ADATVÉDELMI SZABÁLYZAT
1 Bevezetés
Az Adatvédelmi szabályzat célja, hogy meghatározza a PETKUS – Közép-Európa Kft. (székhelye: 2045 Törökbálint, Dulácska utca 1/C., Cg.13-09-175802, képviseli: Kustár András ügyvezető), mint adatkezelő által kezelt személyes adatok körét, az azokkal kapcsolatban alkalmazott adatvédelmi-, kezelési alapelveket, ezek gyakorlatát, valamint az érintettek számára tájékoztatást nyújtson az ezzel kapcsolatos feladataikról.
Adatkezelő a jelen adatvédelmi szabályzat megalkotása és személyes adatkezelése során elsősorban az Európai Parlament és a Tanács (EU) 2016/679 rendeletében (a továbbiakban: Rendelet) foglalt, másrészt a 2011. évi CXII. törvénynek jelen szabályzat kihirdetésekor hatályos (a továbbiakban: Infotv.) rendelkezéseknek megfelelően jár el.
2 A szabályzat célja
A természetes személyeket – állampolgárságuktól és lakóhelyüktől függetlenül – megilleti a személyes adataik tiszteletben tartásához és különösen ezek védelméhez való joguk. Adatkezelő az által kezelt személyes adatok tekintetében mindenkor az arányosság elvével összhangban, illetve egyensúlyban más alapvető jogokkal jár el – figyelemmel az adatkezelés alapelveire – az általa kezelt adatok tekintetében.
Jelen szabályzat elsődleges célja az adatkezelő működése során kezelt (mind saját munkavállalóitól, mind bármely más – természetes személytől származó – üzleti vagy egyéb kapcsolata során birtokába került) személyes adatokkal összefüggő adatkezelésének meghatározása, továbbá az egyes adatkezelésekkel kapcsolatban felmerülő tevékenységek a hatályos jogszabályi környezetnek megfelelő módon történő szabályozása.
3 Alapelvek, fogalom-meghatározás
3.1 Adatkezelés alapelvei
- Adatkezelő személyes adatot kizárólag a jogszabályokban meghatározottaknak megfelelően jogszerűen tart nyilván, illetve adatkezelési tevékenységét tisztességesen, valamint az érintett számára átlátható módon végzi.
- Adatkezelő személyes adatot kizárólag megismerhető módon, előre meghatározott módon, egyértelmű és jogszerű célból gyűjt és tart nyilván, ezek kezelését kizárólag az adatkezelési célokkal összeegyeztethető módon végzi.
- Adatkezelő az általa gyűjtött adatok körének meghatározása során az adatkezelés céljainak szem előtt tartásával jár el, annak érdekében, hogy azok a meghatározott céloknak megfelelőek és relevánsak legyenek, és kizárólag a valóban szükségesre kell korlátozódjanak.
- Az adatkezelő által gyűjtött a személyes adatok nyilvántartása során törekszik azok lehetőség szerinti pontosságára és naprakészségére, ennek érdekében minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.
- A személyes adatok tárolását adatkezelő olyan formában valósítja meg, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására kizárólag abban az esetben kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor.
- Adatkezelő megfelelő technikai vagy szervezési intézkedések alkalmazásával gondoskodik, hogy az adatkezelés során biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is.
- Adatkezelő felelős az adatkezelési alapelveknek való megfelelésért, ezek betartatásáért, valamint adott esetben igazolni képes az ezeknek való megfelelést.
3.2 Értelmező rendelkezések
Jelen szabályzat alkalmazása során, az abban használt fogalmak alatt alábbiak értendőek.
- személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
- biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
- vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
- kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
- felügyeleti hatóság: egy tagállam által a Rendelet 51. cikkének megfelelően létrehozott független közhatalmi szerv;
- érintett felügyeleti hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz;
- személyes adatok határokon átnyúló adatkezelése:
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
- az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás.
4 A szabályzat hatálya
Jelen szabályzat hatálya kiterjed az adatkezelő minden munkavállalójára, továbbá minden olyan harmadik félre, amely az adatkezelő megbízásából adatkezelési vagy adatfeldolgozási tevékenységet végez, valamint mindazon természetes személyekre, akik adatai a jelen szabályzat hatálya alatt kerülnek adatkezelésre, illetve adatfeldolgozásra, illetve azon természetes személyekre, akik jogait vagy jogos érdekét érinti az adatkezelés, illetve adatfeldolgozás.
Szabályzat kiterjed továbbá az adatkezeléssel kapcsolatos megkeresések, valamint esetleges adatvédelmi incidensek esetében Adatkezelőnél követendő eljárásra is. Az eljárások hatékony és szakszerű kezelésének érdekében Adatkezelőnél kijelölt adatkezelésért felelős munkatárs:
- neve: Nagy Balázs;
- telefonszáma: +36 30 3900084;
- e-mail címe: nagy@petkus.com
5 Adatkezelés
Személyes adatot kezelni kizárólag a Rendelet 6. cikkelyében meghatározott jogalapra történő hivatkozással meghatározott célból lehetséges. Ennek során rögzíteni szükséges továbbá a kezelt adatok meghatározását, azok érintettjeit, a személyes adatot megismerni jogosultak körét, az adatkezelés időtartamát és az egyes adatkezelési, illetve adatfeldolgozási műveleteket.
Az adatgyűjtés céljától eltérő célra történő további adatkezelés során a személyes adatok kizárólag abban az esetben használhatók fel, amennyiben a tervezett további adatkezelés összeegyeztethető az adatkezelés eredeti céljával. Így figyelembe szükséges venni az eredeti célok és az új/tervezett adatkezelési célok között áll-e fenn összefüggés, az adatgyűjtés körülményeit (ennek során vizsgálni szükséges az adatkezelő és a természetes személy közötti viszonyt), a kezelt személyes adatok típusát és jellegét (adott esetben különleges adat érintett-e), a tervezett további adatkezelés esetleges következményeit (ennek hatását az érintettekre nézve), végül az adatkezelés folyamatába beépített megfelelő garanciák meglétét (a kezelt adatok kerülnek-e titkosításra vagy álnevesítésre).
Az adatkezelő által végzett egyes konkrét adatkezelési célokhoz kapcsolódó személyes adatkezelési tevékenységes, illetve ez ezekhez adott esetben kapcsolódó adatfeldolgozások:
5.1 Érintetti hozzájáruláson (általános) alapuló adatkezelés
Adatkezelő a Rendelet 6. cikk (1) bekezdésének a) pontja alapján az alábbiakban részletezett adatkezelési célok érdekében: az érintett hozzájárulásán alapuló adatgyűjtési, illetve adatkezelési tevékenységet végez:
- Adatkezelővel történő önkéntes kapcsolatfelvétel során az adatkezelő tudomására jutott személyes adatoknak az elektronikus levelezőrendszerben történő nyilvántartása;
- Állásjelentkezők jelentkezésének, valamint adott esetben a jelentkezők önéletrajzának későbbi felhasználás céljából történő nyilvántartása érdekében.
Az adatkezelő által végzett hozzájáruláson alapuló adatkezelés során a kezelt személyes adatok köre, valamint az ezekhez kapcsolódó részletes szabályozás a jelen szabályzat I. számú mellékletét képező Általános Adatkezelési tájékoztatóban kerülnek meghatározásra.
5.2 Adatkezelő jogos érdekén alapuló adatkezelés
Adatkezelő a hozzá, mind elektronikus úton, mind papír alapon beérkezett megrendelések nyilvántartásának érdekében, továbbá a megkötött szerződések és adott esetben az azokhoz kapcsolódó tervezési-, gyártás előkészítési, engedélyeztetési tevékenysége során, az ezekhez kapcsolatos dokumentációkban szereplő természetes személyek kötődő és ezekben rögzítésre került személyes adatokat kezeli.
- adatkezelés jogalapja: Adatkezelő és vele kapcsolatban álló harmadikfél jogos érdekének érvényesítésének céljából a Rendelet 6. cikkelyének (1) bekezdésének f) pontja alapján;
- adatkezelés célja: a megrendelések alapján a szerződések létrehozásához szükséges feladatok ellátása, a szerződések teljesítése érdekében az adott esetben szükséges tervezési-, gyártás előkészítési-, engedélyeztetési-, gyártási- és üzembe helyezési feladatok teljesítésének érdekében;
- kezelt személyes adatok köre: név, e-mail cím és opcionálisan telefonszám;
- az adatok kezelés időtartama: a szerződésből fakadó kötelezettségek teljesítését követően a bírósági előtt igényérvényesítésre rendelkezésre álló határidőig;
- az adatokhoz hozzáférők köre: adatkezelő kereskedelmi, műszaki, pénzügyi és informatikai munkatársai;
- adatfeldolgozó: adatkezelő külső adatfeldolgozót az adatkezelés során nem vesz igénybe.
Adatkezelő a PETKUS Holding GmbH (székhelye: DE-99848 Wutha-Farnroda, Röberstrasse 9.), a továbbiakban Tulajdonos, egyszemélyes tulajdonában álló társaság, ezáltal a PETKUS vállalkozáscsoport tagja. A vállalkozáscsoporton belül a Tulajdonos gyakorolja a felügyeleti, ellenőrzési, illetve szerződés jóváhagyási jogköröket, amelyre való tekintettel hozzáféréssel rendelkezik az Adatkezelő által nyilvántartott valamennyi dokumentumra nézve, beleértve az ezekben foglalt esetleges személyes adatokat is. Adott esetben továbbá az egyes szerződések jóváhagyása esetében Adatkezelő által – a szerződéskötési folyamat részeként – a teljes megrendelői dokumentáció (az abban foglalt személyes adatokkal együtt) továbbításra kerül a Tulajdonos részére.
5.3 Munkavállalók adatkezelése
Adatkezelési tájékoztató jelen szabályzat II. számú mellékletét képezi.
5.4 Állásjelentkezők adatkezelése
Adatkezelési tájékoztató jelen szabályzat III. számú mellékletét képezi.
5.5 Elektronikus megfigyelő rendszeren alapuló adatkezelés
[A célhoz kötött adatkezelés elvéből fakadóan tehát munkahelyen elektronikus megfigyelőrendszert alkalmazni elsődlegesen az Szvtv.-ben elismert ezen célokból lehet, illetve a rögzített felvételek is ezen célokból használhatóak fel. Amennyiben a munkáltatók más célból szeretnék alkalmazni a kamerás megfigyelést, akkor ott igazolniuk kell azt a jogos érdeket, amely szükségessé teszi a kamera alkalmazását.
Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor lehet ellenőrzést folytatni, ha egyértelmű, hogy az alkalmazni kívánt eszköz, módszer által az ellenőrzés útján a védeni kívánt munkáltatói érdekek, jogok sérelme megelőzhető.
– Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.
– Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. Ezzel kapcsolatban fontos kiemelni, hogy a munkavállalókat a munkahelyen is megilleti a magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania. A „munkahelyi magánélet” tipikus színterei az ebédlő, az öltöző, a pihenőhelyiség, a mosdók.
– Az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.]
Elektronikus megfigyelő rendszerrel kapcsolatos adatkezelésre a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény rendelkezései az irányadók a Felügyeleti hatóság vonatkozó ajánlásai mellett.
Kamerás megfigyelő rendszer
Személy- és vagyonvédelem, veszélyes anyagok őrzése, valamint üzleti és fizetési titok védelme céljából képrögzítő berendezések alkalmazhatók Adatkezelő székhelyének, valamint telephelyeinek – ügyfelek számára is nyitva álló, illetve egyéb – helyiségeiben. Nem helyezhető el kamera olyan helyiségben, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőkben, zuhanyzókban, illemhelységekben. Szintén nem helyezhető el kamera a munkavállalók pihenésére szolgáló helyiségekben, ez alól kivételt képeznek az itt elhelyezett vagyontárgyak, amelyek közvetlen védelme érdekében elhelyezhető kamera, amelynek látószöge ebben az esetben kizárólag a védendő vagyontárgyra irányulhat. A megfigyelés kizárólag Adatkezelő tulajdonában vagy használatában álló épületrészek, helyiségek és területekre korlátozódik, közterület megfigyelésére nem irányulhat.
A kihelyezett képrögzítő berendezésekről a megfigyelési zóna határánál elhelyezett figyelemfelhívó jelzést (kamera piktogram jel), valamint erre vonatkozó előzetes tájékoztatót szükséges kihelyezni. Az egyes kihelyezett kamerákról külön írásbeli tájékoztatás készül, amely kiterjed az adatkezelés jogalapjára, az egyes kamerák elhelyezésére, az általuk megfigyelt területre, az elektronikus megfigyelő rendszert üzemeltető jogi vagy természetes személy meghatározására, a felvételek tárolásának helyére és időtartamára, a tárolással kapcsolatos adatbiztonsági intézkedésekre, az adatok megismerésére jogosult személyek körére, arra, hogy az adatok továbbításra kerülnek-e harmadik személyek részére, ha igen, kinek, a felvételek visszanézésére vonatkozó szabályokra, a munkavállalókat megillető jogokra és a jogok megsértése esetén azok érvényesítésére. A tájékoztatást minden munkavállaló számára rendelkezésre kell bocsátani, annak megismerését a munkavállalók nyilatkozattal igazolják. Új munkavállalók esetében a tájékoztatást még a munkába állás előtt a munkaszerződéstől független dokumentumban kell megadni.
Jelen Szabályzat előírásai nem terjednek ki a kamerák elhelyezésére, a kamerák által készített felvételek kezelésére, az őrzési időre, a törlésre vonatkozó szabályok meghatározására, azokról az erre vonatkozó külön szabályzat(ok)ban kell rendelkezni.
6 Adatfeldolgozás
6.1 Adatfeldolgozó jogállása
Adatkezelő kizárólag olyan Adatfeldolgozókat vesz igénybe, amelyek – megfelelő garanciák nyújtása mellett – vállalják, hogy megfelelnek a Rendeletben foglalt követelményeknek és a személyes adatok kezelése során megfelelő technikai és szervezési intézkedésekkel biztosítják az érintettek jogainak védelmét. Adatkezelő tevékenysége során adatfeldolgozói nyilvántartást (jelen szabályzat V. melléklete szerint) vezet a működéséhez igénybe vett adatfeldolgozókról.
Adatkezelői tevékenységet adatfeldolgozó kizárólag az Adatkezelővel megkötött írásbeli megállapodás alapján végezhet, amelyben a felek megállapodtak az adatkezelés tárgyáról, időtartamáról, jellegéről és céljáról, meghatározták a személyes adatok és az érintettek körét, valamint tartalmazza Adatkezelő kötelezettségeit és jogait, amely köti az adatfeldolgozót az adatkezelővel szemben. Adatfeldolgozó további adatfeldolgozót kizárólag Adatkezelő előzetes írásbeli hozzájárulásával vehet igénybe.
6.2 Adatfeldolgozó kötelezettségei
Adatfeldolgozó személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelhet. Biztosítja azt, hogy a személyes adatok kezelésére általa feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
Az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Amennyiben Adatfeldolgozó további adatfeldolgozót vesz igénybe, rá is ugyanazok az adatvédelmi kötelezettségek vonatkoznak, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött megállapodásban szerepelnek. A további adatfeldolgozónak megfelelő garanciákat kell nyújtania a szükséges technikai és szervezési intézkedések végrehajtására, hogy az adatkezelése megfeleljen e rendelet követelményeinek. Abban az esetben, ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, úgy Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek teljesítéséért.
Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti Adatkezelőt, hogy az teljesíteni tudja kötelezettségét az Érintett részéről történő adatvédelmi megkeresésekben foglaltak teljesítésének érdekében. Adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatfeldolgozót érintő kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti Adatkezelő által vagy általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Adatfeldolgozó az által végzett adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, valamint törli a birtokában lévő esetleges másolatokat is, kivéve, ha ezek megőrzését uniós vagy a tagállami jog írja elő.
6.3 Megbízott adatfeldolgozók
Adatkezelő által tevékenysége során igénybe vett adatfeldolgozókról – a jelen szabályzat V. számú melléklete szerinti – nyilvántartást vezet. A nyilvántartásban minimálisan rögzíteni kell az adatkezelő megnevezését, elérhetőségi adatait, törvényes képviselőjének nevét, valamint részletesen meg kell jelölni az adatfeldolgozás célját, az érintett személyes adatok körét, valamint az adatfeldolgozó által végzett feladatokat.
7 Adatvédelmi megkeresések
Az Érintett az adatvédelemért felelős munkatárshoz fordulhat írásban adatvédelmi megkeresés céljából:
- tájékoztatás arról, hogy Adatkezelő részéről személyes adatainak kezelése folyamatban van-e;
- amennyiben igen, felvilágosítás arra nézve, hogy mi az adatkezelés célja, a kezelt személyes adatok köre, tervezett időtartama, adatkezelés jogalapja és a személyes adatok forrása, a kezelt személyes adatokhoz Adatkezelő kinek, mikor és milyen jogalapon adott hozzáférést vagy továbbította azokat;
- kérelmezheti a kezelt személyes adatainak módosítását, illetve helyesbítését;
- kérheti a kezelt személyes adatok törlését, amelyet Adatkezelő kizárólag abban az esetben utasíthat el, amennyiben az adatkezelésre jogszabályi vagy egyéb kötelezettség teljesítése céljából kerül sor és az erre vonatkozó határidő még nem telt le;
- kérelmezheti a személyes adatai kezelésének korlátozását, amennyiben vitatja azok pontosságát, az adatkezelés vélelmezetten jogellenes, az érintett igényli azokat jogi igényének érvényesítése céljából, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintettel szemben;
- kérheti a kezelt személyes adatok zárolását, amelyet Adatkezelő addig tart fenn, amíg a zárolás alapjául megjelölt indok szükségessé teszi az adatok zárolását;
- tiltakozhat az egyes adatkezelések ellen, amennyiben Adatkezelő az által kezelt személyes adatot az eredeti adatkezelési céltól eltérő célra, így közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljából vagy, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésé érdekében, kivéve, ha az jogszabályban előírt kötelezettség teljesítéséhez szükséges.
Adatkezelésért felelős munkatársa késedelem nélkül, de legfeljebb az érintett írásos kérelmének beérkezésétől számított 30 napon belül tájékoztatja az érintettet, illetve adott esetben egyúttal tesz eleget a kérelemben foglaltaknak. A tájékoztatásra első alkalommal ingyenesen kerül sor, míg minden további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Az elektronikus úton benyújtott kérelemre a tájékoztatást elektronikus formátumban kell az érintett rendelkezésére bocsátani, kivéve, ha azt az érintett más formában kérte részére megküldeni.
Az adatvédelmi megkeresés részletes szabályait a jelen szabályzat I. számú mellékletét képező általános adatvédelmi tájékoztató tartalmazza.
8 Adatbiztonság, adatvédelem
8.1 Adatbiztonság
Adatkezelő saját belső ügyviteli rendszerének megszervezése és kialakítása során fokozottan gondoskodik arról, ideértve a szükséges technikai eszközök megfelelő kiválasztását, illetve ezek rendszerbe illesztését is, hogy jelen technológiai ismerek szerint és a költséghatékonyság figyelembe vételével, az adatkezelés minden fázisában az adatkezelési céloknak, ezek jellegének és különösen a kezelt személyes adatokra nézve, az ismert informatikai kockázatok mértékének megfelelő adatbiztonságot legyen képes garantálni. Adatkezelő az adott esetben általa igénybe vett adatfeldolgozók kiválasztása és a részükre történő adattovábbítás esetén is minden megtesz, hogy garantálni tudja a megfelelő szintű adatbiztonságot.
Adatkezelő és adott esetben az általa megbízott adatfeldolgozói a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
Az Adatkezelő által kialakított informatikai környezet hardver és szoftver elemei kiválasztása, valamint üzemeltetése során biztosított a kezelt személyes adatok esetében az:
- adatok bizalmassága: rendszerek és szolgáltatások védettek az illetéktelen hozzáférésekkel szemben;
- adatok integritása: a kezelt adatok egységességének és változatlanságának biztosítása;
- adatok rendelkezésre állása: az arra feljogosított személyek részére, de csak a szükséges mértékben férhetők hozzá.
Adatkezelő az általa kezelt személyes adatokat megfelelően védi, különösen az adatok továbbításából, tárolásából vagy más módon történő kezeléséből eredő véletlen vagy jogellenes megsemmisítésével, elvesztésével, megváltoztatásával, jogosulatlan nyilvánosságra hozatalával, illetve az azokhoz való jogosulatlan hozzáférésével szemben.
Adatkezelő megfelelő intézkedéseket hoz annak biztosítására, hogy saját munkavállalói vagy az adott esetben általa megbízott adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag Adatkezelő utasításának megfelelően kezelhessék a kezelt személyes adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
Adatkezelő az informatikai rendszerei üzemeltetése során törekszik arra, hogy ezek folyamatosan megfelelően védettek legyenek belső és külső biztonsági kockázatokkal szemben. Különösen informatikai kártevőkkel (vírusok), számítógépes csalások, támadások és betörések, valamint jogosulatlan hozzáférésekkel szemben (csalás, kémkedés).
8.2 Adatvédelem
Adatkezelő egyes munkatársai kizárólag a munkakörük ellátásához szükséges mértékben férhetnek hozzá, illetve kezelhetnek személyes adatokat. Az adott adatkezelési tevékenységet folytató munkatárs felelős az általa kezelt személyes adatok, illetve iratok megőrzéséről, valamint védelméről, ezeket köteles zárt helyen, illetéktelen személyek általi hozzáférés lehetőségének megakadályozásával megőrizni.
Személyes adatot tartalmazó iratot vagy elektronikus adatot Adatkezelő telephelyéről kizárólag a felettes vezető erre irányuló kifejezett hozzájárulásával lehet másnak átadni, továbbítani. Ennek során különösen gondoskodni szükséges a papír alapú vagy elektronikus úton tárolt irat megőrzéséről, sértetlenségéről, valamint illetéktelen személyek általi hozzáférés megakadályozásáról.
Adatkezelő által a munkavállalók használatába adott elektronikus kommunikációs eszközök (pl.: asztali számítógép, laptop, tablet, mobiltelefon) esetében gondoskodni szükséges ezek megfelelő szintű védelméről mind a különféle számítógépes kártevők (pl.: vírusok, kémprogramok stb.), mind illetéktelen személyek részéről való hozzáféréssel szemben. Ezen eszközöket megfelelő biztonságú jelszóval szükséges védeni.
Céges levelező rendszer magáncélú használata és ellenőrzése
Adatkezelő, mint munkáltató által biztosított „céges” (lásd.: keresztnév.vezetéknév @petkus.com levelező rendszert magáncélú használatát kizárja. Adatkezelő a levelező rendszerben tárolt személyes postafiókokat jogosult indokolt esetben munkavállaló jelenlétében ellenőrzi. Amennyiben a munkavállaló a magáncélú használat kizárása ellenére mégis magáncélra használná a számára biztosított „céges” postafiókot, ebben az esetben Adatkezelő szándéka ellenére kezel személyes adatot (magánfél neve, e-mail címe). Az ellenőrzés során Adatkezelő minden esetben tájékoztatja a munkavállaló az ellenőrzés okáról és céljáról, valamint az ellenőrzés során betartja a szükséges és arányosság, valamint a fokozatosság alapelveit, továbbá a magánjellegű levelek tartalmát nem vizsgálja.
Adatkezelő által biztosított postafiókok a felhasználó számítógépén és a központi magyar szerveren kerülnek tárolásra, amelyekről a német központi szerverre mentés készül.
Munkáltató által biztosított elektronikus eszközök magáncélú használata és ellenőrzése
Az Adatkezelő, mint munkáltató által biztosított elektronikus kommunikációs eszközök (így számítógép, notebook, mobiltelefon, tablet stb.) esetében kizárja a magáncélú használatot, mind beszélgetések indítására/fogadására; SMS, illetve egyéb üzenetküldő szolgáltatások (pl: Facebook Messenger, Viber, Skype, Hangouts stb.), valamint magáncélú elektronikus levelezés használata esetében. A mobiltelefonon található adatokat Adatkezelő csak indokolt esetben jogosult és kizárólag a munkavállaló jelenlétében ellenőrizni. Amennyiben a munkavállaló a magáncélú használat kizárása ellenére mégis magáncélra használná a számára biztosított „céges” mobiltelefont, ebben az esetben Adatkezelő szándéka ellenére kezel személyes adatot (pl.: magánfél neve, telefonszáma, e-mail címe, illetve egyéb személyes adatok). Az ellenőrzés során Adatkezelő minden esetben tájékoztatja a munkavállaló az ellenőrzés okáról és céljáról, valamint az ellenőrzés során betartja a szükségesség és arányosság, valamint a fokozatosság alapelveit, továbbá a magánjellegű dokumentumok tartalmát semmilyen módon nem rögzíti, illetve nem tartja nyilván.
Munkáltató által biztosított internet hozzáférés használata
Adatkezelő, mint munkáltató az internet használatát elsődlegesen munkavégzés céljából biztosítja, ennek megfelelően a munkavállalók részére korlátozottan teszi lehetővé annak magáncélú használatát.
Az interneten keresztül számos olyan tartalom, illetve szolgáltatás érhető el, amelyek kiemelkedő veszélyt jelentenek. Tekintettel az interneten keresztül elérhető tartalmak és szolgáltatások számosságára és ezáltal ezek veszélyességi fokának feltárásának lehetetlenségére, a munkavállalók általában kötelesek tartózkodni többek között az olyan honlapok megtekintésétől, illetve olyan szolgáltatások igénybe vételétől, amelyek pornográf tartalmúak, bűncselekmény elkövetésére buzdítanak vagy segítenek elő, internetes adathalászatot (phishing) vagy egyéb csalást végeznek, illetve szerencsejátékot kínálnak.
Ezen túlmenően munkáltató kiemelten megtiltja az alábbi honlapok, illetve internetes szolgáltatások magáncélú elérését, illetve igénybe vételét:
- közösségi oldalak: Facebook, Instragram, Twitter stb.;
- azonnali üzenetküldő szolgáltatások: Skype, Viber, Facebook Messenger stb.;
- fájlcserélő oldalak: minden torrent vagy hasonló szolgáltatást biztosító honlap és szolgáltatás;
- nem lineáris műsorszolgáltatás: youtube, spotify, itunes stb.
8.3 Munkáltató általi ellenőrzés
Adatkezelő, mint munkáltató adott esetben – jogos érdekéből – a munkavállalók rendelkezésére bocsátott informatikai és telekommunikációs eszközök használatát ellenőrizni. A munkáltató elsődlegesen akkor végez ellenőrzést, ha megalapozott gyanú merül fel arra, hogy adatkezelő tulajdonát képező adatok, dokumentumok, információk jogosulatlanul kerültek ki birtokából, illetve szivárogtak ki. Ellenőrzést végez másodlagosan abban az esetben, ha felmerül, hogy a munkavállaló részéről nem kerültnek betartásra jelen szabályzatban, illetve egyéb informatikai, biztonsági vagy adatkezelési szabályzatokban foglalt rendelkezések.
Munkáltatói ellenőrzés szabályai
Az ellenőrzés megkezdése előtt munkáltató minden esetben részletesen tájékoztatja munkavállalót az általa végzett ellenőrzés okáról, valamint annak céljáról.
Az ellenőrzés során adatkezelő kizárólag az ellenőrzés céljához szükséges mértékben jogosult a munkavállaló eszközein található személyes adatok megismerésére. Adatkezelő minden esetben a fokozatosság elvének betartásával jár el az ellenőrzés során, azaz törekszik arra, hogy lehetőség szerint a munkavállaló eszközein található személyes adatok, dokumentumok tartalmának megismerése nélkül, amennyiben ez nem lehetséges, akkor a magánszférát legkevésbé korlátozó módszert alkalmazzon az eljárás céljának teljesítése érdekében.
Adatkezelő részéről az ellenőrzés lefolytatására alapvetően a közvetlen felettes vezető, adatkezelő törvényes képviselője vagy ezek által megbízott egyéb személy járhat el, azzal, hogy az ellenőrzést végző személyéről a munkavállalót előzetesen tájékoztatni szükséges.
Munkavállalónak – amennyiben az ellenőrzési körülményei adott esetben ez nem zárják ki – jogában áll jelen lenni az ellenőrzés során. Különösen esetlegesen személyes adatot tartalmazó dokumentumok, e-mail-ek, naplóállományok, hang- vagy képfelvételek visszanézése során.
Adatkezelő az ellenőrzés megkezdése előtt tájékoztatja munkavállalót az általa igénybe vehető jogorvoslati lehetőségeiről, így a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulásról, valamint a bíróság előttieljárás megindításának lehetőségéről.
9 Adatvédelmi incidensek kezelése
9.1 Incidens bejelentése
Amennyiben Adatkezelő által kezelt személyes adatok tekintetében olyan esemény következne be, amely adatvédelmi incidensnek minősülne, úgy erről Adatkezelő tudomást szerző munkavállalója haladéktalanul köteles tájékoztatni felettes vezetőjét, valamint az adatvédelemért felelős munkatárs részére bejelenteni. Adatvédelmi incidensnek számít különösen, de nem kizárólag az alábbi események bekövetkezése:
- Személyes adatot tartalmazó irat eltulajdonítása, elvesztése, sérülése, megsemmisülése vagy bármilyen más módon illetéktelen harmadik fél általi megismerése vagy birtokába kerülése;
- Adatkezelő tulajdonában álló számítógép, notebook, mobiltelefon, tablet vagy bármely más adathordozó eltulajdonítása, elvesztése, sérülése, illetve megsemmisülése;
- Adatkezelő személyes adatok tárolására szolgáló informatikai rendszerét érintő sérülés, adatvesztés vagy számítógépes támadás bekövetkezése.
Abban az esetben, ha az adatvédelmi incidensről harmadik fél szerez tudomást, úgy erről bejelentést tehet Adatkezelő adatvédelemért felelős munkatársa felé (lásd IV. melléklet adatvédelmi incidens bejelentő űrlap).
Az adatvédelemért felelős munkatárs a felmerült adatvédelmi incidenst haladéktalanul kivizsgálja, annak érdekében, hogy megállapításra kerüljön:
- jár-e valószínűsíthetően kockázattal természetes személyek jogaira és szabadságaira nézve,
- az adatvédelmi incidens jellege (ezen belül az érintettek hozzávetőleges száma/kategóriái; az érintett adatok köre és hozzávetőleges száma),
- az incidensből eredő valószínűsíthető következmények,
- tervezett és szükséges intézkedések.
9.2 Tájékoztatási kötelezettség
Adatvédelmi hatóság tájékoztatása
Az adatvédelemért felelős munkatárs a kivizsgálást követően, legfeljebb a bejelentést követő 24 órán belül tájékoztatja Adatkezelő döntésre jogosult vezetőjét az incidens körülményeiről, annak várható következményeiről, valamint az incidens megfelelő kezeléséhez, illetve következményeinek elhárításához szükséges intézkedésekről. A döntéshozó által elrendelt intézkedések végrehajtását követően haladéktalanul, de legfeljebb két munkanapon belül az adatvédelemért felelős munkatárs tájékoztatja a felelős döntéshozót az intézkedések végrehajtásáról, valamint ezek eredményességéről.
Amennyiben az adatvédelemért felelős munkatárs megállapítja, hogy az adatvédelmi incidens nem járt kockázattal természetes személyes jogaira és szabadságára nézve, úgy az incidens adatait rögzíti a belső adatvédelmi incidensek ellenőrzésére szolgáló nyilvántartásban (lásd. IV. melléklet). Ellenkező esetben az adatvédelmi incidensről való tudomásszerzést követő 72 órán belül bejelentést tesz az Adatvédelmi Hatóság (NAIH) erre a célra rendszeresített internetes oldalán, amely legalább az alábbi adatokat tartalmazza:
- az érintettek és az incidenssel érintett adatok kategóriái és hozzávetőleges száma;
- az adatvédelemért felelős munkatárs neve és elérhetőségei;
- az adatvédelmi incidensből eredő, valószínűsíthető következmények;
- az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések.
Érintett tájékoztatása
Amennyiben a bekövezett adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, úgy Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet:
- világosan és közérthetően az adatvédelmi incidens jellegéről;
- adatvédelemért felelős munkatárs nevéről és elérhetőségeiről;
- adatvédelmi incidensből eredő, valószínűsíthető következményekről;
- az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedésekről, ideértve az esetleges hátrányos következmények enyhítését célzó intézkedéseket is.
Adatkezelő nem köteles az érintettet tájékoztatni, amennyiben a következő feltételek bármelyike teljesül:
- adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre – mint például a titkosítás vagy anonimizálás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné tették az adatokat;
- az adatkezelő az adatvédelmi incidens bekövetkeztését követően olyan további intézkedéseket tett, amelyek biztosították, hogy nem valósult meg az érintett jogaira és szabadságaira jelentett magas kockázat;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé (az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását).
10 Záró rendelkezések
Jelen adatvédelmi szabályzat, a hozzátartozó mellékletekkel együtt 2018. május 25. napján lép hatályba, amely naptól kezdve az Adatkezelőnél végzett valamennyi személyes adatot érintő adatkezelés, illetve adatfeldolgozási tevékenységes során, minden munkavállalója számára kötelező érvénnyel alkalmazandó.
Budapest, 2018. május 25.
11 Mellékletek
- Általános Adatvédelmi tájékoztató
A hozzájáruláson alapuló adatkezelésről szóló adatkezelésről tájékoztatók:
gdpr_alt_adatvedelmi_tajekoztato.docx
Adatvédelmi tájékoztató kötelező tartalmi elemei:
- adatkezelő neve, címe, elérhetősége (kell egy külön e-mail cím adott esetben, ahová fordulhat a természetes személy)
- a kezelt adatok köre (pl.: név, telefon, e-mail stb.)
- az adatkezelés célja (miért szükséges ezekek kezelni és mi a felhasználásának módja, pl.: hírlevél küldés, megrendelések teljesítése és számlázás)
- az érintettek köre
- az adatok megismerésére jogosult adatkezelők személye (pl.:könyvelő, futárszolgálat)
- az adatkezelés időtartama: meddig kerülnek tárolásra az adatok és mikor kerülnek törlésre
- a kezelt adatok megismerésének, módosításának, törlésének módja
- adatkezelésekkel kapcsolatos kérések ügyintézési ideje és módja
- adathordozhatósághoz való jogról való tájékoztatás
- a kezelt adatokkal kapcsolatban minden további jogáról tájékoztatás és ezek érvényesítésének módja
- Munkavállalói tájékoztató
gdpr_munkavallaloi_adatvedelmi_tajekoztato.docx
- Állásjelentkezői tájékoztató
gdpr_allasjelentkezoi_adatvedelmi_tajekoztato.docx
- Adatvédelmi incidens nyilvántartás
gdpr_incidens_bejelento.docx
- Adatfeldolgozók
gdpr_adatfeldolgozoi_nyilvantartas.docx
gdpr_adatfeldolgozoi_megallapodas.docx
gdpr_adatfeldolgozoi_adatatadas.docx.