy a weboldal- és az internethasználattal kapcsolatos további szolgáltatásokat teljesítsen.
c) A Google Analytics keretein belül a Felhasználó böngészője által továbbított IP-címet nem vezeti össze a Google más adataival. A cookie-k tárolását a Felhasználó a böngészőjének megfelelő beállításával megakadályozhatja, azonban felhívjuk figyelmét, hogy ebben az esetben előfordulhat, hogy ennek a honlapnak nem minden funkciója lesz teljes körűen használható. Megakadályozhatja továbbá, hogy a Google gyűjtse és feldolgozza a cookie-k általi, a Felhasználó weboldalhasználattal kapcsolatos adatait (beleértve az IP-címet is), ha letölti és telepíti a következő linken elérhető böngésző plugint. https://tools.google.com/dlpage/gaoptout?hl=hu
VIII. A személyes adatok jogosultjainak jogai
- Azokat a természetes személyeket, akinek a személyes adatait a Társaság – bármely oknál fogva – kezeli, a Társaság adatkezelését illetően a következő jogosultságok illetik:
a) tájékoztatáshoz való jog;
b) helyesbítéshez való jog;
c) elfeledtetéshez való jog;
d) adatkezelés korlátozásához való jog;
e) adathordozhatósághoz való jog;
f) tiltakozáshoz való jog.
- A személyes adat jogosultja a jelen fejezetben meghatározott jogát a Társasághoz eljuttatott kérelmével gyakorolhatja. A személyes adat jogosultja kérelmét elektronikusan, papír alapon egyetemes postai szolgáltatás igénybevételével, vagy papír alapon a Társaság székhelyén a Társaság képviseletére jogosult vezető tisztségviselőjének, munkavállalójának vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személynek történő átadással terjesztheti elő.
- A kérelem átvételére jogosult személy a kérelmet a beérkezését követően haladéktalanul köteles továbbítani azt a Társaság ügyvezetéséhez A Társaság ügyvezetése a kérelmet – annak kézhezvételét követően haladéktalanul megvizsgálja – és amennyiben azt állapítja meg, hogy az nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi megvizsgálását elutasítja. Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve jogosult személy terjesztette elő, a Társaság ügyvezetése a kérelmet érdemben megvizsgálja. A Társaság ügyvezetése a kérelem kézhezvételétől számított legkésőbb 30 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett intézkedésekről.
V/A. [Helyesbítéshez való jog]
- Amennyiben a Társaság pontatlanul vagy hiányosan kezeli a személyes adat jogosultjának valamely személyes adatát, úgy a jogosult kérheti a Társaságot, hogy a pontatlanul kezelt személyes adatot haladéktalanul helyesbítse, illetve a hiányosan kezelt személyes adatot haladéktalanul egészítse ki a jogosult által szolgáltatott és igazolt adatok alapján.
- A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a helyesbítés iránti kérelmét az 8. sz. melléklet megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság részére történő megküldésével terjesztheti elő. Amennyiben a személyes adatot közokirat (pl. hatósági igazolvány) tartalmazza, úgy a kérelmező köteles felmutatni, illetve másolatban a Társaság részére átadni a személyes adat tartalmát igazoló közokiratot.
V/B. [Elfeledtetéshez való jog]
- A személyes adatok jogosultja jogosult a Társaságtól kérni személyes adatainak törlését a Társaság valamennyi nyilvántartásából. A Társaság e kérelem beérkezését követően haladéktalanul törli a törölni kért személyes adatokat, ha az alábbi indokok egyike fennáll:
a) a személyes adatra nincsen szükség abból a célból, amely az adatkezelés alapját képezte;
b) a személyes adatok jogosultja adatkezeléshez hozzájáruló nyilatkozatát visszavonta, és az adatkezelésnek nincs egyéb jogalapja;
c) bebizonyosodik, hogy a személyes adatokat a Társaság jogellenesen kezelte;
d) jogszabályi kötelezettségnél fogva a Társaság köteles a személyes adatok törlésére.
- A személyes adat jogosultja a törlés iránti kérelmét a 9. sz. melléklet megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság részére történő megküldésével terjesztheti elő.
- A Társaság a személyes adat törlését megtagadhatja, amennyiben a GDPR 17. cikk (3) bekezdésében meghatározott körülmények valamelyike fennáll.
V/C. [Adatkezelés korlátozásához való jog]
- A személyes adatok jogosultja jogosult kérni a Társaságot, hogy személyes adataira vonatkozó adatkezelést korlátozza amennyiben:
a) a személyes adatok jogosultja vitatja a Társaság által gyűjtött és tárolt személyes adatai pontosságát, ezen adatok pontosságának vizsgálatára vonatkozó időtartamra; vagy
b) a Társaság által végzett adatkezelés jogellenes, és a személyes adatok jogosultja a gyűjtött és tárolt személyes adatainak törlését ellenzi; vagy
c) az adatkezelés célja megszűnt, és a Társaságnak nincs szüksége a gyűjtött és tárolt személyes adatokra, de a személyes adatok jogosultja jogi igénye előterjesztése, érvényesítése vagy védelme érdekében kéri a további (korlátozott) adatkezelést; vagy
d) a személyes adatok jogosultja tiltakozási jogával él, a tiltakozási jog jogszerűségének kivizsgálásának idejére.
- A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a korlátozás iránti kérelmét a 10. sz. melléklet megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság részére történő megküldésével terjesztheti elő.
- A korlátozás alá eső személyes adatot a Társaság kizárólag tárolni jogosult. A korlátozás alá eső személyes adaton adatkezelést végrehajtani a Társaság kizárólag a jogosult előzetes írásbeli hozzájárulása vagy jogi érdekének előterjesztése, érvényesítése vagy védelme érdekében, továbbá az Európai Unió vagy tagállama fontos közérdekéből jogosult.
- Amennyiben a személyes adat korlátozásának feltételei nem állnak fenn, úgy a Társaság a korlátozást feloldja, és erről előzetesen köteles tájékoztatni a személyes adatok jogosultját.
V/D. [Adathordozhatósághoz való jog]
- Az olyan személyes adat vonatkozásában, amelyet a Társaság a személyes adat jogosultjának hozzájárulása alapján automatizált módon kezel a személyes adat jogosultja kérheti a Társaságot, hogy az általa rendelkezésre bocsátott személyes adatait a Társaság elektronikus formátumban – a GDPR 20. cikk (1) bekezdésében meghatározottak szerint – a rendelkezésére bocsássa.
- A Társaság a gyűjtött és tárolt személyes adatok elektronikus formában történő átadásánál köteles figyelemmel lenni arra, hogy a személyes adatok jogosultja az elektronikus formában átadott gyűjtött és tárolt személyes adatait jogosult átadni másik adatkezelőnek, vagy a Társaságot felkérni arra, hogy e személyes adatokat közvetlenül küldje meg másik adatkezelőnek.
- A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) az adathordozás iránti kérelmét a 11. sz. melléklet megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság részére történő megküldésével terjesztheti elő.
V/E. [Tiltakozáshoz való jog]
- A személyes adat jogosultja tiltakozhat a személyes adatainak Társaság általi adatkezelése ellen, amennyiben a Társaság az adatkezelést a Társaság vagy harmadik fél jogos érdekének érvényesítése érdekében hajtja végre.
- A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a tiltakozás iránti kérelmét a 12. sz. melléklet megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság részére történő megküldésével terjesztheti elő.
- A tiltakozó nyilatkozat Társaság általi elfogadását követően a Társaság nem jogosult az érintett személyes adatot a Társaság vagy harmadik fél jogos érdekének érvényesítése érdekében kezelni, kivéve, ha a Társaság bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos ok igazolja, amelyek elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyik jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik
- Tiltakozás közvetlen üzletszerzés estén: ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon az rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
- Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást: az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely az érintettre nézve joghatással járna vagy hasonlóképpen jelentős mértékben érintené.
- Az előző bekezdés nem alkalmazandó abban az esetben, ha a döntés: –
a) Az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az a személyes adat birtokosának kifejezett hozzájárulásán alapul
- Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 30 naptári napon belül tájékoztatja Önt a fenti kérelmek nyomán hozott intézkedésekről.
- Szükség esetén ez további 60 naptári nappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 naptári napon belül tájékoztatja Önt.
- Ha az adatkezelő nem tesz intézkedéseket az Ön kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 naptári napon belül tájékoztatja Önt az intézkedés elmaradásának okairól, valamint arról, hogy Ön panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
IX. Az Adatvédelmi tisztviselő
- A Társaságnál folytatott adatkezelés – figyelemmel a 29. cikk szerinti munkacsoport iránymutatására – a GDPR 37-39. cikk szerinti adatvédelmi tisztviselő kinevezését nem indokolja.
X. Adatbiztonság és az adatok tárolásának rendje
- A Társaság az adatkezelést úgy hajtja végre, hogy a GDPR, valamint egyéb adatvédelmi jogszabályok megtartása mellett tiszteletben tartsa a személyes adat jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és szabadságait.
- A személyes adatok tárolására vonatkozó jelen Szabályzatban meghatározott rendelkezések egyaránt vonatkoznak a papír alapon, illetve elektronikus formában tárolt olyan személyes adatra, amelyek nyilvántartási rendszerének részét képezik, illetve amelyeket a Társaság részben vagy egészben automatizált módon kezel. A Társaság személyes adatok elektronikus tárolására a Társaság tulajdonában álló Eszközöket használ; a papír alapú nyilvántartásokat a Társaság tulajdonában vagy használatában álló olyan ingatlanokban vezeti, amelyeket a Társaság székhelyként, telephelyként vagy fióktelepként használ.
- A Társaság által adatkezelés érdekében gyűjtött és tárolt személyes adatok kizárólag a jelen Szabályzatban, illetve jogszabályban meghatározott célból, megfelelő jogcímmel kezelhetők.
- A Társaság által gyűjtött és tárolt személyes adatot olyan módon kell a Társaságnak megőrizni az adatkezelés idején, hogy illetéktelen személy azokhoz ne tudjon hozzáférni. A Társaság köteles biztosítani, hogy a gyűjtött és tárolt személyes adatot
a) illetéktelen harmadik személy nem ismerheti meg, férhet hozzá;
b) nem vetik alá jogosulatlan adatkezelésnek;
c) illetéktelen személy nem változtathatja meg, továbbíthatja, hozhatja nyilvánosságra, törölheti;
d) nem továbbítják a jelen Szabályzat VII. pontjától eltérően;
e) jogosulatlanul nem módosítják, illetve véletlenül vagy jogosulatlanul megsemmisítik, törlik, teszik hozzáférhetetlenné;
f) elvesztéstől, sérüléstől megóvja.
- A Társaság az adatkezelési, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében.
- A Társaság adatkezelési tevékenységéről nyilvántartást köteles vezet (Adatkezelési Nyilvántartás) a jelen Szabályzat 13. számú mellékletében meghatározott minta felhasználásával és a GDPR 30. cikkében meghatározott rendelkezések tiszteletben tartásával. A Társaság az Adatkezelési Nyilvántartást elektronikus formában köteles elkészíteni és papír alapon köteles tárolni olyan helyen, ahol illetéktelen személy ahhoz nem férhet hozzá.
XI. Adatok továbbításának rendje
- A Társaság nem jogosult az általa kezelt, őrzött személyes adatot más személynek továbbítani, vagy egyéb formában hozzáférhetővé tenni kivéve
a) amennyiben az adattovábbítást jogszabály írja elő (pl. statisztikai adatgyűjtés; munkáltatót terhelő adatszolgáltatási kötelezettség) és az adattovábbítás címzettjeként bíróság, hatóság vagy egyéb szerv a Társaság felé hivatalos megkeresését eljuttatja;
b) amennyiben az adattovábbításhoz az érintett kifejezett hozzájárulását adta, és az adattovábbítás címzettje a Társasággal kötelmi jogviszonyban lévő személy, továbbá az adattovábbítás a személyes adat jogosultja és a Társaság közötti kötelmi jogviszony teljesítése.
- A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet a jelen Szabályzat 14. sz. mellékletében meghatározott minta alapján, amely tartalmazza a Társaság által kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályokban meghatározott egyéb adatokat.
- A Társaság a 64. pontban meghatározott megkeresésre a megkeresésben meghatározott terjedelemben, a megkeresés teljesítéséhez szükséges mértékben biztosítja az általa tárolt személyes adatok továbbítását.
- A Társaság a 64. pontban meghatározott adattovábbítás szükségessége esetén köteles tájékoztatni a személyes adat jogosultját
a) az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
b) arról, hogy az adattovábbítással kapcsolatos tájékoztatás ismeréséhez és az adattovábbításhoz hozzájárul;
c) az adattovábbítás pontos céljáról, konkrét terjedelméről;
d) a személyes adat jogosultját megillető jogokról;
e) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
A személyes adat jogosultja konkrét adattovábbításhoz hozzájáruló nyilatkozatát a 11. a) pontban meghatározott nyilatkozattal egyidőben is megadhatja, amennyiben e nyilatkozat megtétele idején a konkrét adattovábbítás szükségessége már ismert. Adattovábbításra vonatkozó hozzájáruló nyilatkozatát a személyes adat jogosultja a 14. számú mellékletben meghatározott minta alapján köteles megtenni.
- A Társaság a 64. pontban meghatározott adattovábbítás teljesítése során kizárólag azon személyes adatok továbbítására jogosult, amely a kötelmi jogviszony teljesítéséhez elengedhetetlenül fontos és amelynek a továbbításához a személyes adat jogosultja kifejezett hozzájárulását megadta.
XII. Adatvédelmi incidens esetén követendő protokoll
- Adatvédelmi incidens – a GDPR 4. cikk 12. pontjával összhangban – a biztonság olyan sérülése, amely lehet
a) a bizalmasság sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat jogosulatlan közlése vagy az ahhoz való jogosulatlan hozzáférés;
b) a hozzáférés sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat véletlen vagy jogellenes megsemmisítése, elvesztése;
c) az integritás sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat megváltoztatása.
- Amennyiben a Társaság vezető tisztségviselője, munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy azt tapasztalja, hogy a Társaság által gyűjtött, tárolt személyes adatok vonatkozásában fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles a Társaság ügyvezetését erről tájékoztatni (a továbbiakban: Jelzés). Biztonság sérülése minden olyan körülmény, amelynek eredményeként a Társaság adatkezelő rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül adatvédelmi incidens bekövetkeztének a tényét is.
- A Társaság ügyvezetése a Jelzés megtételét követően haladéktalanul köteles megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjedni a biztonság sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára.
- A Társaság ügyvezetésének vizsgálata során elsődlegesen azt köteles megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben a Társaság ügyvezetése azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását megszünteti és a vizsgálata eredményéről jelentést készít és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti.
- Amennyiben a Társaság ügyvezetése azt állapítja meg, hogy a biztonság megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens történt-e. Amennyiben a Társaság ügyvezetése azt állapítja meg, hogy adatvédelmi incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti.
- Amennyiben a Társaság ügyvezetése azt állapítja meg, hogy a biztonság sérülésével egyidőben adatvédelmi incidens is történt, úgy köteles harmadsorban megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti.
- Amennyiben a Társaság ügyvezetése azt állapítja meg, hogy a biztonság sérülésével egyidőben az adatvédelmi incidens kockázatot jelent az érintett személyes adat jogosultjainak jogai és szabadságaira, úgy Társaság ügyvezetése azt köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készít és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni.
- Amennyiben a Társaság ügyvezetésének 99. pontban meghatározott vizsgálata azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira magas kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi incidensről tájékoztatni.
- A Társaság mint adatkezelő a 99., illetve a 100.. pontokban meghatározott bejelentési kötelezettségét indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens tudomására jutásától számított 72 órán belül köteles teljesíteni. A Társaság mint adatkezelő akkor jut az adatvédelmi incidens tudomására, amikor a Társaság ügyvezetése kellő bizonyossággal meg tudja állapítani a biztonság sérülésének tényét. A Társaság ügyvezetése a biztonság sérülése ténye megállapítását követően haladéktalanul köteles értékelni a helyzetet.
- Amennyiben a Társaság ügyvezetése a 101. pontban jelzett 72 órán belül nem tudja lefolytatni a 99 és 100. pontokban jelzett vizsgálatát, úgy köteles a határidőn belül megtenni a bejelentését, illetve tájékoztatását, és vizsgálatát köteles tovább folytatni. Amennyiben a 99 és 100. pontokban meghatározott vizsgálat eredménye a Társaság ügyvezetésének rendelkezésére áll, úgy arról kiegészítő bejelentést / kiegészítő tájékoztatást vagy módosító bejelentést / módosító tájékoztatást köteles tenni.
- A Társaság ügyvezetése a 99. és 100. pontokban meghatározott bejelentési kötelezettség a Hatóság által rendszeresített elektronikus űrlap kitöltésével, illetve Hatóságnak történő megküldésével, vagy egyéb tagállami adatvédelmi hatóság esetén ezen hatóság, illetve tagállami jog által meghatározott formában köteles teljesíteni. A bejelentésben a Társaság ügyvezetése a Társaság képviseletében a következő adatokat köteles megadni:
a) az adatvédelmi incidens típusa;
b) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak kategóriája;
c) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak (közelítő) száma;
d) az adatvédelmi incidenssel érintett személyes adatok típusa;
e) az adatvédelmi incidenssel érintett személyes adatok (közelítő) száma.
- A Társaság ügyvezetése a különböző adattípusban tartozó személyes adatokat érintő adatvédelmi incidensről külön-külön bejelentéseket köteles tenni.
- A Társaság ügyvezetése nem köteles bejelentést tenni, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést a Társaság ügyvezetése az eset összes körülményének figyelembevételével köteles teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni, valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni köteles.
- A Társaság ügyvezetése a 101. pontban meghatározott tájékoztatási kötelezettségét indokolatlan késedelem nélkül köteles teljesíteni a 16. számú mellékletben meghatározott minta felhasználásával. A kockázat jellegének értékelésére a 99-100. pontokban meghatározott vizsgálata során – az eset összes körülményére tekintettel – a Társaság ügyvezetése köteles. Ennek keretében a Társaság ügyvezetése köteles figyelembe venni többek között:
a) az adatvédelmi incidens típusát;
b) az adatvédelmi incidenssel érintett személyes adat típusát;
c) az adatvédelmi incidenssel érintett személyes adat érzékenységét;
d) az adatvédelmi incidenssel érintett személyes adatok mértékét;
e) az adatvédelmi incidenssel érintett természetes személy kiszolgáltatottságát.
Az adatvédelmi incidens révén a természetes személy jogaira és szabadságaira vonatkozó kockázat akkor magas, ha azzal a személyes adat jogosultját fizikai, anyagi és nem anyagi értelemben kár érheti.
- A Társaság ügyvezetése a következőkről köteles tájékoztatni a személyes adat jogosultjait:
a) az adatvédelmi incidens ténye, jellege;
b) a Társaság elérhetőségei;
c) az adatvédelmi incidens lehetséges következményei;
d) az adatvédelmi incidens eredményeként elállt magas kockázat mérséklésére és az incidens előtti állapot helyreállítására a Társaság mint adatkezelő által igénybe vett eszközök.
- A Társaság ügyvezetésének a tájékoztatását a személyes adatok jogosultjai által (köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül köteles megtenni olyan kommunikációs csatornán, amelyen a Társaság ügyvezetésének értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok jogosultjaihoz. A Társaság ügyvezetése egyszerre akár több kommunikációs formát is igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében.
- 124.A Társaság ügyvezetése a személyes adatok jogosultjainak szóló tájékoztatást akkor mellőzheti, ha
a) az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról másolat;
b) az adatvédelmi incidens lehetőségéről való tudomásszerzést követően haladéktalanul megtett intézkedések eredményeként a magas kockázat lehetősége fel sem került;
c) az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem tekinthető magasnak.
- A Társaság ügyvezetésének a 99-100. pontokban meghatározott bejelentési és tájékoztatási kötelezettsége teljesítésével egyidőben, a vizsgálat eredményének megismerését követően haladéktalanul köteles megtenni minden intézkedést, amely a biztonság sérülését és az adatvédelmi incidenst megszünteti. Ennek keretében a Társaság ügyvezetése– lehetőségeihez és a körülményekhez képest – köteles az adatvédelmi incidensben érintett személyes adatok integritását, hozzáférhetőségét, és bizalmasságát helyreállítani. A Társaság ügyvezetése a megtett intézkedéseiről jelentést köteles készíteni a Társaság legfőbb szerve részére a jelen Szabályzat 17. sz. mellékletében meghatározott minta felhasználásával.
- Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.
XIII. Jogorvoslat
- Amennyiben a személyes adat jogosultja a személyes adatai kezelése vonatkozásában azt tapasztalja, hogy a Társaság megsérti az adatvédelmi jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati kérelemmel fordulhat a területileg illetékes bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz.
- A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
Elektronikus elérhetőség: ugyfelszolgalat@naih.hu
Weboldal: http://naih.hu
XIV. Záró rendelkezések
- A jelen Szabályzat 2018. május 25. napjától hatályos. A Szabályzatot a hatályba lépését követően keletkező, illetve olyan már fennálló jogviszonyokra kell alkalmazni, amelyekben adatkezelés 2018. május 25. napját követően történik.
- A jelen Szabályzat hatályba lépéséről, illetve annak alkalmazásáról a Társaság köteles minden ügyfelét, illetve a Társasággal egyéb jogviszony létesítő természetes személy figyelmét felhívni, illetve a jelen Szabályzatot számukra köteles elérhetővé tenni.
- A tájékoztató elkészítése során figyelemmel voltunk az alábbi jogszabályokra:
a) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.)
b) 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.)
c) 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (főképp a 13/A. §-a)
d) 2008. évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról;
e) 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (különösen a 6.§-a)
f) 2005. évi XC. törvény az elektronikus információszabadságról
g) 2003. évi C. törvény az elektronikus hírközlésről (kifejezetten a 155.§-a)
h) 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IAB-ajánlásról
i) A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről
Budapest, 2018. május 24.
PROOFIT Informatikai Kft.
Kérje az ingyenes demó bemutató lehetőségét!
Részletesen válaszolunk minden kérdésére, és megosztjuk tapasztalatainkat.