1.    A szabályzat célja és hatálya

A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDPR. 12. cikkében meghatározott érintetti tájékoztatáshoz való jog megvalósulását.

A Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

A Szabályzat időbeli hatálya 2019. szeptember 1-től visszavonásig tart.

2.    Fogalmak

• Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.);
• Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.);
• Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatoka, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);
• Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);
• Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);
• Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);
• Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:
  • tájékoztatás joga,
  • hozzáférési jog,
  • helyesbítéshez való jog,
  • törléshez való jog,
  • adatkezelés korlátozhatóságához való jog,
  • adathordozhatósághoz való jog,
  • tiltakozáshoz való jog;
• Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés);
• Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);
• Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);
• Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);
• Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);
• Adatkezelés korlátozásához való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. 1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
   2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
   3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
   4. az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. [GDPR 18. cikk. (1)]

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);

• Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);
• Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);
• Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);
• Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);
• Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);
• EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);
• Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.);
• Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);
• Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);
• Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);
• Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);
• Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.);
• Kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó Szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ (GDPR 4. cikk 20.);
• A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása: 1) adattovábbítás megfelelőségi határozat alapján, 2) adattovábbítás megfelelő garanciák alapján, 3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított az eltérés lehetősége különös helyzetekben történhet. (GDPR 44-50. cikk)
• Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);
• Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);
• Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);
• Tevékenységi központ:

1. 1. az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira, eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
   2. az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra a Rendelet szerint meghatározott kötelezettségek vonatkoznak. [GDPR 4. cikk 16.];

• Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.);
• Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.);
• Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.);

(Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)

• Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:

1. 1. az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
   2. az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy
   3. panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.);

• Személyes adatok határokon átnyúló adatkezelése:

1. 1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
   2. b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;(GDPR 4. cikk 23.);

• Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.);
• Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen Szabályzat megalkotásakor a GDPR) fogalommagyarázatai eltérnek jelen Szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadók.

3.    Az adatkezelések szabályai

Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és az adatvédelmi tisztviselő (DPO) ellenőrizheti. Az adatvédelmi tisztviselő neve és elérhetősége az 1. sz. melléklet-ben található.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni (2. sz. melléklet).

Ha a Szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött megbízási szerződésben érvényesítendők. Az adatfeldolgozóval a Társaság a GDPR által előírt Adatfeldolgozói szerződést köt (3. sz. melléklet).

4.    A Társaság adatvédelmi rendszere

A Társaság vezérigazgatója a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

A Szabályzatban előírtak betartatásáért a feladatkörében minden érintett önálló szervezeti egység vezetője felelős.

A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

A Társaság adatvédelmi rendszerének felügyeletét a vezérigazgató látja el, egy általa kinevezett vagy megbízott adatvédelmi tisztviselő útján.

Az adatvédelmi tisztviselőt szakmai rátermettség, az adatvédelmi jog és gyakorlat szakértői szintű ismerete alapján kell kijelölni.

A Társaság az adatvédelmi tisztviselő nevét és elérhetőségét közzéteszi honlapján, valamint bejelenti ezen adatokat a NAIH részére.

A Társaság biztosítja az adatvédelemi tisztviselő részére a feladat ellátásához szükséges forrásokat, valamint azt, hogy a feladatai ellátása során utasításokat senkitől ne fogadjon el, ezen feladatai ellátásával összefüggésben nem bocsátható el és szankcióval sem sújtható. Az adatvédelmi tisztviselő szervezetileg közvetlenül a Társaság vezérigazgatójának tartozik felelősséggel.

Az adatvédelmi tisztviselő a vezérigazgató közvetlen felügyeletével szervezi, irányítja és ellenőrzi a Társaság adatvédelmi és adatbiztonsági rendszerét. Az adatvédelmi tisztviselő felett a munkáltatói vagy szerződésben meghatározott jogokat a Társaság vezérigazgatója gyakorolja.

A vezérigazgató adatvédelemmel kapcsolatos feladatai:

1. felelős az érintettek GDPR-ban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
2. felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
3. felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
4. felügyeli az adatvédelmi tisztviselő tevékenységét;
5. vizsgálatot rendelhet el;
6. kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.

Az adatvédelmi tisztviselő adatvédelemmel kapcsolatos feladatai:

1. segítséget nyújt az érintett jogainak biztosításában;
2. minden év január 15-ig jelentést készít a ügyvezető részére a Társaság adatvédelmi feladatainak végrehajtásáról;
3. jogosult jelen Szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
4. vezeti az adattovábbítási nyilvántartást;
5. részt vesz a NAIH által szervezett adatvédelmi tisztviselők konferenciáján;
6. figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen Szabályzat módosítását;
7. közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
8. általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg;
9. tájékoztatást és szakmai tanácsot ad a Társaság adatvédelmi jogszabályokban előírt kötelezettségeinek ellátásával kapcsolatban;
10. ellenőrzi az adatvédelmi jogszabályoknak, valamint a Társaság belső Szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyek tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
11. kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
12. együttműködik a NAIH-val;
13. az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint bármely egyéb kérdésben konzultációt folytat a Hatósággal.

A rendszergazda adatvédelemmel kapcsolatos feladatai:

1. a) ellátja a munkaköri leírásában meghatározott rendszergazdai feladatokat;
2. b) ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására;
3. c) a közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik;
4. d) használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását);
5. e) a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról;
6. f) igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban;
7. g) elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását;
8. h) vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését;
9. i) szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről;
10. j) ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül;
11. k) üzemzavar esetén elvégzi az informatikai rendszerek újra indítását, a hálózat alkalmazásainak és adatainak a visszatöltését;
12. l) folyamatosan üzemelteti a számítógépes hálózatot;
13. m) igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél;

5.    Adatvédelmi incidens kezelése

Adatvédelmi incidens észlelése és jelentése

A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a szervezeti egysége vezetőjének, valamint az adatvédelmi tisztviselőnek. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor a bejelentést az informatikáért felelős személynek (a továbbiakban: rendszergazda) is meg kell küldeni.

A bejelentés beérkezését követően az adatvédelmi tisztviselő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

Adatvédelmi incidens kivizsgálása, értékelése

Az adatvédelmi tisztviselő–informatikai rendszert érintő incidens esetén a rendszergazdával együttműködve – megvizsgálja a bejelentést és amennyiben szükséges, a bejelentőtől további adatokat kér az incidensre vonatkozóan. Az adatvédelmi tisztviselő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, egyéb körülményeit, az érintett adatok körét, mennyiségét, az érintett személyek körét és számát, a várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.

A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíti az adatvédelmi tisztviselő részére.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel az adatvédelmi tisztviselő az informatikussal, valamint egyéb, a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.

A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és szabadságaira, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.

A vizsgálat eredményeként az adatvédelmi tisztviselő javaslatot tesz az adatvédelmi incidenssel érintett szervezeti egység vezetőjének az incidenskezeléshez szükséges intézkedések megtételére.

A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében a rendszergazdával egyetértésével – dönt.

A vizsgálatot legkésőbb a bejelentés az adatvédelmi tisztviselőhöz érkezésétől számított 72 órán belül be kell fejezni és a vizsgálat eredményéről a Társaság vezérigazgatóját az adatvédelmi tisztviselő tájékoztatja.

Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet.

A nyilvántartás tartalmazza:

• az érintett személyes adatok körét,
• az adatvédelmi incidenssel érintettek körét és számát,
• az adatvédelmi incidens időpontját,
• az adatvédelmi incidens körülményeit, hatásait,
• az elhárítására megtett intézkedéseket és
• egyéb jogszabályban előírt adatokat.

Az adatvédelmi incidensnyilvántartás (4. sz. melléklet) pontos vezetéséről, aktualizálásáról az adatvédelemi tisztviselő gondoskodik.

Az adatvédelmi incidens bejelentése a Hatóság részére

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelemi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A hatósági bejelentésnek tartalmaznia kell:

• az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
• az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
• az adatvédelmi incidens jellegét, körülményeit,
• az adatvédelmi tisztviselő nevét és elérhetőségét,
• az adatvédelmi incidens valószínűsíthető következményeit és
• az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Az érintettek tájékoztatása az adatvédelmi incidensről

Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő haladéktalanul értesíti az érintetteket és erről a Társaság vezérigazgatóját is értesíti. Az értesítendők listáját az 5. sz. melléklet tartalmazza.

Nem kell az érintetteket tájékoztatni:

• ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét.
• ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.
• ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

6.    Rendszeres tréningek

Az adatvédelmi tisztviselő jelen Szabályzat 12 pontjában foglaltak szerint gondoskodik az adatvédelmi tudatosság növelése céljából adatvédelmi incidensekkel kapcsolatos oktatásról, mely során a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, vagy a lehetséges adatvédelmi incidensek veszélyeit ismerteti, elemzi, a kockázatok csökkentésével, megelőzésével kapcsolatosan tájékoztatást ad, illetve az ismereteket ellenőrzi.

7.    Hatásvizsgálat

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően a Társaság hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlenegy hatásvizsgálat keretében is elvégezhetők.

A hatásvizsgálatot főszabály szerint az adatvédelmi tisztviselő végzi. Amennyiben nem ő végzi, úgy a Társaság köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát.

A Társaság jelen Szabályzat 6. sz. mellékletében leírt szempontrendszer figyelembevételével elvégzi a hatásvizsgálatot.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni.

A személyes adatok kezelésével kapcsolatosan az Adatkezelő kötelezettsége továbbá a kockázatelemzés, amelynek lépései a következők:

• a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
• kockázati lista felállítása,
• az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása és
• ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.

Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét és el kell különíteni az objektív és szubjektív kockázati elemeket.

Az elemzés során el kell jutni a teljes kockázatértékelési rendszer kialakításáig, amelyben teljes kockázatpotenciál és kockázat prioritási sorrend (nem az intézkedési rendszerrel azonos) megállapításának kell megtörténnie. Az elemzés menetét és eredményeit írásba kell foglalni.

A kockázatpotenciálnál meg kell határozni a valószínűség szempontjából

• kicsi
• közepes
• és nagy bekövetkezésű kockázatokat,

illetve horderő szempontjából

• kicsi
• közepes
• és nagy horderejű kockázatokat.

Ez a meghatározás alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében. A kockázatelemzés végrehajtásáért az adatvédelmi tisztviselő felel.

Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor a Társaság az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során a Társaság csatolja:

• az elvégzett hatástanulmányt,
• az adatvédelmi tisztviselő nevét, elérhetőségét,
• az adatkezelési folyamatban résztvevő adatkezelő(k), adatfeldolgozó(k)feladatköreinek felsorolását,
• az adatkezelés célját, módját és
• az érintettek jogainak, szabadságainak biztosítása védelmében hozott intézkedéseket, garanciákat.

8.    Érdekmérlegelés

A GDPR rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.

Amennyiben a jogalapot a GDPR 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

Az adatkezelés jogszerűségének vizsgálatához a Társaság elvégez egy érdekmérlegelési tesztet, mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja.

Az érdekmérlegelési teszt során a Társaság azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja a Társaság. A Társaság a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát stb.

Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi a Társaság, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére.

A súlyozás elvégzése alapján a Társaság megállapítja, hogy kezelhető-e a személyes adat.

A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy a Társaság az érintett beleegyezése nélkül kezeli a személyes adatot, tehát a Társaság adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait. A Társaság tájékoztatja az érintetteket a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozás lehetőségeiről.

Lehetséges forgatókönyv, melytől való eltérés jogát a Társaság fenntartja:

1. lépés: a Társaság a tervezett adatkezelés megkezdése előtt áttekinti, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
2. lépés: a Társaság a jogos érdekét a lehető legpontosabban meghatározza.
3. lépés: a Társaság meghatározza, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek.
4. lépés: a Társaság meghatározza, hogy az érintetteknek mik lehetnek az érdekeik az adott adatkezelés vonatkozásában (például azok a szempontok, amelyeket az érintettek felhozhatnának az adatkezeléssel szemben).
5. lépés: a Társaság elvégzi jogos érdekeinek és az érintettek érdekeinek, alapjogainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e. A Társaság meghatározza, hogy miért korlátozza arányosan a Társaság jogos érdeke – és az ennek alapján végzett adatkezelés – a 4. lépésben meghatározott érdekelti jogokat, várakozásokat.
6. lépés: a Társaság meghatározza, mely garanciák biztosíthatják az adatkezelés szükségességét-arányosságát (természetesen más garanciális intézkedések is alkalmazhatók).

A Társaság jelen Szabályzat 7. sz. mellékletében leírt szempontrendszer figyelembevételével végzi el az érdekmérlegelést.

9.    Adatbiztonsági szabályok

Papíralapon kezelt adatok védelme

A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
• a dokumentumokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
• a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
• a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
• a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Ebben az esetben a Társaság kijelöl egy munkavállalót, aki a megsemmisítésért felelős. A megsemmisítésért felelős munkavállaló a megsemmisítéssel érintett szervezeti egység bevonásával állítja össze a megsemmisítendő iratcsomagot. A megsemmisítésen háromtagú Megsemmisítési Bizottság vesz részt. A megsemmisítésről jelen Szabályzat 8. sz. mellékletét kell kitölteni.

Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy annak megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.

Informatikai védelem

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír;
• a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről Társaság rendszeresen, illetve indokolt esetben gondoskodik;
• az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
• a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
• a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el;
• a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, amely a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik;
• a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.

Szerverek biztonsága

Az informatikai rendszer működését saját, illetve bérelt szerver gépek szolgálják. A cégnél lévő szerver zárt helyiségben található, hozzáférése csupán a vezérigazgató által engedélyezett személyeknek van. A saját szerverek fizikai biztonságáról (klimatizálás, tűzjelzős védelem, riasztó) a Társaság, a bérelt szerverek esetében a szolgáltatást nyújtó cég gondoskodik.

Jogosultságkezelés

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.

A szabályozás kiterjed az elektronikus megfigyelőrendszerek informatikai rendszerére és az azokhoz csatlakozó eszközökre is.

Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, módosítása, megszűnése) dokumentálni kell.

A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:

• Alapelvek
  • Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján a rendszergazda végzi.
  • A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
  • El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek.
  • Adminisztrátori jogosultsággal rendelkező nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezérigazgatója vagy akadályoztatása esetén helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
  • Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.

Jogosultságkezelési folyamat

Jogosultságigénylésre, módosításra vonatkozó igényt a rendszergazdának kell jelezni.

A rendszergazda minden esetben konzultál a jogosultság megadásáról vagy módosításáról annak indokoltsága tekintetében a jogosultság birtokosával és az igénylő feletti munkáltatói jog gyakorlójával. A jogosultság megadásával vagy módosításával kapcsolatosan a vezérigazgatónak és az igénylő feletti munkáltatói jog gyakorlójának vétójoga van.

A megszületett döntést követően a rendszergazda által kijelölt munkatárs beállítja a jogosultságokat, amelyről visszaigazolást küld az igénylő felé.

A jogosultság birtokosának munka- vagy egyéb jogviszonya megszűnésével közvetlen felettesének kötelessége értesíteni a rendszergazdát, valamint a munkáltatói jogok gyakorlóját a jogosult eddig birtokolt jogosultságainak törlése érdekében.

A jogosultság megszűnése esetén a jogosult felettese a megszűntetési kérelmét jelzi a rendszergazdának, aki gondoskodik a jogosultság törléséről. Ezt követően a rendszergazda vagy az általa megbízott munkatárs visszajelzést küld a törlést kezdeményezőnek.

Áthelyezés esetén a korábbi munkakör feletti munkáltatói jogokat gyakorló felettes és az új munkakör feletti munkáltatói jogokat gyakorló felettes egyetemlegesen kötelesek gondoskodni a régi jogosultságok törlésének, módosításának vagy új jogosultságok felvételének kezdeményezéséről.

Az informatikai rendszerben a kilépő felhasználók profiljait fel kell függeszteni, használaton kívül kell helyezni. A felhasználói fiókok törlése a rendszerek ellenőrzését követően történhet meg, ha a törlés nem okoz adatvesztést.

A jogosultságok nyilvántartása a Társaság ügyviteli rendszerében történik

10.   Álnevesítés

Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel a Társaság az ilyen további információt külön tárolja, technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

Az álnéven történő adatkezelést a Társaság  nagyobb fokú biztonság érdekében, valamint a statisztikai célra gyűjtendő adatok vagy a fejlesztés, tesztelés, karbantartás alatt álló rendszerek esetében a tesztadatok tekintetében végez, mivel a személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint a Társaság ezáltal könnyebben meg tud felelni az adatvédelmi kötelezettségeinek.

Az álnevesítés személyes adatok kezelése során történő alkalmazásának ösztönzése céljából lehetővé teszi az álnevesítésre irányuló intézkedések és az általános elemzés egyidejű alkalmazását a Társaság szervezetén belül. A Társaság továbbá biztosítja, hogy az ahhoz szükséges további információkat, amelyek által a személyes adatokat egy adott érintetthez lehessen kapcsolni, elkülönítve tárolják. A Társaságnál az adatvédelmi tisztviselő az, aki ugyanazon a szervezeten belül feljogosított személynek minősül.

A természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli a Rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy az Adatkezelő igazolni tudja a Rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit.

A Társaság törekszik – a GDPR-nak való megfelelés érdekében – a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést, a Társaság pedig biztonsági elemeket hozhasson létre és tovább fejleszthesse azokat. 

11.   Oktatás és tréningrendszer

Kiemelt területként kell kezelni a munkavállalók kapcsán a biztonságtudatossági képzést a szervezet informatikai és nem informatikai alkalmazottai részére.

A biztonságtudatos magatartás komoly üzleti károkat okozó hibák és támadások megelőzésében játszhat szerepet.

Nem elegendő a megfelelően kidolgozott IT biztonsági szabályzat, információbiztonsági rendelkezések és adatvédelmi és adatbiztonsági szabályozás megléte a szervezetben, a munkavállalókban rendszeres képzések, tréningek során kell tudatosítani, hogy a kialakított szabályrendszer és az IT eszközök önmagukban nem képesek garantálni a szervezet számára az adat- és információbiztonságot, ehhez a napi munkatevékenységük során felelős magatartásukkal a dolgozóknak is hozzá kell járulniuk.

A munkavállalók megfelelő képzése a képzést követően kimutathatóan kevesebb biztonsági incidenst eredményez, ami a közvetlen adatvesztésből és esetleges adatvédelmi birságból eredő károkon túl a pénzügyi eredményekben is nyilvánvalóan megmutatkozik.

A munkavállalók általános adatvédelmi-információbiztonsági tréning rendje hathavonta (kapcsolható más rendszeres képzésekhez, tréningekhez pl. tűz- és munkavédelem) egy óra időtartamban történjen. Ez vonatkozik az informatikai és nem informatikai munkavállalókra egyaránt.

Külön tréningrendet kell biztosítani az informatikai, különösen a rendszergazdai feladatokat ellátók részére. Ennek célja, hogy kizökkentse a képzés alatt állókat a megszokott munkamenetükből és feltárja előttük a rosszindulatú támadások, hekkerek által folyamatosan fejlesztett aktuális támadási szemléletet, rámutasson az aktuális trendek szerint jellemzően keresett gyenge pontokra és segítse őket abban, hogy érzékelt behatolási kísérlet esetén milyen megoldásokat preferáljanak a támadások elhárítására és a kockázat alacsony szinten tartásának érdekében.

12.   Az érintettek jogainak érvényesítése

Tájékoztatás joga

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről.

Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A tájékoztatás főszabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

Hozzáférés joga:

Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

1. az adatkezelés célja;
2. az érintett személyes adatok kategóriái;
3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket, nemzetközi szervezeteket;
4. a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges ezen időtartam meghatározásának szempontjai;
5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
8. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsássa. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. kivéve, ha az érintett máshogy kéri.

Helyesbítés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

Törlés és elfeledtetés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

1. a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
2. b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
3. c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
4. d) a személyes adatokat jogellenesen kezelték;
5. e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
6. f) a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;

Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

Korlátozáshoz/zároláshoz való jog

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
4. az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az érintetett kérésére az Adatkezelő tájékoztatja e címzettekről.

Adathordozhatósághoz való jog

Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén – jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

Tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

Az érintett tiltakozhat személyes adatának kezelése ellen:

• ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
• ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
• törvényben meghatározott egyéb esetben.

Az Adatkezelő a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.

Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Ha az Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelmi tisztviselőtől, aki azt három napon belül teljesíti.

Bírósághoz fordulás joga és panasztétel joga

Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett jogorvoslati kérelmet, panaszt nyújthat be NAIH-hoz (1125 Budapest, Szilágyi Erzsébet fasor 22/C.) és élhet – lakóhelye vagy tartózkodási helye szerint illetékes törvényszéknél is – bírósági jogorvoslati jogával.

13. A Társaságnál megvalósuló adatkezelések

Az adatkezelés helye:

Székhely: 1046 Budapest, Vécsey Károly u. 101.

13.1.  Szolgáltatási tevékenységgel összefüggő adatkezelés

A Társaság fő tevékenységi körébe az alábbiak tartoznak:

• Enterprise (ERP) vállaltirányítási rendszer, illetve un. dobozos számlázó, készletkezelő és gyártástámogató szoftverek értékesítése;
• „Felhő alapú” ügyviteli rendszer szolgáltatás;
• NOSZA rendszer üzemeltetése;
• egyedi megrendelések szerinti szoftverfejlesztések készítése;
• egyedi megrendelés szerinti szerver telepítések és karbantartások végzése;
• EKAER feladási szolgáltatás nyújtása (internetböngészővel, illetve ügyviteli rendszer részeként)
• Anywhere fejlesztések (Társaság vagy ügyfél szerverén futó)

A Társaság a szolgáltatási tevékenységét érintő értékesítési, beszerzési, pénzügyi és egyéb munkafolyamatok kapcsán cégekkel, egyéni vállalkozókkal áll üzleti kapcsolatban.

Személyes adatot csak a szerződést kötő/kötni szándékozó – nem természetes személy – partner kapcsolattartója, szerződés teljesítésében részt vevő dolgozója, továbbá a Társaság saját dolgozója adatai (név, telefonszám, e-mail cím) tekintetében kezel, a szerződés teljesítése céljából.

A szerződéskötések egyéni írásbeli szerződés megkötésével vagy ÁSZF elfogadásával történnek.

Az üzleti partnerek által – a Symbol Tech fejlesztette rendszerekben és saját, valamint az általa bérelt szerverein – kezelt személyes adatok vonatkozásában a Társaság nem adatkezelő. Amennyiben az ügyféllel kötött szerződés értelmében (pl.: távoli segítségnyújtás, cégek adatainak tárolása bérelt szervereken) a Társaság rálát az üzleti partnere által kezelt személyes adatokra, azok vonatkozásában a Társaság, mint adatfeldolgozó jelenik meg.

A Társaság adatkezelési folyamataikhoz esetlegesen kapcsolódó adatfeldolgozókat és adattovábbítás címzettjeit a szabályzat 1. sz. melléklete tartalmazza.

adatkezelés célja:

a Társaság és a partner közötti szerződéses kapcsolattartás, a szerződés teljesítése, szolgáltatás igénybevételének biztosítása, valamint a szolgáltatás elvégzéséről, vásárlásról számla kiállítása

kezelt adatok köre:

számla kiállításhoz szükséges jogszabályban meghatározott adatkör;

kapcsolattartók és a teljesítésben részt vevők adatai, mint név, telefonszám, e-mail cím

adatkezelés jogalapja:

• Társaság és a partner között létrejött szerződésből adódóan a szerződési kötelezettségek teljesítése érdekében a Társaság saját kapcsolattartója, a teljesítésben részt vevő dolgozója adatai tekintetében:

a GDPR 6. cikk (1) bekezdés b) pontja, figyelemmel a Mt. 10. § (1) bekezdésére,

• Társaság és a partner között létrejött szerződésből adódóan a szerződésben kijelölt partner kapcsolattartójának, és a szerződés teljesítésében részt vevő adatainak a szerződés teljesítéséhez kapcsolódó kezelése tekintetében:

a szerződéses partner /másik fél/ jogos érdeke [GDPR 6. cikk (1) bekezdés f)]

Fenti jogalap vonatkozik a szerződés megkötését megelőző, szerződéskötési szándék keretében kezelt kapcsolattartói adatokra is.

• • számlázási adatok vonatkozásában GDPR 6. cikk (1) c) jogi kötelezettség teljesítése

adattárolás határideje: a szerződés megszűnését követő 8 év (2000. évi C. törvény a számvitelről)

adattárolás módja: elektronikus és papíralapú

Ügyfélszolgálattal összefüggő adatkezelés

A Társaság a termékek, illetve szolgáltatások iránt érdeklődők és a termékei felhasználói részére ügyfélszolgálatot működtet.

Az ügyfélszolgálat e-mail-en, telefonon és a Társaság honlapjain, illetve „CHAT”-en keresztül is elérhető.

A Társaság ügyfélszolgálati tevékenysége körében – felhasználók esetén – személyes adatként kizárólag kapcsolattartói adatokat kezel (név, e-mail cím, telefonszám, mely cég kapcsolattartója).

A felhasználók számára szolgáltatásként nyújtott ügyfélszolgálat igénybevételének feltételeit a Társaság honlapján közzétett „Ügyfélszolgálati szolgáltatási szabályzat” tartalmazza.

Az Ügyfélszolgálat az érdeklődők/leendő partnerek kérdéseit, észrevételeit is kezeli. Az ügyfélszolgálat a kapcsolattartó/érdeklődő személy nevét, telefonszámát, e-mail címét, üzenet témáját, a kérdés, észrevétel tárgyát kezeli.

Abban az esetben, ha a megadott adatok/információk szerint egy másik adatkezelést kell megkezdeni, úgy a Társaságon belül az illetékességgel rendelkező ügyintézési pontra kerülnek az adatok, ahol az ott részletezettek szerint zajlik tovább az adatkezelés.

adatkezelés célja: kérdések, észrevételek, valamint a felhasználók körében felmerülő problémák ügyfélszolgálaton keresztül történő kezelése

kezelt adatok köre: név, cégnév, e-mail cím, telefonszám, üzenet témája, kérdés, észrevétel tárgya

adatkezelés jogalapja:

üzleti partnerek kapcsolattartói esetén a szerződés teljesítéséhez kapcsolódó GDPR 6. cikk (1) bekezdés f) szerinti jogos érdek, érdeklődők esetén a GDPR 6. cikk (1) a) szerinti érintetti hozzájárulás

adattárolás határideje:

üzleti partnerek esetében a szerződés megszűnéséig,

érdeklődők esetén az adatfelvételtől számított 1 évig.

adattárolás módja: elektronikus

Panaszkezeléssel összefüggő adatkezelés

Amennyiben az érintett panasszal kíván élni az Adatkezelő irányába azt az alábbi módon teheti meg:

• írásban, az Adatkezelőnek címezve, az Adatkezelő központi elérhetőségeire e-mail vagy postai úton elküldött levélével;
• telefonon;
• személyesen.

A szóban érkezett panaszt a panasszal érintett terület vezető beosztású munkatársa haladéktalanul megvizsgálja és a lehető legrövidebb időn belül orvosolja. Ebben az esetben a panasz nem kerül rögzítésre.

Ha a panaszt tevő a panasz kezelésével nem ért egyet vagy a panasz azonnali kivizsgálása nem lehetséges, akkor a panaszkezeléssel megbízott munkatárs a panaszról jegyzőkönyvet vesz fel, melynek másolati példányát, személyesen közölt szóbeli panasz esetén, a panaszt tevőnek átadja, telefonon közölt szóbeli panasz esetén megküldi.

A jegyzőkönyvben rögzített adatok:

• panaszt tevő neve, lakcíme,
• panasztétel tárgya, időpontja,
• panasztétel helye, ideje,
• panaszt felvevő neve, aláírása

Írásbeli panaszt a Társaság érdemben kivizsgálja, és a panasz közlésétől számított 30 napon belül a panasszal kapcsolatos döntésről/intézkedésről, a jogorvoslati lehetőségekről írásban tájékoztatja a panaszt tevőt.

A panaszkezelés a fogyasztóvédelmi szabályokkal összhangban történik.

adatkezelés célja: a szolgáltatás teljesítésével összefüggő panaszok, észrevételek kezelése.

kezelt adatok köre: panaszt tevő neve, lakcíme, panasztétel tárgya, időpontja, panasztétel helye, ideje, panaszt felvevő neve, aláírása, kapcsolattartási célból a panaszt tevő e-mail címe, telefonszáma.

adatkezelés jogalapja: a GDPR 6. cikk (1) c) szerinti jogi kötelezettség a fogyasztóvédelmi törvény 17/A-C. § alapján

adattárolás határideje: a Társaság a panaszról felvett jegyzőkönyvet és a válasz másolati példányát öt évig köteles megőrizni, és azt az ellenőrző hatóságoknak kérésükre bemutatni [fogyasztóvédelmi törvény 17/A. § (7)]

adattárolás módja: elektronikus, papíralapú.

Hátralékkezeléssel összefüggő adatkezelés

adatkezelés célja: hátralék behajtása

kezelt adatok köre: szerződéskötéskor és megrendeléskor megadott adatok

adatkezelés jogalapja: GDPR 6. cikk (1) f) szerint az adatkezelő jogos érdekeinek érvényesítéséhez szükséges

adattárolás határideje: a hátralék kiegyenlítése, vagy a hátralékkal kapcsolatos polgári jogi igények elévülése (5 év)

adattárolás módja: elektronikus

A szolgáltatási tevékenységgel összefüggő adatkezelésekről adatkezelési tájékoztató készült, amely a szabályzat 9. sz. melléklete.

A munkafolyamatok kapcsán az ügyviteli rendszerben tárolt munkavállalói adatok kezelése

A Társaság tevékenységi körében zajló munkafolyamatai kapcsán elektronikus ügyviteli rendszerében tárolja az adott bejegyzést, rögzítést végző munkavállaló, illetve a munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyek nevét és a rögzítés dátumát. A Társaság ezen személyes adatokat a Társaság az ügyviteli rendszerében a munkaviszony ill. a munkavégzésre irányuló egyéb jogviszony megszűnése után is kezeli jogos üzleti érdeke alapján.

adatkezelés célja: munkafolyamatok átláthatósága, megfelelő szolgáltatás nyújtása

kezelt adatok köre: munkavállaló neve, rögzítés dátuma

adatkezelés jogalapja: GDPR 6. cikk (1) f) szerint az adatkezelő jogos érdekeinek érvényesítéséhez szükséges

adattárolás határideje: a munkaviszony megszűnését követő 5 év (általános polgári jogi elévülési idő)

adattárolás módja: elektronikus

Ezen adatkezelésről a munkavállalók tájékoztatása a 12. sz. melléklet részét képezi.

13.2.  A Társasághoz történő jelentkezés folyamata

A Társaság a munkavállalók kiválasztása során személyes adatok kezelését valósítja meg.

Az érdeklődők az esetek döntő többségében a meghirdetett állásajánlatokra tudnak jelentkezni, de nem meghirdetett álláshelyre is történhet jelentkezés, személyesen vagy a Társaság központi címére/e-mail címére küldött az önéletrajzokkal.

A megüresedett álláshely betöltését megelőzően a jelentkezővel két körös felvételi elbeszélgetésre kerül sor.

A megfelelő munkavállaló kiválasztásáért a mindenkori vezérigazgató a felelős, így a jelen adatkezeléssel összefüggő feladatok ellátása során az adatvédelmi tisztviselővel együttműködve kötelesek az érintettek jogait biztosítani.

A „berepülő önéletrajzok”-kal és a munkaerő-toborzással kapcsolatos közös szabályok

A Társaság a munkára jelentkezés céljából érkezett személyes adatokat tartalmazó önéletrajzok (továbbiakban: CV) esetén nem tesz különbséget azok érkezésének módja között: azonos elbírálás alá esik a papíralapon és az elektronikus módon érkezett CV.

Minden, a Társaság előtt feltárt CV esetében az adatkezelésre a GDPR 6. cikk (1)a) szerinti érintetti hozzájárulás ad jogalapot.

Az adatkezeléshez adott vélelmezett hozzájárulás megdönthető, így az érintett jelen Szabályzat szerint meghatározottak alapján visszavonhatja hozzájárulását.

A Társaság a felvételt nem nyert jelentkezők önéletrajzait csak a kiválasztási folyamat végéig tárolja.

A felvételt nyert jelentkezők önéletrajza a munkaviszony létesítését követően átkerül a munkavállaló személyi anyagába, így az erre vonatkozó adatkezelési szabályokat a munkavállalókkal összefüggő adatkezelés tartalmazza.

A CV-t és az azon szereplő személyes adatokat a Társaság a Szabályzatban foglaltak szerint kezeli. Erre vonatkozóan tájékoztatást küld a Társaság. A tájékoztatás szövege a Szabályzat 10/1. sz. melléklete.

Az ajánlás útján érkező önéletrajzokra vonatkozó különös szabályok

A Társaság bármely munkavállalója ajánlhatja ismerősét általánosságban vagy egy konkrét pozícióra. A Társaság minden esetben nyilatkoztatja munkavállalóját (10/3. sz. melléklet) arról, hogy felhatalmazással rendelkezik az adatok érintettjétől, hogy azokat feltárja a Társaság előtt. Ezt a nyilatkozatot az adott CV tárolási határidejéig megőrzi, majd ezt követően a CV-n szereplő adatokkal együtt megsemmisíti.

Amiatt azonban, mert az érintett hozzájárulását – a munkavállalói nyilatkozattal együtt is – a Társaság csak vélelmezni tudja, ezért minden ilyen esetben tájékoztató levelet küld az ajánlott személy számára, amelyben tájékoztatja az adatkezelés tényéről, jogalapjáról és az adatkezelés elleni tiltakozás formáiról. A „Válaszlevél nem az érintettől érkező önéletrajzra” című válasz a szabályzat 10/2. sz. melléklete.

A CV alapján kiválasztott érintett adatainak további kezelése (úgy mint: alkalmasság eldöntése) már a munkaviszony létesítése céljából történik, így az azzal kapcsolatos adatkezelést a munkavállalókkal összefüggő adatkezelés tartalmazza.

adatkezelés célja: a megüresedő álláshelyek betöltésére a munkaviszony későbbi létesítése céljából, megfelelő leendő munkavállaló kiválasztása

kezelt adatok köre: név, születési dátum, anyja neve, lakcím, képzési adatok, fénykép, az érintett által megadott egyéb adatok, ajánló személyazonosító adatai, háttérellenőrzés sikerességének ténye

adatkezelés jogalapja: a GDPR 6. cikk (1) a) szerinti érintetti hozzájárulás

adattárolás határideje: az érintett törlési kérelméig, maximum a kiválasztási folyamat végéig

adattárolás módja: papíralapon és elektronikusan

 

13.3.   Munkavállalók munkaviszonnyal összefüggő adatkezelése

A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, teljesítése vagy megszűnése (megszüntetése), az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása és a munkaviszonnyal összefüggő kedvezmények biztosítása.

Okmánymásolatokra vonatkozó szabályok

A munkaviszonnyal összefüggésben kezelt adatokra és az azokat alátámasztó okiratokra vonatkozó szabályok

A Társaság az Mt. 10. § alapján a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) céljából vagy az Mt.-ből származó igény érvényesítése céljából lényeges nyilatkozat megtételét vagy lényeges személyes adat közlését követelheti. Az e során megszerzett adatot a Társaság a munkavállalóra vonatkozó személyügyi nyilvántartás részeként kezeli. Ezen nyilatkozat vagy személyes adat valódiságának alátámasztásául a nyilatkozatot vagy személyes adatot bizonyítandó a munkavállaló a Társaság ezen irányú kérésére köteles a bizonyítékul szolgáló okiratot a Társaság számára bemutatni. Amennyiben a bizonyítékul szolgáló okirat személyazonosításra alkalmas okmány, úgy a Társaság fenntartja a jogot, hogy annak valódiságát a Magyarország által működtett okmányok érvényességének ellenőrzésére szolgáló szolgáltatás igénybevételével ellenőrizze.

Ez a jelen szabályzat kibocsájtásakor:

https://www.nyilvantarto.hu/ugyseged/OkmanyErvenyessegLekerdezes.xhtml

Az okirat bemutatásáról és a bemutatott okiratról a Társaság feljegyzést készít, amely a Társaság által az okiratok ellenőrzésére vonatkozó nyilvántartás részét fogja képezni. A feljegyzés során a Társaság rögzíti az okiratra vonatkozó, az azonosításhoz szükséges adatokat, így különösen az okirat számát, a kiállító nevét. A nyilvántartás részét képezheti az okirat bemutatásának időpontja és az okiratot ellenőrző személy azonosítására alkalmas adat, azaz az, hogy ki számára mutatta be a munkavállaló az okiratot.

Az Mt. 10. § (3) bekezdése az okiratról másolat készítését nem teszi lehetővé. Mivel a hatóságok a hatósági ellenőrzés során a munkáltatótól a munkavállalóra vonatkozó eredeti, illetve másolatban tárolt okiratot nem kérhetnek, valamint a Társaság okiratról fénymásolatot nem készít, ezért amennyiben a munkavállaló olyan munkakörben foglalkoztatott, amelyre csak okirat megléte alapján alkalmas, úgy annak felelőssége, hogy a munkavállaló az adott okiratot minden esetben magánál tartsa, az Mt.-ből fakadó együttműködési kötelezettségének része.

Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése

Az egészségügyi alkalmassággal kapcsolatos adatokat a Társaság nem ismeri meg. A Társaság az egészségügyi alkalmasság eldöntése céljából egészségügyi szolgáltatótól származó alkalmassági eredmény alapján dönt az adott (leendő) munkavállaló egészségügyi alkalmasságáról. A Társaság így csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli. A munkavállaló egészségügyi alkalmasságára vonatkozó egészségügyi különleges személyes adat kezelésének GDPR 9. cikk (1) szerinti tilalma alól a GDPR 9. cikk (2) h) pontja ad felmentést.

Megváltozott munkaképességű munkavállalók

A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos szabályok vonatkoznak, mint a Társaság egyéb alkalmazottjaira, ez esetben azonban bővebb a kezelt adatok köre: lásd a kezelt adatok körében. (A Társaság törvényi előírás alapján kezeli a megváltozott munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat.) A megváltozott munkaképességű munkavállaló különleges személyes adata kezelésének GDPR 9. cikk (1) szerinti tilalma alól a GDPR 9. cikk (2) b) pontja ad felmentést.

A munkaviszony fenntartásával és megszűnésével kapcsolatos adatkezelések

A Társaság a munkavállalóiról személyzeti, valamint bér- és munkaügyi nyilvántartást vezet.

A felvett munkavállalók adatait elektronikusan és papíralapon is tárolja a Társaság. A munkavállalóknak azon személyes adatai kerülnek felvételre, amelyek a munkaviszony létesítéséhez szükségesek.

A személyzeti nyilvántartás a munkaviszonyra, illetve foglalkoztatásra irányuló egyéb jogviszonyra (pl.: önálló tevékenységként végzett megbízás, vállalkozás stb.) vonatkozó tények dokumentálására szolgáló adatkezelés. A személyzeti nyilvántartás adatai a munkavállaló munkaviszonyával kapcsolatos tények megállapítására és statisztikai adatszolgáltatásra használhatók fel. A személyzeti nyilvántartás a Társaság valamennyi munkavállalójának adatait tartalmazza.

A munkaviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok

Amennyiben a munkaviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a munkavállalótól, úgy a nyilatkozat beszerzése során a Társaság minden esetben felhívja a munkavállaló figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára, céljára.

Amennyiben a nyilatkozat érvényességéhez okmány bemutatása szükséges (személyi igazolvány, diákigazolvány), úgy a Társaság semmilyen módon nem kezeli az okmány adatait és/vagy fénymásolt vagy szkennelt képét, hanem az arra jogosult munkavállalója aláírásával tanúsítja az okmány bemutatását és annak érvényességét.

Munkavállalók oktatása

A Társaság fenntartja a jogot, hogy munkavállalók oktatására harmadik féllel szerződjön. Amennyiben az oktatás törvényileg kötött a munkaviszony ellátásához, úgy a harmadik fél a Társaság adatfeldolgozójaként dolgozza fel az adatokat, minden más oktatás esetén a munkavállaló hozzájárulásával kerül a harmadik félhez továbbításra a személyes adat.

Béren kívüli juttatások, cafeteria szolgáltatás igénybevétele

A Társaság fenntartja a jogot, hogy béren kívüli juttatásokat biztosítson a munkavállalók részére és harmadik féllel szerződjön. Amennyiben a munkavállaló a béren kívüli juttatási elemek közül kiválasztja azon szolgáltatásokat, amelyeket igénybe kíván venni, úgy azon szolgáltatók részére a szolgáltatás igénybevételéhez szükséges adatokat a Társaság továbbítja. A béren kívüli juttatások nyújtása esetén az adatkezelések jogalapja a GDPR 6. cikk (1) a) pontja szerinti érintetti hozzájárulás.

A szolgáltatók részletes listáját a Szabályzat 1. sz. melléklete tartalmazza.

Harmadik személyek munkaviszonnyal kapcsolatosan megadott adatai

A munkaviszony kapcsán beszerzett harmadik személy adatai (például pótszabadság, családi adókedvezmény kapcsán vagy baleset esetén értesítendő személy megjelölésekor) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.

Abban az esetben, ha a munkavállaló harmadik személy adatait adja meg, úgy, a harmadik személytől köteles az adatkezeléshez a harmadik személy hozzájárulását megszerezni, amellyel a Társaság igazolni tudja, hogy a harmadik személy adatainak kezelésére felhatalmazással rendelkezik. A nyilatkozat részét képezi a 11. sz. mellékletnek.

Bérszámfejtés

A Társaság munkavállalóira a bérszámfejtési és társadalombiztosítási elszámolási tevékenységet külső szolgáltató végzi.

adatkezelés célja: munkaviszony létesítése, teljesítése vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása és a munkaviszonnyal összefüggő kedvezmények biztosítása

kezelt adatok köre:

• neve,
• születési neve,
• születési helye és ideje,
• állampolgársága,
• anyja születési neve,
• lakóhelyének címe,
• tartózkodási helye (amennyiben eltérő a lakóhelytől),
• magánnyugdíjpénztári
  • tagság ténye,
  • belépés ideje (év, hó, nap),
  • magánnyugdíjpénztár neve és kódja,
• adóazonosító jele,
• társadalombiztosítási azonosító jele (TAJ szám),
• nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
• munkakönyv (ha van) bemutatásának feljegyzése,
• nyilatkozat tartozásról,
• nyilatkozat adatbiztonság megtartásáról,
• folyószámla száma,
• munkaviszony kezdő napja,
• biztosítási jogviszony típusa,
• heti munkaórák száma,
• telefonszáma,
• családi állapota,
• végzettséget igazoló okmány száma, kiállító intézmény megnevezése, kiállítás dátuma, (ellenőrző személy neve, ellenőrzés dátuma)
• munka alkalmassági egészségügyi igazolás,
• munkaköre,
• orvosi alkalmasság ténye,
• a leszámolást követően a munkaköri alkalmassági záró orvosi vizsgálat elvégzésének ténye,
• főálláson kívüli munkavégzés esetén
  • jogviszony jellege,
  • munkáltató neve és székhelye,
  • a főálláson kívüli munkahelyen teljesített havi átlagos munkaidő,
  • elvégzendő tevékenység,
• előző munkaviszonnyal kapcsolatos igazolások:
  • igazolvány a biztosítási jogviszonyról és az egészségbiztosítási ellátásról,
  • munkáltatói igazolás a jogviszony megszűnéséről,
  • előző évi adóalap,
• az Mt. 120. § alapján járó pótszabadság igénybevételével kapcsolatosan
  • a rehabilitációs szakértői szerv legalább ötven százalékos mértékű egészségkárosodás megállapítását igazoló okmány,
  • fogyatékossági támogatásra jogosultságot igazoló okmány,
  • vakok személyi járadékára jogosultságot igazoló okmány bemutatásának ténye, ellenőrző személy neve, ellenőrzés dátuma,
• megváltozott munkaképességű munkavállalók esetében – a megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról szóló 2011. évi CXCI. törvény alapján a fenti adatkör kiegészül az alábbiakkal
  • a munkavállaló munkaképesség változásának, egészségi állapotának, egészségkárosodásának mértéke, a fogyatékosság ténye, továbbá az ezek igazolására szolgáló okirat másolata (23.§ (7)),
  • 21/C. § (3) pótszabadság, családi adókedvezmény igénybevétele, adómentes természetbeni juttatásnak minősülő kedvezményes utazási igazolvány igénylésének vagy adómentes iskolakezdési támogatás céljából a munkavállaló

16. életévét be nem töltött gyermekének
17. házastársának vagy élettársának

• neve, születési neve,
• születési helye és ideje,
• lakcíme,
• anyja neve,
• társadalombiztosítási azonosító jele (TAJ szám),
• adóazonosító jele

adatkezelés jogalapja:

GDPR 6. cikk (1) b) szerinti szerződéses kötelezettség teljesítése;

valamint a GDPR 6. cikk (1) c) szerinti jogi kötelezettség teljesítése:

• 10. § (1) és (3) és az 118. § (1) és 120. §-a,
• az adózás rendjéről szóló 2017. évi CL. törvény,
• a társadalombiztosítás ellátásaira és magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX törvény,
• a megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról szóló 2011. évi CXCI. törvény vonatkozó rendelkezései,

illetve az érintett hozzájárulása [GDPR. 6. cikk (1) a)

adattárolás határideje: az adatkezelés céljának megvalósulásáig, főszabály szerint

• munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnéséig
• évi LXXXI. törvény 99/A. § (1) alapján a Társaság munkavállaló biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a munkavállalóra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.

adatkezelés módja: papíralapon és elektronikusan

 

Munkavállalók önéletrajzi adatainak kezelése

A Társaságnál a munkavállalók jelentkezéskor beadott önéletrajzát a személyügyi anyagában tárolják, későbbi cégfejlesztés és „kiégés” elleni humánpolitikai belső felmérésék során való használat céljából.

adatkezelés célja: cégfejlesztés, „kiégés” elleni humánpolitikai felmérések

kezelt adatok köre: az érintett által az önéletrajzban megadott személyes adatok

adatkezelés jogalapja: GDPR 6 cikk. (1) bekezdés f) pont szerinti Társaság jogos érdeke

adattárolás határideje: munkaviszony megszűnése

adatkezelés módja: elektronikusan

A munkavállalói adatok kezelésére vonatkozóan a Szabályzat 12. sz. mellékleteként munkavállalói tájékoztató készült, amelynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről.

13.4.    Munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyek adatkezelése

A Társaság a munkavállalókon kívül egyes feladatok ellátására munkavégzésre irányuló egyéb jogviszonyban is foglalkoztat szerződéses partnereket a GDPR és a Ptk. szabályai szerint.

E személyek adatkezelésével kapcsolatos szabályok az alábbiak:

adatkezelés célja: munkavégzésre irányuló egyéb jogviszony létesítése, teljesítése vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása

kezelt adatok köre: név, születési hely, idő, anyja neve, lakcím, adószám, bankszámlaszám, telefonszám, e-mail cím (foglalkoztatáshoz szükséges adatkör)

adatkezelés jogalapja: GDPR 6 cikk. (1) bekezdés b) pont szerinti szerződéses kötelezettség teljesítése

adattárolás határideje: az adatkezelés céljának megvalósulásáig, főszabály szerint

• a munkavégzésre irányuló egyéb jogviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a jogviszony megszűnéséig

adatkezelés módja: papíralapon és elektronikusan

A munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyek adatkezelésére vonatkozóan a jelen Szabályzat 13. sz. mellékleteként tájékoztató készült.

13.5.    Diákok, szakmai gyakorlatot teljesítő személyek adatainak kezelése

Diákok/szakmai gyakorlatot teljesítők bevonása is történik az Adatkezelő tevékenységébe.

adatkezelés célja: a diákokra/szakmai gyakorlatot teljesítőkre vonatkozó munkaviszony létesítése, teljesítése vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása

kezelt adatok köre: tanuló neve, születési helye, ideje, anyja neve, adószáma, TAJ száma, telefonszám, e-mail cím

adatkezelés jogalapja:

• GDPR 6. cikk (1) b) szerinti szerződéses kötelezettség teljesítése;

a munka törvénykönyvéről szóló 2012. évi I. törvény 10. § (1) és (3), (felsőoktatáshoz kapcsolódó gyakorlat esetén) 230/2012. (VIII.28) Korm. rend. 18. §, Nftv. 44. § figyelembevételével;

• a kapcsolattartási adatok tekintetében az érintett hozzájárulása [GDPR. 6. cikk (1) a)]

adattárolás határideje: az adatkezelés céljának megvalósulásáig, főszabály szerint

• munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnéséig,
• munkaviszonyból fakadó jogosultságokkal kapcsolatosan a nyugdíjfolyósításról szóló jogszabályokban, az adó és TB jogszabályokban meghatározott határideig,
• az érintett hozzájárulásával kezelt adatok tekintetében: az érintett törlési kérelméig, maximum a munkaviszony megszűnéséig

adatkezelés módja: elektronikusan és papíralapon

A diákok, szakmai gyakorlatot teljesítő személyek adatkezelésre vonatkozóan tájékoztató készült, mely jelen Szabályzat 14. sz. mellékletét képezi.

13.6.    A munkavállalók technikai eszközeinek ellenőrzésével kapcsolatos adatkezelés

Az Mt. 11/A. § (1)-(5) a munkavállalót a munkaviszonnyal összefüggő magatartása körében ellenőrzi a munkáltató. Ennek jogalapja a munkáltató GDPR 6. cikk (1) f) szerinti jogos érdeke. Az ellenőrzés alapja, hogy a munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert kizárólag a munkaviszony teljesítése érdekében használhatja. Ettől eltérő megállapodás az adatkezelőnél nincs, azaz minden számítástechnikai eszköz csak és kizárólag munkaviszony teljesítése érdekében használható, így minden, az eszközön tárolt és az eszközzel generált adat az adatkezelő céges adatának minősül.

A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.  Mivel eltérő megállapodás a munkáltató és a munkavállaló között nincsen, ezért minden, az eszközön tárolt adat a munkaviszonnyal összefüggő adatnak minősül. Az ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül minden olyan adat, amely a munkaviszony teljesítése érdekében történik és a korlátozás betartásának ellenőrzéséhez szükséges adat.

A felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt nem használ.

Céges telefonhasználat

A céges mobiltelefonok használata során a személyi jövedelemadóról szóló 1995. évi CXVII. törvény 70. §-ának (9) bekezdés ca) pontjában foglaltak az irányadóak.

Az ellenőrzés menete

A Társaság a tulajdonában álló minden eszközt ellenőrizhet, a fokozatosság elvének betartásával, valamint a munkavállaló jelenlétének biztosításával.

Az ellenőrzés tényéről az ellenőrzés céljával összefüggésben tájékoztatja az ellenőrzéssel érintett munkavállalót. A technikai ellenőrzést a rendszergazda végezheti alkalmi vizsgálatok lefolytatásával, de akár a Társaság bármely munkavállalója által kérelmezhető, amennyiben a Társaság gazdasági érdekeit veszélyeztető folyamat valószínűsíthető.

adatkezelés célja: a munkavállalók részére munkavégzés céljából biztosított információtechnológiai vagy számítástechnikai eszköz, rendszer (céges számítógép, céges laptop, céges telefon, céges e-mail fiók, internet hozzáférés) ellenőrzése.

kezelt adatok köre: az ellenőrzés során rögzített személyes adatok, így különösen magán e-mail címek, magán telefonszámok, fényképek, saját számítógépes dokumentumok, internetes böngészési előzmények, cookie-k, a munkajogviszony ellátása során észlelt jogsértés ténye, a jogsértés leírása.

adatkezelés jogalapja: a GDPR 6. cikk (1) f) szerinti Társaság jogos érdeke

Az Mt. 11/A § (1)-(5) bekezdése alapján munkáltató a munkavállalót munkaviszonnyal összefüggő magatartása körében ellenőrizheti.

adattárolás határideje: az ellenőrzéstől számított 1 év, de legkésőbb az ellenőrzéssel kapcsolatos igény elévülése

adatkezelés módja: elektronikusan

A használat szabályairól és az ellenőrzés lehetőségéről a munkavállalókat a Társaság előzetesen írásban tájékoztatja a szabályzat 12. sz. mellékletét képező munkavállalói tájékoztató megismertetésével.

13.7.  Céges gépjárműhasználattal kapcsolatos adatkezelés

A Társaság tulajdonában álló, illetve bérbe vett gépjárművei használatának és elszámolásának rendjét a vezérigazgató határozza meg.

A céges gépjárművek között vannak személyhez kötött használatra kiadott járművek és un. „kulcsos” személygépkocsi is, amit a munkavállalók szükség szerint használnak.

Menetlevél vezetése csak a meghatározott járművek tekintetében szükséges. Ebben az esetben a gépjármű vezetője a menetlevélen rögzíti a megtett utat, az indulás és érkezés idejét és a feljegyzéseket aláírásával igazolja.

Személyes adat kezelése a gépjármű igénylése esetén kitöltött dokumentumban megadott munkavállalói adatok, illetve a menetlevélben szereplő adatok tekintetében történik. Mind a menetlevelek, mind a gépjármű igényléssel kapcsolatos dokumentumok nyilvántartásba kerülnek.

adatkezelés célja: a Társaság tulajdonában lévő gépjármű(vek) használatának nyilvántartása, elszámolása, a Társaság jogos üzleti érdekeinek megfelelően a munkavállalók Mt. 11. § (1) szerinti ellenőrzése;

kezelt adatok köre: munkavállaló neve, menetlevélen: gépjárművezető neve, gépjármű által megtett út, indulás, érkezés időpontja, aláírás

adatkezelés jogalapja: a GDPR 6. cikk (1) f) szerinti Társaság jogos érdeke

Az Mt. 11/A § (1)-(5) bekezdése alapján munkáltató a munkavállalót munkaviszonnyal összefüggő magatartása körében ellenőrizheti.

adattárolás határideje: az adatkezelési cél megvalósulásáig, az ellenőrzéstől számított 1 év, de legkésőbb az ellenőrzéssel kapcsolatos igény elévülése

adattárolás módja: elektronikusan és papíralapon

A gépjárműhasználat ellenőrzésével összefüggő adatkezelésről tájékoztató készült, amelyet a munkavállalók megismertek. A munkavállalók részére készült tájékoztató jelen Szabályzat 12 sz. melléklete.

13.8.  Munkára alkalmas állapot munkavédelmi vizsgálata

Az Mt. 52. § (1) a) kimondja, hogy a munkavállaló köteles a munkáltató által előírt helyen és időben munkára képes állapotban megjelenni.

Az Mvt. 2. § (3)-ban kapott felhatalmazás alapján az alábbiak szerint határozza meg az alkoholos befolyásoltságra vonatkozóan az egészséget nem veszélyeztető és biztonságos munkavégzés követelményeinek megvalósítását:

Az Mvt. 60. § (1) alapján a munkavállaló csak biztonságos munkavégzésre alkalmas állapotban, a munkavédelemre vonatkozó szabályok, utasítások megtartásával, a munkavédelmi szabályoknak megfelelően végezhet munkát. A munkavállaló köteles munkatársaival együttműködni és munkáját úgy végezni, hogy ez saját vagy más egészségét és testi épségét ne veszélyeztesse.

A Társaság minden munkakörre vonatkozóan tiltja, hogy a munkavállalói alkoholos befolyásoltság alatt tartózkodjanak a munkavégzés területén. Ez vonatkozik arra az esetre is, ha a munkavállaló munkaidején túl, már/még nem munkavégzési céllal tartózkodik a területen, lévén az alkoholos befolyásoltság alatt álló személy veszélyezteti mások biztonságos munkavégzését. Tilos a Társaság területére vagy amennyiben az nem azonos vele, úgy a munkavégzés területére alkoholos befolyásoltság alatt belépni, ott alkoholt fogyasztani, alkoholos befolyásoltság alatt munkát végezni.

Jelen szabály alól indokolt esetben csak a vezető tisztségviselő adhat írásos felmentést.

A biztonságos munkavégzés feltételeit veszélyeztetheti a munkára képes állapot hiánya, így az alkoholos befolyásoltság. Emiatt a munkavállalónak nem csak a munkavégzésre történő megjelenéskor kell munkára képes állapotban lennie, hanem ezt az állapotát egészen a munkaideje lejártáig köteles megőrizni.

A munkavállaló munkája ellátása során nem veszélyeztetheti sem a maga, sem pedig más egészségét és testi épségét.

A Társaság a biztonságos munkavégzés követelményeit kialakítandó kötelezettségénél fogva köteles rendszeresen meggyőződni arról, hogy a munkavállalók megtartják-e a rájuk vonatkozó rendelkezéseket. A munkajogi előírások betartásának ellenőrzésére vonatkozó szabályokat mind az Mt., mind az Mvt.  pontosítja.

Mt. 11/A.§ (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.

Mvt. 54. § (7) b) Az egészséget nem veszélyeztető és biztonságos munkavégzés érdekében a munkáltató köteles rendszeresen meggyőződni arról, hogy a munkakörülmények megfelelnek-e a követelményeknek, a munkavállalók ismerik, illetve megtartják-e a rájuk vonatkozó rendelkezéseket.

A munkavédelmi felelősön túl az ellenőrzése jogosult személyek a következők:

• vezető tisztségviselő,

Az alkoholos befolyásoltság ellenőrzése azonban a fentiekkel összhangban sem járhat a munkavállaló emberi méltóságának megsértésével – így az ellenőrzést végző személy nem élhet vissza ellenőrzési jogával, illetve azt nem gyakorolhatja annak rendeltetésével ellentétesen, például, ha a vizsgálatot naponta többször indok nélkül vagy személyes bosszúból folytatja, de az is jogszerűtlen, ha jogkörrel nem rendelkező személy rendeli el a vizsgálatot.

Az ellenőrzés pontos menete:

• a munkavédelmi felelős bármikor elrendelheti bármely munkavállalóra vonatkozóan az alkoholszondás ellenőrzést, akár szúrópróbaszerűen is
• gyanú esetén az érintett közvetlen munkahelyi vezetője köteles eljárást kezdeményezni,
• az ellenőrzésre jogosult személy a Társaság bármely munkavállalójának jelzésére jogosult elrendelni az ellenőrzést, amennyiben a munkavállaló megjelöli az ellenőrzés indokát és az ellenőrizendő személyt, azonban jogosult az ellenőrzést megtagadni, amennyiben az intézkedésre okot adó körülményekből egyértelműen arra lehet következtetni, hogy az ellenőrzés nem indokolt,
• a vizsgálatot a munkavállaló személyiségi jogainak megsértése nélkül, két tanú jelenlétében, szondával vagy műszeres szondával kell elvégezni,
• az ellenőrzés tényéről az ellenőrzést végző személy jegyzőkönyvet állít ki, a jegyzőkönyv tartalmi kellékei: az ellenőrzés ténye, az ellenőrzésre okot adó körülmény (általános munkavédelmi célú ellenőrzés vagy alkoholos befolyásoltság gyanúja), az ellenőrzéssel érintett személy, az ellenőrzés időpontja, az ellenőrzés eredménye, az ellenőrzött személynek az ellenőrzés eredményével kapcsolatos jognyilatkozata (elfogadja, nem fogadja el),
• a jegyzőkönyvet a vizsgált munkavállaló, a vizsgálatot végző személy, valamint a jelenlévő tanuk aláírásával hitelesíteni kell,
• amennyiben a munkavállaló az eredményt nem fogadja el, úgy az üzemorvosnál vagy egyéb egészségügyi szolgáltatónál kezdeményezheti a véralkohol szintjének vérvétellel történő ellenőrzését,
• amennyiben az ellenőrzés alá vont munkavállaló nem hajlandó az ellenőrzést végző személlyel együttműködni és nem veti magát alá az ellenőrzésnek, az ellenőrzést végző személy azonnal értesíti a munkavállaló felett munkáltatói jogkörrel rendelkező személyt,
• az ellenőrzés megtagadása automatikusan munkára alkalmatlan állapotnak minősül az Mvt. 60. § (1) szerint, lévén megtagadja a törvényben foglalt együttműködési kötelezettséget.

Abban az esetben, ha a munkavállaló munkára alkalmatlannak minősül (pozitív eredmény vagy együttműködési kötelezettség megszegése), a munkavállaló felett munkáltatói jogkörrel rendelkező személy köteles a munkavállalót felmenteni a munkavégzés alól.

adatkezelés célja: munkára alkalmas állapot ellenőrzése munkavédelmi célból

kezelt adatok köre: az ellenőrzés eredménye, időpontja, munkára alkalmas állapot ténye, ellenőrzést végző személy adatai, ellenőrzés alá vont munkavállaló adatai. Ha az ellenőrzött személy vitatja az eredményt, akkor annak ténye is, illetve pozitív minta esetén, ha lemond a vérvizsgálat jogáról, ennek ténye is.

adatkezelés jogalapja: GDPR 6. cikk (1) f) a Társaság jogos érdeke, figyelembe véve

a munkavédelemről szóló 1993. évi XCIII. törvény 60. § (1), valamint a munka törvénykönyvéről szóló 2012. évi I. törvény 11/A. § bekezdés előírásait

adattárolás határideje: az ellenőrzésből fakadó jogok és kötelezettségek által megalapozott igények érvényesítésére nyitva álló határidő

adatkezelés módja: papíralapon

Az ellenőrzési folyamatról a munkavállalók részére részletes tájékoztató készült, melyet a munkavállalók megismertek. A tájékoztató a Szabályzat 12. sz. melléklete.

13.9.  Marketingtevékenységgel összefüggő adatkezelések

A Társaság marketing-kommunikációs tevékenysége során több esetben is kezel személyes adatokat.

Facebook

A Társaság rendelkezik Facebook oldallal, mely a  https://www.facebook.com/SymbolTech/linken érhető el. Az oldalt a Társaság üzemelteti.

Az oldalon a Társaság közzétehet személy adatokat, fényképeket. A közzététel lehetőségéről a Társaság minden esetben előre tájékoztatja az érintetteket.

Honlap adatkezelése

A Társaság több saját honlapot is üzemeltet.

A látogatókról személyhez kötött információkat automatikusan gyűjt a weblap Google Analytics által (IP cím, tartózkodási idő, helyrajzi adatok felhasználói szokások stb.), melyek a honlap látogatottsági statisztikáját szolgálják. Ennek során sütik (cookies) kerülnek elhelyezésre a látogató számítógépein.

A honlap megtekintése során automatikusan rögzítésre kerül a felhasználó látogatásának kezdő és befejező időpontja, illetve egyes esetekben – a felhasználó számítógépének beállításától függően – a böngésző és az operációs rendszer típusa. Ezen adatokból a rendszer automatikusan statisztikai adatokat generál.

A honlapokon lehetősége van a látogatónak a Társasággal történő kapcsolatfelvételre, az ügyfélszolgálat elérésére, demo letöltésére. Mivel ezek azonban mind önálló adatkezelési célnak minősülnek, ezért azokat a Társaság külön kezeli és szabályozza.

adatkezelés célja: a honlap látogatóiról személyhez kötött, automatikus adatrögzítés a felhasználási szokásokról Google Analytics, valamint cookiek segítségével

kezelt adatok köre: IP cím, tartózkodási idő, helyrajzi adatok felhasználói szokások, számítógép beállításától függően – a böngésző és az operációs rendszer típusa

adatkezelés jogalapja: a GDPR 6. cikk (1) a) szerinti érintetti hozzájárulás

adattárolás határideje: az adatkezelési cél megvalósulásáig, de maximum a rögzítéstől számított 2 évig

adattárolás módja: elektronikus

A honlapon történő adatkezelésre tájékoztató készült, amely jelen Szabályzat 15. sz. melléklete

 

Kapcsolatfelvétel az Adatkezelővel

Az Adatkezelő lehetőséget biztosít arra, hogy az által üzemeltetett honlapokon keresztül a látogató online felvegye vele a kapcsolatot. Az üzenet elküldéséhez az alábbi adatok megadása szükséges: kapcsolattartó neve/név, e-mail címe, telefonszáma, üzenet témája/tárgya, kérdés, észrevétel. Az üzenet elküldésére az Adatvédelmi tájékoztató elfogadása (check boksz kipipálása) esetén van lehetőség.

Jelen adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) a)].

Abban az esetben, ha a megadott adatok/információk szerint egy másik adatkezelést kell megkezdeni, úgy a Társaságon belül az illetékességgel rendelkező ügyintézési pontra kerülnek az adatok, ahol az ott részletezettek szerint zajlik tovább az adatkezelés.

adatkezelés célja: a Társasággal történő kapcsolatfelvétel elősegítése

kezelt adatok köre: név, cégnév, e-mail cím, telefonszám, kapcsolatfelvétel tárgya, üzenet szövege

adatkezelés jogalapja: GDPR 6. cikk (1) a) szerinti érintetti hozzájárulása.

adattárolás határideje: a kapcsolatfelvételi ügy elintézéséig (a cél megvalósulásáig)

adattárolás módja: elektronikus

Termék online megrendelésével kapcsolatos adatkezelés

A Társaság lehetőséget biztosít honlapon keresztül történő megrendeléshez. Megrendeléseket kizárólag cégek adhatnak le, így a megrendelés során a Társaság személyes adatként csak kapcsolattartói adatokat kezel, a megrendelő másik fél jogos érdeke alapján.

Az adatkezelést lsd. a szolgáltatási tevékenységhez kapcsolódó adatkezelések résznél.

Demo letöltéséhez kapcsolódó adatkezelés

A honlap látogatóknak lehetőségük van az ügyviteli rendszerek demo-ját letölteni a Társaság honlapján keresztül.

Egy forma kitöltésével a látogató megadhatja a letöltéshez szükséges releváns adatokat. Az adatok elküldésére azonban csak akkor van lehetősége az érintettnek, ha elfogadja a Társaság adatkezelési szabályait, ezt egy jelölőnégyzet bejelölésével teheti meg, máskülönben nem tudja megkezdeni a letöltést.

A Társaság fenntartja a jogot, hogy amennyiben az érintett a letöltés során megadja telefonszámát, úgy megkeressék telefonon keresztül véleménynyilvánítási célból, valamint, hogy kíván-e vásárolni az ingyenes próbaverzió használata után.

A Társaság fenntartja a jogot, hogy amennyiben az érintett a letöltés során megadja e-mail címét, úgy megkeressék e-mailen keresztül véleménynyilvánítási célból, valamint, hogy kíván-e vásárolni az ingyenes próbaverzió használata után.

adatkezelés célja: ügyviteli szoftver demo változatának letöltését követően a letöltő személy üzletszerzési célú megkeresése.

adatkezelés jogalapja: a GDPR 6. cikk (1) bekezdés f) pont szerinti Társaság jogos érdeke

kezelt adatok köre: választott programváltozat, cégnév, kapcsolattartó neve, telefonszám, e-mail cím, megrendelt termék (személyes adatnak csak a kapcsolattartói adatok minősülnek)

adattárolás határideje: demo változat letöltését követő 1 év

adattárolás módja: elektronikus

Hírlevél küldéshez kapcsolódó adatkezelés

A Társaság hírlevelet üzemeltet, melyre az érdeklődő a Társaság weboldalain keresztül neve és e-mail címe megadás mellett iratkozhat fel. Mivel az e-mail cím a jelenleg érvényes jogi álláspontok szerint relatív személyes adatnak számít, ezért az Adatkezelő minden e-mail címet a személyes adatokat illető védelemmel kezel.

Az adatbázisba e-mail cím ezért főszabályként csak az érintett hozzájárulásával és külön kérelmére kerülhet be. Ahhoz, hogy az érintett hozzájárulhasson az e-mail címének a Társaság általi kezeléséhez, a Társaság minden esetben részletesen tájékoztatja az érintettet az adatkezeléssel kapcsolatos, minden releváns tényről, így a tájékoztató minden esetben tartalmazza a GDPR. 13. cikkében foglalt tartalmi elemeket.

A Társaság minden esetben biztosítja az előzetes tájékozódáshoz és az önkéntességhez való jogot.

A Társaság a hírlevélküldést minden esetben önálló adatkezelési célnak minősíti, nem kapcsolja össze más célokkal, például a szolgáltatás igénybevételével. Ezért minden esetben külön nyilatkoztatja az érintettet minden eltérő célról, így például a szolgáltatás igénybevételéről és a hírlevélküldéshez való hozzájárulásról is, amennyiben egy adatfelvételi felületen történt az adatok megadása.

A hírlevélről az érintett e-mail cím használója bármikor, ingyenesen, közvetlenül leiratkozhat.

adatkezelés célja: a feliratkozók részére hírlevél küldése

kezelt adatok köre: érintett neve (vezetéknév és keresztnév), e-mail címe

adatkezelés jogalapja: GDPR 6. cikk (1) a) szerinti érintetti hozzájárulás

adattárolás határideje: a hírlevélszolgáltatás üzemeltetésének végéig, az érintett leiratkozási nyilatkozatát követően azonnal

adattárolás módja: elektronikus

A hírlevél küldéssel kapcsolatos adatkezelésről tájékoztató készült, amely a Szabályzat 16. sz. melléklete.

13.10.          Vagyonvédelmi adatkezelés

Riasztórendszer működtetése

A Társaság székhelyén vagyonvédelmi célú riasztórendszer üzemel. A munkavállalók a bejárathoz kulccsal, a riasztóhoz egyedi kóddal rendelkeznek. A kulcs és riasztókód az érintetteknek dokumentáltan kerül kiadásra, így személyes adat kezelése történik.

A riasztórendszer a nyitás-zárás kódját nem naplózza, így ezen a területen nem történik adatkezelés.

adatkezelés célja: vagyonvédelmi rendszer működtetése

kezelt adatok köre: név, illetve a kulcs, riasztókód kiadásakor dokumentált adatok,

adatkezelés jogalapja: GDPR 6. cikk (1) f) szerinti jogos érdek

adattárolás határideje: kulcs illetve riasztókód kiosztásának változását követő….ig

Vagyonvédelmi rendkívüli események kezelése

Rendkívüli esemény minden olyan, az átlagostól jelentősen eltérő esemény, körülmény, amely az objektumban tartózkodó személyek életét, testi épségét vagy az ott található anyagi javakat tekintve súlyos következményekre vezethet vagy reális esélye van annak, hogy vezetni fog és ezzel az objektum működésében komoly zavart okoz.

A területen a Társaság által megbízott személy/személyek vesznek fel vagyonvédelmileg releváns eseményekről jegyzőkönyvet. A jegyzőkönyvben az alábbi adatok megadása szükséges: a jegyzőkönyv kitöltésének dátuma, a jegyzőkönyvet felvevő személy neve, aláírása, vizsgált személy neve, aláírása, vizsgált személy születési neve, születési helye, ideje, anyja neve, lakcíme, tartózkodási helye és a cselekmény leírása. Jelen adatok relatív személyes adatok, azaz a GDPR szerinti személyes adattá is válhatnak.

adatkezelés célja: vagyonvédelmi rendkívüli események kivizsgálása

kezelt adatok köre: a jegyzőkönyv kitöltésének dátuma, a jegyzőkönyvet felvevő személyneve, aláírása, vizsgált személy neve, aláírása, vizsgált személy születési neve, születési helye, ideje, anyja neve, lakcíme, tartózkodási helye és a cselekmény leírása

adatkezelés jogalapja: a GDPR 6. cikk (1) f) szerinti jogos társasági érdek érvényesítése

adattárolás határideje: az esemény kivizsgálása, az abból fakadó jogokkal és kötelezettségekkel kapcsolatos igényérvényesítésre nyitva álló határidő

adattárolás módja: papíralapon

A vagyonvédelmi adatkezelésről a munkavállalók részére részletes tájékoztató készült, melyet a munkavállalók megismertek. A tájékoztató a Szabályzat 12. sz. melléklete.

 

Az elektronikus beléptető rendszer üzemeltetése

Munkavállalói beléptetés

A Társaság székhelyén elektronikus beléptető rendszer működik. A munkavállalói beléptetés névre szóló beléptetőkártyával történik.

A beléptető kártyák kódját a munkavállalókhoz kapcsolva a Társaság külön nyilvántartásban rögzíti. A kártyák egyedi azonosítással jelentkeznek be a rendszerbe, ami tárolja, hogy az adott kártyával mikor lett nyitva a bejárati ajtó.

A belépőkártya használatakor az alábbi adatok kerülnek rögzítésre: munkavállaló neve, kártya azonosító száma, be-és kilépés ideje. Az adatokat a Társaság tárolja, azokra kizárólag a Társaság erre feljogosított munkavállalója lát rá.

adatkezelés célja: épületbe történő be- és kilépés rögzítése, valamint jogosulatlan belépés megakadályozása, munkaidő nyilvántartása

kezelt adatok köre: a belépés ideje, a belépő azonosító száma;

adatkezelés jogalapja: GDPR 6. cikk (1) f) szerinti jogos érdek

adattárolás határideje:

• a rendszer működtetéséhez kezelt azonosító adatait (nevét és lakcímét) rendszeres belépés esetén a belépésre való jogosultság megszűnésekor haladéktalanul törli a Társaság,
• a rendszer működtetése során keletkezett adatokat rendszeres belépés esetén a belépésre való jogosultság megszűnésekor, de legkésőbb az adat keletkezésétől számított 6 hónap elteltével törli a Társaság

[A Társaság ezen tárolási időtartamot érdekmérlegelési teszttel alátámasztva saját döntése szerint más időtartamban is meghatározhatja, annak függvényében, hogy a cél eléréséhez mennyi ideig van szüksége az adatokra. Szabályzatban, tájékoztatókban átvezetendő]

adattárolás módja: elektronikusan

Az ügyfelek/eseti belépők a munkavállalókkal való egyeztetés után tudnak belépni, adatkezelés esetükben nem történik.

A beléptetés folyamatról a munkavállalók részére részletes tájékoztató készült, melyet a munkavállalók megismertek. A munkavállalók részére készült tájékoztató jelen szabályzat 12. sz. melléklete.