Gondoskodás Humán Szolgáltató Központ
5600 Békéscsaba, Zsiros utca 12.
Adatvédelmi és adatbiztonsági szabályzat
TARTALOMJEGYZÉK
1. A szabályzat célja. 4
2. Alkalmazási terület. 4
3. Fogalmak. 6
4. Az Adatkezelő adatai: 9
Az Adatkezelő (adatvédelmi) vezetése: 9
A belső adatvédelmi tisztviselő: 10
Az Adatkezelő munkatársai 11
6. Az adatkezelés elvei 12
7. Az adatkezelések célja. 14
8. Az adatkezelések jogalapja. 15
9. Az Adatkezelő által kezelt adatok köre és kezelése. 15
10. Adatállományok kezelése. 16
11. Az egyes adatkezelési tevékenységek. 17
I. Adatkezelés az érintett hozzájárulása alapján. 18
II. Adatkezelés jogi kötelezettség teljesítése jogcímén. 18
III. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK.. 19
Munkaügyi, személyzeti nyilvántartás. 19
Alkalmassági vizsgálatokkal kapcsolatos adatkezelés. 20
Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok. 21
E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés. 21
Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés. 22
A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés. 23
Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés. 23
GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés. 23
Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés. 23
IV. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK.. 25
Szerződő partnerek adatainak kezelése. 25
Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai 25
Látogatói adatkezelés az Adatkezelő honlapján - Tájékoztatás sütik (cookie) alkalmazásáról 26
Regisztráció az Adatkezelő honlapján. 27
Hírlevél szolgáltatáshoz kapcsolódó adatkezelés. 27
Közösségi irányelvek / Adatkezelés az Adatkezelő Facebook oldalán. 28
Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából 28
Kifizetői adatkezelés. 29
A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés. 29
12. Adatbiztonság. 29
13. Titoktartás. 31
14. Adatátadás, adattovábbítás. 32
15. Adatfeldolgozó. 33
16. Egyes adatfeldolgozások. 34
17. Automatizált egyedi döntés. 34
18. A gyermekek jogainak fokozott védelme. 34
19. Adatok törlése és archiválása. 35
20. Az érintettek jogai és érvényesítésük. 36
Tájékoztatáshoz való jog. 36
Helyesbítéshez való jog. 37
Törléshez és tiltakozáshoz való jog. 38
Az adatkezelés korlátozásához való jog. 38
Adathordozhatóság joga. 39
Az érintett jogainak érvényesítése. 39
21. Az adatvédelmi incidensek nyilvántartása. 40
Az adatvédelmi incidens. 40
Az adatvédelmi incidensek kezelése. 40
Az adatvédelmi incidensek nyilvántartása. 41
Az adatvédelmi incidensek jelentése. 42
Betekintés az adatvédelmi incidensek nyilvántartásába. 42
22. A Szabályzat végrehajtása az Adatkezelő szervezetén belül 43
Záró rendelkezések. 43
MELLÉKLETEK FELSOROLÁSA: 45
Jelen Adatvédelmi- és adatbiztonsági szabályzat (a továbbiakban: „Szabályzat”) célja annak biztosítása, hogy a Gondoskodás Humán Szolgáltató Központ (székhely: 5600 Békéscsaba, Zsíros utca 12. képviseli: szolgálatvezető (a továbbiakban: „Adatkezelő”) adatvédelmi szempontból megfeleljen a vonatkozó hazai és közvetlenül alkalmazandó nemzetközi jogszabályi előírásoknak.
Az Adatkezelő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendeletben (általános adatvédelmi rendelet) (továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”) 24. § (3) bekezdésében foglaltakra tekintettel köteles az Infotv. végrehajtása érdekében adatvédelmi és adatbiztonsági szabályzatot készíteni.
Az Adatkezelő a jelen Szabályzatban leírtak szerint gyűjti, kezeli, használja és dolgozza fel az ellátottai, munkatársai, valamint egyéb partnerei személyes adatait.
Az Adatkezelő az Érintettről szerzett személyes adatokat kizárólag a hatályos jogszabályi rendelkezéseknek megfelelően és a Szabályzatban rögzített célok elérésének érdekében tárolja, kezeli, illetve dolgozza fel.
A Szabályzat célja az adatvédelmi elvek és szabályok meghatározásával, bevezetésével az Adatkezelőnél vezetett nyilvántartások működésének és törvényes megfelelőségének, valamint az alaptörvényben lefektetett adatvédelemi elveknek, az adatbiztonság követelményei érvényesülésének biztosítása, továbbá a jogosulatlan hozzáférés, az adatok megváltoztatásának vagy jogosulatlan nyilvánosságra hozatalának megakadályozása.
Az Adatkezelő gondoskodik arról, hogy a Szabályzat hatályos tartalma mindenkor kétséget kizáróan megállapítható, egyúttal korábban hatályban volt tartalma utólag pontosan visszakereshető legyen.
Jelen szabályzat hatályba lépésével egyidejűleg az Adatkezelő korábbi, adatvédelemről szóló szabályzata hatályát veszti.
Annak érdekében, hogy az érintett a jogait megfelelő terjedelemben gyakorolhassa és az Adatkezelő a jogszabályokban előírt kötelezettségeinek eleget tehessen, az Adatkezelő gyűjti, rögzíti, feldolgozza és tárolja az ellátottak/gondozottak, munkatársak és szerződéses partnerek személyes adatait. Az Adatkezelő ezen eljárása során a mindenkor hatályos magyarországi és közvetlenül alkalmazandó nemzetközi jogszabályoknak megfelelően jár el, különös tekintettel a következő törvények és egyéb dokumentumok rendelkezéseire:
Jelen Szabályzat tárgyi hatálya kiterjed az Adatkezelő valamennyi tevékenységére, amely:
Jelen Szabályzat 2018. május 25. napjától visszavonásig, vagy az Adatkezelő általi módosításáig hatályos.
Jelen Szabályzat hatálya kiterjed:
Az Adatkezelő valamennyi vezető tisztségviselője és főállású vagy részmunkaidőben foglalkoztatott munkavállalója illetve egyéb jogviszonyban álló személy a Szabályzatban meghatározottak szerint felelősséggel tartozik az előírt adat- és információvédelmi szabályok betartásáért és betartatásáért.
A belső adatvédelmi tisztviselő az Adatkezelő munkavállalói számára szükség szerint tájékoztatást, oktatást tart jelen szabályzat tárgyában, annak érdekében, hogy az adatvédelmi tudatosság erősödjön a munkavállalók között, és folyamatosan naprakészen tartsák az adatvédelemmel kapcsolatos ismereteiket.
Az alábbi fogalmak jelen Szabályzat alkalmazásában értendők.
Érintett
Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. A jelen Szabályzat hatálya alá tartozó adatkezelést illetően érintett elsősorban az Adatkezelő által nyújtott szolgáltatásokat igénybe vevő személy, továbbá az a személy, akinek adatait az Adatkezelő a szolgáltatásához kapcsolódóan kezeli.
Személyes adat
Az érintettel kapcsolatba hozható információ – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Különleges adat
A személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Közérdekű adat
Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
Hozzájárulás
Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Adatkezelő
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. A jelen Szabályzat hatálya alá tartozó adatkezelések tekintetében adatkezelő az Adatkezelő.
Adatkezelés
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Adattovábbítás
Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Nyilvánosságra hozatal
Az adat bárki számára történő hozzáférhetővé tétele.
Adattörlés
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatmegjelölés
Az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
Adatzárolás
Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Adatmegsemmisítés
Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adatfeldolgozás
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.
Adatfeldolgozó
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.
Adatállomány
Az egy nyilvántartásban kezelt adatok összessége.
Harmadik személy
Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval, illetve azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Ellátott/gondozott
Az a természetes személy, aki az Adatkezelővel ellátotti jogviszonyban áll, aki részére az Adatkezelő szolgáltatást nyújt, valamint ezen személyek törvényes képviselője.
SZMSZ
Az Adatkezelő mindenkor hatályos Szervezeti és Működési Szabályzata.
Adatvédelmi incidens
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
5.Az Adatkezelő adatvédelmi szervezete
5.1. Az Adatkezelő elkötelezett az adatvédelem iránt, ezért folyamatosan – a jogszabályi és működésbeli változásnak megfelelően – módosítja a jelen Szabályzatot és általában az egész adatvédelmi szabályozását.
5.2. Az Adatkezelő adatvédelemmel, adatkezeléssel, adatbiztonsággal és információbiztonsággal kapcsolatos vezetését
a) elsődlegesen az Adatkezelő irányítását ellátó képviselő önállóan,
b) másodlagosan a belső adatvédelmi tisztviselő és a képviselő együttesen látják el.
Az a-b) pont a továbbiakban együttesen: Adatkezelő (adatvédelmi) vezetése.
Az Adatkezelő (adatvédelmi) vezetése:
- ellátja az Adatkezelő adatvédelmi tevékenységének irányítását, felügyeletét
- meghatározza az adatfeldolgozási szerződések tartalmát;
- rendszeresen ellenőrzi az Adatkezelő adatvédelmi működését, a Munkatársak adatkezelését, valamint az adatvédelmi/adatkezelési nyilvántartásokat;
- engedélyezi a munkatársak munkakör ellátásához szükséges informatikai alkalmazásokhoz való hozzáférési jogosultságának megállapítását;
- ellát egyéb olyan feladatot, amelyet a jelen Szabályzattól formailag eltérő más szabályzat vagy eljárásrend, utasítás, vagy jogszabály meghatároz.
A belső adatvédelmi tisztviselő:
Az Adatkezelő képviselőjének közvetlenül felelő Munkatárs, aki ellátja a következőkben meghatározott feladatokat:
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) tájékoztat és szakmai tanácsot ad az Adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző Munkatársak részére kötelezettségeikkel kapcsolatban;
c) ellenőrzi a 2011. évi CXII. törvény, a GDPR, és az adatvédelemre, adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatkezelési szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az Adatkezelőt vagy az adatfeldolgozót;
e) elkészíti és folyamatosan karbantartja a Szabályzatot;
f) vezeti a belső adatvédelmi nyilvántartásokat;
g) gondoskodik az adatvédelmi ismeretek oktatásáról;
h) kérésre szakmai tanácsot ad a munkatársak számára,
i) szükség szerint tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
j) együttműködik és kapcsolatot tart a felügyeleti hatósággal;
k) ellát egyéb, hatáskörébe utalt feladatokat.
5.3. A munkatársak a rájuk vonatkozó jogszabályokból, belső szabályzatokból és szabályokból, utasításokból, munkaköri leírásból, oktatási anyagból fakadó kötelezettségeket betartva végzik feladataikat.
5.4. Azon munkatárs, akinél az adat keletkezett, és/vagy akinek az adathoz hozzáférési jogosultsága van, illetve akinek az adatot egy másik adatgazda, vagy harmadik személy továbbította, vagy akinek az adat bármilyen más módon a birtokába jutott, adatgazdának minősül jelen Szabályzat alapján.
5.5. Adat törlését, helyesbítését, zárolását vagy megsemmisítését csak a hozzáférésre jogosult adatgazda, a belső adatvédelmi tisztviselő, vagy az Adatkezelő képviselője, továbbá az általa e feladattal írásban megbízott más munkatárs végezheti el, kizárólag abban az esetben, ha meggyőződött arról, hogy annak jogszabályban, a mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzatban, vagy egyéb szabályzatban meghatározott feltételei fennállnak.
Amennyiben jogszabály, vagy belső szabályzat előírja, az adatok törlésének, zárolásának, vagy megsemmisítésének tényét az azt végrehajtó munkatársnak megfelelően dokumentálnia kell.
Az Adatkezelő munkatársai
5.6. Az Adatkezelő által foglalkoztatott munkatárs köteles:
a) a munkafolyamatok megfelelő szabályozása, szervezése útján gondoskodni arról, hogy
b) az elvárható legnagyobb gondossággal eljárni. Ezzel összefüggésben köteles megtenni mindazokat a technikai és szervezési intézkedéseket, amelyeket a mindenkor hatályos vonatkozó jogszabály, a jelen Szabályzat, egyéb belső szabályzat, utasítás, munkaköri leírás, stb. előír, valamint ezen túlmenően is, mindazt, amit az adott helyzetben az ésszerűség megkövetel;
c) a felhasználói azonosító és a jelszó titkos kezelésére, e feladat teljesítése körében az azonosító és jelszó adatait bármilyen adathordozón csak és kizárólag saját felhasználás céljából rögzítheti, és ez esetben gondoskodnia kell arról, hogy ahhoz rajta kívül senki más ne férhessen hozzá. Az elektronikus adattárolási helyeken (nyilvántartási rendszerben) rögzített adatokhoz csak a saját hozzáférési jogosultságának keretei között, a saját felhasználói azonosítójával és jelszavával jogosult hozzáférni;
d) az elektronikusan tárolt adatok elveszésének megakadályozása érdekében a kizárólag általa használt adattárolási helyeken lévő adatokról rendszeres időközönként biztonsági mentést végezni, vagy végeztetni a megfelelő pozícióban levő más munkatárssal.
5.7. Amennyiben adatkezeléssel összefüggő ügyben a vonatkozó jogszabályok és/vagy az Adatkezelő szabályzatainak rendelkezéseinek értelmezésével és/vagy alkalmazásával kapcsolatos kérdés merül fel, a munkatárs iránymutatást kérhet az Adatkezelő (adatvédelmi) vezetésétől, így a belső adatvédelmi tisztviselőtől és/vagy az Adatkezelő képviselőjétől
5.8. A munkatárs az adatkezelésre, adat- és titokvédelemre vonatkozó jogszabályi rendelkezések, továbbá mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzat, egyéb adatvédelmi vagy más belső szabályzat, munkaköri leírás, munkáltatói utasítás, adatvédelmi oktatási anyag rendelkezéseinek megszegése esetén a magatartás, vagy mulasztás jellegétől függően
a) büntetőjogi és/vagy
b) polgári jogi és/vagy
c) munkajogi felelősséggel tartozhat.
6.1. Az Adatkezelő az adatkezelés során, illetve azzal összefüggésben a „jóhiszeműség és tisztesség” követelményeinek megfelelően, az érintettekkel együttműködve jár el. Az Adatkezelő jogait és kötelezettségeit rendeltetésüknek megfelelően köteles gyakorolni, illetőleg teljesíteni.
6.2. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor tekinthető helyreállíthatónak a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
6.3. Az Adatkezelő az adatkezelés során biztosítja az adatok pontosságát, teljességét, sérthetetlenségét, bizalmasságát és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
6.4. A Szabályzat a fentieken kívül különösen a következő adatkezelési elveket vezeti be kihirdetése napjától, amely elvek kötelező rendelkezések és iránymutatásul szolgálnak olyan kérdésekben, amelyeket a Szabályzat nem tárgyal.
a.) „Célhoz kötöttség elve”: Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
b.) „Jogszerűség, tisztességes eljárás és átláthatóság elve”: Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
c.) „Arányosság, szükségesség” vagy „adattakarékosság elve”: Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Mindezeknek megfelelően Adatkezelő csak és kizárólag olyan adatot kezel, amely feltétlenül szükséges.
d.) „Pontosság elve”: Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
e.) „Korlátozott tárolhatóság elve”: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére az EU 2016/679 Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
f.) „Integritás és bizalmasság elve”: Megfelelő biztonsági intézkedések alkalmazásával az automatizált adatállományokban tárolt személyes adatok védelme érdekében az Adatkezelő gondoskodik a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozásáról.
g.) „Elszámoltathatóság elve”: Az Adatkezelő felelős az a-f.) pontoknak, és a Szabályzatban meghatározottaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
h.) „Beépített és alapértelmezett adatvédelem elve: tudatos gondolkodásmód, amely szerint mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során (már annak megkezdése előtt is) az Adatkezelő megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre a fenti elvek hatékony megvalósítása, a kötelezettségek teljesítése, jogi garanciák beépítése, stb. céljával, mindezeket pedig szabályozottan és részletesen dokumentáltan teszi meg. A gyakorlatban a gondolkodásmódot elősegíti a Munkatársak oktatása, adatvédelmi tudatossága, valamint az egyes adatkezelések bevezetése és/vagy rendszeres felülvizsgálata során használt hatásvizsgálat, kockázatelemzés, érdekmérlegelési teszt.
A GDPR és az Infotv. rendelkezései értelmében az Adatkezelő személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhet, amely személyes adat kizárólag a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés minden szakaszában megfelel az adatkezelés céljának. Az adatok felvétele és kezelése tisztességesen és a vonatkozó jogszabályi előírásoknak megfelelően, törvényesen történik. Az Adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és így a cél elérésére alkalmas.
Az Adatkezelő esetében a jelen Szabályzat hatálya alá tartozó adatkezelések az alábbi célokat szolgálják:
8.1. A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:
8.2. Az Adatkezelő a fentiek szerint személyes adatokat kizárólag az alábbi jogalapokkal kezel:
9.1. Az Adatkezelő az érintett adatait az általa végzett szolgáltatás vonatkozásában használhatja fel. Az Adatkezelő által biztosított szolgáltatáshoz kapcsolódó kezelt adatok különösen:
9.2. Munkaviszony létesítése, illetve toborzás kapcsán az Adatkezelő tudomására jutott adatok köre ettől lényegesen eltérő is lehet (pl.: hatósági erkölcsi bizonyítvány adatai, TAJ-szám).
9.3. Az Infotv. 4. § (2) bekezdése alapján az Adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
9.4. Az Adatkezelő akként jár el, hogy az általa nyújtott szolgáltatások érintett általi igénybevétele esetén az érintett – a megfelelő tájékoztatás tudomásul vételét követően- a vonatkozó megállapodások aláírásával kijelenti, hogy tudomással bír a személyes adatokkal kapcsolatos adatkezelés céljáról, egyben hozzájárulását adja az adatok kezeléséhez.
10.1. Az Adatkezelő biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. A jogszabályon alapuló adatkezelések kötelezőek, azonban azokról az érintettek tájékoztatást kérhetnek. Az Adatkezelő gondoskodik az eltérő célú adatkezelések megfelelő, logikai elkülönítéséről, illetve arról, hogy az egyes adatkezelési célok megvalósítása során kizárólag az ahhoz szükséges adatok kerüljenek felhasználásra.
10.2. Az Adatkezelő az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.
10.3. Az Adatkezelő a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a személyügyi nyilvántartásban szereplő adatokat csak azok a munkavállalók, és egyéb az Adatkezelő érdekkörében eljáró személyek (könyvelési, bérszámfejtési és informatikai feladatokat ellátó személyek) ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
10.4. Az adatfeldolgozók az adatfeldolgozásra irányuló szerződésben foglalt kötelezettségeik ellátásához Adatkezelőtől csak azokat az adatokat kapják meg, amelyekre a tevékenység ellátásához feltétlenül szükség van. Az Adatkezelő – a feladat jellegétől függően minden olyan esetben, amikor a jogszabály az adat megőrzését a továbbiakban nem írja elő – kötelezi az adatfeldolgozót az átadott adatok adatfeldolgozási tevékenység lezárultát követő megsemmisítésére.
10.5. Az Adatkezelő a nyilvántartás, ellátotti és munkatársi dokumentáció, szerződéses állományhoz tartozó adattartalmak papíralapú dokumentumait az adatbiztonság követelményeire tekintettel tárolja, és gondoskodik azok biztonságos őrzéséről.
10.6. Az Adatkezelő az elektronikus nyilvántartásokat külön erre a célra fejlesztett nyilvántartási rendszer útján üzemelteti, amely, illetve amelynek futtatási környezete megfelel az adatbiztonság követelményeinek. A jogszabályok által elrendelt kötelező nyilvántartások (pl. KENYSZI, MÜKENG, stb.), amelyekben történő adatrögzítést az Adatkezelő köteles elvégezni védelmi rendszerét az elektronikus nyilvántartásokat működtető szervezetek garantálják.
10.7. Az Adatkezelő lehetőség szerint törekszik az adatminimum elvének érvényesülésére, annak érdekében, hogy az egyes munkavállalók, és egyéb, az Adatkezelő érdekkörében eljáró személyek csak a szükséges személyes adatokhoz férjenek hozzá.
10.8. Az Adatállományok kezelésére, azok biztonságos őrzésére, a hozzáférési jogokra, adatok, dokumentációk felhasználására az Adatkezelő szervezetén belül – összhangban a törvényi előírásokkal – hatályos szabályzatok, utasítások megfelelően irányadóak. A hozzáférési jogosultságok igénylése, jóváhagyása, engedélyezése és beállítása, valamint megvonása és törlése dokumentált eljárások keretében történik. A jogosultságok beállítását az érintett adatvagyon elem adatgazdája engedélyezi. Az elavult, már nem szükséges jogosultságok elkerülése érdekében az Adatkezelő rendszeresen felülvizsgálja, leltározza a domain és a nyilvántartási rendszerben beállított jogokat. Az Adatkezelő a kiadott jogosultságokról külön nyilvántartást vezet, az informatikai feladatokat ellátó munkatárs feladata a nyilvántartás összevetése a tényleges hozzáférési beállításokkal.
11.1. A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez az 1. számú melléklet szerinti adatkérő lapon kell kérni.
Hozzájárulásnak minősül az is, ha az érintett az Adatkezelő internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
11.2. Az Adatkezelő nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
11.3. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
11.4. A Társaság a 2. számú mellékletszerinti általános adatkezelési tájékoztatóját a helyben szokásos módon, továbbá honlapján a láblécben elérhetővé teszi az érintettek számára. E tájékoztató célja, hogy az érintetteket nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen adatkezelési tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél külön megismerhetővé kell tenni.
11.5. A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést törvény határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
Munkaügyi, személyzeti nyilvántartás
11.6. A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek a munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
11.7. Az Adatkezelő munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
11.8. Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
11.9. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul. A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 3. számú melléklete szerinti Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogairól.
Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
11.10. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat 4. számú melléklete tartalmazza.
Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
11.11. A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
11.12. A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
11.13. Ha az Adatkezelő e-mail fiókot bocsát a munkavállaló rendelkezésére, ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek más személyekkel, szervezetekkel.
A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
11.14. A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.
Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.
Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
11.15. Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.
A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
11.16. Az Adatkezelő által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 10.16. pont rendelkezései irányadók.
A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
11.17. A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként az Adatkezelő nevében elvégzett internetes regisztrációk jogosultja az Adatkezelő, a regisztráció során az Adatkezelőre utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni az Adatkezelő.
A munkavállaló munkahelyi internet használatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményeire a 10.16. pont rendelkezései irányadók.
Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
11.18. A munkáltató nem engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
A munkavállaló köteles bejelenteni a munkáltatónak, ha a céges mobiltelefont magáncélra használta. Ez esetben –szükség esetén- az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
Egyebekben az ellenőrzésre és jogkövetkezményire a 10.16. pont rendelkezései irányadók.
GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés
11.19. A GPS rendszer alkalmazásának jogalapja: a munkáltatói jogos érdek, célja munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat ideje.
Az ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egyebekben a munkáltatói ellenőrzésre és jogkövetkezményire a 10. § rendelkezései irányadók.
Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
11.20. Adatkezelőünk a székhelyén, telephelyén az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
11.21. Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 5. számú Mellékletét képezi.
11.22. A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
11.23. Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
11.24. Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
11.25. Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
11.26. Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
Szerződő partnerek adatainak kezelése
11.27. Az Adatkezelő szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele szerződött természetes személy: nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát.
Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
11.28. Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat 6. számú melléklete tartalmazza.
Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
11.29. A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
11.30. Az adatfelvételi lap mintáját jelen Szabályzat 7. számú melléklete tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
Látogatói adatkezelés az Adatkezelő honlapján - Tájékoztatás sütik (cookie) alkalmazásáról
11.31. A Sütik (cookie-k) rövid adatfájlok, melyeket a meglátogatott honlap helyez el a felhasználó számítógépén. A cookie célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája létezik, de általában két nagy csoportba sorolhatóak. Az egyik az ideiglenes cookie, amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az állandó cookie (pl.: egy honlap nyelvi beállítása), amely addig a számítógépen marad, amíg a felhasználó le nem törli azt. Az Európai Bizottság irányelvei alapján cookie-kat [kivéve, ha azok az adott szolgáltatás használatához elengedhetetlenül szükségesek] csak a felhasználó engedélyével lehet a felhasználó eszközén elhelyezni.
11.32. A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére.
11.33. A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő egy rövid összefoglaló a tájékoztatás lényegéről, és egy linken keresztül utalás a teljes körű tájékoztató elérhetőségére.
11.34. A honlapon a sütik alkalmazásáról a látogatót a 2. számú melléklet szerinti adatkezelési tájékoztatóban tájékoztatni kell. E tájékoztatóval a Társaság biztosítja hogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a Társaság mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
Regisztráció az Adatkezelő honlapján
11.35. A honlapon a regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése.
A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító.
- A honlapon nyújtott szolgáltatások teljesítése.
- Kapcsolatfelvétel, elektronikus, telefonos, SMS, és postai megkereséssel.
- Tájékoztatás az Adatkezelő szolgáltatásairól, szerződési feltételeiről,
- A honlap használatának elemzése.
Hírlevél szolgáltatáshoz kapcsolódó adatkezelés
11.36. A honlapon a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése. A feliratkozás során az Adatkezelési tájékoztatót (2. melléklet) egy linkkel elérhetővé kell tenni. A hírlevéről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával, vagy írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely a hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden adatát haladéktalanul törölni kell.
A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe.
Közösségi irányelvek / Adatkezelés az Adatkezelő Facebook oldalán
11.37. Az Adatkezelő termékei, szolgáltatásai megismertetése, népszerűsítése céljából Facebook oldalt tart fenn.
Az Adatkezelő Facebook oldalon feltett kérdés, hozzászólásban kifejtett vélemény nem minősül hivatalosan benyújtott panasznak.
Az Adatkezelő Facebook oldalán a látogatók által közzétett személyes adatokat az Adatkezelő nem kezeli.
A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.
Jogellenes, vagy sértő tartalom publikálása esetén az Adatkezelő előzetes értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását.
Az Adatkezelő nem felel a Facebook felhasználók által közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. Az Adatkezelő nem felel semmilyen, a Facebook működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
11.38. Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a beszállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
Kifizetői adatkezelés
11.39. Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
11.40. Az Adatkezelő jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy az Adatkezelő irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.
A személyes adatok címzettjeire és az adatkezelés egyéb kérdéseire a Levéltári törvény irányadó.
12.1. Az Adatkezelő gondoskodik az adatok bizalmasságáról és biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében. Az Adatkezelő gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek.
12.2. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatbiztonság szabályainak érvényesüléséről az Adatkezelő külön szerződések, szabályzatok, utasítások, eljárási rendek útján gondoskodik. Az Adatkezelő az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.
12.3. Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
12.4. Az Adatkezelő a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
12.5. A munkavállalók, és egyéb, az Adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ennek érdekében a munkavállalók a munkaidő lejártakor kötelesek az asztalukról zárható szekrénybe helyezni a személyes adatokat tartalmazó dokumentumokat, valamint a számítógépüket jelszavas képernyővédelemmel ellátni.
13.1. Természetes személyek adatai vonatkozásában a személyes adatok védelmére vonatkozó szabályok is alkalmazandók.
13.2. A titoktartási kötelezettség – időbeli korlátozás nélkül – az Adatkezelő képviselőjére, vezető beosztású munkavállalóira, minden alkalmazottjára, valamint mindazokra vonatkozik, akik az érintettekkel kapcsolatos információkhoz az Adatkezelővel kapcsolatos tevékenységük során bármilyen módon hozzájuthatnak.
Az Adatkezelő titoktartása vonatkozásában megfelelően irányadóak az alábbiak:
13.3. Az Adatkezelő vezető tisztségviselője és alkalmazottja vonatkozásában a titoktartási kötelezettség nem áll fenn:
14.1. Az Adatkezelő az általa kezelt személyes adatokat kizárólag az érintettnek, törvényes képviselőjének, meghatalmazottjának, valamint törvényes feladatkörében eljáró hatóságnak, törvényszéknek, közjegyzőnek adja át. Az Adatkezelő az adatátadásokról nyilvántartást vezet.
14.2. Az adatok egyéb továbbítására – az adatfeldolgozási tevékenységet kivéve – minden esetben csak az érintett hozzájárulása, vagy jogszabályi felhatalmazás alapján kerül sor.
14.3. A személyes adatot továbbítani csak abban az esetben lehet, ha annak jogalapja egyértelmű, célja, és az adattovábbítás címzettjének a személye pontosan meghatározott, és az adattovábbítással elérendő cél más módon nem valósítható meg. Az adattovábbítást minden esetben dokumentálni kell, oly módon, hogy annak menete és jogszerűsége bizonyítható legyen. A dokumentálásra elsősorban az adatszolgáltatást kérő, illetve annak teljesítéséről rendelkező, megfelelően kiadmányozott iratok szolgálnak.
14.4. A jogszabály által előírt adattovábbítást az Adatkezelő köteles teljesíteni.
A fentieken kívül személyes adatot továbbítani csak akkor lehet, ha ahhoz az érintett egyértelműen hozzájárult. Annak érdekében, hogy a hozzájárulás utóbb bizonyítható legyen, azt lehetőség szerint írásba kell foglalni. Az írásbeliség mellőzhető, ha az adattovábbítás a címzettjére, céljára, vagy az adatkörre tekintettel csekély jelentőségű. Az érintettek hozzájárulásához kötött adattovábbítás esetén az érintett a nyilatkozatát az adattovábbítás címzettje és célja ismeretében adja meg.
14.5. Az Adatkezelő által végrehajtott leggyakoribb adattovábbítások:
15.1. Az Adatkezelő fenntartja magának a jogot, hogy tevékenysége során adatfeldolgozót vegyen igénybe, állandó vagy eseti megbízás, vagy vállalkozói szerződés alapján. Állandó jellegű adatfeldolgozásra elsősorban a könyvelési feladatok ellátása, az iratmegsemmisítés, selejtezés, valamint az informatikai rendszer fenntartása érdekében kerülhet sor.
15.2. Az adatfeldolgozó igénybe vétele során a vonatkozó jogszabályok, elsősorban az Infotv. és a GDPR rendelkezései az irányadók. Adatfeldolgozó igénybe vételére kizárólag írásbeli szerződés alapján kerülhet sor.
15.3. Az Adatkezelő kérésre az érintettet tájékoztatja az adatfeldolgozó személyéről, valamint adatfeldolgozási tevékenységének részleteiről, így különösen az elvégzett műveletekről, valamint az adatfeldolgozónak adott utasításokról.
15.4. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a vonatkozó jogszabályok keretei között az Adatkezelő határozza meg.
Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az Adatkezelő felel.
15.5. Az adatfeldolgozó tevékenységi körén belül, illetőleg az Adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.
15.6. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót csak az Adatkezelő előzetes írásbeli hozzájárulásával vehet igénybe.
15.7. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
15.8. Az Adatkezelő garanciákat nyújtó szerződési feltételek kialakításával és megfelelő szervezeti, technikai intézkedésekkel biztosí