CREPPY Franchise System Korlátolt Felelősségű Társaság(a továbbiakban: Szervezet) személyes adatai kezelésének biztosítása érdekében kiadom az Adatvédelmi és Adatbiztonsági Szabályzatot (a továbbiakban: Szabályzat). A Szabályzat célja, hogy a Szervezet a vonatkozó jogszabályok rendelkezéseivel összhangban szabályozza a Szervezet birtokában levő személyes adatok kezelésére, feldolgozására és védelmére vonatkozó általános kérdéseket.
Szabályzat hatálya
Tárgyi hatály:
Jelen Szabályzat hatálya a Szervezet mindazon adatkezeléseire kiterjed, amely:
- azon személyek adatait tartalmazza, akik a Szervezettel ügyfélkapcsolatban álltak,
- azon személyek adatait tartalmazza, akik a Szervezettel ügyfélkapcsolatba kívánnak lépni,
- azon személyek adatait tartalmazza, akik a Szervezettel ügyfélkapcsolatban álló személyekhez oly módon kapcsolódnak, hogy személyes adataik kezelése a Szervezet szolgáltatásához szükséges.
Időbeli hatály:
Jelen Szabályzat 2018.04.01. időponttól hatályos
Személyi hatály:
Jelen Szabályzat hatálya kiterjed a Szervezetre, azon személyekre, akik adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.
1.ÁLTALÁNOSRENDELKEZÉSEK
1.1.Értelmező rendelkezések a Szabályzat értelmezésében
1.1.1. Adatcsoport: Adatok, (azaz tények, koncepciók vagy utasítások formalizált megjelenítése, rögzített jelsorozat, beszéd vagy technikai eszközökkel történő közlés, értelmezés és feldolgozás számára. Jelen Szabályzatban írásban vagy elektronikus úton készített – bármilyen adathordozón tárolt – szöveg, számadatsor, tény, információ, vázlat, grafikon, kép és ábra) és adatkörök összefoglaló elnevezése, általában nyilvántartási funkció alapján.
1.1.2. Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.
1.1.3. Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit az adatkezelő megbízása alapján az adatfeldolgozó végez.
1.1.4. Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi.
1.1.5. Adatgazda: Egy adott szervezeti egységnél kezelt személyes adatok tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által kezelt valamennyi személyes adat jelen szabályzatnak megfelelő kezelésért (továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt személyes adattal kapcsolatos döntés meghozatala szükséges, és az érinti az Információ Biztonsági Szabályzat szerinti adatgazda felelősségét, akkor a személyes adatgazda az Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével hozza meg döntését.
1.1.6. Adathordozó: Az adat fizikai megjelenési formája, tárolási helye, ide értve az iratokat is.
1.1.7. Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatai kezelésével, helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet nyújt be a Szervezethez.
1.1.8. Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések meghozatala, utasítások kiadása.
1.1.9. Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajthatja.
1.1.10. Adatkör: Az adatfajták nevesített felsorolása. A felhasználás szempontjából funkcionálisan összetartozó üzleti adatok, azaz olyan halmaz, amely logikai szinten egységesen kezelhető, illetve kezelendő és a halmaz elemeinek védelmi igénye közel egy szinten van.
1.1.11. Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
1.1.12. Adattovábbítás:Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
1.1.13. Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
1.1.14. Adatzárolás: Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
1.1.15. Anonimizálás: Olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását.
1.1.16. Érintett: Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
1.1.17. Harmadik személy: Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
1.1.18. Harmadik ország: minden olyan ország, amely az Info tv. alapján nem (Európai Gazdasági Térség) EGT-állam.
1.1.19. Hozzájárulás: Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. A hozzájárulás – a különleges adatok kezelésére adott hozzájárulást kivéve – nincs alakszerűséghez kötve, történhet kifejezett nyilatkozattal és ráutaló magatartással is, azonban a hozzájárulásnak minden esetben bizonyíthatónak kell lennie.
1.1.20. Irat: Valamely szerv működésével, illetve személy tevékenységével kapcsolatban írásban vagy elektronikus úton készített szöveg, számadatsor, vázlat, grafikon és ábra.
1.1.21. Kapcsolatfelvételi lista: Kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében az ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.
1.1.22. Közvélemény-kutató, piackutató és közvetlen üzletszerző szerv: A Szervezet, illetve a feladatkörrel rendelkező minden olyan szervezeti egysége, amely a közvélemény-kutatást, a piackutatást és a direkt marketing tevékenységet jogosult végezni.
1.1.23.Különlegesadat:
a)a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, vallásos vagy más világnézeti meggyőződésre, érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
b)az egészségi állapotra, a kórós szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.
1.1.24. Felügyeleti Hatóság (a továbbiakban: Hatóság): Adatvédelmi jogszerüséget ellenőrző szervezet.
1.1.25. Nyilvános adat: Minden olyan tény, adat, információ, amelyek bárki számára hozzáférhetők. Személyes adat nyilvánosságáról kizárólag törvény rendelkezhet.
1.1.26. Segédlet: Minden olyan kezelési vagy kitöltési útmutató, kódjegyzék, számítási módszer, amely a Szervezet által kezelt (feldolgozott) személyes adatok kezeléséhez, feldolgozásához szükséges.
1.1.27. Személyes adat: Az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
1.1.28. Természetes személyazonosító adatok: Az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje.
1.1.29. Tiltakozás: Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
1.1.30. Tilalmi lista: Azon érintettek név- és lakcímadatainak a nyilvántartása, akik megtiltották, illetve – a közvetlen üzletszerző szerv erre irányuló előzetes megkeresése ellenére – nem járultak hozzá, hogy személyes adataikat kapcsolatfelvétel vagy üzletszerzési lista céljából felhasználják, vagy megtiltották azok e célból történő további kezelését.
1.1.31. URL cím: Uniform Resource Locator/egységes erőforrás-azonosító az interneten megtalálható bizonyos erőforrások (például szövegek, képek) szabványosított címe. Egységes forrásazonosító, az interneten használt címzési szabványrendszer, megadja az információ elérésének módját, és az információ pontos helyét a távoli számítógépen.
1.1.32. Üzletszerzési lista: A reklámok közlése céljából a kapcsolatfelvételt és kapcsolattartást szolgáló, kizárólag az ügyfél nevét, lakcímét, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.
1.1.33. Üzleti titok: A Szervezet gazdasági tevékenységéhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a Szervezet jogos pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a Szervezetet felróhatóság nem terheli.
1.1.34. Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől. Így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.
2.A SZEMÉLYES ADATOK KEZELÉSE ÉS VÉDELME
2.1. Alapelvek és alapvető rendelkezések
2.1.1. Az adatkezelés célhoz kötöttsége
2.1.1.1.Személyes adatot kezelni csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében lehet (az adatkezelés célhoz kötöttségének elve). Az adatkezelésnek minden szakaszában meg kell felelnie a kitűzött célnak.
2.1.1.1.1.Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, továbbá személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
2.1.1.2.Az érintettet kérelmére – egyértelműen és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tevékenységéről, így különösen az adatkezelő által kezelt adatok forrásáról, az adatkezelés céljáról és jogalapjáról, az adatkezelésre és a feldolgozásra jogosult nevéről, címéről, az adatkezelés időtartamáról, arról ha az érintett személyes adatait az adatkezelő a 3.1. pont alapján kezeli, arról, hogy kik ismerhetik meg az adatokat, az érintett adatát érintő adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, valamint – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
2.1.1.3.A Szervezet gondoskodik arról, hogy az adatokhoz csak olyan munkavállalók, adatfeldolgozók férhessenek hozzá, akik vagy amelyek adatkezelése, adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósultnak tekinthető.
2.1.1.4.A célhoz kötöttség elve megvalósulásának vizsgálata minden esetben az illetékes adatgazda feladata és felelőssége. Az adat kiadására vonatkozó kérések esetében az adatkérőnek az adatkérés célját minden esetben meg kell jelölni, az adatszolgáltató pedig köteles mérlegelni, hogy a kért adatok a megjelölt cél eléréséhez elengedhetetlenül szükségesek-e. Az adatkérőnek kizárólag olyan adat adható át, ami a cél eléréséhez elengedhetetlenül szükséges. Amennyiben az adatkezelés célhoz kötöttsége kétséges, az adatgazda köteles a kérdésben a belső adatvédelmi felelős állásfoglalását beszerezni.
2.1.2. Adatbiztonság
2.1.2.1.A Szervezet az adatkezelés során mindvégig köteles gondoskodni a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról (adatbiztonság elve). Az informatikai rendszerekben megvalósuló adatkezelések során a Szervezet mindenkor hatályos Információ Biztonsági Szabályzatát kell alkalmazni minden olyan adatbiztonsági kérdésben, amelyre jelen Szabályzat nem tartalmaz előírást.
2.1.2.2.Ennek keretében az adatgazdák az adott szervezeti egység által kezelt személyes adatok tekintetében kötelesek:
2.1.2.2.1.Az adatkezelés időtartama alatt az adatok biztonságos tárolása, az időtartam lejártával az adatállomány törlése, fizikai megsemmisítése érdekében a szükséges intézkedéseket megtenni.
2.1.2.2.2.Az adatokat megfelelő intézkedésekkel védeni kell a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés a véletlen megsemmisítés és sérülés, a Szervezet által alkalmazott technika megváltoztatásából fakadó hozzáférhetetlenné válás ellen.
2.1.2.2.3.Gondoskodni arról, hogy a jelen Szabályzatot, valamint a feladatkörükben kiadott külön, a személyes adatok kezeléséről szóló rendelkezéseket az irányításuk alatt dolgozók megismerjék és betartsák, illetve azt folyamatosan ellenőrizni;
2.1.2.2.4.Ellenőrizni, hogy a szervezeti egységében kezelt adatok továbbításukat követően is olyan adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki vagy amely az adatok biztonságos kezeléséről megfelelően gondoskodni tud, ezzel összefüggő kérdésekben jogosult kérni a belső adatvédelmi felelős állásfoglalását;
2.1.2.3.A Szervezet valamennyi munkavállalója köteles a személyes adatokat tartalmazó iratokat és a munkavégzéshez szükséges segédleteket a munkavégzés befejezését követően – ahol biztosított – zárható lemez- vagy páncélszekrényben, biztonsági zárral ellátott fiókban, szekrényben tárolni. Ahol ezek a feltételek nem biztosítottak ott is törekedni kell az adatok legalább zárral ellátott fiókban, szekrényben történő biztonságos tárolására. Az íróasztalokon a munkavégzés befejezését követően személyes adatokat tartalmazó iratok tárolása tilos.
2.1.3. Tájékoztatás
2.1.3.1.Az érintett a Szervezettől tájékoztatást kérhet személyes adatai kezeléséről.
2.1.3.1.1.Az érintett a tájékoztatás elősegítése érdekében kérelmezheti a betekintést a személyes adatait tartalmazó iratokba. Kivétel ez alól, ha az irat
a)harmadik személy(ek) adatait is tartalmazza,
b)minősített adatot vagy üzleti titkot tartalmaz,
c)döntés-előkészítéssel kapcsolatos, és a benne szereplő harmadik személy(ek) adatainak felismerhetetlenné tétele aránytalan többletköltséggel járna.
2.1.3.1.2.Amennyiben az érintett megelégszik a személyes adatai kezeléséről szóló tájékoztatással, a 2.1.3.2. pont rendelkezéseit kell alkalmazni. Betekintés esetén, azt a 2.1.3.1.1. a) pont esetében kizárólag az érintett harmadik személy(ek) hozzájárulásának, b) pont esetében minősített adat kapcsán a minősítő, üzleti titok kapcsán pedig az üzleti titokgazda engedélyének birtokában gyakorolható.
2.1.3.2.Az érintett kérelmére a Szervezet illetékes adatgazdája, üzleti titok kapcsán az üzleti titokgazda a belső adatvédelmi felelős útján tájékoztatást ad az általa kezelt, illetőleg feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, az érintett adatát érintő adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá arról, hogy kik (név; cím, illetőleg székhely) és milyen jogalap alapján, milyen célból kapják vagy kapták meg az adatokat. Amennyiben az érintett a tájékoztatás iránti kérelmet nem a belső adatvédelmi felelőshöz nyújtja be, a kérelmet átvevő adatgazda vagy üzleti titokgazda haladéktalanul köteles a belső adatvédelmi felelősnek továbbítani.
2.1.3.3. A belső adatvédelmi felelős a közvetlenül hozzá érkezett tájékoztatás iránti kérelmeket haladéktalanul köteles intézkedés (a 2.1.3.2. pontban foglaltak összeállítása) céljából az illetékes adatgazda, üzleti titok kapcsán az üzleti titokgazda részére megküldeni.
2.1.3.4.Az adatgazda, üzleti titok kapcsán az üzleti titokgazda a közvetlenül hozzá érkezett tájékoztatás iránti kérelmekre, valamint a 2.1.3.3. pont alapján megküldött kérelmekre köteles a kérelem hozzá történt megérkezésétől számított legrövidebb idő alatt, legfeljebb azonban 7 napon belül, a belső adatvédelmi felelősnek tájékoztatást – a 2.1.3.5.3. pont alapján a megtagadási döntését is beleértve – megadni, az érintettnek történő válaszadás céljából írásban. Amennyiben a kért adatokat már törölték, az adatgazda, üzleti titok kapcsán az üzleti titokgazda a törlés tényéről is köteles tájékoztatni a belső adatvédelmi felelőst a fenti határidőn belül és módon.
2.1.3.5.A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre, szervezeti egységre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be.
2.1.3.5.1.Egyéb esetekben a tájékoztatás megadásával együtt járó költségeket az adatgazda, üzleti titok kapcsán az üzleti titokgazda határozza meg, és az érintett köteles viselni. A költségtérítés mértékét a Szervezet és az érintett közötti szerződés is tartalmazhatja. A kérelmező költségtérítés mértékéről szóló tájékoztatását az adatgazda, üzleti titok kapcsán az üzleti titokgazda értesítése alapján a belső adatvédelmi felelős végzi. A már megfizetett költséget a kérelmezőnek vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A térítési kötelezettség nem terjed ki a Szervezet munkavállalóira.
2.1.3.5.2.A kérelmező tájékoztatását lehető legrövidebb időn belül, legfeljebb 25 napon belül közérthető formában a belső adatvédelmi felelős végzi a 2.1.3.4. és a 2.1.3.5.1. pontok figyelembevételével.
2.1.3.5.3.Az érintett tájékoztatását a Szervezet akkor tagadhatja meg:
a)ha a Szervezet törvény, nemzetközi szerződés, vagy Európai Unió kötelező jogi aktusának rendelkezése alapján személyes adatokat úgy vesz át, hogy az adattovábbító adatkezelő egyidejűleg jelzi a személyes adat kezelésének lehetséges célját, lehetséges időtartamát, lehetséges címzettjeit, az érintett hatályos törvényben biztosított jogainak korlátozását vagy a kezelésének egyéb korlátozását (együtt adatkezelési korlátozás), és a Szervezet azokat az adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési korlátozásnak megfelelően biztosítja,
b)ha az érintett hatályos törvényben biztosított jogait törvény korlátozza az állam külső és belső biztonsága érdekében, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.
2.1.3.5.4.A belső adatvédelmi felelős a tájékoztatás megtagadása esetén írásban közli az érintettel, hogy a felvilágosítás megtagadása a 2.1.3.5.3. pont mely rendelkezése alapján került sor és egyben arról is tájékoztatást ad az érintettnek, hogy a tájékoztatás megtagadása miatt jogorvoslattal a bírósághoz, illetve a Hatósághoz fordulhat.
2.1.3.6.Az érintettek tájékoztatásával kapcsolatos panaszok kivizsgálása a belső adatvédelmi felelős feladata, amelynek határideje a hozzáérkezéstől számított 15 nap, de legfeljebb a Szervezethez érkezést követő 25 nap.
2.1.3.7.A Szervezet általános adatkezelési tájékoztatója közzétételre kerül a www.creppygastrobusiness.com oldal főoldaláról elérhető „adatvédelem” menüpontban.
2.1.4.Az érintett előzetes tájékoztatásának követelménye
2.1.4.1.Az érintettel az adatkezelés megkezdése előtt az adatkezelést végzőnek közölni kell, hogy az adatkezelés hozzájáruláson alapul (önkéntes) vagy kötelező. Kötelező adatkezelés esetén nem szükséges az érintett hozzájárulásának a beszerzése és nem kell az érintettel adatvédelmi nyilatkozatot aláíratni, mert az adatkezelés jogalapja a törvényi felhatalmazás és nem az érintett hozzájárulása. Ebben az esetben is az érintettet tájékoztatni kell az adatkezelés jogalapjáról, tehát arról, hogy melyik jogszabály felhatalmazása alapján történik a személyes adatainak kezelése.
2.1.4.1.1.Az adatkezelés megkezdése előtt az adatkezelést végzőnek az érintettet - kérés nélkül is - előzetesen egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen
a)az adatkezelés kötelező, vagy hozzájáruláson alapuló voltáról,
b)az adatkezelés céljáról és jogalapjáról (önkéntes vagy jogszabály által kötelező),
c)az adatkezelő személyéről, adatfeldolgozás esetén az adatfeldolgozó kilétéről,
d)az adatkezelés időtartamáról,
e)az adattovábbítás címzettjeiről,
f)hozzájárulásos adatfelvétel esetén a Szervezet a felvett adatokat törvény eltérő rendelkezése hiányában fa) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy fb) a Szervezet vagy harmadik személy jogos érdekeinek érvényesítése céljából (ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jogok korlátozásával arányban áll) történő kezeléséről és arról, hogy ezek fennállása esetén további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti,
g)az érintett jogairól: tájékoztatás az adatkezelésről, adatfelvételt követően kérheti adatainak helyesbítését, valamint – a kötelező adatkezelés kivételével – az adatainak törlését vagy zárolását, tiltakozhat a kezelés ellen,
h)jogorvoslati lehetőségeiről: adatvédelmi hatósághoz, bírósághoz fordulás,
i)kik ismerhetik meg az adatokat, valamint
j)a szolgáltatás igénybevétele meghiúsulásáról, ha az ügyfél az ahhoz szükséges személyes adatokat nem adja meg, illetve nem járul hozzá azok kezeléséhez.
2.1.4.2. Kötelező adatkezelés esetén a tájékoztatás megtörténhet a 2.1.4.1.1. pont szerinti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
2.1.4.3.Ha az érintett(ek) személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás az alábbi információk nyilvánosságra hozatalával is megtörténhet:
a)az adatgyűjtés ténye,
b) az érintettek köre,
c) az adatgyűjtés célja,
d) az adatkezelés időtartama,
e) az adatok megismerésére jogosult lehetséges adatkezelők személye,
f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése,
g) az adatkezelés nyilvántartási száma, ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, kivéve ha a Hatóság a nyilvántartásba vétel iránti kérelmet nem bírálta el.
2.1.4.3.1.A 2.1.4.3. pontban meghatározottak végrehajtásáról az illetékes terület adatgazdája dönt, indokolt esetben a belső adatvédelmi felelős álláspontjának beszerzését követően.
3. AZ ADATKEZELÉS RÉSZLETES SZABÁLYAI, A Szervezet ÁLTAL KEZELT ADATCSOPORTOK
3.1. Az adatkezelés jogalapja
3.1.1.Személyes adat akkor kezelhető, ha
a)ahhoz az érintett hozzájárul, vagy
b)azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).
3.1.1.1.Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
3.1.1.2.Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
a)az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b)az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
3.1.2.Különleges adat akkor kezelhető, ha
a)az adatkezeléshez az érintett írásban hozzájárul, vagy
b)a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat esetében a törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt a Magyarország Alaptörvényében biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli,
c)egészségi állapotra, kóros szenvedélyre vonatkozó személyes adat valamint, bűnügyi személyes adat esetében törvény közérdeken alapuló célból elrendeli.
3.1.3.Az érintett kérelmére indult más (nem bírósági vagy hatósági eljárásban) ügyben az általa megadott személyes adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az eljárás kezdetekor az érintett figyelmét a hatályos törvény megfelelő törvényhelyére való utalással írásban fel kell hívni. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
3.1.4.A személyes adatokat az adatkezelés céljának megvalósulásakor, de legkésőbb a jelen Szabályzatban meghatározott adatkezelési időtartam lejártával törölni kell.
3.1.5.A Szervezet az adatkezelési eljárásainak tájékoztatására szolgáló, illetve a honlapján köteles a természetes személyekre vonatkozó egyes ügyféladatok, adatcsoportok tekintetében az érintetteket az adatkezelő, adatfeldolgozó nevéről és címéről, az adatkezelés, adatfeldolgozások céljáról, időtartamáról és az adatok törléséről tájékoztatni.
3.1.6.Az érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek –, ideértve a közérdekű adatok nyilvánosságát is – nem sérthetik, illetve korlátozhatják.
3.1.7.A Szervezet a szervezetén belüli adatkezelés során jogosult belső, egyedi azonosító jel meghatározására és arra, hogy személyes adatokat – jelen Szabályzat rendelkezéseinek megfelelően – egyedi azonosító jel alapján is nyilvántartson.
3.1.7.1.A Szervezet azonban az érintettek hozzájárulása nélkül nem jogosult olyan szerződések megkötésére, és adattovábbításra, amely alapján a szerződéses jogviszonyban vagy az adattovábbítás során az érintettek azonosítása kizárólag az egyedi azonosító jel alapján történik.
3.2. Adatcsoportok
3.2.1.Személyes adatok a Szervezet szervezeti keretein belül a következő csoportokban kezelhetők:
3.2.1.1.ügyféladatok (lakossági nyilvántartás);
3.2.1.2.a Szervezettel egyéb szerződéses kapcsolatban álló természetes személyek adatai (partnernyilvántartás);
3.2.1.3.a Szervezet munkavállalóinak adatai (beleértve a toborzással kapcsolatban keletkező, nem munkavállalókhoz kapcsolódó adatokat, valamint az érintett munkavállaló kérelmére indult eljárásban (pl. üdültetés, segélyezés stb.) a hozzátartozója adatait is);
3.2.1.4.hatósági adatszolgáltatások (3.8. pont);
3.3. Az ügyféladatok kezelése, lakossági nyilvántartás
3.3.1.A Szervezet által nyújtott szolgáltatások igénybevételére irányuló szerződésben a szolgáltatásra vonatkozó jogszabályban kötelezően meghatározott adatok, valamint az érintett természetes személyazonosító adatain kívül kizárólag olyan adatok szerepelhetnek, amelyek a szerződés teljesítése kapcsán elengedhetetlenül szükségesek. Amennyiben az érintett ezen adatokat a szerződéskötés során szolgáltatni nem kívánja, a szerződéskötés megtagadható. Az ezen adatok kezeléséhez adott hozzájárulást a 3.3.4. pontban meghatározott célra vélelmezni kell. Kétség esetén a szerződéskötéshez kérhető adatok köréről a belső adatvédelmi felelős állásfoglalását kell kérni.
3.3.2.A szerződéskötés feltételéül szabható az is, hogy az érintett közokirattal vagy teljes bizonyító erejű magánokirattal igazolja, hogy az általa szolgáltatott adatok a valóságnak megfelelnek. Az adatok valóságának igazolása érdekében bemutatott iratokról másolat csak az érintett hozzájárulásával készíthető. Amennyiben az érintett a hozzájárulását nem adja meg, a szerződéskötés nem tagadható meg.
3.3.3.A 3.3.1. pontban foglaltakat meghaladó mértékű adatkezelésre csak az érintett kifejezett hozzájárulásával kerülhet sor. A hozzájáruló nyilatkozat beszerzése előtt az adatkezelést végzőnek az érintettet a 2.1.4. pont szerint tájékoztatni kell. A hozzájárulás megtagadása miatt az érintettet semmiféle hátrány nem érheti.
3.3.4.A szerződéskötés során az érintett által szolgáltatott adatok kizárólag a szerződésből fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez használhatók fel, és az adatokhoz való hozzáférés csak ilyen célra engedélyezhető. Kivételt jelentenek ez alól azok az adatok, amelyek beszerzésére az érintett külön hozzájárulásával került sor, ezek az adatok a 3.3.3. pont szerinti tájékoztatásban szereplő célra és módon használhatók fel.
3.3.5.Ha az adatkezelés időtartama alatt az érintett adatainak változását bejelenti, vagy az adatok megváltozását bármely adatkezelő, adatfeldolgozó észleli, az adatokat a változásnak megfelelően haladéktalanul módosítani kell, illetve ki kell egészíteni. Ebben az esetben a módosításra kerülő korábbi, valamint a módosítást, kiegészítést követő új adatokat egyaránt fel kell tüntetni a nyilvántartásban, oly módon azonban, hogy a nyilvántartásból az adatok aktív, illetve inaktív állapota egyértelműen megállapítható legyen.
3.3.6.Amennyiben a Szervezet vagy az érintett ügyfél az igénye érvényesítése iránt eljárást indít, az adatok az egyeztetés folyamán, valamint a bírósági, hatósági eljárás befejezéséig nyilvántarthatók.
3.3.7.Ha az adatokat a 3.3.10.6. pont szerint törölni kell, a törlést a határidő elteltével haladéktalanul meg kell kezdeni, és 60 napon belül be kell fejezni. A papíralapú adattárolásban a törlést – eltérő rendelkezés hiányában – az irat selejtezése és megsemmisítése útján kell végrehajtani.
3.3.8.Ha a szerződéses jogviszonyban számla kibocsátására kerül sor, a számlán szereplő adatok a számviteli- és adójogszabályokban meghatározott határidőkig tarthatók nyilván.
3.3.9.A törlésig a Szervezet az ügyfelek szerződésben szereplő adatait papír- és elektronikus formában is nyilvántartja (lakossági nyilvántartás).
3.3.10.A személyes adatot törölni kell, ha
a)kezelése jogellenes;
b)az érintett kéri, a kötelező adatkezelést kivéve;
c)az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
d)az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, kivéve a levéltári őrizetbe tartozó adathordozókat;
e)azt a bíróság vagy a Hatóság elrendelte.
3.3.10.1.Törlés helyett a Szervezet adatgazdája zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
3.3.10.2.A Szervezet adatgazdája indokolt esetben megjelöli (az adat azonosító jelzéssel történő ellátása a megkülönböztetés érdekében) az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
3.3.10.3.Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a Szervezet adatgazdájának rendelkezésére áll, a személyes adatot az adatgazda helyesbíti.
3.3.10.4.A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. A mellőzésről az illetékes terület adatgazdája dönt.
3.3.10.5.Ha a Szervezet adatgazdája az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli az érintettel a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az érintettel a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségét is közölni kell.
3.3.10.6.Azokat a szerződésekben foglalt személyes adatokat, amelyeket a Szervezet az érintett hozzájárulása és nem törvényi felhatalmazás alapján kezel – amennyiben a szerződés vagy külön hozzájáruló nyilatkozat eltérően nem rendelkezik – a szerződéssel összefüggő igények elévülését követően törölni kell. A szerződéses adatok tárolása nem érinti a szerződés alapján kiállított számviteli bizonylatok törvényes tárolási idejét, amely a számvitelről szóló 2000. évi C törvény (a továbbiakban: Számv. tv.) 169. § (2) bekezdése alapján legalább 8 év.
3.3.10.7.A 3.3.10.5. pontban foglalt kérelmek elutasításának intézésébe az adatgazda döntése alapján a rendelkezésre álló törvényes határidőre tekintettel a belső adatvédelmi felelős is bevonható.
3.4. A Szervezettel szállítói szerződéses kapcsolatban álló természetes személyek adatainak kezelése, partner-nyilvántartás.
A Szervezettel szerződéses kapcsolatban álló természetes személyek (pl. egyéni vállalkozó beszállítók, alvállalkozók) adatainak kezelése során a 3.3. pontban foglaltakat kell értelemszerűen alkalmazni, azzal az eltéréssel, hogy ezen szerződések személyes adatállományát az ügyféladatoktól elkülönítetten kell nyilvántartani (partner nyilvántartás).
3.5. A Szervezet munkavállalói adatainak kezelése, nyilvántartása
3.5.1.A munkavállalók adatainak kezelése tekintetében az adatgazda a HR osztály vezetője, továbbá minden olyan szervezeti egység vezetője, akinek az irányítása alatt álló egységnél munkavállalói adatokat kezelnek. A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
3.5.1.1.A megváltozott munkaképességű, vagy a foglalkozás-egészségügyi orvos által munkakörére „nem alkalmas” minősítést kapó munkavállalótól a tovább foglalkoztatás lehetőségét vizsgáló ún. rehabilitációs eljárás során bekérhető és kezelhető a Nemzeti Rehabilitációs és Szociális Hivatal Szakértői Bizottságának szakvéleménye, (és orvosi zárójelentések), amelyek a munkavállaló betegségét tételesen felsorolják. A határozatban foglalt adatokat a Munkaügyi csoport kizárólag a rehabilitációs eljárás lefolytatása, rehabilitációs munkakör feltárása, valamint a rehabilitációs járadék megállapítása céljából vezetett nyilvántartás érdekében, valamint segélyezés, alapítványi támogatás céljából használhatja fel. A munkaügyi csoport a szakvéleményből az egészségkárosodás mértéke, a rehabilitálhatóság, a felülvizsgálat időpontja, a szakmai munkaképesség változása és a határozat száma különleges személyes adatokat tartja nyilván.
3.5.1.2.A 3.5.1.1. pont esetében azonban a munkavállalótól az illetékes megyei/fővárosi Kormányhivatal Nyugdíjbiztosítási Igazgatósága által kiadott „Határozat a rokkantsági nyugdíj megállapítása iránti kérelméről” bekérhető és kezelhető.
3.5.2.Amennyiben a munkába lépésre irányuló felvételi eljárást követően munkaviszony létesítésére nem kerülne sor, az érintett adatait haladéktalanul törölni kell, kivéve, ha az érintett írásban hozzájárul ahhoz, hogy az adatait Szervezet továbbra is kezelje. Az így keletkezett személyes adatokat a HR osztály kezeli, az érintett írásbeli hozzájárulásában meghatározott ideig.
3.5.3.A Szervezet a személyi nyilvántartásban a munkavállalók következő adatait (együtt: személyi anyag) kezelheti
a)a munkavállaló természetes személyazonosító adatait, nemét, lakóhelyét, tartózkodási helyét;
b)állampolgárságát;
c)TAJ számát;
d)adóazonosító jelét;
e)munkába lépésének kezdő és befejező időpontját;
f)munkakörét;
g)iskolai végzettségét, szakképzettségét, nyelvismeretét, az ezt igazoló okiratok másolatát, a tanulmányi szerződést;
h)a munkavállaló önéletrajzát;
i)munkabérének összegét, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatokat;
j)a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát;
k)a munkavállaló által a munkaviszony megszűnésének évében igénybe vett betegszabadság időtartamát;
l)a munkavállaló rendes szabadságával, rendes és rendkívüli munkaidejével, szabadságának kiadásával, egyéb munkaidő-kedvezményével kapcsolatos adatokat;
m)a munkavállalóval kötött munkaszerződés egyéb lényeges adatait (pl.: a munkavállaló számára biztosított kedvezményeket, a munkavállaló napi/havi munkaidejét, a szerződés fajtáját);
n)a munkavállaló munkájának értékelését;
o)a munkavállaló fényképét, kameraképét;
p)a munkaviszony megszűnésének módját, indokait;
q)munkakörtől függően erkölcsi bizonyítványát;
r)a munkaköri alkalmassági vizsgálatok összegzését;
s)magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezését, azonosító számát és a munkavállaló tagsági számát;
t)külföldi munkavállaló esetén útlevélszámát; munkavállalási jogosultságot igazoló dokumentumának megnevezését és számát;
u)minden egyéb olyan személyes adatot, amelynek kezelését törvény írja elő, vagy amelyhez az érintett hozzájárult. Ilyen különösen a családi adókedvezmény igénybe vételéhez szükséges adat, a munkavállaló saját gépjárművének adata, a szociális-jóléti juttatások folyósításához (segély, lakáscélú támogatás, albérleti hozzájárulás), megváltozott munkaképességet, egészségkárosodást, vagy fogyatékosságot igazoló szakhatósági véleményt, vagy fogyatékosságot igazoló szakorvosi aláírással ellátott zárójelentés. A Szervezet törvény felhatalmazása alapján vagy az érintett hozzájárulására – az erre feladatkörük meghatározásával kijelölt szervezeti egységei útján – kezelheti továbbá a munkavállalók következő adatait is, így különösen:
a)munkakörtől függően a nemzetbiztonsági ellenőrzést végző szerv szakvéleményét;
b)munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
c)a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;
d)a Szervezetnél biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat;
e)a munkavállaló vagyonnyilatkozatát.
3.5.4.Az adott szakterületnél már rendelkezésre álló személyes adatok (többszöri, nem frissítés célú) újrakérése tilos. Az adatok ismételt megadásának megtagadása miatt a munkavállalót semmiféle hátrány nem érheti.
3.5.5.A 3.5.3. pontban meghatározott adatokon túl a Szervezet a munkavállaló egyéb személyes adatait kizárólag az érintett – írásbeli - hozzájárulásával kezelheti. A munkavállalók személyi anyagával kapcsolatos nyilvántartást meghaladó mértékű adatkezelésre csak a munkavállaló hozzájárulásával kerülhet sor. A hozzájáruló nyilatkozat beszerzése előtt az adatkezelést végzőnek a munkavállalót a 2.1.4. pont szerint tájékoztatni kell.
3.5.6.A hozzájárulás megtagadása miatt a munkavállalót semmiféle hátrány nem érheti.
3.5.7.A munkavállaló 3.5.3. pontban meghatározott adatait a következő személyek ismerhetik meg:
3.5.7.1.az érintett;
3.5.7.2.a feladataik ellátásához elengedhetetlenül szükséges esetben, mértékben és ideig a Szervezet humán szervezetének vezetője, illetve meghatározott – az érintett személyi anyagát kezelő – alkalmazottja;
3.5.7.3.a feladataik ellátásához elengedhetetlenül szükséges esetben, mértékben és ideig az érintett munkahelyi vezetői (a munkáltatói jogkörgyakorló vezetővel bezárólag) és az általa kijelölt munkatársai;
3.5.7.4.konkrét ellenőrzés céljából az ahhoz elengedhetetlenül szükséges esetben, mértékben és ideig a Szervezet vezetősége, valamint a vizsgálati jogkörrel felruházott munkatársak;
3.5.7.5.Bíróság, ügyészség, nyomozó hatóság, illetve más eljáró hatóság hivatalos megkeresés alapján az igényelt mértékig;
3.5.7.6.Más személyek – indokolt esetben – az érintett írásos hozzájárulásával, a hozzájárulás mértékéig.
3.5.8.A munkaviszony megszűnését követő három év elteltével a munkavállaló adatait törölni kell személyi nyilvántartásból a HR osztálynak, illetve annak a szervezeti egységnek, amelynek a személyzeti nyilvántartásban a munkavállaló adata szerepel kivéve, ha a Szervezet és a munkavállaló között ettől eltérő időtartamú írásbeli megállapodás jön létre. A törlés az írásbeli megállapodásban nem szereplő munkavállalói adatokra terjed ki.
3.5.9.Nem kell, illetve nem szabad törölni a munkaviszony megszűnését követően sem a munkavállaló azon adatait, amelyek törvény felhatalmazása alapján a továbbiakban is nyilvántarthatók vagy megőrzendők.
3.6. Hatósági adatszolgáltatások
3.6.1.A hivatalos szervektől – bíróság, közigazgatási szerv– érkezett, személyes adatokat érintő adatszolgáltatást a megkeresésben megadott határidőig, ennek hiányában 15 napon belül teljesíteni kell.
3.6.2.Ha a megkeresés alakisága, a megkereséssel érintett adatkör kiadhatósága aggályos, az illetékes szervezeti egység a belső adatvédelmi felelős soron kívüli állásfoglalását kéri.
3.6.3. Ha a megkeresés jogszerűségét a belső adatvédelmi felelős is aggályosnak tartja, köteles az ügyben a Hatóság sürgősségi eljárását kezdeményezni. A megkeresés ez esetben a Hatóság állásfoglalásától függően teljesíthető, kivéve, ha az állásfoglalás a megkeresésben megadott határidő alatt nem érkezik meg a Szervezet részére. Ez esetben a megkeresést a megadott határidőben a 3.6.1. pont szerinti szervezeti egység teljesíti.
3.7 Belső adatvédelmi nyilvántartás
A belső adatvédelmi felelős vezeti a belső adatvédelmi nyilvántartást. A belső adatvédelmi nyilvántartás valamennyi adatkezelés esetén tartalmazza:
- az adatkezelés célját,
- az adatkezelés jogalapját,
- az érintettek körét,
- az érintettekre vonatkozó adatok leírását,
- az adatok forrását,
- az adatok kezelésének időtartamát,
- a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapjai, ideértve a harmadik országokbairányuló adattovábbításokat is,
- az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az
adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
- az alkalmazott adatfeldolgozási technológia jellegét.
A belső adatvédelmi nyilvántartás célja annak megállapíthatósága, hogy az érintett mely adatkezelések alanya lehet, és ezen adatkezelésnek melyek a jellemző elemei. A belső adatvédelmi nyilvántartás azonosítja az adatkezeléseket, azonban nem helyettesíti az érintett részletes tájékoztatását. A belső adatvédelmi felelős a belső adatvédelmi nyilvántartásba való betekintést valamennyi érintett részére biztosítja.
4. ADATTOVÁBBÍTÁS
4.1. Adattovábbítás a Szervezeten belül
A Szervezeten belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog.
4.2. Adattovábbítás harmadik személy részére
4.2.1. Személyes adatot továbbítani harmadik személy részére csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.
4.2.2. Az adattovábbítást megelőzően az adatgazda kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e. Ennek során vizsgálni kell, hogy adatkezelési korlátozással történő adattovábbítás alkalmazható-e.
4.2.3.A 4.2.1. pontban előírtak betartására vonatkozó panasz esetében vizsgálat lefolytatására a belső adatvédelmi felelős jogosult.
4.2.4.Ugyanazon adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú adattovábbítás előtt a 4.2.2. pont szerinti vizsgálatba a belső adatvédelmi felelőst is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell.
4.2.5.A 4.2.1. pont rendelkezéseit kell alkalmazni az adatkezelések, nyilvántartások összekapcsolására, ideértve az ugyanazon adatkezelő adatkezeléseinek, nyilvántartásainak összekapcsolását is.
4.2.6.Az adattovábbításról köteles a Szervezet nyilvántartást vezetni.
4.2.7.Az adattovábbítási nyilvántartás tartalmazza:
a)az adattovábbító által kezelt/gyűjtött személyes adatok továbbításának időpontját,
b)a továbbított adatköröket,
c)az adattovábbítás jogalapját és címzettjét (név, cím, székhely),
d)az adattovábbításért felelős nevét és telefonszámát.
4.3. Adattovábbítás külföldre
4.3.1. Az adattovábbítást megelőzően – a belső adatvédelmi felelős bevonásával – az adatgazda kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.
4.3.2.A Szervezet minden szervezeti egysége köteles az általa teljesített külföldre irányuló adattovábbításokról a 4.2.7. pontban meghatározott tartalommal adattovábbítási nyilvántartást vezetni.
5. AZ ADATKEZELÉSSEL ÉS AZ ADATFELDOLGOZÁSSAL KAPCSOLATOS FELELŐSSÉGEK, FELADATOK ÉS HATÁSKÖRÖK
5.1. Az elsődleges adatkezelést végző
5.1.1.Az elsődleges adatkezelést végző az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is.
5.1.2.Az utasítást kiadó vezető felel az adatgazdának és az adatfeldolgozónak adott – az adatkezelési műveletekre vonatkozó – utasítások jogszerűségéért.
5.1.3.Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
5.1.4.Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
5.2. Az adatgazda
Az adatgazda a munkajogi szabályok, illetve megbízási szerződésében foglaltak szerint tartozik helytállni az általa jogellenesen okozott károkért.
5.3. Az adatfeldolgozó
5.3.1.Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen Szabályzat, valamint a vonatkozó jogszabályok keretei között az adatgazda határozza meg.
5.3.2.Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.
5.3.3.Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának is alapjául szolgálhat.
5.4. A belső adatvédelmi felelős
5.4.1.a vezérigazgató nevezi ki, az adatvédelmi felelősi tevékenysége tekintetében független, közvetlenül a legfelsőbb szervezeti vezető felügyelete alatt áll és csak általa utasítható;
5.4.2.közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában (konzultációs jogkör); 5.4.3. részt vesz az adatvédelmi ellenőrzésekben, vizsgálatokban;
5.4.4.ellenőrzi a jelen Szabályzatban foglaltak betartását;
5.4.5.tájékoztatja a Szervezet más szervezeti egységeit a jelen Szabályzat és a kapcsolódó külön szabályzatok gyakorlati alkalmazásáról, segítséget nyújt a gyakorlati tapasztalatok összegzésében;
5.4.6.figyelemmel kíséri az adatvédelmi jogszabályok változását, – szükség esetén – javaslatot tesz a jelen Szabályzat módosítására;
5.4.7.figyelemmel kíséri az érintetteknek nyújtott tájékoztatások alakulását;
5.4.8.vezeti a jelen Szabályzat szerinti nyilvántartásokat;
5.4.9.kivizsgálja a személyes adatok kezelésével (feldolgozásával, továbbításával) kapcsolatban hozzá érkezett bejelentéseket és panaszokat;
5.4.10.fogadóórát tart, ahol előzetes bejelentkezést követően lehet a belső adatvédelmi felelőssel egyéni konzultációt folytatni; (elektronikus levelezés útján is biztosítja az egyéni konzultáció folytatását)
5.4.11. jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatgazdát vagy az adatfeldolgozót;
5.4.12.megszervezi a jelen Szabályzat alkalmazásával kapcsolatos adatvédelmi oktatást és az adatvédelmi tárgyú tájékoztató kiadványok kibocsátását;
5.4.13.együttműködik a Szervezet szervezeteivel a felmerülő adatvédelmi tárgyú kérdések megoldásában,
5.4.14.a Szervezet szervezeti egységének megkeresésére vagy saját hatáskörben adatvédelmi tárgyú állásfoglalásokat bocsát ki;
5.4.15. az adatvédelmi jogszabályi változások és a gyakorlati tapasztalatok alapján javaslatokat készít a Szervezet szabályzatainak módosítására, kezdeményezi új szabályzatok kibocsátását;
6.ÉRINTETTEK JOGAI ÉS ÉRVÉNYESÍTÉSÜK
6.1 Tájékoztatáshoz való jog
Az Adatkezelő az érintettet az adatkezelést megelőzően tájékoztatja. A tájékoztatás megtörténhet azáltal is, hogy az adatkezelés részleteiről szóló tájékoztatót az Adatkezelő közzéteszi, és erre az érintett figyelmét felhívja. Az érintettek tájékoztatást kérhetnek adataik kezeléséről. Az érintett tájékoztatást elsősorban az ügyfélszolgálattól, ennek eredménytelensége esetén az adatvédelmi felelőstől kérhet. Az Adatkezelő törekszik arra, hogy az érintettek az adatkezelést megelőzően tájékoztatást kapjanak az adatkezelés részleteiről. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes. Az érintett tájékoztatását az Adatkezelő csak akkor tagadhatja meg, ha azt törvény lehetővé teszi. Az Adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni. Az Adatkezelő ebben az esetben tájékoztatja az érintettet a jogorvoslati lehetőségekről.
6.2 Helyesbítéshez való jog
Az érintett kérheti, hogy a tévesen szereplő személyes adatát az Adatkezelő helyesbítse. Abban az esetben, ha a helyesbítendő adatok alapján rendszeres adatszolgáltatás történik, az Adatkezelő szükség esetén a helyesbítésről tájékoztatja az adatszolgáltatás címzettjét, illetve az érintett figyelmét felhívja arra, hogy a helyesbítést más adatkezelőnél is kezdeményeznie kell.
6.3 Törléshez és tiltakozáshoz való jog
Az érintett a jogszabályban elrendelt adatkezelések kivételével kérheti a személyes adatai törlését. Az Adatkezelő az érintettet a törlésről tájékoztatja. Amennyiben a hozzájáruláson alapuló adatkezelés a munkaviszony létesítésének, fenntartásának feltétele, erről, és a várható következményekről az Adatkezelő az érintettet tájékoztatja. Az Adatkezelő a személyes adat törlését megtagadhatja, ha az adat kezelése jogszabályon alapul, és az adatkezelés az Adatkezelő jogos érdekének érvényesítéséhez szükséges. A törlési kérelem teljesítésének megtagadása esetén az Adatkezelő az érintettet annak okáról tájékoztatja. Az érintett az információszabadságról és az információs önrendelkezési jogról szóló 2011. évi CXII. törvényben meghatározottak szerint tiltakozhat személyes adatai kezelése ellen.
6.4 Az érintett jogainak érvényesítése
Az érintett tájékoztatás, helyesbítés, törlés iránti kérelmét elsősorban ügyfélszolgálathoz, vagy az adatvédelmi felelőshöz nyújthatja be. Ha az Adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az Adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. A tájékoztatás, helyesbítés, törlés, tiltakozás esetén az Adatkezelő az irányadó jogszabályokban foglaltaknak megfelelően jár el. Az érintett jogsérelem esetén kérheti az Adatkezelő képviseletében eljáró személy felettes vezetőjének vizsgálatát, valamint fordulhat az Adatkezelőnél kinevezett belső adatvédelmi felelőshöz. Az érintett a jogainak megsértése esetén bírósághoz fordulhat, és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, valamint a Polgári Törvénykönyv alapján érvényesítheti jogait. Az érintett személyes adatai védelméhez való joga megsértése esetén fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, és kérheti a Hatóság vizsgálatát. A jogellenes adatkezeléssel okozott kárért az Adatkezelő a vonatkozó törvényekben előírtak szerint felelős. Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt köteles megtéríteni. Az érintettel szemben az Adatkezelő felel az adatfeldolgozó által okozott kárért is. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az Adatkezelő általános, polgári jogi felelősségére a Polgári Törvénykönyv szabályai az irányadók. Az érintett kérése esetén az Adatkezelő a jogérvényesítési lehetőségekről részletes tájékoztatást ad.
7. ADATVÉDELMI INCIDENSEK KEZELÉSE
7.1.Az adatvédelmi incidens bejelentése
7.1.1.Az a munkavállaló, aki a Szervezet által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, azaz személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést, valamint véletlen megsemmisülést és sérülést észlel, azt köteles a közvetlen vezetője útján haladéktalanul felettesének, felettese távollétében pedig a legfelsőbb vezetőnek bejelenteni, megadva a nevét, telefonszámát és/vagy e-mail címét, a szervezeti egységét, az incidens tárgyát, valamint azt, hogy az incidens informatikai rendszert érint-e. A bejelentő további olyan információkat is megadhat, amelyeket az incidens beazonosítása, megvizsgálása szempontjából lényegesnek ítél.
7.1.2.A felettes vagy a legfelsőbb vezető a bejelentést követően tájékoztatja a belső adatvédelmi felelőst az adatvédelmi incidens bekövetkezéséről, megadva a bejelentő nevét, telefonszámát és/vagy e-mail címét, szervezeti egységét, továbbá a bejelentett adatvédelmi incidens tárgyát, azt, hogy az incidens informatikai rendszert érint-e, valamint a további, a bejelentő által tudomására hozott egyéb információkat.
7.1.3.Amennyiben az adatvédelmi incidens informatikai rendszert érintően következett be a Szervezet Informatikai osztályának vezetőjét tájékoztatni kell.
7.1.4.Amennyiben a Szervezet ellenőrzésre jogosult szervezeti egységei a feladataik ellátása során adatvédelmi incidenst észlelnek, a belső adatvédelmi felelőst értesítik. A belső adatvédelmi felelős a bejelentések értékelését követően a 7.2.3. pontban foglaltak szerint jár el.
7.2. A bejelentés megvizsgálása és az incidens kezelése
7.2.1.A belső adatvédelmi felelős – informatikai rendszert érintő incidens esetén az Informatikai osztály vezetőjével együttműködve – a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
7.2.2.Az adatszolgáltatásnak tartalmaznia kell
a)az incidens bekövetkezésének időpontját és helyét,
b)az incidens leírását, körülményeit, hatásait,
c)az incidens során kompromittálódott adatok körét, számosságát,
d)a kompromittálódott adatokkal érintett személyek körét,
e)az incidens elhárítása érdekében tett intézkedések leírását,
f)a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
7.2.3.Amennyiben az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, annak végrehajtására a belső adatvédelmi felelős felkéri a Szervezet legfelsőbb vezetőjét, informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az Informatikai osztály vezetőjét is bevonva. A belső adatvédelmi felelős szaktanácsadóként közreműködik a vizsgálat lefolytatásában.
7.2.4.Az adatszolgáltatás alapján és a belső adatvédelmi felelős – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az Informatikai osztály vezetőjével együtt – javaslatot tesz az adatvédelmi incidens elhárításához szükséges intézkedésekről az adatok kezelését vagy feldolgozását végző szakterületnek, továbbá – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében – az Információ Biztonsági Szabályzat alapján kijelölt adatgazdának.
7.2.5.A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője, – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében – az Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével dönt.
7.2.6.Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője, kijelölt adatgazda esetében az adatgazda az adott intézkedések végrehajtását követő 2 munkanapon belül köteles a belső adatvédelmi felelőst tájékoztatni.
7.3. Az incidens nyilvántartása
7.3.1. Az adatvédelmi incidensről a belső adatvédelmi felelős nyilvántartást vezet.
7.3.2.A nyilvántartásba rögzíteni kell: a. az érintett személyes adatok körét, b. az adatvédelmi incidenssel érintettek körét és számát, c. az adatvédelmi incidens időpontját, d. az adatvédelmi incidens körülményeit, hatásait, e. az adatvédelmi incidens elhárítására megtett intézkedéseket, f. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
7.3.3.A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat személyes adatokat érintő incidens esetében 5 évig, különleges adatokat érintő incidens esetében 20 évig köteles a belső adatvédelmi felelős megőrizni.
8. VEZETŐK, SZEMÉLYEK NÉVSORA
Belső adatvédelmi felelős: Oszlánczi Réka, ügyvezető
Üzleti titokgazda: Oszlánczi Réka, ügyvezető
HR osztály vezető: Oszlánczi Réka, ügyvezető
Informatikai osztály vezető: Oszlánczi Réka, ügyvezető
Kötelező felülvizsgálat: a hatálybalépést követő évtől minden év december 31-ig, jogszabályváltozást, vagy belső szabályozásváltozást követően 30 napon belül.
Kelt: Miskolc, 2018. 04. 01.
