ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT
Érvényes: 2018. május 25.-től
I. ÁLTALÁNOS RENDELKEZÉSEK
1. A szabályzat célja és hatálya
Jelen szabályzat („Szabályzat”) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A Szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), valamint az Európai Parlament és a Tanács (EU) 2016/679 számú általános adatvédelmi rendeletében foglaltak teljesítése érdekében az ABLAKEMELŐ Kft. („Adatkezelő”) megalkotta, s tevékenységei ellátása során magára nézve minden esetben kötelezően alkalmazza és irányadónak tekinti a jelen Szabályzatban foglaltakat.
E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében az Adatkezelő egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését. A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával az Adatkezelő illetve alkalmazottai, alvállalkozói képesek legyenek a természetes személyek adatainak kezelését jogszerűen végezni.
Jelen Szabályzat alanyi hatálya kiterjed:
– az Adatkezelő minden munkavállalójára, alkalmazottjára, alvállalkozójára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, adatkezelést vagy adatfeldolgozási tevékenységet végző, illetve az Adatkezelő által kezelt adatokhoz valamely jogcímen hozzáférő személyekre;
– az igénybe vett adatfeldolgozók felé irányuló adatáramlásra, illetve ellenkező megállapodás hiányában ezen adatfeldolgozók tevékenységére;
– az adattovábbítások címzettjei felé irányuló adatáramlásra;
– az Adatkezelő más Adatkezelőkkel vagy harmadik személyekkel folytatott, személyes adatokat érintő adattovábbításaira, adatcseréire, valamint társ-Adatkezelői tevékenységére.
Jelen Szabályzat tárgyi hatálya kiterjed az Adatkezelő által folytatott vagy általa felügyelt, illetve befolyásolt valamennyi személyes adatokat érintő adatkezelésre, adattovábbításra, információ átadásra, illetve az ezen adatkezelés, információátadás tárgyát képező adatkezelések védelmével kapcsolatos valamennyi egyéb tevékenységre, az adatokon végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
A Szabályzat tárgyi hatálya kiterjed minden személyes adatra, amelyet elektronikus vagy más – például papíralapú – formában az Adatkezelő kezel, tárol, feldolgoz, továbbít, vagy amelyekhez valamilyen módon hozzáfér.
2. Alkalmazandó jogszabályok és belső szabályozási dokumentumok
Az adatkezelés szempontjából az alábbi hatályos jogszabályok relevánsak, amelyek időről-időre változhatnak. Jogszabályváltozás esetén a szabályzat adott részénél figyelembe kell venni a hatályos jogszabály által megkövetelt változást, és az Adatkezelő a lehető legrövidebb időn belül megteszi a szükséges intézkedéseket a szabályzat módosítása érdekében.
Fontosabb releváns jogszabályok:
Az Európai Parlament és a Tanács, természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló (EU) 2016/679 rendelete (általános adatvédelmi rendelet)
2013. évi V. törvény a Polgári Törvénykönyvről (a továbbiakban: „Ptk.”),
2012. évi I. törvény a munka törvénykönyvéről (a továbbiakban: „Mt.”),
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Infotv.”),
2000 évi C. törvény a Számvitelről
3. Fogalom-meghatározások
Amennyiben az alábbi fogalmak és a jogszabályi fogalom között eltérés van, a jogszabályban meghatározott fogalommeghatározást kell érteni.
– adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
– adatfeldolgozó: az a természetes vagy jogi személy, amely az Adatkezelő nevében vagy megbízásából személyes adatokat kezel;
– személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
– az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
– az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
– nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
– adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
3. Lehetséges eltérések az egyes szabályzatok és előírások között
A Társaság egyes lentebb kifejtett szolgáltatások tekintetében Adatkezelő, míg egyes szolgáltatások tekintetében adatfeldolgozó. Az adatfeldolgozói tevékenységre az Adatkezelővel kötött szerződésnek és annak mellékleteinek rendelkezései az irányadóak. Bármely eltérés esetén mindig a jogszabályi rendelkezések az irányadóak, kivéve azokat az eseteket, amikor a jogszabály eltérést enged meg. Ezekben az esetekben jelen Általános Adatvédelmi és Adatbiztonsági Szabályzat, illetőleg az Adatkezelővel kötött szerződés az irányadó.
4. Az adatkezelés és adatfeldolgozás alapelvei
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető (kivéve amennyiben a cél), a jelen szabályzatban foglaltak szerint.
Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait a Társaság, mint Adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Elszámoltathatóság: Az Adatkezelő felelős az alábbi alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. Amennyiben a Társaság adatfeldolgozói feladatot lát el, maximális mértékben segíti az alapelvek teljesülését és számon kérhetőségét.
(1) Jogszerűség, tisztességes eljárás és átláthatóság
A Társaságnak a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végeznie.
(2) Célhoz kötöttség
Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
(3) Adattakarékosság
Az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
(4) Pontosság
Az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
(5) Korlátozott tárolhatóság
A tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
(6) Integritás és bizalmas jelleg
Az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
5. Az adatkezelés jogszerűsége
2018. május 25-től a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett megfelelő, tájékozott és önkéntes hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A társaság egyes adatkezeléseinek jogalapját az alábbi táblázat foglalja össze röviden:
Kezelt személyes adat
Adatok kategóriái
Jogalap
Weboldal látogatói
A cookie-kban tárolt információk
Hozzájárulás
Munkavállalók adatai
Art. és egyéb adójogszabályok által előírt adatok
Törvényi kötelezettségek teljesítése
Szolgáltatás nyújtásával kapcsolatos adatok
Ügyfelek által kötelező és a szabadon megadható adatok
Hozzájárulás
Panaszkezelés
Kapcsolattartási adatok
Jogos érdeken alapuló érdekmérlegelés
Jogos érdek: a Társaság üzletmenet folytonosságához fűződő érdeke
Hírlevél, DM adatkezelés
Kapcsolattartási adatok
Hozzájárulás
Közösségi oldalak adatkezelése
Név, Profilfotó, bármilyen megosztott adat
Hozzájárulás
Kamerarendszer mozgóképfelvétele
Mozgókép felvétel
Hozzájárulás/Jogos érdek
Jogos érdek: vagyonvédelem, munkabiztonság
Az egyes konkrét adatkezeléseket a II.7. pontban fejtjük ki részletesen.
6. Adatfeldolgozás, tárhelyszolgáltató igénybevétele
Adatkezelő jelenleg az alábbi adatfeldolgozót veszi igénybe, aki részére a könyvelési feladatokat végzi:
First accounting line Kft. könyvelő iroda
2143 Kistarcsa, Sport utca 15
adószám 22737960-2-13
Adatkezelő az alábbi tárhelyszolgáltatót veszi igénybe:
RACKFOREST INFORMATIKAI KERESKEDELMI SZOLGÁLTATÓ ÉS TANÁCSADÓ KFT.
Iroda címe: 1132 Budapest, Victor Hugo u. 18-22, 3. em. 3008 a.
Szervertermek címe: XIII. kerület 1132 Budapest, Victor Hugo u. 18-22., 3. em. | VIII. kerület 1087 Budapest, Asztalos Sándor u. 13. | X. kerület 1108 Budapest, Kozma u. 2.
Számlázási cím: 1132 Budapest, Victor Hugo u. 18-22., 3. em. 3008
Adószám: 14671858-2-41
Adatkezelés nyilvántartási szám: NAIH-74088/2014
Adatkezelő csomagküldési szolgáltatás céljából a GLS General Logistics Systems Hungary Csomag-Logisztikai Kft.-t veszi igénybe, aki a személyes adatkezelés terén adatfeldolgozónak minősülhet.
7. Jogorvoslati jog
Az adatvédelemmel kapcsolatos jogszabályi előírások és belső szabályozási dokumentumok betartását az adatkezelő Társaság vezetői kötelesek folyamatosan ellenőrizni.
A Társaság vezetői jogosultak az irat- és adatkezeléssel kapcsolatos belső szabályozási dokumentumok, jegyzőkönyvek és nyilvántartások áttekintésével ellenőrizni az adatkezelés törvényes rendjének megtartását.
Felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/C
Amennyiben bírósági jogorvoslati utat kíván igénybe venni: a Törvényszékek rendelkeznek hatáskörrel, azzal, hogy az érintett lakóhelye szerinti törvényszék is jogosult eljárni.
II. RÉSZLETES SZABÁLYOK
1. Személyes adatok továbbítása
A Társaság megbízásából és érdekében adatkezelést vagy adatfeldolgozást végző személlyel, szervezettel kötendő szerződés kapcsán a társaság köteles gondoskodni arról, hogy a szerződés szövegébe beépítésre kerüljenek az adatvédelmi követelmények, garanciák.
2. Panaszok / igények bejelentése
Igény bejelentése a Társaságnál:
A Társaság az egyes Szolgáltatásaihoz kapcsolódó meghatározott igények bejelentésére többféle módon lehetőséget adhat: írásban, email útján. Amennyiben a Társasághoz az igény benyújtására email útján lehetőséget ad, a korábban a Társaság részére az adott Szolgáltatással összefüggésben megadott email címről –és kizárólag erről az e-mail címről – érkezett igényt az Érintettől érkezett igénynek tekinti.
Amennyiben a Társaság adatkezelése nem az érintett hozzájárulásán alapul, hanem az adatkezelést harmadik személy visszaélésszerűen kezdeményezte, az érintett kérheti a rá vonatkozó, valamely más személy által róla közzétett személyes adat törlését, valamint az adatkezeléssel kapcsolatos tájékoztatást személyazonosságának és a személyes adattal fennálló kapcsolatának megfelelő igazolása mellett.
A panaszok kezelésére Adatkezelőnek 30 napja van, de törekszik rá, hogy a legrövidebb időn belül megválaszoljon minden egyes panaszt, illetve igényt.
3. Az érintett jogai és érvényesítésük
AZ ÉRINTETT TÁJÉKOZTATÁSHOZ FŰZŐDŐ JOGA
Az Adatkezelő elsősorban az érintettektől jut személyes adataik birtokába, az Adatkezelő a következő információkat bocsátja kérés esetén az érintett rendelkezésére:
· az Adatkezelő és képviselőjének a kiléte és elérhetőségei;
· az Adatkezelő adatvédelmi tisztviselőjének elérhetőségei;
· a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
· az érintett személyes adatok kategóriái;
· a személyes adatok címzettjei, illetve a címzettek kategóriái; ha van ilyen, a személyes adatok harmadik országokba történő továbbítása esetén az Általános Adatvédelmi Rendeletben meghatározott információk;
· a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· ha az adatkezelés jogalapja az érdekmérlegelés, akkor az Adatkezelő jogos érdeke;
· az a tény, hogy az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
· hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
· a NAIH-hoz, mint felügyeleti hatósághoz címzett panasz benyújtásának joga;
· a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
· automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír;
· a tájékoztatás jogának gyakorlása csak az Általános Adatvédelmi Rendelet 14. cikk (5) bekezdésében foglalt esetekben tagadható meg.
AZ ÉRINTETT HOZZÁFÉRÉSI JOGA
Az Adatkezelő az érintett igényére visszajelzést ad arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, akkor kérés esetén a következőkről tudja tájékoztatni:
· az adatkezelés céljai;
· az érintett személyes adatok kategóriái;
· azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
· adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
· a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
· ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
· az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát külön kérés esetén az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
A HELYESBÍTÉSHEZ ÉS TÖRLÉSHEZ VALÓ JOG
Az érintett kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, valamint – figyelembe véve az adatkezelés célját – az érintett erre irányuló kérése esetén biztosítja a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Az Adatkezelő az érintett kérésére indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha
· a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
· az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
· az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az adatainak direktmarketing célú felhasználása ellen tiltakozik;
· az érintett személyes adatainak kezelése jogszerűtlen;
· a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
· a személyes adatok gyűjtésére gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről vagy törlésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG
Az érintett kérelmére az Adatkezelő korlátozza az adatkezelést, ha
· az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát
· az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását
· az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
· az érintett jogos érdeken vagy közérdekű célból végzett adatkezelés ellen tiltakozott; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi adatkezelést illető korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
AZ ADATHORDOZHATÓSÁGHOZ VALÓ JOG
Az érintett jogosult arra, hogy a rá vonatkozó, az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa, ha
· az adatkezelés az Általános Adatvédelmi Rendelet szerinti hozzájáruláson vagy szerződésen, mint jogalapon alapszik vagy
· az adatkezelés automatizált módon történik.
· az adathordozhatósághoz való jog alkalmazásának kizárására és korlátozására az Általános Adatvédelmi Rendelet szabályait kell alkalmazni.
A TILTAKOZÁSHOZ VALÓ JOG
Az érintett bármikor tiltakozhat a saját helyzetével kapcsolatos okokból a közérdekű célból vagy jogos érdekből végzett adatkezelés ellen, ideértve a profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Erre a jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
4. Incidenskezelés Adatkezelőként
Az adatvédelmi incidenst az Adatkezelő a tudomására jutását követően indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. A bejelentést, amennyiben ilyen létezik, a hatóság által megadott formában és módon kell megtenni, a hatóság előírásai szerint (például a hatóság által megjelölt felületen vagy hot-line vonalon). Amennyiben az adatvédelmi hatóság nem hoz létre felületet, a bejelentést kötelező tartalmi elemeivel kell megtenni.
Ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, a bejelentést nem kell megtenni. Ezt a döntést az ügyvezető hozza meg, mérlegelve az eset összes körülményeit.
Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait, és az orvoslására tett intézkedéseket, amennyiben az incidensek nyilvántartására a felügyeleti hatóság kötelező tartalmi elemeket határoz meg, abban az esetben ezzel a tartalommal kell elkészíteni az incidens nyilvántartási táblázatot.
Az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ezt a döntést az ügyvezető hozza meg az eset összes körülményeire tekintettel, amelyről feljegyzést készít.
Az érintett értesítése alóli kivétel, ha
Az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; vagy
Az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
A tájékoztatás aránytalan erőfeszítést tenne szükségessé, amely esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
5. Adatbiztonsági rendszabályok
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A Társaságnak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene a Társaságnak.
Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
A konkrét védelmi intézkedések kidolgozása során az alábbi alapelveket kell figyelembe venni:
Tudatosság: az informatikai rendszerekbe vetett bizalom növelése érdekében minden azt használó személynek legalább alapszinten ismernie kell a biztonsági módszereket és eljárásokat.
Felelősség: az információ-rendszerek tulajdonosainak, támogatóinak és Érintettnek biztonságot érintő felelősségének egyértelműnek és világosnak kell lennie.
Arányosság: a biztonsági fokozatoknak és intézkedéseknek megfelelőnek és arányosnak kell lenniük a védett rendszerek értékével és megbízhatósági követelményeivel, a biztonság fokozásának költségeivel, illetve a biztonság megsértéséből eredő potenciális károk súlyosságával és valószínűségével.
Kockázatarányos védelmi intézkedések
Aktualitás: a biztonságot gyakori időközönként újra kell gondolni, és fel kell frissíteni a biztonság megsértéséből eredő potenciális kockázatok és következmények változásainak megfelelően. (Kockázatelemzés-kockázatkezelés)
Integráció: koherens és integrált biztonsági megközelítés szükséges egy információ-rendszer összes elemének tekintetében.
Reakciókészség: az összes résztvevőnek együtt kell működnie a biztonság sérülésének, megsértésének megelőzése és a megsértésre adandó gyors válasz érdekében.
6. Fizikai veszélyforrások kezelése
A jogosulatlan hozzáférés elkerülése érdekében fel kell készíteni a fizikai védelmi rendszert az illetéktelen behatolások elhárítására, az „infokommunikációs” infrastruktúra üzemeltetőit pedig ezek észlelésére, elhárítására, továbbá az eszközök jogosulatlan használatának megakadályozására.
Minden munkaállomáson telepítésre kerül az aktuális vírusirtó kliens, az időközönként esedékes frissítések pedig (különös tekintettel a vírus definíciókra) letöltésre és installálásra kerülnek.
7. Egyes konkrét adatkezelések
Weboldal látogatóinak adatkezelése
Adatkezelő tekintettel a 2003. évi C. törvény 155. § 4. bekezdésében foglaltakra, miszerint „Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni” a következő tájékoztatást adja az általa használt analitikai eszközökkel, azaz cookie-kkal (magyarul: süti) kapcsolatban.
Adatkezelő a következő cookie-kat használja, amelyek célját alább határozza meg:
Feltétlenül szükséges cookie-k
Az ilyen cookie-k nélkülözhetetlenek a weboldal megfelelő működéséhez. Ezen cookie-k elfogadása nélkül Adatkezelő nem tudja garantálni a weboldal elvártaknak megfelelő működését, sem pedig azt, hogy minden, a felhasználó által keresett információhoz a felhasználó hozzá fog jutni. Ezek a cookie-k nem gyűjtenek be személyes adatokat az érintettől, vagy olyan adatokat, amelyek marketing célokra használhatók fel.
Feltétlenül szükséges cookie-k például a Teljesítmény cookie-k, amelyek információt gyűjtenek arról, hogy a weboldal megfelelően működik-e, működésében tapasztalhatóak-e hibák. Az esetleges hibák jelzésével az Adatkezelő segítségére vannak a weboldal tökéletesítéséhez, illetve jelzik, hogy melyek a weboldal legnépszerűbb részei.
Funkcionális cookie-k
Ezek a cookie-k biztosítják a weboldal érintett igényeire szabott következetes megjelenését, és megjegyzik az érintett által választott beállításokat (például: szín, betűméret, elrendezés).
A cookie továbbá segít a weboldal ergonómia kialakításának javításában, felhasználóbarát weboldal kialakításában, a látogatók online élményének fokozása érdekében.
Nyomkövető cookie-k (harmadik féltől származó süti)
Az ilyen sütik adatkezelése az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése alapján történik.
Az adatkezelés időtartama a vonatkozó látogatói munkamenet lezárásáig tartó időszak. Az adatkezelés célja az új session-ök és látogatók azonosítása, a Google Analytics webes nyomkövető szolgáltatás honlapon történő üzemeltetése. Használatban vannak még a Google Ads, illetve a Facebook sütetijei is.
Megrendelői adatok kezelése
A megrendelői adatok kezelése alatt Adatkezelő által nyújtott szolgáltatások teljesítése érdekében végzett adatkezelést kell érteni. Az adatkezelés célja, hogy az Adatkezelő által teljesített szolgáltatások hatékonyan, megfelelő kapcsolattartás mellett szerződésszerűen teljesüljenek. Ebben az esetben legfőképpen az Adatkezelő és az érintett Megrendelő közötti szerződésben rögzített kapcsolattartó adatait (név, cím, telefonszám, e-mail cím) fogja Adatkezelő tárolni. Az adatkezelés jogalapja az Adatkezelő és a Megrendelő közötti szerződés teljesítése.
A kezelt adatok köre az Adatkezelő és az érintett között létrejött szerződésben szereplő személyes adatok, amelyek a megrendeléskor megadásra kerültek. Az önkéntesen és kötelezően megadandó adatok körét az ÁSZF tartalmazza.
A megrendelői adatokhoz kizárólag az Adatkezelő ügyvezetője, illetve Adatkezelő munkatársai, adott esetben Adatkezelő könyvelője férnek hozzá.
A megrendelői adatokat bizalmasan kell kezelni, a fenti személyeken túl más nem ismerheti meg a megrendelői személyes adatokat.
Az adatkezelés időtartama a szerződés teljesítésének időpontjáig, illetve a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig tarthat.
Munkavállalói adatok kezelése
A munkaviszony létesítésekor a munkavállaló a munkaviszony létesítéséhez, a munkaviszonyból fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges személyes adatait megadja az Adatkezelő számára. Adatkezelő ezeken az adatokon felül nem gyűjt és nem kezel a munkavállalókra vonatkozó adatokat. A személyes adatkezelés jogalapja a munkavállaló hozzájárulása, valamint a Munka Törvénykönyve.
A kezelt személyes adatok az alábbiak:
· Az adózás rendjéről szóló törvényben meghatározott személyes adatok,
· A társadalombiztosítási ellátásokról és azok fedezetéről szóló törvényben meghatározott személyes adatok,
· A kötelező egészségbiztosítás ellátásairól szóló törvényben meghatározott személyes adatok.
Az adatok megismerésére jogosult személyek Adatkezelő ügyvezetője és megbízott könyvelője.
Adatkezelő amennyiben szükségesnek érzi, a munkavállalóit évente kötelező orvosi alkalmassági vizsgálatra küldheti. A vizsgálat alapján kiállított orvosi alkalmassági dokumentumot az Adatkezelő részére át kell adni, de azon a munkavállaló személyes adatain felül csak annyi információ szerepelhet, hogy a munkavállaló a munkakör betöltésére alkalmas, vagy nem alkalmas. Ennek megfelelően Adatkezelő sem az orvosi alkalmassági vizsgálat céljából, sem pedig más célból nem kezel semmilyen szenzitív adatot, ami a munkavállalókkal lenne kapcsolatos.
Az adatkezelés időtartama a munkaviszony megszűnésének évét követő 6. naptári év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő.
Hírlevél, DM tevékenység
A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. §-a értelmében Felhasználó előzetesen és kifejezetten hozzájárulhat ahhoz, hogy Szolgáltató reklámajánlataival, egyéb küldeményeivel a regisztrációkor megadott elérhetőségein megkeresse.
Továbbá Ügyfél a jelen tájékoztató rendelkezéseit szem előtt tartva hozzájárulhat ahhoz, hogy Szolgáltató a reklámajánlatok küldéséhez szükséges személyes adatait kezelje.
Szolgáltató nem küld kéretlen reklámüzenetet, és Felhasználó korlátozás és indokolás nélkül, ingyenesen leiratkozhat az ajánlatok küldéséről. Ebben az esetben Szolgáltató minden – a reklámüzenetek küldéséhez szükséges – személyes adatát törli nyilvántartásából és további reklámajánlataival nem keresi meg a Felhasználót. Felhasználó a reklámokról leiratkozhat az üzenetben lévő linkre kattintva.
Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:
Személyes adat : név, e-mail cím, IP cím, feliratkozás ideje
Az adatkezelés célja: Azonosítás, a hírlevélre való feliratkozás lehetővé tétele.
Az érintettek köre: A hírlevélre feliratkozó valamennyi érintett.
Az adatkezelés célja: reklámot tartalmazó elektronikus üzenetek (e-mail, sms, push üzenet) küldése az érintett részére, tájékoztatás nyújtása az aktuális információkról, termékekről, akciókról, új funkciókról stb.
Az adatkezelés időtartama, az adatok törlésének határideje: a hozzájáruló nyilatkozat visszavonásáig, azaz a leiratkozásig tart az adatkezelés.
Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő sales és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:
• Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
• tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
• az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.
Az érintett bármikor, ingyenesen leiratkozhat a hírlevélről.
Az adatkezelés jogalapja: az érintett hozzájárulása, 6. cikk (1) bekezdés a) és f) pontja, és a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése:
Panaszkezeléssel kapcsolatos adatkezelés
Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:
Személyes adatok köre: Vezeték-és keresztnév, e-mail cím, telefonszám, számlázási név és cím
Az adatkezelés célja: Azonosítás, a megrendelt termékekkel kapcsolatosan felmerülő minőségi kifogások, kérdések és problémák kezelése.
Az érintettek köre: minőségi kifogással élő, panaszt tevő valamennyi érintett.
Az adatkezelés időtartama, az adatok törlésének határideje: A felvett kifogásról felvett jegyzőkönyv, átirat és az arra adott válasz másolati példányait a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése alapján 5 évig kell megőrizni.
Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:
• Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
• tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
• az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.
Az adatkezelés jogalapja: 6. cikk (1) bekezdés c) pont, és a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése.
Közösségi oldalakon végzett adatkezelés
Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:
Személyes adatok köre: Facebook/Google+/Twitter/Pinterest/Youtube/Instagram stb. közösségi oldalakon regisztrált neve, illetve a felhasználó nyilvános profilképe
Az adatgyűjtés célja: A közösségi oldalakon, a weboldal egyes tartalmi elemeinek, termékeinek, akcióinak vagy magának a weboldalnak a megosztása, illetve „lájkolása”, népszerűsítése.
Az adatkezelés időtartama, az adatok törlésének határideje, az adatok megismerésére jogosult lehetséges adatkezelők személye és az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az adatok forrásáról, azok kezeléséről, illetve az átadás módjáról, és jogalapjáról az adott közösségi oldalon tájékozódhat az érintett. Az adatkezelés a közösségi oldalakon valósul meg, így az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire az adott közösségi oldal szabályozása vonatkozik.
Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása személyes adatai kezeléséhez a közösségi oldalakon.
Kamerarendszerrel összefüggő adatkezelés
Adatkezelő a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény vonatkozó rendelkezése alapján vagyonvédelmi célból elektronikus megfigyelőrendszert alkalmaz, amely mozgóképrögzítést végez. A kamerarendszer a 2142 Nagytarcsa Felső ipari körút 2. (HRSZ:085/138/A/9). szám alatti műhelyben üzemel.
Amennyiben az adott területen elektronikus megfigyelőrendszert alkalmazunk, abban az esetben jól látható helyen és jól olvashatóan, a területen megjelenni kívánó harmadik személyek számára a tájékozódását elősegítő módon figyelemfelhívó tájékoztatást (jelzést) helyezünk el. A munkavállalókat a kamerarendszeres megfigyeléssel kapcsolatban írásban tájékoztatjuk.
Adatkezelő összesen 8 kamarát üzemeltet, amelyből 4 darab a műhely beltéri szerelőállásait, 2 darab az irodahelyiséget (irodai bejáratot, kasszát), 2 darab külső kamera az épület két sarkán elhelyezve, a műhely előtti parkoló részt, és az utat látja. A kamerarendszer központi egysége Adatkezelő székhelyén található.
A rögzített felvételeket főszabályként három munkanapig tároljuk, kivéve, ha valamely tevékenység vagy körülmény olyan kivételes esetet jelent, amikor – a célhoz kötöttség elvével és az elvégzett érdekmérlegelés teszttel összhangban, valamint a vonatkozó jogszabályokat figyelembe véve – a felvételeket három munkanapnál hosszabb időtartamig szükséges megőrizni.
A felvételek őrzésének helye: 2142 Nagytarcsa Felső ipari körút 2. (HRSZ:085/138/A/9)
Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából Adatkezelő ügyvezetője jogosult.
8. Záró rendelkezések
A Szabályzat az Adatkezelő ügyvezetője általi elfogadását követő napon hatályba lép, egyúttal a korábbi adatvédelmi szabályzat hatályát veszti, a hozzá kapcsolódó nyomtatványok, nyilatkozati minták a továbbiakban nem használhatók.
Budapest, 2018. május 25.
ABLAKEMELŐ Kft.
Szőcs Zoltán, ügyvezető