ADATVÉDELMI SZABÁLYZAT
TARTALOMJEGYZÉK
1. Bevezető rendelkezések
2. Jogszabályi hivatkozások
3. Felülvizsgálatok, változások nyilvántartása
4. Hatály
5. A jelen Szabályzatban használt fogalmak meghatározása
6. A Társaság által folytatott adatkezelések feltételei
7. Felelősség
8. Az adatkezelések jogszerűségének biztosítása
9. Adattovábbítások, adatszolgáltatások
10. Személyes adatokat érintő szerződések
11. Adatbiztonság
12. Kiemelt adatkezelések
13. Az adatok minősége
14. Adatkezelői és adatfeldolgozói nyilvántartás
15. Törlés
MELLÉKLETEK
-
Bevezető rendelkezések
A jelen Szabályzat célja a WESTBONDCAR Kereskedelmi és Szolgáltató Zártkörűen Működő Részvénytársaság (a továbbiakban: Társaság) által kezelt személyes adatok kezeléséről és biztonságáról szóló szabályozás meghatározása.
2.Jogszabályi hivatkozások
Elsősorban az alábbi jogszabályok határozzák meg a Társaság által folytatott adatkezeléseket:
-
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR)
-
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
-
2012. évi I. törvény a munka törvénykönyvéről
-
2013. évi V. törvény a Polgári Törvénykönyvről
-
596/2014/EU rendelet (2014. április 16.) a piaci visszaélésekről (piaci visszaélésekről szóló rendelet vagy MAR)
3. Felülvizsgálatok, változások nyilvántartása
A jelen Szabályzat legalább évente egyszer felülvizsgálandó.
4. Hatály
A jelen Szabályzat alanyi hatálya kiterjed a Társaság minden személyes adat kezelésében résztvevő alkalmazottjára és megbízottjára. A jelen Szabályzat tárgyi hatálya kiterjed minden a Társaság által folytatott adatkezelésre. A jelen Szabályzat 2018. május 25. napjától hatályos.
5. A jelen Szabályzatban használt fogalmak meghatározása
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
érintett: Az azonosított vagy azonosítható természetes személy, akinek az adatkezelés a személyes adataira vonatkozik.
EGT-állam: Az Európai Unió tagállamai és az Európai Gazdasági Térségről szóló megállapodásban részes más államok.
harmadik ország: Az EGT-államon kívüli országok.
Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság
különleges adat: A személyes adatok különleges kategóriái, melyet a GDPR 9. cikke tartalmaz, ezek a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
6. A Társaság által folytatott adatkezelések feltételei
Az adatkezelés alapvető feltétele az, hogy annak legyen jogszerű célja és jogalapja, valamint azt tisztességesen és a jogszabályoknak megfelelően történjen.
6.1 Célhoz kötöttség elve
Akkor tekinthető jogszerűnek az adatkezelés célja, ha az az adatkezelés előtt meg van határozva és ha az vagy valamely jog gyakorlása vagy kötelezettség teljesítése. A Társaság előre meghatározott cél nélkül nem kezel személyes adatot.
6.2 Jogalapok
Az adatkezelés lehetséges jogalapjai:
-
Jogszabály felhatalmazása,
-
Az érintett hozzájárulása,
-
A Társaság jogos érdeke,
-
Szerződés teljesítése vagy megkötése,
-
Létfontosságú érdek,
-
Közérdek.
Amennyiben a jogalap az érintett hozzájárulása, úgy a hozzájárulásnak megfelelő előzetes tájékoztatáson kell alapulnia, önkéntesnek, kifejezettnek és egyértelműnek kell lennie. Az érintett a hozzájárulást jogosult bármikor visszavonni.
6.3 Tisztességesség
A Társaság átláthatóan és a tájékoztatási kötelezettségek betartása mellett kezeli az adatokat, továbbá az általa kezelt személyes adatokkal vissza nem él, az érintett magánszféráját, valamint információs önrendelkezési jogait tiszteletben tartja, nem sérti meg..
6.4 Jóhiszeműség
A Társaság igazodik az adatvédelmi jogszabályok szelleméhez és tudatosan vagy szándékosan sosem kezel személyes adatot jogellenesen. A Társaság továbbá megtesz mindent, hogy az adatkezelésekre vonatkozó tájékoztatás ne legyen félrevezető, továbbá, hogy az adatkezelés érintettjei információs önrendelkezési jogaikat hatékonyan tudják gyakorolni.
6.5 Egyéb alapelvek
A Társaság az adatkezelései során érvényesíti az alábbi, alapelvi szintű követelményeket:
-
Átláthatóság
-
Beépített adatvédelem elve,
-
Pontosság elve,
-
Előzetes tájékoztatás követelménye,
-
Érintetti jogok tiszteletben tartása, különös tekintettel a tájékoztatásra és a jogorvoslathoz való jogra, valamint az elfeledtetéshez való jogra,
-
Adattakarékosság és korlátozott tárolhatóság elve,
-
Integritás és bizalmi jelleg,
-
Adatvédelmi incidensek megelőzése és kezelése.
7. Felelősség
7.1 Egyéni felelősség
Minden olyan személy, akire a szabályzat alanyi hatálya kiterjed, felelős a szabályzat megfelelő végrehajtásáért és köteles az adatvédelemmel kapcsolatos szabályok megsértését (vagy annak gyanúját) haladéktalanul jelenteni az igazgatóság elnöke felé.
Az igazgatóság elnöke felelős azért, hogy a személyes adatok kezelése és feldolgozása a vonatkozó jogszabályoknak és jelen szabályzatnak megfelelően történjen.
A jelen szabályzatban foglaltaknak a munkavállalók általi megszegését a Társaság szigorúan szankcionálhatja.
7.2 A Társaság felelőssége
A Társaság felelősséggel tartozik az adatvédelmi jogszabályok betartásáért. Az adatvédelmi jogszabályok súlyos megsértése esetén a Hatóság akár 20 millió euró összegű bírságot is kiszabhat. Emellett az érintettnek lehetősége van a polgári jogi alapon is igényt érvényesítenie a Társasággal szemben, objektív alapú sérelemdíj vagy kártérítés formájában. A személyes adatokat a személyes adatok büntetőjogi védelem alatt is állnak (személyes adattal visszaélés bűncselekménye).
8. Az adatkezelések jogszerűségének biztosítása
A Társaság az alábbi intézkedésekkel biztosítja a személyes adatokkal kapcsolatos jogszabályok betartását.
8.1.1 Feltételei:
-
Személyes adatok különleges kategóriái, vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése;
-
Nyilvános helyek nagymértékű, módszeres megfigyelése.
Tartalma:
Az adatvédelem minimális tartalma a következő:
-
A tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak és jogalapjának ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
-
Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
-
Az érintett jogait és szabadságait érintő kockázatok vizsgálata; és
-
A kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és a jogszabályi követelményekkel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
A Társaság az adatvédelmet nem statikus pillanatképnek, hanem dinamikus folyamatnak tekinti, ezért az adatkezeléseket folyamatosan nyomon követni, ellenőrizni és értékelni kell.
8.1.2. Előzetes konzultáció
Amennyiben az adatkezelés a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, meg kell vizsgálni azon alternatív megoldásokat, amelyek a kockázatot csökkenthetik.
Ha a kockázat alternatív megoldások révén sem csökkenthető elfogadható mértékűre, ugyanakkor az adatkezelés ennek ellenére is szükségesnek mutatkozik, a Társaságnak adatok kezelését megelőzően konzultálni kell a Hatósággal.
A konzultáció során a Társaság tájékoztatja a Hatóságot:
-
Adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről,
-
A tervezett adatkezelés céljairól és módjairól;
-
Az érintettek jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
-
A Hatóság által kért minden egyéb információról.
A konzultációt követően a Hatóság javaslatának megfelelően kell eljárni.
-
Az érintetti jogok érvényesítése
-
Az előzetes tájékoztatás követelménye
A Társaság a személyes adatokat az érintettek számára is átláthatóan kezeli. Ennek érdekében részletes, ugyanakkor zsargonmentes adatkezelési tájékoztatót biztosít az érintettek számára, legalább az alábbi tartalommal:
-
Az adatkezelő megnevezése;
-
Az adatkezelések céljai;
-
Az adatkezelési jogalapok;
-
A kezelt adatok köre;
-
Feldolgozott adatok köre;
-
Az adatkezelések időtartama;
-
Adatfeldolgozókról szóló tájékoztatás;
-
Adatok megismerésére jogosult személyek köre;
-
Adatbiztonsági intézkedésekről szóló tájékoztatás (az érintett számára kellő részletezettséggel, de olyan módon, hogy a tájékoztató részletezettsége az adatok biztonságára nézve veszélyt ne jelenthessen);
-
Jogos érdeken alapuló adatkezelések;
-
Az érintettek jogai és jogorvoslati lehetőségei.
Az adatkezelési tájékoztatót a Társaság szükség esetén haladéktalanul, de legalább évente egy alkalommal felülvizsgálja és aktualizálja.
8.2.3. Tájékoztatás, tiltakozás, helyesbítés, törlés (zárolás), panasz
Az érintettnek joga van, hogy a Társaság adatkezelési tájékoztatójában megadott elérhetőségein tájékoztatást kérjen a személyes adatai kezelését illetően. Az érintettnek továbbá joga van tiltakoznia személyes adatai kezelése ellen, illetve kérni azok helyesbítését, meghatározott esetekben törlését. Az érintett továbbá bármikor panasszal élhet, ha személyes adataival kapcsolatban (valós vagy vélt) sérelem érte. A Társaság minden elvárható intézkedést megtesz annak érdekében, hogy az érinteti kérdés (kérés) kezelése az érintett számára megfelelő módon történjen.
A tájékoztatás kérés, helyesbítési és törlési igények megválaszolását, panasz kivizsgálását az igazgatóság elnöke koordinálja az alábbiak szerint:
-
Minden esetet a vonatkozó jogszabályok (különösen jelen szabályzatban megjelölt jogszabályok) és szabályzatok áttekintésével és értelmezésével, egyedileg kell vizsgálni és megválaszolni.
-
A kérdésre (kérésre) adott válasz a beérkezéstől számított legrövidebb idő alatt, legfeljebb azonban legfeljebb 30 napon belül írásban, közérthető formában válaszolni kell.
-
Az érintetti kérdésekre (kérésekre) az igazgatóság elnöke által jóváhagyott, indokolt válasz küldhető az érintettnek. A válaszban minden esetben tájékoztatni kell az érintettet a jogorvoslati lehetőségeiről. A jogorvoslatról szóló tájékoztatás során minden esetben meg kell adni a Hatóság és a bíróság elérhetőségi adatait és javasolni kell az érintettnek, hogy további kérdéseivel is forduljon célszerűen a Társasághoz.
-
Amennyiben az eset a Társaság részéről további intézkedést igényel (pl. törlés, zárolás), haladéktanul gondoskodni kell annak végrehajtásáról és dokumentálásáról.
Ha az érintetti kérdés (kérés) olyan információra (is) irányul, amelyre az 9. pont vonatkozik (pl. tájékoztatáskérés arra vonatkozóan, hogy továbbították-e valamely hatóságnak az adatokat), a válaszadás előtt a Társaság köteles megvizsgálni, hogy a kért információ kiadható-e az érintett számára. Kétség esetén a Társaság külső jogi szakértőt vesz igénybe a jogszabályok vizsgálatához.
9. Adattovábbítások, adatszolgáltatások
Minden esetben egyedileg vizsgálni kell, hogy a beérkezett igény tartalmazza-e a jogalap és a cél megjelölését. Amennyiben nem, az igénylőt fel kell hívni ezek tisztázására. Ha tartalmazza, az adattovábbítás, adatszolgáltatás teljesítése előtt meg kell vizsgálni azok jogszerűségét, ha szükséges, az igénylőt fel kell szólítani ezek tisztázására. Ha az igény megítélése nem egyértelmű, a megválaszoláshoz (és annak terjedelmének meghatározásához) a Társaság az igazgatóság elnöke kérelmére külső jogi tanácsadótól kér állásfoglalást. Nem jogszerű (és/vagy nem teljeskörűen tisztázott célú, illetve jogalapú) adattovábbítási, adatszolgáltatási igényt nem lehet teljesíteni.
A Társaság nyilvántartást vezet az adattovábbításokról, a nyilvántartás vezetéséért a vezérigazgató felelős.
Az adattovábbítás megvalósulhat EGT-állam, illetve harmadik ország irányába is. Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
Harmadik országba személyes adatot a Társaság a harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha az adatkezelés eredendően jogszerű, valamint a továbbításhoz az Érintett írásban hozzájárult vagy az jogszabályi felhatalmazáson, illetve előíráson alapul, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése, valamint feldolgozása során, továbbá az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek.
10. Személyes adatokat érintő szerződések
A Társaság bizonyos, személyes adatokat érintő tevékenységekbe szerződés alapján harmadik feleket is bevonhat.
A személyes adatokat érintő szerződéskötések során legalább az alábbi, személyes adatok védelmét és biztonságát érintő követelményeket kell érvényre juttatni:
-
A Társasággal szerződő fél nyilatkozzon arról, hogy ismeri a személyes adatokra vonatkozó hazai és európai szintű jogszabályokat és jó gyakorlatokat (best practice), valamint a Társaság belső szabályait és ezeknek megfelelően jár el. A szerződés tárgyához kapcsolódó szabályzatokat a szerződő félnek meg kell ismernie.
-
A szerződésben rögzíteni kell, hogy a Társasággal szerződő fél adatfeldolgozóként (a Társaság utasításainak megfelelően), vagy (társ)adatkezelőként jár el.
-
A szerződésben meg kell határozni a személyes adatokat érintően az adatfeldolgozás, adatkezelés tárgyát, az elvégzendő adatkezelési műveleteket, ezek időtartamát, (esetlegesen automatizált) jellegét, célját.
-
A szerződésben rögzíteni kell, hogy a szerződő fél köteles minden technikai és szervezeti intézkedést megtenni annak érdekében, hogy a személyes adatok a jogosulatlan hozzáféréstől és a jogtalan felhasználástól védve legyenek, továbbá bármilyen adatvesztés, kár vagy változtatás ellen védelemben részesüljenek, és hogy csak azok férjenek hozzá a személyes adatokhoz, akik erre jogosultsággal rendelkeznek és kizárólag a jelen Szerződés teljesítésének érdekében.
-
A szerződésben részletezni kell, hogy a szerződő fél milyen technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő, magas szintű adatbiztonságot garantálja.
-
A szerződésben rögzíteni kell, hogy a szerződő fél az adatok biztonságának bármilyen sérülése (adatvédelmi incidens), vagy ennek közvetlen, illetve közvetett veszélye esetén haladéktalanul értesíti a Társaságot.
-
A szerződésben rögzíteni kell, hogy a szerződő fél személyes adatokat kizárólag a szerződés keretei között kezeli vagy dolgozza fel, azokat külön engedély nélkül másnak nem továbbítja.
-
A szerződésben rögzíteni kell, hogy minden olyan személy, aki hozzáfér az adatokhoz, megfelelő, dokumentált tájékoztatásban, képzésben részesüljön a személyes adatok kezelése vonatkozásában, és az adatok bizalmas természetével, titoktartási kötelezettségükkel tisztában legyenek.
-
A szerződésben rögzíteni kell, hogy a szerződő fél további adatfeldolgozót csak a Társaság előzetes írásbeli engedélye alapján vonhat be a teljesítésbe és csak akkor, ha az a személyes adatok védelmét és biztonságát legalább a szerződő féllel azonos mértékben biztosítja.
-
A szerződésben rögzíteni kell, hogy a szerződő fél a szolgáltatás nyújtásának befejezését minden személyes adatot helyreállíthatatlanul töröl vagy visszajuttat Társaságnak, és törli a meglévő másolatokat.
-
A szerződésben rögzíteni kell, hogy a szerződő fél a Társaság rendelkezésére bocsát minden olyan információt, amely a Szerződésben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti Megbízó által vagy az általa megbízott más ellenőr, vagy hatóság által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
-
A szerződésben rögzíteni kell, hogy a szerződő fél tudomásul veszi, hogy a személyes adatokkal kapcsolatos jogszabályi vagy szerződéses kötelezettségek megszegése súlyos szerződésszegésének minősül és azonnal felmondással járhat.
Fentiektől eltérni csak a kapcsolódó kockázatok mérlegelését követően, szükség esetén külső jogi tanácsadó egyetértésével, dokumentáltan lehetséges.
Különös figyelmet kell fordítani arra, hogy személyes adatokat érintő szerződéskötés esetén a Társaság adatkezelési tájékoztatója aktualizálásra kerüljön.
11. Adatbiztonság
A Társaság technikai és szervezeti intézkedésekkel biztosítja az általa kezelt vagy feldolgozott, elektronikus vagy papír alapú személyes adatok kezelése vonatkozásában a megfelelő adatbiztonságot.
Papír alapú adatkezelés esetében gondoskodni kell arról, hogy a személyes adatokat tartalmazó iratok megfelelően elzárt tárolókban legyenek elhelyezve, amennyiben az adatok mennyisége, illetve azok jellege ezt indokolja.
Mind papíralapú, mind elektronikus adatkezelés esetén gondoskodni kell arról, hogy kizárólag olyan személy férhessen hozzá a személyes adatokat tartalmazó dokumentumokhoz, akik esetében a hozzáférés indokolt.
11.1 Adatvédelmi incidens
A Társaság az adatvédelmi incidensekről nyilvántartást vezet. A nyilvántartás vezetéséért a vezérigazgató felelős.
Adatvédelmi incidens előfordulása esetén az adatvédelmi incidensről értesülő személy haladéktalanul tájékoztatni köteles az igazgatóság elnökét. A Társaság haladéktalanul kivizsgálja az adatvédelmi incidens körülményeit és nyilvántartásba veszi az adatvédelmi incidenst.
Az adatvédelmi incidenseket be kell jelenteni a Hatóságnak a tudomásszerzést követő 72 órán belül, kivéve, ha az igazgatóság elnöke úgy ítéli meg, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentés tartalmi elemei:
-
az adatvédelmi incidens leírása, amely tartalmazza az érintettek kategóriáig és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát. Amennyiben ezen adatok bármelyike nem ismert, akkor jelezni kell ennek tényét,
-
a hatósági kapcsolattartó neve, elérhetőségei, illetve indokolt esetben (pl. speciális szaktudást igénylő adatkezelések esetén) az egyéb tájékoztatást nyújtó személyek neve és elérhetősége,
-
az adatvédelmi incidensből eredő, valószínűsíthető következmények,
-
a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések,
-
ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Amennyiben bármely fenti információ csak később derül ki, úgy a Társaság a tudomásszerzést követően tájékoztatja arról a Hatóságot.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét. A tájékoztatás kötelező tartalmi elemei:
-
a Társaság kapcsolattartójának neve, elérhetőségei,
-
az adatvédelmi incidensből eredő, valószínűsíthető következmények,
-
a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések.
Az alábbi esetekben el lehet térni a tájékoztatástól:
-
Amennyiben a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.
-
Amennyiben a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett fentiek szerinti magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.
-
Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Amennyiben a Hatósági bejelentés megelőzi az érintettek tájékoztatását, a Hatóság jogosult elrendelni az érintett kötelező tájékoztatását vagy a fenti kivételek bármelyikének fennállását.
12. Kiemelt adatkezelések
A Társaság által folytatott kiemelt jelentőségű, azaz kiemelt adatmennyiségre vonatkozó, valamint kiemelt potenciális kockázattal járó adatkezelések a munkaügyekkel összefüggő személyes adatok kezelése.
12.1 Munkaszerződéssel kapcsolatos adatok kezelése
A Társaság értelemszerűen kezeli a részére munkát végző természetes személyek, így különösen, de nem kizárólagosan: munkavállalók, kölcsönzött munkavállalók, gyakornokok, alvállalkozók személyes adatait, az adatkezelői nyilvántartásban pontosan meghatározott körben, az ott meghatározott célokból és jogalapokon.
A Társaság tiszteletben tartja az érintettek magánszférához kapcsolódó jogait, a munkáltatói adatkezelések szükséges és arányos mértékét.
Új álláshirdetések kiírásakor a Társaság betartja az alábbi szabályokat:
-
A pályázók megfelelő előzetes tájékoztatás mellett jelentkeznek az álláshirdetésre.
-
A Társaság nem adhat közre anonim álláshirdetést.
-
Az önéletrajzok, motivációs levelet és egyéb személyes adatot tartalmazó dokumentumok kezelése a pályázat lebonyolításáig tárolható, vagy ha külön hozzájárulást ad az érintett, akkor a hozzájárulás szerinti időpontig.
-
A sikertelen pályázókat is értesíti a Társaság a pályázatok lebonyolítását követően.
A Társaság szabályzataiban megjelenő valamennyi adatkezelésről az érintetteket legkésőbb jogviszonyuk első napján, egységes dokumentumban tájékoztatni kell. A tájékoztató a jelen szabályzat mellékletét képezi, a tájékoztató tartalmára az 8.2.1. pont megfelelően irányadó. A tájékoztató megismerését és tudomásul vételét az érintetteknek aláírásukkal kell igazolniuk. A tájékoztatót a Társaság szükség szerint, de legalább évente egy alkalommal felülvizsgálja és aktualizálja. Minden, adatkezelést érintő változtatásról előzetesen tájékoztatni kell az érintetteket.
A munkáltatói adatkezelések tekintetében jogalapok elsősorban törvény és a Társaság jogos érdeke lehetnek. Hozzájárulás jogalapként csak azokban az esetekben alkalmazható, amikor egyértelmű, hogy a Társaság részére munkát végző természetes személynek van érdemi döntési lehetősége a hozzájárulás megadása kapcsán.
12.3. Vállalati laptop és mobiltelefonhasználat
A munkavállalók jogosultak magáncélra is (nem csak munkára) használni a vállalati laptopokat és mobiltelefonokat.
A vállalati laptop használatával kapcsolatos adatkezelés szabályai a következőek:
-
Tilos a munkahelyi laptopon illegális tartalmak tárolása.
-
A Társaság jogosult ellenőrizni a laptop tartalmát, amennyiben ennek szükségessége indokolt bűncselekmény vagy a munkaszerződés súlyos megszegése gyanújának esetén.
-
A Táraság az ellenőrzés előtt tájékoztatja az érintett munkavállalót a jelen pontbeli szabályokról és a munkavállaló jogairól és jogorvoslati lehetőségeiről.
-
A munkavállaló jogosult jelen lenni az ellenőrzésen.
-
Az ellenőrzést a Társaság által alkalmazott informatikus végzi, az ellenőrzésen részt vehet az igazgatóság elnöke, valamint külső jogi szolgáltató.
-
Az ellenőrzés a fokozatosság elvének betartása mellett történik, azaz a Társaság első körben azon állományokat és programokat ellenőrzi, amelyek összefüggésében legvalószínűbben felmerül az ellenőrzés szükségessége és fokozatosan terjeszti ki az ellenőrzés körét az indokolt mértékig.
-
Az ellenőrzés előtt a munkavállaló nyilatkozhat arról, ha valamely állomány ellenőrzése sértené az emberi méltóságát vagy az információs önrendelkezési jogát. Ilyen esetben a Társaság ésszerű határidőn belül dönt a további eljárások szükségességéről (pl. bűncselekmény gyanúja esetén a feljelentésről, majd erről tájékoztatja az ellenőrzésbe bevont személyeket.
A vállalati mobiltelefon használatával kapcsolatos adatkezelés szabályai a következőek:
-
A munkavállalók jogosultak magáncélra is használni a vállalati mobiltelefonjukat. A személyes telefonhasználat nem történhet visszaélés-szerűen, azaz úgy, hogy annak eredményeképpen a Társaságnak indokolatlanul magas költségei keletkezzenek.
-
A Társaság rendszeres ellenőrzést nem folytat a mobiltelefon-használatra vonatkozóan.
-
A Társaság jogosult ellenőrizni a hívások listáját, amennyiben a mobiltelefon-használat eredményeképpen kimagaslóan magas havi díj keletkezik. A híváslista ellenőrzése nem irányulhat a munkavállaló magánéletének ellenőrzésére. A mobiltelefont használó munkavállaló előzetesen leszűri a híváslistát úgy, hogy a magáncélú hívások adatai felismerhetetlenek legyenek.
13. Az adatok minősége
A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:
-
felvételük és kezelésük tisztességes és törvényes;
-
érvényesek, pontosak és teljes körűek,
-
az érintett azonosítását csak a tárolás céljához szükséges ideig teszik lehetővé.
14. Adatkezelői és adatfeldolgozói nyilvántartás
A Társaság az által folytatott adatkezeléseiről és adatfeldolgozásairól nyilvántartást vezeti. A nyilvántartásokat a vezérigazgató vezeti úgy, hogy az folyamatosan naprakész legyen és hatósági vizsgálat esetén a hatóság számára bemutatható legyen. A nyilvántartások a Társaság munkavállalói számára elérhetőek, amennyiben a munkavállalók pontatlanságot fedeznek fel a nyilvántartásokban, úgy kötelesek az jelezni a vezérigazgatónak.
A Társaság különleges adatot csak korlátozott körben kezel: betegség miatti távolléttel kapcsolatos munkavállalói (esetlegesen munkavállalók hozzátartozói) adatok, munkahelyi balesetek tekintetében. Bűnügyi személyes adat kezelése a (nyomozó)hatósági megkeresések körében történhet. Különleges és bűnügyi személyes adatok kezelésekor fokozott figyelmet kell fordítani az ilyen adatok kezelését szabályozó speciális jogszabályi rendelkezésekre.
15. Törlés
A Társaság a személyes adatokat tartalmazó dokumentumokat addig őrzi, ameddig annak kezelése jogszerű, ezt követően a dokumentumok törlésre kerülnek. A törlésnek minden esetben dokumentáltan és helyreállíthatatlan módon kell megtörténnie. Amennyiben ez technikai okok miatt teljeskörűen nem lehetséges, gondoskodni kell arról, hogy az adatokhoz való hozzáférés a Társaságon belül a lehető legkorlátozottabb legyen.