A HM ZRÍNYI Geoinformációs és Toborzástámogató Közhasznú Nonprofit Korlátolt Felelősségű Társaság (a továbbiakban: Társaság) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdés alapján az alábbi Adatvédelmi Szabályzatot (a továbbiakban: Szabályzat) alkotja:
1. ÁLTALÁNOS RENDELKEZÉSEK
1.1. A SZABÁLYZAT CÉLJA
Jelen Szabályzat célja, hogy meghatározza a Társaságnál a felhasználó személyes adatainak kezelését és az adatkezelő tevékenység megfelelését az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (General Data Protection Regulation) (a továbbiakban: Rendelet), a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) alapján; a Szabályzat meghatározza a vezetett nyilvántartások működésének törvényes rendjét, biztosítja az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését és megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását, nyilvánosságra hozatalát.
1.2. A SZABÁLYZAT HATÁLYA:
A Szabályzat hatálya természetes személyre vonatkozó személyes adatok Társaság általi kezelésére terjed ki. A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.
1.3. A SZABÁLYZAT MÓDOSÍTÁSA:
A Társaság fenntartja azt a jogot, hogy jelen Szabályzatot előzetes értesítés mellett egyoldalúan módosítsa. A módosított Szabályzatot a természetes személyeknek ismételten el kell fogadniuk ahhoz, hogy rájuk vonatkozóan a Társaság részéről az adatkezelés megvalósulhasson.
1.4. FOGALOMMEGHATÁROZÁSOK:
„személyes adat”: azonosított vagy azonosítható természetes személyre (,,érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, továbbá technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
,,címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
„biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
,,tevékenységi központ”:
- az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
- az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
„képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
,,vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
„kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
„felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz;
,,személyes adatok határokon átnyúló adatkezelése“:
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
,,releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
„az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
„nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;
„közérdekű adat”: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől;
„közérdekből nyilvános adat”: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
2. AZ ADATKEZELÉS SZABÁLYAI, ALAPELVEK
2.1. AZ ADATKEZELÉSEK SZABÁLYAI
Az információs önrendelkezési jog minden természetes személy Alaptörvényben rögzített alapjoga, a Társaság eljárásai során kizárólag a hatályos jogszabályok rendelkezése alapján végez adatkezelést. Az adatkezelésnek mindenkor megfelel a Rendelet 5. cikk (1)-(2) bekezdése szerinti alábbi alapelveknek.
2.2. A SZEMÉLYES ADATOK KEZELÉSÉNEK ALAPELVEI:
- a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (,,jogszerűség, tisztességes eljárás és átláthatóság”);
- a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat csak a célokkal összeegyeztethető módon szabad kezelni; a cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (,,célhoz kötöttség”);
- a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell, lenniük, és a szükséges mértékre kell korlátozódniuk (,,adattakarékosság”);
- a személyes adatok pontosak és szükség szerint naprakészek; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (,,pontosság”);
- a személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a Rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (,,korlátozott tárolhatóság”);
- kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (,,integritás és bizalmas jelleg”);
- az adatkezelő felel az a-f) pontokban foglaltaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (,,elszámoltathatóság”).
2.3. AZ ADATKEZELÉS JOGSZERŰSÉGE:
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett
2.4. A HOZZÁJÁRULÁS FELTÉTELEI
- Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
- Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e Rendeletet, kötelező erővel nem bír.
- Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
- Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
2.5. SZEMÉLYES ADATOK KÜLÖNLEGES KATEGÓRIÁINAK KEZELÉSE
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
Ez a rendelkezés nem alkalmazandó abban az esetben, ha:
- az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a tilalom nem oldható fel az érintett hozzájárulásával;
- az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
- az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
- az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
- az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
- az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében; ezen felül ezeket a személyes adatokat abban az esetben lehet kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll;
- az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
- az adatkezelés a Rendelet cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
3. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
3.1. MUNKAVÁLLALÓK MUNKAVISZONNYAL ÖSSZEFÜGGŐ ADATKEZELÉSE
A Társaság a munkavállalók személyes adatainak kezelése során az alábbiak szerint jár el:
- Adatkezelés célja: munkaviszony létesítése, teljesítése, módosítása vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása.
- Adatkezelés jogalapja: törvényi felhatalmazás [a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)] és az érintett hozzájárulása [Infotv. 5 § (1) a) és 6. § (6)]; Rendelet 6. cikk (1) bekezdés f. pontja. Személyügyi terület adatkezelésének jogalapja esetenként más jogszabály. Az adatkezelés időtartama az adott területre vonatkozó jogszabályok által meghatározott. A személyügyi adatkezelések körében a nem közvetlenül a munkaviszonyból eredeztetett adatkezelések során minden esetben be kell szerezni, az érintett kifejezett hozzájárulását, az adatkezelés céljának és várható időtartamának megjelölésével.
- Kezelt adatok köre:
- név
- születési név,
- születési helye, ideje,
- anyja neve,
- lakcíme,
- állampolgársága,
- adóazonosító jele,
- TAJ száma,
- nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
- telefonszám,
- e-mail cím,
- személyi igazolvány száma,
- lakcímet igazoló hatósági igazolvány száma,
- bankszámlaszáma,
- munkába lépésének kezdő és befejező időpontja,
- munkakör,
- iskolai végzettség, szakképzettség, egyéb oktatások, tűz-, környezet- és munkavédelmi képzések,
- fénykép,
- önéletrajz,
- munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
- a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
- a munkavállaló munkájának értékelése,
- a munkaviszony megszűnésének módja, indokai,
- munkakörtől függően erkölcsi bizonyítványa,
- a munkaköri alkalmassági vizsgálatok összegzése,
- magánnyugdíj pénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
- munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
- a Társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera, a helymeghatározó rendszerek által rögzített adatokat;
- betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak az Mt-ben meghatározott jog, vagy kötelezettség teljesítése céljából kezel;
- beléptető kártyák adatai.
- A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a Társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 50 év. A törlést az elektronikusan tárolt adatokra is el kell végezni.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés az Mt-n és a munkáltató jogos érdekeinek érvényesítésén alapul.
- Adatkezelés módja: elektronikus, papíralapú.
3.2. ALKALMASSÁGI VIZSGÁLATOKKAL KAPCSOLATOS ADATKEZELÉS:
- A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A személyes adatok kezelését és a jogalapjának meghatározását a Társasággal szerződéses jogviszonyban álló foglalkozás-egészségügyi szolgáltatást ellátó vállalkozó végzi.
- A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, adott munkakör betöltése.
- Az adatkezelés jogalapja: a munkáltató jogos érdeke.
- A személyes adatok címzettjei: A vizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végző szakember (foglalkozás-egészségügyi orvos) ismerhetik A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy az adott munkakör ellátására alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
- A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.
3.3. MUNKAVÁLLALÓK ELLENŐRZÉSÉVEL ÖSSZEFÜGGŐ ADATKEZELÉS
- Adatkezelés célja: a Társaság jogos üzleti érdekeinek megfelelően a munkavállalók Mt. szerinti ellenőrzése, így különösen a munkavállalónak biztosított számítógép, e-mail fiók és internet hozzáférés ellenőrzése.
- Adatkezelés jogalapja: 11. § (1) valamint Rendelet 6. cikk (1) bekezdés f) pontja
- A Társaság által a munkavállaló rendelkezésére bocsátott e-mail címet és e-mail fiókot a munkavállaló munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel,
- A munkáltató ellenőrizheti az e-mail fiókot, ennek során az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja szerinti munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8. §, 52. §) ellenőrzése.
- Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója A munkavállaló jelenlétét az ellenőrzés során a munkáltató biztosítja. Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban megtegye.
- Az ellenőrzéssel kapcsolatban a fokozatosság elvének betartására kell törekedni. Az e11enőrzés lefolytatásról jegyzőkönyvet kell felvenni és biztosítani kell a munkavállaló részére, hogy észrevételeit az ellenőrzéssel kapcsolatban Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.
3.4. SZÁMÍTÓGÉP, LAPTOP ELLENŐRZÉSÉVEL KAPCSOLATOS ADATKEZELÉSEK
A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot a munkavállaló munkaköri feladata ellátására használhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Az ellenőrzés lefolytatásról jegyzőkönyvet kell felvenni és biztosítani kell a munkavállaló részére, hogy észrevételeit az ellenőrzéssel kapcsolatban megtehesse.
3.5. A MUNKAHELYI INTERNETHASZNÁLAT ELLENŐRZÉSÉVEL KAPCSOLATOS ADATKEZELÉS
A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató korlátozhatja. A munkavállaló munkahelyi internethasználatát a munkáltató ellenőrizheti. Az ellenőrzés lefolytatásról jegyzőkönyvet kell felvenni és biztosítani kell a munkavállaló részére, hogy észrevételeit az ellenőrzéssel kapcsolatban megtehesse.
3.6. GPS NAVIGÁCIÓS RENDSZER ALKALMAZÁSÁVAL KAPCSOLATOS ADATKEZELÉS
- A munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése érdekében a Társaság minden munkavállaló tekintetében jogosult betekinteni az alábbi technikai eszközök által rögzített személyes adatokba: a Társaság tulajdonában álló gépjárművek GPS nyomkövető szerkezetei; a GPS rendszer alkalmazásának jogalapja a munkáltatói jogos érdek, célja a Társaság tulajdonában álló anyagi javak megőrzése, állagának megóvása, üzleti érdekek védelme és a munkavállalói kötelezettségek teljesítésének ellenőrzése.
- A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat
- Az ellenőrzés rendes és rendkívüli munkaidőben, valamint munkaidőn túl is ellenőrizhető a munkavállalók földrajzi helyzete.
3.7. FELVÉTELRE JELENTKEZŐK ADATKEZELÉSE, PÁLYÁZATOK, ÖNÉLETRAJZOK
- Az adatkezelés célja: Az álláshirdetésre jelentkező személyek adatainak kezelése esetében az adatkezelés célja az, hogy a munkáltató a meghirdetett álláshelyre megfelelő munkavállalót találjon
- A személyes adatokat törölni kell, ha az adatkezelés célja megszűnt. [Infotv. 17. § (2) bekezdés d) pont; Rendelet 17. cikk (1) bekezdés a) pont] Az érintettet tájékoztatni kell arról is, ha a munkáltató nem őt választotta az adott állásra.
- Adatkezelés jogalapja: a Rendelet 6. cikk§ (1) a) szerinti érintetti hozzájárulás
- Adattárolás határideje: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők, illetve a pályázatukat visszavont jelentkezők személyes adatai törlésre kerülnek.
- A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat. A hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőtől. Hozzájárulás esetén a pályázat megőrzési ideje 6 hónap
- Adattárolás módja: papíralapon és
- Kezelt adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, és az érintett által megadott egyéb
- A címzettnek minősülő személy (személyügyi referens) köteles arról gondoskodni, hogy az önéletrajz, pályázat közvetlenül a munkaerőt igénylő szervezeti egység vezetőjéhez, illetőleg az illetékes igazgatóhoz kerüljön. A fenti személyeken kívül más munkavállaló sem elektronikusan, sem papír alapon önéletrajzot, pályázatot nem tárolhat.
3.8. A „BEREPÜLŐ ÖNÉLETRAJZOKRA” VONATKOZÓ KÜLÖNÖS SZABÁLYOK
A nem meghirdetett álláshelyre való kéretlen jelentkezés esetén a Társaság válaszlevelet küld a jelentkezőnek, amelyben tájékoztatja az adatkezelés tényéről, jogalapjáról és az adatkezelés elleni tiltakozás formáiról. A válaszlevélben a Társaság az önéletrajz maximum 6 hónapig való tárolásához hozzájárulást kér az önéletrajz küldőjétől.
4. SZERZŐDÉSES JOGVISZONNYAL KAPCSOLATOS ADATKEZELÉS
4.1. SZERZŐDŐ PARTNEREK ADATAINAK KEZELÉSE
- A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele vevőként, szállítóként vagy egyéb okból (pl. szerzői jogi okból, stb.) szerződött természetes személy nevét, születési nevét, születési helyét, idejét, anyja nevét, lakcímét, TAJ-számát, adóazonosító jelét, adószámát, vállalkozói számát, személyi igazolvány számát, nyugdíjas státuszát, nyugdíjas törzsszámát, FEOR-kódját, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), a szerződésese jogviszony időtartamát. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő egyeztetések megtételéhez szükséges.
- A személyes adatok címzettjei: a Társaság szervezeti egységei, ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
- Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, a tájékoztatás történhet a szerződésben
4.2. JOGI SZEMÉLY ÜGYFELEK, VEVŐK, SZÁLLÍTÓK TERMÉSZETES SZEMÉLY KÉPVISELŐINEK ADATKEZELÉSE
- A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
- A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: az érintett hozzájárulása.
- A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság szervezeti egységei, a Társaság ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.
- A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.
- Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, a tájékoztatás történhet a szerződésben
4.3. REGISZTRÁCIÓ SORÁN KEZELT ADATOK, WEBSHOP
- Kezelt adatok köre:
- felhasználó azonosító száma;
- e-mail cím;
- anyja neve;
- születési hely, idő;
- lakcím, szállítási cím.
- Az adatkezelés célja: a regisztrációs oldalunk kitöltésével a regisztráló jogosult a hmzrinyi.hu weboldalon vásárolni, illetve a www.honvedelem.hu weboldalon kérheti, hogy hírlevelet küldjünk részére emailen. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes, amennyiben nem regisztrál és nem adja meg adatait, hírlevélre, illetve vásárlás lebonyolítására sem lesz jogosult.
- A Társaság az így megadott személyes adatokat az e pontban írt céloktól eltérően nem használja fel.
4.4. ADATKEZELÉS A TÁRSASÁG FACEBOOK OLDALÁN
- A Társaság a felhasználói részére (pl. üzemzavar, építési-szerelési munkák, honvédelmi események, egyéb tájékoztatók, stb.) tájékoztatás céljából Facebook oldalt tart
- A Társaság Facebook oldalán a látogatók által közzétett személyes adatokat nem
- A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.
5. JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
5.1. ADATKEZELÉS ADÓ- ÉS SZÁMVITELI KÖTELEZETTSÉGEK TELJESÍTÉSE CÉLJÁBÓL
- A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott
- A kezelt adatok az általános forgalmi adóról szóló 2007. évi CXXVII. tv. 169. §, és 202. §-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167. §-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (a továbbiaban: Szjatv.) alapján: vállalkozói igazolvány száma, adóazonosító jel.
- A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
- A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalom biztosítási feladatait ellátó munkavállalói.
5.2. KIFIZETŐI ADATKEZELÉS
- A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülök – adótörvényekben előírt személyes adatait, akikkel kifizetői [az adózás rendjéről szóló 2017. évi CL. törvény (a továbbiakban: Art.) 7. § 31.] kapcsolatban áll.
- A kezelt adatok körét az Art. 50. §-a határozza meg, így különösen: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szjatv. 40. §) és szakszervezeti (Szjatv. 47. § (2) b./) tagságra vonatkozó adatokat adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
- A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
- A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
5.3. A LEVÉLTÁRI TÖRVÉNY SZERINT MARADANDÓ ÉRTÉKŰ IRATOKRA VONATKOZÓ ADATKEZELÉS
- A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló évi LXVI. törvény (a továbbiakban: Levéltári tv.) szerint maradandó értékűnek minősülő iratait abból a célból, hogy a Társaság irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon.
- Az adattárolás ideje: a közlevéltár részére történő átadásig.
- A személyes adatok címzettjeire és az adatkezelés egyéb kérdéseire a Levéltári tv. irányadó.
6. ELEKTRONIKUS MEGFIGYELÉSSEL KAPCSOLATOS ADATKEZELÉS
(1) Adatkezeléssel érintettek köre: a Társaság székhelyének épületébe belépő személyek.
(2) Adatkezelés célja: A Társasághoz érkező személyek beléptetésének segítése, a Társaság épületébe belépő személyek és vagyontárgyainak védelme, a Társaság székhelyén található, jelentős vagyoni értéket képviselő termékek, berendezések, műszaki cikkek és más értéktárgyak védelme, értékük, állaguk megóvása. Az e célok érdekében működtetett kamerarendszer olyan biztonságtechnikai megoldás, amely a balesetek, továbbá a károkozással járó, jogsértő cselekmények megelőzését, valamint az észlelt jogsértések felderítését és hatósági vagy bírósági eljárás keretében történő bizonyítását szolgálja.
(3) Kezelt adatok köre: Képmás és arckép, megfigyelt magatartás. A Társaság rögzíti és tárolja a felvételeket egy beépített merevlemezen.
(4) Adatkezelés jogalapja: a Társaság munkavállalói tekintetében a jogos érdek, a Társaság épületébe belépő személyek tekintetében hozzájárulás, melyet a belépő személy az épületbe történő belépéssel és ott tartózkodással ad meg. Ennek megfelelően a tájékoztatást az épületek bejáratánál elhelyezett figyelemfelhívó jelzések biztosítják.
(5) Az adatkezelés időtartama: felhasználás hiányában a felvétel annak készítését követő 72 óra elteltével automatikusan törlődik.
(6) Címzettek: Szabálysértési vagy büntetőeljárás esetén az eljárásokat lefolytató hatóságok, bíróságok.
(7) Egyéb Jogos érdek megnevezése: személy- és vagyonvédelem. A Társaság az egyes kamerákat olyan helyen és látószögben helyezi el, amely összhangban áll a fent rögzített személy- és vagyonvédelmi céllal. A kamerák csak képfelvételeket rögzítenek, hangrögzítésre nem alkalmasak. A felvételek megtekintésére és visszanézésére jogosultak a Társaság ügyvezetője, belső ellenőre és igazgatói.
7. ADATVÉDELMI INCIDENSEK KEZELÉSE
7.1 AZ ADATVÉDELMI INCIDENS:
- Adatvédelmi incidens fogalma: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (Rendelet 4. cikk );
- A leggyakoribb jelentett incidensek lehetnek pl. a laptop vagy mobil telefon elvesztése, adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése. Papíralapon tárolt adatok elvesztése, megsemmisítése.
7.2 ADATVÉDELMI INCIDENSEK KEZELÉSE:
- Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Társaság informatikusainak, valamint az adatvédelmi tisztviselőnek Az informatikai rendszereken folyamatosan naplózni és elemezni kell a hozzáféréseket és hozzáférési kísérleteket.
- Adatvédelmi incidens észlelésekor a műszaki informatikai csoportvezető és az adatvédelmi tisztviselő haladéktalanul tájékoztatja a Társaság ügyvezetőjét.
- A Társaság munkavállalói indokolatlan késedelem nélkül kötelesek tájékoztatni a műszaki informatikai csoportvezetőt és az adatvédelmi tisztviselőt, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek. Adatvédelmi incidens estén a műszaki informatikai csoportvezető és az adatvédelmi tisztségviselő haladéktalanul megvizsgálják a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:
- az incidens bekövetkezésének helyét és időpontját,
- az incidens leírását, körülményeit, hatásait,
- az incidens során érintett adatok körét, számosságát,
- az incidenssel érintett személyek körét,
- az incidens elhárítása érdekében megtett intézkedések leírását,
- a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Az adatvédelmi incidenst az informatikai csoportvezető vagy az adatvédelmi tisztviselő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
- A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak
- a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat;
- vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett;
- vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak;
- vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából;
- vagy ha kiszolgáltatott személyek- különösen, ha gyermekek- személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki. (Rendelet preambulum 75. pontja)
7.3 ADATVÉDELMI INCIDENSEK NYILVÁNTARTÁSA:
- Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját,
- az adatvédelmi incidens körülményeit, hatásait,
- az adatvédelmi incidens orvoslására megtett intézkedéseket,
- az adatkezelést előíró jogszabályban meghatározott egyéb
- Az adatvédelmi incidensekre vonatkozó nyilvántartást 5 évig meg kell őrizni.
8. ADATTOVÁBBÍTÁS KÜLFÖLDRE
- A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása során a GDPR V. fejezete irányadó.
- Személyes adat az országból külföldi adatkezelő részére csak akkor továbbítható, ha ahhoz az érintett hozzájárult, vagy jogszabály azt lehetővé teszi, vagy arról nemzetközi szerződés rendelkezik feltéve, hogy a harmadik. ország joga – az Európai Unió által meghatározott – megfelelő védelmet biztosít az átadott adatok kezelése során.
- Az EGT-államokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyarország területén belüli adattovábbításra kerülne
9. ADATBIZTONSÁGI RENDSZABÁLYOK
9.1 ADATBIZTONSÁGI RENDSZABÁLYOK:
- A számítógépes hálózaton tárolt személyes adatok bizalmasságát és biztonságát folyamatosan biztosítani A hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kell az adatvesztést elkerülni.
- A személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést kell végezni. A mentés a központi szerver teljes adatállományára vonatkozik és szalagos adathordozóra történik. A lementett adatokat tároló szalagos adathordozót az erre a célra kialakított páncéldobozban kell tárolni tűzbiztos helyen és módon.
9.2 VÍRUSVÉDELEM:
A Társaság hálózatán tárolt személyes adatok védelméről a Társaság vírusvédelmi szoftvere gondoskodik.
9.3 HOZZÁFÉRÉS VÉDELEM:
A Társaság hálózatán kezelt személyes adatokat, adatállományok hozzáférését felhasználói névvel és jelszóval kell biztosítani.
9.4 HÁLÓZATI VÉDELEM:
Különálló tűzfal és vírusírtó rendszer felel az illetéktelen behatolások megakadályozásáért; kívülről a Társaság informatikai rendszerét kizárólag a Társaság által ellenőrzött számítógépről, VPN kapcsolat segítségével lehet elérni.
10. HONLAP LÁTÓGATÓINAK, REGISZTRÁLT FELHASZNÁLÓINAK ADATKEZELÉSE
10.1 A TÁRSASÁG HONLAPJÁNAK LÁTOGATÓI, ILLETVE REGISZTRÁLT FELHASZNÁLÓINAK ADATKEZELÉSE, WWW.HMZRINYI.HU ÉS A WWW.HONVEDELEM.HU HONLAP LÁTOGATÓINAK ADATAI:
- Az adatkezelés célja: a honlap látogatása során a szolgáltató a szolgáltatás működésének ellenőrzése és a visszaélések megakadályozása érdekében rögzíti a látogatói
- Az adatkezelés jogalapja: az érintett hozzájárulása, illetve az Infotv. 13/A. § (3) bekezdése.
- A kezelt adatok köre: dátum, időpont, a felhasználó számítógépének IP címe, a meglátogatott oldal címe, az előzőleg meglátogatott oldal címe, a felhasználó operációs rendszerével és böngészőjével kapcsolatos
- Az adatkezelés időtartama: a honlap megtekintésétől számított 30
11. ÉRINTETTI JOGOK, JOGORVOSLAT
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a kötelező adatkezelések kivételével – törlését, visszavonását, az adatkezelés korlátozását, valamint élhet adathordozási-, és tiltakozási jogával az adat felvételénél jelzett módon, illetve az adatkezelő ügyfélszolgálata útján.
11.1 TÁJÉKOZTATÁSHOZ VALÓ JOG:
Az érintett kérelmére a Társaság megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15-22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.
11.2 AZ ÉRINTETT HOZZÁFÉRÉSHEZ VALÓ JOGA:
- Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- a személyes adatok tárolásának tervezett időtartama;
- a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga;
- a felügyeleti hatósághoz címzett panasz benyújtásának joga;
- az adatforrásokra vonatkozó információ;
- az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása esetén az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó megfelelő garanciákról.
- A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Az érintett kérelmére az információkat a Társaság elektronikus úton biztosítja.
- A tájékozódáshoz való jog írásban (e-mail, levél) a info@hmzrinyi.hu vagy a Társaság 1087 Budapest, Kerepesi út 29/B szám alatti postacímén keresztül gyakorolható.
- Az érintett részére kérésére – személyazonosságának hitelt érdemlő igazolása és beazonosítását követően szóban is adható tájékoztatás.
11.3 HELYESBÍTÉS JOGA:
Az érintett kérheti a Társaság által kezelt, rá vonatkozó pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.
11.4 TÖRLÉSHEZ VALÓ JOG:
- Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat:
- személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
- Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a népegészségügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján;
- vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
11.5 ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG:
- Az érintett kérésére a Társaság korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival
- Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet
11.6 ADATHORDOZHATÓSÁGHOZ VALÓ JOG:
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa.
11.7 TILTAKOZÁS JOGA:
- Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást
- Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságával szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
- Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
11.8 AUTOMATIZÁLT DÖNTÉSHOZATAL, PROFILALKOTÁS:
- Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
- Nem alkalmazható a fenti jogosultság, ha az adatkezelés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges.
- Meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy az érintett kifejezett hozzájárulásán
11.9 VISSZAVONÁS JOGA:
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
11.10 ELJÁRÁSI SZABÁLYOK:
- Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
- A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.
- Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
- A Társaság a kért információkat és tájékoztatást díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
- Az adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja a címzettekről.
- Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk elektronikus formátumban kerülnek rendelkezésre bocsátásra, kivéve, ha az érintett másként kéri.
11.11 KÁRTÉRÍTÉS ÉS SÉRELEMDÍJ:
- Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt
- Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
- Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
11.12 BÍRÓSÁGHOZ FORDULÁS JOGA:
Az érintett a jogainak megsértése esetén az adatkezelő ellen (az érintett választása szerint az alperes székhelye vagy az érintett lakóhelye szerint illetékes) bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
11.13 ADATVÉDELMI HATÓSÁG ELJÁRÁS:
Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz lehet fordulni.
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefon: + 36 1 391-1400
12. A SZABÁLYZAT ELLENŐRZÉSE
12.1 ELLENŐRZÉS:
- Az adatvédelemmel kapcsolatos előírások, így különösen ezen szabályzat rendelkezéseinek betartását a Társaságnál adatkezelést végző szervezeti egységek vezetői folyamatosan kötelesek ellenőrizni.
- A Társaságnál a kezelt adatok ellenőrzését az ügyvezető és az általa megbízott adatvédelmi tisztviselő a belső ellenőr bevonásával évente egyszer ellenőrzi.
12.2 Adatvédelmi tisztviselő:
- Név : Dr. Hosszú Károly
- Cím : 9700 Szombathely, Vitéz utca 2.
- Telefonszám : +3630/300-4131
- E-mail : iroda@annesclayton.hu
13. ZÁRÓ RENDELKEZÉSEK
Jelen Szabályzat 2018. május 25-én lép hatályba.