+36 1 308 8492

ADATVÉDELMI SZABÁLYZAT

Cégnév: Állatorvosi, Hematológiai és Onkológiai Központ Korlátolt Felelősségű Társaság Rövid név: Á.H.O.K. Kft. Székhely: 1148 Budapest, Bolgárkertész utca 31. Cégjegyzékszám: 01-09-899748Adószám: 14344358-2-42.

ADATVÉDELMI SZABÁLYZAT

képviseli: dr. Vajdovich Péter Béla, ügyvezető (vezető tisztségviselő)

…………………………………………………………………..

dr. Vajdovich Péter Béla

2018.05.24.

Az Adatvédelmi szabályzat (továbbiakban Szabályzat) célja, hogy az Állatorvosi, Hematológiai és Onkológiai Központ Korlátolt Felelősségű Társaság

(továbbiakban: Vállalkozás) a vonatkozó jogszabályok, különösen

  • a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR)

  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)

  • Magyar Állatorvosi Kamaráról, valamint az állatorvosi szolgáltató tevékenység végzéséről szóló 2012. évi CXXVII. törvény (Kamarai tv.)

  • 2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.)

  • 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (Eker tv.)

  • a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.)

  • a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtv.)

  • az 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről (Kktv.)

  • 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grtv.)

  • 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról (Nytv.)

  • a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. tv. (Pktv.)

  • 2017. évi LIII. törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.) és

  • egyéb vonatkozó jogszabályok rendelkezéseivel összhangban

meghatározza a Vállalkozás birtokában levő személyes adatok kezelésére, feldolgozására valamint védelmére vonatkozó szabályokat.

Jelen Szabályzat alkalmazásában az egyéni vállalkozó, egyéni cég valamint őstermelő ügyfeleket, vevőket és szállítókat is természetes személynek kell tekinteni.

A Szabályzat kiadása és módosítása az ügyvezető hatáskörébe tartozik.

Tartalom

ÁLTALÁNOS RÉSZ 7

1. ÉRTELMEZŐ RENDELKEZÉSEK 7

2. A SZEMÉLYES ADATOK KEZELÉSÉNEK ÉS VÉDELMÉNEK ALAPELVEI 12

3. AZ ADATKEZELÉS JOGALAPJA 13

3.1. Adatkezelés az érintett hozzájárulása alapján 13

3.1.1. Gyermekekre vonatkozó rendelkezések 14

3.1.2. Tájékoztató az adatkezelésről 14

3.1.3. A hozzájárulás visszavonása 15

3.2. Adatkezelés szerződés teljesítése alapján 15

3.3. Adatkezelés jogi kötelezettség teljesítése alapján 16

3.4. Adatkezelés egyéb esetei 22

3.5. A személyes adatok különleges kategóriáinak kezelése 23

4. AZ ÉRINTETTEK JOGAI ÉS ÉRVÉNYESÍTÉSÜK 24

4.1. Tájékoztatás 24

4.2. Rendelkezésre bocsátandó információk, amennyiben a személyes adatokat az érintettől gyűjti a Vállalkozás 25

4.3. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezte meg a Vállalkozás 26

4.4. Az érintett hozzáférési joga 28

4.5. Adathelyesbítés és törlés 29

4.6. Az adatkezelés korlátozásához való jog 30

4.7. Értesítési kötelezettség a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódóan 31

4.8. Az adathordozhatósághoz való jog 32

4.9. Tiltakozáshoz való jog 33

4.10. Automatizált döntéshozatal egyedi ügyekben, profilozás 34

5. AZ ADATKEZELÉS KORLÁTOZÁSA 37

6. AZ ÉRINTETT ELŐZETES TÁJÉKOZTATÁSÁNAK KÖVETELMÉNYE 38

6.1. Az előzetes tájékoztatás követelményei 38

6.2. Szerződés teljesítése, mint jogalap és az előzetes tájékoztatás 39

6.3. A jogi kötelezettségen adatkezelés és az előzetes tájékoztatás 40

6.4. Jogos érdeken alapuló adatkezelés és az előzetes tájékoztatás 40

7. ADATVÉDELMI AUDIT 42

8. ADATVAGYONLELTÁR ÉS AZ ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA 43

8.1. Adatvagyonleltár készítése 43

8.2. Adatkezelési tevékenységek nyilvántartása 44

9. ADATTOVÁBBÍTÁS 46

9.1. Adattovábbítás a Vállalkozás szervezetén belül 46

9.2. Adattovábbítás harmadik személy részére 46

9.3. Adattovábbítás külföldre vagy nemzetközi szervezet számára 46

9.4. Az Uniós jog által nem engedélyezett továbbítás és közlés 49

10. ADATKEZELÉSSEL ÉS ADATFELDOLGOZÁSSAL KAPCSOLATOS FELELŐSSÉGEK 49

11. AZ ADATKEZELÉS BIZTONSÁGA ÉS AZ ADATVÉDELMI INCIDENS 50

11.1. Az adatbiztonság követelménye 50

11.2. Személyes adatok védelme 50

11.3. Az adatvédelmi incidens bejelentése 52

11.4. A bejelentés megvizsgálása és az incidens kezelése 52

11.5. Az érintettek tájékoztatása 53

11.6. Az adatvédelmi incidens nyilvántartása 54

KÜLÖNÖS RÉSZ 55

12. A VÁLLALKOZÁS ÁLTAL KEZELT ADATOK 55

12.1. Ügyféladatok kezelése 55

12.1.1. Ügyfélnyilvántartás 55

12.1.2. Információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésekre vonatkozó speciális szabályok 57

12.1.3. Jogi személy ügyfelek természetes személy képviselőinek adatai 58

12.1.4. A Vállalkozással szállítói szerződéses kapcsolatban álló természetes személyek adatainak kezelése 59

12.1.5. Hangfelvétel készítése a telefonos ügyfélszolgálaton 59

12.1.6. Hírlevél küldése az ügyfelek számára 60

12.1.7. Ajándéksorsolás ügyfelek számára 61

17.1.8. Direkt marketing célú adatkezelés 61

12.2. Látogatói adatkezelés a Vállalkozás honlapján 62

12.2.1. Sütik (cookie, session) 62

12.2.2. Regisztráció 63

12.2.3. Hírlevél-szolgáltatás 63

12.2.4. Közösségi oldalak (Facebook) 64

12.3. Munkavállalók adatainak kezelése 64

12.3.1. A munkahelyi adatkezelés alapelvei 64

12.3.2. A munkahelyi adatkezelés jogalapja 65

12.3.3. A munkavállalói adatok továbbítása külföldre 66

12.3.4. Előzetes tájékoztatási kötelezettség 66

12.3.5. Felvételre jelentkező munkavállalók személyes adatainak kezelése 67

15.3.6. Alkalmassági vizsgálat 68

15.3.7. Feddhetetlen előélet igazolása 69

15.3.8. Munkavállalók adatai 69

12.4. A Vállalkozás direkt marketing és piackutatási tevékenységével kapcsolatos adatkezelés 72

12.4.1. Adatkezelés közvetlen üzletszerzés (direkt marketing) során 75

12.4.2. Tilalmi nyilvántartás 77

12.5. Hatósági nyilvántartások és hatósági adatszolgáltatások 77

12.6. Tájékoztatási kötelezettség megtagadási nyilvántartás 78

12.7. Egyéb adatkezelések 78

13. A MUNKAVÁLLALÓK MUNKAVISZONNYAL ÖSSZEFÜGGŐ MAGATARTÁSÁNAK ELLENŐRZÉSÉVEL KAPCSOLATOS ADATKEZELÉS 80

13.1. A munkavállaló „céges” internethasználatának ellenőrzése 80

13.1.1. A munkavállaló „céges” internethasználatával kapcsolatos előírások 80

13.1.2. A munkavállaló „céges” e-mail fiókjának használata 81

13.2. Céges tulajdonú laptop, okostelefon, tablet, kamera, egyéb adattárolásra alkalmas eszköz használatának ellenőrzése 82

13.2.1. Adattárolásra alkalmas eszközökkel kapcsolatos ellenőrzés adatkezelése 83

13.2.2. A „céges” telefon használatának ellenőrzésének adatkezelése 84

13.3. GPS navigációs rendszerrel kapcsolatos adatkezelés 85

13.4. Munkahelyi be- és kiléptető rendszerekkel kapcsolatos adatkezelés 86

13.5. Elektronikus megfigyelőrendszerek 86

14. WEBÁRUHÁZ ÜZEMELTETÉSSEL KAPCSOLATOS ADATKEZELÉS 90

14.1. Tájékoztatási kötelezettség 90

14.2. A Vállalkozás által alkalmazott sütik 92

14.3. Az adatok kezelése 94

14.4. Hírlevél küldése 96

14.5. Ajándéksorsolás 97

15. AZ ADATFELDOLGOZÁSRA VONATKOZÓ SPECIÁLIS SZABÁLYOK 99

15.1. A Vállalkozás, mint adatfeldolgozót megbízó szervezet 99

15.2. A Vállalkozás, mint adatfeldolgozó szervezet 102

16. ZÁRÓ RENDELKEZÉSEK

ÁLTALÁNOS RÉSZ

1. ÉRTELMEZŐ RENDELKEZÉSEK

Jelen Szabályzatban használt fogalmak értelmezése:

  • személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható,

  • különleges adat”:

  1. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

  2. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat,

  • hozzájárulás”: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez,

  • tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri,

  • adatkezelő”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja,

  • adatkezelés”: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése,

  • adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele,

  • nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele,

  • adattörlés”az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges,

  • adatmegjelölés”: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából,

  • adatzárolás”: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából,

  • profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják,

  • álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni,

  • nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető,

  • adatmegsemmisítés”az adatot tartalmazó adathordozó teljes fizikai megsemmisítése,

  • adatfeldolgozás”az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik,

  • adatfeldolgozó”az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi,

  • adatfelelős”az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett,

  • adatközlő”az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi,

  • adatállomány”az egy nyilvántartásban kezelt adatok összessége,

  • harmadik személy”olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval,

  • EGT-állam”az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez,

  • harmadik ország”minden olyan állam, amely nem EGT-állam,

  • címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek, az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak,

  • az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez,

  • adatvédelmi incidens”: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés,

  • genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered,

  • biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat,

  • egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról,

  • tevékenységi központ”:

  1. az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni,

  2. az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra az GDPR-ban meghatározott kötelezettségek vonatkoznak,

  • képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által az GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az GDPR értelmében háruló kötelezettségek vonatkozásában,

  • vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások,

  • kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ,

  • felügyeleti hatóság”: egy tagállam által az GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv, Magyarországon: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

  • érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:

  1. az adatkezelő vagy az adatfeldolgozó a felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel,

  2. az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy

  3. panaszt nyújtottak be az említett felügyeleti hatósághoz,

  • személyes adatok határokon átnyúló adatkezelése”:

  1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor, vagy

  1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket,

  • nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

  • üzleti titok”: a Vállalkozás gazdasági tevékenységéhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a Vállalkozás jogos pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a Vállalkozást felróhatóság nem terheli.

  • anonimizálás”: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítása lehetőségének végleges kizárását.

2. A SZEMÉLYES ADATOK KEZELÉSÉNEK ÉS VÉDELMÉNEK ALAPELVEI

A Vállalkozás jelen szabályzat alkalmazása során a személyes adatok kezelésének és védelmének jogszabályban rögzített alapelvei szerint jár el:

  1. jogszerűség, tisztességes eljárás és átláthatóság elve”: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

  2. célhoz kötöttség elve”: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.

  3. adattakarékosság elve”: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk.

  4. pontosság elve”: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük és minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törölve vagy helyesbítve legyenek.

  5. korlátozott tárolhatóság elve”: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegye lehetővé.

  6. integritás és bizalmas jelleg elve”: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az alapelveknek megfelelően a Vállalkozásnál személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. A Vállalkozás adatkezelésének minden szakaszában meg kell felelnie az adatkezelés céljának, valamint az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

A Vállalkozás csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

A Vállalkozásnak az adatkezelés során biztosítania kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

3. AZ ADATKEZELÉS JOGALAPJA

A Vállalkozásnál a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha az alábbiak legalább egyike teljesül:

  1. hozzájárulás”: az érintett hozzájárulását adta személyes adatainak egy vagy több célból történő kezeléséhez (GDPR 6. cikk (1) bekezdés a) pont)

  2. szerződés teljesítése”: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kéréséhez történő lépések megtételéhez szükségesek (GDPR 6. cikk (1) bekezdés b) pont)

  3. jogi kötelezettség teljesítése”: az adatkezelés a Vállalkozásra vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont). Az adatkezelés célját e jogalapra hivatkozással kell meghatározni.

  4. létfontosságú érdek védelme”: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (GDPR 6. cikk (1) bekezdés d) pont)

  5. jogos érdek”: az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ez érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (GDPR 6. cikk (1) bekezdés f) pont).

Amennyiben a Vállalkozásnál az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy jogi kötelezettség teljesítésén alapul, abban az esetben annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, a Vállalkozás – többek között – figyelembe veszi

  1. a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat,

  2. a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és a Vállalkozás közötti kapcsolatokra,

  3. a személyes adatok jellegét, különösen pedig azt, hogy a GDPR 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó,

  4. azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése, illetve

  5. megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is. (GDPR 6. cikk (4) bekezdés).

3.1. Adatkezelés az érintett hozzájárulása alapján

Amennyiben a Vállalkozás adatkezelése hozzájáruláson alapul, a Vállalkozásnak képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult (1.sz. melléklet).

A hozzájárulás kizárólag csak akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, azaz az önkéntességet, a határozottságot (egyértelműséget) és a tájékozottságot is teljesíti.

A Vállalkozás hozzájárulásnak minősíti azt is, amikor az érintett a Vállalkozás internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet vagy más, aktív cselekvést igénylő módon járul hozzá adatainak kezeléséhez. A hallgatás mint beleegyezést illetve az előre bejelölt négyzet alkalmazását vagy a nem cselekvést a Vállalkozás nem minősítheti hozzájárulásnak.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell feltüntetni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely sérti a GDPR-t, kötelező erővel nem bír (GDPR 7. cikk (2) bekezdés).

Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, illetve az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell.

Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy nyilvánosságra hozatalra általa átadott személyes adatok tekintetében.

Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

3.1.1. Gyermekekre vonatkozó rendelkezések

Amennyiben a Vállalkozás adatkezelésének jogalapja hozzájárulás, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte (2. sz. melléklet). A Vállalkozásnak – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket kell tennie annak érdekében, hogy az ilyen esetekben ellenőrizze, a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte (GDPR 8. cikk (1)-(2) bekezdés).

3.1.2. Tájékoztató az adatkezelésről

A Vállalkozás az internetes honlapján (láblécben, illetve az adatkezeléssel kapcsolatos lépések előtt/mellett link formájában) közzéteszi az általános adatkezelési tájékoztatóját (15. sz. melléklet), melynek célja, hogy még az adatkezelés megkezdése előtt, illetve annak időtartama alatt az érintett megfelelő módon, egyértelműen és részletesen tájékozódhasson az adatainak kezelésével kapcsolatos minden tényről, így különösen

  1. az adatai kezelésének céljáról és jogalapjáról,

  2. az adatkezelésre és adatfeldolgozásra jogosult személyek köréről,

  3. az adatkezelés időtartamáról,

  4. az adatok megismerésére jogosult személyek köréről,

  5. az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire, valamint

  6. a vonatkozó főbb jogszabályi helyekről.

3.1.3. A hozzájárulás visszavonása

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt a Vállalkozásnak az érintettet erről a jogáról tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását (GDPR 7. cikk (3) bekezdés) (5. sz. melléklet).

3.2. Adatkezelés szerződés teljesítése alapján

Amennyiben az adatkezelés célja a Vállalkozással írásban kötött szerződés végrehajtása, abban az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen:

  1. a kezelendő adatok meghatározását,

  2. az adatkezelés célját és jogalapját,

  3. az adatok címzettjeit,

  4. az adatkezelés időtartamát,

  5. az adatok továbbításának tényét,

  6. adatfeldolgozó igénybevételének tényét,

  7. az érintett azon jogát, hogy kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen személyes adatok kezelése ellen,

  8. az érintett adathordozhatósághoz való jogát (amennyiben a személyes adatok kezelése automatizált módon történik),

  9. jogszabályban meghatározott esetekben a hozzájárulás bármely időpontban történő visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,

  10. azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint az érintett köteles-e a személyes adatokat megadni, továbbá milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása,

  11. az automatizált döntéshozatal tényét (ideértve a profilalkotást is) valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érhető információkat, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várhatóan következményekkel bír.

Profilalkotás: a személyes adatok automatizált kezelésének bármely olyan formája a Vállalkozásnál, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.

Amennyiben a Vállalkozás a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

3.3. Adatkezelés jogi kötelezettség teljesítése alapján

Jogi kötelezettség teljesítése jogcímre alapuló adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát valamint az adatkezelő személyét az adatkezelést elrendelő jogszabály határozza meg és az érintettel az adatkezelés megkezdése előtt a Vállalkozásnak közölnie kell, hogy az adatkezelés kötelező, illetve tájékoztatni kell az adatainak kezelésével kapcsolatos minden tényről, így:

  1. az adatkezelés céljáról és jogalapjáról,

  2. az adatkezelésre és az adatfeldolgozásra jogosult személyéről,

  3. az adatkezelés időtartamáról,

  4. az adatokat megismerők köréről,

  5. az érintett adatkezeléssel kapcsolatos jogairól és a jogorvoslati lehetőségeiről valamint arról,

  6. hogy az érintett személyes adatait jogi kötelezettség alapján kezeli a Vállalkozás (pontos jogszabályhely megnevezéssel).

Kötelező adatkezelés esetén a tájékoztatás megtörténhet a vonatkozó jogszabályban foglalt rendelkezésekre utalás nyilvánosságra hozatalával is.

A Vállalkozás jogi kötelezettség teljesítése jogcímén, a törvényben előírt kötelezettségeinek teljesítése céljából (számvitel, adózás) kezeli a vevőként, szállítóként és egyéb minőségben a Vállalkozással üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.

A kezelt adatok

  1. az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján a nevet, címet, adószámot és adózási státuszt,

  2. az az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001 évi CVIII. törvény 13/A. §-a alapján a természetes személyazonosító adatokat, lakcímet, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat, illetve azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek.

  3. a számvitelről szóló 2000. évi C. törvény 167.§-a alapján a nevet, címet, a gazdasági műveletet elrendelő személy vagy szervezet megjelölését, az utalványozó és a rendelkezés végrehajtását igazoló személyt valamint a szervezettől függően az ellenőr aláírását, a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírását,

  4. a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján az adóazonosító jelet, a vállalkozói igazolvány számát valamint az őstermelői igazolvány számát.

A Vállalkozás jogi kötelezettség teljesítése jogcímén törvényben előírt adó- és járulékkötelezettségek teljesítése (adóelőleg, adók és járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés, stb.) céljából kezeli azon érintettek – munkavállalók, családtagjaik, egyéb juttatásban részesülők személyes adatait

  1. akikkel kifizetői kapcsolatban áll (2017. évi CL. törvény az adózás rendjéről (Art.): a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemet, állampolgárságot, adóazonosító jelet, társadalombiztosítási azonosító jelet (TAJ szám),

  2. törvény felhatalmazása alapján (1995. évi CXVII. törvény a személyi jövedelemadóról 40. §, 47.§ (2) bek. ba) pont) a Vállalkozás kezelheti a munkavállalók egészségügyi és a szakszervezeti tagságra vonatkozó adatait adó- és járulék, illetve tagdíj-kötelezettségek teljésítés céljából.

A személyes adatok címzettjei a Vállalkozás pénzügyi, számviteli, bérszámfejtési, társadalombiztosítási és adózási feladatait ellátó munkavállalói és adatfeldolgozói.

A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

A Vállalkozás jogi kötelezettség teljesítése jogcímén több jogcímen kezeli az eb tulajdonosának, tartójának személyes adatait:

  1. az állatok védelméről és kíméletéről szóló törvény (1998. évi XXVIII. törvény, továbbiakban Ávt.) 42/A. §-a által szabályozott ebnyilvántartás személyes adatként tartalmazza – az állatot ellátó orvos adatai túl –

  1. az eb tulajdonosának nevét, címét,

  2. az ebtartó nevét, lakcímét, telefonszámát, elektronikus levélcímét,

  3. az eb fajtáját vagy fajtajellegét vagy a keverék mivoltára való utalást, nemét, születési idejét, színét, hívónevét,

  4. az eb tartási helyét,

  5. a beültetett transzponder sorszámát, a beültetés időpontját, a beültetést végző szolgáltató állatorvos nevét, kamarai bélyegzője számát,

  6. ivartalanított eb esetén az ivartalanítás időpontját, az ivartalanítást végző szolgáltató állatorvos nevét, kamarai bélyegzője számát,

  7. az eb oltási könyvének számát, az azt kiadó szolgáltató állatorvos nevét, kamarai bélyegzője számát,

  8. az eb veszettség elleni védőoltásainak időpontját,

  9. az eb veszettség elleni védőoltásai során használt oltóanyagot, annak gyártási számát, valamint az oltást végző szolgáltató állatorvos nevét, kamarai bélyegzője számát,

  10. a veszettség szempontjából aggályos eb megfigyelési státuszának tényét, időpontját,

  11. kisállatútlevéllel rendelkező eb esetén az útlevél számát, kiállításának időpontját, a kiállító szolgáltató állatorvos nevét, kamarai bélyegzője számát,

  12. az eb veszélyessé minősítésének tényére és időpontjára vonatkozó adatot,

  13. elismert tenyésztő szervezet által törzskönyvezett eb esetén a származási igazolás másolatát.

Az eb tulajdonosa és tartója köteles a 42/A. § (4) bekezdés szerinti adatokat az eb transzponderrel történő megjelölését és regisztrációját végző állatorvos rendelkezésére bocsátani.

A személyes adatok kezelésére az Ávt. 42/A. § (5) bekezdése az ebnyilvántartás működtetőjének ad felhatalmazást, a (6) bekezdés a transzpondert beültető és az eb regisztrációját végző állatorvos számára.

A szolgáltató állatorvosnak nincs jogszabályon alapuló joga/kötelezettsége a tulajdonosként megadott személy személyazonosságának, illetve a tulajdonjog jogalapjának ellenőrzésére.

A személyes adatok az Ávt. 42/A. § (7) bekezdése alapján nem nyilvánosak.

  1. a kedvtelésből tartott állatok tartásáról és forgalmazásáról szóló 41/2010. (II. 26.) Korm. rendelet 17/B. § (1) bekezdés alapján (továbbiakban kormányrendelet) kötelező a szolgáltató állatorvos számára az eb vizsgálata, kezelése előtt annak ellenőrzése, hogy az állat transzponderrel jelölt-e. A tulajdonos adatainak ellenőrzésére a kormányrendelet nem szabályoz.

A kormányrendelet 17/B. § (3) bekezdése alapján az eb transzponderrel történő megjelölését követő 8 napon belül a beavatkozást végző szolgáltató állatorvos köteles az állatnak az állatvédelmi tv. 42/A. § (4) bekezdés szerinti adatait a transzponderrel megjelölt ebek országos elektronikus adatbázisában regisztrálni.

A kormányrendelet 17/B. § (6)-(7) bekezdése alapján a transzponderrel megjelölt eb tartójának megváltozása esetén az új tartó az adatváltozást 8 napon belül köteles a szolgáltató állatorvossal az adatbázisban regisztráltatni. A transzponderrel megjelölt eb tulajdonosának, tartási helyének megváltozása esetén az eb tartója az adatváltozást szintén 8 napon belül köteles a szolgáltató állatorvossal az adatbázisban regisztráltatni.

Az ebnyilvántartás célja a transzponderrel megjelölve tarható ebekről az állat tartója és más személyek jogainak, személyi biztonságának és tulajdonának védelme, valamint az ebrendészeti feladatok ellátása.

  1. a kedvtelésből tartott állatok nem kereskedelmi célú szállításának állategészségügyi feltételeiről szóló 21/2015. (IV. 30.) FM rendelet 6.§ (1) bekezdése alapján az állatorvos köteles kedvtelésből tartott állat tartójának az útlevél kiállítására vonatkozó kérelme esetén

    1. az állat és a tulajdonos azonosító adatait,

    2. a jogszabály által előírt esetben szükséges szerológiai vérvizsgálat eredményét, valamint

    3. az állat védőoltását, és egyéb, jogszabályban vagy szakmai indok alapján előírt kezelését, továbbá minden, az állat egészségére vonatkozó lényeges információt az útlevélbe bejegyezni.

Az útlevélbe bejegyzett adatokat az okmány megfelelő helyein az állattartó aláírásával, az állatorvos aláírásával és kamarai bélyegzőjével igazolja. Az állatorvos kizárólag abban az esetben adhatja ki az állattartó részére az útlevelet, ha annak I-IV. része kitöltésre került, és az állattartó az I. részt aláírásával ellátta.

Az állatorvos köteles az állattartónak kiadott útlevél kiállítását követő 10 napon belül a Magyar Állatorvosi Kamara (a továbbiakban: Kamara) központi állatútlevél adatnyilvántartó elektronikus rendszerében rögzíteni az útlevélben szereplő, a tulajdonosra és az állatra vonatkozó adatokat, továbbá köteles 5 évig megőrizni az útlevél kiállításakor kitöltött regisztrációs adatlapot.

A kamarai nyilvántartásban szereplő, tulajdonos személyére vonatkozó személyes adatokat harmadik személy nem ismerheti meg.

  1. a Kamarai tv. 43.§ (2) bekezdése alapján az állat-egészségügyi szolgáltató feladata az ebek kötelező veszettség elleni immunizálásának elvégzése és az ebekről a veszettség elleni védekezés részletes szabályairól szóló miniszteri rendelet szerinti nyilvántartás vezetése. A nyilvántartás és az állatorvosi munkanapló tartalmazza az állattartó nevét és lakcímét is.

Az állatorvosi munkanapló a tulajdonos minden további személyes adatát csak az állattartó hozzájárulása alapján vagy más törvény felhatalmazása alapján, a törvényben meghatározott célból tartalmazhatja.

  1. a veszettség elleni védekezés részletes szabályairól szóló 164/2008. (XII. 20.) FVM rendelet 4.§ (5) bekezdése alapján az oltást végző szolgáltató állatorvos köteles:  

    1. az oltás beadását a helyszínen az oltási könyvben igazolni (az oltás időpontja, a felhasznált oltóanyag neve, gyártási száma, az oltást végző állatorvos aláírása, kamarai bélyegzőjének lenyomata);

    2. a következő adatokról nyilvántartást vezetni, és azokat 5 évig megőrizni:

  • az állattartó neve, lakhelye, az állat tartási helye,

  • a beoltott eb fajtája, ivara, színe, jegyei, születési időpontja (év, hó), egyedi azonosítója (tetoválás, chip), oltási könyvének egyedi sorszáma,

  • a veszettség elleni védőoltás időpontja,

  • a felhasznált oltóanyag neve, gyártási száma,

    1. nyilvántartásából egy adott állat immunizálásának b) pontban felsorolt adatait haladéktalanul az állat-egészségügyi hatóság rendelkezésére bocsátani, annak felhívására,

    2. az általa beoltott, embert mart állat oltottságáról a megmart embert kezelő orvost – annak kérésére – tájékoztatni.

    3. az eb veszettség elleni védőoltásának beadását követő 8 napon belül az oltás időpontját, a felhasznált oltóanyag nevét, gyártási számát, az oltást végző állatorvos nevét, kamarai bélyegzője számát az Ávt. 42/A. § (1) bekezdése szerinti országos elektronikus adatbázisban rögzíteni,

    4. a járási hivatal által térítés ellenében kibocsátott, az adott évre érvényes biztonsági jellel ellátott öntapadós címkével az oltási könyvben érvényesíteni az általa végzett oltásra vonatkozó bejegyzését;

    5. az állattartó kérelmére új oltási könyvet kiállítani az általa oltott ebről, egyidejűleg azt új, az előző, f) pontban leírt címkével érvényesíteni.

  1. a veszettség elleni védekezés részletes szabályairól szóló 164/2008. (XII. 20.) FVM rendelet 4.§ (1)-(3) bekezdése alapján az eb tartója köteles az állata állat-egészségügyi felügyeletét ellátó szolgáltató állatorvosnak bejelenteni, ha az állata

    1. a három hónapos kort elérte,

    2. elhullott vagy elkóborolt, vagy

    3. új tulajdonoshoz került.

A c) pont esetében a változást az új tartási helyen az állata állat-egészségügyi felügyeletét ellátó szolgáltató állatorvos felé az új tulajdonosnak is be kell jelentenie. A bejelentésnek tartalmaznia kell a veszettség elleni legutóbbi immunizálás helyszínét, időpontját, és az immunizálási végző állatorvos kamarai bélyegzőjének számát és nevét is. A bejelentés történhet az oltási könyv bemutatásával is.

A bejelentéssel érintett adatok igazolásának módjáról a jogszabály nem rendelkezik.

A Kamarai tv. az állatorvosi munkanapló adatainak megismerését nem teszi lehetővé a régi tulajdonos számára.

A szolgáltató állatorvos az (volt- és új tulajdonos) állattartó jelen pontban szereplő bejelentési kötelezettségnek teljesítését írásban igazolni köteles az állattartó kérésére.

  1. az állatorvos személyes adatokat kezel még – többek között – az alábbi jogszabályok alapján:

    1. a szarvasmarha-fajok egyedeinek jelöléséről, valamint Egységes Nyilvántartási és Azonosítási Rendszeréről szóló 99/2002 (X.5.) FVM rendelet szerint a tulajdonos nevét, címét, telefonszámát és a tenyészet címét,

    2. a sertések jelöléséről, valamint Egységes Nyilvántartási és Azonosítási Rendszeréről sertés szóló 83/2015. (XII.16) FM rendelet szerint a tulajdonos nevét, címét, telefonszámát és a tenyészet címét,

    3. juh- és kecskefélék egyedeinek Egységes Nyilvántartási és Azonosítási Rendszeréről szóló 182/2009. (XII. 30.) FVM rendelet szerint a tulajdonos nevét, címét, telefonszámát és a tenyészet címét,

További adatkezelési kötelezettséget írhat még elő – többek között –

  1. a baromfi Információs Rendszer létrehozásáról és működtetésének rendjéről szóló 120/2007. (X.18.) FVM rendelet,

  2. a tartási helyek, a tenyészetek és az ezekkel kapcsolatos egyes adatok országos nyilvántartási rendszeréről szóló 119/2007. (X.18.) FVM rendelet, illetve

  3. a macskák és vadászgörények tekintetében az a)-c) pontokban említett jogszabályok.

Amennyiben erre a Vállalkozást jogszabály kötelezi (a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény, továbbiakban Pmt.) a Vállalkozás jogi kötelezettség jogcímén a pénzmosás és terrorizmus-finanszírozása megelőzése és megakadályozása céljából kezeli ügyfelei, az ügyfeleit képviselő és a tényleges tulajdonosok meghatározott adatait, azaz a természetes személyek

  1. családi és utónevét,

  2. születési családi és utónevét,

  3. állampolgárságát,

  4. születési helyét, idejét,

  5. anyja születési nevét,

  6. lakcímét, ennek hiányában tartózkodási helyét,

  7. azonosító okmányának típusát és számát, valamint

  8. a bemutatott okiratok másolatát.

A személyes adatok címzettjei a Vállalkozás ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, a Vállalkozás vezetője és a Vállalkozás Pmt. alapján kijelölt munkavállalója.

A Vállalkozás feladata ellátásában közreműködő vezetője, segítő családtagja és foglalkoztatottja a Pmt. 7-11. §-ában foglalt kötelezettség teljesítése során birtokába jutott személyes adatokat kizárólag a pénzmosás és terrorizmus finanszírozása megelőzése és megakadályozása érdekében végrehajtandó feladatai céljából, az azok ellátásához szükséges mértékben ismerheti meg és kezelheti.

A személyes adatok tárolásának időtartama az üzleti kapcsolat megszűnésétől illetve az ügyleti megbízás teljesítésétől számított 8 év.

3.4. Adatkezelés egyéb esetei

Személyes adat kezelhető akkor is,

  1. ha az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek,

  2. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges, illetve

  3. azonosítást nem igénylő adatkezelés feltételeinek fennállása esetén. Amennyiben azok a célok, amelyekből a Vállalkozás a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, a Vállalkozás nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen az GDPR-nak (GDPR 11. cikk (1) bekezdés). Amennyiben a Vállalkozás bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a GDPR 15–20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt a Vállalkozás számára (GDPR 11. cikk (2) bekezdés).

3.5. A személyes adatok különleges kategóriáinak kezelése

A Vállalkozásnál faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos, kivéve ha

  1. az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha jogszabály úgy rendelkezik, hogy a tilalom nem oldható fel az érintett hozzájárulásával,

  2. az adatkezelés a Vállalkozásnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges,

  3. az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni,

  4. az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott,

  5. az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez illetve védelméhez szükséges (GDPR 9. cikk)

4. AZ ÉRINTETTEK JOGAI ÉS ÉRVÉNYESÍTÉSÜK

A Vállalkozás az érintett kérelmére

  1. tájékoztatja az érintettet személyes adatai kezeléséről,

  2. helyesbíti személyes adatait, valamint

  3. az érintett személyes adatait – a kötelező adatkezelés kivételével – törli vagy zárolja.

4.1. Tájékoztatás

A Vállalkozás az érintett kérelmére tájékoztatást ad az érintett általa kezelt, illetve az általa – vagy adatfeldolgozó megbízása esetén a megbízott adatfeldolgozó által – feldolgozott

  1. adatairól,

  2. azok forrásáról,

  3. az adatkezelés céljáról és jogalapjáról,

  4. időtartamáról, ha pedig ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,

  5. az adatfeldolgozó nevéről, címéről és

  6. az adatkezeléssel összefüggő tevékenységéről,

  7. az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá

  8. az érintett személyes adatainak továbbítása esetén az adattovábbítás jogalapjáról és címzettjéről.

A Vállalkozás az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza

  1. az érintett személyes adatok körét,

  2. az adatvédelmi incidenssel érintettek körét és számát,

  3. az adatvédelmi incidens időpontját,

  4. körülményeit,

  5. hatásait és

  6. az elhárítására megtett intézkedéseket, valamint

  7. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. (29 sz. melléklet)

A Vállalkozás az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza

  1. az általa kezelt személyes adatok továbbításának időpontját,

  2. az adattovábbítás jogalapját és címzettjét,

  3. a továbbított személyes adatok körének meghatározását, valamint

  4. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. (26. sz. melléklet)

A tájékoztatási kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozza. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg.

A Vállalkozás a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban köteles megadni a tájékoztatást. Ez a tájékoztatás ingyenes, amennyiben a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a Vállalkozáshoz még nem nyújtott be. Egyéb esetekben a Vállalkozás költségtérítést állapíthat meg, melynek mértékét a felek között létrejött szerződés is rögzítheti. A Vállalkozás a már megfizetett költségtérítést visszatéríti, amennyiben az adatokat jogellenesen kezelte vagy a tájékoztatás kérése helyesbítéshez vezetett.

A Vállalkozás a tájékoztatást csak jogszabályban foglalt esetekben tagadhatja meg, ebben az esetben írásban közli az érintettel, hogy a felvilágosítás megtagadására a vonatkozó törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Vállalkozás tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről is.

Az elutasított kérelmekről a Vállalkozás a Hatóságot évente a tárgyévet követő év január 31-éig értesíti, illetve az elutasított kérelmekről nyilvántartást vezet (25. sz. melléklet).

4.2. Rendelkezésre bocsátandó információk, amennyiben a személyes adatokat az érintettől gyűjti a Vállalkozás

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, a Vállalkozás a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

  1. a Vállalkozás adatai és elérhetősége (név, e-mail és postai elérhetőség, telefonszám, holnap címe),

  2. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,

  3. az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek), a Vállalkozás vagy harmadik fél jogos érdekei,

  4. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen,

  5. adatkezelésre és adatfeldolgozásra jogosult személy,

  6. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat,

  7. az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

    • a személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait,

    • az érintett azon jogát, hogy kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

    • az érintett adathordozhatósági jogát,

    • jogszabály által meghatározott esetekben a hozzájárulás bármely időpontban való visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét (5. sz. melléklet).

    • a felügyeleti hatósághoz címzett panasz benyújtásának jogát,

    • azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása,

    • az automatizált döntéshozatal tényét, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír (GDPR 13. cikk (1)-(2) bekezdés).

Amennyiben a Vállalkozás a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatni kell az érintettet erről az eltérő célról és a jelen pontban említett minden releváns kiegészítő információról. Nem kell az érintettet tájékoztatni, ha és amilyen mértékben az érintett már rendelkezik az információkkal (GDPR 13. cikk (3)-(4) bekezdés).

4.3. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezte meg a Vállalkozás

Amennyiben a Vállalkozás a személyes adatokat nem az érintettől szerzi meg, abban az esetben az érintett rendelkezésére bocsátja a következő információkat:

  1. a Vállalkozás mint adatkezelő neve és elérhetőségei,

  2. az adatvédelmi tisztviselő elérhetősége, ha van ilyen,

  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,

  4. az érintett személyes adatok kategóriái,

  5. a személyes adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen),

  6. az adatok továbbításának tényét, címzettjeit,

  7. az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

  • a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,

  • abban az esetben, ha az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek), a Vállalkozás vagy harmadik fél jogos érdekei,

  • az érintett azon jogát, hogy kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen,

  • az érintett adathordozhatósághoz való jogát,

  • jogszabály által meghatározott esetekben a hozzájárulás bármely időpontban való visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,

  • felügyeleti hatósághoz címzett panasz benyújtásának jogát,

  • a személyes adatok forrását és adott esetben azt, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e, és

  • az automatizált döntéshozatal tényét (ideértve a profilalkotást is), valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír (GDPR 14. cikk (1)-(2) bekezdés)

A Vállalkozás jelen szakaszban meghatározott tájékoztatást az alábbiak szerint adja meg:

  1. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb 25 napon belül,

  2. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával, vagy

  3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor (GDPR 14. cikk (3) bekezdés).

Amennyiben a Vállalkozás a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatni kell az érintettet erről az eltérő célról és a jelen pontban említett minden releváns kiegészítő információról. (GDPR 14. cikk (4) bekezdés).

Nem kell az érintettet tájékoztatni, ha

  1. az érintett már rendelkezik az információkkal,

  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne,

  3. az adat megszerzését vagy közlését kifejezetten előírja olyan jogszabály, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik, vagy

  4. a személyes adatoknak valamely jogszabályban előírt szakmai titoktartási kötelezettség alapján (ideértve a jogszabályon alapuló titoktartási kötelezettséget is), bizalmasnak kell maradnia (GDPR 14. cikk (5) bekezdés).

Amennyiben az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely vonatkozó jogszabályon alapul, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, a Vállalkozás az alábbiakat veszi irányadónak:

  1. a személyes adatok gyűjtésének céljai és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat,

  2. a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és a Vállalkozás közötti kapcsolatokra,

  3. a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó

  4. azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése,

  5. megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

4.4. Az érintett hozzáférési joga

Az érintett jogosult arra, hogy a Vállalkozástól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  1. az adatkezelés céljai,

  2. az érintett személyes adatok kategóriái,

  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a Vállalkozás közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket illetve a nemzetközi szervezeteket,

  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,

  5. az érintett azon joga, hogy kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen személyes adatok kezelése ellen,

  6. felügyeleti hatósághoz címzett panasz benyújtásának jogáról,

  7. ha az adatokat nem az érintettől gyűjtötte a Vállalkozás, a forrásukra vonatkozó minden elérhető információ,

  8. az automatizált döntéshozatal tényét (ideértve a profilalkotást is), valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.

Ha a személyes adatokat a Vállalkozás harmadik országba vagy nemzetközi szervezet részére továbbítja, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan az GDPR 46. cikke szerinti megfelelő garanciákról.

A Vállalkozás az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Vállalkozás az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információt széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait (GDPR 15. cikk)

4.5. Adathelyesbítés és törlés

Ha a személyes adat a valóságnak nem felel meg és a valóságnak megfelelő személyes adat a Vállalkozás rendelkezésére áll, a személyes adatot a Vállalkozás helyesbíti.

Az érintett jogosult arra, hogy kérésére a Vállalkozás indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (GDPR 16. cikk).

Az érintett jogosult arra, hogy kérésére a Vállalkozás indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Vállalkozás pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,

  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását és az adatkezelésnek nincs más jogalapja,

  3. az érintett jogszabály alapján gyakorolja a tiltakozáshoz való jogát és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,

  4. a személyes adatokat a Vállalkozás jogellenesen kezelte,

  5. a személyes adatokat a Vállalkozásra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,

  6. a személyes adatok gyűjtésére az GDPR 8. cikk (1) bekezdésében foglalt, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (GDPR 17. cikk (1) bekezdés).

A Vállalkozás – az érintett kérelmétől függetlenül – törli a személyes adatot, ha

  1. kezelése jogellenes,

  2. az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki,

  3. az adatkezelés célja megszűnt vagy az adatok tárolásának törvényben meghatározott határideje lejárt (kivéve azokat a személyes adatokat, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni),

  4. azt a bíróság vagy a Hatóság elrendelte.

Amennyiben a Vállalkozás nyilvánosságra hozta a személyes adatot és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését (GDPR 17. cikk (2) bekezdés).

Nem kell törölni az adatot, ha az adatkezelés szükséges

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlásához,

  2. a személyes adatok kezelését előíró, a Vállalkozásra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából,

  3. jogi igények előterjesztéséhez, érvényesítéséhez illetve védelméhez (GDPR 17. cikk (3) bekezdés).

4.6. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére a Vállalkozás korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Vállalkozás ellenőrizze a személyes adatok pontosságát,

  2. az adatkezelés jogellenes és az érintett ellenzi az adatok törlését és ehelyett kéri azok felhasználásának korlátozását,

  3. a Vállalkozásnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy

  4. az érintett az GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Vállalkozás jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Amennyiben az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy jogszabályban foglalt fontos közérdekéből lehet kezelni.

A Vállalkozás az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja (GDPR 18. cikk (1)-(3) bekezdés).

A Vállalkozás törlés helyett zárolja a személyes adatot – az érintett kérésén túlmenően – ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

A Vállalkozás megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

Az adattörlés azt jelenti, hogy az adat felismerhetetlenné válik oly módon, hogy a helyreállítása többé nem lehetséges.

4.7. Értesítési kötelezettség a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódóan

A Vállalkozás a személyes adatok helyesbítésről, zárolásról, megjelölésről és törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti (GDPR 19. cikk).

Ha a Vállalkozás az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

Az érintettek jogait törvény korlátozhatja

  • az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá

  • állami vagy önkormányzati gazdasági vagy pénzügyi érdekből,

  • az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint

  • a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.

4.8. Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa a Vállalkozás rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra is, hogy ezeket, az általa a Vállalkozás rendelkezésére bocsátott személyes adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Vállalkozás, akkor ha:

  1. az adatkezelés jogalapja hozzájárulás (GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja) vagy

  2. szerződés teljesítése (GDPR 6. cikk (1) bekezdésének b) pontja)

  3. az adatkezelés automatizált módon történik (az adathordozási jog papíralapú aktákra nem terjed ki (GDPR 20. cikk (1) bekezdés).

A Vállalkozás tájékoztatja az érintetteket az adathordozhatósághoz való jog meglétéről. Amennyiben a Vállalkozás az érintett személyes adatait közvetlenül az érintettől gyűjti be, ez a tájékoztatás a személyes adatok megszerzésének időpontjában történik. Ha nem az érintettől közvetlenül szerzi be a Vállalkozás az adatokat, akkor az információt a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül, az érintettel való első kapcsolatfelvétel alkalmával vagy harmadik személyekkel való közléskor adja meg.

Az érintett olyan adatokkal kapcsolatban élhet adathordozási jogával, amelyek

  1. az érintettre vonatkoznak (azaz anonim adat nem lehet) és amelyet az érintett bocsátott a Vállalkozás rendelkezésére, illetve

  2. ezen joggyakorlás nem érintheti hátrányosan mások jogait és szabadságát,

  3. rendelkezésre bocsátandónak kell tekintetni olyan személyes adatokat is, amelyeket a felhasználói tevékenységgel összefüggésben figyeltek meg, ám nem terjed ki azokra az adatokra, amelyeket a Vállalkozás hozott létre.

A kért információk megadásakor a Vállalkozás elkülöníti az adathordozhatósághoz való jogot más jogokról. A Vállalkozásnak garantálnia kell, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonságos, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.

A Vállalkozás felel minden olyan biztonsági intézkedés meghozataláért, amely szükséges nemcsak annak garantáláshoz, hogy a személyes adatokat biztonságosan továbbítsák a megfelelő címzettnek (az információ elejétől a végéig történő rejtjelezésével vagy adatkódolás használatával, erős hitelesítési intézkedésekkel), hanem hogy a rendszerekben fennmaradó személyes adatokat is védjék a továbbiakban, valamint átlátható eljárásokat alakítsanak ki az esetleges adatsértések kezelésére.

Az érintett jogosult arra, hogy – amennyiben ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását (GDPR 20. cikk (3) bekezdés). Az adathordozhatóság nem jár automatikusan az adatnak a Vállalkozás rendszeréből kitörlésével és nem érinti a továbbított adatra alkalmazandó eredeti megőrzési időt sem.

Amennyiben az érintett azt állapítja meg, hogy az adathordozhatósághoz való jog értelmében lekért személyes adat nem teljes mértékben felel meg a kérelmének, bármely további, személyes adat iránti, a hozzáférési jog szerinti kérelemnek teljes körűen eleget kell tennie a Vállalkozásnak.

Ha munkavállalói adatokról van szó, az adathordozhatósághoz való jog általában csak akkor alkalmazható, ha az adatkezelésre olyan szerződés alapján kerül sor, amelynek az érintett a szerződő fele.

A Vállalkozás megtagadja a kérés teljesítését, amennyiben az adathordozhatóságot jogszabály korlátozza, illetve annak az érintett részéről gyakorlása hátrányosan érintheti mások jogait és szabadságait. Az elutasításról az érintettet a kérelem beérkezésétől számított egy hónapon belül értesíti a Vállalkozás. Amennyiben a Vállalkozásnak megalapozott kétségei vannak a kérelmező kilétével kapcsolatban, a személyazonosság megállapítása érdekében kiegészítő információkat kérhet.

A Vállalkozás nem kérhet ellenszolgáltatást a személyes adatok rendelkezésre bocsátásáért kivéve akkor, ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó.

A Vállalkozás nem felelős az érintett vagy a személyes adatot fogadó más Vállalkozás általi adatkezelésért.

Amennyiben a Vállalkozást kéri fel az érintett – adathordozhatósági joga alapján – adatok befogadására, a Vállalkozás jogosult eldönteni, hogy azt befogadja-e vagy sem.

4.9. Tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken (GDPR 6. cikk (1) bekezdés f) pontján) alapuló kezelése ellen. Ebben az esetben a Vállalkozás a személyes adatokat nem kezelheti tovább, kivéve ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. (GDPR 21. cikk (1) bekezdés).

Amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatai a továbbiakban e célból nem kezelhetők (GDPR 21. cikk (2)-(3) bekezdés).

A Vállalkozásnak az érintett tiltakozáshoz való jogára legkésőbb az érintettel történő első kapcsolatfelvétel során kifejezetten fel kell hívnia a figyelmét és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjelenítenie (GDPR 21. cikk (4) bekezdés).

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja (GDPR 21. cikk (5) bekezdés).

A Vállalkozás a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz és a döntéséről a kérelmezőt írásban tájékoztatja.

Amennyiben a Vállalkozás megállapítja, az érintett tiltakozása megalapozott, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

A Vállalkozás megtagadja a kérés teljesítését amennyiben bizonyítja, az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha az érintett a döntéssel nem ért egyet, illetve ha a Vállalkozás számára rendelkezésre álló 15 napos határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – bírósághoz fordulhat.

4.10. Automatizált döntéshozatal egyedi ügyekben, profilozás

Automatizált döntéshozatal során technikai eszközökkel automatizált döntéshozatal történhet úgy, hogy

  1. az érintett személy szolgáltatja az adatokat,

  2. az érintett megfigyelése révén, illetve

  3. lehetnek származtatott vagy kikövetkeztethető adatok.

A profilalkotás személyes adatokon végzett olyan automatizált adatfeldolgozás, melynek célja az egyén személyes jellemzőinek értékelése. Olyan döntések is tartalmazhatnak profilozást, amelyek nem kizárólag automatizált döntések.

A profilozás lehet

  1. általános profilalkotás,

  2. profilalkotáson alapuló döntéshozatal vagy

  3. kizárólag automatizált döntéshozatal.

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (GDPR 22. cikk (1) bekezdés).

A Vállalkozás eltekint az érintett ezen jogának érvényesítésétől,

  1. ha a döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges,

  2. ha a döntés meghozatalát a Vállalkozásra alkalmazandó olyan jogszabály teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, vagy

  3. ha a döntés az érintett kifejezett hozzájárulásán alapul (GDPR 22. cikk (2) bekezdés).

A Vállalkozás az a) és c) pontokban említett esetekben köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy a Vállalkozás részéről emberi beavatkozást kérjen, álláspontját kifejezze és a döntéssel szemben kifogást nyújtson be (GDPR 22. cikk (3) bekezdés).

A személyes adatok automatizált feldolgozása során a Vállalkozás biztosítja

  1. a jogosulatlan adatbevitel megakadályozását,

  2. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását,

  3. annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják,

  4. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe,

  5. a telepített rendszerek üzemzavar esetén helyreállíthatóságát és

  6. azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére és több lehetséges adatkezelési megoldás közül a Vállalkozásnak azt kell választania, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

Kizárólag automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésén alapuló döntés meghozatalára csak akkor kerülhet sor, ha a döntést az érintett kezdeményezésére valamely szerződés megkötése vagy teljesítése során hozta a Vállalkozás. Az automatizált adatfeldolgozással hozott döntés esetén az érintettet – kérelmére – tájékoztatni kell az alkalmazott módszerről és annak lényegéről, valamint az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani.

A Vállalkozás adatvédelmi hatásvizsgálatot végez automatizált adatkezelésen alapuló döntések esetében, mely során igazolni kell, hogy a szerződés teljesítése érdekében elengedhetetlenül szükséges a profilozás és az érintett jogait kevésbé korlátozó eszközzel a kívánt célt nem lehet elérni.

Különleges adatot profilalkotás során felhasználni csak az érintett kifejezett hozzájárulásával lehet (GDPR 22. cikk (4) bekezdés).

A Vállalkozásnak kötelessége tartózkodni a tisztességtelen profilalkotástól, valamint gyerekek tekintetében nem alkalmaz ilyen eljárást.

A Vállalkozás a profilalkotás folyamán kiemelt figyelmet fordít az adatpontosságra illetve naprakészségére, mivel az adatok pontatlansága helytelen előrejelzéshez vagy következtetéshez vezethet, amely súlyos következményekkel járhat az érintettre nézve.

5. AZ ADATKEZELÉS KORLÁTOZÁSA

Amennyiben törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján a Vállalkozás személyes adatot akként vesz át, hogy az adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat

  1. kezelésének lehetséges célját,

  2. kezelésének lehetséges időtartamát,

  3. továbbításának lehetséges címzettjeit,

  4. érintettje e törvényben biztosított jogainak korlátozását, vagy

  5. kezelésének egyéb korlátozását

(a továbbiakban: együtt: adatkezelési korlátozás), a Vállalkozás a személyes adatot az adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési korlátozásnak megfelelően biztosítja.

A Vállalkozás az adatkezelési korlátozásra tekintet nélkül is kezelheti a személyes adatot és biztosíthatja az érintett jogait, ha ahhoz az adattovábbító adatkezelő előzetes hozzájárulását adta.

Törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő a személyes adat továbbításával egyidejűleg a Vállalkozást tájékoztatnia kell az alkalmazandó adatkezelési korlátozásról.

A hozzájárulást az adatkezelő akkor adhatja meg, ha az nem ütközik a Magyarország joghatósága alatt álló jogalanyok tekintetében alkalmazandó jogi rendelkezésbe.

Az adatkezelőt – kérelmére – a Vállalkozás tájékoztatja az átvett személyes adatok felhasználásáról.

6. AZ ÉRINTETT ELŐZETES TÁJÉKOZTATÁSÁNAK KÖVETELMÉNYE

Az érintett az előzetes, megfelelő tájékoztatás alapján képes felismerni azt, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára, valamint ezen keresztül ismerheti meg a személyes adataira vonatkozó adatkezelést, illetve ezáltal érvényesülhet az információs önrendelkezési joga. Megfelelő tájékoztatás hiányában a Vállalkozás oldalán olyan „információs erőfölény” alakulhat ki, amelynek felhasználásával az érintett jogai, érdekei sérülhetnek.

6.1. Az előzetes tájékoztatás követelményei

Az előzetes tájékoztatás követelményei:

  1. tájékoztatás módja egyszerű, szakzsargon használata nélküli legyen,

  2. átlagfelhasználó számára érthető legyen (azaz nem szorítkozhat a jogszabály szolgai ismétlése),

  3. igazodjon az érintettek köréhez,

  4. közvetlenül az egyénhez kell eljuttatni, az nem elég, ha elérhető valahol, rendelkezésre is kell állnia,

  5. jól láthatónak kell lennie (betűméret, betűtípus) és jól olvashatónak (megfelelően strukturáltnak),

  6. minden részletre ki kell terjednie, valamint

  7. ismertesse a Vállalkozás egyedi adatkezelését.

Az előzetes tájékoztatás tartalmi követelményei:

  1. az adatkezelő, azaz a Vállalkozás megnevezése (név, postai és elektronikus levelezési cím, honlap cím, telefonszám), ha több adatkezelő van, akkor ezeket az adatokat mindegyik adatkezelő tekintetében meg kell adni,

  2. az adatkezelés céljának megnevezése,

  3. az adatkezelés jogalapjának megnevezése, azaz az hozzájárulás, szerződés teljesítése, jogi kötelezettség teljesítése, jogos érdek vagy esetleg az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme (GDPR 6. cikk (1) bekezdés).

  4. fel kell sorolni a kezelt adatok körét (gyűjtőfogalom nem használható) és azok forrását,

  5. meg kell határozni az adatkezelés időtartamát, ha pedig az jogszabályon alapul, a jogszabályhelyet is meg kell nevezni.

  6. adatfeldolgozó igénybevételéről is tájékoztatást kell adni névvel, elérhetőséggel és tevékenységmegnevezéssel valamint annak megnevezésével, milyen személyes adatokhoz milyen időtartamra fér hozzá és milyen adatkezelési műveletet hajt végre. Az adatfeldolgozó igénybevételéhez nem kell az érintett engedélye, ám szükséges a tájékoztatása. Amennyiben a cég nem vesz igénybe adatfeldolgozót, úgy ennek tényét is rögzíti a tájékoztatóban.

  7. az adatok megismerésére jogosult személyek körének megnevezése, illetve ők milyen adatkezelési műveletet hajthatnak végre a személyes adatokkal,

  8. adatbiztonsági tájékoztatás, azaz milyen adatbiztonsági intézkedésekkel gondoskodik a cég a személyes adatok védelméről,

  9. más adatkezelési körülményektől elkülönítetten kell az érintetteket tájékoztatni a jogos érdeken alapuló adatkezelésről (GDPR 6. cikk (1) bekezdés f) pont). Az ilyen esetekben érdekmérlegelési tesztet kell végezni, melynek eredményéről oly módon kell tájékoztatni az érintetteket, hogy annak alapján azok egyértelműen meg tudják állapítani, mely jogos érdek alapján miért is tekinthető korlátozásnak az, ha a Vállalkozás a beleegyezésük nélkül kezel személyes adatot.

  10. az érintettek jogai és jogérvényesítési lehetőségei, azaz az érintett milyen lehetőségen keresztül tudja a kérelmét benyújtani, illetve a cég mennyi időn belül tesz eleget a kérelmének. A Vállalkozás minden esetben kéri az érintettet, hogy valamely eljárás kezdeményezése előtt célszerű a panaszát a Vállalkozásnak megküldenie a probléma minél gyorsabb megoldása érdekében. Az érintettnek fel kell hívni a figyelmét arra is, hogy a Hatóság eljárását kezdeményezheti (a Hatóság hivatalos elektronikus levelezési címével, postai elérhetőségével, telefonszámával, illetve honlapjának címével), valamint tájékoztatni kell őt a bírósághoz fordulás lehetőségéről és arról, hogy dönthet úgy, hogy a pert a lakhelye vagy tartózkodási helye szerinti törvényszék előtt indítja meg. Külföldi állampolgár érintett esetében tájékoztatni kell őt arról, hogy a szokásos tartózkodási helye szerinti hatóságnál is benyújthatja a panaszát.

A tájékoztatás önmagában nem jognyilatkozat – a megfelelő tájékoztatás az alapja a beleegyezésnek (1. sz. melléklet).

A Vállalkozásnak biztosítania kell, hogy az érintett az információs társadalommal összefüggő szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a cég mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is. (Eker tv. 13/A. §)

A hozzájárulás kizárólag akkor tekinthető jogszerűnek, ha mindhárom tartalmi követelményt (önkéntesség, határozottság és megfelelő tájékozottság) teljesíti és nem tekinthető megadottnak a hozzájárulás olyan adatkezelési műveletekre, amelyekről az érintetett előzetesen nem tájékoztatták.

6.2. Szerződés teljesítése, mint jogalap és az előzetes tájékoztatás

Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell az adatkezelés jogcímét (szerződés teljesítése) illetve azt, ha a személyes adatok adatfeldolgozó számára átadásra kerülnek. Ez a tájékoztatás a szerződésbe belefoglalt tájékoztatás formájában is megtörténhet.

Az érintett által a szerződéskötés során szolgáltatott adatok kizárólag a szerződésből eredő jogok gyakorlásához és a kötelezettségek teljesítéséhez használhatók fel, az adatokhoz való hozzáférés csak e cél érdekében engedélyezhető (3. sz. és 17. sz. melléklet).

6.3. A jogi kötelezettségen adatkezelés és az előzetes tájékoztatás

A jogi kötelezettségen alapuló adatkezelés esetén is megköveteli az érintettek tájékoztatását, mely egyrészt a pontos törvényhely megjelölését, másrészt az Infotv. 20. § (4) bekezdésében felsoroltak ismertetését jelenti. E szerint amennyiben az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

  1. az adatgyűjtés ténye,

  2. az érintettek köre,

  3. az adatgyűjtés célja,

  4. az adatkezelés időtartama,

  5. az adatok megismerésére jogosult lehetséges adatkezelők személye,

  6. az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint

  7. ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma, kivéve az Infotv. 68. § (2) bekezdésében foglalt esetet.

6.4. Jogos érdeken alapuló adatkezelés és az előzetes tájékoztatás

A jogos érdek, mint jogalap esetében az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A Vállalkozásnak az adatalanyi jogok gyakorlása, illetőleg az adatkezelés ellenőrzése érdekében közérthető és világos módon meg kell magyaráznia az érintettek részére, miért tartja úgy, hogy az adatkezeléshez fűződő jogos érdeke felülmúlja az érintettek érdekeit és jogait, illetőleg tájékoztatnia kell az érintetteket a bevezetett garanciákról és a tiltakozási lehetőségéről. Ezen jogalap esetében az érdekmérlegelési teszt elvégzése, és az erről való tájékoztatás a jogszerű adatkezelés feltétele.

7. ADATVÉDELMI AUDIT

Amennyiben a Vállalkozás azt szükségesnek tartja, a Hatósághoz fordulhat végzett vagy tervezett adatkezelési műveletek Hatóság által meghatározott és közzétett szakmai szempontok szerinti értékelése céljából (Infotv. 69.§)

A Vállalkozás tervezett adatkezelés esetén akkor kérelmezhet adatvédelmi auditot, ha az adatkezelésre vonatkozó koncepció kidolgozottsága ezt lehetővé teszi.

Az adatvédelmi audit eredményét tartalmazó értékelésben foglalt javaslatokat a Vállalkozás a továbbiakban adatkezelési tevékenysége során irányadónak tekinti.

8. ADATVAGYONLELTÁR ÉS AZ ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA

8.1. Adatvagyonleltár készítése

A Vállalkozás adatvagyon leltárt készít. Az adatvagyon leltár tartalmazza a vállalkozás által kezelt összes adatkört, adatkörönként meghatározva – többek között –

  1. az érintettek körét,

  2. az adatkezelés megnevezését és célját,

  3. a kezelt adatok körét (például név, születési időpont, lakcím, telefonszám, stb.)

  4. esetlegesen kezelt különleges adatok körét (például a szakszervezeti tagságra vonatkozó adatot vagy egészségügyi adatokat)

  5. az adatkezelés jogalapját (GDPR 6. cikk (1) bekezdés),

  6. az adatkezelés időtartamát,

  7. kik férhetnek hozzá a személyes adatokhoz a Vállalkozás szervezetén belül,

  8. kik számára kerülhet az adat továbbításra,

  9. alkalmaz-e a Vállalkozás adatfeldolgozót, ha igen

    • kit,

    • milyen célra,

    • milyen személyes adatokhoz férhet hozzá,

    • mennyi ideig tárolhatja a személyes adatokat, stb.

Amennyiben a Vállalkozás adatfeldolgozóként is működik, az adatfeldolgozási tevékenységével összefüggésben az adatvagyon leltárban – többek között – meg kell határozni az alábbiakat:

  1. mely tevékenységéhez kötötten minősül a Vállalkozás adatfeldolgozónak,

  2. az adatkezelő adatai, akinek a nevében az adatfeldolgozási tevékenységet végzi,

  3. adatfeldolgozóként milyen személyes adatokhoz fér hozzá,

  4. mennyi ideig tárolhatja a személyes adatokat.

8.2. Adatkezelési tevékenységek nyilvántartása

A Vállalkozás az elszámoltathatóság elvének megfelelően végzi az adatkezelési tevékenységek nyilvántartását annak érdekében, hogy az GDPR-nak való megfelelést igazolni tudja.

A Vállalkozás az adatkezelési tevékenységekről legalább az alábbi nyilvántartásokat vezeti:

  1. érintetti jogok érvényesítése iránti kérelmek és az arra a vállalkozás által adott válaszok nyilvántartása

  2. tájékoztatási kötelezettség megtagadási nyilvántartás

  3. hatósági megkeresések és az arra a vállalkozás által adott válaszok nyilvántartása

  4. adattovábbítási nyilvántartás

  5. adatkezelés megszüntetése iránti kérelmek nyilvántartása

  6. ügyfelek nyilvántartása

  7. marketing célú megkeresések és hozzájárulások nyilvántartása

  8. A Vállalkozás direkt marketing szolgáltatásához hozzá nem járuló személyek nyilvántartása („Robinson-lista”)

  9. munkaviszonnyal összefüggő személyes adatok kezelésének nyilvántartása

  10. A Vállalkozáshoz álláspályázatot benyújtók személyes adatainak nyilvántartása
  11. adatvédelmi incidensek nyilvántartása.

A Vállalkozás az adatkezelési tevékenységekről vezetett nyilvántartásait az alábbi (minimum) tartalommal vezeti:

  1. a Vállalkozás neve és elérhetősége, valamint – ha van ilyen – a vállalkozás képviselőjének és az adatvédelmi tisztviselőjének a neve és elérhetősége,
  2. az adatkezelés céljai,
  3. az érintettek kategóriáinak valamint a személyes adatok kategóriáinak ismertetése,
  4. olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják,
  5. a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk (amennyiben történik ilyen),
  6. amennyiben lehetséges, abban az esetben a különböző adatkategóriák törlésére előirányzott határidők,
  7. amennyiben lehetséges, abban az esetben a technikai és szervezési intézkedések általános leírása (GDPR 30. cikk).

Amennyiben a Vállalkozás adatfeldolgozóként is végez tevékenységet, abban az esetben nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek valamennyi kategóriájáról, az alábbi minimum tartalommal:

  1. az adatkezelő vagy adatkezelők és azok képviselőinek neve és elérhetőségei,
  2. az adatkezelő nevében végzett adatkezelési tevékenységek kategóriái,
  3. a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása (ha történik ilyen), illetve a garanciák leírása.

A nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is (31. sz. melléklet).

9. ADATTOVÁBBÍTÁS

9.1. Adattovábbítás a Vállalkozás szervezetén belül

A Vállalkozás szervezetén belül személyes adatok továbbítása csak a célhoz kötöttség elvének megfelelően történhet olyan adatkezelőhöz, aki hozzáférési joggal rendelkezik az adatokhoz.

9.2. Adattovábbítás harmadik személy részére

Személyes adatot továbbítani harmadik személy részére csak jogszabályban foglalt esetekben vagy az érintett hozzájárulásával lehet, amennyiben az adatkezelés feltételei és garanciái minden egyes személyes adatra nézve teljesülnek. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.

A Vállalkozás csak akkor továbbíthatja az adatot ha megvizsgálta, hogy annak jogszabályban foglalt feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei és garanciái minden egyes személyes adatra megvalósulnak-e.

Jelen pont rendelkezéseit kell alkalmazni az adatkezelések valamint nyilvántartások összekapcsolása, ideértve az ugyanazon adatkezelő adatkezeléseinek valamint nyilvántartásainak összekapcsolása esetén is.

Az érintett kérelmére a Vállalkozás tájékoztatást ad az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Az adattovábbításról adattovábbítási nyilvántartást köteles Vállalkozás vezetni (26. sz. melléklet). Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) meg kell őrizni.

Az adattovábbítási nyilvántartás az alábbi információkat tartalmazza:

  1. az adattovábbító által kezelt/gyűjtött személyes adatok továbbításának időpontját,

  2. a továbbított adatköröket,

  3. az adattovábbítás jogalapját

  4. az adattovábbítás címzettjét (név, cím, székhely),

  5. az adattovábbításért felelős nevét és telefonszámát.

9.3. Adattovábbítás külföldre vagy nemzetközi szervezet számára

Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor a GDPR rendelkezéseinek betartása mellett, ha a Vállalkozás és az adatfeldolgozó teljesíti a GDPR V. fejezetében rögzített feltételeket. Az V. fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára a GDPR-ban garantált védelem szintje ne sérüljön.

Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély (GDPR 45. cikk).

A GDPR 45. cikk (3) bekezdése szerinti határozat hiányában a Vállalkozás vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

A felügyeleti hatóság külön engedélye nélkül a Vállalkozás számára a megfelelő garanciákat az alábbiak jelenthetik:

  1. a GDPR 47. cikke szerinti kötelező erejű vállalati szabályok,

  2. a Bizottság által elfogadott általános adatvédelmi kikötések,

  3. a felügyeleti hatóság által elfogadott és jóváhagyott általános adatvédelmi kikötések,

  4. a GDPR 40. cikk szerint jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat,

  5. a GDPR 42. cikk szerint jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is,

  6. a felügyeleti hatóság engedélyével a Vállalkozás és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések (GDPR 46. cikk (2)-(3) bekezdés).

Az adattovábbítást megelőzően a Vállalkozás megvizsgálja, hogy a külföldre vagy nemzetközi szervezet számára adattovábbítás jogszabályban foglalt feltételei és garanciái fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.

A Vállalkozás a munkavállalóra vonatkozó adatot harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet.

A GDPR szerinti megfelelőségi határozat, illetve megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

  1. az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy a Vállalkozás tájékoztatta az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról,

  2. az adattovábbítás az érintett és a Vállalkozás közötti szerződés teljesítéséhez vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges,

  3. az adattovábbítás a Vállalkozás és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges,

  4. az adattovábbítás fontos közérdekből szükséges (ha azt az uniós jog vagy a Vállalkozásra vonatkozó tagállami jog elismeri),

  5. az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges.

  6. az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására,

  7. a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek (GDPR 49. cikk (1) bekezdés).

Ha az adattovábbítás nem alapulhat a GDPR 45. vagy a 46. cikk rendelkezésein (beleértve a kötelező erejű vállalati szabályok rendelkezéseit is), és az egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó (lásd a)-g) pontok), harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha

  1. az adattovábbítás nem ismétlődő,

  2. csak korlátozott számú érintettre vonatkozik,

  3. a Vállalkozás olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és

  4. a Vállalkozás az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.

A Vállalkozásnak tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról.

A Vállalkozásnak tájékoztatni kell az érintettet az adattovábbításról, valamint a Vállalkozás kényszerítő erejű jogos érdekéről is.

Az adattovábbításról adattovábbítási nyilvántartást köteles a Vállalkozás vezetni (26. sz. melléklet). Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) meg kell őrizni.

9.4. Az Uniós jog által nem engedélyezett továbbítás és közlés

Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely a Vállalkozás számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul és az adattovábbítás a GDPR V. fejezet szerinti egyéb módozatai nem sérülnek (GDPR 48. cikk).

10. ADATKEZELÉSSEL ÉS ADATFELDOLGOZÁSSAL KAPCSOLATOS FELELŐSSÉGEK

A Vállalkozás köteles az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt megtéríteni. A Vállalkozás felel az érintettel szemben az általa megbízott adatfeldolgozó által okozott kárért is.

A Vállalkozásban az utasítást kiadó vezető felel az adatgazdának és az adatfeldolgozónak az adatkezelési műveletek végrehajtásával kapcsolatban kiadott utasítások jogszerűségéért.

A Vállalkozás nem felelős azért a kárért, amelyet az adatkezelés körén kívül eső elháríthatatlan ok idézett elő, illetve nem téríti meg a keletkezett kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az adatgazda a vele kötött megbízási szerződésben, illetve a vonatkozó munkajogi szabályok szerint köteles helytállni az általa jogellenesen okozott károkért.

Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen Szabályzat, illetve az adatgazda határozza meg a vonatkozó jogszabályok figyelembevételével.

Az adatfeldolgozó tevékenységi körén belül, illetve a Vállalkozás által írásban meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért valamint nyilvánosságra hozataláért.

Az adatfeldolgozóval kötött szerződésben a Vállalkozás rögzíti, hogy az adatfeldolgozó szerződésben foglalt feladatának ellátása során más adatfeldolgozót igénybe vehet-e, illetve azt, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának alapjául szolgálhat.

A Vállalkozás szerződéses partnereivel kötött szerződésekbe adatvédelmi klauzulát foglal.

11. AZ ADATKEZELÉS BIZTONSÁGA ÉS AZ ADATVÉDELMI INCIDENS

11.1. Az adatbiztonság követelménye

A Vállalkozás köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

A Vállalkozás – illetve adatfeldolgozó igénybevétele esetén az adatfeldolgozó – tevékenységi körében köteles gondoskodni az adatok biztonságáról. Az adatokat a Vállalkozásnak védenie kell

  • a jogosulatlan hozzáférés,

  • megváltoztatás,

  • továbbítás,

  • nyilvánosságra hozatal,

  • törlés vagy megsemmisítés,

  • valamint a véletlen megsemmisülés és sérülés, továbbá

  • az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

A Vállalkozás adatbiztonsággal kapcsolatos főbb előírásait jelen szabályzat 20. sz. melléklete tartalmazza.

11.2. Személyes adatok védelme

A Vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  1. a személyes adatok álnevesítését és titkosítását,

  2. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét,

  3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani,

  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési kérdések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

A Vállalkozás és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy a Vállalkozás vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket. (GDPR 32. cikk)

A Vállalkozás a személyes adatokat bizalmas adatként minősíti és kezeli, az adatokhoz hozzáférést munkakörhöz és jogosultsághoz köti, valamint a munkavállalók ezen adatok tekintetében titoktartási nyilatkozatot kötelesek aláírni (6. sz. melléklet).

A Vállalkozás az elektronikus adatfeldolgozást és nyilvántartást olyan számítógépes program segítségével végzi, amely garantálja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között és csak azok férjenek hozzá (jelszóval, a belépés és a műveletek naplózásával, stb.), akiknek a feladataik (munkaköri kötelezettségük) ellátása során erre szükségük van.

A munkavégzés során, illetve a feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyes adatokat tartalmazó iratokat az ügyintéző távollétében minden esetben biztonságosan elzárva kell tartani.

A Vállalkozásnak biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét (20. sz. melléklet).

A személyes adatok automatizált feldolgozása során a Vállalkozás intézkedésekkel biztosítja

  1. a jogosulatlan adatbevitel megakadályozását,

  2. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását,

  3. annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják,

  4. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe,

  5. a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

  6. azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

11.3. Az adatvédelmi incidens bejelentése

Az a munkavállaló, aki a Vállalkozás által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst észlel, különösen

  1. személyes adathoz jogosulatlan hozzáférést,

  2. jogosulatlan megváltoztatást,

  3. jogosulatlan továbbítást,

  4. jogosulatlan nyilvánosságra hozatalt,

  5. jogosulatlan törlést vagy megsemmisítést, valamint

  6. véletlen megsemmisülést és sérülést észlel,

azt köteles a közvetlen vezetője útján haladéktalanul jelenteni a Vállalkozás vezetőjének megadva nevét, telefonszámát és e-mail címét, a szervezeti egységének megnevezését, az incidens tárgyát és rövid leírását, valamint azt, hogy az incidens informatikai rendszert érint-e. A bejelentő ezen információkon kívül minden további olyan információkat is megadhat, amelyeket az incidens beazonosítása, megvizsgálása és a kárelhárítás szempontjából lényegesnek ítél. A Vállalkozás az adatvédelmi incidens bejelentésére formanyomtatványt alkalmaz (21. sz. melléklet).

Amennyiben az adatvédelmi incidens érinti az informatikai rendszert, úgy a Vállalkozás vezetőjén kívül az informatikai rendszerért felelős vezetőt is tájékoztatni kell

11.4. A bejelentés megvizsgálása és az incidens kezelése

A Vállalkozás vezetője, illetve az általa a vizsgálattal megbízott személy a bejelentést megvizsgálja. A vizsgálat során a bejelentőtől az incidenssel kapcsolatban adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.

Az adatszolgáltatásnak tartalmaznia kell

  1. az incidens bekövetkezésének időpontját és helyét,

  2. az incidens leírását, körülményeit és hatásait,

  3. az incidens során kompromittálódott adatok körét és számosságát,

  4. a kompromittálódott adatokkal érintett személyek körét,

  5. az incidens elhárítása érdekében tett intézkedések leírását,

  6. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását (22. sz. melléklet).

Amennyiben az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, annak végrehajtása a Vállalkozás vezetőjének a felelőssége. A vizsgálat elvégzésével a Vállalkozás vezetője felelős személyt bízhat meg.

Az adatszolgáltatás alapján a Vállalkozás vezetője – illetve az általa a vizsgálattal megbízott személy – javaslatot tesz az adatvédelmi incidens elhárításához szükséges intézkedésekre az adatok kezelését vagy feldolgozását végző szakterületnek illetve személyeknek.

A javaslat alapján a megvalósítandó további intézkedésekről a Vállalkozás vezetője dönt, szükség esetén az illetékes adatkezelő vagy feldolgozó szakterület vezetőjének bevonásával.

Adatvédelmi incidens esetén a Vállalkozás késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is (GDPR 33. cikk (1) bekezdés).

Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.  

A Vállalkozás a bejelentésben legalább az alábbi információkat közli a hatósággal:

  1. az adatvédelmi incidens jellege, beleértve – ha lehetséges – az érintettek kategóriái és hozzávetőleges száma, valamint az incidenssel érintett adatok kategóriái és hozzávetőleges száma,

  2. a további tájékoztatást nyújtó kapcsolattartó neve és elérhetősége,

  3. az adatvédelmi incidensből eredő valószínűsíthető következmények.

  4. a Vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket (GDRP 33. cikk (3 bekezdés).

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők (GDRP 33. cikk (4 bekezdés).

11.5. Az érintettek tájékoztatása

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Vállalkozás indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét és közölni kell az érintettel legalább az alábbi információkat:

  1. a további tájékoztatást nyújtó kapcsolattartó neve és elérhetősége,

  2. az adatvédelmi incidensből eredő, valószínűsíthető következmények,

  3. a Vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A Vállalkozásnak nem kell tájékoztatatnia az érintettet, ha a következő feltételek bármelyike teljesül:

  1. a Vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,

  2. a Vállalkozás az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg,

  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben a Vállalkozás az érintetteket nyilvánosan közzétett információk útján tájékoztatja vagy olyan hasonló intézkedést hoz, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását (GDPR 34. cikk).

11.6. Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidens(ek)ről a Vállalkozás adatvédelmi incidens nyilvántartást vezet (29. sz. melléklet).

A nyilvántartásban az alábbi információkat kell rögzíteni:

  1. az érintett személyes adatok körét,

  2. az adatvédelmi incidenssel érintettek körét és számát,

  3. az adatvédelmi incidens időpontját,

  4. az adatvédelmi incidens körülményeit, hatásait,

  5. az adatvédelmi incidens által bekövetkezendő kár elhárítására megtett intézkedéseket,

  6. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó

  1. személyes adatokat érintő incidens esetében 5 évig,

  2. különleges adatokat érintő incidens esetében 20 évig

köteles a Vállalkozás megőrizni.

A nyilvántartásban adatvédelmi incidensben érintett személy adata nem szerepelhet.

KÜLÖNÖS RÉSZ

12. A VÁLLALKOZÁS ÁLTAL KEZELT ADATOK

Személyes adatok a Vállalkozás szervezeti keretein belül a következő csoportokban kezelhetők:

  1. ügyféladatok, beleértve a Vállalkozás szolgáltatásait igénybevevők ügyfél-kapcsolati adatait is (ügyfélnyilvántartás),

  2. a Vállalkozással egyéb szerződéses kapcsolatban álló természetes személyek adatai (partner-nyilvántartás),

  3. szakmai feladatok ellátásával kapcsolatos nyilvántartások,

  4. ügyfélszolgálat információszolgáltatással, bejelentésekkel, reklamációk fogadásával és kezelésével kapcsolatos adatkezelés,

  5. a Vállalkozás munkavállalóinak adatai, beleértve a toborzással kapcsolatban keletkező, nem munkavállalókhoz kapcsolódó adatokat, valamint az érintett munkavállaló kérelmére indult eljárásban (pl. adókedvezmény, családi pótlék, stb.) a hozzátartozók adatait is,

  6. a Vállalkozás direkt marketing és piackutatási tevékenységével kapcsolatos adatok, adatnyilvántartások és tilalmi nyilvántartások adatai,

  7. hatósági adatszolgáltatások adatai,

  8. tájékoztatási kötelezettség megtagadási nyilvántartás adatai (25. sz. melléklet)

  9. adattovábbítási nyilvántartás adatai (26. sz. melléklet),

  10. adatvédelmi incidens nyilvántartás adatai (29. sz. melléklet),

  11. érdekmérlegelési tesztek nyilvántartásának adatai (27. sz. melléklet)

  12. egyéb, a GDRP előírásai alapján vezetett nyilvántartások adatai.

12.1. Ügyféladatok kezelése

12.1.1. Ügyfélnyilvántartás

A Vállalkozás a természetes személy ügyfelek szerződésben szereplő adatait papír- és elektronikus formában is nyilvántartja (ügyfélnyilvántartás).

Az ügyfélkapcsolat során az alábbi követelményeknek kell megfelelnie az adatkezelésnek:

  1. az adatokat közvetlenül az érintettektől veszik fel,

  2. az adatkezelés célja az érintettek számára ismert,

  3. a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés időpontja) előre meghatározott,

  4. az adatokat csak az előre meghatározott céllal összefüggésben használják fel,

  5. az adatok nem kerülnek ki a Vállalkozás kezeléséből,

  6. az érintetteket minderről megfelelően tájékoztatják.

Az adatok nyilvántartásának jogalapja a Vállalkozás szerződéseinek előkészítése, megkötése, teljesítése, garanciális jogok és kötelezettségek érvényesítése, a szerződések megszűnése, szerződéses kedvezmények biztosítása (GDPR 6. cikk (1) bekezdés b) pont).

A Vállalkozás által nyújtott szolgáltatások igénybevételére irányuló szerződésben a szolgáltatásra vonatkozó jogszabályokban kötelezően meghatározott adatokat tüntetheti csak fel.

A szerződésben érintett természetes személyazonosító adatain kívül kizárólag olyan adatok szerepelhetnek, amelyek a szerződés teljesítése és az ügyfél tartozásával kapcsolatos követelések érvényesítéséhez vagy az üzleti kockázat felméréséhez elengedhetetlenül szükségesek, az ezt meghaladó adatkezelésre csak az érintett kifejezett hozzájárulásával kerülhet sor. A hozzájáruló nyilatkozat beszerzése előtt az érintettet a 6. pontban foglaltaknak megfelelően tájékoztatni kell, a hozzájárulás megtagadása miatt az érintettet semmiféle hátrány nem érheti.

Amennyiben az érintett a szerződéshez szükséges minimum adatokat a szerződéskötés során szolgáltatni nem kívánja, a szerződéskötés megtagadható.

A személyes adatok címzettje a Vállalkozás ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, a pénzügyi, könyvelési, adózási feladatokat ellátó munkavállalók és adatfeldolgozók. A személyes adatok tárolásának időtartama a szerződés megszűnését követő 5 év.

Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell az adatkezelés jogalapját (szerződés teljesítése) illetve azt, ha a személyes adatok adatfeldolgozó számára átadásra kerülnek. Ez a tájékoztatás a szerződésbe belefoglalt tájékoztatás formájában is megtörténhet (4. sz. melléklet, 17. sz. melléklet)

A Vállalkozás a szerződéskötés feltételéül szabhatja, hogy az érintett közokirattal vagy teljes bizonyító erejű magánokirattal igazolja, hogy az általa szolgáltatott adatok a valóságnak megfelelnek. Az adatok valóságának igazolása érdekében bemutatott iratokról másolatot a Vállalkozás csak az érintett hozzájárulásával készíthet (kivéve amennyiben jogszabály másként rendelkezik), a hozzájárulás megtagadása esetén azonban a szerződéskötés nem tagadható meg.

Az érintett által a szerződéskötés során szolgáltatott adatok kizárólag a szerződésből eredő jogok gyakorlásához és a kötelezettségek teljesítéséhez használhatók fel, az adatokhoz való hozzáférés csak e cél érdekében engedélyezhető.

Amennyiben az érintett az adatkezelés időtartama alatt az adatainak változását bejelenti vagy az adatok megváltozását a Vállalkozás alkalmazottja észleli, az adatokat a változásnak megfelelően haladéktalanul módosítani kell, illetve azokat a változásnak megfelelően ki kell egészíteni. Ebben az esetben a nyilvántartásban a módosításra kerülő korábbi, illetve a módosítást, kiegészítést követő új adatokat egyaránt fel kell tüntetni úgy, hogy a nyilvántartásból egyértelműen megállapítható legyen az adatok aktív, illetve inaktív állapota.

Az adatok nyilvántarthatóak akkor is – az egyeztetés folyamán, valamint a bírósági, hatósági eljárás befejezéséig – ha az igénye érvényesítése érdekében az érintett vagy a Vállalkozás eljárást indít.

Amennyiben az adatokat jogszabály vagy jelen szabályzat alapján törölni kell, a törlést a határidő elteltével haladéktalanul meg kell kezdeni és 60 napon belül be kell fejezni. A papíralapú adattárolásban a törlést – eltérő rendelkezés hiányában – az irat selejtezése és megsemmisítése útján kell végrehajtani.

Amennyiben a szerződéses jogviszony alapján számla kibocsátására kerül sor, akkor a számlán szereplő adatok nyilvántartásának határideje tekintetében a számviteli- és adójogszabályokban meghatározott időtartam az irányadó.

A Vállalkozás által kezelt azokat a szerződésekben foglalt, az érintett hozzájárulása és nem törvényi felhatalmazás alapján kezelt személyes adatokat, – amennyiben a szerződés vagy külön hozzájáruló nyilatkozat másképp nem rendelkezik – a szerződéssel összefüggő igények elévülését követően törölni kell. A szerződéses adatok tárolása nem érinti a szerződés alapján kiállított számviteli bizonylatok jogszabály szerinti tárolási idejét.

12.1.2. Információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésekre vonatkozó speciális szabályok

A Vállalkozás az információs társadalommal összefüggő szolgáltatás nyújtására irányuló

  1. szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti az igénybe vevő azonosításához szükséges természetes személyazonosító adatokat és lakcímet.

  2. szerződésből származó díjak számlázása céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos természetes személyazonosító adatokat, lakcímet, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat.

  3. A Vállalkozás a b) pontban foglaltakon túlmenően – a szolgáltatás nyújtása céljából – kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A Vállalkozásnak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az Eker tv-ben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.

  4. A Vállalkozás a szolgáltatás igénybevételével kapcsolatos adatokat bármely, a c) pontban meghatározottaktól eltérő célból – így különösen szolgáltatása hatékonyságának növelése, az igénybe vevőnek címzett elektronikus hirdetés vagy egyéb címzett tartalom eljuttatása, piackutatás céljából – csak az adatkezelési cél előzetes meghatározása mellett és az igénybe vevő hozzájárulása alapján kezelhet.

Az igénybe vevőnek az információs társadalommal összefüggő szolgáltatás igénybevételét megelőzően és a szolgáltatás igénybevétele során is folyamatosan biztosítani kell, hogy a d) pontban foglaltak szerinti adatkezelést megtilthassa.

A d) pontban meghatározott adatok nem kapcsolhatók össze az igénybe vevő azonosító adataival és az igénybe vevő hozzájárulása nélkül nem adhatók át harmadik személy számára.

Az a)-c) pontokban meghatározott célokból kezelt adatokat törölni kell a szerződés létrejöttének elmaradását, a szerződés megszűnését, valamint a számlázást követően.

A d) pontban meghatározott célból kezelt adatokat törölni kell, ha az adatkezelési cél megszűnt, vagy az igénybe vevő így rendelkezik. Törvény eltérő rendelkezése hiányában az adattörlést haladéktalanul el kell végezni.

A Vállalkozás az információs társadalommal összefüggő szolgáltatás nyújtását nem teheti függővé az igénybe vevőnek valamely a)-c) bekezdésében nem említett célból történő adatkezeléshez való hozzájárulásától, amennyiben az adott szolgáltatás más szolgáltatótól nem vehető igénybe.

A Vállalkozásnak biztosítania kell, hogy az igénybe vevő az információs társadalommal összefüggő szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a szolgáltató mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.

A Vállalkozásnak biztosítania kell, hogy az igénybe vevő az információs társadalommal összefüggő szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a Vállalkozás mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is. (Eker tv. 13/A. §)

12.1.3. Jogi személy ügyfelek természetes személy képviselőinek adatai

A személyes adatok kezelésének célja a Vállalkozás jogi személy partnerével kötött szerződés teljesítése valamint üzleti kapcsolattartás, a jogalapja az érintett személy hozzájárulása. A személyes adatok címzettjei a Vállalkozás ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, az adatok megőrzési ideje az üzleti kapcsolat, illetve az érintett képviselői minőségének megszűnését követő 5 évig.

A kezelhető személyes adatok a természetes személy

  1. neve

  2. címe

  3. telefonszáma és e-mail címe,

  4. online azonosítója,

  5. illetve egyéb olyan adat, amely szükséges a szerződés teljesüléséhez.

Az érintett személy írásban nyilatkozik arról, hogy hozzájárul a Vállalkozásnál a személyes adatainak kezeléséhez. Ezt a nyilatkozatot az adatkezelés időtartamáig meg kell őrizni (4. sz. melléklet).

12.1.4. A Vállalkozással szállítói szerződéses kapcsolatban álló természetes személyek adatainak kezelése

A Vállalkozással szerződéses kapcsolatban álló természetes személyek (pl. egyéni vállalkozók) adatainak kezelése során a 12.1.1. és 12.1.2. pontokban foglaltakat kell alkalmazni azzal az eltéréssel, hogy ezen, a Vállalkozással szerződésben álló természetes személyes adatait az ügyféladatoktól elkülönítetten kell nyilvántartani (partnernyilvántartás).

12.1.5. Hangfelvétel készítése a telefonos ügyfélszolgálaton

Az adatvédelmi jogszabályok alapján a hang, valamint a hangfelvétel személyes adat, így a kezeléséhez az érintett hozzájárulása szükséges. A személyes adat ügyfélszolgálaton készült hangfelvétel esetében akkor kezelhető, ha az érintett előzetesen hozzájárult.

A Vállalkozás az érintettek ügyfélszolgálattal történő telefonos kommunikációját hangfelvétel útján rögzíti, melynek célja az értékesítésekkel és szolgáltatásokkal kapcsolatos minőségbiztosítás és a panaszok kezelése, valamint az érintettek számára felvilágosítás nyújtása. Az adatkezelés jogalapja az érintett hozzájárulása.

A Vállalkozás a hangfelvétel készítésének tényéről a hívás megkezdésekor tájékoztatja az érintettet és kéri hozzájárulását a hangfelvétel készítéséhez illetve ahhoz, hogy – amennyiben az ügyfélszolgálatos munkakört ellátó munkavállaló nem tudja megoldani az érintett problémáját (azaz információigényét nem tudja teljesíteni vagy a panaszára nem tud érdemben reagálni), úgy az érintett által közölt személyes adatokat átadhassa a Vállalkozás illetékes szervezetének képviselőjének (munkavállalójának).

A hangfelvétel tartalmazza az érintett nevét, lakcímét, a panasz tárgyát, a Vállalkozás nyilatkozatát a panasszal kapcsolatos álláspontjáról, az ügyintéző nevét illetve a panasz egyedi azonosítószámát. A Vállalkozás által használt egyedi azonosítószám a beszélgetés dátuma és a panaszos által használt telefonszám együttesen.

Az érintett kérésére díjmentesen rendelkezésére kell bocsátani a felvételt. A Vállalkozás a hangfelvétel készítésével, megőrzésével és rendelkezésre bocsátásával kapcsolatos kötelezettségéről, továbbá az egyedi azonosítószámról az érintettet a telefonos ügyintézés kezdetekor tájékoztatni köteles.

A telefonbeszélgetések legalább két személy, a hívott és a hívást fogadó személy személyes adatának tekintendő és az azzal kapcsolatos adatok – különösen a beszélgetés tartalma – csak akkor ismerhetők meg harmadik személy által, ha ahhoz az érintett személy előzetesen és önként hozzájárult.

A személyes adatok címzettjei az ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalók, a beszélgetések megőrzési ideje 5 év. A beszélgetések dátum és az érintett által a beszélgetés során megadott egyedi azonosítószám alapján kereshetők vissza.

A Vállalkozás a telefonbeszélgetések rögzítésével kapcsolatban az alábbi adatokat tárolja:

  1. telefonszám,

  1. a hívás időpontja,

  2. a panasz egyedi azonosítószáma,

  3. a rögzített beszélgetés hangfelvétele,

  4. a beszélgetés során megadott személyes adatok.

12.1.6. Hírlevél küldése az ügyfelek számára

A Vállalkozás az ügyfeleknek célzott reklámcélú küldeményeket küldhet (hírlevél küldése), melynek feltételeit a Grtv. valamint az Eker tv. szabályozza, a tevékenység gyakorlása során alkalmazni kell a GDPR, az Infotv. és egyéb jogszabályok rendelkezéseit is.

A hírlevél-küldési tevékenység az ügyfélnyilvántartással kapcsolatos adatkezelési tevékenységtől eltérő célú adatkezelésnek minősül, ezért hírlevelet csak akkor küldhet a Vállalkozás, ha az érintettek hozzájárulásukat adják ahhoz, hogy a szolgáltató hírlevél-küldési tevékenység céljára kezelhesse a személyes adataikat. A hozzájárulásnak önkéntesnek és kifejezettnek kell lennie, az érintettől aktív tevőleges magatartásra van szükség úgy, hogy azt csak megfelelő előzetes tájékoztatás alapján után lehessen megtenni. A tájékoztatásnak meg kell felelnie az előzetes tájékoztatásra vonatkozó jogszabályi követelményeknek.

A Vállalkozás az érintett hírlevél-küldéssel kapcsolatos adatkezeléshez hozzájárulása hiányában nem küldhet hírlevelet még akkor sem, ha abban arról is tájékoztatja az érintettet, hogy módjában áll lemondani a hírlevélről.

A Vállalkozás, mint a reklám közzétevője nyilvántartást vezet azokról a személyekről, akik a reklám küldéséhez hozzájárultak. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – adat azonban csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.

Az érintett hírlevélről leiratkozása esetén számára a továbbiakban nem küldhető hírlevél, illetve amint visszavonja a hírlevél célú adatkezeléssel kapcsolatos hozzájárulását a Vállalkozásnak törölnie kell az érintett személyes adatait nyilvántartásából.

A Vállalkozás nem reklám céljából is küldhet ki üzeneteket az adatbázisában szereplő érintetteknek. Ilyen nem reklám céljából küldött üzenet lehet például

  1. a regisztráció vagy a megrendelés visszaigazolásáról szóló e-mail,

  2. szolgáltatás igénybevételéhez szorosan kapcsolódó tájékoztatás (például tervezett karbantartás miatti leállás, szabadság, stb.), illetve

  3. az elektronikus számla.

Ha az érintett nem adott hozzájárulást ahhoz, hogy hírlevelet kapjon, akkor a nem reklám célú e-mail (levél) sem tartalmazhat reklámot.

12.1.7. Ajándéksorsolás ügyfelek számára

Amennyiben a Vállalkozás ajándéksorsolást szervez (1991. évi XXXIV. törvény 23.§), az érintett természetes személyek hozzájárulása alapján kezelheti az érintett természetes személy nevét, címét, telefonszámát, e-mail címét valamint online azonosítóját (ha van). A játékban való részvétel önkéntes.

Az adatkezeléshez a Vállalkozásnak előzetesen az érintett önkéntes hozzájárulását meg kell kérnie (1. sz. melléklet).

A nyereményjáték szervezésének esetében az adatok kezelésének célja a nyereményjáték nyertes személyének megállapítása, értesítése illetve a nyeremény kézbesítése (átadása). Az adatkezelés jogalapja az érintett hozzájárulása.

A személyes adatok címzettjei

  1. a Vállalkozás ügyfélkiszolgálással és marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói,

  2. adatfeldolgozóként a Vállalkozás számviteli és adózási feladatait ellátó szervezet munkavállalói az adó- és számviteli kötelezettségek teljesítése tekintetében,

  3. a Vállalkozás IT szolgáltatójának munkavállalói a szükséges IT-szolgáltatások teljesítése céljából, valamint

  4. a futárszolgálat és/vagy átvevőpont munkavállalói a szállítási adatok (név, cím, telefonszám) vonatkozásában.

A személyes adatok kezelésének időtartama: az ajándéksorsolás végelszámolásáig.

17.1.8. Direkt marketing célú adatkezelés

A Vállalkozás csak abban az esetben élhet a reklám természetes személynek mint reklám címzettjének közvetlen megkeresése módszerével (közvetlen üzletszerzés, direkt marketing), ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult (1.sz. és 16. sz. melléklet).

A Vállalkozás által direkt marketing céljából kezelhető személyes adatok köre a természetes személy neve, címe, telefonszáma, e-mail címe, illetve online azonosító (amennyiben rendelkezik ilyennel).

A direkt marketing tevékenységgel kapcsolatban a személyes adatok kezelésének célja a Vállalkozás tevékenységéhez kapcsolódó direkt marketing tevékenység folytatása, így például reklámkiadványok, hírlevelek, aktuális ajánlatok nyomtatott (postai) vagy elektronikus formában (e-mail útján) történő rendszeres vagy időszakonkénti megküldése az érintett által a regisztrációkor megadott elérhetőségére.

Az adatkezelés jogalapja az érintett hozzájárulása, a személyes adatok címzettjei a Vállalkozás ügyfélkiszolgálással és marketing tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a Vállalkozás IT szolgáltatással tisztviselő szervezetének munkavállalói, postai kézbesítés esetén a Magyar Posta munkavállalói.

A személyes adatok tárolásának időtartama az érintett hozzájárulásának visszavonásáig.

12.2. Látogatói adatkezelés a Vállalkozás honlapján

12.2.1. Sütik (cookie, session)

A Vállalkozás az internetes honlapján az infokommunikációs szolgáltatást megkönnyítő sütiket (cookie-kat) alkalmaz, azaz olyan rövid adatfájlokat, amelyeket a honlap helyez el a honlapot meglátogató érintett számítógépén. A Vállalkozás által használt sütik önmagukban nem alkalmasak a látogató személyének beazonosítására.

A látogató hozzájárulását nem igénylő sütik alkalmazásáról a honlapon az érintettet az első látogatása során kell tájékoztatni. Nem szükséges teljeskörű tájékoztatást nyújtani, elegendő ha a lényeg rövid összefoglalása mellett jól látható módon feltüntetett link mutat a részletes tájékoztatóhoz. A honlap fej- vagy láblécébe ki kell tenni a Vállalkozás teljes adatkezelési tájékoztatóját is (15. sz. melléklet).

A hozzájárulást igénylő sütik esetében – amennyiben az adatkezelés már az oldal felkeresésével elkezdődik – a Vállalkozás az érintettet az első látogatás megkezdésekor köteles tájékoztatni és a látogató hozzájárulását kérni. Amennyiben a süti egy-egy adott funkcióhoz kapcsolódik csak, úgy a tájékoztatás megjelenhet az adott funkció használata előtt is.

A sütik elfogadása nem kötelező, azonban a Vállalkozás nem vállal azért felelősséget, ha sütik engedélyezése hiányában a honlap esetleg nem megfelelően működik. Az érintett figyelmét fel kell hívni arra, hogy a saját böngészőjében állíthatja be a sütik elfogadásának módját.

A Vállalkozás többféle sütit alkalmaz:

  1. olyan ideiglenes sütiket (session), amelyek technikailag elengedhetetlenül szükségesek a munkamenethez és céljuk, hogy az érintett gördülékenyen és problémamentesen használhassa a weblapot. A session-típusú rövid programok nem települnek a látogató gépére, azok a szerveren futnak és csak a látogatás során. A munkamenet befejezésével illetve a böngésző bezárásával ezen sütik automatikusan törlődnek. A cookies-típusú rövid programok az érintett gépére települnek és a munkamenet befejezésével vagy a böngésző bezárásával automatikusan törlődnek.

Az adatkezelés célja a honlap megfelelő működésének biztosítása.

  1. olyan sütiket, amelyek az érintett hozzájárulását igénylik és amelyek célja, hogy a látogató beállításait a honlap megjegyezze. A látogató a szolgáltatást igénybevételét megelőzően és a szolgáltatás igénybevétele során is bármikor megtilthatja az adatkezelést, erre a jogára figyelmeztetni kell. Az adatok nem kapcsolhatóak össze az érintett azonosító adataival és hozzájárulása nélkül nem adhatók át harmadik személynek.

Az adatkezelés célja a szolgáltatás hatékonyságának növelése valamint a honlap használatának kényelmesebbé tétele. Az adatkezelés jogcíme az érintett hozzájárulása. Az adatkezelés időtartama hat hónap.

  1. teljesítményt biztosító sütiket (Google Analytics) (https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage)
  2. Google hirdetések futtatásához használt sütiket (Google AdWords) (https://support.google.com/adwords/answer/2407785?hl=hu)

12.2.2. Regisztráció

A honlapon regisztráló érintett az erre vonatkozó négyzet bejelölésével járul hozzá a személyes adatainak kezeléséhez még azelőtt, hogy a regisztráció megtörténne. Az adatkezeléshez hozzájárulás nem történhet a négyzet Vállalkozás által előre bejelölésével.

A regisztrációval kapcsolatban a Vállalkozásnál kezelhető adatok:

  1. az érintett neve (vezeték és keresztnév)

  2. címe

  3. telefonszáma

  4. e-mail címe,

  5. online azonosító.

A személyes adatok kezelésének jogalapja az érintett hozzájárulása, célja pedig a honlapon nyújtott szolgáltatások teljesítése, kapcsolatfelvétel, tájékoztatás valamint a honlap használatának elemzése.

A személyes adatok címzettjei a Vállalkozás ügyfélkiszolgálással illetve marketing tevékenységgel foglalkozó munkavállalói, valamint az adatfeldolgozással megbízott szervezeti egység. A személyes adatokat a regisztráció (szolgáltatás) fennállásáig, illetve az érintett adatkezeléshez hozzájárulásának visszavonásáig, törlési kérelméig lehet tárolni.

12.2.3. Hírlevél-szolgáltatás

Amennyiben a Vállalkozás hírlevél-szolgáltatást kínál a honlapra látogatóknak, úgy – hasonlóan a regisztrációhoz – az érintettnek be kell jelölnie a hírlevél kérését, illetve az adatkezeléshez hozzájárulást jelző négyzetet. A hírlevélre feliratkozáskor az érintett számára elérhetővé kell tenni az Adatkezelési tájékoztatót (15 sz. melléklet) és tájékoztatni kell őt a hírlevél lemondásának módjáról is. A hírlevélről az érintett a hírlevélben felajánlott leiratkozás alkalmazás segítségével vagy egyéb módon (pl. a Vállalkozáshoz címzett e-mailben) tett nyilatkozattal bármikor lemondhat (16. sz. melléklet). A Vállalkozás hírlevélről leiratkozás esetén haladéktalanul törli az érintett minden vonatkozó adatát.

Kezelhető adatok köre az érintett vezetékneve, keresztneve, érdeklődési területére utaló adat, valamint e-mail címe. Az adatkezelés jogalapja az érintett hozzájárulása, az adatok kezelésének célja pedig hírlevél, illetve reklámanyag küldése.

A személyes adatok címzettjei az ügyfélszolgálattal és marketing tevékenységgel foglalkozó munkavállalók valamint az adatfeldolgozással megbízott munkavállalók. A személyes adatok tárolásának időtartama a hírlevél-szolgáltatás fennállása, illetve az érintett hozzájárulásának visszavonása (törlési kérelme).

12.2.4. Közösségi oldalak (Facebook)

A Vállalkozás szolgáltatásainak megismertetésére valamint reklámozására Facebook oldalt üzemeltet, melynek fenntartása során a Facebook saját adatkezelési szabályait kell figyelembe vennie.

A Vállalkozás a Facebook oldalát látogató természetes személyek által közzétett személyes adatokat nem kezeli, a látogatókra a Facebook általános adatkezelési feltételei érvényesek. Jogellenes vagy sértő tartalom (hozzászólás, kép, video, stb.) esetén a Vállalkozás előzetes értesítés nélkül törölheti az érintett hozzászólását.

A Vállalkozás Facebook oldalán benyújtott panasz nem minősül hivatalos panasznak.

A Vállalkozás nem felel az oldalán a Facebook felhasználói által közzétett tartalomért és azokért a problémákért sem, amelyek a Facebook működéséből erednek.

12.3. Munkavállalók adatainak kezelése

A munkavállalók adatainak kezelése tekintetében az adatgazda a Vállalkozás vezetője, továbbá minden olyan szervezeti egység vezető, akinek az irányítása alatt álló szervezeti egységnél munkavállalói adatokat kezelnek.

12.3.1. A munkahelyi adatkezelés alapelvei

A Vállalkozásnál a munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, illetve olyan munkaköri alkalmassági vizsgálatok végeztethetők, amelyek az adott munkavállaló munkaviszonyának létesítéséhez, fenntartásához és megszüntetéséhez, valamint a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.

A célhoz kötöttség elvéből következően

  1. az adatkezelés célját az adatok rögzítését megelőzően, világosan és egyértelműen meg kell határozni,

  2. a Vállalkozásnak minden egyes adatkezelés esetében adatkezelési célonként külön-külön meg kell határoznia azt a jogot, amelynek gyakorlásához szükséges valamely személyes adat kezelése, vagy azt a kötelezettséget, amelynek teljesítése szükségessé teszi az adott adatkezelést,

  3. minden egyes adatkezeléshez célt és jogalapot kell rendelni.

A szükségesség-arányosság elvéből következően az ellenőrzések során

  1. az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére,

  2. az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat,

  3. az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető,

  4. az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartását maximálisan figyelembe véve kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására és nem is eredményezheti ezeket.

12.3.2. A munkahelyi adatkezelés jogalapja

A munkavállalókkal kapcsolatos adatkezelés jogalapja

  1. az érintett hozzájárulása, amennyiben az adatkezelés nem a munkaviszonnyal összefüggésben jött létre. A hozzájárulás megtagadása nem okozhat a munkavállalónak semmiféle hátrányt.

  2. jogi kötelezettség,

  3. munkáltató jogos érdeke, amely jogalap a munkavállalók hozzájárulásától függetlenül jogszerűvé teheti a munkáltató adatkezelését akkor, ha a munkáltató jogos érdeke arányosan korlátozza a munkavállalók személyes adatok védelméhez való jogát, magánszféráját.

A Vállalkozás a jogalap meghatározásakor a jogos érdek mint jogalap esetén figyelembe veszi a jogszabályok előírásait, illetve az érintettek érdekeit valamint jogait és ezek alapján ötlépéses érdekmérlegelési tesztet végez:

  1. a tervezett adatkezelés megkezdése előtt át kell tekintetni, hogy a cél elérése érdekében feltétlenül szükséges-e személyes adat kezelése, illetve rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél,

  2. a munkáltatói jogos érdeket a lehető legpontosabban meg kell határozni (így különösen az Mt. 10. § (1) bekezdésének figyelembe vételével),

  3. meg kell határozni, hogy mi az adatkezelés célja, milyen személyes adatok meddig tartó adatkezelését igényli a jogos érdek,

  4. meg kell határozni, hogy a munkavállalóknak melyek lehetnek az érdekeik az adott adatkezelés vonatkozásában,

  5. meg kell határozni, hogy miért korlátozza arányosan a munkáltató jogos érdeke – és az ennek alapján végzett adatkezelés – a d) pontban meghatározott munkavállalói jogokat illetve hogyan érvényesülhet a fokozatosság elve valamint a munkavállaló jelenlétének biztosítása (13. sz. melléklet).

Az előzetes tájékoztatás követelményéből fakadóan követelmény, hogy

  1. az érintett az előzetes és megfelelő tájékoztatás alapján képes legyen felismerni azt, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára,

  2. az előzetes, megfelelő tájékoztatás kötelezettségének központi eleme a GDPR és az Infotv., amelyek felsorolják azokat az alapvető adatkezelési körülményeket, amelyekről az adatkezelőnek tájékoztatást kell nyújtania,

  3. amennyiben a munkáltató technikai eszközzel kíván ellenőrzést végezni, úgy az nem lehet titkos, arról a munkavállalókat előzetesen tájékoztatni kell,

  4. kiemelten fontos arról is tájékoztatást nyújtani, hogy a Vállalkozás szervezetrendszerén belül ki férhet hozzá a személyes adatokhoz. Azt a személyi kört, akik hozzáférhetnek a személyes adatokhoz, adatkezelési célonként külön-külön kell meghatározni.

A Vállalkozás törekszik az adatkezelés szükségességével-arányosságával kapcsolatos garanciák biztosítására, így az ellenőrzés során fokozatosság elvének érvényesítésére, a munkavállaló jelenlétének lehetővé tételére.

12.3.3. A munkavállalói adatok továbbítása külföldre

A Vállalkozás a munkavállalóra vonatkozó adatot harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet.

Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

Amennyiben nem EGT-államban, azaz harmadik országban honos adatkezelő vagy adatfeldolgozó részére történik az adatok továbbítása, akkor arra a GDPR V. fejezetében, illetve jelen szabályzat 9.3. pontjában foglaltak az irányadóak.

12.3.4. Előzetes tájékoztatási kötelezettség

A Vállalkozásnak a munkavállalóval az adatkezelés megkezdése előtt közölnie kell, hogy az adatkezelés hozzájáruláson, jogos érdeken alapul vagy kötelező.

A munkavállalót az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

A munkahelyi adatkezelésekkel összefüggésben a Vállalkozás arról is tájékoztatja a munkavállalót, hogy a Vállalkozás szervezetrendszerén belül ki férhet hozzá a személyes adatokhoz. Azt a személyi kört, akik hozzáférhetnek a személyes adatokhoz, adatkezelési célonként külön-külön kell meghatározni.

A Vállalkozásnak a munkavállalót a személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról az előzetesen tájékoztatni kell. A Vállalkozás előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról is, amelyek a munkavállaló ellenőrzésére szolgálnak (8-9. sz. melléklet).

12.3.5. Felvételre jelentkező munkavállalók személyes adatainak kezelése

A felvételi eljárás során a jelentkezők kezelhető személyes adatai:

  1. név

  2. születési idő és hely

  3. anyja neve

  4. lakcím

  5. képesítési adatok

  6. telefonszám és e-mail cím

  7. egyéb adat, pl. kamarai bélyegző száma,

  8. a jelentkezőről készített munkáltatói feljegyzés (amennyiben készült ilyen).

A Vállalkozás nem alkalmaz anonim álláshirdetéseket.

Amennyiben a Vállalkozás megtekinti a jelentkezők közösségi oldalon közzétett profilját (adatait), akkor

  1. az előzetesen tájékoztatás keretében ismertetni kell a jelentkezőkkel, hogy a felvételi eljárás folyamata kiterjed arra is, hogy a Vállalkozás megtekinti a jelentkező közösségi oldalon létrehozott, bárki számára nyilvános információit,

  2. a Vállalkozás a közösségi oldalakon közzétett korlátozottan nyilvános adatokat nem ismerheti meg,

  3. a Vállalkozás csak azokat az információkat ismerheti meg, amelyek lényegesek az álláspályázattal vagy munkakörrel kapcsolatban,

  4. a profiloldal nem menthető le és nem tárolható.

A személyes adatok kezelésének célja a jelentkezések, pályázatok elbírálása, a kiválasztott leendő munkavállalóval szerződés kötése. A Vállalkozás nem vállal kötelezettséget a tekintetben, hogy minden jelentkezőt értesít arról, hogy nem őt választotta az adott állásra.

Az adatkezelés jogalapja az érintett hozzájárulása, a személyes adatok címzettjei a Vállalkozásnál munkáltatói jog gyakorlására jogosult vezetők, illetve a munkaügyi feladatot ellátó munkavállalók.

Az adatok tárolási időtartama: a jelentkezés, pályázat elbírálásáig. Amennyiben a munkába lépésre irányuló felvételi eljárást követően munkaviszony létesítésére nem kerül sor, illetve a pályázó visszavonta a pályázatát, az érintett adatait haladéktalanul törölni kell (19. sz. melléklet), kivéve akkor, ha az érintett a pályázat lezárása után írásban hozzájárul ahhoz, hogy az adatait a Vállalkozás továbbra is kezelje. Az így keletkezett személyes adatokat – az érintett írásbeli hozzájárulásban megjelölt időtartam erejéig – a Vállalkozás vezetője- szervezeti egység kezeli.

Amennyiben a Vállalkozás a felvételi eljárás során feljegyzéseket készített a pályázóról, úgy az is a pályázó személyes adatának minősül, azaz

  1. erre is kiterjed az érintettet tájékoztatáshoz való joga, vagyis az, hogy megismerje, hogy a Vállalkozás milyen következtetéseket vont le a pályázati anyagával összefüggésben, illetve

  2. a Vállalkozásnak a jelentkezéssel (önéletrajzzal, stb.) együtt törölnie kell az ilyen természetű, az érintettre levont következtetéseket tartalmazó feljegyzéseket is.

Amennyiben a Vállalkozás a toborzási eljárás során alvállalkozóként tanácsadó céget alkalmaz munkavállalói tesztek készítése vagy egyéb, a felvételi eljárással kapcsolatos tevékenység céljából, úgy az érintetteket (a felvételre jelentkezőket) a személyes adatok átadását megelőzően tájékoztatni kell adataik továbbításáról. Az adatok továbbításáról nyilvántartást kell vezetni (26. sz. melléklet).

15.3.6. Alkalmassági vizsgálat

A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó jogszabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása illetve kötelezettség teljesítése érdekében szükséges. Mindkét esetben

  1. részletesen tájékoztatni kell a munkavállalót többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, illetve a vizsgálat milyen eszközzel, módszerrel történik.

  2. amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.

  3. csak a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg az eredményeket (7. sz. melléklet).

Amennyiben az alkalmassági vizsgálatot a Vállalkozás írja elő, abban az esetben érdekmérlegelési tesztet kell készítenie (13. sz. melléklet).

A Vállalkozás mind a felvételi eljárás során, mind pedig a munkaviszony fennállása alatt kitöltethet a munkavállalóval különböző munkaalkalmasság és felkészültség vizsgálatára alkalmas teszteket.

A Vállalkozás csak akkor töltethet ki pszichológiai vagy személyiségjegyeket kutató tesztlapot a munkavállalók nagyobb csoportjával, ha az elemzés során felszínre kerülő adatok nem köthetők az egyes konkrét munkavállalókhoz, azaz az adatok feldolgozása anonim.

A Vállalkozás nem ismerhet meg, nem tárolhat és nem tarthat nyilván tréningek, különböző alkalmassági vizsgálatok keretén belül a munkavállalókkal kapcsolatban elvégzett személyiségjellemzést tartalmazó teszteket. A tréninget követően ezeket a tesztlapokat át kell adni az azokat kitöltő munkavállalók számára.

Az alkalmassági vizsgálattal kapcsolatban kezelhető személyes adatok köre a munkaköri alkalmasság ténye („igen”, „nem”), illetve az, hogy milyen feltételek biztosítandók a munkavégzéshez. Az adatkezelés jogalapja jogi kötelezettség teljesítése vagy a munkáltató jogos érdeke, a személyes adatok kezelésének célja pedig a munkakör betöltése, munkaviszony létesítése valamint fenntartása. A személyes adatok címzettjei a Vállalkozásnál munkáltatói jog gyakorlására jogosult vezetők, illetve a munkaügyi feladatot ellátó munkavállalók. A személyes adatok kezelésének időtartama a munkaviszony megszűnését követő három év.

15.3.7. Feddhetetlen előélet igazolása

A Vállalkozás a munkaviszony létesítése előtt, a felvételi eljárás során, illetőleg a munkaviszony fennállása alatt is felszólíthatja az érintettet a feddhetetlen előélet igazolására, amennyiben az erkölcsi alkalmasság igazolása valamely ágazati jogszabályban meghatározottak szerint az adott munkakör betöltéséhez elengedhetetlen.

A hatósági erkölcsi bizonyítvány közokirat, melynek tartalmát a Vállalkozás köteles a kiállításától számított kilencven napig valósnak elfogadni.

A Vállalkozás a munkavállalótól hatósági erkölcsi bizonyítvány helyett a bűnügyi nyilvántartási rendszerben kezelt adataira vonatkozó tájékoztatást nem fogadhatja el, ilyen dokumentumból származó adatot nem kezelhet.

15.3.8. Munkavállalók adatai

A Vállalkozás a személyi nyilvántartásban a munkavállalók személyi anyagában az alábbi adatait kezelheti jogi kötelezettség teljesítése, illetve a munkáltatói jogos érdeke jogalap alapján, munkaviszony létesítése, teljesítése vagy megszűnése céljából:

  1. a munkavállaló természetes személyazonosító adatait (névét, születési névét, születési idejét, anyja nevét, nemét, lakóhelyét, tartózkodási helyét),

  2. állampolgárságát,

  3. TAJ számát,

  4. adóazonosító jelét,

  5. nyugdíjas munkavállaló esetén nyugdíjas törzsszámát,

  6. telefonszámát, e-mail címét,

  7. személyi igazolvány és lakcímet igazoló hatósági igazolvány számát,

  8. bankszámlaszámát,

  9. kamarai bélyegző számát, nyilvántartási számát,

  10. munkába lépésének kezdő és befejező időpontját,

  11. munkakörét,

  12. iskolai végzettségét, szakképzettségét, nyelvismeretét, valamint ezeket igazoló okiratok másolatát,

  13. tanulmányi szerződést,

  14. a munkavállaló önéletrajzát,

  15. munkabérének összegét, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatokat,

  16. nyugdíj megállapításához szükséges béradatokat,

  17. a munkavállaló munkabéréből jogerős határozat, jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,

  18. a munkavállaló által a munkaviszony megszűnésének évében igénybe vett betegszabadság időtartamát,

  19. a munkavállaló rendes szabadságával, rendes és rendkívüli munkaidejével, szabadságának kiadásával, egyéb munkaidő-kedvezményével kapcsolatos adatokat,

  20. a munkavállalóval kötött munkaszerződés egyéb lényeges adatait (pl. munkavállalói kedvezmények, a munkavállaló, a szerződés fajtája),

  21. a munkavállaló munkájának értékelését,

  22. a munkavállaló fényképét, kameraképét,

  23. a munkaviszony megszűnésének módját, indokait,

  24. munkakörtől függően erkölcsi bizonyítványát,

  25. alkalmassági vizsgálatok összegzését,

  26. magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezését, azonosító számát és a munkavállaló tagsági számát,

  27. külföldi munkavállaló esetén útlevélszámát, munkavállalási jogosultságot igazoló dokumentumának megnevezését és számát,

  28. a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat,

  29. minden egyéb olyan személyes adatot, amelynek kezelését törvény írja elő, vagy amelyhez az érintett hozzájárult, például

    • a családi adókedvezmény igénybe vételéhez szükséges adatok,

    • saját gépjármű használata esetén a munkavállaló saját gépjárművének adatai,

    • a szociális-jóléti juttatások folyósításához szükséges adatok (segély, lakáscélú támogatás, albérleti hozzájárulás, beiskolázási támogatás, stb.),

    • megváltozott munkaképességet, egészségkárosodást, vagy fogyatékosságot igazoló szakhatósági vélemény, illetve fogyatékosságot igazoló szakorvosi aláírással ellátott zárójelentést.

A Vállalkozás betegségre és szakszervezeti tagságra vonatkozó (különleges) adatokat csak a Mt-ben meghatározott jog vagy kötelezettség teljesítése céljából kezelhet.

A munkavállalóval az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés jogalapja a jogi kötelezettség teljesítése, illetve a munkáltató jogos érdeke. A munkáltató a munkaszerződés megkötésével egyidejűleg írásos tájékoztató átadásával tájékoztatja a munkavállalót a személyes adatainak kezeléséről és a személyhez fűződő jogairól.

A Vállalkozás jogszabály felhatalmazása vagy az érintett hozzájárulására alapján kezelheti a munkavállalók egyéb adatait is:

  1. munkakörtől függően a nemzetbiztonsági ellenőrzést végző szerv szakvéleményét,

  2. munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat,

  3. a Vállalkozásnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat,

  4. egyéb személyes adatokat, amelyek kezeléséhez az érintett munkavállaló írásban hozzájárul. A hozzájáruló nyilatkozat beszerzése előtt a Vállalkozásnak a munkavállalót tájékoztatni kell, a hozzájárulás megtagadása miatt a munkavállalót semmiféle hátrány sem érheti.

A Vállalkozás által jogszabály felhatalmazása vagy az érintett hozzájárulására alapján kezelt egyéb munkavállalói adatokat az alábbi személyek ismerhetik meg:

  1. az érintett (kamerakép esetén az adott kameraképen szereplő érintettek),

  2. a feladata ellátásához elengedhetetlenül szükséges esetben, mértékben és ideig a Vállalkozás humánerőforrás-gazdálkodással megbízott szervezetének vezetője, illetve a részleg meghatározott – az érintett személyi anyagát kezelő – alkalmazottja,

  3. az érintett munkahelyi vezető a feladataik ellátásához elengedhetetlenül szükséges esetben, mértékben és ideig (a munkáltatói jogkörgyakorló vezetővel bezárólag), illetve az általa kijelölt munkatársak,

  4. az ellenőrzési jogkörrel felruházott vezető és az általa kijelölt munkatársak konkrét ellenőrzés céljából az ellenőrzés lefolytatásához elengedhetetlenül szükséges esetben, mértékben és ideig,

  5. hivatalos megkeresés alapján bíróság, ügyészség, nyomozó hatóság, illetve más eljáró hatóság az igényelt mértékig,

  6. más személyek – indokolt esetben – az érintett írásos hozzájárulásával és csak a hozzájárulás mértékéig.

A munkavállalókkal kapcsolatban kezelt személyes adatok címzettjei a munkáltató vezetője, a munkáltatói jog gyakorlója, illetve a Vállalkozás munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.

A Vállalkozásnál már rendelkezésre álló személyes adatok többszöri, nem frissítés célú újrakérése tilos. Az adatok ismételt megadásának megtagadása miatt a munkavállalót semmiféle hátrány nem érheti.

A munkavállaló adatait törölni kell a személyi nyilvántartásból a munkaviszony megszűnését követő három év elteltével kivéve, ha a Vállalkozás és a munkavállaló között ettől eltérő időtartalmú írásbeli megállapodás jön létre. A törlési kötelezettség ezen írásbeli megállapodásban nem szereplő munkavállalói adatokra kiterjed.

Nem törölhetőek a munkavállaló azon adatai a munkaviszony megszűnését követően sem, amelyek jogszabály alapján a továbbiakban is nyilvántarthatók vagy megőrzendők.

12.4. A Vállalkozás direkt marketing és piackutatási tevékenységével kapcsolatos adatkezelés

Közvetlen üzletszerzés (direkt marketing) azoknak a közvetlen megkeresés módszerével végzett, tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló reklám továbbítása a fogyasztók vagy kereskedelmi partnerek (ügyfelek, együttesen érintettek) részére.

Piackutatás az érintett fogyasztói szokásának vizsgálata.

A Vállalkozásnál minden olyan szervezeti egység vezetője, amelyben direkt marketing és piackutatási tevékenység történik, adatgazdának minősül. E tevékenységhez a Vállalkozás az alábbi forrásokból gyűjthet és használhat fel személyes adatokat:

  1. annak az érintettnek az adata, akivel korábban az adatkezelő szerv kapcsolatban állt (ügyfél, támogató). Ügyfélnek vagy támogatónak az tekinthető, aki – a termékekre vagy szolgáltatásokra vonatkozóan információkat kérve, vagy nyilvánosan közzétett reklámra vagy egyéb kereskedelmi kommunikációra válaszolva – a maga részéről is kifejezetten kapcsolatokat kezdeményezett és ennek során név- és lakcímadatait a Vállalkozás közvetlen üzletszerző szervnek átadta, továbbá ezeknek az adatoknak a további kezeléséhez hozzájárult.

  2. a jogszerűen nyilvánosságra hozatal céljából készített és nyilvánosságra hozott adatállományban, név- és címjegyzékben, valamint kiadványban – így különösen telefonkönyvben, szaknévsorban, statisztikai névjegyzékben – szereplő adat, feltéve, ha az adatgyűjtéskor vagy az adategyeztetéskor az érintettet tájékoztatták az eredetitől eltérő célra történő adatfelhasználás lehetőségéről illetőleg a letiltás jogáról,

  3. más, ugyanazon tevékenységet végző személytől vagy szervtől adat átvételével, amennyiben az érintett az adat átadását az erről szóló előzetes tájékoztatás után nem kifogásolta, vagy tiltotta meg,

  4. a Nytv. hatálya alá tartozó nyilvántartásból az Nytv-ben meghatározott feltételekkel, feltéve, hogy a polgár az adatainak kiadását nem tiltotta meg,

  5. a munkavállalók személyi anyagával kapcsolatos nyilvántartás abban az esetben, ha az érintett munkavállaló hozzájárult a direkt marketing tevékenység céljára történő adatkezeléshez, illetőleg tájékoztatták a letiltás jogáról.

A piackutatás megkezdéséhez szükséges minta kiválasztásakor valamint kapcsolat-felvételi, illetve üzletszerzési lista összeállításakor nem lehet kiválasztási szempont olyan ismérv, amelyből egyértelműen különleges adatra lehet következtetni.

A kapcsolat-felvételi, illetve az üzletszerzési listán szereplő név- és lakcímadatok harmadik személy részére – a c) pont kivételével – csak kapcsolat-felvételi illetve üzletszerzési lista céljára akkor adhatók át, ha ehhez az érintettek a harmadik szerv nevének és tevékenységének ismeretében írásban hozzájárultak.

Adatátadás esetén a kapcsolat-felvételi illetve az üzletszerzési lista felhasználásának feltételeit az adatátadó és az adatátvevő szerződésben határozza meg. A kapcsolat-felvételi listáról csak kapcsolatfelvétel, az üzletszerzési listáról pedig csak kapcsolatfelvétel, illetve kapcsolattartás céljából történhet adatátadás. A fenti feltételek hiányában megkötött szerződés semmis.

A kapcsolat-felvételi illetve üzletszerzési lista nem kapcsolható össze piackutatás céljára gyűjtött adatállománnyal.

A Vállalkozás a piackutatás, valamint a közvetlen üzletszerzés tevékenysége során az érintettek alábbi személyes adatait használhatja fel, illetve igényelheti más személyektől vagy nyilvántartásból:

  1. név (előtag, vezetéknév és keresztnév)

  2. nem

  3. születési hely és idő

  4. lakcím

  5. telefonszám

  6. elektronikus levélcím vagy elektronikus hírközlési azonosító

  7. családi állapot

  8. az érdeklődési körre vonatkozó adatok.

A személyiadat- és lakcímnyilvántartásból piackutatás valamint közvetlen üzletszerzés céljából lekérhető adatok:

  1. név

  2. nem

  3. születési hely és idő

  4. lakcím, értesítési cím

  5. családi állapot és a házasságkötés vagy bejegyzett élettársi kapcsolat létesítésének helye.

A piackutatás, valamint a közvetlen üzletszerzés céljára történő adatkezelés során biztosítani kell az érintett jogát a személyes adatainak védelméhez, így különösen:

  1. a kapcsolatfelvétellel egyidejűleg az érintettet írásban tájékoztatni kell arról, hogy

    • a Vállalkozás az adatokat milyen forrásból szerezte,

    • az adatfelhasználás céljáról, módjáról, időtartamáról,

    • az adatkezelés során közreműködő (megbízott) igénybevételéről és az esetleges későbbi adatátadási szándékról,

    • az adatkezelésre jogosult szerv vagy személy nevéről és címéről valamint arról, hogy

    • az adatszolgáltatás önkéntes, és jogában áll adatainak a megjelölt célra vagy annak egy részére történő kezelésének a megszüntetését kérni,

  2. biztosítani kell számára azt a jogot, hogy a további együttműködést bármikor indokolás nélkül megtagadhassa és erről írásban tájékoztatni kell,

  3. név- és lakcímadatainak Kktv-ben meghatározott tevékenységek céljából történő kezelését meg kell szüntetni, amennyiben ezt az érintett kéri, vagy adatainak kezeléséhez nem járul hozzá,

  4. név- és lakcímadatait harmadik személynek vagy szervezetnek továbbítani csak az érintett hozzájárulásával lehet, kivéve

    • más, ugyanazon tevékenységet végző személytől vagy szervtől adat átvételével, amennyiben az érintett az adat átadását az erről szóló előzetes tájékoztatás után nem kifogásolta vagy tiltotta meg,

    • a megbízás alapján történő adatfeldolgozás, valamint

    • a név- és lakcímadatok pontosságát és időszerűségét az érintettel való kapcsolattartás vagy a személyiadat- és lakcímnyilvántartással történő adategyeztetés.

Adatátadás esetén mind az adatátadónak, mind az átvevőnek az érintett adatokról és az adatátvevőről, illetőleg átadóról – az adatforgalom ellenőrizhetőségének biztosítása céljából – nyilvántartást kell vezetnie. A nyilvántartást az adatátvétel, illetve az adatátadás évét követő ötödik év végéig kell megőrizni. A megbízás alapján történő adatfeldolgozás esetén a megbízó minősül felelős adatkezelőnek.

A személyes adatoknak az adott célból történő kezelését meg kell szüntetni, ha

  1. az a cél, amelyre az adatokat kérték megvalósult, kivéve, ha az érintett az új cél megjelölésével az adatok további kezeléséhez írásban hozzájárult,

  2. az érintett nyilatkozata szerint a megkereső szervezettel nem kíván együttműködni.

Az adatkezelés megszüntetésén a megsemmisítést vagy az anonimizálást, közvetlen üzletszerzés esetén pedig – ha a megszüntetés az érintett együttműködésének hiányában történik – egyidejűleg a tilalmi listára történő felvételt kell érteni.

Ha az adatkezelést annak bármely szakaszában az érintett kérelme alapján kell megszüntetni, ezért az érintettet jogi felelősség nem terheli.

12.4.1. Adatkezelés közvetlen üzletszerzés (direkt marketing) során

Üzletszerzési lista: kizárólag postai címzett reklámküldemények útján reklámok közlése céljából a kapcsolatfelvételt és a kapcsolattartást szolgáló, kizárólag az érintett (ügyfél) nevét, lakcímét, nemét, születési helyét és idejét, az érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.

Kapcsolat-felvételi lista: kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében az érintettekkel (ügyfelekkel) való kapcsolatfelvételt szolgáló, legfeljebb az érintett nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, nemét, születési helyét és idejét, érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.

Reklámküldemény: kizárólag hirdetést, üzletszerzési vagy reklámanyagot tartalmazó – egyszerre legalább 500 címzett részére feladott, a címzett neve, címe és az üzenet jellegét nem módosító adat kivételével azonos tartalmú – a postai szolgáltatásokról szóló törvény szerinti, ott önállóan nem nevesített postai küldemény.

Minden érintettnek joga van arra, hogy

  1. megtagadja vagy megtiltsa név- és lakcímadatainak a kapcsolat-felvételi, illetve üzletszerzési listán való szerepeltetését, közvetlen üzletszerzési – illetőleg azon belül meghatározott konkrét – célra történő felhasználását, illetőleg harmadik személynek átadását,

  2. kérje személyes adatainak a Vállalkozás birtokában lévő valamennyi vagy meghatározott célú kapcsolat-felvételi illetve üzletszerzési listán történő kezelésének megszüntetését, beleértve a harmadik személy részére átadott adatokat is. A Vállalkozás köteles írásban tájékoztatni az érintettet kérésének teljesítéséről.

Az érintettet kérelmére a Vállalkozás köteles az általa kezelt adatairól írásban tájékoztatni, illetőleg azokat helyesbíteni. A harmadik személy részére átadott adatok helyesbítését vagy törlését – a hat hónapon belül továbbított adatok vonatkozásában – az érintett kérelmére a Vállalkozás köteles kezdeményezni.

A Vállalkozás köteles azonosító adataikat (név, lakcím) megfelelő módon mindazon személyek tudomására hozni, akiknek név- és lakcímadatai az üzletszerzési listán szerepelnek, illetőleg, akiket arra fel kívánnak venni.

Címzett reklámküldemény természetes személy mint a reklám címzettje részére közvetlen üzletszerzés útján a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, a reklámozó és a reklámszolgáltató azonban köteles biztosítani, hogy a reklám címzettje a reklám küldését bármikor ingyenesen és korlátozás nélkül megtilthassa. Megtiltás esetén az érintett személy részére reklám közvetlen üzletszerzés útján a továbbiakban nem küldhető.

Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek mint reklám címzettjének közvetlen üzletszerzés módszerével, így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult.

Hozzájáruló nyilatkozat bármely olyan módon tehető, amely tartalmazza a nyilatkozó nevét, illetve – amennyiben a reklám, amelyre a hozzájárulás vonatkozik, csak meghatározott életkorú személyek számára közölhető – születési helyét és idejét, továbbá azoknak a személyes adatoknak a körét, amelyek kezeléséhez a nyilatkozó hozzájárul, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését.

A hozzájáruló nyilatkozat bármikor korlátozás és indokolás nélkül, ingyenesen visszavonható. Ebben az esetben a nyilatkozó nevét és minden egyéb személyes adatát a nyilvántartásból haladéktalanul törölni kell, és részére reklám közvetlen üzletszerzés útján a továbbiakban nem közölhető.

Címzett reklámküldemény természetes személy részére közvetlen üzletszerzés útján a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, a reklámozó és a reklámszolgáltató azonban köteles biztosítani, hogy a reklám címzettje a reklám küldését bármikor ingyenesen és korlátozás nélkül megtilthassa. Megtiltás esetén az érintett személy részére reklám közvetlen üzletszerzés útján a továbbiakban nem küldhető.

A Vállalkozás a hozzájáruló nyilatkozatot tevő személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően annak visszavonásáig kezelhető és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.

A visszavonó nyilatkozat megtételére illetve a reklám küldésének megtiltására mind postai úton, mind pedig elektronikus levél útján lehetőséget kell biztosítani úgy, hogy a nyilatkozatot tevő személy egyértelműen azonosítható legyen.

A közvetlen üzletszerzés útján közölt reklámhoz kapcsolódóan

  1. egyértelműen és szembetűnően tájékoztatni kell a címzettet arról a címről és egyéb elérhetőségről, ahol az ilyen reklámok részére történő közléséhez való hozzájáruló nyilatkozatának visszavonása, illetve a reklám küldésének megtiltása iránti igényét bejelentheti, továbbá

  2. ebből a célból az ugyanazon reklámozó érdekében ugyanazon címzett részére első alkalommal küldött reklámküldeménynek tartalmaznia kell a lemondást lehetővé tevő, postai úton címzett, térítésmentesen feladható és könyvelt küldeményként, igazolható módon kézbesített válaszlevelet.

A hozzájáruló nyilatkozat kérésére vonatkozó közvetlen megkeresés reklámot nem tartalmazhat, ide nem értve a Vállalkozás nevét és megjelölését.

A direkt marketing tevékenység folytatása során joga van minden érintettnek joga arra, hogy

  1. megtagadja vagy megtiltsa adatainak az üzletszerzési listán való szerepeltetését, közvetlen üzletszerzési – illetőleg azon belül meghatározott konkrét – célra történő felhasználását, illetve harmadik személynek átadását,

  2. kérje a Vállalkozás birtokában lévő személyes adatainak valamennyi vagy meghatározott célú üzletszerzési listán történő kezelésének megszüntetését, beleértve a harmadik személy részére átadott adatokat is,

A direkt marketing tevékenység üzletszerzési listáját valamint a piackutatás alapjául szolgáló személyes adatokat az adott direkt marketing, vagy piackutatási tevékenység befejeződését követően haladéktalanul törölni kell kivéve akkor, ha az érintett az adatainak új célból történő további kezeléséhez írásban hozzájárult. Ez utóbbi esetben az adatok a hozzájárulásban meghatározott határidőig, illetve amennyiben a hozzájárulásban határidő nem szerepel, úgy az érintett ellenkező, törlési vagy visszavonási nyilatkozatáig kezelhetők, de legkésőbb a cél megszűnésével bezárólag.

12.4.2. Tilalmi nyilvántartás

A Vállalkozásnál vezetett tilalmi nyilvántartás („Robinson-lista”) célja annak biztosítása, hogy az abban szereplő érintettek adatai

  1. ismételten ne kerüljenek átvételre,

  2. harmadik személynek átadásra, illetve

  3. új kapcsolat-felvételi vagy üzletszerzési listára felvételre.

A tilalmi listán szereplő érintettektől közvetlen üzletszerzési célból küldemény fogadására vonatkozó hozzájárulás nem kérhető illetve nekik reklámküldemény nem küldhető, kivéve, ha a tilalom csak egyedileg meghatározott célra vonatkozik.

A Vállalkozásnál tilalmi nyilvántartást kell vezetni

  1. azoknak az érintetteknek a név- és lakcímadatairól, akik a direkt marketing tevékenység tekintetében megtagadták az együttműködést,

  2. kérték adataiknak az adott célból történő kezelésének megszüntetését vagy ahhoz nem járultak hozzá, illetve

  3. az adatok átvétele után a személyiadat- és lakcímnyilvántartás szervénél éltek az adatletiltási jogukkal.

A tilalmi nyilvántartásban az érintett ismert természetes személyazonosító adatain kívül – amennyiben az érintett nyilatkozata alapján ez megállapítható – szerepelnie kell azon konkrét direkt marketing tevékenység megnevezésének is, amelyre a tiltó nyilatkozat vonatkozik. A tilalmi listán szereplő adatokat a Vállalkozás fent meghatározottak teljesítésének biztosításához szükséges mértékig használhatja fel, más adatállománnyal nem kapcsolhatja össze, nem adhatja át, más célra nem használhatja fel és köteles biztosítani az érintettnek a kapcsolattartási és üzletszerzési listáról lekerülésével kapcsolatos jogainak gyakorlását.

A tilalmi listán szereplő adatok nem törölhetők.

12.5. Hatósági nyilvántartások és hatósági adatszolgáltatások

A hivatalos szervezetektől (bíróságtól, közigazgatási szervezettől, nyomozóhatóságtól) személyes adatokat érintő adatszolgáltatási megkeresést a Vállalkozás a megkeresésben megadott határidőig, ennek hiányában 15 napon belül teljesíti.

Amennyiben a Vállalkozás a megkeresés jogszerűségét aggályosnak tartja, köteles az ügyben a Hatóság sürgősségi eljárását kezdeményezni. A megkeresést ez esetben a Vállalkozás a Hatóság állásfoglalásától függően teljesíti kivéve akkor, ha az állásfoglalás a megkeresésben megadott határidő alatt nem érkezik meg a Vállalkozás részére. Ez esetben a megkeresést a megadott határidőben a Vállalkozás teljesíti.

12.6. Tájékoztatási kötelezettség megtagadási nyilvántartás

A Vállalkozás tájékoztatási kötelezettség megtagadási nyilvántartást vezet azokról az esetekről, amikor az érintettek személyes adatai kezelésével kapcsolatos tájékoztatási kérelmet a Vállalkozás megtagadta (25. sz. melléklet).

A tájékoztatási kötelezettség megtagadási nyilvántartás az alábbi adatokat tartalmazza:

  1. az adatkezelést (feldolgozást) végző szervezeti egység megnevezését,

  2. az adatkezelést (feldolgozást) végző szervezeti egységnél az adatkezelésért felelős nevét, telefonszámát,

  3. a kérelem beérkezésének időpontját,

  4. a Vállalkozás javaslatát a kérelemre,

  5. a kérelmező rendelkezésére álló személyes adatait,

  6. a tájékoztatás megtagadására vonatkozó javaslat időpontját,

  7. a döntést hozó nevét,

  8. a megtagadás okát, jogalapját,

  9. a kérelmező tájékoztatásának tényleges időpontját,

  10. a Hatóság értesítését a kérelem megtagadásról.

A nyilvántartás adatai nem törölhetők.

A tájékoztatási kötelezettség megtagadási nyilvántartás alapján az érintettnek illetve meghatalmazottja számára nyújthat tájékoztatást a Vállalkozás az érintettre vonatkozóan. A tájékoztatás feltétele, hogy a meghatalmazott által beadott írásbeli kérelem esetén a tájékoztatás kérése teljes bizonyító erejű magánokiratban érkezzen és az iratból a meghatalmazotti jogosultság kitűnjön, valamint az érintett személyazonosságát, illetve a meghatalmazott meghatalmazotti jogosultságát hitelt érdemlően igazolja.

Az elutasított kérelmekről a Vállalkozás a Hatóságot az Infotv. alapján évente a tárgyévet követő év január 31-éig értesíti.

12.7. Egyéb adatkezelések

A Vállalkozás által a elhelyezett üzenő falra minden esetben kifüggeszti annak az ügyfelek által követendő használati feltételeit (engedélyezés rendje, a kihelyezés maximális időtartama, illetve a nem engedélyezett dokumentumok megsemmisítésének esetei).

Az üzenő falra csak a Vállalkozás által engedélyezett hirdetményeket lehet kihelyezni, a nem engedélyezetteket a Vállalkozás további tájékoztatás nélkül megsemmisíti. Az engedélyezett hirdetményeket a Vállalkozás az érintett által nyilvánosságra hozott adatnak minősíti, azokat nem kezeli. (14. sz. melléklet)

A Vállalkozás a hirdetményt kihelyezni kívánó érintettel nyilatkozatot írat alá (14. sz. melléklet), melyhez csatolja a hirdetmény egy példányát.

13. A MUNKAVÁLLALÓK MUNKAVISZONNYAL ÖSSZEFÜGGŐ MAGATARTÁSÁNAK ELLENŐRZÉSÉVEL KAPCSOLATOS ADATKEZELÉS

A munkaviszony időtartama alatt a Vállalkozás gazdasági tevékenyégének megfelelő működése érdekében a munkavállalók magánszféráját pontosan körülhatárolt esetekben, garanciális követelmények megtartása mellett korlátozhatja. A munkáltatói ellenőrzés akkor tekinthető jogszerűek, amennyiben az a munkaviszony

  1. rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges,

  2. a munkáltatónak van jogalapja az ellenőrzésre (GDPR 6. cikk (1) bekezdés f) pont),

  3. a munkáltatói ellenőrzés és az annak során alkalmazott eszközök és módszerek nem járnak az emberi méltóság megsértésével, valamint a Vállalkozás betartja azt az alapelvet, miszerint a munkavállaló magánélete nem ellenőrizhető,

  4. a Vállalkozás előzetesen és megfelelően tájékoztatta a munkavállalót az adatkezelésről,

  5. az adatkezelés akkor jogszerű, ha a munkáltató az adatkezeléssel kapcsolatban betartja a GDPR és az Infotv. rendelkezéseit, azaz a célhoz kötött és a tisztességes adatkezelés elvét.

13.1. A munkavállaló „céges” internethasználatának ellenőrzése

13.1.1. A munkavállaló „céges” internethasználatával kapcsolatos előírások

A munkavállaló a céges internet használatának során csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a Vállalkozás megtiltja. A Vállalkozás informatikai rendszere blokkolhatja egyes honlapok megtekintését.

A Vállalkozás a munkavállalók „céges” internethasználatát ellenőrizheti, mellyel kapcsolatos adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés végrehajtására a Vállalkozás vezetője jogosult. A személyes adatok címzettje a Vállalkozásnál munkáltatói jogok gyakorlására jogosult vezető, illetve az ellenőrzést végző személy.

A Vállalkozás az adatkezelés megkezdése előtt érdekmérlegelés tesztet végez, mely során

  1. a Vállalkozás előzetesen meghatározza, hogy milyen céljai, érdekei miatt kerülhet sor a „céges” internethasználat ellenőrzésére. Ezen érdekeknek ténylegesnek és valósnak, a Vállalkozás tevékenységéhez, piaci helyzetéhez valamint a munkavállaló munkaköréhez igazodóaknak kell lenniük.

  2. a Vállalkozás az internethasználat ellenőrzése előtt közli a munkavállalókkal, hogy pontosan milyen érdekei miatt kerül sor a munkáltatói intézkedésre,

  3. az ellenőrzés csak az ellenőrzéshez szükséges személyes adatok megismerésére terjedhet ki,

  4. amennyiben a Vállalkozás bizonyos honlapok látogatását blokkolja, az ellenőrzése csak annak megállapítására terjed ki, hogy a munkavállaló betartotta-e ezt a munkáltatói rendelkezést. Ebben az esetben az ellenőrzés során a fokozatosság elvét figyelembe véve elegendő a honlap címének a megismerése és feljegyzése és nem szükséges a munkavállalónak az adott honlapon történt tevékenységének részletes feltérképezése.

Az internethasználat ellenőrzése jogszerűsége érdekében a Vállalkozás előzetesen részletes tájékoztatja a munkavállalót (8. sz. melléklet). A tájékoztatóban a Vállalkozásnak ki kell térnie többek között arra, hogy:

  1. milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az internethasználat ellenőrzésére (illetve a konkrét ellenőrzés előtt is tájékoztatni kell a munkavállalót arról, hogy az adott esetben milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),

  2. a munkáltató részéről ki végezheti az ellenőrzést,

  3. milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása),

  4. mi az eljárás menete, valamint

  5. milyen jogai és jogorvoslati lehetőségeik vannak a munkavállalóknak az internet használatának ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítani kell az ellenőrzés időtartama alatt a munkavállaló jelenlétét.

A „céges” internet jelen szabályzattal ellentétes használata miatt a munkáltató munkajogi jogkövetkezményeket alkalmazhat a munkavállalóval szemben.

Amennyiben a Vállalkozás munkavállalója munkakörében eljárva a Vállalkozás nevében regisztrál, akkor az internetes regisztráció jogosultja a Vállalkozás. A regisztráció során a Vállalkozásra utaló azonosítót, jelszót kell alkalmazni és a regisztrációkról nyilvántartást kell vezetni. Amennyiben a regisztrációhoz személyes adatok megadása is szükséges, a regisztrációt végrehajtó munkavállaló munkaviszonyának megszűnésekor azt törli a Vállalkozás.

13.1.2. A munkavállaló „céges” e-mail fiókjának használata

Amennyiben a Vállalkozás „céges” e-mail fiókot bocsát a munkavállaló rendelkezésére, akkor ezt az e-mail címet és fiókot kizárólag csak munkaköri feladatai elvégzése érdekében használhatja:

  1. a Vállalkozás más munkavállalóival kapcsolattartásra, illetve

  2. a Vállalkozás nevében ügyfelekkel, egyéb személyekkel és szervezetekkel kapcsolattartásra.

A munkavállaló a „céges” e-mail fiókot személyes célra nem használhatja, abban személyes levelezést nem tárolhat. A Vállalkozás jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen ellenőrizni, arról másolatot készíteni. A „céges” e-mail fiók használatáról a Vállalkozás a munkavállalókat írásban tájékoztatja (8. sz. melléklet).

A „céges” e-mail fiók ellenőrzése során az adatkezelés jogalapja a munkáltató jogos érdeke, az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, illetve a munkavállalói kötelezettségek ellenőrzése. Az adatkezelés megkezdése előtt a Vállalkozás érdekmérlegelési tesztet végez (13. sz. melléklet).

Az ellenőrzés végrehajtására a Vállalkozás vezetője jogosult és az e-mail fiók használatával kapcsolatos szabályokról, az ellenőrzésről, illetve az ellenőrzésre felhatalmazott személyek köréről – köre-mail formájában – rendszeresen tájékoztatja a munkavállalókat.

Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítani kell az ellenőrzés időtartama alatt a munkavállaló jelenlétét.

Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy

  1. milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az e-mail fiók ellenőrzésére (illetve a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),

  2. a Vállalkozás részéről ki végezheti az ellenőrzést,

  3. milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása),

  4. mi az eljárás menete,

  5. milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

A Vállalkozás köteles a fokozatosság elvét követni, ennek megfelelően az ellenőrzés során elsődlegesen az e-mail címéből és tárgyából kell megállapítani azt, hogy az a munkavállaló munkaköri feladatával kapcsolatos-e vagy személyes. A személyes tárgyú e-mailek tartalmának megismerésére a Vállalkozás nem jogosult, míg a nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.

Amennyiben az ellenőrzés során megállapítást nyer, hogy a munkavállaló jelen Szabályzat rendelkezéseit megsértve magáncélra is használta „céges” e-mail fiókját, abban az esetben fel kell szólítani, hogy haladéktalanul törölje a személyes adatokat. Amennyiben az ellenőrzés során a munkavállaló nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató munkajogi jogkövetkezményeket alkalmazhat a munkavállalóval szemben.

Az e-mailek végleges törlésének időpontját az e-mailek tárgya alapján a munkáltatói jogok gyakorlója határozza meg.

13.2. Céges tulajdonú laptop, okostelefon, tablet, kamera, egyéb adattárolásra alkalmas eszköz használatának ellenőrzése

13.2.1. Adattárolásra alkalmas eszközökkel kapcsolatos ellenőrzés adatkezelése

Amennyiben a Vállalkozás munkavégzés céljából számítógépet, laptopot, tabletet, okostelefont, fényképezőgépet, kamerát vagy egyéb, adattárolásra alkalmas eszközt (jelen pontban a továbbiak eszközöket) bocsát a munkavállaló rendelkezésre, azt a munkavállaló kizárólag munkaköri feladata ellátása érdekében használhatja, ezen készülékek magáncélú használata tilos. Ezeken az eszközökön a munkavállaló semmilyen személyes adatot, levelezést, fotót, videót nem kezelhet és nem tárolhat sem önállóan, sem különféle alkalmazások keretében valamint tudomásul veszi, hogy a munkáltató ezeket az eszközöket és az azokon tárolt adatokat rendszeresen ellenőrizheti.

A céges eszközök használatával kapcsolatban a Vállalkozás köteles érdekmérlegelési tesztet készíteni, melyben figyelembe kell venni

  1. a célhoz kötött adatkezelést,

  2. a szükségesség-arányosság követelményeit valamint

  3. az érintettek magánszféráját (13. sz. melléklet).

Az eszközök tartalmának jogszerű ellenőrzése érdekében a Vállalkozás előzetesen részletes tájékoztatót biztosít a munkavállalók számára, melyben kitér többek között arra, hogy

  1. milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az eszközök ellenőrzésére (illetve a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre),

  2. a Vállalkozás részéről ki végezheti az ellenőrzést,

  3. milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása),

  4. mi az eljárás menete,

  5. milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak a céges eszközök ellenőrzésével együtt járó adatkezeléssel kapcsolatban (9. sz. melléklet).

A céges eszközök ellenőrzése során az adatkezelés jogalapja a munkáltató jogos érdeke, az ellenőrzés célja ezen készülékek használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, illetve a munkavállalói kötelezettségek ellenőrzése.

Az ellenőrzés végrehajtására a Vállalkozás vezetője, illetve a munkáltatói jogok gyakorlója jogosult. A személyes adatok címzettje a Vállalkozásnál munkáltatói jogok gyakorlására jogosult vezető, illetve az ellenőrzést végző személy.

Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítani kell az ellenőrzés időtartama alatt a munkavállaló jelenlétét.

Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy

  1. milyen munkáltatói érdek alapján történik az ellenőrzés,

  2. a Vállalkozás részéről ki végezheti az ellenőrzést,

  3. milyen szabályok szerint kerülhet sor ellenőrzésre,

  4. mi az eljárás menete, valamint

  5. milyen jogai és jogorvoslati lehetőségei vannak a munkavállalónak a céges készülékek ellenőrzés kapcsán.

A Vállalkozás köteles betartani a fokozatosság elvét, ennek megfelelően az ellenőrzés során elsődlegesen a tárolt fájlok és levelek megnevezéséről illetve címzettjéből és tárgyából kell megállapítani azt, hogy az a munkavállaló munkaköri feladatával kapcsolatos-e vagy személyes. A nem személyes célú fájlok és e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja, a személyes fájlok tartalmának megismerésére nem jogosult annak ellenére sem, hogy a készülékek személyes használata jelen szabályzat szerint nem megengedett.

Amennyiben az ellenőrzés során megállapítást nyer, hogy a munkavállaló jelen szabályzat rendelkezéseit megsértve magáncélra is használta céges készülékét, abban az esetben fel kell szólítani, hogy haladéktalanul törölje arról a személyes adatokat. Amennyiben az ellenőrzés során a munkavállaló nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli. Ezen készülékek szabályzattal ellentétes használata miatt a munkáltató munkajogi jogkövetkezményeket alkalmazhat a munkavállalóval szemben.

13.2.2. A „céges” telefon használatának ellenőrzésének adatkezelése

A Vállalkozás nem engedélyezi a céges mobiltelefon magáncélú használatát, céges mobiltelefont munkavállaló csak munkavégzéssel összefüggő célokra használhat. A munkáltató ellenőrizheti valamennyi kimenő hívás hívószámát és adatait mind a híváslista, mind a telefonban tárolt adatok alapján.

Amennyiben a munkavállaló a céges mobiltelefont magáncélra használta, azt köteles bejelenteni a munkáltatónak. Ez esetben az ellenőrzéshez a Vállalkozás a szolgáltatótól hívásrészletezőt kér és megkéri a munkavállalót arra, hogy a listán a magáncélú hívások hívószámát tegye felismerhetetlenné. A magáncélú hívások költségeit a munkavállaló viseli.

A céges mobiltelefon használatának ellenőrzése során az adatkezelés jogalapja a munkáltató jogos érdeke. Az adatkezelés megkezdése előtt a Vállalkozásnak érdekmérlegelési tesztet kell végeznie (13. sz. melléklet).

Az adatkezelés jogszerűségének érdekében a Vállalkozás előzetesen részletes tájékoztatást biztosít a munkavállalók számára. A tájékoztatóban a munkáltatónak ki kell térnie többek között arra, hogy:

  1. milyen célból, milyen munkáltatói érdekek miatt kerülhet sor a céges mobiltelefon használatának ellenőrzésére,

  2. a Vállalkozás részéről ki végezheti az ellenőrzést,

  3. milyen szabályok szerint kerülhet sor ellenőrzésre,

  4. mi az eljárás menete,

  5. milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak céges mobiltelefon ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

A Vállalkozásnál használt vezetékes telefonok esetében a céges mobiltelefon használatának szabályait kell irányadónak tekinteni.

A mobiltelefon okostelefonként használatára (internet, levelezés, alkalmazások, stb.), az ellenőrzésére valamint a nem szabályzatnak megfelelő használat jogkövetkezményire a 14.1. és 14.2 pontokban foglalt rendelkezések az irányadók.

13.3. GPS navigációs rendszerrel kapcsolatos adatkezelés

A GPS navigációs rendszer által tárolt adat a gépjárművet vezető személyes adatának minősül.

A GPS alkalmazásának célja a jármű helyzetének meghatározása nem pedig a munkavállaló követése. A munkafolyamatok és ezáltal közvetve a munkavállaló ellenőrzése kizárólag munkával és munkaszervezéssel összefüggő célokat szolgálhat a Vállalkozásnál.

A GPS rendszer alkalmazása esetén az adatkezelés jogalapja a munkáltató jogos érdeke. A Vállalkozásnak az adatkezelés megkezdése előtt adatmérlegelési tesztet kell végeznie (13. sz. melléklet), melynek ki kell terjednie annak vizsgálatára, hogy az alkalmazás során megvalósul-e

  1. a célhoz kötött adatkezelés,

  2. a szükségesség-arányosság követelményei valamint

  3. az érintettek magánszférájának védelme.

A Vállalkozásnál a GPS rendszer alkalmazásának célja:

  1. az egyes munkakörök esetében hatékonyabb munkafolyamat-szervezés,

  2. a gépjármű szállítmánya illetve rakománya kiemelten védendő (jelentős összegű készpénz, nagy értékű vagyontárgy, veszélyes áru szállítása), vagy maga a gépjármű figyelemmel kísérendő (a tervezett útvonal veszélyessége miatt), illetve a gépjármű értéke már maga indokolja a fokozott védelmet, akkor ennek a védelemnek a biztosítása, illetve

  3. a munkavállalók életének, testi épségének a megóvása.

A navigációs rendszerrel kapcsolatban a Vállalkozásnál kezelt adatok a gépjármű rendszáma, a megtett útvonal és távolság valamint a gépjárműhasználat ideje.

Az ellenőrzés lefolytatására a Vállalkozás vezetője jogosult. A személyes adatok címzettje a Vállalkozásnál munkáltatói jogok gyakorlására jogosult vezető, illetve az ellenőrzést végző személy.

A GPS navigációs rendszer jogszerű alkalmazásának érdekében a Vállalkozás előzetes tájékoztatást biztosít a munkavállalók részére, melynek ki kell térnie – többek között – arra, hogy

  1. milyen célból, milyen jogalap alapján és milyen munkáltatói érdekek miatt kerülhet sor az GPS navigációs rendszer adatainak felhasználására,

  2. a Vállalkozás részéről ki férhet hozzá ezekhez az adatokhoz,

  3. milyen szabályok szerint kerülhet sor az adatok megismerésére,

  4. ki végezheti az ellenőrzést a Vállalkozás részéről,

  5. mi az eljárás menete,

  6. amennyiben a munkáltató az Mt. 11. §-ával összhangban végez ellenőrzést, akkor annak szabályaira (a fokozatosság elvének betartása),

  7. mi az ellenőrzés menete,

  8. milyen jogai és jogorvoslati lehetőségei vannak a munkavállalónak a GPS rendszer alkalmazásával együtt járó adatkezeléssel kapcsolatban (9. sz. melléklet).

A GPS-szel kapcsolatos ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül.

13.4. Munkahelyi be- és kiléptető rendszerekkel kapcsolatos adatkezelés

Nem elektronikus beléptető rendszer működtetése esetén a be- és kiléptető ponton tájékoztatást kell elhelyezni az adatkezelő személyéről és az adatok kezelésének módjáról.

A kezelhető személyes adatok köre a természetes személy neve, lakcíme vagy az általa képviselt szervezet neve, a gépkocsi rendszáma, a belépés és kilépés ideje. A munkavállalókról fénykép csak abban az esetben készíthető, ha az célhoz kötötten történik (a beléptető rendszerhez) és erről a munkavállalókat előzetesen tájékoztatták. A Vállalkozás a fotókat nem hozhatja nyilvánosságra csak az érintett önkéntes hozzájárulásával.

Az adatkezelés jogalapja a munkáltató jogos érdekének érvényesítése, célja pedig szerződés teljesítése, a munkavállalói kötelezettségek teljesítésének ellenőrzése valamint a vagyonvédelem. A személyes adatok kezelésének időtartama 6 hónap.

A személyes adatok címzettjei a Vállalkozás vezetője.

13.5. Elektronikus megfigyelőrendszerek

A Vállalkozás a székhelyén (telephelyén, az ügyfélfogadásra nyitva álló helyiségeiben)

  1. emberi élet, testi épség, személyi szabadság védelme,

  2. veszélyes anyagok őrzése,

  3. üzleti titok védelme valamint

  4. vagyonvédelem

érdekében elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést tesz lehetővé (továbbiakban felvétel). A Vállalkozás a kamerarendszer működtetése tekintetében külön szabályzatot készít (18. sz. melléklet).

A Vállalkozásnál csak abban az esetben működtethető kamera a munkavállalók élet- és testi épségének védelme céljából, ha a veszély ténylegesen fennáll és közvetlen. Eshetőleges veszély nem lehet elfogadható adatkezelési cél.

A Vállalkozás a megfigyelőrendszert kizárólag a saját használatában álló épületrészek, helyiségek és területek, illetve az ott történt események megfigyelésére alkalmazhat, közterület megfigyelésére nem. Nem lehet olyan kamerát elhelyezni, amely kizárólag egy munkavállalót és az általa végzett tevékenységét figyeli meg, illetve amelynek célja a munkavállalók munkahelyi viselkedésének a befolyásolása.

A Vállalkozás nem alkalmazhat elektronikus megfigyelőrendszert olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben, továbbá az olyan helyiségben sem, amelyet a Vállalkozás a munkavállalók munkaközi szünetének eltöltése céljából jelölt ki. Amennyiben vagyonvédelmi szempontból indokolt, a munkaközi szünet eltöltésére kijelölt helyiségben a Vállalkozás alkalmazhat kamerát, de ebben az esetben a kamera látószöge kizárólag a védendő vagyontárgyra irányulhat.

Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) is megfigyelhetők.

Az elektronikus eszköz által rögzített felvételen az érintett magatartása személyes adatnak minősül.

A Vállalkozás a kamerás megfigyelőrendszerrel kapcsolatban köteles érdekmérlegelési tesztet készíteni (13. sz. melléklet).

Elektronikus megfigyelőrendszer alkalmazása során az adatkezelés jogalapja a munkáltató jogos érdeke (a munkavállalók tekintetében) és az érintett hozzájárulása (a nem munkavállalók tekintetében).

Az elektronikus megfigyelőrendszer adott területen történő alkalmazásáról jól látható helyen és olvashatóan, a területen megjelenni kívánó harmadik személyek számára a tájékozódását elősegítő módon figyelemfelhívó tájékoztatást (jelzést) kell elhelyezni. Ezt a tájékoztatást minden egyes kamera vonatkozásában meg kell adni (10. sz. melléklet).

A munkavállalónak adott írásbeli tájékoztatásnak ki kell terjednie:

  1. az adatkezelés jogalapjára,

  2. az egyes kamerák elhelyezésére és a vonatkozásukban fennálló célra, az általuk megfigyelt területre, tárgyra, illetőleg arra, hogy az adott kamerával közvetlen vagy rögzített megfigyelést végez-e a Vállalkozás,

  3. az elektronikus megfigyelőrendszert üzemeltető (jogi vagy természetes) személy meghatározására,

  4. a felvétel tárolásának helyére és időtartamára,

  5. a felvételek tárolásával kapcsolatos adatbiztonsági intézkedésekre,

  6. az adatok megismerésére jogosult személyek körére illetőleg arra, hogy a felvételeket mely személyek, szervek részére és milyen esetben továbbíthatja,

  7. a felvételek visszanézésére vonatkozó szabályokra illetőleg arra, hogy a felvételeket milyen célból használhatja fel a munkáltató,

  8. arra, hogy a munkavállalókat milyen jogok illetik meg az elektronikus megfigyelőrendszerrel összefüggésben és milyen módon tudják gyakorolni a jogaikat,

  9. arra, hogy az információs önrendelkezési joguk megsértése esetén milyen jogérvényesítési eszközöket vehetnek igénybe. (10. sz. melléklet).

A tájékoztatás szövegének egyszerűnek, szakzsargon mentesnek és bárki számára könnyen érthetőnek kell lennie.

A Vállalkozásnak igazolnia kell, hogy a munkavállalók a kamerarendszerrel kapcsolatos tájékoztatást ténylegesen megkapták (írásbeli ellenjegyzéssel vagy kérdőív kitöltésével és aláírásával). Jelen szabályzat hatálybalépésének időpontjában már munkaszerződéssel rendelkező munkavállalók esetében az igazolást a fenti követelményeknek megfelelő tájékoztatás rendelkezésre bocsátásával és megismertetésével, valamint aláíratásával lehet megszerezni. Az új munkavállalókat a munkába állás előtt a munkaszerződéstől független dokumentumban kell tájékoztatni.

A Vállalkozásnak minden egyes kamera vonatkozásában pontosan meg kell jelölnie, hogy az adott kamerát milyen célból helyezte el az adott területen és milyen területre, berendezésre irányul a kamera látószöge, a Vállalkozás ezzel igazolja a munkavállalók számára azt, hogy miért tekinthető szükségesnek az adott terület megfigyelése. Tilos rejtett kamera használata.

Az elektronikus megfigyelőrendszerrel megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, stb.) hozzájárulásukkal felvétel készíthető illetve kezelhető, mely hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás az érintett részéről, ha a megfigyelt területre az oda a Vállalkozás által jól látható módon kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés ellenére belép (11. sz. melléklet).

A Vállalkozás a rögzített felvételeket főszabályként három munkanapig tárolhatja, kivéve ha igazolja, hogy valamely munkakör betöltése olyan kivételes esetet jelent, amikor – a célhoz kötöttség elvével és az érdekmérlegelés tesztjével összhangban – a felvételeket három munkanapnál hosszabb időtartamig szükséges megőrizni, illetve ha az Szvtv. 31. § (3)-(4) bekezdésében szereplő valamely különös körülmény fennáll, akkor a Hatóság elfogadja, hogy a felvételeket harminc, illetőleg hatvan napig lehet tárolni.

A felvétel felhasználásnak az minősül, ha a rögzített felvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánja arra jogosult felhasználni.

Az, akinek jogát vagy jogos érdekét a felvétel adatának rögzítése érinti, felvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti a Vállalkozásnál, hogy az adatot ne semmisítse meg, illetve ne törölje le.

A Vállalkozás az érintett kérésére a felvételeket zárolja, ám amennyiben bíróság vagy hatóság 30 napon belül nem kéri azokat, a zárolt felvételeket meg kell semmisíteni. A Vállalkozás nem adhat ki olyan felvétel-másolatot, amely a kérelmezőn kívül más érintettek személyes adatait is tartalmazza.

A tájékoztatásában meg kell határozni a felvételek őrzésének helyét, a megfigyelőrendszerrel tekintetében illetékes személyt és annak elérhetőségét valamint azt, hogy hol található az a formanyomtatvány, amely segítségével kérelmezhetik adott felvétel megtekintését (12. sz. melléklet).

Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a Vállalkozás vezetője jogosult. Az adatok törlésére – amennyiben nem érkezett zárolási kérelem – jelen szabályzatban rögzített határidőben a Vállalkozás vezetője jogosult.

A zárolt adatokat 30 nap elteltével a Vállalkozás vezetője semmisíti meg, a megsemmisítésről jegyzőkönyvet készít.

14. WEBÁRUHÁZ ÜZEMELTETÉSSEL KAPCSOLATOS ADATKEZELÉS

14.1. Tájékoztatási kötelezettség

Az adatkezelés jogalapja

  1. az érintett hozzájárulása, GDPR 6. cikk (1) bekezdés a) pont (regisztráció),

  2. szerződés teljesítése GDPR 6. cikk (1) bekezdés b) pont (megrendelés, illetve a szerződés teljesítése, netalán garanciális ügyek esetében), illetve

  3. jogi kötelezettség GDPR 6. cikk (1) bekezdés c) pont (számlázás).

Az érintett hozzájárulása csak akkor fogadható el, ha az valóban önkéntes és megfelelő tájékoztatáson alapul. A tájékoztatás a szerződés teljesítésén, illetve a jogi kötelezettségen alapuló adatkezelések esetében is szükséges (15. sz. melléklet).

A GDPR által előírt tájékoztatási kötelezettség mellett az Eker tv. alapján a Vállalkozás köteles elektronikus úton, közvetlenül és folyamatosan, könnyen hozzáférhető módon közzétenni az alábbi adatokat:

  1. a Vállalkozás neve,

  2. a Vállalkozás székhelye, telephelye, ennek hiányában az adatkezelő lakcíme,

  3. a Vállalkozás elérhetőségére vonatkozó adatok, különösen az ügyfelekkel (vásárlókkal) való kapcsolattartásra szolgáló, rendszeresen használt elektronikus levelezési címe,

  4. a Vállalkozást a nyilvántartásba bejegyző bíróság vagy hatóság megnevezését, és a Vállalkozás nyilvántartásba vételi számát,

  5. ha a Vállalkozás tevékenységének gyakorlása jogszabály alapján engedélyköteles, ezt a tényt az engedélyező hatóság megnevezésével és elérhetőségi adataival, valamint az engedély számával együtt,

  6. ha a Vállalkozás az általános forgalmi adó alanya, a Vállalkozás adószáma,

  7. szabályozott szakmák gyakorlásának körében:

  • annak a szakmai érdek-képviseleti szervnek (kamarának) a megnevezése, amelynek a Vállalkozás akár kötelező előírás alapján, akár önkéntesen tagja,

  • hivatkozás a szabályozott szakma gyakorlásának a Vállalkozás letelepedési helye szerinti államban alkalmazandó szakmai szabályokra és az azokhoz való hozzáférés módjára,

  1. a Vállalkozás részére a tárhely szolgáltató székhelye, telephelye, az elérhetőségére vonatkozó adatok, különösen a kapcsolattartásra szolgáló, rendszeresen használt elektronikus levelezési cím.

A Vállalkozásnak úgy kell megválasztania és úgy kell üzemeltetnie a webáruházat, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához feltétlenül szükséges (adatminimalizálás elve), illetve ezeket az adatokat csak a szükséges mértékben és ideig kezelheti. A Vállalkozás a szolgáltatás igénybevételével kapcsolatos adatokat a szolgáltatástól eltérő célból (például a szolgáltatás hatékonyságának növelése vagy a vevőnek címzett elektronikus hirdetés vagy más címzett tartalom eljuttatása illetve piackutatás céljából) csak az adatkezelési cél előzetes meghatározása mellett és csak az érintett erre irányuló felhatalmazása esetén kezelheti.

A Vállalkozásnak a webáruház adatkezelési tájékoztatójában, amelyet GDPR és az Infotv. előírásainak megfelelően állít össze, az adatkezelési célok között külön meg kell határoznia az Eker tv. alapján a szolgáltatás nyújtásától eltérő adatkezeléseket is (például hírlevél küldését, a honlap hatékonyságának növelése céljából végzett méréseket, ha az személyes adatok kezelésével is jár, viselkedés alapú marketinget), és a hozzájuk tartozó külön adatkezeléssel kapcsolatos konkrét tudnivalókról is tájékoztatni kell az érintetteket.

Az adatkezelési tájékoztatót a honlapon úgy kell elhelyezni, hogy az mindenhonnan könnyen elérhető legyen (például a honlap „fejlécében” vagy „láblécében”). Abban az esetben, ha az adatkezelési tájékoztató mégsem érhető el mindenhonnan, akkor az legalább a weboldal főoldaláról és azokon az aloldalakon elérhető kell, hogy legyen, ahol az érintett az adatkezeléssel kapcsolatos hozzájárulását megadja. A regisztrációkor illetve az adatok felvételekor az adatkezeléssel kapcsolatos hozzájárulás megadásánál a Vállalkozás a tájékoztatót közvetlenül is elérthetővé teszi.

A Vállalkozás úgy fogalmazza meg a tájékoztatót, hogy az adatkezelés célközönsége valóban értse azt, amit a Vállalkozás az adatok kezelésével kapcsolatosan közölni kíván.

Az Eker tv. alapján a Vállalkozásnak a szolgáltatás nyújtását megelőzően és a szolgáltatás nyújtása során is folyamatosan biztosítania kell, hogy a kötelező adatkezelések kivételével az érintett az adatkezelést bármikor megtilthassa.

Az érintett hozzájárulása és szerződés teljesítése alapján kezelt személyes adatok nem kapcsolhatók össze az érintett azonosító adataival és az érintett hozzájárulása nélkül nem adhatók át harmadik személyeknek.

Az adatkezeléshez hozzájárulást igazoló checkboxnál kötelező belinkelni a vonatkozó adatkezelési tájékoztatót, így azt az érintett a hozzájárulás megadásánál elolvashatja és ennek tudatában hozhatja meg a döntését arról, hogy az adatkezeléshez hozzájárul-e. Az előre kipipált, illetve az előre be nem pipál, ám a küldés során a rendszer által automatikusan kipipált checkbox nem felel meg a határozottság és félreérthetetlenség követelményének.

A Vállalkozás – a személyes adatok hozzájárulás nélküli kezelése miatt – tartózkodik az „ajánlom az ismerősömnek” reklámlehetőség használatától.

A Vállalkozás a weboldalainak informatikai rendszerét úgy alakítja ki, hogy minden esetben utólag is igazolható és rekonstruálható legyen az, hogy az érintett az adatkezelésre vonatkozó hozzájárását valóban megadta.

A Vállalkozásnak törölni kell a szolgáltatás nyújtásához technikailag nem elengedhetetlen adatokat (például hírlevél, marketing tevékenység céljából felvett adatokat), ha az adatkezelési cél megszűnt vagy a szolgáltatás igénybevevője így rendelkezik (például leiratkozik a hírlevélről). Törvény eltérő rendelkezése hiányában az ilyen adatok törlését haladéktalanul el kell végezni.

A szolgáltatás nyújtása nem tehető függővé az igénybevevőnek a szolgáltatás nyújtásához nem elengedhetetlenül szükséges adatainak kezeléséhez való hozzájárulásától, amennyiben az adott szolgáltatás más szolgáltatótól nem vehető igénybe.

A Vállalkozásnak biztosítania kell, hogy a webáruház adatkezelési tájékoztatója a szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhető legyen az érintettek számára. A tájékoztatóban részletesen fel kell tüntetni, hogy a szolgáltató milyen adatkezelési célokból milyen adatfajtákat kezel (regisztráció, számlázás, szállítás stb.). Ez a rendelkezés vonatkozik mind a hozzájáruláson alapuló, mind a szerződés teljesítése, mind a jogi kötelezettségen alapuló adatkezelésekre is. A Vállalkozás tájékoztatási kötelezettsége kiterjed a felhasználóval közvetlenül kapcsolatba nem hozható adatokra is (például a sütik alkalmazására).

A Vállalkozás a webáruházzal kapcsolatos feladatok teljesítéséhez adatfeldolgozó szolgáltatásait vehet igénybe. Az adatfeldolgozó a Vállalkozás megbízása alapján elvégzi az adatfeldolgozási technikai műveleteket, az adatok érdemi sorsába illetve az adatkezelésbe azonban nincs beleszólása. A Vállalkozás az adatfeldolgozóval írásbeli szerződést köt. Az adatkezelési tájékoztatóban az adatfeldolgozó nevét, elérhetőségét és a Vállalkozás számára nyújtott szolgáltatását is fel kell tüntetni.

14.2. A Vállalkozás által alkalmazott sütik

A Vállalkozás a webáruház oldalain sütiket (cookies, session) alkalmaz. Nem szükséges beszerezni a hozzájárulást az alábbi süti típusokhoz, ezek alkalmazásáról elegendő csak tájékoztatást nyújtani:

  1. a felhasználó által rögzített adatokat tároló sütik („user-input cookies”),

  2. hitelesítési munkamenet-sütik („authentication cookies”),

  3. felhasználóközpontú biztonsági sütik („user centric security cookies”),

  4. multimédia-lejátszó munkamenet-sütik („multimedia player session cookie”),

  5. terheléskiegyenlítő munkamenet-sütik („load balancing session cookies”),

  6. a felhasználói felület testreszabását segítő munkamenet-sütik („user interface customization cookies”).

A Vállalkozás nem alkalmazhat illetve nem engedélyezhet a honlapján olyan sütiket, amelynek nyomán harmadik személyek a felhasználó hozzájárulása nélkül adatot gyűjthetnek. A Vállalkozásnak kiemelt figyelmet kell fordítania az un. social plug-in modulok alkalmazására, így különösen arra, hogy azokon keresztül a közösségi oldalak elhelyeznek-e olyan sütiket, amelyek alkalmasak a felhasználók tevékenységének nyomon követésére vagy más módon adatot gyűjtenek-e a felhasználókról.

A Vállalkozás csak olyan sütiket alkalmazhat, amelyekről egyértelműen meg tudja állapítani, hogy a webáruház milyen adatokat kezel a sütin keresztül, illetve milyen célból és mely harmadik személyek számára gyűjtenek adatokat. Amennyiben a Vállalkozás nincs pontosan tisztában valamely süti alkalmazásával együtt járó adatgyűjtéssel, akkor nem alkalmazhatja az adott sütit a honlapján.

A sütik alkalmazásáról előzetesen tájékoztatni kell felhasználókat. A Vállalkozásnak, mint a webáruház üzemeltetőjének az általa alkalmazott sütikkel kapcsolatban a tájékoztatóban:

  1. meg kell jelölnie a süti nevét, amelyen keresztül a felhasználók a böngészőjükben azonosítani tudják a honlap üzemeltetője vagy a harmadik személy által alkalmazott sütiket,

  2. minden egyes süti esetében külön-külön ki kell fejteni, hogy milyen adatokhoz is férnek hozzá, illetve meg kell jelölni azt is, hogy mi a süti élettartama,

  3. rövid, közérthető tájékoztatást kell nyújtania a sütik funkciójáról valamint arról, hogy az adott süti miért szükséges a webáruház számára vagy milyen funkciót nyújt az érintett részére.

  4. feltünteti azt a linket, amelyen keresztül a felhasználók megismerhetik, hogy a leggyakrabban használt böngészők esetében (Mozilla Firefox, Google Chrome, stb.) hogyan találják meg a sütik kezelésére vonatkozó menüpontot, funkciót.

A Vállalkozás tájékoztatási kötelezettsége során figyelembe veszi az alábbi követelményeket:

  1. a felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a Vállalkozás röviden összefoglalja a tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére. Elegendő, ha egy felhasználó esetében egy alkalommal jelenik meg a tájékoztatás, és amíg a sütik alkalmazásának körülményei nem változnak, a honlapon nem jelenik meg újabb tájékoztatás az adott felhasználó számára. Gondoskodni kell továbbá arról is, hogy tájékoztatás később is könnyen elérhető legyen a weboldalon a felhasználók számára. A Vállalkozásnak gondoskodnia kell arról is, hogy a tájékoztatás kikapcsolásához a vásárlóknak valamilyen aktív cselekvést kelljen kifejteniük (például egy popup ablak vagy egy layer kikapcsolása, vagy a honlap első megtekintése során kiválasztja annak az ország zászlaját, amelynek nyelvén szeretné megtekinteni a honlapot, stb.).

  2. a hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a Vállalkozás röviden összefoglalja a tájékoztatás lényegét, és egy linken keresztül utal a teljes körű tájékoztató elérhetőségére. Azonban ekkor a Vállalkozásnak kiemelt figyelmet kell fordítania arra, hogy olyan információkat közöljön a felhasználókkal, amelynek alapján azok megalapozottan tudnak döntést hozni arról, hogy a hozzájárulnak-e a sütin keresztül az adatkezeléshez.

A felhasználók hozzájárulásán alapuló sütik nem települhetnek mindaddig, amíg a webáruház üzemeltetője, azaz a Vállalkozás nem szerezte meg a hozzájárulást, illetve a felhasználók addig nem férhetnek hozzá a honlaphoz vagy valamely tartalmához, funkciójához, amíg nem nyilatkoztak a hozzájárulásukon alapuló sütik elfogadásáról vagy tiltásáról. A hozzájárulás esetében biztosítani kell az önkéntességet.

A Vállalkozásnak sütinként külön-külön kell beszereznie a felhasználók hozzájárulását.

A Vállalkozás kiemelt figyelmet fordít a social plug-in modulokra, amelyek csak akkor tartoznak a kivétel alá, ha azok kizárólag abban működnek közre, hogy a felhasználó által kért tartalmat megjelenítsék a közösségi oldalon (például a felhasználó profiloldalán vagy üzenő falán). Amennyiben a social plug-in modulok ezen túlmenően más célból is gyűjtenek adatot, akkor a Vállalkozásnak intézkedéseket kell hozniuk annak érdekében, hogy megakadályozzák az adatok áramlását például „inaktív” social plug-in modulok alkalmazásával, mely során semmilyen adattovábbításra nem kerülhet sor a honlap és a közösségi oldal között mindaddig, amíg a felhasználó kifejezetten nem kéri azt. Ekkor a social plug-in modulok a felhasználók számára szürke színben jelennek meg a weblapon jelezve azt, hogy az adott modulokon keresztül a közösségi oldal nem kap semmilyen adatot a felhasználó tevékenységéről.

A Vállalkozás tájékoztatja az érintettet arról, hogy milyen adatok továbbításával jár együtt a funkció használata és felhívja a felhasználó figyelmét arra, hogy a közösségi oldalon tájékozódhat a közösségi oldal által alkalmazott sütikről.

A harmadik személyek számára adatot gyűjtő sütik illetve a felhasználók tevékenységét nyomon követő sütik túlnyomórészt már a honlap első használata során adatokat gyűjtenek, az ilyen valamennyi süti esetében külön-külön checkbox-on keresztül kell a felhasználó határozott és félreérthetetlen beleegyezését szerezni ahhoz, hogy a Vállalkozás vagy harmadik személy sütit helyezzen el a felhasználó eszközén.

14.3. Az adatok kezelése

A webáruházban történő vásárlás esetén az adatkezelés jogcíme szerződés.

A Vállalkozás

  1. a 2001. évi CVIII. törvény 13/A § (1) bekezdése alapján (jogcímén) a szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti a webáruházban regisztráló és vásárló természetes személyek azonosításához szükséges személyazonosító adatokat és lakcímét,

  2. az érintett hozzájárulása jogcímén a telefonszámát, e-mail címét, bankszámlaszámát és online azonosítóját, valamint

  3. számlázás céljából a 2001. évi CVIII. törvény 13/A § (2) bekezdés alapján a természetes személyazonosító adatokat, lakcímet, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat.

A személyes adatok címzettjei

  1. a Vállalkozás ügyfélkiszolgálással és marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói,

  2. adatfeldolgozóként a Vállalkozás számviteli és adózási feladatait ellátó szervezet munkavállalói az adó- és számviteli kötelezettségek teljesítése céljából,

  3. a Vállalkozás IT szolgáltatójának munkavállalói a tárhelyszolgáltatás és egyéb IT-szolgáltatás teljesítése céljából, valamint

  4. a futárszolgálat, a Magyar Posta illetve az átadópont munkavállalói a szállítási, kézbesítési adatok (név, cím, telefonszám) vonatkozásában.

A személyes adatok kezelésének időtartama: a regisztráció és/vagy a szolgáltatás fennállásáig illetve az érintett hozzájárulásának visszavonásáig (törlési kérelméig), vásárlás esetén a vásárlás évét követő 5 évig.

Adatfeldolgozó lehet

  1. a webáruház működését támogató diszpécserszolgálat,

  2. a webáruház informatikai hátterét biztosító tárhelyszolgáltató illetve IT-szolgáltató,

  3. futárszolgálat (illetve a Magyar Posta), amely a Vállalkozástól megkapja az áru kézbesítéséhez szükséges személyes adatokat (érintett neve, címe, telefonszáma) és ennek felhasználásával kiszállítja (kézbesíti) a terméket,

  4. átadópontot üzemeltető szervezet, amelynek munkavállalója átadja a terméket a vevőnek.

Az érintett kérheti, hogy a Vállalkozás helyesbítse a valóságnak nem megfelelő személyes adatait.

A személyes adatot törölni kell,

  1. ha annak kezelése jogellenes, vagy

  2. az érintett ezt kéri (és nem áll fenn a kötelező adatkezelés valamely esete),

  3. az hiányos vagy téves és az állapot nem orvosolható,

  4. az adatkezelés célja megszűnt vagy

  5. a tárolásnak jogszabályban meghatározott határideje lejárt, illetve

  6. ha a személyes adat törlését bíróság vagy a Hatóság elrendelte.

Az érintettnek a törlésre irányuló kérelmét nem kell indokolnia.

Olyan esetekben, amikor a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit (például nyilvánosságra hozott személyes adat jogi sorsa vitatott) vagy az érintett ezt kéri, a Vállalkozás zárolja az adatot.

A Vállalkozásnak a webáruház adatkezelési tájékoztatójában fel kell hívni az érintettek figyelmét arra is, hogy az adatok naprakészségében működjenek közre. Az érintett magatartása miatti adatminőség-sérülését a Vállalkozás nem felel.

A vásárló (az adatkezelés érintettje) tájékoztatást kérhet a személyes adatai kezeléséről a Vállalkozástól. A kérés esetén a Vállalkozásnak tájékoztatást kell adnia arról, hogy

  1. milyen személyes adatokat

  2. milyen célból,

  3. mennyi ideig kezel az érintettel kapcsolatban,

  4. továbbította-e azokat, (ha igen, akkor milyen adatokat, kinek, milyen jogalapon, stb.) illetve

  5. hogy az adatkezelés során igénybe vesz-e adatfeldolgozót.

Ha az érintett a kezelt személyes adatai vonatkozásában tájékoztatást kért, a Vállalkozásnak nem azt kell megjelölnie, hogy milyen adatkategóriát kezel az érintettről, hanem konkrétan meg kell adnia azt a személyes adatot, amit kezel.

Az érintett bármely – az adatai kezelésére vonatkozó – kérése esetén a Vállalkozásnak a lehető legrövidebb idő alatt, de legkésőbb a kérelem benyújtásától számított 25 napon belül reagálnia kell és közérthető formában, erre vonatkozó kérés esetén írásban tájékoztatja az érintettet a meghozott intézkedésekről.

A tájékoztatás a formájától függetlenül ingyenes kivéve, ha az érintett a folyó évben ugyanarra az adatkörre egyszer már kért tájékoztatást. Ez esetben a Vállalkozás megállapíthat költségtérítést. Az érintettet nem csak az adatai kezeléséről, hanem a már megtörtént zárolásról illetve törlésről is tájékoztatni kell.

Abban az esetben, ha a Vállalkozás valamilyen oknál fogva nem teljesíti az érintett kérését, írásban tájékoztatást kell adnia, hogy a törlési, helyesbítési vagy zárolási kérelmet milyen okkal utasította el. Ebben a tájékoztatásban a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről is tájékoztatni kell az érintettet.

Ha a Vállalkozás az érintett helyesbítési, zárolási vagy törlési kérelmét nem teljesíti, az erről szóló tájékoztatást a kérelem kézhezvételétől számított 25 napon belül írásban, vagy – az érintett hozzájárulása esetén – elektronikus úton kell megadnia.

14.4. Hírlevél küldése

A célzott reklámcélú küldeményeket (hírlevél küldése) a Grtv., valamint az Eker tv. szabályozza, a tevékenység gyakorlása során alkalmazni kell az GDPR és az Infotv. rendelkezéseit is.

A hírlevél-küldési tevékenység a webáruház üzemeltetésével kapcsolatos tevékenységtől eltérő célú adatkezelésnek minősül, ezért hírlevelet csak akkor küldhet a Vállalkozás, ha az érintettek önkéntes és kifejezett hozzájárulásukat adják ahhoz, hogy a szolgáltató hírlevélküldési tevékenység céljára kezelhesse a személyes adataikat. A aktív tevőleges magatartásra van szükség és azt csak megfelelő előzetes tájékoztatás alapján lehet megtenni. A tájékoztatásnak meg kell felelnie az GDPR. és az Infotv. előzetes tájékoztatásra vonatkozó követelményeinek.

A Vállalkozás az érintett hírlevél-küldéssel kapcsolatos adatkezeléshez hozzájárulása hiányában a webáruházban való vásárlást követően nem küldhet hírlevelet a vásárlónak még akkor sem, ha egyidejűleg arról tájékoztatja az érintettet, hogy módjában áll lemondani a hírlevélről.

A Grtv. alapján a Vállalkozás, mint a reklám közzétevője nyilvántartást vezet azokról a személyekről, akik a reklám küldéséhez hozzájárultak. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – adat azonban csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.

Az érintett hírlevélről történő leiratkozása esetén számára a továbbiakban nem küldhető hírlevél, illetve amint visszavonja a hírlevél célú adatkezeléssel kapcsolatos hozzájárulását (tehát amikor az érintett leiratkozik a hírlevélről) a Vállalkozásnak törölnie kell az érintett személyes adatait a nyilvántartásából.

A Vállalkozás nem reklám céljából is küldhet ki üzenetet az adatbázisában szereplő érintetteknek. Ilyen nem reklám céljából küldött üzenet lehet például:

  1. a regisztráció,

  2. a megrendelés visszaigazolásáról szóló e-mail,

  3. szolgáltatás igénybevételéhez szorosan kapcsolódó tájékoztatás (például tervezett karbantartás miatti leállás, ünnepi nyitva tartás, nyári szünet, stb.), illetve

  4. az elektronikus számla.

Ha az érintett nem adott hozzájárulást ahhoz, hogy hírlevelet kapjon, akkor az ilyen, nem reklám célú e-mailben sem lehet reklám.

14.5. Ajándéksorsolás

Amennyiben a Vállalkozás ajándéksorsolást szervez (1991. évi XXXIV. törvény 23.§), az érintett természetes személyek hozzájárulása alapján kezelheti az érintett természetes személy nevét, címét, telefonszámát, e-mail címét valamint online azonosítóját (ha van). A játékban való részvétel önkéntes.

A Vállalkozásnak az adatkezeléshez előzetesen az érintett hozzájárulását meg kell kérnie.

A nyereményjáték szervezésének esetében az adatok kezelésének célja a nyereményjáték nyertesének megállapítása, értesítése illetve a nyeremény kézbesítése (átadása). Az adatkezelés jogalapja az érintett hozzájárulása.

A személyes adatok címzettjei

  1. a Vállalkozás ügyfélszolgálattal és marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói,

  2. adatfeldolgozóként a Vállalkozás számviteli és adózási feladatait ellátó szervezet munkavállalói az adó- és számviteli kötelezettségek teljesítése céljából,

  3. a Vállalkozás IT szolgáltatójának munkavállalói a tárhelyszolgáltatás és egyéb IT-szolgáltatás teljesítése céljából, valamint

  4. a futárszolgálat és az átvevőpont munkavállalói a szállítási/kézbesítési adatok (név, cím, telefonszám) vonatkozásában.

A személyes adatok kezelésének időtartama: az ajándéksorsolás végelszámolásáig.

15. AZ ADATFELDOLGOZÁSRA VONATKOZÓ SPECIÁLIS SZABÁLYOK

15.1. A Vállalkozás, mint adatfeldolgozót megbízó szervezet

Amennyiben a Vállalkozás adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, akkor csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az GDPR követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is (GDPR 28. cikk (1) bekezdés).

A Vállalkozásnak az adatfeldolgozóval írásban kötött adatfeldolgozói szerződésében rögzíteni kell az alábbiakat:

  1. az adatkezelés tárgyát és időtartamát,

  2. az adatkezelés jellegét és céljait,

  3. a személyes adatok típusát és az érintettek kategóriáit,

  4. az érintettek jogait és szabadságait érintő kockázatokat,

  5. a Vállalkozásra és az adatfeldolgozóra háruló konkrét feladatokat és felelősségeket,

  6. azt, hogy a személyes adatokat az adatkezelő kizárólag a Vállalkozás írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ebben az esetben erről a jogi előírásról az adatfeldolgozó a Vállalkozást az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.

  7. azt, hogy az adatfeldolgozó és bármely, az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy az átadott személyes adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

  8. azt, hogy az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,

  9. azt, hogy tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR és Infotv. valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

  10. az adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról (31. sz. melléklet). A nyilvántartás az alábbi információkat tartalmazza:

  • az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei,

  • a Vállalkozás nevében végzett adatkezelési tevékenységek kategóriái,

  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása,

  • ha lehetséges, az GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

A nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

  1. azt, hogy az adatfeldolgozó intézkedésekkel biztosítja

  • a jogosulatlan adatbevitel megakadályozását,

  • az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását,

  • annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják,

  • annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe,

  • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

  • azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

  1. azt, hogy az adatfeldolgozó kizárólag a Vállalkozás rendelkezése szerint vehet igénybe további adatfeldolgozót. Amennyiben az adatfeldolgozó a Vállalkozás felhatalmazása alapján adatfeldolgozó alvállalkozót vehet igénybe, abban az esetben az adatfeldolgozó tájékoztatja a Vállalkozást minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva a lehetőséget a Vállalkozásnak arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

  2. azt, amennyiben az adatfeldolgozó a Vállalkozás nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, az erre vonatkozó szerződésben erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségek vonatkozzanak, mint amelyek a Vállalkozás és az adatfeldolgozó közötti szerződésben szerepelnek annak érdekében, hogy a további adatfeldolgozó megfelelő garanciákat nyújtson a megfelelő technikai és szervezési intézkedések végrehajtására és biztosítsa, hogy az adatkezelés megfeleljen az GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik a Vállalkozás felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

  3. azt, hogy az adatfeldolgozó adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Vállalkozás rendelkezései szerint köteles tárolni és megőrizni.

  4. azt, hogy az adatfeldolgozó az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a Vállalkozást abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR-ban foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében

  5. segíti a Vállalkozást az GDPR-ban foglalt kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.

  6. azt, hogy az adatfeldolgozó haladéktalanul tájékoztatja a Vállalkozást ha úgy véli, hogy annak valamely utasítása sérti az GDPR-t vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

  7. az adatfeldolgozási szolgáltatás nyújtásának befejezését követően a Vállalkozás döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.

  8. a Vállalkozás rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

  9. a Vállalkozás és az adatfeldolgozó adatvédelmi tisztviselőjének jogkörét a szerződés teljesítésével kapcsolatos adatvédelmi ügyekben,

  10. azt, hogy az adatfeldolgozó – szükség esetén és kérésre – segíti a Vállalkozást abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek,

  11. azt, hogy az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti a Vállalkozásnak.

  12. az érintettnek – az adatfeldolgozó által okozott kár miatt – fizetett kártérítés és az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíj Vállalkozás felé megtérítésének módját (GDPR 28-29. cikk)

A Vállalkozás által az adatfeldolgozónak adott utasítások jogszerűségéért a Vállalkozás felel.

Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

Amennyiben egy adatfeldolgozó a GDPR-t sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni (GDPR 28. cikk (10) bekezdés).

15.2. A Vállalkozás, mint adatfeldolgozó szervezet

Amennyiben a Vállalkozás adatfeldolgozóként végez adatkezelési tevékenységet, akkor köteles megfelelő garanciákat nyújtani adatkezelő megbízójának – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az GDPR követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.

A Vállalkozásnak az adatkezelővel kötött adatfeldolgozói szerződésében rögzítenie kell az alábbiakat:

  1. az adatkezelés tárgyát és időtartamát,

  2. az adatkezelés jellegét és céljait,

  3. a személyes adatok típusát és az érintettek kategóriáit,

  4. az érintettek jogait és szabadságait érintő kockázatokat,

  5. az adatkezelőre és a Vállalkozásra, mint adatfeldolgozóra háruló konkrét feladatokat és felelősségeket,

  6. azt, hogy a személyes adatokat kizárólag a megbízó adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő, ebben az esetben erről a jogi előírásról a megbízót az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.

  7. azt, hogy adatfeldolgozóként és bármely, a Vállalkozás irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy az átadott személyes adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

  8. azt, hogy adatfeldolgozóként biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,

  9. azt, hogy tevékenységi körében adatfeldolgozóként köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

  10. adatfeldolgozóként nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás az alábbi információkat tartalmazza:

  • az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében adatfeldolgozóként eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei,

  • adatfeldolgozóként végzett adatkezelési tevékenységek kategóriái,

  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása,

  • ha lehetséges, az GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

A nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

  1. azt, hogy az adatfeldolgozóként intézkedésekkel biztosítja

  • a jogosulatlan adatbevitel megakadályozását,

  • az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását,

  • annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják,

  • annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe,

  • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

  • azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

  1. azt, hogy adatfeldolgozóként kizárólag a megbízó rendelkezése szerint vehet igénybe további adatfeldolgozót. Amennyiben a Vállalkozás felhatalmazás alapján adatfeldolgozó alvállalkozót vehet igénybe, abban az esetben tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva a lehetőséget a megbízónak arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

  2. azt, amennyiben adatfeldolgozóként további adatfeldolgozó szolgáltatásait is igénybe veszi, az erre vonatkozó szerződésben erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek a megbízó adatkezelő és a Vállalkozás között szerződésben szerepelnek, valamint a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására biztosítva, hogy az adatkezelés megfeleljen az GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, a Vállalkozás adatfeldolgozóként teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

  3. a Vállalkozás adatfeldolgozóként az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a megbízó rendelkezései szerint köteles tárolni és megőrizni.

  4. azt, hogy a Vállalkozás adatfeldolgozóként az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a megbízó adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR-ban foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.

  5. segíti a megbízó adatkezelőt az GDPR-ban foglalt kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozóként rendelkezésére álló információkat.

  6. azt, hogy adatfeldolgozóként haladéktalanul tájékoztatja a megbízót ha úgy véli, hogy annak valamely utasítása sérti az GDPR-t vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

  7. az adatkezelési szolgáltatás nyújtásának befejezését követően a megbízó döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.

  8. a megbízó adatkezelő rendelkezésére bocsát minden olyan információt, amely az GDPR 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

  9. a megbízó adatkezelő és a Vállalkozás adatvédelmi tisztviselőjének jogkörét a szerződés teljesítésével kapcsolatos adatvédelmi ügyekben,

  10. azt, hogy adatfeldolgozóként – szükség esetén és kérésre – segíti az adatkezelőt abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek,

  11. azt, hogy az adatfeldolgozóként az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti a megbízónak (GDPR 28. cikk (3) bekezdés).

Az adatkezelő által a Vállalkozásnak, mint adatfeldolgozónak adott utasítások jogszerűségéért az adatkezelő felel.

Amennyiben a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, a Vállalkozás teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért (GDPR 28. cikk (4) bekezdés).

Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. A Vállalkozás nem vállalhat olyan adatfeldolgozást, amely során a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben szervezetként érdekelt.

Amennyiben a Vállalkozás a GDPR-t sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni (GDPR 28. cikk (10) bekezdés).

A Vállalkozás adatfeldolgozóként

nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:

  1. az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében a Vállalkozás eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei,

  2. az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái,

  3. adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a jogszabály által előírt megfelelő garanciák leírása,

  4. ha lehetséges, az adatkezelés biztonsága érdekében tett technikai és szervezési intézkedések általános leírása (GDPR 30. cikk).

A nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is (31. sz. melléklet).

16. ZÁRÓ RENDELKEZÉSEK

Jelen szabályzat megállapítására és módosítására a Vállalkozás ügyvezetője jogosult.

Jelen szabályzatot a Vállalkozás valamennyi munkavállalója köteles megismerni, illetve a munkavégzésre irányuló szerződésekben a Vállalkozás előírja, hogy a szabályzat betartása és betartatása minden munkavállaló munkaköri kötelezettsége (6. sz. melléklet)