fbpx

ADATKEZELÉSI TÁJÉKOZTATÓ 

Kameraszabályzat

Tájékoztató szerződéses partnerek részére

Honlap Adatkezelési Tájékoztatója

Adatkezelési tájékoztató nyereményjátékhoz

Pályázók adatkezelési tájékoztatója

Térelválasztó díszítőelem

 

ADATKEZELÉSI TÁJÉKOZTATÓ

 

Az adatkezelő

Név: FAMEX TOOLS KFT.

Székhely: 9022 Győr, Bajcsy-Zsilinszky út 51 III/2

Adószám: 14179583-2-08

Telefonszám: +36 96 999137

E-mail: info@famextools.hu

 

  1. BEVEZETÉS

A FAMEX TOOLS Kft.  (a továbbiakban: Adatkezelő) a személyes adatokra vonatkozó adatkezelési és adatvédelmi tevékenységét teljes körűen, a vonatkozó -az alábbiakban felsorolt - jogszabályok előírásainak megfelelően végzi. 

  • Az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (a továbbiakban: Infotv.);
  • Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet).

A jelen szabályzat célja egy olyan adatkezelési rendszer leírására és alkalmazására vonatkozik, amely biztosítja -a belső szabályzatok, technikai és szervezkedési intézkedések elvégzése által - a személyes adatok jogszerű kezelését.

Adatkezelő a személyes adatokat a vonatkozó elvek alapul vételével kezeli, biztosítja és dokumentálja az adatkezelés jogszerűségét, illetve az érintetti jogok biztosítását. 

Az Adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint az adatkezelés kockázatát, annak valószínűsége és súlyossága figyelembe vételével megfelelő technikai és szervezeti intézkedéseket hajt végre.  

  1. SZABÁLYZAT HATÁLYA

A szabályzat hatálya a Társaság által kezelt olyan személyes adatokra terjed ki, amelyek természetes személyekre vonatkoznak.  Ugyanakkor nem terjed ki olyan személyes adatkezelésre, amely jogi személyekre vonatkozik vagy amelyet természetes személyek kizárólag otthoni tevékenységük keretében végeznek (GDPR (14) és 2. cikk c) alapján).

Egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni. Ugyanakkor a Rendelet (14) alapján a jogi személyekre vonatkozó adatok, ide értve a jogi személy nevét és társasági formáját, vagy elérhetőségi adatai nem minősülnek személyes adatnak. 

  1. FOGALOMMEGHATÁROZÁSOK

E Szabályzat alkalmazásában irányadó fogalommeghatározásokat, szakkifejezéseket a Rendelet 4. cikke (Fogalommeghatározások) és az Infotv. 3§ alapján az alábbiak szerint használjuk: 

  1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
  2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
  4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
  5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
  6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
  9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
  10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  13. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesüléseket is. 
  14. „érintett”: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
  15. „adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
  16. „nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele;
  17. „különleges adat“:
  1. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
  2. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

20. „azonosítható természetes személy”: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó, egy vagy több tényező alapján azonosítható;

  1. ADATKEZELÉSI ALAPELVEK ÉS JOGALAPOK

 A Rendelet 5. cikkében megfogalmazott, a személyes adatok kezelésére vonatkozó elveket az Adatkezelő maradéktalanul betartja. A következő pontokban részletezett tényleges adatkezelési előírások az alapelvekből indulnak ki. Adatkezelő jelen szabályzattal és mellékleteivel, illetve mindezek alapján történő gyakorlati megvalósulással igazolni tudja, hogy az adatkezelés az adatkezelési alapelvek alapján történik.  

Az adatkezelésnek meg kell felelnie a törvényesség kritériumának, tisztességes és átlátható módon kell megvalósulnia. Az adatkezelés konkrétan definiált, egyértelmű és jogszerű célból végezhető, amelyről az érintettet tájékoztatni kötelező. Az érintett tájékoztatása arra is ki kell terjedjen, hogy mennyi ideig és pontosan milyen adatokat kezel az Adatkezelő. Csak olyan személyes adat kezelhető, amely feltétlenül szükséges és megfelelő az adatkezelés céljaira tekintettel. Az Adatkezelő felel az adatok pontosságáért, és megteszi a szükséges észszerű intézkedéseket annak biztosítására, hogy a pontatlan személyes adatokat haladéktalanul törölni vagy helyesbíteni tudja. Amennyiben az adatkezelés céljainak eléréséhez elengedhetetlen, akkor az adatok naprakészségét is biztosítani kell. 

A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. A személyes adatokat harmadik személynek az érintett kifejezett és önkéntes hozzájárulása hiányában nem lehet továbbítani. Az adatkezelés során megfelelő technikai és szervezési intézkedésekkel biztosítani kell az adatok biztonságát.

  1. AZ ADATKEZELÉS JOGSZERŰSÉGE, JOGALAPJÁNAK MEGHATÁROZÁSA

Az Adatkezelőnél az adatkezelése akkor jogszerű, amennyiben az az alábbi jogalapok legalább egyike alapján történik: 

  1. az érintett hozzájárulását adta egy vagy több konkrét célból történő kezeléshez
  2. szerződés teljesítéséhez szükséges, és az érintett az egyik fél a szerződésben, vagy az a szerződés megkötéséhez szükséges)
  3. az adatkezelőre vonatkozó jogi kötelezettségének teljesítéséhez szükséges;
  4. az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. közérdekű feladat vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat teljesítéséhez szükséges;
  6. az adatkezelő vagy egy harmadik személy jogos érdekeinek érvényre juttatásához szükséges (kivéve, ha ezen jogos érdekkel szemben elsőbbséget élveznek az érinett olyan alapvető jogai, érdekei, amelyek személyes adatok védelmét teszik szükségessé) 

Az Adatkezelőnél a személyes adatok kezelése felsorolás jelleggel az érintettek hozzájáruláson, szerződés teljesítésén, jogi kötelezettség teljesítésén és jogos érdeken alapszik.

  1. ADATKEZELÉSI TEVÉKENYSÉG

Adatkezelő az alábbiakban részletezi az általa végzett adatkezelési tevékenységeket. 

A Rendelet 30.cikke és az Infotv. 25 /E. § (1) alapján az Adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet. Az adatkezelői nyilvántartásban az adatkezelő rögzíti

a) az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit,

b) az adatkezelés célját vagy céljait,

c) személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét,

d) az érintettek, valamint a kezelt adatok körét,

e) profilalkotás alkalmazása esetén annak tényét,

f) nemzetközi adattovábbítás esetén a továbbított adatok körét,

g) az adatkezelési műveletek - ideértve az adattovábbítást is - jogalapjait,

h) ha az ismert, a kezelt személyes adatok törlésének időpontját,

i) az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,

j) az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,

k) az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.

Az adatkezelői nyilvántartásban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni. Az Adatkezelő ezen nyilvántartás vezetési kötelezettségének a 1-6. számú mellékletekkel tesz eleget. 

JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉS

  1. MUNKAÜGYI, SZEMÉLYZETI NYILVÁNTARTÁS

(1)  A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.

(2) A Társaság szerződés teljesítése (Rendelet 6. cikk (1) bekezdése b)) jogcímén, munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:

  1. név, 
  2. születési név,
  3. születési ideje, 
  4. anyja neve,
  5. lakcíme, 
  6. állampolgársága, 
  7. adóazonosító jele, 
  8. TAJ száma,
  9. nyugdíjas törzsszám (nyugdíjas munkavállaló esetén), 
  10. telefonszám,
  11. e-mail cím,
  12. személyi igazolvány száma,
  13. lakcímet igazoló hatósági igazolvány száma,
  14. bankszámlaszáma,
  15. munkába lépésének kezdő és befejező időpontja,
  16. munkakör,
  17. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
  18. fénykép,
  19. önéletrajz,
  20. munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
  21. a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát, 
  22. a munkavállaló munkájának értékelése,
  23. a munkaviszony megszűnésének módja, indokai,
  24. munkakörtől függően erkölcsi bizonyítványa
  25. magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
  26. külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma, 
  27. munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
  28. a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;
  29. adó-, társadalombiztosítási, kifizetői kedvezmény igénybevétele céljából – ehhez szükséges mértékben - a munkavállaló egészségügyi adata, házastársa, gyermekeinek személyes adata

(3) Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel. 

(4) A személyes adatok címzettjei: a Társaság ügyvezetője, az irodavezető és a könyvelési iroda.

(5) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 5 év.  Emellett azonban a Társaság figyelemmel van A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) rendelkezéseire is: Ezek alapján a maradandó értékűnek minősülő iratokat, így különösen a bérszámfejtést alátámasztó, valamint a nyugdíj megállapításához szükséges munkaügyi iratokat (úgy mint a munkaszerződések, igazolások, jelenléti ívek, be-, és kijelentési nyomtatványok, bérjegyzékek és összesítők) korlátlan ideig köteles a Társaság megőrizni, így azok nem selejtezhetők. 

(6) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén, azaz szerződés teljesítésén alapul. A munkáltató a munkaviszony megszűnését követő 5 évig őrzi a fentiekben részletezett személyes adatokat egy munkaviszonyból eredő munkajogi vagy polgári jogi per általános elévülési idejéig. 

(7) A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 7/1. számú melléklete szerinti nyilatkozik az adatvédelmi szabályzat megismeréséről és titoktartási kötelezettségének elfogadásával. A jelen szabályzat 7/2. számú melléklete szerinti Tájékoztatóval tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogairól, egyúttal munkavállaló nyilatkozik arról, hogy a Társaság adatvédelmi szabályzatát megismerte, és azt magára nézve kötelezőnek ismerte el, továbbá munkavállaló elfogadja az alkalmassági vizsgálat kapcsán nyújtott munkáltatói tájékoztatást. 

  1. ALKALMASSÁGI VIZSGÁLATOKKAL KAPCSOLATOS ADATKEZELÉS

(1) A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat 7/2. számú melléklete tartalmazza.

(2) A munkaalkalmasságra, felkészültségre irányuló tesztlapok a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.

(3) Az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.

(4) A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek. 

(5) Az adatkezelés jogalapja: a munkáltató jogi kötelezettsége. 

(6) A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése. 

(7) A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg. A munkáltató által megbízott üzemorvos külön adatkezelőnek minősül, aki köteles a hatályos adatvédelmi rendelkezéseknek megfelelően kezeli a személyes adatokat. Ezen személyes adatokat a munkáltató részéről a Társaság ügyvezetője, az irodavezető és a könyvelőiroda ismerheti meg. 

(8) A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év. 

  1. ADATKEZELÉS ADÓ-, ÉS SZÁMVITELI KÖTELEZETTSÉGEK TELJESÍTÉSE CÉLJÁBÓL 

(1) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározottadatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel. 

(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év. 

(3) A személyes adatok címzettjei: Társaság ügyvezetője, az irodavezető és a könyvelőiroda iroda.

  1. KIFIZETŐI ADATKEZELÉS

(1) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.

(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év. Emellett azonban a Társaság figyelemmel van A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) rendelkezéseire is: Ezek alapján a maradandó értékűnek minősülő iratokat, így különösen a bérszámfejtést alátámasztó, valamint a nyugdíj megállapításához szükséges munkaügyi iratokat (úgy mint a munkaszerződések, igazolások, jelenléti ívek, be-, és kijelentési nyomtatványok, bérjegyzékek és összesítők) korlátlan ideig köteles a Társaság megőrizni, így azok nem selejtezhetők. 

(3) A személyes adatok címzettjei: Társaság ügyvezetője, az irodavezető és a könyvelőiroda.

  1. A LEVÁLTÁRI TÖRVÉNY SZERINTI MARADANDÓ IRATOKRA VONATKOZÓ ADATKEZELÉS 

(1) A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint maradandó értékűnek minősülő iratait, így különös tekintettel a nyugdíj megállapításához, számításához szükséges dokumentációt abból a célból, hogy a Társaság irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: az érintett személy nyugdíjba vonulásáig. 

(2) A személyes adatok címzettjei: Társaság ügyvezetője, az irodavezető és a könyvelőiroda.

  1. FELÜLVIZSGÁLATI KÖTELEZETTSÉG EGYES KÖTELEZŐ ADATKEZELÉSEK ESETÉN

A jogi kötelezettségen alapuló adatkezelésekre vonatkozó adatkezelési/adattárolási időtartam tárgyában az Info.tv. legalább háromévenkénti felülvizsgálati kötelezettséget ír elő az alábbiak szerint:  

(5) Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

Ezek alapján az Adatkezelő köteles legalább háromévente felülvizsgálni kötelező adatkezelés esetén az adatkezelés időtartamát olyan esetekben, amelyekben adattárolási időt jogszabály nem ír elő. Az adatkezelő által végzett kötelező adatkezelések közül az alkalmassági vizsgálattal kapcsolatos adatkezelések számára nem határoz meg jogszabály adattárolási időt, így Adatkezelő ezen adatkezelés tekintetében köteles vizsgálatot lefolytatni. Az adatkezelést 2018. május 25. előtt kezdte meg Adatkezelő, így 2021. május 25-ig felül kell vizsgálnia ezen adatkezelésre vonatkozó adatkezelési időt. A felülvizsgálatot az Adatkezelő írásban rögzíti és dokumentálja, és azt a felülvizsgálat elvégzését követő tíz évig megőrzi.  

HOZZÁJÁRULÁSON ALAPULÓ ADATKEZELÉS

  1. ÁLLÁSKERESŐK, PÁLYÁZÓK ADATAINAK NYILVÁNTARTÁSA

(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).  

(2) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.

(3) Az adatkezelés jogalapja: az érintett hozzájárulása.

(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyvezetője. 

(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait az elutasítás közlésétől számított 14 napon belül törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta. Pályázónak joga van személyes adatai kezelésére adott hozzájárulását visszavonni. Ebben az esetben a Társaság a pályázó személyes adatait haladéktalanul törölni és megsemmisíteni köteles.

(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van.  Ezen hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.

A pályázó által történő hozzájárulási nyilatkozat mintáját a 8.1. számú melléklet tartalmazza személyes állásinterjú során történő használatra. Továbbá a 8.2. számú melléklet a pályázó számára készített tájékoztató, amelyet a társaság álláshirdetés feladása során elérhetővé tesz. Továbbá amennyiben elektronikus úton jelentkezik a pályázó, a tájékoztatót válaszlevélben elküldi a pályázó számára, valamint a válasz-emailbe beleírja a 8.3. számú mellékletben található, pályázókra vonatkozó bekezdést.

  1. NYEREMÉNYJÁTÉKKAL KAPCSOLATOS ADATKEZELÉS

(1) A Társaság nyereményjáték szervezése során a résztvevők személyes adatait kezeli, az erre vonatkozó szabályokat a Társaság a nyereményjátékszabályzatban, valamint annak mellékleteként a nyereményjátékban résztvevők számára vonatkozó Adatkezelési Tájékoztatóban köteles leírni és az abban foglaltakat betartani. 

(2) A nyereményjátékkal kapcsolatosan a Társaság az alábbi szabályokat köteles betartani: 

- A nyereményjátékkal kapcsolatos adatkezelés célja kizárólag a nyereményjátékban való részvétel, lebonyolítás, sorolás, nyereményátadás és ezzel kapcsolatos kommunikáció lehet. Ennek során a kezelt adatok köre: teljes név, lakcím, e-mail cím, telefonszám, Facebook/Instagram profil. 

- Az adatkezelés jogalapja: a résztvevő kifejezett, egyértelmű, önkéntes hozzájárulása (GDPR 6. cikk (1) a) pont). A nyereményjátékban való részvétel önkéntes. A játékban való részvétel feltétele a hozzájárulásuk megadása személyes adataik célhoz kötött kezeléséhez. A hozzájárulás megadása ráutaló magatartással történik, a Társaság hivatalos Facebook vagy Instagram oldalának like-olásával, megosztásával, vagy kommentelésével.

- Az Adatkezelő köteles a nyereményjáték meghirdetése során a Nyereményjátékszabályzatot és az erre vonatkozó 13/2. számú melléket szerinti Adatkezelési Tájékoztatót megismerhetővé tenni ugyanazon elektronikus felületen, ahol a nyereményjáték meghirdetésre kerül. A nyereményjátékban önkéntesen, fenti tájékoztató ismeretében vesznek részt. 

- Az Adatkezelő a személyes adatokat a hozzájárulás visszavonásáig, de legfeljebb a nyereményjáték végéig, azaz a sorsolás lebonyolításáig és a nyeremény átvételi folyamat végéig kezeli, utána azokat megsemmisíteni köteles, azokat további célra (például direkt marketing megkeresésre) nem használhatja. 

- Az adatok megismerésére kizárólag Adatkezelő erre feljogosított munkatársai célhoz kötötten jogosultak: ügyvezető, irodavezető, marketing munkatársak.

- A hozzájárulás visszavonását postai vagy elektronikus úton is kezdeményezheti a résztvevő, amelynek során a Társaságnak meg kell jelölnie egy konkrét emailcímet. 

- A Társaság az érintettek személyes adatait harmadik személy részére nem továbbítja, illetve a nyereményjáték lebonyolításához további külsős személyt/vállalkozást, mint Adatfeldolgozót nem vesz igénybe.

(3) Adatkezelő a nyertes külön hozzájárulása esetén a nyertesről a nyeremény átvételekor képfelvételt készíthet, illetve külön hozzájárulás esetén azt megjelenítheti a hivatalos honlapján, illetve Facebook/Instragram oldalán.  A hozzájárulást minden esetben írásban rögzíteni kell jelen szabályzat 14. számú melléklete szerinti hozzájáruló nyilatkozatban. A képfelvétel készítése más természetes személy képmását nem érintheti. 

SZERZŐDÉS TELJESÍTÉSÉN ALAPULÓ ADATKEZELÉS

  1. SZERZŐDÉSES PARTNEREK ADATAINAK KEZELÉSE – VEVŐK, SZÁLLÍTÓK NYILVÁNTARTÁSA

(1) A Társaság ajánlat adás vagy szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy, egyéni vállalkozó vagy őstermelő nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei: a Társaság ügyvezetője, az ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozója. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év. 

(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, vagy a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell. Ezen tájékoztatási kötelezettségnek a Társaság a 16. pont (5) bekezdésében foglaltak szerint tesz eleget. 

JOGOS ÉRDEKEN ALAPULÓ ADATKEZELÉS

  1. JOGI SZEMÉLY ÜGYFELEK, VEVŐK, SZÁLLÍTÓK TERMÉSZETES SZEMÉLY KÉPVISELŐINEK SZEMÉLYES ADATAI 

(1) A kezelhető személyes adatok köre: a természetes személy neve, telefonszáma, e-mail címe.

 (2) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: Adatkezelő jogos érdeke (6. cikk (1) f) ). Az Adatkezelő ezen jogalap alkalmazásához érdekmérlegelési tesztet kell végezzen, amelyben vizsgálnia kell, hogy ezen érdekekkel szemben elsőbbséget élveznek-e az érintettek olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Az Adatkezelő az adatkezelés alatt rendszeresen, abban történő esetleges változások során pedig különösen köteles vizsgálni a jogos érdek fennállását. Az e célból végzett érdekmérlegelést jelen szabályzat 10.1. számú melléklete tartalmazza. 

(3) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyvezetője és munkavállalói.

(4) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig. 

(5) A 12. számú mellékletben foglalt Tájékoztatóval tájékoztatja a Társaság a szerződéses partnereit, üzletfeleit adatkezelési gyakorlatáról. A Tájékoztató elérhető a Társaság honlapján is. 

  1. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés

(1) Ha a Társaság e-mail fiókot bocsát a munkavállaló rendelkezésére – ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. 

(2) A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat. Az email-címével a munkavállaló az internetes oldalakon magán célból nem regisztrálhat. 

Az irodai dolgozók céges emailcímen bonyolított valamennyi ki-, és bemenő levelezését valamennyi irodai dolgozó és az ügyvezetés látja, azok valamennyi irodai dolgozó emailcímére megérkeznek. Ezen szabályozást munkaszervezési okok, a munkafolyamatok gördülékenységének és átláthatóságának biztosítása indokolja. Amennyiben az irodai dolgozó az ügyvezetés részére személyes jellegű emailt kíván küldeni, arra az esetre az Adatkezelő az office@famextools.hu emailcímet biztosítja. Adatkezelő köteles az irodai dolgozók figyelmét mindezekre felhívni a 7/2. számú mellékletben és a 7/4. számú mellékletben is. 

(3) A munkáltató az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.

(4) Az ellenőrzésre és adatkezelésre a Társaság ügyvezetője jogosult.

(5) Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során. 

(6) Az ellenőrzés előtt   tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

(7) Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát Adatkezelő korlátozás nélkül vizsgálhatja. A személyes célú emailek tartalmát Adatkezelő nem vizsgálhatja, csupán annak tényét rögzíti.

(8) Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor Adatkezelő törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a Adatkezelő a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat. 

(9) A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet, kiemelve ezek közül a tiltakozáshoz való jogát, a hatóságnál történő panasztételi jogát, illetve a polgári peres jogérvényesítés jogát. 

(10) A Társaság a 7/2. számú mellékletben foglalt munkáltatói tájékoztatóval és munkavállalói nyilatkozattal külön tájékoztatja a munkavállalót a Társaság által rendelkezésre bocsátott eszközök használatának szabályairól. 

(11) A Társaságnak a használat ellenőrzése során tudomására jutott személyes adatokat a Társaság legfeljebb az ellenőrzést követő 3 évig tárolja. A Társaság az eszközök használatának ellenőrzésérével kapcsolatos, jogos érdeken alapuló adatkezelés alátámasztására elvégezte a szükséges érdekmérlegelési tesztet, amelyet a 10/2. számú melléklet tartalmaz.

  1. Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés

(1) A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja.  Az Adatkezelő ezen eszközökön tárolt adatokat ellenőrizheti.  Ezen eszközök Adatkezelő általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 16. pont rendelkezései irányadók. 

  1. A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés 

(1) A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a Adatkezelő megtiltja. Különösen tilos az alábbi oldalak megnyitása: 

- fájlcserélő, -letöltő, -megosztó oldalak (valamennyi peer-to-peer, torrent, zene, videó, stb.);

- online társkeresők;

- online vásárlás, eladás, aukció (Vatera, Ebay, Amazon, stb.);

- közösségi oldalak (Facebook, Instagram, Twitter, Snapchat, Whatsapp, stb.);

- online sajtó, hírportálok, egyéb - politikai vagy vallási nézeteket terjesztő oldalak;

- pornográf tartalmú oldalak, valamint egyéb, törvénybe, közerkölcsbe ütköző tartalmak.

(2) A munkaköri feladatként a Társaság nevében elvégzett internetes regisztrációk jogosultja a Társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Társaság.

(3) A munkavállaló munkahelyi internethasználatát a Adatkezelő ellenőrízheti, amelyre és jogkövetkezményire a 16. pont rendelkezései irányadók.

  1. Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés

(1) Az Adatkezelő nem engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a Adatkezelő valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.

(2) A munkavállaló köteles bejelenteni az Adatkezelőnek, ha a céges mobiltelefont magáncélra használta. Ezesetben az ellenőrzés akként folytatható le, hogy az Adatkezelő hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. Az Adatkezelő előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.

(3) Egyebekben az ellenőrzésre és jogkövetkezményire a 16.pont rendelkezései irányadók. 

  1. ELEKTRONIKUS MEGFIGYELŐ RENDSZERREL KAPCSOLATOS ADATKEZELÉS

(1) Társaságunk a székhelyén az emberi élet, testi épség, személyi szabadság, és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely közvetlen megfigyelést, kép- és hangrögzítést és tárolást is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.  

(2) Ezen adatkezelés jogalapja a Adatkezelő jogos érdekeinek érvényesítése, és az érintett hozzájárulása. 

(3) Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatás jelen szabályzat 7/4. számú (Munkavállalók számára) és 9. számú (Egyéb érintettek számára) mellékleteiben található, továbbá a Kameraszabályzatot a 10. számú melléklet tartalmazza. Az ezzel kapcsolatos adatkezelés szabályait részletesen a Kameraszabályzat tartalmazza.

  1. ADATFELDOLGOZÓ IGÉNYBEVÉTELE – KÖNYVELŐ IRODA

(1) A Társaság számára könyvelési, bérszámfejtési szolgáltatást teljesít megbízási szerződés alapján az alábbi, Adatfeldolgozónak minősülő vállalkozás: 

Cégnév: ZSU-GA TAX 2009 Kft.

Székhely: 9028 Győr, Fehérvári út 75.

Cégjegyzékszám: 08-09-017509

Adószám: 14614101-1-08

Képviselő: Dr. Konrád Gábor

(a továbbiakban: Adatfeldolgozó) között,

együtt mint felek (a továbbiakban: ,, Felek”) között.

Társaság kötelezettsége adatfeldolgozási szerződést kötni az Adatfeldolgozóval, amelyben meghatározzák az adatkezelés tárgyát, jellegét és célját, a Társaság és Adatfeldolgozó kötelezettségeit (14. számú melléklet). Társaság biztosítja, hogy olyan Adatfeldolgozót vesz igénybe, amely megfelelő garanciát nyújt a Rendelet követelményeinek való megfeleléshez.

(2) Adatfeldolgozó a Társasággal jogviszonyban lévő érintett természetes személyek adatait kezeli, a Társaság számviteli bizonylatainak feldolgozása révén az adó-, és kifizetői kötelezettségek teljesítése céljából.  A Társasággal jogviszonyban levő érintett természetes személyek adatainak kezelése, a Társaság számviteli bizonylatainak feldolgozása révén. Számviteli bizonylat minden olyan a Társaság, mint gazdálkodó által kiállított, készített, illetve a gazdálkodóval üzleti vagy egyéb kapcsolatban álló természetes személy vagy más gazdálkodó által kiállított, készített okmány (számla, szerződés, megállapodás, kimutatás, hitelintézeti bizonylat, bankkivonat, jogszabályi rendelkezés, egyéb ilyennek minősíthető irat) – függetlenül annak nyomdai vagy egyéb előállítási módjától. (Számviteli törvény 166.§).  Az Adatfeldolgozó igénybevételéhez nem kell az érintett munkavállalók, szerződéses partnerek előzetes beleegyezése, de szükséges a tájékoztatása, amely a Társaság kötelezettsége. 

(3) Adatfeldolgozó a megbízás teljesítése során az alábbi személyes adatokat kezeli:

a)  A természetes személy természetes személyazonosító adatai (ideértve az előző nevet és a titulust is, személyigazolvány szám), neme, állampolgársága, a természetes személy adóazonosító jele, társadalombiztosítási azonosító jele (TAJ szám), adószáma, egyéni vállalkozói igazolvány száma, őstermelő azonosító száma, iskolai végzettség, képzettség vagy szakképzettség megnevezése, végzettséget igazoló okirat(ok) száma és kibocsátó intézmény neve, bankszámlaszám;

b)  Egészségügyi adatok, szakszervezeti tagságra utaló személyes adatok amennyiben ahhoz a Munka Törvénykönyve munkajogi következményt, vagy adótörvény adójogi következményt fűz. Egészségügyi adatok, valamint szakszervezeti tagságra utaló személyes adatok, mint különleges kategóriájú adatok kezelése jogszerű a Rendelet 9. cikk /2/ b) pontja értelmében amennyiben az az érintettnek a foglalkoztatást, valamint szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges.

(4) Az érintettek kategóriái: a Társaság munkavállalói, foglalkoztatottjai, juttatásban részesülők, szerződő felei (szállítók, vevők), törvényben írt esetekben a munkavállalók családtagjai.

(5) Adatkezelés jellege és célja: A Társaságot terhelő adó-, járulék-, számviteli kötelezettségek teljesítése, ideértve a főkönyvi nyilvántartások vezetését, az összesítő feladások készítését, a beszámoló összeállítását, a beszámolóban, a könyvviteli nyilvántartásokban szereplő adatok elemzését, a gazdasági döntéseket megalapozó következtetések levonását is. Ide tartozik a munkajogi és bérszámfejtési feladatok, úgymint adó-, adóelőleg, járulékfizetési, társadalombiztosítási, nyugdíjügyintézési feladatok elvégzése.  A Társaság kötelezettséget vállal, hogy az általa a Megbízás keretében kezelt személyes adatokat a fentiektől eltérő más célból nem kezeli, nem használja fel. 

(6) A Társaság jogosult ellenőrizni Adatfeldolgozónál a szerződés szerinti tevékenység végrehajtását. A Társaságnak a szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért a Társaságot terheli felelősség, ugyanakkor az Adatfeldolgozó köteles haladéktalanul jelezni a Társaságnak, amennyiben Társaság utasítása vagy annak végrehajtása jogszabályba ütközne. A Társaság kötelezettsége, hogy az érintett természetes személyeket jelen szerződés szerinti adatfeldolgozásról tájékoztassa, ha jogszabály előírja, hozzájárulásukat beszerezze. 

(7) Az Adatfeldolgozó tevékenysége során kizárólag a Társaság írásbeli utasítása alapján jár el.  Az Adatfeldolgozó az Adatkezelő által konkrétan megadott, erre rendszeresített céges emailcímre köteles Adatkezelő számára emailt küldeni, különös tekintettel a bérkifizetéssel kapcsolatos levelezésekre. 

Az Adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak.  Az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az Adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket. Az Adatfeldolgozó gondoskodik arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá. Az Adatfeldolgozó gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről. Az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is. Adatfeldolgozó a szerződésben meghatározott feladatok ellátása érdekében megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe venni. Köteles továbbá gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések, a jelen szerződésben foglalt kötelezettségek, valamint az adatfelvétel célja és módja tekintetében. 

(8) Az Adatfeldolgozó vállalja, hogy további adatfeldolgozót csak a Rendeletben és az Infotv-ben meghatározott feltételek teljesítése mellett vesz igénybe.  A Társaság engedélyezi Adatfeldolgozónak, hogy további adatfeldolgozót (alvállalkozót) vegyen igénybe.

Az Adatfeldolgozó a további adatfeldolgozó igénybe vételét megelőzően tájékoztatja a Társaságot a további adatfeldolgozó személyéről, valamint a további adatfeldolgozó által végzendő tervezett feladatokról. Ha a Társaság ezen tájékoztatás alapján a további adatfeldolgozó igénybe vételével szemben kifogást emel, a további adatfeldolgozó igénybevételére az adatfeldolgozó kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult. Ha az adatfeldolgozó bizonyos, a Társaság nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, erre köteles írásba foglalt szerződést kötni, és abban  a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket  telepíteni, mint amelyek a Társaság és az adatfeldolgozó között létrejött jelen  szerződésben szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik a Társaság felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(9) Az adatfeldolgozás elvégzését követően az Adatfeldolgozó a feldolgozott számviteli bizonylatokat legkésőbb a tárgyévet követő év június 30-ig visszaszolgáltatja a Társaságnak az elektronikusan kezelt adatokat, listákat, nyilvántartásokat a Társasággal fennálló jogviszonya megszűnéséig, de legkésőbb a számviteli törvényben előírt bizonylatmegőrzési időig – 8 évig – (Szt. 169.§), továbbá a munkavállaló nyugdíjának megállapításához, számításához szükséges bizonylatokat a munkavállaló nyugdíjba vonulásáig tárolja. 

(10) A Társaság a munkavállaló számára létesített (vezeték-, és keresztnevéből álló) emailcímet kezeli és továbbítja Adatkezelő szerződéses partnereinek.  Az adatkezelés célja a szerződéses partnerekkel történő kapcsolattartás. Az adatkezelés jogalapja a munkaszerződés teljesítése. Az adatkezelés időtartama: a partnerrel kötött szerződés vagy a munkavállaló munkaviszonyának megszűnését követő 5 év. 

  1. ADATFELDOLGOZÓ IGÉNYBEVÉTELE 

A Társaság az alábbi adatfeldolgozókat veszi még igénybe: 

1.  Kassai Webdesign Kft. (székhely: 9030 Győr, István király út 43.)) webhely-szolgáltató cég

2.  Kulcs-Soft Kft. (székhely:  1016 Győr, Mészáros utca 13.) számlázó és ügyviteli rendszer

A Társaság az adatfeldolgozókkal vagy adatfeldolgozási megállapodást köt vagy ellenőrzi adatkezelési tájékoztatójukat, illetve figyelmet fordít arra, hogy valamennyi adatfeldolgozó legalább titoktartási kötelezettséget vállaljon. 

  1. ADATBIZTONSÁGI INTÉZKEDÉSEK

Az adatbiztonság vagy az informatikai rendszer védelme miatt az informatikai hálózatot üzemeltető informatikus a számítógép tartalmába jogosult betekinteni, de az így megismert adatokat harmadik személy számára - így a Társaság részére - nem továbbíthatja.

Amennyiben a Társaság munkavállalója munkakörében eljárva a Társaság nevében regisztrál, abban az esetben az internetes regisztrációk jogosultja a Társaság és a regisztráció során a társaságra utaló azonosítót kell alkalmazni. A Társaság cégvezetője a regisztrációkról nyilvántartást vezet, a regisztrációval kapcsolatos adatokat a munkavállaló neki köteles nyilvántartás céljából átadni. Amennyiben a regisztrációt végrehajtó munkavállaló munkaviszonya megszűnik és a regisztrációhoz szükség volt személyes adatok megadására, a Társaság a regisztrációt a személyes adatok tekintetében módosítja (amennyiben ez lehetséges az adatkezelési szabályok figyelembe vételével), illetve törli (törölteti).

A Társaság a munkavállalók felé a 7/4. számú melléklet szerinti Tíz Munkavállalói Aranyszabályt fogalmazta meg a kiemelt fontosságú adatvédelmi előírások területén, különösen felhívva mindezekre a munkavállalók figyelmét.

(1)  A Társaság valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv., érvényre juttatásához szükségesek. Az adatkezelő és tevékenységi körében az adatfeldolgozó az intézkedésekkel biztosítja

a) az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását,

b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását,

c) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását,

d) az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását,

e) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,

f) azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére,

g) azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,

h) a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,

i) azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen, valamint

j) azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.

(2) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

(3) A Társaság a személyes adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő. A személyes adatokhoz való hozzáférést a Társaság jogosultsági szintek megadásával korlátozza.  

(4) A Társaság az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el. Az informatikai rendszer fizikai külső biztonsági mentést biztosít különálló irodai épületbe. 

(5) A Társaság alkalmazottai a munkahelyi gépekhez csatlakoztathatják saját számítástechnikai eszközeiket, adattároló és rögzítő eszközeiket.

(6) A Társaság az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

(7) Külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tilos!

(8) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi ás egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani. 

(9)  A munkavállaló személyes adatot (különösen kép-, hangfelvételt) nem tárolhat a munkahelyi számítógépén, elektronikus eszközén. A céges emailcíméről magánlevelezést nem folytathat, azon személyes adatokat nem tárolhat. 

 (10) Amennyiben munkavállaló kiküldetésben, szakmai vagy egyéb célú külföldi vagy belföldi úton van, a Társaság szálláshely-foglalás céljából a munkavállaló személyazonosító adatait (jellemzően nevét, lakcímét, személyigazolvány számát) a szálláshely, szálloda részére átadja. Erről a munkavállalót az adattovábbítás előtt a Társaság szóban vagy írásban tájékoztatja. 

  1. ADATVÉDELMI INCIDENSEK KEZELÉSE

(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.) 

(2) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése. 

(3) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Társaság vezetőjének feladata. 

(4) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

(5) Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Társaság vezetőjét. 

(6) A Társaság munkavállalói kötelesek jelenteni a Társaság vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek. 

(7) Adatvédelmi incidens  bejelenthető a Társaság központi e-mail címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket. 

(8) Adatvédelmi incidens bejelentése esetén a Társaság ügyvezetője– haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.  Meg kell vizsgálni és meg kell állapítani: 

a. az incidens bekövetkezésének időpontját és helyét, 

b. az incidens leírását, körülményeit, hatásait, 

c. az incidens során kompromittálódott adatok körét, számosságát, 

d. a kompromittálódott adatokkal érintett személyek körét, 

e. az incidens elhárítása érdekében tett intézkedések leírását, 

f. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

(9) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

(10) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza: 

a)  az érintett személyes adatok körét, 

b)  az adatvédelmi incidenssel érintettek körét és számát, 

c)  az adatvédelmi incidens időpontját, 

d)  az adatvédelmi incidens körülményeit, hatásait, 

e) az adatvédelmi incidens orvoslására megtett intézkedéseket, 

f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. 

A nyilvántartást a Társaság ügyvezetője köteles vezetni.

(11) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.  

  1. TÁJÉKOZTATÁS AZ ÉRINTETT SZEMÉLY JOGAIRÓL

(1)   Érintettnek minősülnek különösen az Adatkezelő munkavállalói és üzleti partnerei (vevők, megrendelők, beszállítók). Az érintett jogai röviden összefoglalva:

    1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése  
    2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
    3. Az érintett hozzáférési joga
    4. A helyesbítéshez való jog
    5. A törléshez való jog („az elfeledtetéshez való jog”)
    6. Az adatkezelés korlátozásához való jog
    7. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
    8. A tiltakozáshoz való jog
    9. Az érintett tájékoztatása az adatvédelmi incidensről
    10. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
    11. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
    12. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

(2) Az érintetti jogok gyakorlására vonatkozó eljárási szabályok: 

Amennyiben az érintett valamely érintetti jogát érvényesíteni kívánja, ezt írásban a Társaság ügyvezetőjének címezve kell postán, személyesen vagy emailen keresztül megküldenie. A kérelmet a Társaság ügyvezetője a jelen szabályzatban foglaltak szerint bírálja el. Az érintett köteles személyazonosságát hitelt érdemlően igazolni, amely személyesen személyazonosító okmánya bemutatásával vagy postai/emailen keresztül történő kérelmezés esetén a személyazonosító okmány másolatának csatolásával történik. A Társaság ügyvezetője a kérelemben foglaltak teljesítését mindaddig megtagadja, amíg az érintett személyazonosságát hitelt érdemlően nem igazolta. 

A beérkezett kérelmet a Társaság ügyvezetője a beérkezéstől számított 25 napon belül köteles elbírálni és megválaszolni. A kérelemben foglaltakat az ügyvezető a kérelmező kérésének megfelelően postai, emailes úton vagy a Társaság székhelyén vagy telephelyén személyes átadással teljesíti.  Az ügyvezető az érintetti jogok gyakorlásához szükséges kért információkat/kérdéseket köteles megválaszolni, az érintettel köteles együttműködni. 

(2) Az érintett jogai részletesen: 

A. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése  

A.1. Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

A.2. Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását. 

A.3. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható, amelyről az érintettet tájékoztatni kell. 

A.4. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

A.5. Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben és az Infotv. 15. § írt esetekben díj számítható fel.

A.6. Amennyiben megalapozottan feltehető, hogy bizonyos érintetti jogok (úgymint hozzáféréshez, helyesbítéshez, adatkezelés korlátozásához és törléshez való jog) érvényesítése iránt kérelmet benyújtó személy az érintettel nem azonos személy, az adatkezelő a kérelmet az azt benyújtó személy személyazonosságának hitelt érdemlő igazolását követően teljesíti. 

B. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik

B.1. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.  Ennek keretében az érintettet tájékoztatni kell:

a)  az adatkezelő és képviselője kilétéről és elérhetőségeiről, 

b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),  

c) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,

d)  jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről, 

e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik - , illetve a címzettek kategóriáiról, ha van ilyen; 

f) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

g) a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól,

h) a kezelt személyes adatok gyűjtésének forrásáról, és

i) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.

B.2. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia: 

a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c) az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) az  automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról,  és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

B.3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

C. Az érintett hozzáférési joga

C.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az előbbi 2-3. pontban írt kapcsolódó információkhoz hozzáférést kapjon. 

C.2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.

C.3. Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.  

C.4. Az Adatkezelő a munkavállaló kérésére munkáltatói igazolást állít ki a munkavállaló által meghatározott saját személyes adataira vonatkozóan, különös tekintettel jövedelmi adataira. A munkáltatói igazolás kiállítása történhet a munkavállaló által bemutatott – jellemzően banki- formanyomtatványon is. Az Adatkezelő az igazolást a munkavállalónak adja át az alábbiak szerint: egy példányt megőriz, amelyet a munkavállalóval az átvétel igazolásának céljából aláírat. Az Adatkezelő harmadik személy, különösen hitelintézet részére az igazolást közvetlenül nem küldheti meg, nem továbbíthatja, azt minden esetben a munkavállalónak kell átadnia.

Az Adatkezelő az igazolás tartalmára vonatkozóan felvilágosítást a hitelintézet részére semmilyen csatornán keresztül sem nyújthat, még akkor sem, ha a hitelintézeti igazoláson a munkavállaló hozzájárulását adja és felhatalmazza az Adatkezelőt további felvilágosítás nyújtására. Az Adatkezelő kizárólag abban az esetben adhat a hitelintézet részére tájékoztatást, ha a munkavállaló ehhez kifejezett, önkéntes hozzájárulását adta és a hitelintézet és a tájékoztatás nyújtásának módjának (telefon, elektronikus, fax) megnevezésével. Ezen hozzájáruló nyilatkozatban az Adatkezelő tájékoztatja a munkavállalót a jogairól, és kizárja felelősségét az adattovábbítás biztonsága szempontjából tekintettel arra, hogy az Adatkezelő a hitelintézetet és munkavállalóit ellenőrizni nem áll módjában.  

C.5. A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az Adatkezelő tájékoztatja arról, hogy személyes adatait maga az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e.

Ha az érintett személyes adatait az adatkezelő vagy a megbízásából eljáró adatfeldolgozó kezeli, az adatkezelő az előbbiekben meghatározottakon túl az érintett rendelkezésére bocsátja az érintett általa és a megbízásából eljáró adatfeldolgozó által kezelt személyes adatait, és közli vele

a) a kezelt személyes adatok forrását,

b) az adatkezelés célját és jogalapját,

c) a kezelt személyes adatok körét,

d) a kezelt személyes adatok továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét,

e) a kezelt személyes adatok megőrzésének időtartamát, ezen időtartam meghatározásának szempontjait,

f) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését,

g) profilalkotás alkalmazásának esetén annak tényét és

h) az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és az azok kezelésére tett intézkedéseket.

D. A helyesbítéshez való jog

D.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, továbbá adattovábbítás esetén annak tényéről és a helyesbített személyes adatról tájékoztatja azt az adatkezelőt, amely részére a helyesbítéssel érintett személyes adatot továbbította.

D.2. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

D.3. Az adatkezelő, ha az általa, illetve a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat - különösen az érintett kérelmére - haladéktalanul pontosítja vagy helyesbíti, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti.

Adatkezelő nem köteles a helyesbítést végrehajtani azokban az esetekben ha: 

a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja a rendelkezésére, vagy

b) az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.

E. A törléshez való jog („az elfeledtetéshez való jog”)

E.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha 

a) a személyes adatokat jogellenesen kezelték: így különösen, ha az adatkezelés

- az alapelvekkel ellentétes, 

- célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

- törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

- jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,

d) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

e) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

E.2. A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c) a népegészségügy területét érintő közérdek alapján;

d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

F. Az adatkezelés korlátozásához való jog

F.1. Az adatkezelés korlátozása esetén az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. 

F.2. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést ha az alábbiak valamelyike teljesül:

a) az érintett vitatja az Adatkezelő vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára. Ez esetben így a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését írásbeli nyilatkozat alapján, és ehelyett kéri azok felhasználásának korlátozását; vagy ha az adatkezelés jogellenes, de az Adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érinett jogos érdekeit; Ezekben az esetekben az adatkezelés korlátozása a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára vonatkozik.

c) az adatkezelés jogellenes és az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások - így különösen büntetőeljárás - során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig;

d) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

e) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

F.3. Az adatkezelés korlátozásának időtartama alatt a korlátozással érintett személyes adatokkal az Adatkezelő, illetve az általa megbízott adatfeldolgozó a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet.

F.4. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.

G. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

G.1. Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

G.2. Ha az érintett kérelmét az Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az Adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja

a) az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint

b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.

H. A tiltakozáshoz való jog

H.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán  (6. cikk (1) e)) , vagy jogos érdeken (6. cikk f))  alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

H.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.  Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

H.3. Ezen  jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

H.4. Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

H.5. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

I. Az érintett tájékoztatása az adatvédelmi incidensről

I.1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:

a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d)  ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

I.2. Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

J. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

J.1. Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.  Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy  az ügyfél jogosult bírósági jogorvoslattal élni.

J.2. A Hatóság vizsgálatát kezdeményezheti az Adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az adatkezelő az érintett jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint a Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.

K. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

K. 1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

K.2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

K.3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

K.4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.

L. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

L.1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

L.2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

  1. ZÁRÓ RENDELKEZÉSEK

(1) A Szabályzat megállapítására és módosítására a Társaság ügyvezetője jogosult. 

(2) E Szabályzat rendelkezéseit meg kell ismertetni a Társaság azon munkavállalóival, akik személyes adathoz hozzáférnek vagy hozzáférhetnek, és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése a munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége. A Szabályzat papír alapon elérhető az irodai helyiségekben, valamint a közös, munkavállalók által hozzáférhető számítógépes mappában.