Szentesi-Mag Kft.
Székhely: 6600 Szentes, Alsórét 154.
Adószám: 11099152-2-06
2018.május 25.
1. A SZABÁLYZAT CÉLJA
- Jelen szabályzat („Szabályzat”) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A Szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor. Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény („Infotv.”), valamint az Európai ParlamentésaTanács(EU)2016/679számúáltalánosadatvédelmirendeletében foglaltak teljesítése érdekében Szentesi-Mag Kft. („Adatkezelő”) megalkotta, s tevékenységei ellátása során magára nézve minden esetben kötelezően alkalmazza és irányadónak tekinti a jelen Szabályzatban foglaltakat.
- E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében az Adatkezelő egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését. A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával az Adatkezelő alkalmazottai képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.
2. A SZABÁLYZAT HATÁLYA
- Jelen Szabályzat alanyi hatálya kiterjed:
- az Adatkezelő minden munkavállalójára, alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, adatkezelést vagy adatfeldolgozási tevékenységet végző, illetve az Adatkezelő által kezelt adatokhoz valamely jogcímen hozzáférő személyekre;
- az igénybe vett adatfeldolgozók felé irányuló adatáramlásra, illetve ellenkező megállapodás hiányában ezen adatfeldolgozók tevékenységére;
- az adattovábbítások címzettjei felé irányuló adatáramlásra;
- az Adatkezelő más adatkezelőkkel vagy harmadik személyekkel folytatott, személyes adatokat érintő adattovábbításaira, adatcseréire, valamint társ-adatkezelői tevékenységére.
- Jelen Szabályzat tárgyi hatálya kiterjed az Adatkezelő által folytatott vagy általa felügyelt, illetve befolyásolt valamennyi személyes adatokat érintő adatkezelésre, adattovábbításra, információ átadásra, illetve az ezen adatkezelés, információátadás tárgyát képező adatkezelések védelmével kapcsolatos valamennyi egyéb tevékenységre, az adatokon végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
- A Szabályzat tárgyi hatálya kiterjed minden személyes adatra, amelyet elektronikus vagy más – például papíralapú – formában az Adatkezelő kezel, tárol, feldolgoz, továbbít, vagy amelyekhez valamilyen módon hozzáfér.
3. A SZABÁLYZAT FELÜLVIZSGÁLATA
- Jelen Szabályzatot rendszeres időközönként, de legalább kétévente egyszer felül kell vizsgálni.
- Rendkívüli felülvizsgálatot kell végrehajtani minden olyan esetben, amikor:
- olyan változás következik be a jogszabályi környezetben, illetve a hatósági gyakorlatban, amely jelentős mértékben érinti az Adatkezelő által kezelt információk kezelésének módját;
- az Adatkezelő adatkezelési igényei, céljai, illetve tevékenységei vagy folyamatai jelentős mértékben megváltoznak.
4. FOGALMAK
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adatfeldolgozó: az a természetes vagy jogi személy, amely az Adatkezelő nevében vagy megbízásából személyes adatokat kezel;
- személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
5. VONATKOZÓ JOGSZABÁLYOK
- Az Adatkezelő tevékenysége során különösen az alábbi jogszabályok rendelkezéseit köteles betartani:
- Magyarország Alaptörvénye
- az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény;
- a Polgári Törvénykönyvről szóló évi V. törvény;
- a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény;
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló évi XLVIII. törvény;
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
- évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
6. AZ ADATKEZELÉS ELVEI
- A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
- Az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- A kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
- A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
- Az Adatkezelő felelős az adatkezelési elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására(„elszámoltathatóság”)
7. AZ ADATKEZELÉS JOGSZERŰSÉGE
- A személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett
- A fentiek értelmében az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.
- Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető. A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az Adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.
- A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését.
8. AZ ÉRINTETT SZEMÉLY TÁJÉKOZTATÁSA
- A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.
- Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár.
- Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani.
9. AZ ÉRINTETT JOGAI
- Átlátható tájékoztatáshoz és kommunikációhoz való jog
Az Adatkezelő biztosítja, hogy az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva, írásban nyújtsa.
- Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon ara vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az adatkezelést érintő információkhoz hozzáférést kapjon.
- A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, illetve kérje a hiányos személyes adatok kiegészítését.
- A törléshez, elfeledtetéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
- az érintett visszavonja az adatkezelés alapját képzelő hozzájárulását, és az adatkezelésnek nincs más jogalapja,
- az érintett tiltakozik az adatkezelés ellen, nincs elsőbbséget élvező jogszerű ok az adatkezelésre.
- a személyes adatokat jogellenesen kezelték,
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került
- Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát,
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi
- igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival
- Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő megakadályozná, amennyiben:
- az adatkezelés a hozzájárulásán alapul és
- az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy amennyiben ez technikailag megvalósítható, kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
- Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak megóvása érdekében.
10. ADATBIZTONSÁG ÁLTALÁNOS ELVEI
- Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot
garantálja. Az adatbiztonsági rendszabályok és intézkedések célja a manuálisan és az elektronikusan kezelt személyes adatok, valamint az adathordozók védelme a sérülés, rongálódás, megsemmisülés és illetéktelen hozzáférés ellen.
- Az Adatkezelő az alábbi szempontok szerint szervezi az adatbiztonságot:
- A Társaság köteles gondoskodni az adatok biztonságáról, köteles megtenni azokat a technikai és szervezési intézkedéseket továbbá azokat az eljárási szabályokat, amelyek az adatvédelmi jogszabályok érvényre juttatásához szükségesek.
- Az adatkezelő köteles gondoskodni az általa kezelt adatok védelméről.
- Az adatokat védeni kell a jogosulatlan hozzáférés, és megváltoztatás, a továbbítás, a nyilvánosságra hozatal, a törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés
- Adatkarbantartást csak az erre felhatalmazott adatkezelő végezhet.
- Az informatikai rendszerek üzemeltetését ellátó munkavállalók a feladataik ellátásához szükséges mértékig az adatállományokhoz hozzáférhetnek, az adatokat azonban más célra nem használhatják fel, és mások tudomására nem hozhatják. Rendellenesség észlelése esetén, kötelesek azonnal jelezni az Adatkezelő vezetője felé.
- Az adatokhoz való hozzáférést jelszavas védelemmel és jogosultsági rendszer működtetésével kell érvényesíteni.
- Az Adatkezelő megfelelő és időszerű biztonsági intézkedések alkalmazásával köteles kellő szintű biztonságot kialakítani, és az adatkezelések időtartama alatt fenntartani, az összes olyan végfelhasználói berendezés, szerver, hálózat, digitális adathordozó és mobileszköz vonatkozásában, amelyet a személyes adatok kezelésére használ.
- Konkrétan, az Adatkezelő köteles a biztonsági rések felderítésével és ezt követően kellő időben alkalmazott biztonsági javítások alkalmazásával, vagy a kockázat egyéb módon történő mérséklése révén annak megszüntetése vagy semlegesítése céljából minden tőle elvárható intézkedést megtenni; hosztgép alapú rosszindulatú programok elleni védelmet (anti-malware) telepíteni az összes felhasznált olyan végpontra, amelyen a rosszindulatú program elleni védekezés releváns, ideértve az anti-malware szoftver folyamatos frissítési mechanizmusát is; hosztgép alapú tűzfal megoldást telepíteni az összes felhasznált végpontra; módszeresen megerősíteni a rendszereit, hogy minimálisra szorítsa azok támadható felületét; és biztonsági mechanizmusokat alkalmazni a hálózati forgalom megfigyelése tekintetében, hogy a rosszindulatú tevékenységeket és potenciális támadásokat felderítse és megakadályozza.
- Az adatokat az Adatkezelő köteles védeni a használaton kívüli és elveszett eszközök esetén, adott esetben, igény esetén titkosítási technológia használatával.
11. BELSŐ ADATVÉDELMI FELELŐS
- Az Adatkezelő adatvédelmi tisztviselő kinevezésére nem köteles.
12. AZ ADATKEZELŐ FELADATAI
Az Adatkezelőnél rendszeresen át kell tekinteni az adatkezelések célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Az adatvédelmi és adatkezelési szabályzattal összhangban kell biztosítani jogszerű adatkezelést és adatfeldolgozást.
Biztosítani kell az adatkezelésben érintett személyek megfelelő tájékoztatását. Figyelni kell arra, hogy - ha az adatkezelés az érintett hozzájárulásán alapul, - kétség esetén az Adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett személy hozzájárult. Az érintett személy hozzájárulásából félreérthetetlenül ki kell derülnie, hogy az érintett beleegyezik az adatkezelésbe.
Az érintett személynek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni. Az átlátható adatkezelés követelménye, hogy az érintett személy tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni és a tájékoztatáshoz való jog az adatkezelés során annak megszűnéséig megilleti az érintettet.
Az Adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az általa kért információkról.
Át kell tekinteni a szervezet által végzett adatkezeléseket, biztosítani kell az információs önrendelkezési jog érvényesülését. Az érintett személy kérésére adatait késedelem nélkül törölni kell, amennyiben az érintett személy visszavonja az adatkezelés alapját képező hozzájárulást.
Gyermekek személyes adatkezelése esetén kiemelt figyelmet kell fordítani az adatkezelési szabályok betartására. Közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Bizonyos esetekben indokolt lehet az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot lefolytatni. A hatásvizsgálat során meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal.
12.2. Érintettek jogainak biztosítása
Amennyiben bármely érintett a jelen Szabályzatban is rögzített vagy bármely más jogának érvényesítése céljából tájékoztatást vagy meghatározott intézkedés megtételét kéri az Adatkezelőtől, az Adatkezelő érintett munkatársa köteles az Adatkezelő
vezetőjét haladéktalanul értesíteni. Az Adatkezelő vezetője köteles az érintett által kért tájékoztatás megadásáról vagy intézkedés megtételéről a jogszabályok által előírt határidőn belül gondoskodni.
12.3. Adatvédelmi incidensek kezelése
A személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyeleti hatóság felé. Ezért az adatvédelmi incidensről tudomást szerző munkatárs köteles az Adatkezelő vezetőjét az adatvédelmi incidensről haladéktalanul tájékoztatni.
Az Adatkezelő vezetője köteles gondoskodni arról, hogy az Adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, – megtegye a bejelentést a felügyeleti hatóságnak, kivéve akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogait tekintve.
A bejelentésben:
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az Adatkezelő vezetője köteles gondoskodni arról, hogy az adatvédelmi incidensről az Adatkezelő az érintettet értesítse, amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
- az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
12.4. Hatósági eljárások
Amennyiben a felügyeleti hatóság is tájékoztatást vagy meghatározott kötelezettség teljesítését kéri az Adatkezelőtől, az Adatkezelő érintett munkatársa köteles az Adatkezelő vezetőjét haladéktalanul értesíteni. Az Adatkezelő vezetője köteles a felügyeleti hatóság által kért tájékoztatás megadásáról vagy kötelezettség teljesítéséről a jogszabályok által előírt határidőn belül gondoskodni.
12.5. Munkavállalók felkészítése
Az Adatkezelőnél biztosítani kell a szakmai felkészültséget a jogszabályoknak való megfeleléshez. Ehhez elengedhetetlen a munkatársak szakmai felkészítése és a szabályzat megismerése.
12.6. Adatfeldolgozók
Ha az adatkezelést az adatkezelő nevében más végzi, az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés jogszabályi követelményeknek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Az adatfeldolgozó az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az Adatkezelővel szemben. A szerződés vagy más jogi aktus tartalmára a GDPR által meghatározottak irányadóak.
Az igénybe vett adatfeldolgozóink a következők: Cégnév: e-Alfanet Kft.
Székhely: 7633 Pécs, Páfrány u. 9/b fszt. 2.
Ellátott feladat: tárhelyszolgáltatás
Cégnév: IT JET Kft.
Székhely: 2000 Szentendre, Gyöngyvirág u. 10. Ellátott feladat: webáruház elkészítés, karbantartás
Cégnév: Erika és Béla Bt. Székhely: 6600 Szentes, Soós u. 1. Ellátott feladat: könyvelés
Cégnév: Magyar Posta Zrt.
Székhely: 1138 Budapest, Dunavirág utca 2-6. Ellátott feladat: csomagszállítás
13. ADATKEZELŐNÉL VÉGZETT KONKRÉT ADATKEZELÉSEK ISMERTETÉSE
- Megrendelői adatok kezelése
A megrendelői adatok kezelése alatt Adatkezelő által nyújtott szolgáltatások teljesítése érdekében végzett adatkezelést kell érteni.
Az adatkezelés célja, hogy a Adatkezelő által teljesített szolgáltatások hatékonyan, megfelelő kapcsolattartás mellett szerződésszerűen teljesüljenek.
Ebben az esetben legfőképpen az Adatkezelő és az érintett Megrendelő közötti szerződésben vagy megrendelésben rögzített adatokat (név, lakcím, székhely, telefonszám, adószám) fogja Adatkezelő tárolni.
Az adatkezelés jogalapja az Adatkezelő és a Megrendelő közötti szerződés teljesítése, továbbá Adatkezelő adóbevallási kötelezettségének teljesítése.
A megrendelői adatokhoz kizárólag az Adatkezelő dolgozói férnek hozzá.
A megrendelői adatokat bizalmasan kell kezelni, a fenti személyeken túl más nem ismerheti meg a megrendelői személyes adatokat.
Az adatkezelés időtartama legfeljebb az adójogi elvévülés évéig (6 év) tarthat.
13.2. Munkavállalói adatok kezelése
A munkaviszony létesítésekor a munkavállaló a munkaviszony létesítéséhez, a munkaviszonyból fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges személyes adatait megadja az Adatkezelő számára. Adatkezelő ezeken az adatokon felül nem gyűjt és nem kezel a munkavállalókra vonatkozó adatokat. A személyes adatkezelés jogalapja a munkavállaló hozzájárulása, valamint a Munka törvénykönyve.
A kezelt személyes adatok az alábbiak:
- Az adózás rendjéről szóló törvényben meghatározott személyes adatok,
- A társadalombiztosítási ellátásokról és azok fedezetéről szóló törvényben meghatározott személyes adatok,
- A kötelező egészségbiztosítás ellátásairól szóló törvényben meghatározott személyes
Az adatok megismerésére jogosult személyek Adatkezelő vezetője és megbízott könyvelője.
Adatkezelő a munkavállalóit évente kötelező orvosi alkalmassági vizsgálatra küldi. A vizsgálat alapján kiállított orvosi alkalmassági dokumentumot az Adatkezelő részére át kell adni, de azon a munkavállaló személyes adatain felül csak annyi információ szerepelhet, hogy a munkavállaló a munkakör betöltésére alkalmas, vagy nem alkalmas. Ennek megfelelően Adatkezelő sem az orvosi alkalmassági vizsgálat céljából, sem
pedig más célból nem kezel semmilyen szenzitív adatot, ami a munkavállalókkal lenne kapcsolatos.
Az adatkezelés időtartama a munkaviszony megszűnésének évét követő 99. naptári év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő.
13.3. Alvállalkozói adatok kezelése
Az adatkezelés célja az alvállalkozókkal kötött szerződések esetében a kapcsolattartáshoz nélkülözhetetlen adatok kezelése. Az adatkezelés az adatkezelő és az alvállalkozó által létrejött szerződés alapján történik.
A kezelt adatok köre: az adatkezelő és az érintett alvállalkozó között létrejött szerződésben szereplő személyes adatok, legfőképpen a kapcsolattartó név, telefonszám, e-mail cím, elérési cím adatai.
Az alvállalkozók személyes adatait Adatkezelő dolgozói ismerhetik meg.
Az adatkezelés ideje a szerződés teljesítésének időpontjáig, illetve a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig tarthat.
13.4. Szolgáltatással kapcsolatos panasztétel esetén történő adatkezelés
Az adatkezelés célja, hogy amennyiben az adatkezelő szolgáltatásaink igénybevétele során kérdés merülne fel, esetleg problémája lenne az érintettnek, a honlapon megadott módokon (telefon, e-mail, közösségi oldalak stb.) kapcsolatba léphet az adatkezelővel.
Az adatkezelés jogalapja az önkéntesen adott adatkezelési beleegyezés.
A kezelt adatok a panaszos neve, e-mail címe és minden önkéntesen megadott személyes adata.
Adatkezelő a beérkezett e-maileket, telefonon megadott adatokat az érdeklődő nevével és e-mail címével, valamint más, önként megadott személyes adatával együtt, az adatközléstől számított legfeljebb 8 év elteltével törli.
13.5. Weboldal látogatóinak adatkezelése
Adatkezelő - tekintettel a 2003. évi C. törvény 155. § 4. bekezdésében foglaltaknak, miszerint „Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű - az adatkezelés céljára is kiterjedő - tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni” - a következő tájékoztatást adja az általa használt analitikai eszközökkel, azaz cookiekkal (magyarul: süti) kapcsolatban.
Adatkezelő a következő cookie-kat használja, amelyek célját alább határozza meg: Feltétlenül szükséges cookie-k
Az ilyen cookie-k nélkülözhetetlenek a weboldal megfelelő működéséhez. Ezen cookie-k elfogadása nélkül Adatkezelő nem tudja garantálni a weboldal elvártaknak megfelelő működését, sem pedig azt, hogy minden, a felhasználó által keresett információhoz a felhasználó hozzá fog jutni. Ezek a cookie-k nem gyűjtenek be személyes adatokat az érintettől vagy olyan adatokat, amelyek marketing célokra használhatók fel.
Feltétlenül szükséges cookie-k például a Teljesítmény cookie-k, amelyek információt gyűjtenek arról, hogy a weboldal megfelelően működik-e, működésében tapasztalhatóak-e hibák. Az esetleges hibák jelzésével az Adatkezelő segítségére vannak a weboldal tökéletesítéséhez, illetve jelzik, hogy melyek a weboldal legnépszerűbb részei.
Funkcionális cookie-k
Ezek a cookie-k biztosítják a weboldal érintett igényeire szabott következetes megjelenését, és megjegyzik az érintett által választott beállításokat (például: szín, betűméret, elrendezés).
A cookie továbbá segít a weboldal ergonómia kialakításának javításában, felhasználóbarát weboldal kialakításában, a látogatók online élményének fokozása érdekében.
A honlapon lehetséges az ajánlatkérési űrlap kitöltésével az Adatkezelővel a kapcsolat felvehető.
Adatkezelő az ajánlatkérési űrlap esetében az ajánlatkérő nevét, e-mail címét, telefonszámát, mint személyes adatot kezeli.
Az adatkezelés jogalapja az adatkezeléshez adott hozzájárulás.
Az adatkezelés ideje legfeljebb 5 évig, vagy az adatkezelés törlésének kéréséig tarthat.
13.6. Hírlevél, DM tevékenység
A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. §-a értelmében Felhasználó előzetesen és kifejezetten hozzájárulhat ahhoz, hogy Szolgáltató reklámajánlataival, egyéb küldeményeivel a regisztrációkor megadott elérhetőségein megkeresse.
Továbbá Ügyfél a jelen tájékoztató rendelkezéseit szem előtt tartva hozzájárulhat ahhoz, hogy Szolgáltató a reklámajánlatok küldéséhez szükséges személyes adatait kezelje.
Szolgáltató nem küld kéretlen reklámüzenetet, és Felhasználó korlátozás és indokolás nélkül, ingyenesen leiratkozhat az ajánlatok küldéséről. Ebben az esetben Szolgáltató minden - a reklámüzenetek küldéséhez szükséges - személyes adatát törli nyilvántartásából és további reklámajánlataival nem keresi meg a Felhasználót. Felhasználó a reklámokról leiratkozhat az üzenetben lévő linkre kattintva.
Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja: Személyes adat: név, e-mail cím, IP cím, feliratkozás ideje
Az adatkezelés célja: Azonosítás, a hírlevélre való feliratkozás lehetővé tétele. Az érintettek köre: A hírlevélre feliratkozó valamennyi érintett.
Az adatkezelés célja: reklámot tartalmazó elektronikus üzenetek (e-mail, sms, push üzenet) küldése az érintett részére, tájékoztatás nyújtása az aktuális információkról, termékekről, akciókról, új funkciókról stb.
Az adatkezelés időtartama, az adatok törlésének határideje: a hozzájáruló nyilatkozat visszavonásáig, azaz a leiratkozásig tart az adatkezelés.
Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő sales és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:
- Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
- tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
- az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.
Az érintett bármikor, ingyenesen leiratkozhat a hírlevélről.
Az adatkezelés jogalapja: az érintett hozzájárulása, 6. cikk (1) bekezdés a) és f) pontja, és a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése:
14. ZÁRÓ RENDELKEZÉSEK
- A Szabályzat az Adatkezelő vezetője általi elfogadását követő napon hatályba lép, egyúttal a korábbi adatvédelmi szabályzat hatályát veszti, a hozzá kapcsolódó nyomtatványok, nyilatkozati minták a továbbiakban nem használhatók.
- A Szabályzatban nem részletezett kérdésben a magyar jog, és az 5. pontban meghatározott jogszabályok rendelkezései irányadók.