Adatkezelési szabályzat

Az EB & Beyond Kft. (a továbbiakban: Adatkezelő) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban:Infotv.), valamint az Európai Parlament és Tanács 2016/679 Rendelet (a továbbiakban:GDPR) rendelkezései alapján az alábbi adatkezelési szabályzatot hozza és hirdeti ki (a továbbiakban: Szabályzat).

1. Szabályzat célja

A jelen Szabályzat célja az Adatkezelő munkavállalói által kezelt személyes adatok kezelésének – így különösen azok felvételének, tárolásának, törlésének, valamint az azokhoz való hozzáférésnek – szabályozása.

2. Szabályzat hatálya

A jelen Szabályzat kiterjed az Adatkezelő minden munkavállalójára, valamint azok adatkezelési, adatfeldolgozási és adattovábbítási tevékenységére, a jelen Szabályzatban foglaltak szerint.

A jelen Szabályzat az Adatkezelőnek az Európai Unió területén gyűjtött, illetve az Európai Unió területén kezelt személyes adataira irányadó.

Jelen Szabályzat kihirdetésével lép hatályba.

3. Fogalmak

Az alábbi fogalmak a jelen Szabályzatban az alábbi jelentéssel bírnak:

  1. Adatvédelmi incidens: az adatbiztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
  2. Érintett: személyes adatból, illetve adatokból azonosított vagy azonosítható természetes személy
  3. GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)
  4. Harmadik ország: EGT államokon kívüli állam
  5. Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják
  6. Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

4. Adatkezelés célja, kezelhető személyes adatok köre

Az Adatkezelő munkavállalói, munkaköri leírásukban szereplő tevékenységük során az érintettek alábbi személyes adatait kezelhetik:

4.1. Munkavállalók toborzásával összefüggésben

kezelhető adatok: érintett neve, születési neve, állampolgársága, születési helye és ideje, lakcíme, tartózkodási helye, végzettsége, végzettséget igazoló okiratának száma, korábbi munkakörök, korábbi munkáltatók, betöltött/betöltendő munkakör, e-mail címe, telefonszám, LinkedIn azonosító, Facebook azonosító, Skype azonosító, érintett által megadott CV adatok

adatkezelés célja: munkaviszony létesítésének elbírálása, toborzás, kapcsolattartás, jelentkezői adatbázis képzése

kezelésre jogosult munkavállalók: ügyvezető; toborzással foglalkozó munkatársak; pozíció munkahelyi felettese; adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: üzemorvos részére üzemorvosi feladatok ellátása céljából; külső IT szolgáltató, toborzási szolgáltató

4.2. Munkatársak munkaviszonyával összefüggésben

kezelhető adatok: érintett neve, születési neve, állampolgársága, adóazonosító jele, TAJ száma, születési helye és ideje, anyja születési neve, lakcíme, tartózkodási helye, adószáma, személyi igazolvány száma, végzettsége, végzettséget igazoló okiratának száma, betöltött munkakör, bankszámla száma, e-mail címe, telefonszám, jogosítvány száma, képmása, ételallergiája gyermekek neve, születési ideje, adóazonosító jele,

adatkezelés célja: jogszabályban meghatározott munkáltatói kötelezettségek (pl.: adóelőlegek levonása, könyvelése, bejelentése a mindenkor illetékes hatóságok részére, stb.) teljesítése, bérszámfejtés és bérek kifizetése, munkaidő és szabadság nyilvántartás vezetése; a munkaviszonnyal kapcsolatban szervezett események lebonyolítása; kapcsolattartás munkavállalóval; munkaviszonnyal kapcsolatos utazás esetében az utazás lebonyolítása érdekében; székhely belépési jogosultságok kezelése; szolgálati autó használati jogosultságának megállapítása és ellenőrzése; céges rendezvények során biztonságos körülmények biztosítása (pl. ételallergia figyelembevételével).

kezelésre jogosult munkavállalók: ügyvezető; munkahelyi felettes; bérszemélyfejtést, bérek utalását, és munkavédelmi feladatokat ellátók; IT munkatárs; adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: bérszámfejtést végző szolgáltató; üzemorvos; külső IT szolgáltató; munkaviszony teljesítéséhez kapcsolódó utazás esetében utazási iroda, utazásszervező, biztosító vagy biztosítási alkusz, valamint esetlegesen autóbérlő szolgáltató számára; amennyiben a munkaviszony teljesítéséből adódóan partnerekkel való kapcsolattartáshoz szükséges, partnerek kapcsolattartói számára; lízingcég a szolgálati autó rendelkezésére bocsátásával illetőleg a használati jogosultság megállapításával kapcsolatban

4.3. Számítógépet használó munkavállalók

kezelhető adatok: érintett neve, e-mail címe, felhasználóneve

adatkezelés célja: belső szerverek, erőforrások, applikációk elérése, használata; felhasználók részére az elérést biztosító egyedi azonosító kiadása; felhasználók tevékenységének nyomon követése (log); adatvédelmi nyilvántartások vezetésének ellenőrzése, tartalmuk felülvizsgálata, nyilvántartás integritásának védelme, adatvédelmi biztonsági intézkedések felülvizsgálata, valamint adatvédelmi incidensek kivizsgálása;

kezelésre jogosult munkavállalók: ügyvezető; IT munkatárs/szolgáltató; adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: külső IT szolgáltató

4.4. Székhelyen tartózkodók

kezelhető adatok: képmás

adatkezelés célja: székhely védelme, élet- és testi épség védelmi, vagyonbiztonság, székhely belépési jogosultságok kezelése

kezelésre jogosult munkavállalók: felső vezetés; IT munkatárs; adatbiztonsággal foglalkozó munkatársa

adattovábbítás: külső portaszolgálat

Megjegyzés: a kamerás megfigyeléssel kapcsolatos adatkezelés külön megállapodás szerint közös adatkezelésben történik a Café Reklám Zrt., a Café Communications Kft., a Café PR Kft., az EB&Beyond Kft. és a Be Social Kft. között.

4.5. Érdeklődők, partnerek

kezelhető adatok: érintett neve, e-mail címe, telefonszáma, esetlegesen munkáltató, munkakör, névjegykártyán megadott egyéb adatok; egyéb személyes preferenciák (hobbi, érdeklődési kör, korábbi munkáltatók, munkakörök, karrierút stb.)

adatkezelés célja: kapcsolattartás, szerződés teljesítése.

kezelésre jogosult munkavállalók: ügyvezető; kapcsolattartással megbízottak; IT munkatárs, pénzügyi munkatársak, adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: külső IT szolgáltató

4.6. Weboldal, social media oldalak felhasználói

kezelhető adatok: érintett neve, e-mail címe, IP címe, telefonszáma, social média profiljában megadott adatok

adatkezelés célja: weboldal, social media oldal elérésének biztosítása, kapcsolatfelvételi formán keresztül információkérés

kezelésre jogosult munkavállalók: ügyvezető, kapcsolattartásért felelős munkatársak IT munkatárs; adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: külső IT szolgáltató

4.7. Munkáltató megbízóinak nevében, adatfeldolgozóként végzett tevékenységek során

kezelhető adatok: név, e-mailcím, telefonszám, social média profil adatai, lakcím, tartózkodási hely

adatkezelés célja: a megbízók által meghatározott célok és eszközök értelmében az egyes adatfeldolgozási szerződésekben illetőleg az azok alapjául szolgáló megbízásokban meghatározott célok szerint

kezelésre jogosult munkavállalók: ügyvezető, kapcsolattartásért felelős munkatársak IT munkatárs; adatbiztonsággal foglalkozó munkatársak.

adattovábbítás: al-adatfeldolgozók részére az eseti megbízásokban meghatározott al-adatfeldolgozói szerződések alapján

5. Személyes adatok felvétele, érintett tájékoztatása

A 4. pontban meghatározott személyes adatokat – a lent meghatározott eseteken kívül – kizárólag az ott meghatározott célok valamelyikével összefüggésben, az alábbi feltételek valamelyikének teljesülése esetén lehet kezelni (adatkezelés jogalapjai):

  • érintett hozzájárulása;
  • jogszabály kötelező rendelkezése, illetve jogi kötelezettség teljesítése érdekében;
  • szerződés teljesítése érdekében, amennyiben az egyik fél az érintett, vagy annak megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges mértékben;
  • természetes személy létfontosságú érdekeinek védelme érdekében;
  • Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése érdekében, kikéve, ha az érintett érdekei vagy alapvető jogai és szabadságai elsőbbséget élveznek, különösen, ha az érintett gyermek.

A megadott céllal összefüggésben – jogszabály eltérő rendelkezése hiányában – csak a cél eléréshez feltétlenül szükséges adatok kezelhetőek. Az egyes személyes adatokat célonként elkülönítetten kell kezelni.

Az Adatkezelő weboldán illetve székhelyén papír alapon közzé- valamint elérhetővé teszi az adatkezelési tájékoztatóit, álláshirdetésében pedig hivatkozik annak elérhetőségére, így a személyes adatait elektronikus úton megadó érintett az adatkezelés szabályairól tájékozódni tud.

Személyes adat papír alapon, közvetlenül az érintettől történő felvétele esetén az adatok átvétele előtt az érintett számára elérhetővé kell tenni az adatkezelési tájékoztatót, valamint – amennyiben az adatkezelés az érintett hozzájárulásán alapul – alá kell vele íratni a vonatkozó hozzájárulást. Az adatkezelési tájékoztatót az érintett számára át kell adni megőrizhető formában/bizonyított módon a tudomására kell hozni, valamint írásban tájékoztatni kell az érintettet, hogy a tájékoztatót a későbbiekben hogyan, milyen formában – így különösen a vonatkozó honlapon elhelyezve, a vonatkozó honlap címével, valamint az azon belüli elérhetőség megjelölésével vagy a székhelyen, munkavégzési helyen faliújságon való kihelyezéssel – tudja elérni. Az érintett aláírását akár az adatkezelési tájékoztató egy másik, szövegében megegyező példányán, vagy külön íven, az átadott adatkezelési tájékoztató azonosítására alkalmas módon való megjelöléssel ellátva lehetséges beszerezni.

Személyes adat elektronikus úton, közvetlenül az érintettől történő felvétele esetén az érintett számára elérhetővé kell tenni az adatkezelési tájékoztatót olyan formában, hogy annak tudomásul vétele nélkül a vonatkozó személyes adatok ne kerülhessenek továbbításra az Adatkezelő felé.

Amennyiben a személyes adatok közvetlenül az érintettől kerülnek felvételre, úgy az érintettet tájékoztatni kell:

  • a kezelt adatokról;
  • adatkezelő, valamint képviselőjének kilétéről és elérhetőségéről;
  • személyes adatok kezelésének céljáról és jogalapjáról;
  • adatok címzettjeiről, illetve ezek kategóriáiról;
  • adott esetben harmadik országba vagy nemzetközi szervezet részére történő továbbításról, tovább a Bizottság megfelelőségi határozatáról vagy ennek hiányáról, illetve megfelelő garanciákon, kötelező vállalati szabályokon, vagy a kockázatokról való tájékoztatás utáni hozzájáruláson alapuló adattovábbításról;
  • adatok tárolásának időtartamáról;
  • hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás és adathordozhatóság jogáról;
  • felügyeleti hatósághoz címzett panasz jogáról;
  • automatizált döntéshozatalról és profilalkotásról.

Amennyiben az adatkezelés jogszabályon alapul, úgy az adatkezelésről az érintettet előzetesen tájékoztatni kell továbbá:

  • a vonatkozó, az adatkezelést kötelezővé tevő jogszabályról;
  • a jogorvoslati lehetőségekről.

Amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy az adatkezelés megkezdése előtt az érintettet előzetesen tájékoztatni kell továbbá:

  • az adatkezelés pontos céljáról;
  • hozzájárulás visszavonásának lehetőségéről (azzal, hogy a hozzájárulás visszavonása nem érinti a korábbi, jogszerű adatkezelés jogszerűségét);
  • a jogorvoslati lehetőségekről valamint
  • hozzájárulást kell kérni az adatkezeléshez.

Amennyiben az adatkezelés az Adatkezelő vagy harmadik fél jogos érdekein alapul, úgy az adatkezelés megkezdése előtt az érintettet előzetesen tájékoztatni kell továbbá az Adatkezelő vagy harmadik fél jogos érdekéről.

6. Eljárás a nem közvetlenül az érintettől felvett személyes adatok esetében

Amennyiben a személyes adat nem az érintett részéről került átadásra, vagy az nem állapítható meg kétséget kizáróan, úgy az 5. pontban foglaltak alkalmazása mellett, az alábbiak szerint kell eljárni.

Amennyiben a megküldött személyes adatokból az adatkezelésre jogosult munkavállaló/munkatárs meg tudja állapítani az érintett elérhetőségét, úgy ezen elérhetőségen keresztül haladéktalanul, de legkésőbb a személyes adatok megérkezésétől számított 30 napon belül, míg kapcsolattartás céljára használt személyes adatok esetében az első kapcsolatfelvételkor, míg ha a személyes adatok más címzett részére is átadásra kerülnek, úgy legkésőbb a személyes adatok első alkalommal való közlésekor az érintett rendelkezésére bocsátja a következő információkat:

  • a személyes adatok megküldésével összefüggő célhoz kapcsolódó adatkezelési tájékoztatót, amely legalább az 5. pont szerinti információkat tartalmazza;
  • amennyiben az Adatkezelőnél érvényben lévő utasítások, eljárások vagy más szabályok szerint a személyes adatok ezen céltól eltérő további célból is adatkezelést folytat, úgy az ezen adatkezeléssel kapcsolatos tájékoztatást is;
  • a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

A jelen pontban foglaltakat nem kell alkalmazni, ha és amilyen mértékben:

  1. az érintett már rendelkezik a fenti információkkal;
  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, vagy amennyiben a tájékoztatási kötelezettség teljesítése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;
  3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

A b) pont szerinti esetekben az akadály elhárulása után haladéktalanul tájékoztatni kell az érintettet az adatkezelésről. Amennyiben az érintett közvetlenül nem tájékoztatható, de a tájékoztatás megadása nem veszélyeztetni az adatkezelés célját, úgy a tájékoztatást nyilvánosan közzé kell tenni az Adatkezelő honlapján.

A szerződésekben, vagy a szerződések teljesítése során az Adatkezelő birtokába került személyes adatokra is jelen pontot kell alkalmazni.

7. Kamerás megfigyelésre vonatkozó szabályok

Az elektronikus megfigyelőrendszer üzemeltetése a hatályos jogi szabályozások alapján, valamint az előírt követelményeknek megfelelően történik a GDPR, az Infotv., a személy- és vagyonvédelmi, a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvtv.), valamint az Mt. vonatkozó rendelkezései szerint.

A kamerás megfigyeléssel kapcsolatos adatkezelés külön megállapodás szerint közös adatkezelésben történik a Café Reklám Zrt., a Café Communications Kft., a Café PR Kft., az EB&Beyond Kft. és a Be Social Kft. között. Az Érintetti jogok, így különösen a GDPR 13. illetve 14. cikkei szerinti tájékoztatási kötelezettség teljesítését felelősségi körében a Café Reklám Zrt. vállalja.

A kezelt adatok köre

Adatkezelő a kamerás megfigyelés során a munkavállalók, illetve a székhelyre belépők képmását, illetve megfigyelés idején és látókörében tanúsított magatartását, tevékenységét kezeli.

Adatkezelő kijelenti, hogy a Kamerarendszer hangot nem rögzít.

Az adatkezelés célja és az egyes kamerák elhelyezése

A Kamerarendszerrel történő megfigyelés célja:

  • a személyvédelem: az Adatkezelő tulajdonában, illetve használatában álló területre (a továbbiakban: Megfigyelt terület) belépő, ott tartózkodó személyek emberi életének, testi épségének, személyi szabadságának védelme;
  • a vagyonvédelem: a Megfigyelt területen található épületek, ingóságok, berendezések, járművek, továbbá a Megfigyelt területre belépő, ott tartózkodó személyek vagyontárgyainak védelme;
  • munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése az Mt. 9. és 11. §-ával összhangban, a munkavégzés során esetlegesen megvalósuló fegyelmi jogsértés, szabálysértés vagy bűncselekmény bizonyítása érdekében.

A Kamerarendszer kizárólag az Adatkezelő tulajdonában/ használatában álló magánterület megfigyelésére alkalmas, Adatkezelő sem közterületet, sem más magánterületét nem tartja megfigyelés alatt.

A célhoz kötött adatkezelés elve minden egyes kamera látószögével kapcsolatban érvényesül. Ennek megfelelően a kamerák látószöge a céljával mindenkor összhangban álló területre irányul. Adatkezelő rejtett kamerát nem üzemeltet, továbbá nem folytat kamerás megfigyelést olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti.

Adatkezelő a Kamerarendszert nem használja a munkavállalók munkavégzésének állandó és folyamatos megfigyelésére.

Az adatkezelés időtartama

Adatkezelő a Kamerarendszer által rögzített személyes adatokat (képfelvételeket) a rögzítéstől számított legfeljebb 3 munkanapig őrzi meg.

A képfelvételek a megőrzési idő leteltével egyidejűleg haladéktalanul, automatikusan törlésre kerülnek.

Adattovábbítás

Adatkezelő a Kamerarendszer által rögzített személyes adatokat (képfelvételeket) harmadik személynek nem továbbítja, kivéve, ha arra folyamatban lévő eljárás lefolytatása érdekében az eljáró hatóság vagy bíróság megkeresése alapján a vonatkozó eljárási törvényben foglaltaknak megfelelően köteles. Adatkezelő az egyes adattovábbításokról adattovábbítási nyilvántartást vezet.

Az Adatkezelő kifejezett jogszabályi rendelkezés hiányában csak az adott munkavállaló kifejezett hozzájárulásával adja át harmadik személyeknek a személyes azonosítására alkalmas adatokat.

A személyes adatok kezelésének jogalapja

A Kamerarendszer alkalmazásával együtt járó adatkezelés jogalapja az Adatkezelő jogos érdeke, amely a GDPR 7. cikk f) pontján alapul. A hivatkozott rendelkezésnek való megfelelés érdekében Adatkezelő elvégezte az érdekmérlegelés tesztjét, melynek eredményeképpen a következőket állapította meg:

  • Adatkezelőnek – megítélése szerint – jogos érdeke fűződik a megfigyelt területen megvalósuló jogsértések észleléséhez, az elkövető tettenéréséhez, valamint e jogsértő cselekmények megelőzéséhez és bizonyításához;
  • Az adatkezelés célja a személy- és vagyonvédelem, valamint a munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése az Adatkezelő jogos érdekének érvényesítése céljából;
  • Adatkezelő a rögzített felvételeket és az azon szereplő személyes adatokat kizárólag fegyelmi, bírósági vagy más hatósági eljárásban bizonyítékként használhatja fel.
  • A munkavállaló személyes adatai, magánélete védelméhez fűződő jogát arányosan korlátozza a Munkáltató jelen pontban meghatározott jogos érdeke, és a jogos érdeken alapuló adatkezelés. Adatkezelő a jogos érdek és az adatkezelése szempontjából megvizsgálta mindazon eszközöket és lehetőségeket, amelyek a kívánt – és jelen Szabályzatban megjelölt – cél elérése érdekében figyelembe vehető és úgy ítélte meg, hogy a Kamerarendszer jelen Szabályzatban meghatározott módon történő alkalmazása a magánszférát a lehető legkevésbé korlátozó megoldásnak tekinthető és így megfelel a szükségesség és arányosság követelményének. Ennek érdekében
    • a Kamerarendszer a felvételeket automatikusan rögzíti, emberi beavatkozásra nincs lehetőség és a Szabályzatban meghatározott megőrzési idő lejártát követően a felvételek automatikusan és haladéktalanul törlésre kerülnek;
    • megfigyelés kizárólag a munkavégzéssel összefüggésben történhet, a munkavállalók magánéletét az Adatkezelő semmilyen körülmények között nem ellenőrzi, így az étkezőben, pihenőhelyiségekben, öltözőkben, mosdókban nem üzemel kamera;
    • a megfigyelés nem irányul a munkavállaló munkavégzésének állandó megfigyelésére;
    • Adatkezelő kizárólag a jelen Szabályzatban jelzett cél érdekében használhatja fel a felvételeket;
    • Adatkezelő minden körülmények között biztosítja a munkavállalóknak a jelen Szabályzatban meghatározott jogok gyakorlását.

A fentiek alapján az Adatkezelő megítélése szerint a Kamerarendszer alkalmazása megfelel a jogos érdeken alapuló adatkezelésre vonatkozó jogszabályi és hatósági követelményeknek.

A személyes adatok megismerésére jogosultak köre, adatfeldolgozás

A személyes adatok megismerésére, a Kamerarendszer által rögzített felvételek visszanézésére az adatkezelés céljára tekintettel kizárólag a következő személyeknek van jogosultságuk:

Adatkezelő részéről:

  • Felső vezetés, IT munkatárs

A felső vezetés hozzáférési jogosultságának jogalapja és célja, hogy amennyiben olyan hibát észlel, amely valamely jogszabály vagy az Adatkezelőre vonatkozó belső szabályzatban meghatározott előírás megsértésének gyanúját veti fel, akkor lehetősége van az észlelt esettel kapcsolatba hozható rögzített felvételt visszanézni, ami alapján meggyőződhet arról, hogy a hiba mire (vagy kire) vezethető vissza. A felső vezetésnek ez alapján lehetősége van a szükséges, jogszabályban vagy a belső szabályzatban előírt intézkedéseket megtenni. A felvételek visszanézéséről minden esetben jegyzőkönyv készül a jelen Szabályzatban meghatározott feltételekkel.

Amennyiben munkavállalóval kapcsolatban, rá vonatkozóan kerül sor felvétel visszanézésére, Adatkezelő biztosítja a lehetőséget a munkavállalónak, hogy a felvétel visszanézésekor jelen legyen. A felvétel megtekintése legalább két hozzáférésre jogosult személy jelenlétében történik, a felvétel visszanézéséről az Adatkezelő minden esetben jegyzőkönyvet készít, amelyben szerepel a betekintő(k) személye, a betekintés célja és ideje.

8. 18 év alattiakra vonatkozó eltérő rendelkezések

A 18 év alatti személyek vonatkozásában a jelen Szabályzatban foglaltak szerint, a jelen pont és az értelemszerű eltérésekkel kell eljárni.

Ha a személyes adatok kezelése az érintett hozzájárulásán alapul:

  • a hozzájárulás akkor fogadható el, ha az érintett a 16. életévet betöltötte, vagy
  • akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

A 16. év alatti személyek hozzájárulása esetében a hozzájárulást megadó érintetten a szülői felügyeletet gyakorlót kell érteni.

Amennyiben az érintett betöltötte 14. életévét, de 18. életévét még nem és az adatkezelés olyan szerződés teljesítéséhez, illetve megkötéséhez szükséges, amelyekkel az érintett kizárólag előnyt szerez, úgy nem szükséges az érintett törvényes képviselőjének közreműködése. Az egyéb szerződések megkötése körében, valamint amennyiben az éritett nem töltötte be a 14. életévét, helyette törvényes képviselője jár el.

18. életévét be nem töltött személy személyes adatai az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése érdekében nem kezelhetőek.

9. Személyes adatok tárolása, biztonsági intézkedések

Az elektronikus formában kezelt személyes adatokat olyan file-ban vagy elektronikus rendszerben kell tárolni, hogy az adott személyes adathoz kizárólag az annak megismerésére illetékes személy legyen képes.

A file-t vagy elektronikus rendszert titkosítani kell úgy, hogy ahhoz kizárólag az adatkezelést végző személy azonosítására alkalmas felhasználónévvel, valamint a felhasználónévhez tartozó egyedi jelszóval tudjon hozzáférni. A file vagy elektronikus rendszer elérésére szolgáló felhasználónév-jelszó páros csak a jelen szabályzat mellékletében felsorolt munkakört betöltő munkavállalók számára adható ki.

Az illetékes személy a számára biztosított jelszót arra illetéktelen személy számára semmilyen módon nem jogosult felfedni, hozzáférhetővé tenni. Tilos a jelszavakat e-mailben, SMS-ben, telefonon vagy más hasonló módon tárolni, illetve – akár az illetékes személynek saját maga számára – továbbítani, vagy arról másolatot készíteni.

Az elektronikus file rendszer az internetről nem elérhető, kivéve, ha ez a jogosult munkavállaló feladatának ellátása érdekében feltétlenül szükséges és indokolt. Az internetről elérhető elektronikus file rendszert tűzfallal kell védeni.

Az elektronikus rendszerben tárolt adatokról naponta biztonsági másolatot kell készíteni annak érdekében, hogy a személyes adatok integritása megőrizhető legyen. A másolatok az eredeti adatkezelési helytől eltérő, azzal megegyező biztonságú helyen tárólandók. A másolatokként tárolt file-okhoz kizárólag az Adatkezelő számítástechnikai karbantartását végző személyek férhetnek hozzá az adatvesztés elkerülési feladatok végrehajtása erejéig, amennyiben az a feladat elvégzéséhez feltétlenül szükséges. A számítástechnikai karbantartást végző személyek egyebekben nem jogosultak az egyes személyes adatokat kezelni. A biztonsági másolatot 3 hónap eltelte után törölni kell, amennyiben újabb biztonsági másolat rendelkezésre áll.

Az egyébként irányadó határidőktől függetlenül az elektronikus beléptetőrendszer működéséhez kezelt azonosító adatokat:

  1. rendszeres belépés esetén a belépésre való jogosultság megszűnésekor haladéktalanul, míg
  2. rendszeres belépés esetén a belépésre való jogosultság megszűnésekor haladéktalanul, de legkésőbb az adatok keletkezésétől számított 6 hónap elteltével meg kell semmisíteni.

A fizikai formában kezelt személyes adatok olyan zárható szekrényben vagy irodában kell tárolni, amihez kulcs, vagy más egyéb hozzáférést biztosító eszköz vagy ismeret kizárólag a személyes adatok felsorolt munkakört betöltő személy megismerésére jogosult személy számára teszi lehetővé a hozzáférést.

A papír alapon készült, nem megsemmisíthető dokumentumok eredeti példányát, amennyiben azokról csökkentett tartalmú másolat készült az adatkezelési tevékenység folytatásához archiválni kell. Az archivált dokumentumokat az adatkezeléssel érintett más dokumentumoktól elkülönített helyen, olyan zárható szekrényben vagy irodában kell tárolni, amihez kizárólag az Adatkezelő ügyvezetője jogosult hozzáférni.

A személyes adatokat – az érintett adathordozhatósághoz való jogának gyakorlásán kívül – hordozható adattároló eszközre kizárólag csak annak kezelésére jogosult személy másolhatja át, illetve tárolhatja a jelen szabályzat rendelkezései szerint.

10. Hozzáférés személyes adatokhoz

Az 5.-8. pontokban foglaltak betartásával felvett személyes adathoz kizárólag a 4. pontban meghatározott személyek, ott meghatározott és munkakör szerinti feladataik teljesítéséhez jogosultak megismerni, azokhoz hozzáférni.

Az egyes jogosultak hozzáférése személyes adatonként eltérő, csak az adott feladat ellátáshoz feltétlenül szükséges adatokra korlátozódik. A file-hoz, illetve az elektronikus rendszer megfelelő részéhez való hozzáférést olyan azonosító és jelszó párossal kell védeni, ami kizárólag az illetékes személyek számára teszi lehetővé a hozzáférést, valamint használatával megállapítható a hozzáférés időpontja, a hozzáférő személye.

Az elektronikus formában kezelt személyes adatokhoz a számítástechnikai rendszer karbantartásához szükséges elengedhetetlen mértékig szükséges hozzáférést kell biztosítani a karbantartást végző személyek részére, amennyiben a karbantartás nem végezhető el a személyes adatokhoz való hozzáférés biztosítása nélkül.

A fizikai formában kezelt személyes adatokhoz a tűz- és vagyonbiztonsági feladatok elvégzése céljából az arra illetékes személyek számára ezen feladatok elvégzéséhez elengedhetetlenül szükséges mértékig kell hozzáférést biztosítani.

Az elektronikus formában kezelt személyes adatokat tartalmazó elektronikus állományt az adatkezelésre jogosult munkavállaló kizárólag – az adatkezelés céljának megfelelő – feladatának teljesítése idejéig jogosult kezelni, az adatkezelés befejezésével köteles az elektronikus állományt illetéktelen személyek számára hozzáférhetetlenné tenni.

A fizikai formában kezelt személyes adatok esetében az adatkezelésre jogosult munkavállaló a fizikai adathordozót kizárólag a fentiek szerinti feladatának teljesítése idejéig jogosult kezelni, az adatkezelés befejezésével köteles a fizikai adathordozót zárt helyen tárolni, illetéktelen személy számára hozzáférhetetlenné tenni.

Az adatkezelés során az adatkezelésre jogosult munkavállaló köteles olyan módon eljárni, hogy a személyes adatokhoz illetéktelen személyek ne férjenek hozzá, azt ne ismerhessék meg, valamint úgy, hogy a személyes adatok ne sérüljenek, ne vesszenek el.

Az adatkezelésre jogosult munkavállaló kizárólag csak abban az esetben jogosult a személyes adatokról másolatot készíteni, amennyiben ez az adaton való művelet elvégzéséhez, illetve az adat megóvásához elengedhetetlenül szükséges és más módon nem megoldható. A személyes adatokról készült másolatra egyebeken a személyes adatokra vonatkozó rendelkezések irányadóak.

11. Nyilvántartás

Az Adatkezelő az adatkezelési tevékenységről nyilvántartást vezet, amely az alábbiakat tartalmazza:

  • Adatkezelő neve és elérhetősége;
  • adatkezelés célja;
  • érintettek kategóriájának leírása;
  • személyes adatok kategóriájának ismertetése;
  • adattovábbítás esetében a címzettek kategóriái;
  • adatkategóriák törlésére előirányzott határidők;
  • technikai és szervezési intézkedések általános leírása.

Az adatkezelésre jogosult munkavállaló köteles eljárni annak érdekében, hogy a nyilvántartás teljes körű és naprakész legyen, ennek keretében köteles adatkezelési tevékenysége során bekövetkezett változásokat, az általa végzett adatkezelési tevékenységet felvezetni a nyilvántartásba nevének, az adatkezelés időpontjának, az adatkezelési tevékenységnek, valamint az érintettek csoportjának megjelölésével.

Az adatkezelési nyilvántartást elektronikus adatkezelés esetén a számítástechnikai rendszer rögzíti a hozzáférő személy azonosítójával, a hozzáférés idejével, valamint az adatkezelési tevékenység megnevezésével. Az érintettől származó, adatkezeléssel kapcsolatos e-mailek esetében az adatkezelést végző munkatárs az e-mail archiválásával köteles dokumentálni.

A papír alapon kezelt személyes adatokra vonatkozó adatkezelést az adatkezelést végző munkatárs köteles vezetni megnevezésével, a hozzáférés idejével, valamint az adatkezelési tevékenység megnevezésével.

Az adatkezelési nyilvántartásokhoz az Adatkezelő adatbiztonsággal foglalkozó számítástechnikai munkatársai, ügyvezetője, illetve az általa kijelölt személy, az adatvédelmi nyilvántartások vezetésének ellenőrzése, tartalmuk felülvizsgálata, nyilvántartás integritásának védelme, adatvédelmi biztonsági intézkedések felülvizsgálata, valamint adatvédelmi incidensek kivizsgálása esetén jogosult hozzáférni.

12. Adatkezelési biztonsági intézkedések felülvizsgálata

Az Adatkezelő az adatkezelés biztonságának garantálása érdekében a technikai és szervezési intézkedések hatékonyságát rendszeresen teszteli, felméri és értékeli (biztonsági intézkedések felülvizsgálata). Ennek keretében az Adatkezelő ügyvezetője, illetve az általa kijelölt személy:

  • felülvizsgálja a személyes adatokhoz való hozzáférési jogosultságokat (hozzáféréssel rendelkező személyek létszámát, munkakörét, jogosultságuk szükségszerűségét);
  • ellenőrzi az adattovábbítások jogszerűségét;
  • felülvizsgálja a jelszavak kiadásának, fenntartásának rendjét;
  • kezdeményezi a kezelt személyes adatok adatgazdaságossági szempontú felülvizsgálatát;
  • felülvizsgálja a papír alapú személyes adatok archiválására, anonimizálására vonatkozó szabályokat.

Az Adatkezelő biztonsági intézkedések felülvizsgálatát adatvédelmi incidens, az érintett bejelentése, adatvédelmi felügyeleti szerv jelzése, valamint bármely más, arra okot adó körülmény esetén, de legalább évente köteles elvégezni.

13. Adattovábbítás

Személyes adatot továbbítani jogszabály által megkívánt esetben, valamint a 4. pontban meghatározott illetékes személyek, mint a GDPR szerinti „címzettek” számára, az ott meghatározott célokból lehetséges.

A 4. pontban meghatározott illetékes személyek számára – jogszabályban meghatározott eseteken kívül, amennyiben a címzett adatkezelőnek minősül – akkor lehetséges az adat továbbítása, ha vele az Adatkezelő a mindenkori jogszabályoknak megfelelő tartalmú, a személyes adatok jogszabály szerinti kezelésére vonatkozó megállapodást kötött. A jelen pontnak megfelelő mindenkori címzettek listáját az Adatkezelő a jelen Szabályzathoz mellékletként csatolja, illetve adatkezeléssel foglalkozó munkavállalói számára hozzáférhetővé teszi.

Amennyiben személyes adatot tartalmazó dokumentum vagy más információ-hordozót olyan továbbítása vagy felfedése válik szükségessé, hogy az a személyes adatok felfedését egyébként nem teszi szükségessé, úgy a személyes adatokat tartalmazó dokumentumot vagy más információ-hordozót anonimizálni kell a személyes adatok törlésével, olvashatatlanná tételével.

A személyes adatokat SMS-ben vagy telefonon továbbítani tilos.

Személyes adat fizikai adathordozón kizárólag olyan zárt borítékban lehet továbbítani, ami állagának sérelme nélkül nem bontható ki.

Az Adatkezelő mindenkori leányvállatairól/tagvállalatairól nyilvántartást vezet. Amennyiben a leányvállalat/tagvállalat az Európai Unión/EGT államokon belül található, úgy az adattovábbításra a GDPR szabályainak alkalmazásával akkor kerülhet sor akként, ha az az adott cél eléréséhez feltétlenül szükséges. Amennyiben a leányvállalat/tagvállalat az Európai Unión/EGT tagállamokon kívül található, úgy az adattovábbításra a 14. pontban foglaltak figyelembevételével kerülhet sor.

14. Adattovábbítás harmadik országba

A 4. pontban meghatározottak megtartásával személyes adatot harmadik országba továbbítani akkor lehet, ha:

  • a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, illetve nemzetközi szervezetek megfelelő védelmi szintet biztosít, vagy
  • megfelelő garanciák állnak rendelkezésre, vagy
  • az alábbiakban meghatározott kivételek szerint.

A Bizottság közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet. A Bizottság megállapítása alapján megfelelő védelmi szinttel rendelkező országba történő továbbítás nem igényel külön engedélyt.

Amennyiben a Bizottság nem állapította meg a megfelelőséget, úgy adatot továbbítani:

  • a Bizottság külön engedélye nélkül, a GDPR 46. cikk (2) bekezdésében foglaltak szerint, míg
  • a Bizottság külön engedélyével a GDPR 46. cikk (3) bekezdésében foglaltak szerint, míg
  • a NAIH jóváhagyásával a GDPR 47. cikkében foglaltak szerinti kötelező erejű vállalati szabályok alkalmazásával

lehet.

Fentiektől eltérően, Bizottsági megfelelőségi határozat és garanciák hiányában is továbbítható személyes adat az alábbi esetek valamelyikében:

  • érintett kifejezett hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az abból fakadó esetleges kockázatokról;
  • az érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kéréséré hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
  • az Adatkezelő és valamely más személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
  • jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
  • az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
  • a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Az előző bekezdés szerint, a Bizottsági megfelelőségi határozat és garanciák hiányában továbbítandó személyes adatok harmadik országba történő továbbítása akkor lehetséges, ha

  • az adattovábbítás nem ismétlődő;
  • korlátozott számú érintettre vonatkozik;
  • olyan kényszerítő erejű jogos érdek miatt szükséges, amely elsőbbséget élvez az érintett érdekei, jogai és szabadságai előtt;
  • az Adatkezelő az adattovábbítás minden körülményét előzetesen megvizsgálja, a vizsgálatot dokumentálja; valamint
  • a vizsgálat alapján megfelelő garanciákat nyújt az adatok védelmére, a garanciákat dokumentálja.

15. Személyes adatok módosítása, helyesbítése, törlése

Elektronikus adatkezelés esetében a személyes adatok megadásával megegyező technikai megoldással kell biztosítani az érintett számára ahhoz, hogy személyes adatait módosítani, helyesbíteni, illetve törölni tudja. Az érintett számára továbbá lehetővé kell tenni, hogy e-mailen keresztül kérelmezni tudja személyes adatainak módosítását, helyesbítését, illetve törlését.

Papír alapú adatkezelés esetében az érintett számára lehetővé kell tenni, hogy a személyes adatok megadásával megegyező technikai megoldással tudja személyes adatait módosítani, helyesbíteni, illetve törölni.

Amennyiben az érintett személyes adatait nem tudja közvetlenül módosítani, helyesbíteni, illetve törölni, úgy az adatkezelésre jogosult munkatárs haladéktalanul, de legkésőbb a kérés beérkezésétől számított 3 munkanapon belül köteles a személyes adatot az érintett jelzése alapján módosítani, helyesbíteni, illetve törölni, valamint ennek tényéről az érintettet értesíteni – a módosítási, helyesbítési, illetve törlési jelzés beérkezésének formájától függően – e-mailen, illetve postai úton.

Az érintett személyes adatait indokolatlan késedelem nélkül törölni kell, ha az alábbi indokok valamelyike fennáll:

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más (különösen jogszabály alapján kötelező adatkezelési) jogalapja;
  • az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  • az érintett tiltakozik közvetlen üzletszerzés céljából folytatott adatkezelés ellen;
  • a személyes adatokat jogellenesen kezelték;
  • a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

Az elektronikusan tárolt személyes adatokat, amennyiben a felsorolt indokok bármelyikét észleli, az adatkezelésre illetékes személynek törölnie kell. Az elektronikusan tárolt személyes adatok integritását védő biztonsági másolatot az arra illetékes számítástechnikai munkatárs köteles a következő biztonsági másolat elkészítésével egy időben törölni.

A papír alapon, illetve fizikai adathordozón tárolt személyes adatok esetében a személyes adatot az adatkezelésre illetékes személy iratsemmisítő alkalmazásával vagy erre jogosult szolgáltató útján köteles megsemmisíteni. Amennyiben a dokumentum a kötelezően törlendő személyes adaton kívül további személyes adatot is tartalmaz, úgy amennyiben az lehetséges, a személyes adatot törölni kell a dokumentumból a dokumentum további részeinek sérelme nélkül. Amennyiben a törlendő személyes adat a dokumentumból nem törölhető véglegesen a nélkül, hogy ez a dokumentum többi részét ne veszélyeztetné, úgy a dokumentum személyes adatot tartalmazó részéről olyan másolatot kell készíteni, amely a törlendő személyes adatot már nem tartalmazza és az eredeti, törlendő személyes adatot tartalmazó dokumentumot – a fentiek szerint, amennyiben annak eredeti példányára vonatkozóan nem vonatkozik megőrzési kötelezettség – meg kell semmisíteni. Amennyiben az eredeti példányt meg kell őrizni, úgy a másolat elkészítése után az eredeti dokumentumot az adatkezelésre illetékes személy köteles haladéktalanul archiválni.

A személyes adat nem törölhető, amennyiben az adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a személyes adatok kezelését előíró, az adatkezelős alkalmazandó jog szerinti kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
  • közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Amennyiben a személyes adatok módosítására, helyesbítésére, illetve törlésére több adatkezelésre jogosult illetékes személy is van, úgy:

  • elsősorban a személyes adatot éppen kezelő illetékes személy,
  • amennyiben több ilyen is van, úgy az ügyvezető által kijelölt illetékes személy

köteles eljárni.

Amennyiben a törléssel érintett személyes adat továbbításra került, úgy a törlésért felelős személy köteles a személyes adat törlésére felszólítani a címzettet. A felszólításnak tartalmaznia kell a személyes adatot, a törlendő személyes adatot, a törlés indokát, valamint azt, hogy a címzett köteles a törlésről értesíteni az Adatkezelőt. Amennyiben az érintett azt kéri, úgy az Adatkezelő tájékoztatja az érintettet e címzettekről, valamint az adatok törléséről.

A személyes adatok törlésének tényét a törlést végző illetékes személy úgy köteles dokumentálni, hogy abból az érintett személye nem azonosítható, illetve rá nézve nem vonható le következtetés.

16. Adatkezelés érintett általi korlátozása

Az érintett a személyes adatok módosításra, helyesbítésre és törlésre vonatkozó szabályok értelemszerű alkalmazásával kérheti az Adatkezelőt, hogy személyes adatinak kezelését korlátozza, amennyiben az alábbi indokok valamelyike teljesül:

  • érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelési céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen, ebben az esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Amennyiben az érintett a fenti indokok valamelyikével kéri személyes adatainak korlátozott kezelését, úgy a vonatkozó személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy valamely Európai Uniós tagállam fontos közérdekéből lehet kezelni.

A korlátozást fel kell oldani, amennyiben annak fentiek szerinti alapja nem áll fenn. A korlátozás feloldásáról az érintettet a feloldás előtt tájékoztatni kell ugyan azon a módon, ahogyan korlátozás iránti kérelme érkezett. Amennyiben ez nem lehetséges, úgy az érintett számára – amennyiben lehetséges, úgy – e-mailt, illetve postai levelet kell küldeni.

17. Érintett tiltakozása személyes adatainak kezelése ellen

Az érintett tiltakozhat személyes adatinak kezelése ellen, amennyiben azok kezelése:

  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Amennyiben az érintett ezen személyes adatainak kezelése ellen tiltakozik, úgy a személyes adatok nem kezelhetőek tovább, kivéve, amennyiben bizonyítható, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. A feltételek fennálltát eseti jelleggel kell vizsgálni.

Az érintett továbbá jogosult tiltakozni személyes adatainak közvetlen üzletszerzés céljából (ideértve a profilalkotást is) való kezelése ellen is. Az érintett tiltakozása esetén a személyes adatok a továbbiakban nem használhatóak közvetlen üzletszerzés céljára.

18. Érintett tájékoztatáshoz való joga

Az érintett jogosult tájékoztatást kérni arról, hogy

  • adatainak kezelése folyamatban van-e;
  • az adatkezelés céljáról;
  • személyes adatinak kategóriáiról;
  • adattovábbítás címzettjeiről, ennek kategóriáiról;
  • adatkezelés tervezett időtartamáról, időtartam meghatározásának szempontjairól;
  • adatinak helyesbítését, törlését, kezelésének korlátozását, tiltakozhat adatainak kezelése ellen;
  • ha nem közvetlenül tőle vették fel az adatot, akkor ennek forrásáról;
  • automatizált döntéshozatalról és profilalkotásról.

Az érintett a fentiek szerinti tájékoztatást e-mailben, személyesen vagy levél útján papír alapon, valamint honlapon történő regisztráció esetében regisztrációjának kezelésével megegyező helyen, a honlapon keresztül is jogosult kérni.

Az érintett kérése az adatkezelésre jogosult személy köteles az érintett rendelkezésére bocsátani az általa kezelt személyes adatok másolatát. Amennyiben a kérelem elektronikus úton érkezett – és az érintett nem papír alapon kér másolatot –, úgy a másolatot elektronikus úton kell megküldeni, széles körben használt elektronikus formátumban. A kezelt adatok körétől függően a széles körben használt elektronikus formátumnak minősül különösen a PDF, doc, docx, xls, xlsx kiterjesztésű file-formátum. Amennyiben a kérelem nem elektronikus úton érkezett, illetve amennyiben az érintett ezt kérte, úgy a másolatot papír alapon kell elkészíteni és az érintett rendelkezésére bocsátani. Amennyiben az érintett részére a papír alapú másolat postai úton kerül megküldésre, úgy az érintettet tájékoztatni kell a postaköltségről és arról, hogy ennek költségét köteles viselni.

Az érintett számára a tájékoztatást díjmentesen kell biztosítani, kivéve, ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó. Amennyiben a tájékoztatás díjköteles, úgy a díjat az érintettnek előre kell megfizetni az Adatkezelő részére, vagy – amennyiben a díjat nem hajlandó megfizetni – az érintett kérelmének teljesítését meg kell tagadni. A díjat a tényleges adminisztratív költségekkel megegyező mértékűnek kell lennie.

19. Eljárás adatvédelmi incidens esetén

Az Adatkezelő minden munkavállalója köteles haladéktalanul jelenteni az Adatkezelő ügyvezetője felé, ha adatvédelmi incidens jut a tudomására. A jelentésnek – lehetőség szerint – legalább az alábbi adatokat kell tartalmaznia:

  • incidens jellegét;
  • érintettek kategóriáit és hozzávetőleges számát;
  • személyes adatok kategóriáit és hozzávetőleges számát;
  • incidens lehetséges következményeit.

Az Adatkezelő ügyvezetője, vagy az általa meghatalmazott személy köteles – a GDPR 33. cikk (1) bekezdésében foglaltak szerint – indokolatlan késedelem nélkül, de legkésőbb az incidens tudomására jutásától számított 72 órán belül bejelenteni az illetékes felügyeleti hatóságnak. A bejelentésnek legalább az alábbiakat kell tartalmaznia:

  • adatvédelmi incidens jellegét, érintettek kategóriái és hozzávetőleges számát;
  • személyes adatok kategóriáit és hozzávetőleges számát;
  • Adatkezelő kapcsolattartójának nevét és elérhetőségét;
  • adatvédelmi incidensből eredő valószínűsíthető következményeket;
  • adatvédelmi incidens orvosolására, illetve a következmények enyhítésére tett vagy tervezett intézkedéseket.

Amennyiben az adatvédelmi incidens vélhetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a GDPR 34. cikkében foglaltak szerint, legalább az alábbiakról tájékoztatja az érintetteket:

  • Adatkezelő kapcsolattartójának nevéről és elérhetőségéről;
  • adatvédelmi incidensből eredő valószínűsíthető következményekről;
  • adatvédelmi incidens orvosolására, illetve a következmények enyhítésére tett vagy tervezett intézkedésekről.

Az érintetteket nem kell értesíteni, amennyiben legalább az egyik alábbi feltétel teljesül:

  • adatvédelmi incidensben érintett személyes adatok megfelelő technikai vagy szervezési védelemmel – így különösen titkosítással – voltak ellátva, így arra illetéktelen személyek számára azok értelmezhetetlenek;
  • adatvédelmi incidenst követően olyan további intézkedésekre került sor, amelyek biztosítják, hogy a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.

20. Titoktartás

Az érintettek személyes adatait az Adatkezelő minden munkatársa, tulajdonosa, vállalkozója vagy megbízója köteles szigorúan bizalmasan kezelni, a személyes adatokat illetéktelen személy részére tilos átadni, azokról tájékoztatást nyújtani.

21. Szabályzat módosítása

A jelen Szabályzat módosítását az Adatkezelő a helyben szokásos módon közli az adatkezelésre jogosult munkavállalókkal.

22. Alkalmazandó jog

A jelen Szabályzatban nem szabályozott kérdésekben a GDPR, valamint a mindenkori magyar jogszabályok (így különösen az 2011. évi CXII. tv., 2008. évi XLVIII. tv., az 1998. évi VI. tv., valamint a 2005. évi CXXXIII. tv. szabályai) az irányadóak.

Budapest, 2020. március 16.

1. számú melléklet

Személyes adatok kezelésére szolgáló felhasználói névvel és jelszóval rendelkező munkakörök

A file-t vagy elektronikus rendszert titkosítani kell úgy, hogy ahhoz kizárólag az adatkezelést végző személy azonosítására alkalmas felhasználónévvel, valamint a felhasználónévhez tartozó egyedi jelszóval tudjon hozzáférni. A file vagy elektronikus rendszer elérésére szolgáló felhasználónév-jelszó páros csak a jelen szabályzat mellékletében felsorolt munkakört betöltő munkavállalók számára adható ki.

2. számú melléklet

Érintettek részére szolgáló adatkezelési tájékoztatók

A 4. pontban meghatározott illetékes személyek számára – jogszabályban meghatározott eseteken kívül, amennyiben a címzett adatkezelőnek minősül – akkor lehetséges az adat továbbítása, ha vele az Adatkezelő a mindenkori jogszabályoknak megfelelő tartalmú, a személyes adatok jogszabály szerinti kezelésére vonatkozó megállapodást kötött. A jelen pontnak megfelelő mindenkori címzettek listáját az Adatkezelő a jelen Szabályzathoz mellékletként csatolja, illetve adatkezeléssel foglalkozó munkavállalói számára hozzáférhetővé teszi.