top of page

ADATVÉDELMI SZABÁLYZAT

​

TARTALOMJEGYZÉK

1.         BevezetÅ‘ rendelkezések

2.         Jogszabályi hivatkozások

3.         Felülvizsgálatok, változások nyilvántartása

4.         Hatály

5.         A jelen Szabályzatban használt fogalmak meghatározása

6.         A Társaság által folytatott adatkezelések feltételei

7.         FelelÅ‘sség

8.         Az adatkezelések jogszerűségének biztosítása

9.         Adattovábbítások, adatszolgáltatások

10.       Személyes adatokat érintÅ‘ szerzÅ‘dések

11.       Adatbiztonság

12.       Kiemelt adatkezelések

13.       Az adatok minÅ‘sége

14.       AdatkezelÅ‘i és adatfeldolgozói nyilvántartás

15.       Törlés

​

            MELLÉKLETEK

 

  1. BevezetÅ‘ rendelkezések

A jelen Szabályzat célja a WESTBONDCAR Kereskedelmi és Szolgáltató Zártkörűen MűködÅ‘ Részvénytársaság (a továbbiakban: Társaság) által kezelt személyes adatok kezelésérÅ‘l és biztonságáról szóló szabályozás meghatározása.

 

  2.Jogszabályi hivatkozások

ElsÅ‘sorban az alábbi jogszabályok határozzák meg a Társaság által folytatott adatkezeléseket:

  • Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történÅ‘ védelmérÅ‘l és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezésérÅ‘l (általános adatvédelmi rendelet) (a továbbiakban: GDPR)

  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

  • 2012. évi I. törvény a munka törvénykönyvérÅ‘l

  • 2013. évi V. törvény a Polgári TörvénykönyvrÅ‘l

  • 596/2014/EU rendelet (2014. április 16.) a piaci visszaélésekrÅ‘l (piaci visszaélésekrÅ‘l szóló rendelet vagy MAR)

 

​

  3. Felülvizsgálatok, változások nyilvántartása

A jelen Szabályzat legalább évente egyszer felülvizsgálandó.

 

   4. Hatály

A jelen Szabályzat alanyi hatálya kiterjed a Társaság minden személyes adat kezelésében résztvevÅ‘ alkalmazottjára és megbízottjára. A jelen Szabályzat tárgyi hatálya kiterjed minden a Társaság által folytatott adatkezelésre. A jelen Szabályzat 2018. május 25. napjától hatályos.

 

  5. A jelen Szabályzatban használt fogalmak meghatározása

 

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelÅ‘ nevében személyes adatokat kezel.

 

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történÅ‘ hozzáférhetÅ‘vé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

 

adatkezelÅ‘: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelÅ‘t vagy az adatkezelÅ‘ kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

 

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

 

érintett: Az azonosított vagy azonosítható természetes személy, akinek az adatkezelés a személyes adataira vonatkozik.

 

EGT-állam: Az Európai Unió tagállamai és az Európai Gazdasági TérségrÅ‘l szóló megállapodásban részes más államok.

 

harmadik ország: Az EGT-államon kívüli országok.

 

Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság

 

különleges adat: A személyes adatok különleges kategóriái, melyet a GDPR 9. cikke tartalmaz, ezek a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyÅ‘zÅ‘désre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

 

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényezÅ‘ alapján azonosítható.

 

   6. A Társaság által folytatott adatkezelések feltételei

Az adatkezelés alapvetÅ‘ feltétele az, hogy annak legyen jogszerű célja és jogalapja, valamint azt tisztességesen és a jogszabályoknak megfelelÅ‘en történjen.

 

   6.1  Célhoz kötöttség elve

Akkor tekinthetÅ‘ jogszerűnek az adatkezelés célja, ha az az adatkezelés elÅ‘tt meg van határozva és ha az vagy valamely jog gyakorlása vagy kötelezettség teljesítése. A Társaság elÅ‘re meghatározott cél nélkül nem kezel személyes adatot.

 

   6.2 Jogalapok

Az adatkezelés lehetséges jogalapjai:

  • Jogszabály felhatalmazása,

  • Az érintett hozzájárulása,

  • A Társaság jogos érdeke,

  • SzerzÅ‘dés teljesítése vagy megkötése,

  • Létfontosságú érdek,

  • Közérdek.

 

Amennyiben a jogalap az érintett hozzájárulása, úgy a hozzájárulásnak megfelelÅ‘ elÅ‘zetes tájékoztatáson kell alapulnia, önkéntesnek, kifejezettnek és egyértelműnek kell lennie. Az érintett a hozzájárulást jogosult bármikor visszavonni.

 

 6.3 Tisztességesség

A Társaság átláthatóan és a tájékoztatási kötelezettségek betartása mellett kezeli az adatokat, továbbá az általa kezelt személyes adatokkal vissza nem él, az érintett magánszféráját, valamint információs önrendelkezési jogait tiszteletben tartja, nem sérti meg..

​

6.4 Jóhiszeműség

A Társaság igazodik az adatvédelmi jogszabályok szelleméhez és tudatosan vagy szándékosan sosem kezel személyes adatot jogellenesen. A Társaság továbbá megtesz mindent, hogy az adatkezelésekre vonatkozó tájékoztatás ne legyen félrevezetÅ‘, továbbá, hogy az adatkezelés érintettjei információs önrendelkezési jogaikat hatékonyan tudják gyakorolni.
 

 6.5 Egyéb alapelvek

A Társaság az adatkezelései során érvényesíti az alábbi, alapelvi szintű  követelményeket:

  • Átláthatóság

  • Beépített adatvédelem elve,

  • Pontosság elve,

  • ElÅ‘zetes tájékoztatás követelménye,

  • Érintetti jogok tiszteletben tartása, különös tekintettel a tájékoztatásra és a         jogorvoslathoz való jogra, valamint az elfeledtetéshez való jogra,

  • Adattakarékosság és korlátozott tárolhatóság elve,

  • Integritás és bizalmi jelleg,

  • Adatvédelmi incidensek megelÅ‘zése és kezelése.

 

7. FelelÅ‘sség

 

7.1 Egyéni felelÅ‘sség

Minden olyan személy, akire a szabályzat alanyi hatálya kiterjed, felelÅ‘s a szabályzat megfelelÅ‘ végrehajtásáért és köteles az adatvédelemmel kapcsolatos szabályok megsértését (vagy annak gyanúját) haladéktalanul jelenteni az igazgatóság elnöke felé.

 

Az igazgatóság elnöke felelÅ‘s azért, hogy a személyes adatok kezelése és feldolgozása a vonatkozó jogszabályoknak és jelen szabályzatnak megfelelÅ‘en történjen.

 

A jelen szabályzatban foglaltaknak a munkavállalók általi megszegését a Társaság szigorúan szankcionálhatja.

 

7.2 A Társaság felelÅ‘ssége

A Társaság felelÅ‘sséggel tartozik az adatvédelmi jogszabályok betartásáért. Az adatvédelmi jogszabályok súlyos megsértése esetén a Hatóság akár 20 millió euró összegű bírságot is kiszabhat. Emellett az érintettnek lehetÅ‘sége van a polgári jogi alapon is igényt érvényesítenie a Társasággal szemben, objektív alapú sérelemdíj vagy kártérítés formájában. A személyes adatokat a személyes adatok büntetÅ‘jogi védelem alatt is állnak (személyes adattal visszaélés bűncselekménye).

 

8. Az adatkezelések jogszerűségének biztosítása

A Társaság az alábbi intézkedésekkel biztosítja a személyes adatokkal kapcsolatos jogszabályok betartását.

  8.1.1 Feltételei:

 

  • Személyes adatok különleges kategóriái, vagy büntetÅ‘jogi felelÅ‘sség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történÅ‘ kezelése;

  • Nyilvános helyek nagymértékű, módszeres megfigyelése.

 

​

Tartalma:

Az adatvédelem minimális tartalma a következÅ‘:

  • A tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak és jogalapjának ismertetése, beleértve adott esetben az adatkezelÅ‘ által érvényesíteni kívánt jogos érdeket;

  • Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;

  • Az érintett jogait és szabadságait érintÅ‘ kockázatok vizsgálata; és

  • A kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és a jogszabályi követelményekkel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevÅ‘ garanciákat, biztonsági intézkedéseket és mechanizmusokat.

 

A Társaság az adatvédelmet nem statikus pillanatképnek, hanem dinamikus folyamatnak tekinti, ezért az adatkezeléseket folyamatosan nyomon követni, ellenÅ‘rizni és értékelni kell.

 

8.1.2.   ElÅ‘zetes konzultáció

Amennyiben az adatkezelés a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetÅ‘en magas kockázattal jár, meg kell vizsgálni azon alternatív megoldásokat, amelyek a kockázatot csökkenthetik.

Ha a kockázat alternatív megoldások révén sem csökkenthetÅ‘ elfogadható mértékűre, ugyanakkor az adatkezelés ennek ellenére is szükségesnek mutatkozik, a Társaságnak adatok kezelését megelÅ‘zÅ‘en konzultálni kell a Hatósággal.

A konzultáció során a Társaság tájékoztatja a Hatóságot:

  • Adott esetben az adatkezelésben részt vevÅ‘ adatkezelÅ‘, közös adatkezelÅ‘k és adatfeldolgozók feladatköreirÅ‘l,

  • A tervezett adatkezelés céljairól és módjairól;

  • Az érintettek jogainak és szabadságainak védelmében hozott intézkedésekrÅ‘l és garanciákról;

  • A Hatóság által kért minden egyéb információról.

 

A konzultációt követÅ‘en a Hatóság javaslatának megfelelÅ‘en kell eljárni.

 

  1. Az érintetti jogok érvényesítése

 

  1. Az elÅ‘zetes tájékoztatás követelménye

A Társaság a személyes adatokat az érintettek számára is átláthatóan kezeli. Ennek érdekében részletes, ugyanakkor zsargonmentes adatkezelési tájékoztatót biztosít az érintettek számára, legalább az alábbi tartalommal:

  • Az adatkezelÅ‘ megnevezése;

  • Az adatkezelések céljai;

  • Az adatkezelési jogalapok;

  • A kezelt adatok köre;

  • Feldolgozott adatok köre;

  • Az adatkezelések idÅ‘tartama;

  • Adatfeldolgozókról szóló tájékoztatás;

  • Adatok megismerésére jogosult személyek köre;

  • Adatbiztonsági intézkedésekrÅ‘l szóló tájékoztatás (az érintett számára kellÅ‘ részletezettséggel, de olyan módon, hogy a tájékoztató részletezettsége az adatok biztonságára nézve veszélyt ne jelenthessen);

  • Jogos érdeken alapuló adatkezelések;

  • Az érintettek jogai és jogorvoslati lehetÅ‘ségei.

Az adatkezelési tájékoztatót a Társaság szükség esetén haladéktalanul, de legalább évente egy alkalommal felülvizsgálja és aktualizálja.

 

8.2.3. Tájékoztatás, tiltakozás, helyesbítés, törlés (zárolás), panasz

Az érintettnek joga van, hogy a Társaság adatkezelési tájékoztatójában megadott elérhetÅ‘ségein tájékoztatást kérjen a személyes adatai kezelését illetÅ‘en. Az érintettnek továbbá joga van tiltakoznia személyes adatai kezelése ellen, illetve kérni azok helyesbítését, meghatározott esetekben törlését. Az érintett továbbá bármikor panasszal élhet, ha személyes adataival kapcsolatban (valós vagy vélt) sérelem érte. A Társaság minden elvárható intézkedést megtesz annak érdekében, hogy az érinteti kérdés (kérés) kezelése az érintett számára megfelelÅ‘ módon történjen.

 

A tájékoztatás kérés, helyesbítési és törlési igények megválaszolását, panasz kivizsgálását az igazgatóság elnöke koordinálja az alábbiak szerint:

  • Minden esetet a vonatkozó jogszabályok (különösen jelen szabályzatban megjelölt jogszabályok) és szabályzatok áttekintésével és értelmezésével, egyedileg kell vizsgálni és megválaszolni.

  • A kérdésre (kérésre) adott válasz a beérkezéstÅ‘l számított legrövidebb idÅ‘ alatt, legfeljebb azonban legfeljebb 30 napon belül írásban, közérthetÅ‘ formában válaszolni kell.

  • Az érintetti kérdésekre (kérésekre) az igazgatóság elnöke által jóváhagyott, indokolt válasz küldhetÅ‘ az érintettnek. A válaszban minden esetben tájékoztatni kell az érintettet a jogorvoslati lehetÅ‘ségeirÅ‘l. A jogorvoslatról szóló tájékoztatás során minden esetben meg kell adni a Hatóság és a bíróság elérhetÅ‘ségi adatait és javasolni kell az érintettnek, hogy további kérdéseivel is forduljon célszerűen a Társasághoz.

  • Amennyiben az eset a Társaság részérÅ‘l további intézkedést igényel (pl. törlés, zárolás), haladéktanul gondoskodni kell annak végrehajtásáról és dokumentálásáról.

 

Ha az érintetti kérdés (kérés) olyan információra (is) irányul, amelyre az 9. pont vonatkozik (pl. tájékoztatáskérés arra vonatkozóan, hogy továbbították-e valamely hatóságnak az adatokat), a válaszadás elÅ‘tt a Társaság köteles megvizsgálni, hogy a kért információ kiadható-e az érintett számára. Kétség esetén a Társaság külsÅ‘ jogi szakértÅ‘t vesz igénybe a jogszabályok vizsgálatához.

 

 9. Adattovábbítások, adatszolgáltatások

Minden esetben egyedileg vizsgálni kell, hogy a beérkezett igény tartalmazza-e a jogalap és a cél megjelölését. Amennyiben nem, az igénylÅ‘t fel kell hívni ezek tisztázására. Ha tartalmazza, az adattovábbítás, adatszolgáltatás teljesítése elÅ‘tt meg kell vizsgálni azok jogszerűségét, ha szükséges, az igénylÅ‘t fel kell szólítani ezek tisztázására. Ha az igény megítélése nem egyértelmű, a megválaszoláshoz (és annak terjedelmének meghatározásához) a Társaság az igazgatóság elnöke kérelmére külsÅ‘ jogi tanácsadótól kér állásfoglalást. Nem jogszerű (és/vagy nem teljeskörűen tisztázott célú, illetve jogalapú) adattovábbítási, adatszolgáltatási igényt nem lehet teljesíteni.

 

A Társaság nyilvántartást vezet az adattovábbításokról, a nyilvántartás vezetéséért a vezérigazgató felelÅ‘s.

 

Az adattovábbítás megvalósulhat EGT-állam, illetve harmadik ország irányába is. Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

 

Harmadik országba  személyes adatot a Társaság a harmadik országban adatkezelést folytató adatkezelÅ‘ részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végzÅ‘ adatfeldolgozó részére akkor adhat át, ha az adatkezelés eredendÅ‘en jogszerű, valamint a továbbításhoz az Érintett írásban hozzájárult vagy az jogszabályi felhatalmazáson, illetve elÅ‘íráson alapul, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelÅ‘ védelmet biztosít az átadott adatok kezelése, valamint feldolgozása során, továbbá az adatkezelés feltételei a külföldi adatkezelÅ‘nél minden egyes adatra nézve teljesülnek.

 

 10. Személyes adatokat érintÅ‘ szerzÅ‘dések

 A Társaság bizonyos, személyes adatokat érintÅ‘ tevékenységekbe szerzÅ‘dés alapján harmadik feleket is bevonhat.

 

A személyes adatokat érintÅ‘ szerzÅ‘déskötések során legalább az alábbi, személyes adatok védelmét és biztonságát érintÅ‘ követelményeket kell érvényre juttatni:

  • A Társasággal szerzÅ‘dÅ‘ fél nyilatkozzon arról, hogy ismeri a személyes adatokra vonatkozó hazai és európai szintű jogszabályokat és jó gyakorlatokat (best practice), valamint a Társaság belsÅ‘ szabályait és ezeknek megfelelÅ‘en jár el. A szerzÅ‘dés tárgyához kapcsolódó szabályzatokat a szerzÅ‘dÅ‘ félnek meg kell ismernie.

  • A szerzÅ‘désben rögzíteni kell, hogy a Társasággal szerzÅ‘dÅ‘ fél adatfeldolgozóként (a Társaság utasításainak megfelelÅ‘en), vagy (társ)adatkezelÅ‘ként jár el.

  • A szerzÅ‘désben meg kell határozni a személyes adatokat érintÅ‘en az adatfeldolgozás, adatkezelés tárgyát, az elvégzendÅ‘ adatkezelési műveleteket, ezek idÅ‘tartamát, (esetlegesen automatizált) jellegét, célját.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél köteles minden technikai és szervezeti intézkedést megtenni annak érdekében, hogy a személyes adatok a jogosulatlan hozzáféréstÅ‘l és a jogtalan felhasználástól védve legyenek, továbbá bármilyen adatvesztés, kár vagy változtatás ellen védelemben részesüljenek, és hogy csak azok férjenek hozzá a személyes adatokhoz, akik erre jogosultsággal rendelkeznek és kizárólag a jelen SzerzÅ‘dés teljesítésének érdekében.

  • A szerzÅ‘désben részletezni kell, hogy a szerzÅ‘dÅ‘ fél milyen technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelÅ‘, magas szintű adatbiztonságot garantálja.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél az adatok biztonságának bármilyen sérülése (adatvédelmi incidens), vagy ennek közvetlen, illetve közvetett veszélye esetén haladéktalanul értesíti a Társaságot.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél személyes adatokat kizárólag a szerzÅ‘dés keretei között kezeli vagy dolgozza fel, azokat külön engedély nélkül másnak nem továbbítja.

  • A szerzÅ‘désben rögzíteni kell, hogy minden olyan személy, aki hozzáfér az adatokhoz, megfelelÅ‘, dokumentált tájékoztatásban, képzésben részesüljön a személyes adatok kezelése vonatkozásában, és az adatok bizalmas természetével, titoktartási kötelezettségükkel tisztában legyenek.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél további adatfeldolgozót csak a Társaság elÅ‘zetes írásbeli engedélye alapján vonhat be a teljesítésbe és csak akkor, ha az a személyes adatok védelmét és biztonságát legalább a szerzÅ‘dÅ‘ féllel azonos mértékben biztosítja.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél a szolgáltatás nyújtásának befejezését minden személyes adatot helyreállíthatatlanul töröl vagy visszajuttat Társaságnak, és törli a meglévÅ‘ másolatokat.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél a Társaság rendelkezésére bocsát minden olyan információt, amely a SzerzÅ‘désben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetÅ‘vé teszi és elÅ‘segíti Megbízó által vagy az általa megbízott más ellenÅ‘r, vagy hatóság által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

  • A szerzÅ‘désben rögzíteni kell, hogy a szerzÅ‘dÅ‘ fél tudomásul veszi, hogy a személyes adatokkal kapcsolatos jogszabályi vagy szerzÅ‘déses kötelezettségek megszegése súlyos szerzÅ‘désszegésének minÅ‘sül és azonnal felmondással járhat.

 

FentiektÅ‘l eltérni csak a kapcsolódó kockázatok mérlegelését követÅ‘en, szükség esetén külsÅ‘ jogi tanácsadó egyetértésével, dokumentáltan lehetséges.

 

Különös figyelmet kell fordítani arra, hogy személyes adatokat érintÅ‘ szerzÅ‘déskötés esetén a Társaság adatkezelési tájékoztatója aktualizálásra kerüljön.

​

  11. Adatbiztonság

A Társaság technikai és szervezeti intézkedésekkel biztosítja az általa kezelt vagy feldolgozott, elektronikus vagy papír alapú személyes adatok kezelése vonatkozásában a megfelelÅ‘ adatbiztonságot.

 

Papír alapú adatkezelés esetében gondoskodni kell arról, hogy a személyes adatokat tartalmazó iratok megfelelÅ‘en elzárt tárolókban legyenek elhelyezve, amennyiben az adatok mennyisége, illetve azok jellege ezt indokolja.

 

Mind papíralapú, mind elektronikus adatkezelés esetén gondoskodni kell arról, hogy kizárólag olyan személy férhessen hozzá a személyes adatokat tartalmazó dokumentumokhoz, akik esetében a hozzáférés indokolt.

 

​

 

11.1 Adatvédelmi incidens

A Társaság az adatvédelmi incidensekrÅ‘l nyilvántartást vezet. A nyilvántartás vezetéséért a vezérigazgató felelÅ‘s.

 

Adatvédelmi incidens elÅ‘fordulása esetén az adatvédelmi incidensrÅ‘l értesülÅ‘ személy haladéktalanul tájékoztatni köteles az igazgatóság elnökét. A Társaság haladéktalanul kivizsgálja az adatvédelmi incidens körülményeit és nyilvántartásba veszi az adatvédelmi incidenst.

 

Az adatvédelmi incidenseket be kell jelenteni a Hatóságnak a tudomásszerzést követÅ‘ 72 órán belül, kivéve, ha az igazgatóság elnöke úgy ítéli meg, hogy az adatvédelmi incidens valószínűsíthetÅ‘en nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentés tartalmi elemei:

  • az adatvédelmi incidens leírása, amely tartalmazza az érintettek kategóriáig és hozzávetÅ‘leges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetÅ‘leges számát. Amennyiben ezen adatok bármelyike nem ismert, akkor jelezni kell ennek tényét,

  • a hatósági kapcsolattartó neve, elérhetÅ‘ségei, illetve indokolt esetben (pl. speciális szaktudást igénylÅ‘ adatkezelések esetén) az egyéb tájékoztatást nyújtó személyek neve és elérhetÅ‘sége,

  • az adatvédelmi incidensbÅ‘l eredÅ‘, valószínűsíthetÅ‘ következmények,

  • a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensbÅ‘l eredÅ‘ esetleges hátrányos következmények enyhítését célzó intézkedések,

  • ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

 

Amennyiben bármely fenti információ csak késÅ‘bb derül ki, úgy a Társaság a tudomásszerzést követÅ‘en tájékoztatja arról a Hatóságot.

 

Ha az adatvédelmi incidens valószínűsíthetÅ‘en magas kockázattal jár az érintett természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensrÅ‘l. A tájékoztatásban világosan és közérthetÅ‘en ismertetni kell az adatvédelmi incidens jellegét. A tájékoztatás kötelezÅ‘ tartalmi elemei:

  • a Társaság kapcsolattartójának neve, elérhetÅ‘ségei,

  • az adatvédelmi incidensbÅ‘l eredÅ‘, valószínűsíthetÅ‘ következmények,

  • a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensbÅ‘l eredÅ‘ esetleges hátrányos következmények enyhítését célzó intézkedések.

 

Az alábbi esetekben el lehet térni a tájékoztatástól:

  • Amennyiben a Társaság megfelelÅ‘ technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.

  • Amennyiben a Társaság az adatvédelmi incidenst követÅ‘en olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett fentiek szerinti magas kockázat a továbbiakban valószínűsíthetÅ‘en nem valósul meg.

  • Amennyiben a tájékoztatás aránytalan erÅ‘feszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

Amennyiben a Hatósági bejelentés megelÅ‘zi az érintettek tájékoztatását, a Hatóság jogosult elrendelni az érintett kötelezÅ‘ tájékoztatását vagy a fenti kivételek bármelyikének fennállását.

 

  12. Kiemelt adatkezelések

A Társaság által folytatott kiemelt jelentÅ‘ségű, azaz kiemelt adatmennyiségre vonatkozó, valamint kiemelt potenciális kockázattal járó adatkezelések a munkaügyekkel összefüggÅ‘ személyes adatok kezelése.

 

  12.1 MunkaszerzÅ‘déssel kapcsolatos adatok kezelése

A Társaság értelemszerűen kezeli a részére munkát végzÅ‘ természetes személyek, így különösen, de nem kizárólagosan: munkavállalók, kölcsönzött munkavállalók, gyakornokok, alvállalkozók személyes adatait, az adatkezelÅ‘i nyilvántartásban pontosan meghatározott körben, az ott meghatározott célokból és jogalapokon.

 

A Társaság tiszteletben tartja az érintettek magánszférához kapcsolódó jogait, a munkáltatói adatkezelések szükséges és arányos mértékét.

 

Új álláshirdetések kiírásakor a Társaság betartja az alábbi szabályokat:

  • A pályázók megfelelÅ‘ elÅ‘zetes tájékoztatás mellett jelentkeznek az álláshirdetésre.

  • A Társaság nem adhat közre anonim álláshirdetést.

  • Az önéletrajzok, motivációs levelet és egyéb személyes adatot tartalmazó dokumentumok kezelése a pályázat lebonyolításáig tárolható, vagy ha külön hozzájárulást ad az érintett, akkor a hozzájárulás szerinti idÅ‘pontig.

  • A sikertelen pályázókat is értesíti a Társaság a pályázatok lebonyolítását követÅ‘en.

 

A Társaság szabályzataiban megjelenÅ‘ valamennyi adatkezelésrÅ‘l az érintetteket legkésÅ‘bb jogviszonyuk elsÅ‘ napján, egységes dokumentumban tájékoztatni kell. A tájékoztató a jelen szabályzat mellékletét képezi, a tájékoztató tartalmára az 8.2.1. pont megfelelÅ‘en irányadó. A tájékoztató megismerését és tudomásul vételét az érintetteknek aláírásukkal kell igazolniuk. A tájékoztatót a Társaság szükség szerint, de legalább évente egy alkalommal felülvizsgálja és aktualizálja. Minden, adatkezelést érintÅ‘ változtatásról elÅ‘zetesen tájékoztatni kell az érintetteket.

A munkáltatói adatkezelések tekintetében jogalapok elsÅ‘sorban törvény és a Társaság jogos érdeke lehetnek. Hozzájárulás jogalapként csak azokban az esetekben alkalmazható, amikor egyértelmű, hogy a Társaság részére munkát végzÅ‘ természetes személynek van érdemi döntési lehetÅ‘sége a hozzájárulás megadása kapcsán.

 

12.3.    Vállalati laptop és mobiltelefonhasználat

A munkavállalók jogosultak magáncélra is (nem csak munkára) használni a vállalati laptopokat és mobiltelefonokat.

 

A vállalati laptop használatával kapcsolatos adatkezelés szabályai a következÅ‘ek:

  • Tilos a munkahelyi laptopon illegális tartalmak tárolása.

  • A Társaság jogosult ellenÅ‘rizni a laptop tartalmát, amennyiben ennek szükségessége indokolt bűncselekmény vagy a munkaszerzÅ‘dés súlyos megszegése gyanújának esetén.

  • A Táraság az ellenÅ‘rzés elÅ‘tt tájékoztatja az érintett munkavállalót a jelen pontbeli szabályokról és a munkavállaló jogairól és jogorvoslati lehetÅ‘ségeirÅ‘l.

  • A munkavállaló jogosult jelen lenni az ellenÅ‘rzésen.

  • Az ellenÅ‘rzést a Társaság által alkalmazott informatikus végzi, az ellenÅ‘rzésen részt vehet az igazgatóság elnöke, valamint külsÅ‘ jogi szolgáltató.

  • Az ellenÅ‘rzés a fokozatosság elvének betartása mellett történik, azaz a Társaság elsÅ‘ körben azon állományokat és programokat ellenÅ‘rzi, amelyek összefüggésében legvalószínűbben felmerül az ellenÅ‘rzés szükségessége és fokozatosan terjeszti ki az ellenÅ‘rzés körét az indokolt mértékig.

  • Az ellenÅ‘rzés elÅ‘tt a munkavállaló nyilatkozhat arról, ha valamely állomány ellenÅ‘rzése sértené az emberi méltóságát vagy az információs önrendelkezési jogát. Ilyen esetben a Társaság ésszerű határidÅ‘n belül dönt a további eljárások szükségességérÅ‘l (pl. bűncselekmény gyanúja esetén a feljelentésrÅ‘l, majd errÅ‘l tájékoztatja az ellenÅ‘rzésbe bevont személyeket.

 

A vállalati mobiltelefon használatával kapcsolatos adatkezelés szabályai a következÅ‘ek:

  • A munkavállalók jogosultak magáncélra is használni a vállalati mobiltelefonjukat. A személyes telefonhasználat nem történhet visszaélés-szerűen, azaz úgy, hogy annak eredményeképpen a Társaságnak indokolatlanul magas költségei keletkezzenek.

  • A Társaság rendszeres ellenÅ‘rzést nem folytat a mobiltelefon-használatra vonatkozóan.

  • A Társaság jogosult ellenÅ‘rizni a hívások listáját, amennyiben a mobiltelefon-használat eredményeképpen kimagaslóan magas havi díj keletkezik. A híváslista ellenÅ‘rzése nem irányulhat a munkavállaló magánéletének ellenÅ‘rzésére. A mobiltelefont használó munkavállaló elÅ‘zetesen leszűri a híváslistát úgy, hogy a magáncélú hívások adatai felismerhetetlenek legyenek.

 

 13. Az adatok minÅ‘sége

A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:

  • felvételük és kezelésük tisztességes és törvényes;

  • érvényesek, pontosak és teljes körűek,

  • az érintett azonosítását csak a tárolás céljához szükséges ideig teszik lehetÅ‘vé.

 

 14. AdatkezelÅ‘i és adatfeldolgozói nyilvántartás

A Társaság az által folytatott adatkezeléseirÅ‘l és adatfeldolgozásairól nyilvántartást vezeti. A nyilvántartásokat a vezérigazgató vezeti úgy, hogy az folyamatosan naprakész legyen és hatósági vizsgálat esetén a hatóság számára bemutatható legyen. A nyilvántartások a Társaság munkavállalói számára elérhetÅ‘ek, amennyiben a munkavállalók pontatlanságot fedeznek fel a nyilvántartásokban, úgy kötelesek az jelezni a vezérigazgatónak.

 

A Társaság különleges adatot csak korlátozott körben kezel: betegség miatti távolléttel kapcsolatos munkavállalói (esetlegesen munkavállalók hozzátartozói) adatok, munkahelyi balesetek tekintetében. Bűnügyi személyes adat kezelése a (nyomozó)hatósági megkeresések körében történhet. Különleges és bűnügyi személyes adatok kezelésekor fokozott figyelmet kell fordítani az ilyen adatok kezelését szabályozó speciális jogszabályi rendelkezésekre.

 

 15. Törlés

A Társaság a személyes adatokat tartalmazó dokumentumokat addig Å‘rzi, ameddig annak kezelése jogszerű, ezt követÅ‘en a dokumentumok törlésre kerülnek. A törlésnek minden esetben dokumentáltan és helyreállíthatatlan módon kell megtörténnie. Amennyiben ez technikai okok miatt teljeskörűen nem lehetséges, gondoskodni kell arról, hogy az adatokhoz való hozzáférés a Társaságon belül a lehetÅ‘ legkorlátozottabb legyen.

 

 

bottom of page