Kosár
0
0 Ft
ADATVÉDELMI SZABÁLYZAT
Zolgertransz Kft (a továbbiakban: Szervezet) személyes adatai kezelésének biztosítása érdekében kiadom a Adatvédelmi és Adatbiztonsági Szabályzatot (a továbbiakban: Szabályzat). A Szabályzat célja, hogy a Szervezet a vonatkozó jogszabályok rendelkezéseivel összhangban szabályozza a Szervezet birtokában levő személyes adatok kezelésére, feldolgozására és védelmére vonatkozó általános kérdéseket.
Szabályzat tárgyi hatálya:
Jelen Szabályzat hatálya a Szervezet mindazon adatkezeléseire kiterjed,
amely:
- azon személyek adatait tartalmazza, akik a Szervezettel
ügyfélkapcsolatban álltak,
- azon személyek adatait tartalmazza, akik a Szervezettel
ügyfélkapcsolatba kívánnak lépni,
- azon személyek adatait tartalmazza, akik a Szervezettel
ügyfélkapcsolatban álló személyekhez oly módon kapcsolódnak, hogy személyes
adataik kezelése a Szervezet szolgáltatásához szükséges.
Időbeli hatály:
Jelen Szabályzat 2018.04.01. időponttól hatályos
Személyi hatály:
Jelen Szabályzat hatálya kiterjed a Szervezetre, azon személyekre, akik adatait
a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon
személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.
1.ÁLTALÁNOSRENDELKEZÉSEK
1.1.Értelmező rendelkezések a Szabályzat értelmezésében
1.1.1. Adatcsoport: Adatok, (azaz tények, koncepciók vagy utasítások formalizált
megjelenítése, rögzített jelsorozat, beszéd vagy technikai eszközökkel történő
közlés, értelmezés és feldolgozás számára. Jelen Szabályzatban írásban vagy
elektronikus úton készített - bármilyen adathordozón tárolt - szöveg,
számadatsor, tény, információ, vázlat, grafikon, kép és ábra) és adatkörök
összefoglaló elnevezése, általában nyilvántartási funkció alapján.
1.1.2. Adatállomány:
Az egy nyilvántartásban kezelt adatok összessége.
1.1.3. Adatfeldolgozás:
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése,
függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől,
valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az
adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen
minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit
az adatkezelő megbízása alapján az adatfeldolgozó végez.
1.1.4. Adatfeldolgozó:
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező
szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján -
beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok
feldolgozását végzi.
1.1.5. Adatgazda:
Egy adott szervezeti egységnél kezelt személyes adatok tekintetében a
szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által
kezelt valamennyi személyes adat jelen szabályzatnak megfelelő kezelésért
(továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt személyes adattal
kapcsolatos döntés meghozatala szükséges, és az érinti az Információ Biztonsági
Szabályzat szerinti adatgazda felelősségét, akkor a személyes adatgazda az
Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével
hozza meg döntését.
1.1.6. Adathordozó:
Az adat fizikai megjelenési formája, tárolási helye, ide értve az iratokat
is.
1.1.7. Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi
személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatai
kezelésével, helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet
nyújt be a Szervezethez.
1.1.8. Adatkezelés:
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy
a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése,
rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése,
továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása,
zárolása, törlése és megsemmisítése, valamint az adatok további
felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése,
valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy
tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében
adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések
meghozatala, utasítások kiadása.
1.1.9. Adatkezelő:
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező
szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének
célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt)
vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott
adatfeldolgozóval végrehajthatja.
1.1.10. Adatkör:
Az adatfajták nevesített felsorolása. A felhasználás szempontjából
funkcionálisan összetartozó üzleti adatok, azaz olyan halmaz, amely logikai
szinten egységesen kezelhető, illetve kezelendő és a halmaz elemeinek védelmi
igénye közel egy szinten van.
1.1.11.
Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes
fizikai megsemmisítése.
1.1.12. Adattovábbítás:Az adat meghatározott harmadik személy
számára történő hozzáférhetővé tétele.
1.1.13. Adattörlés:
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem
lehetséges.
1.1.14. Adatzárolás:
Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy
meghatározott időre történő korlátozása céljából.
1.1.15. Anonimizálás:
Olyan technikai eljárás, amely biztosítja az érintett és az adat közötti
kapcsolat helyreállítási lehetőségének végleges kizárását.
1.1.16. Érintett:
Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül
vagy közvetve - azonosítható természetes személy.
1.1.17. Harmadik
személy: Olyan természetes vagy jogi személy, illetve jogi
személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az
érintettel, az adatkezelővel vagy az adatfeldolgozóval.
1.1.18. Harmadik ország:
minden olyan ország, amely az Info tv. alapján nem (Európai Gazdasági Térség)
EGT-állam.
1.1.19. Hozzájárulás:
Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő
tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá
vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő -
kezeléséhez. A hozzájárulás - a különleges adatok kezelésére adott
hozzájárulást kivéve - nincs alakszerűséghez kötve, történhet kifejezett
nyilatkozattal és ráutaló magatartással is, azonban a hozzájárulásnak minden
esetben bizonyíthatónak kell lennie.
1.1.20. Irat:
Valamely szerv működésével, illetve személy tevékenységével kapcsolatban
írásban vagy elektronikus úton készített szöveg, számadatsor, vázlat, grafikon
és ábra.
1.1.21.
Kapcsolatfelvételi lista: Kizárólag a közvetlen üzletszerzés
céljából küldendő küldemények fogadásához való hozzájárulás beszerzése
érdekében az ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél
nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési
azonosítóját, nemét, születési helyét és idejét, az ügyfél érdeklődési körére
vonatkozó információt, valamint családi állapotát tartalmazó lista.
1.1.22. Közvélemény-kutató,
piackutató és közvetlen üzletszerző szerv: A Szervezet, illetve
a feladatkörrel rendelkező minden olyan szervezeti egysége, amely a
közvélemény-kutatást, a piackutatást és a direkt marketing tevékenységet
jogosult végezni.
1.1.23.Különlegesadat:
a)a
faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai
véleményre vagy pártállásra, vallásos vagy más világnézeti meggyőződésre,
érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes
adat,
b)az
egészségi állapotra, a kórós szenvedélyre vonatkozó személyes adat, valamint a
bűnügyi személyes adat.
1.1.24. Felügyeleti
Hatóság (a továbbiakban: Hatóság): Adatvédelmi jogszerüséget
ellenőrző szervezet.
1.1.25. Nyilvános adat:
Minden olyan tény, adat, információ, amelyek bárki számára hozzáférhetők.
Személyes adat nyilvánosságáról kizárólag törvény rendelkezhet.
1.1.26. Segédlet:
Minden olyan kezelési vagy kitöltési útmutató, kódjegyzék, számítási módszer,
amely a Szervezet által kezelt (feldolgozott) személyes adatok kezeléséhez,
feldolgozásához szükséges.
1.1.27. Személyes adat:
Az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító
jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági,
kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból
levonható, az érintettre vonatkozó következtetés.
1.1.28. Természetes
személyazonosító adatok: Az érintett családi- és utóneve,
születéskori neve, anyja neve, születési helye és ideje.
1.1.29. Tiltakozás:
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja,
és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
1.1.30. Tilalmi lista:
Azon érintettek név- és lakcímadatainak a nyilvántartása, akik megtiltották,
illetve - a közvetlen üzletszerző szerv erre irányuló előzetes megkeresése
ellenére - nem járultak hozzá, hogy személyes adataikat kapcsolatfelvétel vagy
üzletszerzési lista céljából felhasználják, vagy megtiltották azok e célból
történő további kezelését.
1.1.31. URL cím:
Uniform Resource Locator/egységes erőforrás-azonosító az interneten
megtalálható bizonyos erőforrások (például szövegek, képek) szabványosított
címe. Egységes forrásazonosító, az interneten használt címzési
szabványrendszer, megadja az információ elérésének módját, és az információ
pontos helyét a távoli számítógépen.
1.1.32. Üzletszerzési
lista: A reklámok közlése céljából a kapcsolatfelvételt és
kapcsolattartást szolgáló, kizárólag az ügyfél nevét, lakcímét, nemét,
születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt,
valamint családi állapotát tartalmazó lista.
1.1.33. Üzleti titok:
A Szervezet gazdasági tevékenységéhez kapcsolódó minden nem közismert vagy az
érintett gazdasági tevékenységet végző személyek számára nem könnyen
hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült
összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása,
másokkal való közlése vagy nyilvánosságra hozatala a Szervezet jogos pénzügyi,
gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, feltéve, hogy a
titok megőrzésével kapcsolatban a Szervezetet felróhatóság nem terheli.
1.1.34. Közérdekű adat:
Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban
meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és
tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben
keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy
formában rögzített információ vagy ismeret, függetlenül kezelésének módjától,
önálló vagy gyűjteményes jellegétől. Így különösen a hatáskörre,
illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak
eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a
működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
2.A
SZEMÉLYES ADATOK KEZELÉSE ÉS VÉDELME
2.1. Alapelvek és alapvető rendelkezések
2.1.1.Az adatkezelés célhoz kötöttsége
2.1.1.1.Személyes adatot kezelni csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében lehet (az adatkezelés célhoz kötöttségének elve). Az adatkezelésnek minden szakaszában meg kell felelnie a kitűzött célnak.
2.1.1.1.1.Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, továbbá személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
2.1.1.2.Az érintettet kérelmére - egyértelműen és részletesen -
tájékoztatni kell az adatai kezelésével kapcsolatos minden tevékenységéről, így
különösen az adatkezelő által kezelt adatok forrásáról, az adatkezelés céljáról
és jogalapjáról, az adatkezelésre és a feldolgozásra jogosult nevéről, címéről,
az adatkezelés időtartamáról, arról ha az érintett személyes adatait az
adatkezelő a 3.1. pont alapján kezeli, arról, hogy kik ismerhetik meg az
adatokat, az érintett adatát érintő adatvédelmi incidens körülményeiről,
hatásairól és az elhárítására megtett intézkedésekről, valamint - az érintett
személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és
címzettjéről. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel
kapcsolatos jogaira és jogorvoslati lehetőségeire is.
2.1.1.3.A
Szervezet gondoskodik arról, hogy az adatokhoz csak olyan munkavállalók,
adatfeldolgozók férhessenek hozzá, akik vagy amelyek adatkezelése,
adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósultnak
tekinthető.
2.1.1.4.A
célhoz kötöttség elve megvalósulásának vizsgálata minden esetben az illetékes
adatgazda feladata és felelőssége. Az adat kiadására vonatkozó kérések esetében
az adatkérőnek az adatkérés célját minden esetben meg kell jelölni, az
adatszolgáltató pedig köteles mérlegelni, hogy a kért adatok a megjelölt cél
eléréséhez elengedhetetlenül szükségesek-e. Az adatkérőnek kizárólag olyan adat
adható át, ami a cél eléréséhez elengedhetetlenül szükséges. Amennyiben az
adatkezelés célhoz kötöttsége kétséges, az adatgazda köteles a kérdésben a
belső adatvédelmi felelős állásfoglalását beszerezni.
2.1.2. Adatbiztonság
2.1.2.1.A Szervezet az adatkezelés során mindvégig köteles gondoskodni a
kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról
(adatbiztonság elve). Az informatikai rendszerekben megvalósuló adatkezelések
során a Szervezet mindenkor hatályos Információ Biztonsági Szabályzatát kell
alkalmazni minden olyan adatbiztonsági kérdésben, amelyre jelen Szabályzat nem
tartalmaz előírást.
2.1.2.2.Ennek
keretében az adatgazdák az adott szervezeti egység által kezelt személyes
adatok tekintetében kötelesek:
2.1.2.2.1.Az adatkezelés időtartama alatt az adatok biztonságos tárolása,
az időtartam lejártával az adatállomány törlése, fizikai megsemmisítése
érdekében a szükséges intézkedéseket megtenni.
2.1.2.2.2.Az
adatokat megfelelő intézkedésekkel védeni kell a jogosulatlan hozzáférés,
megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés a
véletlen megsemmisítés és sérülés, a Szervezet által alkalmazott technika
megváltoztatásából fakadó hozzáférhetetlenné válás ellen.
2.1.2.2.3.Gondoskodni
arról, hogy a jelen Szabályzatot, valamint a feladatkörükben kiadott külön, a
személyes adatok kezeléséről szóló rendelkezéseket az irányításuk alatt
dolgozók megismerjék és betartsák, illetve azt folyamatosan ellenőrizni;
2.1.2.2.4.Ellenőrizni,
hogy a szervezeti egységében kezelt adatok továbbításukat követően is olyan
adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki vagy amely az adatok biztonságos
kezeléséről megfelelően gondoskodni tud, ezzel összefüggő kérdésekben jogosult
kérni a belső adatvédelmi felelős állásfoglalását;
2.1.2.3.A
Szervezet valamennyi munkavállalója köteles a személyes adatokat tartalmazó
iratokat és a munkavégzéshez szükséges segédleteket a munkavégzés befejezését
követően - ahol biztosított - zárható lemez- vagy páncélszekrényben, biztonsági
zárral ellátott fiókban, szekrényben tárolni. Ahol ezek a feltételek nem
biztosítottak ott is törekedni kell az adatok legalább zárral ellátott fiókban,
szekrényben történő biztonságos tárolására. Az íróasztalokon a munkavégzés
befejezését követően személyes adatokat tartalmazó iratok tárolása tilos.
2.1.3. Tájékoztatás
2.1.3.1.Az érintett a Szervezettől tájékoztatást kérhet személyes adatai kezeléséről.
2.1.3.1.1.Az érintett a tájékoztatás elősegítése érdekében kérelmezheti a
betekintést a személyes adatait tartalmazó iratokba. Kivétel ez alól, ha az
irat
a)harmadik
személy(ek) adatait is tartalmazza,
b)minősített adatot vagy üzleti titkot tartalmaz,
c)döntés-előkészítéssel kapcsolatos, és a benne szereplő harmadik
személy(ek) adatainak felismerhetetlenné tétele aránytalan többletköltséggel
járna.
2.1.3.1.2.Amennyiben
az érintett megelégszik a személyes adatai kezeléséről szóló tájékoztatással, a
2.1.3.2. pont rendelkezéseit kell alkalmazni. Betekintés esetén, azt a
2.1.3.1.1. a) pont esetében kizárólag az érintett harmadik személy(ek)
hozzájárulásának, b) pont esetében minősített adat kapcsán a minősítő, üzleti
titok kapcsán pedig az üzleti titokgazda engedélyének birtokában
gyakorolható.
2.1.3.2.Az érintett kérelmére a Szervezet illetékes adatgazdája, üzleti titok kapcsán az üzleti titokgazda a belső adatvédelmi felelős útján tájékoztatást ad az általa kezelt, illetőleg feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, az érintett adatát érintő adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá arról, hogy kik (név; cím, illetőleg székhely) és milyen jogalap alapján, milyen célból kapják vagy kapták meg az adatokat. Amennyiben az érintett a tájékoztatás iránti kérelmet nem a belső adatvédelmi felelőshöz nyújtja be, a kérelmet átvevő adatgazda vagy üzleti titokgazda haladéktalanul köteles a belső adatvédelmi felelősnek továbbítani.
2.1.3.3. A belső adatvédelmi felelős a közvetlenül hozzá érkezett
tájékoztatás iránti kérelmeket haladéktalanul köteles intézkedés (a 2.1.3.2.
pontban foglaltak összeállítása) céljából az illetékes adatgazda, üzleti titok
kapcsán az üzleti titokgazda részére megküldeni.
2.1.3.4.Az
adatgazda, üzleti titok kapcsán az üzleti titokgazda a közvetlenül hozzá
érkezett tájékoztatás iránti kérelmekre, valamint a 2.1.3.3. pont alapján
megküldött kérelmekre köteles a kérelem hozzá történt megérkezésétől számított
legrövidebb idő alatt, legfeljebb azonban 7 napon belül, a belső adatvédelmi
felelősnek tájékoztatást - a 2.1.3.5.3. pont alapján a megtagadási döntését is
beleértve - megadni, az érintettnek történő válaszadás céljából írásban.
Amennyiben a kért adatokat már törölték, az adatgazda, üzleti titok kapcsán az
üzleti titokgazda a törlés tényéről is köteles tájékoztatni a belső adatvédelmi
felelőst a fenti határidőn belül és módon.
2.1.3.5.A
tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre,
szervezeti egységre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem
nyújtott be.
2.1.3.5.1.Egyéb esetekben a tájékoztatás megadásával együtt járó
költségeket az adatgazda, üzleti titok kapcsán az üzleti titokgazda határozza
meg, és az érintett köteles viselni. A költségtérítés mértékét a Szervezet és
az érintett közötti szerződés is tartalmazhatja. A kérelmező költségtérítés
mértékéről szóló tájékoztatását az adatgazda, üzleti titok kapcsán az üzleti
titokgazda értesítése alapján a belső adatvédelmi felelős végzi. A már
megfizetett költséget a kérelmezőnek vissza kell téríteni, ha az adatokat
jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A térítési
kötelezettség nem terjed ki a Szervezet munkavállalóira.
2.1.3.5.2.A
kérelmező tájékoztatását lehető legrövidebb időn belül, legfeljebb 25 napon
belül közérthető formában a belső adatvédelmi felelős végzi a 2.1.3.4. és a
2.1.3.5.1. pontok figyelembevételével.
2.1.3.5.3.Az
érintett tájékoztatását a Szervezet akkor tagadhatja meg:
a)ha a
Szervezet törvény, nemzetközi szerződés, vagy Európai Unió kötelező jogi
aktusának rendelkezése alapján személyes adatokat úgy vesz át, hogy az
adattovábbító adatkezelő egyidejűleg jelzi a személyes adat kezelésének
lehetséges célját, lehetséges időtartamát, lehetséges címzettjeit, az érintett
hatályos törvényben biztosított jogainak korlátozását vagy a kezelésének egyéb
korlátozását (együtt adatkezelési korlátozás), és a Szervezet azokat az
adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli, az érintett
jogait az adatkezelési korlátozásnak megfelelően biztosítja,
b)ha az
érintett hatályos törvényben biztosított jogait törvény korlátozza az állam külső
és belső biztonsága érdekében, így a honvédelem, a nemzetbiztonság, a
bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága
érdekében, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint
a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a
munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása
céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -,
továbbá az érintett vagy mások jogainak védelme érdekében.
2.1.3.5.4.A
belső adatvédelmi felelős a tájékoztatás megtagadása esetén írásban közli az
érintettel, hogy a felvilágosítás megtagadása a 2.1.3.5.3. pont mely
rendelkezése alapján került sor és egyben arról is tájékoztatást ad az
érintettnek, hogy a tájékoztatás megtagadása miatt jogorvoslattal a bírósághoz,
illetve a Hatósághoz fordulhat.
2.1.3.6.Az
érintettek tájékoztatásával kapcsolatos panaszok kivizsgálása a belső
adatvédelmi felelős feladata, amelynek határideje a hozzáérkezéstől számított
15 nap, de legfeljebb a Szervezethez érkezést követő 25 nap.
2.1.3.7.A
Szervezet általános adatkezelési tájékoztatója közzétételre kerül a
www.creppygastrobusiness.com oldal főoldaláról elérhető "adatvédelem"
menüpontban.
2.1.4.Az érintett előzetes tájékoztatásának követelménye
2.1.4.1.Az érintettel az adatkezelés megkezdése előtt az adatkezelést végzőnek közölni kell, hogy az adatkezelés hozzájáruláson alapul (önkéntes) vagy kötelező. Kötelező adatkezelés esetén nem szükséges az érintett hozzájárulásának a beszerzése és nem kell az érintettel adatvédelmi nyilatkozatot aláíratni, mert az adatkezelés jogalapja a törvényi felhatalmazás és nem az érintett hozzájárulása. Ebben az esetben is az érintettet tájékoztatni kell az adatkezelés jogalapjáról, tehát arról, hogy melyik jogszabály felhatalmazása alapján történik a személyes adatainak kezelése.
2.1.4.1.1.Az adatkezelés megkezdése előtt az adatkezelést végzőnek az
érintettet - kérés nélkül is - előzetesen egyértelműen és részletesen
tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így
különösen
a)az
adatkezelés kötelező, vagy hozzájáruláson alapuló voltáról,
b)az
adatkezelés céljáról és jogalapjáról (önkéntes vagy jogszabály által
kötelező),
c)az
adatkezelő személyéről, adatfeldolgozás esetén az adatfeldolgozó
kilétéről,
d)az
adatkezelés időtartamáról,
e)az
adattovábbítás címzettjeiről,
f)hozzájárulásos
adatfelvétel esetén a Szervezet a felvett adatokat törvény eltérő rendelkezése
hiányában fa) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy fb)
a Szervezet vagy harmadik személy jogos érdekeinek érvényesítése céljából (ha
ezen érdek érvényesítése a személyes adatok védelméhez fűződő jogok
korlátozásával arányban áll) történő kezeléséről és arról, hogy ezek fennállása
esetén további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának
visszavonását követően is kezelheti,
g)az
érintett jogairól: tájékoztatás az adatkezelésről, adatfelvételt követően
kérheti adatainak helyesbítését, valamint - a kötelező adatkezelés kivételével
- az adatainak törlését vagy zárolását, tiltakozhat a kezelés ellen,
h)jogorvoslati
lehetőségeiről: adatvédelmi hatósághoz, bírósághoz fordulás,
i)kik
ismerhetik meg az adatokat, valamint
j)a
szolgáltatás igénybevétele meghiúsulásáról, ha az ügyfél az ahhoz szükséges
személyes adatokat nem adja meg, illetve nem járul hozzá azok
kezeléséhez.
2.1.4.2. Kötelező
adatkezelés esetén a tájékoztatás megtörténhet a 2.1.4.1.1. pont szerinti
információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra
hozatalával is.
2.1.4.3.Ha az érintett(ek) személyes tájékoztatása lehetetlen vagy
aránytalan költséggel járna, a tájékoztatás az alábbi információk
nyilvánosságra hozatalával is megtörténhet:
a)az
adatgyűjtés ténye,
b) az
érintettek köre,
c) az
adatgyűjtés célja,
d) az
adatkezelés időtartama,
e) az
adatok megismerésére jogosult lehetséges adatkezelők személye,
f) az
érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek
ismertetése,
g) az
adatkezelés nyilvántartási száma, ha az adatkezelés adatvédelmi nyilvántartásba
vételének van helye, kivéve ha a Hatóság a nyilvántartásba vétel iránti
kérelmet nem bírálta el.
2.1.4.3.1.A 2.1.4.3. pontban meghatározottak végrehajtásáról az illetékes terület adatgazdája dönt, indokolt esetben a belső adatvédelmi felelős álláspontjának beszerzését követően.
3. AZ ADATKEZELÉS
RÉSZLETES SZABÁLYAI, A Szervezet ÁLTAL KEZELT ADATCSOPORTOK
3.1.
Az adatkezelés jogalapja
3.1.1.Személyes adat akkor kezelhető, ha
a)ahhoz
az érintett hozzájárul, vagy
b)azt
törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben -
helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező
adatkezelés).
3.1.1.1.Ha a személyes adat felvételére az érintett hozzájárulásával
került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének
hiányában további külön hozzájárulás nélkül, valamint az érintett
hozzájárulásának visszavonását követően is kezelheti a) a rá vonatkozó jogi
kötelezettség teljesítése céljából, vagy b) az adatkezelő vagy harmadik személy
jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes
adatok védelméhez fűződő jog korlátozásával arányban áll.
3.1.1.2.Személyes
adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen
vagy aránytalan költséggel járna, és a személyes adat kezelése
a)az
adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges,
vagy
b)az
adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából
szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog
korlátozásával arányban áll.
3.1.2.Különleges adat akkor kezelhető, ha
a)az
adatkezeléshez az érintett írásban hozzájárul, vagy
b)a
faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai
véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az
érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes
adat esetében a törvényben kihirdetett nemzetközi szerződés végrehajtásához
szükséges, vagy azt a Magyarország Alaptörvényében biztosított alapvető jog
érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy
üldözése érdekében vagy honvédelmi érdekből törvény elrendeli,
c)egészségi
állapotra, kóros szenvedélyre vonatkozó személyes adat valamint, bűnügyi
személyes adat esetében törvény közérdeken alapuló célból elrendeli.
3.1.3.Az
érintett kérelmére indult más (nem bírósági vagy hatósági eljárásban) ügyben az
általa megadott személyes adatainak kezeléséhez való hozzájárulását vélelmezni
kell. Erre a tényre az eljárás kezdetekor az érintett figyelmét a hatályos
törvény megfelelő törvényhelyére való utalással írásban fel kell hívni. Kétség
esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta
meg.
3.1.4.A
személyes adatokat az adatkezelés céljának megvalósulásakor, de legkésőbb a
jelen Szabályzatban meghatározott adatkezelési időtartam lejártával törölni
kell.
3.1.5.A
Szervezet az adatkezelési eljárásainak tájékoztatására szolgáló, illetve a
honlapján köteles a természetes személyekre vonatkozó egyes ügyféladatok,
adatcsoportok tekintetében az érintetteket az adatkezelő, adatfeldolgozó
nevéről és címéről, az adatkezelés, adatfeldolgozások céljáról, időtartamáról
és az adatok törléséről tájékoztatni.
3.1.6.Az
érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait - ha
törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek -, ideértve a
közérdekű adatok nyilvánosságát is - nem sérthetik, illetve korlátozhatják.
3.1.7.A
Szervezet a szervezetén belüli adatkezelés során jogosult belső, egyedi
azonosító jel meghatározására és arra, hogy személyes adatokat - jelen
Szabályzat rendelkezéseinek megfelelően - egyedi azonosító jel alapján is
nyilvántartson.
3.1.7.1.A Szervezet azonban az érintettek hozzájárulása nélkül nem
jogosult olyan szerződések megkötésére, és adattovábbításra, amely alapján a
szerződéses jogviszonyban vagy az adattovábbítás során az érintettek
azonosítása kizárólag az egyedi azonosító jel alapján történik.
3.2. Adatcsoportok
3.2.1.Személyes adatok a Szervezet szervezeti keretein belül a következő csoportokban kezelhetők:
3.2.1.1.ügyféladatok (lakossági nyilvántartás);
3.2.1.2.a
Szervezettel egyéb szerződéses kapcsolatban álló természetes személyek adatai
(partnernyilvántartás);
3.2.1.3.a
Szervezet munkavállalóinak adatai (beleértve a toborzással kapcsolatban
keletkező, nem munkavállalókhoz kapcsolódó adatokat, valamint az érintett
munkavállaló kérelmére indult eljárásban (pl. üdültetés, segélyezés stb.) a
hozzátartozója adatait is);
3.2.1.4.hatósági
adatszolgáltatások (3.8. pont);
3.3. Az ügyféladatok kezelése, lakossági nyilvántartás
3.3.1.A Szervezet által nyújtott szolgáltatások igénybevételére irányuló szerződésben a szolgáltatásra vonatkozó jogszabályban kötelezően meghatározott adatok, valamint az érintett természetes személyazonosító adatain kívül kizárólag olyan adatok szerepelhetnek, amelyek a szerződés teljesítése kapcsán elengedhetetlenül szükségesek. Amennyiben az érintett ezen adatokat a szerződéskötés során szolgáltatni nem kívánja, a szerződéskötés megtagadható. Az ezen adatok kezeléséhez adott hozzájárulást a 3.3.4. pontban meghatározott célra vélelmezni kell. Kétség esetén a szerződéskötéshez kérhető adatok köréről a belső adatvédelmi felelős állásfoglalását kell kérni.
3.3.2.A szerződéskötés feltételéül szabható az is, hogy az érintett
közokirattal vagy teljes bizonyító erejű magánokirattal igazolja, hogy az
általa szolgáltatott adatok a valóságnak megfelelnek. Az adatok valóságának
igazolása érdekében bemutatott iratokról másolat csak az érintett
hozzájárulásával készíthető. Amennyiben az érintett a hozzájárulását nem adja
meg, a szerződéskötés nem tagadható meg.
3.3.3.A
3.3.1. pontban foglaltakat meghaladó mértékű adatkezelésre csak az érintett
kifejezett hozzájárulásával kerülhet sor. A hozzájáruló nyilatkozat beszerzése
előtt az adatkezelést végzőnek az érintettet a 2.1.4. pont szerint tájékoztatni
kell. A hozzájárulás megtagadása miatt az érintettet semmiféle hátrány nem
érheti.
3.3.4.A
szerződéskötés során az érintett által szolgáltatott adatok kizárólag a
szerződésből fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez
használhatók fel, és az adatokhoz való hozzáférés csak ilyen célra
engedélyezhető. Kivételt jelentenek ez alól azok az adatok, amelyek
beszerzésére az érintett külön hozzájárulásával került sor, ezek az adatok a
3.3.3. pont szerinti tájékoztatásban szereplő célra és módon használhatók
fel.
3.3.5.Ha
az adatkezelés időtartama alatt az érintett adatainak változását bejelenti,
vagy az adatok megváltozását bármely adatkezelő, adatfeldolgozó észleli, az
adatokat a változásnak megfelelően haladéktalanul módosítani kell, illetve ki
kell egészíteni. Ebben az esetben a módosításra kerülő korábbi, valamint a
módosítást, kiegészítést követő új adatokat egyaránt fel kell tüntetni a
nyilvántartásban, oly módon azonban, hogy a nyilvántartásból az adatok aktív,
illetve inaktív állapota egyértelműen megállapítható legyen.
3.3.6.Amennyiben
a Szervezet vagy az érintett ügyfél az igénye érvényesítése iránt eljárást
indít, az adatok az egyeztetés folyamán, valamint a bírósági, hatósági eljárás
befejezéséig nyilvántarthatók.
3.3.7.Ha az adatokat a 3.3.10.6. pont szerint törölni kell, a törlést
a határidő elteltével haladéktalanul meg kell kezdeni, és 60 napon belül be
kell fejezni. A papíralapú adattárolásban a törlést - eltérő rendelkezés
hiányában - az irat selejtezése és megsemmisítése útján kell
végrehajtani.
3.3.8.Ha
a szerződéses jogviszonyban számla kibocsátására kerül sor, a számlán szereplő
adatok a számviteli- és adójogszabályokban meghatározott határidőkig tarthatók
nyilván.
3.3.9.A
törlésig a Szervezet az ügyfelek szerződésben szereplő adatait papír- és
elektronikus formában is nyilvántartja (lakossági nyilvántartás).
3.3.10.A
személyes adatot törölni kell, ha
a)kezelése
jogellenes;
b)az
érintett kéri, a kötelező adatkezelést kivéve;
c)az
hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve,
hogy a törlést törvény nem zárja ki;
d)az
adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott
határideje lejárt, kivéve a levéltári őrizetbe tartozó adathordozókat;
e)azt a
bíróság vagy a Hatóság elrendelte.
3.3.10.1.Törlés helyett a Szervezet adatgazdája zárolja a személyes
adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk
alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az
így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési
cél, amely a személyes adat törlését kizárta.
3.3.10.2.A
Szervezet adatgazdája indokolt esetben megjelöli (az adat azonosító jelzéssel
történő ellátása a megkülönböztetés érdekében) az általa kezelt személyes
adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a
vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg
egyértelműen.
3.3.10.3.Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a Szervezet adatgazdájának rendelkezésére áll, a személyes adatot az adatgazda helyesbíti.
3.3.10.4.A helyesbítésről, a zárolásról, a megjelölésről és a törlésről
az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot
adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az
adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. A
mellőzésről az illetékes terület adatgazdája dönt.
3.3.10.5.Ha
a Szervezet adatgazdája az érintett helyesbítés, zárolás vagy törlés iránti
kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban
vagy az érintett hozzájárulásával elektronikus úton közli az érintettel a
helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi
indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén
az érintettel a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségét
is közölni kell.
3.3.10.6.Azokat
a szerződésekben foglalt személyes adatokat, amelyeket a Szervezet az érintett
hozzájárulása és nem törvényi felhatalmazás alapján kezel - amennyiben a
szerződés vagy külön hozzájáruló nyilatkozat eltérően nem rendelkezik - a
szerződéssel összefüggő igények elévülését követően törölni kell. A szerződéses
adatok tárolása nem érinti a szerződés alapján kiállított számviteli
bizonylatok törvényes tárolási idejét, amely a számvitelről szóló 2000. évi C
törvény (a továbbiakban: Számv. tv.) 169. § (2) bekezdése alapján legalább 8
év.
3.3.10.7.A
3.3.10.5. pontban foglalt kérelmek elutasításának intézésébe az adatgazda
döntése alapján a rendelkezésre álló törvényes határidőre tekintettel a belső
adatvédelmi felelős is bevonható.
3.4. A Szervezettel szállítói szerződéses kapcsolatban álló természetes személyek adatainak kezelése, partner-nyilvántartás.
A
Szervezettel szerződéses kapcsolatban álló természetes személyek (pl. egyéni
vállalkozó beszállítók, alvállalkozók) adatainak kezelése során a 3.3. pontban
foglaltakat kell értelemszerűen alkalmazni, azzal az eltéréssel, hogy ezen
szerződések személyes adatállományát az ügyféladatoktól elkülönítetten kell
nyilvántartani (partner nyilvántartás).
3.5. A Szervezet
munkavállalói adatainak kezelése, nyilvántartása
3.5.1.A munkavállalók adatainak kezelése tekintetében az adatgazda a HR osztály vezetője, továbbá minden olyan szervezeti egység vezetője, akinek az irányítása alatt álló egységnél munkavállalói adatokat kezelnek. A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
3.5.1.1.A megváltozott munkaképességű, vagy a foglalkozás-egészségügyi orvos által munkakörére "nem alkalmas" minősítést kapó munkavállalótól a tovább foglalkoztatás lehetőségét vizsgáló ún. rehabilitációs eljárás során bekérhető és kezelhető a Nemzeti Rehabilitációs és Szociális Hivatal Szakértői Bizottságának szakvéleménye, (és orvosi zárójelentések), amelyek a munkavállaló betegségét tételesen felsorolják. A határozatban foglalt adatokat a Munkaügyi csoport kizárólag a rehabilitációs eljárás lefolytatása, rehabilitációs munkakör feltárása, valamint a rehabilitációs járadék megállapítása céljából vezetett nyilvántartás érdekében, valamint segélyezés, alapítványi támogatás céljából használhatja fel. A munkaügyi csoport a szakvéleményből az egészségkárosodás mértéke, a rehabilitálhatóság, a felülvizsgálat időpontja, a szakmai munkaképesség változása és a határozat száma különleges személyes adatokat tartja nyilván.
3.5.1.2.A 3.5.1.1. pont esetében azonban a munkavállalótól az illetékes megyei/fővárosi Kormányhivatal Nyugdíjbiztosítási Igazgatósága által kiadott "Határozat a rokkantsági nyugdíj megállapítása iránti kérelméről" bekérhető és kezelhető.
3.5.2.Amennyiben a munkába lépésre irányuló felvételi eljárást követően munkaviszony létesítésére nem kerülne sor, az érintett adatait haladéktalanul törölni kell, kivéve, ha az érintett írásban hozzájárul ahhoz, hogy az adatait Szervezet továbbra is kezelje. Az így keletkezett személyes adatokat a HR osztály kezeli, az érintett írásbeli hozzájárulásában meghatározott ideig.
3.5.3.A Szervezet a személyi nyilvántartásban a munkavállalók
következő adatait (együtt: személyi anyag) kezelheti
a)a
munkavállaló természetes személyazonosító adatait, nemét, lakóhelyét,
tartózkodási helyét;
b)állampolgárságát;
c)TAJ
számát;
d)adóazonosító
jelét;
e)munkába
lépésének kezdő és befejező időpontját;
f)munkakörét;
g)iskolai
végzettségét, szakképzettségét, nyelvismeretét, az ezt igazoló okiratok
másolatát, a tanulmányi szerződést;
h)a
munkavállaló önéletrajzát;
i)munkabérének
összegét, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatokat;
j)a
munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli
hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát;
k)a
munkavállaló által a munkaviszony megszűnésének évében igénybe vett
betegszabadság időtartamát;
l)a
munkavállaló rendes szabadságával, rendes és rendkívüli munkaidejével,
szabadságának kiadásával, egyéb munkaidő-kedvezményével kapcsolatos
adatokat;
m)a
munkavállalóval kötött munkaszerződés egyéb lényeges adatait (pl.: a
munkavállaló számára biztosított kedvezményeket, a munkavállaló napi/havi
munkaidejét, a szerződés fajtáját);
n)a
munkavállaló munkájának értékelését;
o)a
munkavállaló fényképét, kameraképét;
p)a
munkaviszony megszűnésének módját, indokait;
q)munkakörtől
függően erkölcsi bizonyítványát;
r)a
munkaköri alkalmassági vizsgálatok összegzését;
s)magánnyugdíjpénztári
és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezését,
azonosító számát és a munkavállaló tagsági számát;
t)külföldi
munkavállaló esetén útlevélszámát; munkavállalási jogosultságot igazoló
dokumentumának megnevezését és számát;
u)minden
egyéb olyan személyes adatot, amelynek kezelését törvény írja elő, vagy
amelyhez az érintett hozzájárult. Ilyen különösen a családi adókedvezmény
igénybe vételéhez szükséges adat, a munkavállaló saját gépjárművének adata, a
szociális-jóléti juttatások folyósításához (segély, lakáscélú támogatás,
albérleti hozzájárulás), megváltozott munkaképességet, egészségkárosodást, vagy
fogyatékosságot igazoló szakhatósági véleményt, vagy fogyatékosságot igazoló
szakorvosi aláírással ellátott zárójelentés. A Szervezet törvény felhatalmazása
alapján vagy az érintett hozzájárulására - az erre feladatkörük
meghatározásával kijelölt szervezeti egységei útján - kezelheti továbbá a
munkavállalók következő adatait is, így különösen:
a)munkakörtől
függően a nemzetbiztonsági ellenőrzést végző szerv szakvéleményét;
b)munkavállalót
ért balesetek jegyzőkönyveiben rögzített adatokat;
c)a
jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges
adatokat;
d)a
Szervezetnél biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető
rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat;
e)a
munkavállaló vagyonnyilatkozatát.
3.5.4.Az
adott szakterületnél már rendelkezésre álló személyes adatok (többszöri, nem
frissítés célú) újrakérése tilos. Az adatok ismételt megadásának megtagadása
miatt a munkavállalót semmiféle hátrány nem érheti.
3.5.5.A
3.5.3. pontban meghatározott adatokon túl a Szervezet a munkavállaló egyéb
személyes adatait kizárólag az érintett - írásbeli - hozzájárulásával
kezelheti. A munkavállalók személyi anyagával kapcsolatos nyilvántartást
meghaladó mértékű adatkezelésre csak a munkavállaló hozzájárulásával kerülhet
sor. A hozzájáruló nyilatkozat beszerzése előtt az adatkezelést végzőnek a
munkavállalót a 2.1.4. pont szerint tájékoztatni kell.
3.5.6.A
hozzájárulás megtagadása miatt a munkavállalót semmiféle hátrány nem
érheti.
3.5.7.A
munkavállaló 3.5.3. pontban meghatározott adatait a következő személyek
ismerhetik meg:
3.5.7.1.az érintett;
3.5.7.2.a feladataik ellátásához elengedhetetlenül szükséges esetben,
mértékben és ideig a Szervezet humán szervezetének vezetője, illetve
meghatározott - az érintett személyi anyagát kezelő - alkalmazottja;
3.5.7.3.a
feladataik ellátásához elengedhetetlenül szükséges esetben, mértékben és ideig
az érintett munkahelyi vezetői (a munkáltatói jogkörgyakorló vezetővel
bezárólag) és az általa kijelölt munkatársai;
3.5.7.4.konkrét
ellenőrzés céljából az ahhoz elengedhetetlenül szükséges esetben, mértékben és
ideig a Szervezet vezetősége, valamint a vizsgálati jogkörrel felruházott
munkatársak;
3.5.7.5.Bíróság,
ügyészség, nyomozó hatóság, illetve más eljáró hatóság hivatalos megkeresés
alapján az igényelt mértékig;
3.5.7.6.Más
személyek - indokolt esetben - az érintett írásos hozzájárulásával, a
hozzájárulás mértékéig.
3.5.8.A munkaviszony megszűnését követő három év elteltével a
munkavállaló adatait törölni kell személyi nyilvántartásból a HR osztálynak,
illetve annak a szervezeti egységnek, amelynek a személyzeti nyilvántartásban a
munkavállaló adata szerepel kivéve, ha a Szervezet és a munkavállaló között
ettől eltérő időtartamú írásbeli megállapodás jön létre. A törlés az írásbeli
megállapodásban nem szereplő munkavállalói adatokra terjed ki.
3.5.9.Nem
kell, illetve nem szabad törölni a munkaviszony megszűnését követően sem a
munkavállaló azon adatait, amelyek törvény felhatalmazása alapján a
továbbiakban is nyilvántarthatók vagy megőrzendők.
3.6. Hatósági adatszolgáltatások
3.6.1.A hivatalos szervektől - bíróság, közigazgatási szerv- érkezett,
személyes adatokat érintő adatszolgáltatást a megkeresésben megadott
határidőig, ennek hiányában 15 napon belül teljesíteni kell.
3.6.2.Ha
a megkeresés alakisága, a megkereséssel érintett adatkör kiadhatósága aggályos,
az illetékes szervezeti egység a belső adatvédelmi felelős soron kívüli
állásfoglalását kéri.
3.6.3.
Ha a megkeresés jogszerűségét a belső adatvédelmi felelős is aggályosnak
tartja, köteles az ügyben a Hatóság sürgősségi eljárását kezdeményezni. A
megkeresés ez esetben a Hatóság állásfoglalásától függően teljesíthető, kivéve,
ha az állásfoglalás a megkeresésben megadott határidő alatt nem érkezik meg a
Szervezet részére. Ez esetben a megkeresést a megadott határidőben a 3.6.1.
pont szerinti szervezeti egység teljesíti.
3.7 Belső adatvédelmi nyilvántartás
A belső adatvédelmi felelős vezeti a belső adatvédelmi nyilvántartást. A belső
adatvédelmi nyilvántartás valamennyi adatkezelés esetén tartalmazza:
- az adatkezelés célját,
- az adatkezelés jogalapját,
- az érintettek körét,
- az érintettekre vonatkozó adatok leírását,
- az adatok forrását,
- az adatok kezelésének időtartamát,
- a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapjai, ideértve a harmadik országokbairányuló adattovábbításokat is,
- az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az
adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
- az alkalmazott adatfeldolgozási technológia jellegét.
A
belső adatvédelmi nyilvántartás célja annak megállapíthatósága, hogy az
érintett mely adatkezelések alanya lehet, és ezen adatkezelésnek melyek a
jellemző elemei. A belső adatvédelmi nyilvántartás azonosítja az
adatkezeléseket, azonban nem helyettesíti az érintett részletes tájékoztatását.
A belső adatvédelmi felelős a belső adatvédelmi nyilvántartásba való
betekintést valamennyi érintett részére biztosítja.
4.
ADATTOVÁBBÍTÁS
4.1.
Adattovábbítás a Szervezeten belül
A Szervezeten belül személyes adatok csak a célhoz kötöttség elvének
megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az
adatokhoz hozzáférési jog.
4.2. Adattovábbítás harmadik személy részére
4.2.1. Személyes adatot továbbítani harmadik személy részére csak
törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés
feltételei minden egyes személyes adatra nézve teljesülnek. Az
adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.
4.2.2.
Az adattovábbítást megelőzően az adatgazda kötelessége megvizsgálni, hogy annak
törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés
feltételei minden egyes személyes adatra megvalósulnak-e. Ennek során vizsgálni
kell, hogy adatkezelési korlátozással történő adattovábbítás
alkalmazható-e.
4.2.3.A
4.2.1. pontban előírtak betartására vonatkozó panasz esetében vizsgálat
lefolytatására a belső adatvédelmi felelős jogosult.
4.2.4.Ugyanazon
adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú
adattovábbítás előtt a 4.2.2. pont szerinti vizsgálatba a belső adatvédelmi
felelőst is be kell vonni. Az ezt követő adattovábbítások során külön
vizsgálatot lefolytatni nem kell.
4.2.5.A
4.2.1. pont rendelkezéseit kell alkalmazni az adatkezelések, nyilvántartások
összekapcsolására, ideértve az ugyanazon adatkezelő adatkezeléseinek,
nyilvántartásainak összekapcsolását is.
4.2.6.Az adattovábbításról köteles a Szervezet nyilvántartást
vezetni.
4.2.7.Az
adattovábbítási nyilvántartás tartalmazza:
a)az
adattovábbító által kezelt/gyűjtött személyes adatok továbbításának
időpontját,
b)a
továbbított adatköröket,
c)az
adattovábbítás jogalapját és címzettjét (név, cím, székhely),
d)az
adattovábbításért felelős nevét és telefonszámát.
4.3. Adattovábbítás külföldre
4.3.1. Az adattovábbítást megelőzően - a belső adatvédelmi felelős
bevonásával - az adatgazda kötelessége megvizsgálni, hogy annak törvényi
feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés
feltételei minden egyes személyes adatra megvalósulnak-e.
4.3.2.A
Szervezet minden szervezeti egysége köteles az általa teljesített külföldre
irányuló adattovábbításokról a 4.2.7. pontban meghatározott tartalommal
adattovábbítási nyilvántartást vezetni.
5.
AZ ADATKEZELÉSSEL ÉS AZ ADATFELDOLGOZÁSSAL KAPCSOLATOS FELELŐSSÉGEK, FELADATOK
ÉS HATÁSKÖRÖK
5.1.
Az elsődleges adatkezelést végző
5.1.1.Az elsődleges adatkezelést végző az érintett adatainak jogellenes
kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a
másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő
felel az adatfeldolgozó által okozott kárért is.
5.1.2.Az
utasítást kiadó vezető felel az adatgazdának és az adatfeldolgozónak adott - az
adatkezelési műveletekre vonatkozó - utasítások jogszerűségéért.
5.1.3.Az
adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az
adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
5.1.4.Nem
kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy
súlyosan gondatlan magatartásából származott.
5.2. Az adatgazda
Az adatgazda a munkajogi szabályok, illetve megbízási szerződésében foglaltak
szerint tartozik helytállni az általa jogellenesen okozott károkért.
5.3. Az adatfeldolgozó
5.3.1.Az adatfeldolgozónak a személyes adatok feldolgozásával
kapcsolatos jogait és kötelezettségeit jelen Szabályzat, valamint a vonatkozó
jogszabályok keretei között az adatgazda határozza meg.
5.3.2.Az
adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által
meghatározott keretek között felelős a személyes adatok feldolgozásáért,
megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra
hozataláért.
5.3.3.Az
adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó
tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése
szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok
megsértése a szerződés azonnali hatályú felmondásának is alapjául
szolgálhat.
5.4. A belső adatvédelmi felelős
5.4.1.a vezérigazgató nevezi ki, az adatvédelmi felelősi tevékenysége
tekintetében független, közvetlenül a legfelsőbb szervezeti vezető felügyelete
alatt áll és csak általa utasítható;
5.4.2.közreműködik,
illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések
meghozatalában, valamint az érintettek jogainak biztosításában (konzultációs
jogkör); 5.4.3. részt vesz az adatvédelmi ellenőrzésekben,
vizsgálatokban;
5.4.4.ellenőrzi
a jelen Szabályzatban foglaltak betartását;
5.4.5.tájékoztatja
a Szervezet más szervezeti egységeit a jelen Szabályzat és a kapcsolódó külön
szabályzatok gyakorlati alkalmazásáról, segítséget nyújt a gyakorlati
tapasztalatok összegzésében;
5.4.6.figyelemmel kíséri az adatvédelmi jogszabályok változását, -
szükség esetén - javaslatot tesz a jelen Szabályzat módosítására;
5.4.7.figyelemmel
kíséri az érintetteknek nyújtott tájékoztatások alakulását;
5.4.8.vezeti
a jelen Szabályzat szerinti nyilvántartásokat;
5.4.9.kivizsgálja
a személyes adatok kezelésével (feldolgozásával, továbbításával) kapcsolatban
hozzá érkezett bejelentéseket és panaszokat;
5.4.10.fogadóórát
tart, ahol előzetes bejelentkezést követően lehet a belső adatvédelmi
felelőssel egyéni konzultációt folytatni; (elektronikus levelezés útján is
biztosítja az egyéni konzultáció folytatását)
5.4.11.
jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az
adatgazdát vagy az adatfeldolgozót;
5.4.12.megszervezi
a jelen Szabályzat alkalmazásával kapcsolatos adatvédelmi oktatást és az
adatvédelmi tárgyú tájékoztató kiadványok kibocsátását;
5.4.13.együttműködik
a Szervezet szervezeteivel a felmerülő adatvédelmi tárgyú kérdések
megoldásában,
5.4.14.a
Szervezet szervezeti egységének megkeresésére vagy saját hatáskörben
adatvédelmi tárgyú állásfoglalásokat bocsát ki;
5.4.15.
az adatvédelmi jogszabályi változások és a gyakorlati tapasztalatok alapján
javaslatokat készít a Szervezet szabályzatainak módosítására, kezdeményezi új
szabályzatok kibocsátását;
6.ÉRINTETTEK JOGAI ÉS ÉRVÉNYESÍTÉSÜK
6.1 Tájékoztatáshoz való jog
Az Adatkezelő az érintettet az adatkezelést megelőzően tájékoztatja. A
tájékoztatás megtörténhet azáltal is, hogy az adatkezelés részleteiről szóló
tájékoztatót az Adatkezelő közzéteszi, és erre az érintett figyelmét felhívja.
Az érintettek tájékoztatást kérhetnek adataik kezeléséről. Az érintett
tájékoztatást elsősorban az ügyfélszolgálattól, ennek eredménytelensége esetén
az adatvédelmi felelőstől kérhet. Az Adatkezelő törekszik arra, hogy az
érintettek az adatkezelést megelőzően tájékoztatást kapjanak az adatkezelés
részleteiről. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett
általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott
adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról,
időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel
összefüggő tevékenységéről, továbbá - az érintett személyes adatainak
továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az
Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt,
legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre
irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes. Az
érintett tájékoztatását az Adatkezelő csak akkor tagadhatja meg, ha azt törvény
lehetővé teszi. Az Adatkezelő köteles az érintettel a felvilágosítás
megtagadásának indokát közölni. Az Adatkezelő ebben az esetben tájékoztatja az
érintettet a jogorvoslati lehetőségekről.
6.2 Helyesbítéshez való jog
Az érintett kérheti, hogy a tévesen szereplő személyes adatát az Adatkezelő
helyesbítse. Abban az esetben, ha a helyesbítendő adatok alapján rendszeres
adatszolgáltatás történik, az Adatkezelő szükség esetén a helyesbítésről
tájékoztatja az adatszolgáltatás címzettjét, illetve az érintett figyelmét
felhívja arra, hogy a helyesbítést más adatkezelőnél is kezdeményeznie
kell.
6.3 Törléshez és tiltakozáshoz való jog
Az érintett a jogszabályban elrendelt adatkezelések kivételével kérheti a
személyes adatai törlését. Az Adatkezelő az érintettet a törlésről
tájékoztatja. Amennyiben a hozzájáruláson alapuló adatkezelés a munkaviszony
létesítésének, fenntartásának feltétele, erről, és a várható következményekről
az Adatkezelő az érintettet tájékoztatja. Az Adatkezelő a személyes adat
törlését megtagadhatja, ha az adat kezelése jogszabályon alapul, és az
adatkezelés az Adatkezelő jogos érdekének érvényesítéséhez szükséges. A törlési
kérelem teljesítésének megtagadása esetén az Adatkezelő az érintettet annak
okáról tájékoztatja. Az érintett az információszabadságról és az információs
önrendelkezési jogról szóló 2011. évi CXII. törvényben meghatározottak szerint
tiltakozhat személyes adatai kezelése ellen.
6.4 Az érintett jogainak érvényesítése
Az érintett tájékoztatás, helyesbítés, törlés iránti kérelmét elsősorban ügyfélszolgálathoz, vagy az adatvédelmi felelőshöz nyújthatja be. Ha az Adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az Adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. A tájékoztatás, helyesbítés, törlés, tiltakozás esetén az Adatkezelő az irányadó jogszabályokban foglaltaknak megfelelően jár el. Az érintett jogsérelem esetén kérheti az Adatkezelő képviseletében eljáró személy felettes vezetőjének vizsgálatát, valamint fordulhat az Adatkezelőnél kinevezett belső adatvédelmi felelőshöz. Az érintett a jogainak megsértése esetén bírósághoz fordulhat, és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, valamint a Polgári Törvénykönyv alapján érvényesítheti jogait. Az érintett személyes adatai védelméhez való joga megsértése esetén fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, és kérheti a Hatóság vizsgálatát. A jogellenes adatkezeléssel okozott kárért az Adatkezelő a vonatkozó törvényekben előírtak szerint felelős. Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt köteles megtéríteni. Az érintettel szemben az Adatkezelő felel az adatfeldolgozó által okozott kárért is. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az Adatkezelő általános, polgári jogi felelősségére a Polgári Törvénykönyv szabályai az irányadók. Az érintett kérése esetén az Adatkezelő a jogérvényesítési lehetőségekről részletes tájékoztatást ad.
7. ADATVÉDELMI INCIDENSEK KEZELÉSE
7.1.Az adatvédelmi incidens bejelentése
7.1.1.Az a munkavállaló, aki a Szervezet által kezelt vagy
feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, azaz
személyes adat jogellenes kezelését vagy feldolgozását, így különösen
jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra
hozatalt, törlést vagy megsemmisítést, valamint véletlen megsemmisülést és
sérülést észlel, azt köteles a közvetlen vezetője útján haladéktalanul
felettesének, felettese távollétében pedig a legfelsőbb vezetőnek bejelenteni,
megadva a nevét, telefonszámát és/vagy e-mail címét, a szervezeti egységét, az
incidens tárgyát, valamint azt, hogy az incidens informatikai rendszert
érint-e. A bejelentő további olyan információkat is megadhat, amelyeket az
incidens beazonosítása, megvizsgálása szempontjából lényegesnek ítél.
7.1.2.A
felettes vagy a legfelsőbb vezető a bejelentést követően tájékoztatja a belső
adatvédelmi felelőst az adatvédelmi incidens bekövetkezéséről, megadva a
bejelentő nevét, telefonszámát és/vagy e-mail címét, szervezeti egységét,
továbbá a bejelentett adatvédelmi incidens tárgyát, azt, hogy az incidens
informatikai rendszert érint-e, valamint a további, a bejelentő által
tudomására hozott egyéb információkat.
7.1.3.Amennyiben
az adatvédelmi incidens informatikai rendszert érintően következett be a
Szervezet Informatikai osztályának vezetőjét tájékoztatni kell.
7.1.4.Amennyiben
a Szervezet ellenőrzésre jogosult szervezeti egységei a feladataik ellátása
során adatvédelmi incidenst észlelnek, a belső adatvédelmi felelőst értesítik.
A belső adatvédelmi felelős a bejelentések értékelését követően a 7.2.3.
pontban foglaltak szerint jár el.
7.2. A bejelentés megvizsgálása és az incidens kezelése
7.2.1.A belső adatvédelmi felelős - informatikai rendszert érintő
incidens esetén az Informatikai osztály vezetőjével együttműködve - a
bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a
bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül
teljesíteni.
7.2.2.Az
adatszolgáltatásnak tartalmaznia kell
a)az
incidens bekövetkezésének időpontját és helyét,
b)az
incidens leírását, körülményeit, hatásait,
c)az
incidens során kompromittálódott adatok körét, számosságát,
d)a
kompromittálódott adatokkal érintett személyek körét,
e)az
incidens elhárítása érdekében tett intézkedések leírását,
f)a kár
megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
7.2.3.Amennyiben
az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, annak
végrehajtására a belső adatvédelmi felelős felkéri a Szervezet legfelsőbb
vezetőjét, informatikai rendszerben bekövetkezett adatvédelmi incidens esetében
az Informatikai osztály vezetőjét is bevonva. A belső adatvédelmi felelős
szaktanácsadóként közreműködik a vizsgálat lefolytatásában.
7.2.4.Az adatszolgáltatás alapján és a belső adatvédelmi felelős -
informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az
Informatikai osztály vezetőjével együtt - javaslatot tesz az adatvédelmi
incidens elhárításához szükséges intézkedésekről az adatok kezelését vagy
feldolgozását végző szakterületnek, továbbá - informatikai rendszerben
bekövetkezett adatvédelmi incidens esetében - az Információ Biztonsági
Szabályzat alapján kijelölt adatgazdának.
7.2.5.A
javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését
vagy feldolgozását végző szakterület vezetője, - informatikai rendszerben
bekövetkezett adatvédelmi incidens esetében - az Információ Biztonsági
Szabályzat alapján kijelölt adatgazda egyetértésével dönt.
7.2.6.Az
adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről
az adatok kezelését vagy feldolgozását végző szakterület vezetője, kijelölt
adatgazda esetében az adatgazda az adott intézkedések végrehajtását követő 2
munkanapon belül köteles a belső adatvédelmi felelőst tájékoztatni.
7.3. Az incidens nyilvántartása
7.3.1. Az adatvédelmi incidensről a belső adatvédelmi felelős nyilvántartást vezet.
7.3.2.A nyilvántartásba rögzíteni kell: a. az érintett személyes
adatok körét, b. az adatvédelmi incidenssel érintettek körét és számát, c. az
adatvédelmi incidens időpontját, d. az adatvédelmi incidens körülményeit,
hatásait, e. az adatvédelmi incidens elhárítására megtett intézkedéseket, f. az
adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
7.3.3.A
nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat személyes
adatokat érintő incidens esetében 5 évig, különleges adatokat érintő incidens
esetében 20 évig köteles a belső adatvédelmi felelős megőrizni.
8. VEZETŐK, SZEMÉLYEK
NÉVSORA
Belső adatvédelmi felelős:
Üzleti
titokgazda: Kiss Gergő
HR osztály vezető: Kiss Gergő
Informatikai osztály vezető: Kiss Gergő
Kötelező felülvizsgálat: a hatálybalépést követő évtől minden év december 31-ig, jogszabályváltozást, vagy belső szabályozásváltozást követően 30 napon belül.
Kelt:2020.02.05