ADATVÉDELMI SZABÁLYZAT
Kelt: 2018. április 24.
S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
ADATVÉDELMI SZABÁLYZAT
Tartalomjegyzék
Tartalomjegyzék i
Bevezetés
Fogalomtár
Szabályzat
1. Személyes Adatok kezelése
2. Különleges Adatok kezelése
3. Adatfeldolgozói tevékenység
4. Személyes Adatok kezelésének alapelvei
5. Személyes Adatok kezelésének jogszerűsége
6. Érintett jogai
7. Adattovábbítás
8. Adatkezelési tevékenységek nyilvántartása
9. Adatbiztonság
10. Adatvédelmi incidens
11. Adatvédelmi hatásvizsgálat és előzetes konzultáció
12. A Társaság a munkavállalói és szerződéses partnerei személyes adatait kezeli, foglalkoztatási jogviszonnyal kapcsolatban kezel különleges adatokat. A Társaság által kezelt adatok mennyisége, valamint a kezelt adatok köre nem indokolja hatásvizsgálat lefolytatását. A Társaság az általa végzett adatkezelési tevékenységek tekintetében így hatásvizsgálatot nem folytat le. Adatvédelmi tisztviselő
13. Bírság és kártérítés
1. sz. Melléklet A Társaság adatvédelemmel kapcsolatos lépései
2. sz. Melléklet Személyes Adatok kezelésére vonatkozó nyilvántartások
1. Társaság tagjai és ügyvezetője személyes adatainak kezelése a Társaság társasági dokumentumaiban
2. Munkavállalói adatok kezelése a jogszabályi rendelkezéseknek történő megfelelés érdekében
3. Munkavállalói adatok kezelése kapcsolattartás céljából
4. Munkavállalók jelenléti íven szereplő személyes adatainak kezelése
5. Munkavállalók szabadság-nyilvántartásban szereplő személyes adatainak kezelése
6. Tűz-, munka- és balesetvédelmi oktatással kapcsolatos személyes adatok kezelése
7. Munkavállaló bankszámlaadatainak kezelése
8. A munkavállalók részére átadott eszközök nyilvántartásával kapcsolatos adatkezelés
9. Önéletrajzokban szereplő személyes adatok kezelése
10. Ügyfelek kapcsolattartási adatainak kezelése
11. Kiállított és befogadott számviteli bizonylatokkal kapcsolatos adatkezelés
12. Kamerarendszer üzemeltetésével kapcsolatos személyes adatok kezelése
13. Regisztrációval kapcsolatos személyes adatok kezelése
14. Rendelés teljesítésével kapcsolatos személyes adatok kezelése
15. Honlapon keresztül történő üzenetküldéssel kapcsolatos adatkezelés
3. sz. Melléklet Adatvédelmi Incidensek nyilvántartása
4. sz. Melléklet Érdekmérlegelési tesztek
1. Munkavállalói adatok kezelése kapcsolattartás céljából
2. A munkavállalók részére átadott eszközök nyilvántartásával kapcsolatos adatkezelés
3. Ügyfelek kapcsolattartási adatainak kezelése
4. Kamerarendszer üzemeltetésével kapcsolatos adatkezelés
5. sz. Melléklet Érdekmérlegelési teszt (minta)
6. sz. Melléklet Adatvédelmi hatásvizsgálat (minta)
Bevezetés
Jelen adatvédelmi szabályzat ("Szabályzat") az alábbi társaság adatkezeléssel és adatfeldolgozással kapcsolatos tevékenységére irányadó:
- Társaság neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ("Társaság")
- Társaság székhelye: 1048 Budapest, Tófalva u. 16.
- Társaság cégjegyzékszáma: 01-09-737505
- Társaság adószáma: 13482150-2-41
- Társaság vezető tisztségviselője: Latky Csongor, Kocsárdi Csaba, Gonda László ügyvezetők
- Társaság adatkezelésért felelős munkatársa: Kocsárdi Csaba
- Társaság tevékenysége: A Társaság cégjegyzék szerinti fő tevékenysége: Ital nagykereskedelme.
- A Társaság elsősorban üdítő- és funkcionális italok, ásványvizek, valamint édességek (zabszelet, gyümölcstallér) forgalmazásával foglalkozik. A forgalmazott zabszeletet saját termelő üzemükben gyártják.
Jelen Szabályzat célja, hogy a Társaság a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait - a tevékenysége során előforduló esetekre tekintettel - rögzítse, valamint a Társaság belső adatvédelmi eljárásait összefoglalja.
A Társaság vállalja, hogy az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá a Társaság kötelezettséget vállal arra, hogy csak olyan Személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.
A Társaság vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki a Társaság helyett és/vagy nevében eljár, a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat rendelkezései szerint járnak el.
A Társaság vállalja, hogy - amennyiben szükséges - a jelen Szabályzat tartalmát megismerteti az üzleti partnereivel, illetőleg bármely Személyes Adat átadását megelőzően ellenőrzi, hogy az üzleti partnerei a jelen Szabályzattal azonos szintű, adatkezelési tevékenységekkel kapcsolatos és adatfeldolgozási tevékenységekkel kapcsolatos minimum standardokkal rendelkeznek-e, illetve, hogy az adatbiztonságot a Társasággal azonos színvonalon biztosítják-e.
A Társaság vállalja, hogy az adatkezeléssel kapcsolatos tevékenységei és adatfeldolgozással kapcsolatos tevékenységei során a jelen Szabályzatban, illetve a jogszabályokban foglaltaknak megfelelően jár el, különös tekintettel az alábbi jogszabályokra:
(i) Magyarország Alaptörvénye ("Alaptörvény");
(ii) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) ("Rendelet");
(iii) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény ("Infotv.");
(iv) A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól 2005. évi CXXXIII. törvény ("Szvtv.").
Fogalomtár
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel.
Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelés korlátozása: a tárolt Személyes Adatok megjelölése jövőbeli kezelésük korlátozása céljából;
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.; ha az Adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az Adatkezelőt vagy az Adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Álnevesítés: Személyes Adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes Adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes Adatot nem lehet kapcsolni.
Érintett Hozzájárulása: az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő Személyes Adatok kezeléséhez;
Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az Adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alatt a Személyes Adatok kezelésére felhatalmazást kaptak;
Különleges Adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adatok:
(a) genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan Személyes Adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
(b) biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan, sajátos technikai eljárásokkal nyert Személyes Adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
(c) egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó Személyes Adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
Profilalkotás: Személyes Adatok automatizált kezelésének bármely olyan formája, amelynek során a Személyes Adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
Személyes Adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Szabályzat
1. Személyes Adatok kezelése
1.1 Személyes Adatok
Személyes Adatnak minősül azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.
Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Személyes Adatnak minősül - többek között - a természetes személy neve, lakcíme, születési helye és ideje, továbbá a képmása vagy a természetes személy beszédéről készült hangfelvétel is.
1.2 Adatkezelés
Adatkezelésnek minősül a Személyes Adatokon végzett bármely művelet vagy műveletek összessége. Adatkezelés így a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, lekérdezése, a Személyes Adatokba történő betekintés, a Személyes Adatok felhasználása, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolása vagy összekapcsolása, korlátozása, törlése, illetve megsemmisítése.
Adatkezelésnek minősül - többek között - a munkavállalói adatok felvétele és tárolása, a szerződéses partnerek kapcsolattartói elérhetőségének felvétele egy adatbázisba, továbbá a hírlevél küldése céljából felépített adatbázisban tárolt nevek és e-mail címek.
1.3 A Személyes Adatok kezelésére vonatkozó részletes nyilvántartásokat jelen Szabályzat 2. sz. Melléklete tartalmazza.
2. Különleges Adatok kezelése
2.1 Különleges Adatok
Különleges Adatok a Személyes Adatok speciális kategóriáját képezik. Különleges Adatnak minősülnek az alábbi Személyes Adatok:
• a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat,
• a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat,
• az egészségügyi adat, és
• a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adat.
Különleges Adatnak minősül - többek között - a munkavállaló várandósságára vonatkozó információ, az orvosi igazolás a keresőképtelen állományba vételéről (ún. táppénzes papír), továbbá a beléptetőrendszerben tárolt ujjlenyomat.
2.2 Különleges Adatok kezelése
Különleges Adatok kezelése tilos!
A Különleges Adatok kezelésére vonatkozó tilalom azonban nem alkalmazandó az alábbi esetekben:
• ha az Érintett kifejezett hozzájárulását adta az adott Különleges Adat kezeléséhez (kifejezett hozzájárulás esetén sem kezelhető Különleges Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);
• ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
• ha az Adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
• ha az Adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy (i) az Adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és (ii) a Személyes Adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
• ha az Adatkezelés olyan Különleges Adatra vonatkozik, amelyet az Érintett kifejezetten nyilvánosságra hozott;
• ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
• ha az Adatkezelés jelentős közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
• ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll);
• ha az Adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a szakmai titoktartásra vonatkozóan;
• ha az Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
2.3 A Társaság a következő, Különleges Adatok kezelésére vonatkozó tevékenységeket folytatja:
A Társaság munkavállalóinak a foglalkoztatásukhoz kapcsolódó Különleges Adatait kezeli.
2.4 A Különleges Adatok kezelésére vonatkozó információkat jelen Szabályzat 2. sz. Melléklete tartalmazza.
3. Adatfeldolgozói tevékenység
3.1 Adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel.
Adatfeldolgozónak minősül - többek között - a Társaság alkalmazottai részére bérszámfejtési tevékenységet végző külső vállalkozó, a Társaság számítógépes rendszerének rendszergazdája vagy a Társaság honlapjának tárhelyszolgáltatója, továbbá a Társaság nevében hírlevelet küldő harmadik személy.
3.2 Az Adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az Adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó Személyes Adatokat felhasználó üzleti tevékenységben érdekelt.
Az adatfeldolgozási szerződés legalább az alábbi rendelkezéseket tartalmazza:
(a) a Személyes Adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli - beleértve a Személyes Adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az Adatkezelést az Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az Adatkezelést megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
(b) biztosítja azt, hogy a Személyes Adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
(c) meghozza az Adatkezelés biztonsága tekintetében előírt intézkedéseket;
(d) tiszteletben tartja a további Adatfeldolgozó igénybevételére vonatkozó rendelkezésekben említett feltételeket;
(e) az Adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
(f) segíti az Adatkezelőt az Adatkezelés biztonságára, Adatvédelmi Incidens bejelentésére, az adatvédelmi hatásvizsgálat és előzetes konzultáció lefolytatására vonatkozó kötelezettségek teljesítésében, figyelembe véve az Adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat;
(g) az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden Személyes Adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
(h) az Adatkezelő rendelkezésére bocsát minden olyan információt, amely az Adatfeldolgozás tekintetében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
3.3 Minden Adatfeldolgozó nyilvántartást vezet az Adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:
• az Adatfeldolgozó vagy Adatfeldolgozók neve és elérhetőségei, és minden olyan Adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az Adatfeldolgozó eljár, továbbá - ha van ilyen - az Adatkezelő vagy az Adatfeldolgozó képviselőjének, valamint az Adatvédelmi Tisztviselőnek a neve és elérhetőségei;
• az egyes Adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
• adott esetben a Személyes Adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;
• ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.
3.4 A Társaság a következő Adatfeldolgozók szolgáltatásait veszi igénybe a tevékenysége végzése során:
3.4.1 A Társaság részére a bérszámfejtési feladatokat a VÉT Számviteli és Közgazdasági Tanácsadó Kft. (székhely: 1153 Budapest, Bethlen Gábor u. 21. a. ép. fszt. 4; cégjegyzékszám: 01-09-872766, adószám: 12096468-2-42) látja el.
3.4.2 A Társaság számítógépes hálózatának karbantartója, valamint honlapjának szerverszolgáltatója a DataMagic Pénzügyi Informatikai és Tanácsadó Korlátolt Felelősségű Társaság (székhely: 2310 Szigetszentmiklós, Üdülő sor 47; cégjegyzékszám: 13-09-118058, adószám: 13372745-2-13).
3.4.3 A Társaság a webáruházában megrendelt termékek házhoz szállításával a 24H Parcel Zártkörűen Működő Részvénytársaságot (székhely: 1106 Budapest, Fehér út 10; cégjegyzékszám: 01-10-049225, adószám: 25885062-2-42) bízta meg.
3.5 A Társaság a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként:
A Társaság Adatfeldolgozóként nem végez adatkezelési tevékenységet.
4. Személyes Adatok kezelésének alapelvei
4.1 Jogszerűség, tisztességes eljárás és átláthatóság
A Személyes Adatokat jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell kezelni.
A Személyes Adatokat a Társaság akkor kezeli jogszerűen, ha az Adatkezelést megfelelő jogalap alapján végzi. Ha a Társaság a szerződés teljesítéséhez szükséges Személyes Adatokat kezel, úgy az Adatkezelés akkor jogszerű, ha a jogalap a szerződés teljesítése. Nem jogszerű az Adatkezelés azonban ebben az esetben, ha a Társaság a Személyes Adatokat hozzájárulás alapján kezeli.
A Személyes Adatokat a Társaság akkor kezeli tisztességesen, ha az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. A tisztességesség elve korlátot szab az adatkezelési tevékenységek folytatásának annak figyelembevételével, hogy az Érintett "nem pusztán tárgya, hanem alanya az Adatkezelésnek". Így a Társaság nem tévesztheti meg az Érintettet az Adatkezelés során, nem bocsáthat ki megtévesztő tartalmú tájékoztató anyagot.
A Személyes Adatokat a Társaság akkor kezeli átláthatóan, ha az Adatkezelés megkezdését megelőzően, valamint az Adatkezelés során meghatározott időközönként teljes körűen tájékoztatja az Érintettet az Adatkezelésről, az Érintett jogairól, valamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az Érintett a Társaság által kezelt Személyes Adataival a jogszabályi kereteken belül rendelkezhessen. Az Adatkezelés átláthatósága akkor áll fenn, ha az Adatkezeléssel kapcsolatos bármely változásról - a változást az adott változás Érintettekre való hatása figyelembevételével meghatározott idővel megelőzően - a fentiekben foglaltak szerint tájékoztatja a Társaság az Érintettet.
Az átláthatóság elve továbbá megköveteli, hogy a Társaság valamennyi, Adatkezeléssel kapcsolatos intézkedését megfelelően dokumentálja. A Társaság az Érintettek részére a Társaság által a konkrét Adatkezelés fényében meghatározott időközönként ismételt tájékoztatást ad annak érdekében, hogy biztosítsa, hogy az Érintett a Személyes Adatai kezelésével kapcsolatos információkkal rendelkezik.
Az átláthatóság elvének a Társaság akkor felel meg, ha az Érintettek részére nyújtandó tájékoztatás, valamint az Érintettekkel folytatandó kommunikáció (ide értve a jogok érvényesítésével, valamint az Adatvédelmi Incidenssel kapcsolatos kommunikációt) során az alábbi szempontokat figyelembe veszi:
• tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség;
• világos és közérthető nyelvezet;
• írásbeliség vagy más - a konkrét Adatkezelés tekintetében - megfelelő mód, valamint az Érintett kérésére szóbeli tájékoztatás.
A tájékoztatás formáját a Rendelet nem határozza meg, az átláthatóság elvének való megfelelés érdekében a tájékoztatás a konkrét Adatkezelés körülményeinek figyelembevételével - többek között - az alábbi módokon valósulhat meg:
• többszintű elektronikus tájékoztatás (azaz az egyes személyes adatok bekérése esetén információként felugró ablakban rövid tájékoztatást nyújt a Társaság a Személyes Adat kezelése tekintetében, valamint adatkezelési tájékoztatóban részletes tájékoztatást nyújt);
• elektronikus úton, felugró ablakban történő tájékoztatás (azaz a Személyes Adatok kezelésére vonatkozó információ felugró ablakban jelenik meg a honlap látogatója részére a figyelemfelhívás érdekében);
• elektronikus úton, Személyes Adatok kezelését lehetőség tevő felület biztosítása (azaz valamennyi, az adott honlapon keresztül történő vagy az adott Adatkezelő által folytatott adatkezelési tevékenység kezelését egy felületen keresztül engedélyezi a felhasználó részére a Társaság);
• papír alapú tájékoztatás;
• telefonon, előre rögzített hangfelvételen keresztül történő tájékoztatás;
• személyesen történő tájékoztatás;
• szabványosított ikonokon keresztül történő tájékoztatás.
4.2 Célhoz kötöttség
A Társaság a Személyes Adatokat meghatározott, egyértelmű és jogszerű célból kezelheti. Ezzel a céllal össze nem egyeztethető módon nem kezelheti a Társaság a Személyes Adatokat. A Társaság nem kezelhet továbbá Személyes Adatokat meghatározott cél nélkül vagy jövőbeli felhasználás érdekében.
A Társaság az Adatkezelés célját az Adatkezelés megkezdése előtt esetről esetre világosan, a törvényekkel összhangban meghatározza, oly módon, hogy a célt nem szűken vagy túl tágan fogalmazza meg. A Társaság az Adatkezelés céljáról tájékoztatja az Érintetteket annak érdekében, hogy az Érintettek megalapozott döntést tudjanak hozni az Adatkezelésről.
A Társaság a célhoz kötöttségnek történő megfelelés érdekében szükséges lépéseket átgondolja, dokumentálja és megteszi.
Ha a Társaság ugyanazon Személyes Adatokat több, egymáshoz nem kapcsolódó adatkezelési célból kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el. Egymáshoz nem kapcsolódó adatkezelési célok - többek között - egy nyereményjátékra való regisztráció és azt követően hírlevél küldése az Érintett részére.
4.3 Adattakarékosság
A Társaság a konkrét adatkezelési cél szempontjából megfelelő, releváns és szükséges Személyes Adatokat kezeli.
A Társaság valamennyi Adatkezelés esetén megvizsgálja, hogy az adatkezelési cél megvalósítható lenne-e egyéb módon, ami a magánszférát kevésbé sérti. A Társaság már az Adatkezelés megtervezésénél figyelembe veszi, hogy a Személyes Adatok kezelése a konkrét adatkezelési cél megvalósításához szükséges-e, azzal arányos-e, van-e bármilyen egyéb mód arra, hogy a Társaság az adatkezelési célt elérje.
4.4 Pontosság
Az Adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az Adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az Érintettet csak az Adatkezelés céljához szükséges ideig lehessen azonosítani
Ha a Társaság arról szerez tudomást, hogy az általa kezelt Személyes Adat az Adatkezelés célja szempontjából pontatlan, hibás, hiányos vagy időszerűtlen, minden észszerű intézkedést köteles megtenni annak érdekében, hogy a Személyes Adatokat haladéktalanul töröljék vagy helyesbítsék.
A Társaság mindent megtesz annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat tartalmaznak, pontos információkat tartalmazzanak, így az adatbázisokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.
4.5 Korlátozott tárolhatóság
Személyes Adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A Személyes Adat tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a Személyes Adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
A Társaság a Személyes Adatok tárolási idejére vonatkozó listát készít, amely alapján az egyes Személyes Adatok törlésének idejét nyomon követi. A Társaság a listát rendszeres időközönként felülvizsgálja.
Amikor a Személyes Adatok kezelésének célja megvalósul, vagy a Társaság által rögzített tárolási idő lejárt, akkor a Társaság a Személyes Adatokat törli, a Személyes Adatok törlését pedig írásban rögzíti.
4.6 Integritás és bizalmas jelleg
A Társaság olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a Személyes Adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a Személyes Adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.
A Társaság biztosítja, hogy a papír alapon vagy elektronikusan kezelt Személyes Adatokhoz a Társaság szervezetén belül csak az arra jogosult személy férjen hozzá, illetve harmadik személy e Személyes Adatokhoz jogosulatlanul ne férjen hozzá.
A Személyes Adatok bizalmasságának biztosítása érdekében a Társaság értékeli az adott Adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket alkalmaz.
A Társaság a adatvédelmi garanciákat az adatkezelési rendszerekbe a fejlesztés legkorábbi szakaszától kezdve beépíti, figyelembe veszi a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő Személyes Adatok jellegével összefüggő költségeit. A Társaság biztosítja, hogy egy esetleges adatvédelmi incidens esetén a Személyes Adatok kellő időben visszaállíthatók legyenek.
4.7 Elszámoltathatóság
A Társaság felelős azért, hogy valamennyi fenti alapelvnek megfeleljen. A Társaság továbbá felelős azért is, hogy képes legyen igazolni a fenti alapelveknek való megfelelést. A Társaság anyagi felelősséggel tartozik az adatvédelmi alapelvek végrehajtásáért.
A Társaság - többek között - a következő intézkedéseket teszi meg az alapelveknek való megfelelés és annak igazolhatósága érdekében:
• írásbeli adatvédelmi szabályzat készítése;
• adatkezelési tájékoztatók készítése;
• adatvédelmi kérdésekkel kapcsolatos dokumentáció elkészítése;
• számítógépes hálózatok biztonságának átgondolása, ellenőrzése és szükség esetén a biztonsági szint javítása;
• munkavállalók oktatása, stb.
5. Személyes Adatok kezelésének jogszerűsége
5.1 A Személyes Adatok kezelése akkor és olyan mértékben jogszerű, amikor és amennyiben legalább alábbi pontban foglaltak egyike teljesül:
(i) az Érintett hozzájárulását adta Személyes Adatainak konkrét célból történő kezeléséhez;
(ii) az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
(iii) az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
(iv) az Adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
(v) az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
(vi) az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek Személyes Adatok védelmét teszik szükségessé (különösen, ha az Érintett gyermek).
A Társaság az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg.
5.2 Amennyiben a Társaság a Személyes Adatokat egy konkrét célból gyűjti, és a gyűjtött Személyes Adatokat bármely más célból is használni kívánja, akkor - amennyiben az eltérő célú Adatkezelés nem az Érintett hozzájárulásán vagy nem olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban - a Társaság az eltérő célú Adatkezelés jogszerűségének megítélése szempontjából az alábbi szempontokat veszi figyelembe:
(i) a Személyes Adatok gyűjtésének céljait és a tervezett további Adatkezelés céljai közötti esetleges kapcsolatokat;
(ii) a Személyes Adatok gyűjtésének körülményeit (különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra);
(iii) a Személyes Adatok jellegét (különösen azt, hogy Személyes Adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó);
(iv) azt, hogy az Érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
(v) megfelelő garanciák meglétét (például titkosítás vagy álnevesítés).
5.3 Hozzájárulás feltételei
Hozzájáruláson alapuló Adatkezelés esetén a Társaságnak mindenkor képesnek kell lennie arra, hogy igazolja, hogy az Érintett a Személyes Adatainak kezeléséhez hozzájárult. Így a Társaság valamennyi, elektronikusan gyűjtött hozzájárulást rögzít, valamint valamennyi, papír alapon gyűjtött hozzájárulást megőriz.
A hozzájárulás csak akkor fogadható el a Rendeletnek megfelelő hozzájárulásnak, ha megfelel az alábbi követelményeknek:
• Önkéntes
A hozzájárulás akkor önkéntes, ha az Érintettnek tényleges választási lehetősége áll fenn a hozzájárulás megadása vagy meg nem adása közötti döntés meghozatala során.
A hozzájárulás nem tekinthető önkéntesnek - többek között - akkor, ha az Érintett negatív következményekkel kell, hogy számoljon abban az esetben, ha nem adja meg hozzájárulását vagy ha azt visszavonja, illetőleg, ha a hozzájárulást az Érintett a nem tárgyalható általános szerződési felételek elfogadásával együtt automatikusan megadja.
Nem önkéntes a hozzájárulás akkor, ha a hozzájárulást kérő és a hozzájáruló személy között alá-fölérendeltségi viszony áll fenn, és az alárendelet személy nem rendelkezik tényleges választási lehetőséggel az alá-fölérendeltségi viszony miatt, így például munkaviszony fennállása esetén.
• Konkrét
Akkor konkrét a hozzájárulás, ha az egy meghatározott adatkezeléshez kapcsolódik, a Társaság az Adatkezelés célját pontosan meghatározza, hozzájárulást a konkrétan meghatározott adatkezelési célhoz kér, valamint világosan elválasztja a Személyes Adatok kezeléséhez való hozzájáruláskérést valamennyi más információtól.
Ugyanazon Személyes Adatok eltérő célból történő kezelése esetén a Társaság az egyes eltérő adatkezelési célokhoz külön-külön kér hozzájárulást.
• Tájékoztatáson alapul
A hozzájárulás csak megfelelő tájékoztatáson alapulhat. A Társaság az Adatkezelés megkezdését megelőzően az Érintett rendelkezésére bocsátja a jelen Szabályzat 6.1(iii) vagy 6.1(iv) pontjában foglalt információkat.
Az Érintettek részére nyújtott tájékoztatás megfogalmazása során a Társaság figyelembe veszi, hogy a tájékoztatás kinek szól és a tájékoztatás formáját és nyelvezetét e tény figyelembevételével alakítja.
• Egyértelmű
Az Érintett egyértelműen kifejezi, hogy hozzájárul a Személyes Adatai kezeléséhez erre vonatkozó nyilatkozatban vagy más, egyértelműen hozzájárulásként azonosítható cselekedettel.
Bármely, a fenti feltételeknek meg nem felelő hozzájárulás sérti a Rendelet előírásait és kötelező erővel nem bír.
Ha az Érintett a hozzájárulását olyan nyilatkozatban adja meg, amely más ügyre is vonatkozik, akkor a Személyes Adatok kezelésére vonatkozó hozzájárulás iránti kérelmet a más ügyekre vonatkozó nyilatkozatoktól külön kell kérni, annak érthető és könnyen hozzáférhető formában kell tartalmaznia a hozzájárulás kérését és azt világos és egyszerű nyelvezettel kell megfogalmazni. Amennyiben a hozzájárulást tartalmazó nyilatkozat bármely része nem felel meg a Rendelet előírásainak, akkor az kötelező erővel nem bír.
Az Érintett jogosult hozzájárulását bármikor visszavonni, azonban a hozzájárulás visszavonása nem teszi jogszerűtlenné a hozzájárulás visszavonását megelőző időszakban folytatott adatkezelési tevékenységet, amennyiben az jogszerű hozzájáruláson alapult. A hozzájárulás visszavonására a Társaságnak olyan egyszerű formában kell lehetőséget biztosítania az Érintett részére, mint amilyen egyszerű formában lehetőséget biztosított a hozzájárulás megadására.
A Társaság az alábbi, hozzájáruláson alapuló adatkezelési tevékenységeket végzi:
• Önéletrajzokban szereplő személyes adatok kezelése;
• Regisztrációval kapcsolatos személyes adatok kezelése;
• Honlapon keresztül történő üzenetküldéssel kapcsolatos adatkezelés.
6. Érintett jogai
Az Érintettek az alábbi (6.1-6.9. pontokban részletezett) jogokkal rendelkeznek:
• tájékoztatáshoz való jog,
• hozzáféréshez való jog,
• helyesbítéshez való jog,
• törléshez való jog,
• Adatkezelés korlátozásához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog,
• panasztételhez való jog, valamint
• az Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog.
A Társaság az Érintett részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást nyújt a Személyes Adatok kezelése tekintetében.
A Társaság a tájékoztatást írásban, elektronikusan vagy más módon nyújtja. A Társaság a tájékoztatást szabványosított ikonokkal is kiegészítheti a jól látható, könnyen érthető és jól olvasható formájú általános tájékoztatás érdekében (elektronikusan megjelenített ikonoknak géppel olvashatónak kell lennie). Amennyiben az Érintett kéri, akkor a Társaság szóban is tájékoztatást nyújt, amennyiben az Érintett a személyazonosságát - megfelelő okmányok bemutatásával - igazolta.
A Társaság az Érintett jogainak gyakorlását elősegíti. Ha az Érintett elektronikus úton nyújt be kérelmet, akkor a Társaság azt elektronikus úton válaszolja meg, kivéve, ha az Érintett másként nem kéri.
A Társaság az Érintettet a beérkezett kérelem alapján tett intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja. Az egy hónapos határidő a kérelem összetettségére és a kérelmek számára tekintettel legfeljebb további két hónappal meghosszabbítható. A Társaság a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja az Érintettet a határidő esetleges meghosszabbításáról.
Ha a Társaság a kérelem beérkezésétől számított egy hónapon belül nem tesz intézkedést, akkor a Társaság a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamelyik felügyeleti hatóságnál és élhet bírósági jogorvoslat jogával.
A Társaság az Érintett által benyújtott kérelem teljesítését csak akkor tagadhatja meg, ha bizonyítja, hogy az Érintettet nem áll módjában azonosítani.
A Társaság az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja. Amennyiben az Érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, akkor a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. Amennyiben erre sor kerül, a Társaságnak kell bizonyítania, hogy az Érintett kérelme megalapozatlan vagy túlzó.
Ha a Társaságnak megalapozott kétségei vannak a kérelmet benyújtó személy kilétével kapcsolatban, akkor az Érintett személyazonossága megerősítéséhez szükséges további információkat kérhet.
6.1 Tájékoztatáshoz való jog
(i) A Társaság az alábbiak szerint nyújt tájékoztatást az Érintettek részére a jelen pont (iii) és (iv) alpontjában foglalt tartalommal:
• a Személyes Adatok kezelésének konkrét körülményeit tekintetbe véve, a Személyes Adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
• ha a Személyes Adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
• ha várhatóan más Címzettel is közli az adatokat, legkésőbb a Személyes Adatok első alkalommal való közlésekor.
(ii) Ha a Társaság az eredeti adatkezelési céltól eltérő célból további Adatkezelést kíván végezni, akkor valamennyi további Adatkezelést megelőzően tájékoztatja az Érintettet az új adatkezelési célról, valamint valamennyi, (iii) alpont szerinti releváns kiegészítő információról.
(iii) A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat az Érintettől gyűjti:
• az Adatkezelőnek és - ha van ilyen - az Adatkezelő képviselőjének a kiléte és elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
• a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
• az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
• adott esetben a Személyes Adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
• adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a Személyes Adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén, vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
• a Személyes Adatok tárolásának időtartamáról, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
• az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;
• hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott Adatkezelés jogszerűségét;
• felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
• arról, hogy a Személyes Adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a Személyes Adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben az Érintett már rendelkezik az információkkal.
(iv) A Társaság a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat harmadik személytől gyűjti:
• az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei (ha van ilyen);
• az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
• a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
• az érintett Személyes Adatok kategóriái;
• a Személyes Adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
• adott esetben annak ténye, hogy az Adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, kötelező erejű vállalati szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás;
• a Személyes Adatok tárolásának időtartama, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
• az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;
• hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• felügyeleti hatósághoz címzett panasz benyújtásának joga;
• a Személyes Adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
(v) Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben
• az Érintett már rendelkezik az információkkal;
• a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet vonatkozó rendelkezésében foglalt feltételek és garanciák figyelembevételével végzett Adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen Adatkezelés céljainak elérését (az Adatkezelőnek ebben az esetben megfelelő intézkedéseket kell hoznia - az információk nyilvánosan elérhetővé tételét is ideértve - az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében);
• az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
• a Személyes Adatoknak szakmai titoktartási kötelezettség alapján - ideértve a jogszabályon alapuló titoktartási kötelezettséget is - bizalmasnak kell maradnia.
(vi) A Társaság az alábbiak szerint jár el a megfelelő tájékoztatás nyújtása érdekében:
Az Adatvédelmi Felelős az egyes adatkezelési tevékenységek megkezdése előtt elkészíti az adott Adatkezeléshez kapcsolódó, a fenti 6.1(iii), illetve 6.1(iv) pontok alapján összeállított adatkezelési tájékoztatót. Az adatkezelési tájékoztatót minden, az adatkezelési tevékenység körében érintett részére még az Adatkezelés megkezdése előtt akár nyomtatott, akár elektronikus formában hozzáférhetővé teszi.
Az adatkezelési tájékoztatók elkészítésével kapcsolatban az Adatvédelmi Felelős, illetve a Társaság ügyvezetője külső jogi tanácsadó segítségét is igénybe veheti.
6.2 Hozzáféréshez való jog
Az Érintett jogosult tájékoztatást kérni és kapni arról, hogy a Társaság a kérelem beérkezésekor kezeli-e a Személyes Adatait.
Ha a Társaság a kérelmet benyújtó Érintett Személyes Adatait kezeli a kérelem beérkezésekor, akkor az Érintett jogosult a következő információkhoz hozzáférni:
(i) az Adatkezelés céljai;
(ii) az érintett Személyes Adatok kategóriái;
(iii) azon Címzettek vagy Címzettek kategóriái, akikkel, illetve amelyekkel a Személyes Adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli Címzetteket, illetve a nemzetközi szervezeteket;
(iv) adott esetben a Személyes Adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
(v) az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen Személyes Adatok kezelése ellen;
(vi) felügyeleti hatósághoz címzett panasz benyújtásának joga;
(vii) ha a személyes adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
(viii) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.
Ha a Társaság a Személyes Adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az Érintett a megfelelő garanciákra vonatkozó tájékoztatásra is jogosult.
A Társaság ingyenesen az Érintett rendelkezésére bocsátja az Adatkezelés tárgyát képező Személyes Adatokat. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait.
További másolatok igénylése esetén a Társaság igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy észszerű összegű díjat számíthat fel.
A Társaság az alábbiak szerint jár el a hozzáféréshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős a kérelem beérkezését követően legfeljebb 10 (tíz) napon belül megvizsgálja, hogy a Társaság adatkezelési tevékenységei során kezeli-e a kérelmező Személyes Adatait.
Amennyiben a kérelmező Személyes Adatai a Társaság Adatkezelései körében nem szerepelnek, az Adatvédelmi Felelős 5 (öt) napon belül erről a tényről tájékoztatja a kérelmezőt olyan módon, amilyen módon a kérelmező a kérelmet előterjesztette, illetőleg személyesen előterjesztett kérelem esetén postai úton.
Ha a Társaság kezeli a kérelemmel érintett Személyes Adatokat, az Adatvédelmi Felelős a kérelem beérkezését követő 20 (húsz) napon belül felméri, hogy
• a Társaság a kérelmező mely Személyes Adatait kezeli;
• milyen céllal, illetve milyen jogalapon történik az Adatkezelés;
• történt-e Adattovábbítás, és ha igen, akkor mely Címzettek részére;
• a kezelt Személyes Adatokat - akár jogszabályi előírás, akár szerződésben foglalt kötelezettség alapján - milyen időtartamra köteles a Társaság kezelni.
Ezt követően az Adatvédelmi Felelős a fenti 6.2(i) - 6.2(viii) pontokban foglalt szempontok alapján készített írásos tájékoztatását a kérelem beérkezésétől számított 30 (harminc) napon belül átadja a kérelmező részére. Az írásbeli tájékoztatáshoz mellékeli a kérelmezőnek a Társaság által kezelt Személyes Adatairól készített másolatát is.
6.3 Helyesbítéshez való jog
A Társaság az Érintett kérése esetén - indokolatlan késedelem nélkül - helyesbíti az Érintettre vonatkozó pontatlan vagy hiányos Személyes Adatokat.
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a helyesbítéshez való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
A Társaság az alábbiak szerint jár el a helyesbítéshez való jog érvényre juttatása érdekében:
A Társasághoz érkezett, a Személyes Adatok helyesbítésére vonatkozó kérelem beérkezését követően legfeljebb 10 (tíz) napon belül az Adatvédelmi Felelős ellenőrzi, hogy a kérelemmel érintett adatok a Társaság mely adatkezelési tevékenységeiben szerepelnek, valamint azt, hogy mely program(ok)ban szükséges elvégezni módosítani annak érdekében, hogy a Személyes Adatok valamennyi, a helyesbítés időpontjában folyamatban lévő és esetleges későbbi adatkezelési folyamataiban pontosításra kerüljenek.
Az Adatvédelmi Felelős a Személyes Adatok módosításáról tájékoztat minden olyan Címzettet, akik részére korábban azokat továbbította.
Az Adatvédelmi Felelős a kérelmező részére írásos tájékoztatást ad Személyes Adatai helyesbítésének megtörténtéről.
6.4 Törléshez való jog
A Társaság az Érintett kérése esetén - indokolatlan késedelem nélkül - törli az Érintettre vonatkozó Személyes Adatokat.
6.4.1 A Társaság törli a Személyes Adatokat, amennyiben az alábbi pontokban foglaltak valamelyike fennáll:
• a Személyes Adatokra abból a célból már nincs szükség, amelyből azokat gyűjtötték vagy más módon kezelték;
• az Érintett visszavonja az Adatkezelés alapját képező hozzájárulását és az Adatkezelésnek nincs más jogalapja;
• az Érintett saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az Adatkezelésre, vagy az Érintett közvetlen üzletszerzési célból kezelt Személyes Adatok kezelése ellen tiltakozik;
• a Személyes Adatokat jogellenesen kezelték;
• a Személyes Adatokat az Adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
• a Személyes Adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben a Társaság nyilvánosságra hozta a Személyes Adatot és azt törölni köteles, akkor - az elérhető technológia és a megvalósítás költségeinek figyelembevételével - megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa a Személyes Adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük az adott Személyes Adatra mutató linkek vagy e Személyes Adatok másolatának, illetve másodpéldányának törlését.
6.4.2 A Társaság nem törli azonban a Személyes Adatokat és nem tesz lépéseket a Személyes Adatokat kezelő Adatkezelők tájékoztatása érdekében, amennyiben az Adatkezelés szükséges:
• a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
• a Személyes Adatok kezelését előíró, az Adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
• a népegészségügy területét érintő közérdek alapján;
• a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
• jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett a törléshez való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
A Társaság az alábbiak szerint jár el a törléshez való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős a Személyes Adatok törlése iránti kérelem beérkezését követően azonnal, de legfeljebb 10 (tíz) napon belül megvizsgálja, hogy
• a Társaság milyen célból, illetve milyen jogalapon kezeli a kérelmező Személyes Adatait;
• az adott cél és jogalap következtében milyen időtartamra jogosult az Adatkezelésre;
• a fenti 6.4.1. pontban szereplő törlési okok bármelyike fennáll-e;
• bármely, a 6.4.2. pontban felsorolt körülmény szükségessé teszi-e az adatkezelési tevékenységet.
Amennyiben bármely, a 6.4.1. pontban felsorolt törlési ok fennáll és ezzel együtt egyetlen, a 6.4.2. pontban szereplő körülmény sem teszi szükségessé az Adatkezelést, akkor a Társaság haladéktalanul megszünteti az adatkezelési tevékenységét és törli a kérelmező Személyes Adatait. A Személyes Adatok törléséről a Társaság értesít minden olyan Címzettet, akinek a részére azokat korábban továbbította és ezt követően írásban tájékoztatja a kérelmezőt arról, hogy az Adatkezelést megszüntette.
Abban az esetben azonban, ha a 6.4.2. pontban szereplő okok bármelyike fennáll, a Társaság arról tájékoztatja a kérelmezőt, hogy Személyes Adatait az adott ok miatt továbbra is kezelnie szükséges.
6.5 Adatkezelés korlátozásához való jog
A Társaság korlátozza a Személyes Adatok kezelését, amennyiben az Érintett erre irányuló kérelmet nyújt be a Társaság részére és valamelyik alábbi pontban foglalt feltétel teljesül:
(i) az Érintett vitatja a Személyes Adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a Személyes Adatok pontosságát;
(ii) az Adatkezelés jogellenes és az Érintett ellenzi az adatok törlését, ehelyett kéri azok felhasználásának korlátozását;
(iii) az Adatkezelőnek már nincs szüksége a Személyes Adatokra Adatkezelés céljából, de az Érintett jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli azokat; vagy
(iv) az Érintett saját helyzetével kapcsolatos okokból tiltakozott az Adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben).
A Társaság Személyes Adatok kezelésének korlátozása esetén a Személyes Adatokat a tárolás kivételével csak az Érintett hozzájárulásával jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes személy vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből kezelheti.
A Társaság az Érintettet előzetesen tájékoztatja a Személyes Adatok kezelése korlátozásának feloldásáról, amennyiben a Személyes Adatok kezelésének korlátozására korábban sor került.
A Társaság minden olyan Címzettet tájékoztat arról, hogy az Érintett az Adatkezelés korlátozásához való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
A Társaság az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.
A Társaság az alábbiak szerint jár el a Személyes Adatok korlátozásához való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős a kérelem beérkezését követően legfeljebb 10 (tíz) napon belül megvizsgálja, hogy az Adatkezelés korlátozásának bármely, a fenti 6.5(i) - 6.5(iv) pontokban felsorolt feltétele fennáll-e.
Amennyiben valamely korlátozási ok fennáll, akkor az Adatvédelmi Felelős
• papíralapú Adatkezelés esetén mindazon dokumentumokat, amelyek a kérelemmel érintett Személyes Adatokat tartalmazzák, egy olyan külön mappába, zárt borítékba helyezi el, amelyhez a Társaságon belül senki nem fér hozzá;
• elektronikus formátumban történő Adatkezelés esetén az elektronikus dokumentumokat egy külső adathordozóra (cd, dvd, pendrive) történő áthelyezés után az eredeti tárolási helyéről törli, esetleg ott anonimizált formában őrzi tovább. A külső adathordozót a papíralapú dokumentumhoz hasonlóan egy külön mappában, zárt borítékban helyezi el.
A lezárt borítékon feltünti a Személyes Adatok törlésének várható időpontját.
Az Adatkezelés korlátozásának megtörténtéről a kérelmezőt írásban tájékoztatja.
6.6 Adathordozhatósághoz való jog
Az Érintett megkaphatja a rá vonatkozó, általa a Társaság rendelkezésére bocsátott Személyes Adatokat tagolt, széles körben használt, géppel olvasható formátumban, továbbá továbbíthatja ezeket az adatokat egy másik Adatkezelőnek anélkül, hogy ezt akadályozná a Társaság, ha:
• az Adatkezelés hozzájáruláson vagy szerződésen alapul; és
• az Adatkezelés automatizált módon (azaz nem papír alapon) történik.
Az Érintett kérheti, hogy a Társaság az általa megadott (például e-mail cím, életkor) vagy tevékenységének megfigyeléséből származó (például tevékenységlogok, honlapelőzmények, keresési előzmények) Személyes Adatait másik Adatkezelő részére közvetlenül továbbítsa.
Az Adatkezelő az adathordozhatósághoz való jog gyakorlása esetén közvetlenül átadhatja az Érintett vagy másik Adatkezelő részére a Személyes Adatokat vagy lehetőséget biztosíthat az Érintett részére a Személyes Adatok exportálására.
Az Adatkezelő a Személyes Adatokat géppel olvasható formátumban adja ki, a Rendelet nem ír elő meghatározott fájlformátumot. Az Adatkezelő gyakran használt, könnyen beszerezhető fizetős vagy ingyenes szoftverek által olvasható formátumban adja át a Személyes Adatokat (így például xml, csv formátum).
Az Adatkezelő a személyes adatokat tartalmazó fájl metaadatait a legteljesebb mértékben megőrzi a Személyes Adatok átadása során. Személyes Adatok átadása esetén olyan formátumot kell választani, amely legteljesebb mértékben megőrzi a dokumentum metaadatait, az adathordozhatósághoz való jog érvényesítése esetén a Személyes Adatok ezért nem adhatók át pdf formátumban.
A formátum tekintetében megkeresheti a Társaság az Érintettet. A Társaságnak az egyes formátumokkal kapcsolatban olyan tájékoztatást kell nyújtani az Érintett részére, amely tájékoztatás alapján az Érintett képessé válik a Személyes Adatok kiadásának formátumára vonatkozó döntés meghozatalára.
A Személyes Adatok hordozhatóságának biztonsága érdekében az Adatkezelő a Személyes Adatokat tartalmazó fájlt jelszóval védheti, érzékeny adatok esetén akár külső eszközzel történő azonosításon alapú hozzáférést is biztosíthat az Érintett vagy a másik Adatkezelő részére.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a Személyes Adatok törléséhez való jogot, illetőleg nem érinti a Személyes Adatok őrzési idejét. Az Adatkezelő nem köteles a Személyes Adatokat hosszabb ideig őrizni annak érdekében, hogy az Érintett az adathordozhatósághoz való jogával élhessen.
Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.
Az Adatkezelő nem köteles az átadásra kerülő személyes adatok minőségét ellenőrizni.
Az adathordozhatósághoz való jog gyakorlásának lehetőségéről tájékoztatni kell az Érintettet minden esetben mielőtt felhasználói fiókját bezárja.
Az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
A Társaság az alábbiak szerint jár el a Személyes Adatok adathordozhatóságának való jog érvényre juttatása érdekében:
Amennyiben a Társasághoz adathordozásra irányuló kérelem érkezik, az Adatvédelmi Felelős megvizsgálja, hogy a kérelem a kérelmező saját Személyes Adataira vonatkozik-e. Ehhez szükséges a kérelmező azonosítása, melyet a Társaság által kezelt Személyes Adatai ellenőrzésével végez el. Az azonosításhoz használt Személyes Adatok:
• [...]
• [...]
A sikeres azonosítást követően az Adatvédelmi Felelős ellenőrzi, hogy a kérelemmel érintett Személyes Adatokat maga a kérelmező adta-e át vagy azokhoz a Társaság más módon jutott hozzá. Ezt követően gondoskodik arról, hogy a Személyes Adatokat .xls vagy .csv (vagy bármely más, a kérelmező által meghatározott) formátumban átadja a kérelmező vagy a kérelmező által kijelölt másik Adatkezelő részére. Az Adatvédelmi Felelős a Személyes Adatok pontosságát nem köteles ellenőrizni.
Ha a kérelem olyan, hozzájáruláson vagy szerződésen alapuló adatkezelési tevékenységre irányul, amelyet a Társaság nem automatizált módon végez, akkor az Adatvédelmi Felelős tájékoztatja a kérelmezőt, hogy a kérésének a fenti okból nem tud eleget tenni.
6.7 Tiltakozáshoz való jog
Az Érintett bármikor tiltakozhat saját helyzetével kapcsolatos okokból a Személyes Adatainak kezelése ellen, amennyiben az Adatkezelés közérdekű, vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A Társaság az Érintett tiltakozása esetén nem kezelheti tovább a Személyes Adatokat, kivéve, ha a Társaság bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Közvetlen üzletszerzés érdekében történő Adatkezelés esetén az Érintett bármikor tiltakozhat a Személyes Adatai üzletszerzési célból történő kezelése ellen (üzletszerzés érdekében folytatott profilalkotás esetén is). Az Érintett tiltakozása esetén üzletszerzési célból a Társaság nem kezelheti a Személyes Adatokat a tiltakozást követően.
Az Érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
Ha a Személyes Adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó Személyes Adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
A Társaság az alábbiak szerint jár el a Személyes Adatok kezelése elleni tiltakozáshoz való jog érvényre juttatása érdekében:
Az Adatvédelmi Felelős a kérelem beérkezését követően 10 (tíz) napon belül megvizsgálja a tiltakozással érintett Adatkezelés célját.
6.7.1 A Társaság jogos érdekén alapuló Adatkezelés
A Társaság az alábbi, jogos érdeken alapuló adatkezelési tevékenységeket folytatja:
• Munkavállalói adatok kezelése kapcsolattartás érdekében;
• A munkavállalók részére átadott eszközök nyilvántartásában szereplő Személyes Adatok kezelése;
• Ügyféladatbázisban szereplő Személyes Adatok kezelése;
• Szerződésben szereplő kapcsolattartók Személyes Adatainak kezelése;
• Kamerarendszer üzemeltetésével kapcsolatos Adatkezelés.
Az Adatvédelmi Felelős felméri, hogy a tiltakozás a fent felsorolt adatkezelési tevékenységek bármelyikére irányult-e.
Ennek érdekében ellenőrzi a már korábban elvégzett érdekmérlegelési teszteket, illetve - amennyiben szükséges - módosítja azokat vagy új érdekmérlegeléseket készít.
Amennyiben a vizsgálat eredményeként az Adatvédelmi Felelős arra az eredményre jut, hogy a fenti Adatkezelések tekintetében a Társaság jogos érdeke elsőbbséget élvez a kérelmező érdekeivel, jogaival és szabadságaival szemben, vagy az jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik, abban az esetben folytatja az adatkezelési tevékenységet. Ellenkező esetben azonban azonnal megszünteti a Személyes Adatok kezelését.
6.7.2 Közvetlen üzletszerzés érdekében történő Adatkezelés
A Társaság nem végez közvetlen üzletszerzés érdekében történő Adatkezelést.
6.7.3 Tudományos és történelmi kutatási, valamint statisztikai céllal történő Adatkezelés
A Társaság nem végez tudományos és történelmi kutatási, illetve statisztikai céllal történő Adatkezelést.
6.8 Panasztételhez való jog
Az Érintett jogosult a felügyeleti hatóságnál panasszal élni, ha megítélése szerint a rá vonatkozó Személyes Adatok kezelése megsérti a Rendeletet.
Az Érintett egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül jogosult panaszt benyújtani a felügyeleti hatósághoz.
6.9 Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog
Az Érintett jogosult bírósági jogorvoslatra, ha megítélése szerint a Személyes Adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.
7. Adattovábbítás
A Társaság rögzíti, hogy mely Személyes Adatokat mely Címzett részére továbbította. [ADATTOVÁBBÍTÁSI NYILVÁNTARTÁS VEZETÉSÉRE VONATKOZÓ TOVÁBBI INFORMÁCIÓT A TAGÁLLAMI JOGSZABÁLY FOG TARTALMAZNI]
8. Adatkezelési tevékenységek nyilvántartása
8.1 A Társaság a felelősségébe tartozóan végzett (ide értve az adatkezelés, az adatfeldolgozás és a közös adatkezelés esetét is) adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:
• az adatkezelő neve és elérhetősége, valamint - ha van ilyen - a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
• az adatkezelés céljai;
• az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
• olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
• adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
• ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
• ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.
8.2 Az adatkezelési tevékenységek nyilvántartását az Adatvédelmi Felelős folyamatosan, de legalább évente frissíteni köteles.
Az adatkezelési tevékenységek nyilvántartásának frissítése során az Adatvédelmi Felelős az alábbiak szerint jogosult eljárni:
Az Adatvédelmi Felelős minden év április 30-ig köteles a jelen Szabályzat részletes felülvizsgálatát elvégezni.
E feladat körében ellenőrzi a Társaság Adatkezeléseinek körét, az azokhoz kapcsolódó nyilvántartási lapokat, szükség esetén javítja azokat. Felülvizsgálja a Társaság jogos érdekén alapuló Adatkezeléseket, ellenőrzi az elvégzett érdekmérlegelési teszteket és - amennyiben az szükséges - új érdekmérlegeléseket is végez. Áttekinti az adatvédelmi incidensekről készült nyilvántartást, az esetleges incidensek kezelése során szerzett tapasztalatokat beépíti a Szabályzat 9.4. pontjában megjelölt intézkedések közé. Ha a Társaság esetleges új adatkezelési tevékenységei megkívánják, adatvédelmi hatásvizsgálatot is folytat.
A fenti feladatok ellátásához az Adatvédelmi Felelős külső jogi tanácsadó segítségét is igénybe veheti.
9. Adatbiztonság
9.1 Kockázatok azonosítása és értékelése
A Társaság felméri, hogy az általa kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből potenciálisan milyen kockázatok erednek.
A Társaság a fentiek szerint azonosított kockázatokat azok felmerülésének valószínűsége és a Személyes Adatok biztonsága szempontjából meghatározott súlyossága szerint besorolja.
(i) Papíralapú Adatkezelés
A Társaság a papíralapon kezelt Személyes Adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat azonosította:
A Társaság a papíralapon őrzött dokumentumait a titkársági irattárban őrzi, azokhoz a Társaság minden dolgozója hozzáférhet.
A Társaság a papíralapú Adatkezelés során azonosított kockázatokat súlyosság és bekövetkezés valószínűsége szempontjából az alábbiak szerint értékelte:
(A kockázat valószínűségét és súlyosságát a Társaság 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)
(ii) Elektronikus eszközök igénybe vételével megvalósuló Adatkezelés
A Társaság az elektronikus eszközök igénybe vételével kezelt Személyes Adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat azonosította:
A Társaság az elektronikus formában tárolt dokumentumait felhőalapú tárhelyen őrzi, továbbá a naponta készített biztonsági mentései is ugyanígy, felhőben tárolja,
A Társaság az elektronikus eszközök igénybe vételével megvalósuló Adatkezelés során azonosított kockázatokat súlyosság és bekövetkezés valószínűsége szempontjából az alábbiak szerint értékelte:
(A kockázat valószínűségét és súlyosságát a Társaság 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)
9.2 Adatbiztonsági követelmények kialakításának szempontjai
A Társaság a Személyes Adatok biztonságát a fenti pont szerint azonosított kockázatok mérséklése érdekében a következő szempontok figyelembe vételével alakítja ki:
• tudomány és technológia állása;
• megvalósítás költségei;
• adatkezelés jellege, hatóköre, körülményei és céljai;
• természetes személyek jogai és szabadságai.
9.3 Adatbiztonságot szolgáló intézkedési lehetőségek
A Társaság a megállapított kockázatok és a fenti pont szerinti szempontok figyelembevételével - többek között - az alábbi intézkedéseket hajtja végre a Személyes Adatok biztonsága érdekében:
• a Személyes Adatok Álnevesítése és titkosítása;
• a Személyes Adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének biztosítása;
• fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a Személyes Adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
• az Adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás.
Az Adatkezelő továbbá biztosítja, hogy az Adatkezelőnél, illetve az Adatfeldolgozónál a Személyes Adatokhoz hozzáférő személyek a Személyes Adatokat kizárólag az Adatkezelő utasításának megfelelően kezelhessék. E személyek akkor kezelhetik a Személyes Adatokat az Adatkezelő utasításától eltérően, ha őket az Európai Unió vagy az Európai Unió tagállamának joga erre kötelezi.
9.4 Adatbiztonság megvalósulása a Társaságnál
A Társaság a Személyes Adatok biztonságának biztosítása érdekében a következő intézkedéseket teszi
Az Adatkezelő kijelenti, hogy megfelelő biztonsági intézkedéseket hozott annak érdekében, hogy a személyes adatok védje a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
az Adatkezelő a szervezeti és technikai lehetőségekhez képest mindent megtesz annak érdekében, hogy adatfeldolgozói is megfelelő adatbiztonsági intézkedéseket tegyenek, amikor az Ön személyes adataival dolgoznak.
10. Adatvédelmi incidens
Adatvédelmi Incidens történik, ha a Személyes Adatok biztonsága olyan sérülést szenved, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
10.1 Adatvédelmi Incidens bejelentése
A Társaság az Adatvédelmi Incidenst indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órával azt követően, hogy az Adatvédelmi Incidensről tudomást szerzett, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az Adatvédelmi Incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a Társaság az Adatvédelmi Incidenst, annak tudomására jutásától számított 72 órán belül nem jelenti be, akkor a későbbi bejelentéssel egyidejűleg igazolja a késedelem indokait.
A Társaság a bejelentésben legalább az alábbiakat ismerteti:
• az Adatvédelmi Incidens jellegét, beleértve - ha lehetséges - az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
• az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
• az Adatvédelmi Incidensből eredő, valószínűsíthető következményeket;
• az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
10.2 Adatvédelmi Incidens nyilvántartása
A Társaság nyilvántartja azokat az Adatvédelmi Incidenseket, amelyek olyan Személyes Adatokat érintenek, amelyek tekintetében a Társaság Adatkezelőként jár el. A Társaság az Adatvédelmi Incidensekről készült nyilvántartásban a következőket tűnteti fel:
• Adatvédelmi Incidenshez kapcsolódó tények;
• Adatvédelmi Incidens hatásai;
• Adatvédelmi Incidens orvoslására tett intézkedések.
10.3 Érintettek tájékoztatása az Adatvédelmi Incidensről
A Társaság indokolatlan késedelem nélkül tájékoztatja az Érintetteket valamennyi olyan Adatvédelmi Incidensről, ami olyan Személyes Adatokat érint, amely tekintetében a Társaság Adatkezelőként jár el, és amely valószínűsíthetően magas kockázattal jár a természetes személye jogaira és szabadságaira nézve.
A Társaság az Adatvédelmi Incidensre vonatkozó tájékoztatásban világosan és közérthetően nyújt tájékoztatást az alábbiakról:
• Adatvédelmi Incidens jellege;
• az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei;
• az Adatvédelmi Incidensből eredő, valószínűsíthető következmények;
• az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Nem kell azonban az Érintetteket tájékoztatni, ha
• a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az Adatvédelmi Incidens által érintett adatok tekintetében alkalmazták;
• a Társaság az Adatvédelmi Incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor a Társaság nyilvánosan közzétett információk útján tájékoztatja az Érintetteket, vagy olyan hasonló intézkedést hoz, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.
11. Adatvédelmi hatásvizsgálat és előzetes konzultáció
11.1 Adatvédelmi hatásvizsgálat
Ha az Adatkezelés valamely - különösen új technológiákat alkalmazó - típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az Adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a Személyes Adatok védelmét hogyan érintik.
Nem kell azonban hatásvizsgálatot lefolytatni, ha a Társaság olyan adatkezelési tevékenységet folytat, amely a felügyeleti hatóság által közzétett azon adatkezelési tevékenységek jegyzékében szerepel, amelyekre hatásvizsgálat lefolytatása nem kötelező.
Olyan. egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
A Társaság az adatvédelmi hatásvizsgálat elvégzésekor az Adatvédelmi Tisztviselő szakmai tanácsát köteles kikérni, amennyiben a Társaság Adatvédelmi Tisztviselőt jelölt ki.
Az adatvédelmi hatásvizsgálatot - többek között - az alábbi esetekben kell elvégezni:
• természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált Adatkezelésen - ideértve a profilalkotást is - alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
• a Személyes Adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó Személyes Adatok nagy számban történő kezelése; vagy
• nyilvános helyek nagymértékű, módszeres megfigyelése.
Az adatvédelmi hatásvizsgálatot a magas kockázatra tekintettel különösen az alábbi esetekben szükséges lehet elvégezni:
• Értékelés és pontozás esetén (például profilozás, hitelbírálat, pénzmosás elleni adatkezelés, marketing, viselkedéselemzés);
• Joghatással bíró vagy hasonló jelentős hatással járó automatizált döntéshozatal;
• Módszeres megfigyelés és ellenőrzés (például munkahelyi hálózat, nyilvános helyen megfigyelése);
• Különleges adatok vagy fokozottan személyes jellegű adatok kezelése (például egészségügyi adatok, pénzügyi adatok, elektronikus kommunikáció megfigyelése);
• Nagy számban kezelt adatok (például nagymértékű adatkezelési műveletek - értinett adatalanyok számossága, kezelt adatok mennyisége, változatossága, adatkezelés időtartama, állandó jellege, földrajzi kiterjedtsége);
• Összekapcsolt adatállományok (például eltérő célból vagy eltérő adatkezelő által kezelt személyes adatok egy helyen történő kezelése);
• Kiszolgáltatott személyek adatai (például munkavállalók);
• Új technológia vagy innovatív alkalmazások (például dolgok internete);
• Az Adatkezelés megnehezíti az Érintettek számára a jogaik gyakorlását (például bankkártya csalás elleni referencia adatbázis).
A hatásvizsgálat kiterjed legalább az alábbi pontokra:
• a tervezett adatkezelési műveletek módszeres leírására és az Adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
• az Adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
• az Érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
• a kockázatok kezelését célzó intézkedések bemutatására, ideértve a Személyes Adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
A Társaság által végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy a Társaság teljesíti-e az általa jóváhagyott magatartási kódexek előírásait.
A hatásvizsgálatot nem kell lefolytatni, ha
• a Társaságra mint Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges vagy közérdekű, vagy a Társaságra mint Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges Adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és
• e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint
• e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot,
kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.
A hatásvizsgálat lefolytatásához használható hatásvizsgálat mintát jelen Szabályzat 6. sz. Melléklete tartalmazza.
Amennyiben bármely adatkezelési tevékenység tekintetében hatásvizsgálatot folytatott le a Társaság, akkor az Adatvédelmi Felelős szükség szerint, de legalább az adatkezelési tevékenység kockázatának változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a Személyes Adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. Amennyiben az adott adatkezelési tevékenység tekintetében nem folytatott le hatásvizsgálatot a Társaság, akkor az adatkezelési tevékenység kockázatának változása esetén ellenőrzést folytat le az Adatvédelmi Felelős annak megállapítása céljából, hogy hatásvizsgálat lefolytatása szükséges-e.
A Társaság a munkavállalói és szerződéses partnerei személyes adatait kezeli, foglalkoztatási jogviszonnyal kapcsolatban kezel különleges adatokat. A Társaság által kezelt adatok mennyisége, valamint a kezelt adatok köre nem indokolja hatásvizsgálat lefolytatását. A Társaság az általa végzett adatkezelési tevékenységek tekintetében így hatásvizsgálatot nem folytat le.
12. Adatvédelmi tisztviselő
12.1 Az adatvédelmi tisztviselő kijelölése
Az Adatkezelő és az Adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor
• az Adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
• az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
• az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei a Személyes Adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az adatvédelmi tisztségviselő Rendelet szerinti feladatainak ellátására való alkalmasság alapján kell kijelölni.
Az adatvédelmi tisztviselő az Adatkezelő vagy az Adatfeldolgozó alkalmazottja lehet, vagy megbízási szerződés keretében láthatja el a feladatait.
A Társaság közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli.
12.2 Az adatvédelmi tisztviselő jogállása
A Társaság biztosítja, hogy az adatvédelmi tisztviselő a Személyes Adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. A Társaság támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a Személyes Adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
A Társaság biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. A Társaság az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül a Társaság legfelső vezetésének tartozik felelősséggel.
Az Érintettek a Személyes Adataik kezeléséhez és a Rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat. A Társaság biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség az adatvédelmi tisztviselői feladataival.
12.3 Az adatvédelmi tisztviselő feladatai
Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:
• tájékoztat és szakmai tanácsot ad a Társaság, továbbá az Adatkezelést végző alkalmazottak részére a Rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
• ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá a Társaság Személyes Adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
• kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
• együttműködik a felügyeleti hatósággal; és
• az Adatkezeléssel összefüggő ügyekben - ideértve az előzetes konzultációt is - kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi tisztviselő feladatait - az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével - az Adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
12.4 A Társaság az adatvédelmi tisztviselő kinevezésével kapcsolatban az alábbi szempontokat mérlegelte és az alábbi szempontok alapján hozta meg az adatvédelmi tisztviselő kinevezésével kapcsolatos döntést:
A Társaság nem végez olyan adatkezelési tevékenységet, amely kötelezővé tenné számára adatvédelmi tisztviselő kinevezést a Rendl.
A Társaság, felmérve adatkezelési tevékenységeinek körét, az adatvédelemmel kapcsolatos kockázatokat, figyelembe véve a Társaság méretét és anyagi lehetőségeit, arra a döntésre jutott, hogy önkéntesen sem nevez ki adatvédelmi tisztviselőt.
13. Bírság és kártérítés
13.1 Bírság
A felügyeleti hatóság a Rendelet rendelkezéseinek megsértése esetén bírságot szab ki, amely bírságnak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lennie.
A felügyeleti hatóság az alábbi szempontokat veszi figyelembe annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor:
• a Társaság által elkövetett jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó Adatkezelés jellegét, körét vagy célját, továbbá azon Érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
• a Társaság által elkövetett jogsértés szándékos vagy gondatlan jellegét;
• az Adatkezelő vagy az Adatfeldolgozó részéről az Érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedést;
• az Adatkezelő vagy az Adatfeldolgozó felelősségének mértékét, figyelembe véve a Társaság által a beépített és alapértelmezett adatvédelemnek való megfelelés érdekében és az Adatkezelés biztonsága érdekében foganatosított technikai és szervezési intézkedéseket;
• az Adatkezelő vagy az Adatfeldolgozó által korábban elkövetett releváns jogsértéseket;
• a Társaságnak a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértékét;
• a jogsértés által érintett Személyes Adatok kategóriáit;
• azt, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az Adatkezelő vagy az Adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
• azt, ha az érintett Adatkezelőt vagy Adatfeldolgozót- ugyanabban a tárgyban - felügyeleti hatóság korábban már figyelmeztette, utasította a szóban forgó intézkedéseknek való megfelelésre;
• azt, hogy az Adatkezelő vagy az Adatfeldolgozó tartotta-e magát a Társaság által elfogadott magatartási kódexekhez vagy a tanúsítási mechanizmusokhoz; valamint
• az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezőket, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget.
Ha a Társaság egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében - szándékosan vagy gondatlanságból - több adatvédelmi kötelezettségét is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.
Az alábbi adatvédelmi kötelezettségek megsértése legfeljebb 10.000.000 EUR összegű bírsággal, illetve a Társaság előző pénzügyi éve teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összegű bírsággal sújtható (a kettő közül a magasabb összegszabható ki bírságmaximumként):
• az Adatkezelő és az Adatfeldolgozó tekintetében (i) a gyermekek hozzájárulásával összefüggő, (ii) az azonosítást nem igénylő adatkezelésekre vonatkozó, (iii) a beépített és alapértelmezett adatvédelemnek való megfelelésre vonatkozó, (iv) a közös adatkezelőkre, (v) az Unióban tevékenységi hellyel nem rendelkező Adatkezelők vagy Adatfeldolgozók képviselőire, (vi) az Adatfeldolgozóra vonatkozó, (vii) az Adatkezelők és Adatfeldolgozók irányítása alatt végzett Adatkezeléssel összefüggő, (viii) az adatkezelési tevékenyégek nyilvántartására vonatkozó, (ix) a felügyeleti hatósággal való együttműködésre vonatkozó, (x) az Adatkezelés biztonságának való megfelelésre vonatkozó, (xi) az Adatvédelmi Incidensek bejelentésére vonatkozó, (xii) az Érintett Adatvédelmi Incidensről való tájékoztatására vonatkozó, (xiii) adatvédelmi hatásvizsgálat lefolytatására vonatkozó, (xiv) felügyelet hatósággal történő előzetes konzultációra vonatkozó, (xv) a Rendeletnek megfelelő adatvédelmi tisztviselő kinevezésére vonatkozó, (xvi) a Társaság által alkalmazandó tanúsítási mechanizmusokra vonatkozó kötelezettségek;
• a tanúsító szervezetre vonatkozó, a Rendeletben meghatározott kötelezettségek; valamint
• az ellenőrző szervezet tekintetében jogsértés észlelése esetén a megfelelő intézkedés megtételére vonatkozó kötelezettségek megsértése esetén.
Az alábbi adatvédelmi kötelezettségek megsértése legfeljebb 20.000.000 EUR összegű bírsággal, illetve a Társaság előző pénzügyi éve teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű bírsággal sújtható (a kettő közül a magasabb összeg szabható ki bírságmaximumként):
• a Személyes Adatok kezelésére vonatkozó elvek, az adatkezelés jogszerűségének biztosítására vonatkozó, a hozzájárulás feltételeire vonatkozó, valamint a Személyes Adatok különleges kategóriájának kezelésére vonatkozó kötelezettségek;
• az Érintettek jogainak biztosítására vonatkozó kötelezettség;
• a Személyes Adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítás feltételeire vonatkozó kötelezettség;
• az Adatkezelés különös eseteire vonatkozó tagállami jog szerinti kötelezettségek;
• a felügyeleti hatóság utasításának, illetve az Adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy a hozzáférés biztosításának elmulasztására vonatkozó kötelezettség.
A felügyeleti hatóság ismételt ellenőrzése során a felügyeleti hatóság utasításának be nem tartására vonatkozó kötelezettségszegés legfeljebb 20.000.000 EUR összegű bírsággal, illetve a Társaság előző pénzügyi éve teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű bírsággal sújtható (a kettő közül a magasabb összeg szabható ki bírságmaximumként).
A Társaság anyagi felelősséget vállal arra, hogy amennyiben az adatvédelmi kötelezettségek teljesítését ellenőrző felügyeleti hatóság a Társaság részére bírságot szab ki, annak összegét a Társaság a felügyeleti hatóság részére megfizeti.
13.2 Kártérítéshez való jog
Minden olyan személy, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az Adatfeldolgozótól kártérítésre jogosult.
Az Adatkezelésben érintett valamennyi Adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő Adatkezelés okozott.
Az Adatfeldolgozó csak abban az esetben tartozik felelősséggel az Adatkezelés által okozott károkért, ha nem tartotta be a Rendeletben meghatározott, kifejezetten az Adatfeldolgozókat terhelő kötelezettségeket, vagy, ha az Adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
Az Adatkezelő, illetve az Adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
Ha több Adatkezelő vagy több Adatfeldolgozó, vagy mind az Adatkezelő, mind az Adatfeldolgozó érintett ugyanabban az Adatkezelésben, és egyaránt felelősséggel tartozik az Adatkezelés által okozott károkért, minden egyes Adatkezelő vagy Adatfeldolgozó az Érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.
Ha valamely Adatkezelő vagy Adatfeldolgozó teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon Adatkezelésben érintett többi Adatkezelőtől vagy Adatfeldolgozótól követelje a kártérítésnek azt a részét, amely tekintetében a kárt a többi Adatkezelő vagy Adatfeldolgozó okozta.
1. sz. Melléklet
A Társaság adatvédelemmel kapcsolatos lépései
Helyszín, időpont - Eljáró személy - Leírás - Teendők
2. sz. Melléklet
Személyes Adatok kezelésére vonatkozó nyilvántartások
1. Társaság tagjai és ügyvezetője személyes adatainak kezelése a Társaság társasági dokumentumaiban
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Társaság tagjai és ügyvezetője személyes adatainak kezelése a Táraság társasági dokumentumaiban (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: S.P.I.N Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság tagjai és ügyvezetője
- Személyes Adatok kategóriái: Tagok neve, lakcíme
- Ügyvezető neve, lakcíme, születési neve, anyja neve, születési helye és ideje, személyi igazolványának száma és lakcímkártyájának száma
- Címzettek kategóriái: A Társaság a személyes adatokat a cégbírósági változásbejegyzési eljárás lefolytatását intéző ügyvéd részére továbbítja.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A Társaság a társasági dokumentumait a Társaság megszűnését követő 10 évig őrzi.
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
2. Munkavállalói adatok kezelése a jogszabályi rendelkezéseknek történő megfelelés érdekében
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Munkavállalói adatok kezelése a munka törvénykönyvéről szóló 2012. évi I. törvény és az ahhoz kapcsolódó munkajogi jogszabályoknak és az adózás rendjéről szóló 2017. évi CL. törvény, valamint a kapcsolódó adójogi jogszabályoknak történő megfelelés érdekében (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalói
- Személyes Adatok kategóriái: Név, születési név, lakcím, születési hely és idő, anyja neve, adóazonosító jel, TAJ szám, iskolai végzettség, iskolai bizonyítvány száma, iskolai bizonyítvány kiállítója, munkavégzés szempontjából releváns egészségügyi adatok (így betegséghez kapcsolódó táppénzes papír, fogyatékosságra vonatkozó adatok, várandósságra vonatkozó adatok), gyermek születési ideje, családi kedvezmény igénybevétele esetén gyermek neve és adóazonosító jele
- Címzettek kategóriái: Nemzeti Adó- és Vámhivatal, Magyar Államkincstár, Vét Kft.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: Munkavállaló várható nyugdíjazásának időpontja
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
3. Munkavállalói adatok kezelése kapcsolattartás céljából
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Munkavállalóval való kapcsolattartás a S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság jogos érdekére tekintettel (érdekmérlegelési teszt alapján meghatározott jogos érdeken alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés f) pont))
- Érintettek kategóriái: S.P.I.N. Kereskedelemi és Szolgáltató Korlátolt Felelősségű Társaásg munkavállalói
- Személyes Adatok kategóriái: Telefonszám, e-mail cím
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A munkavállaló munkaviszonyának megszűnését követő elszámolástól számított 5 munkanap.
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
4. Munkavállalók jelenléti íven szereplő személyes adatainak kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalóinak jelenlétére vonatkozó adatok rögzítése (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalói
- Személyes Adatok kategóriái: Munkavállaló neve, aláírása, munkába érkezés időpontja, munkából távozás időpontja, távollétre vonatkozó adatok
- Címzettek kategóriái: VÉT Kft.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: 7 év
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
5. Munkavállalók szabadság-nyilvántartásban szereplő személyes adatainak kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalóinak fizetett és fizetés nélküli szabadságolására vonatkozó adatok rögzítése (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalói
- Személyes Adatok kategóriái: Munkavállaló neve, aláírása, szabadság kezdő időpontja, szabadság záró időpontja, rendelkezésre álló napok
- Címzettek kategóriái: VÉT Kft.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: 7 év
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
6. Tűz-, munka- és balesetvédelmi oktatással kapcsolatos személyes adatok kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság tűz-, munka- és balesetvédelmi oktatáson részt vett munkavállalóinak nyilvántartása (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság tűz-, munka- és balesetvédelmi oktatáson részt vett munkavállalói és az oktatást megtartó személy(ek)
- Személyes Adatok kategóriái: Munkavállaló neve, aláírása, oktató neve, aláírása, oktatás helyszíne, időpontja, oktatás tematikája
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: Az oktatás megtartásától számított 3 év elteltével
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
7. Munkavállaló bankszámlaadatainak kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Munkavállaló munkabérének átutalása (szerződés teljesítésén alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés b) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalói, akik a munkabérük megfizetését banki átutalás útján kérték
- Személyes Adatok kategóriái: Név, lakcím, bankszámlaszám
- Címzettek kategóriái: VÉT Kft.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A munkavállaló munkaviszonyának megszűnését követő elszámolástól számított 5 munkanap.
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
8. A munkavállalók részére átadott eszközök nyilvántartásával kapcsolatos adatkezelés
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Munkavállalók részére biztosított eszközök (mobiltelefon, notebook, gépjármű) nyilvántartása (érdekmérlegelési teszt alapján meghatározott jogos érdeken alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés f) pont)
- Érintettek kategóriái: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság munkavállalói
- Személyes Adatok kategóriái: Név, munkakör, átadott eszköz azonosítója
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A munkavállaló munkaviszonyának létesítésétől kezdődően a munkaviszonya megszűnésétől számított 3 évig, azaz a munkajogi igényeknek a munka törvénykönyvéről szóló 2012. évi I. törvény 286. § (1) bekezdése szerinti elévüléséig
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
9. Önéletrajzokban szereplő személyes adatok kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére.
- Adatkezelés célja: Munkaerő felvételét megelőzően a jelentkező képzettségének és korábbi munkatapasztalatának megismerése (hozzájáruláson alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés a) pont)
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaságnál munkavállalásra jelentkező személyek, akik átadják vagy megküldik az önéletrajzukat a Társaság részére
- Személyes Adatok kategóriái: Önéletrajzban szereplő személyes adatok
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: Az adott pozícióra felvett személy próbaidejének letelte, de legfeljebb az önéletrajz beérkezésétől számított 3 hónap
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
10. Ügyfelek kapcsolattartási adatainak kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Ügyfelekkel való kapcsolattartáshoz szükséges adatok rögzítése (érdekmérlegelési teszt alapján meghatározott jogos érdeken alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés f) pont))
- Érintettek kategóriái: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság szerződéses partnerei
- Személyes Adatok kategóriái: Ügyfél képviselőjének neve és pozíciója, kapcsolattartó neve és elérhetősége
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: 10 év
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
11. Kiállított és befogadott számviteli bizonylatokkal kapcsolatos adatkezelés
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: A számviteli törvényben foglalt könyvvezetési kötelezettség teljesítése érdekében a kiállított és befogadott számviteli bizonylatok kezelése (jogi kötelezettségen alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés c) pont)
- Érintettek kategóriái: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság által magánszemélyek vagy egyéni vállalkozók részére kibocsátott számviteli bizonylatok esetén a számviteli bizonylatot befogadó személyek, a magánszemélyek vagy egyéni vállalkozók által a S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság részére kibocsátott számviteli bizonylatok esetén a számviteli bizonylatot kibocsátó személyek.
- Személyes Adatok kategóriái: Magánszemély által befogadott vagy kiállított számviteli bizonylat esetén: név, lakcím
- Egyéni vállalkozó által befogadott vagy kiállított bizonylat esetén: egyéni vállalkozás neve, székhelye, adószáma
- Címzettek kategóriái: VÉT Kft. és 100.000 Ft általános forgalmi adó tartalmat meghaladó számlák esetén a számla a Nemzeti Adó- és Vámhivatal részére online számlaadat- szolgáltatás kerül megküldésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: Számviteli bizonylatokon szereplő személyes adatok tekintetében a bizonylat kiállításától számított 8. év eltelte.
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
12. Kamerarendszer üzemeltetésével kapcsolatos személyes adatok kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság. vagyonának védelme, jogellenes cselekmény megelőzése és jogellenes cselekmény felderítése az árukiadás során (érdekmérlegelési teszt alapján meghatározott jogos érdeken alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés f) pont)
- Érintettek kategóriái: Kamerafelvételen szereplő személyek
- Személyes Adatok kategóriái: Képmás
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A felvétel rögzítésétől számított 7 nap
- Technikai és szervezési intézkedések leírása: Az adatbiztonság általános rendelkezésein túl a Társaság többszörös jelszóval védi a kamera felvételeket, a kamerák szoftveres karbantartásával harmadik személyeket nem bíz meg.
13. Regisztrációval kapcsolatos személyes adatok kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Honlapon történő regisztráció során megadott személyes adatok kezelése és regisztrált felhasználók azonosítása (szerződés teljesítésén alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés b) pont)
- Érintettek kategóriái: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság honlapján (honlap címe: www.spinshop.hu) regisztrált felhasználók
- Személyes Adatok kategóriái: Személyes adatok: vezetéknév, keresztnév, e-mail cím;
- Szállítási adatok: utca, város, irányítószám, emelet/ajtó, ország, e-mail, telefonszám;
- Számlázási adatok (amennyiben eltérnek a szállítási adattól): utca, város, irányítószám, emelet/ajtó. ország
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: Kérés esetén azonnal
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
14. Rendelés teljesítésével kapcsolatos személyes adatok kezelése
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Rendelés teljesítése (szerződés teljesítésén alapuló adatkezelés - Rendelet 6. cikk (1) bekezdés b) pont)
- Érintettek kategóriái: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság webshopjában rendelést leadó szerződéses partnerek
- Személyes Adatok kategóriái: Személyes adatok: vezetéknév, keresztnév, e-mail cím;
- Szállítási adatok: utca, város, irányítószám, emelet/ajtó, ország, e-mail, telefonszám;
- Számlázási adatok (amennyiben eltérnek a szállítási adattól): utca, város, irányítószám, emelet/ajtó. ország
- Címzettek kategóriái: A szállítási adatok tekintetében a 24H Parcel Zártkörűen Működő Részvénytársaság, a számlázási adatok tekintetében a VÉT Kft.
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: A rendelés teljesítésétől számított 365 nap
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
15. Honlapon keresztül történő üzenetküldéssel kapcsolatos adatkezelés
- Adatkezelő neve: S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
- Adatkezelő elérhetősége: 1048 Budapest, Tófalva u. 16.
- Telefon: +36 1 351 7658
- E-mail cím: info@spinkft.hu
- Adatvédelmi tisztviselő neve és elérhetősége: Nem került sor adatvédelmi tisztviselő kinevezésére
- Adatkezelés célja: Üzenetküldési lehetőség biztosítása a Társaság részére a https://www.spinshop.hu domain alatt működő honlapon keresztül (az adatkezelés jogalapja hozzájárulás - Rendelet 6. cikk (1) bekezdés a) pont))
- Érintettek kategóriái: A S.P.I.N. Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társasággal a honlap felületén keresztül kapcsolatba lépni kívánó személyek
- Személyes Adatok kategóriái: Név, e-mail cím
- Címzettek kategóriái: Nem kerül sor adatközlésre
- Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítása esetén a harmadik ország vagy nemzetközi szervezet azonosítása és megfelelő garanciák leírása: Nem kerül sor adattovábbításra
- Törlésre előirányzott határidők: 365 nap
- Technikai és szervezési intézkedések leírása: Lásd "Adatbiztonság megvalósulása a Társaságnál" pont alatt
3. sz. Melléklet
Adatvédelmi Incidensek nyilvántartása
1 Az Adatvédelmi Incidens a Társaság értékelése szerint alacsony, közepes vagy magas kockázatú kategóriába sorolható be. A Társaság a kockázati besorolást a megállapított tényekből vezeti le
Érdekmérlegelési tesztek
1. Munkavállalói adatok kezelése kapcsolattartás céljából
Az Adatkezelő jogos érdekének azonosítása
- Mi az adatkezelés célja? A Társaság szükség esetén sürgős, halasztást nem tűrő esetben munkaidőn kívül is fel tudja venni a kapcsolatot munkavállalójával
- Szükséges-e az adatkezelés a Társaság vagy harmadik személy üzleti céljának eléréséhez? Igen, a Társaság üzletmenete érdekében elengedhetetlen fontossággal bír, hogy szükség esetén munkaidő kívül is kapcsolatba tudjon lépni munkavállalójával.
- Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket? Igen, a Rendelet kifejezetten megemlíti az alkalmazottakkal való kapcsolattartást mint jogos érdeket
Szükségességi teszt
- Miért fontos a fenti Adatkezelés az Adatkezelő részére? Az Adatkezelés nélkül a Társaság ne tudja felvenni a kapcsolatot munkavállalójával munkaidőn kívül sürgős, halaszthatatlan esetben.
- Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő? Nem történik adattovábbítás
- Elérhető-e az Adatkezelés célja más módon? Nem
Arányossági teszt
- Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli? Igen.
- Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges? A munkavállalói kapcsolattartási adatok tekintetében a kérdés nem értelmezhető.
- Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés? Nem.
- Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor? Igen, az Adatkezelés elmaradása esetén a Társaság gazdasági hátrányit is szenvedhet, ha szükség esetén munkaidőn kívül nem tudja felvenni a kapcsolatot munkavállalójával
- Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor? A Társaság ügyfelei részére abban az esetben okozhat hátrányt az Adatkezelés elmaradása, ha a Társaság amiatt nem tudja a szerződésben vállalt feltételeket teljesíteni, nem tud szolgáltatást nyújtani, mert munkaidőn kívül nem tud kapcsolatba lépni a munkavállalóval.
- Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli? Elsősorban a Társaság érdekében kerül sor az Adatkezelésre, de a munkavállalónak is érdeke, hogy munkaidőn kívül is elérhető legyen halaszthatatlan esetben
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? Munkavállaló vagy megbízott
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? Folyamatos kapcsolatban
- Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett? Igen, alá-fölérendeltségi viszony áll fenn közöttük.
- Korlátozná-e az Adatkezelés az Érintett jogait? Nem.
- Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében? Név, telefonszám, e-mail cím
- Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében? Nem.
- Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz? Közvetlenül az Érintettől
- Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli? Igen
- Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek? Nem.
- Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében? Igen, a Társaság a munkaszerződésének aláírásával egyidejűleg tájékoztatja a munkavállalót arról, hogy kapcsolattartási adatait milyen célból kezeli.
- Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett? Részlegesen, mert a Személyes Adataihoz kapcsolódó jogai közül a törlés kivételével mindegyikkel élhet, de amíg a munkaviszonya fennáll a Társasággal, addig nem kérheti Személyes Adatai törlését.
- Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel? Nem.
Személyes Adatok biztonságos kezelése érdekében tett lépések
- A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő? Igen.
- Álnevesíti -e az Adatkezelő a Személyes Adatokat? Nem.
- Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében? A munkavállalók kapcsolattartási adataihoz a Társaságnál [...] fér hozzá.
- A munkavállalók kapcsolattartási adatainak felhasználását a Társaság kizárólag abban az esetben engedélyezi, ha ténylegesen olyan, halasztást nem tűrő körülmény áll fenn, amely miatt a munkavállalónak munkaidőn kívül is rendelkezésre kell állnia.
- Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő? A jelen Szabályzatban foglaltakon túlmenően a Társaság nem tesz lépéseket a munkavállalók kapcsolattartási adatainak biztonsága érdekében.
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
A Társaság jogos érdeke, hogy a munkavállalóival sürgős, halasztást nem tűrő esetekben munkaidőn kívül is fel tudja venni a kapcsolatot, melyhez a munkavállalók kapcsolattartási adatainak nyilvántartása elengedhetetlen.A Társaság az adatkezelési tevékenység során a munkavállalók lehető legkevesebb adatát kezeli (név, telefonszám, e-mail cím). A munkavállalók kapcsolattartási adatait megismerő személyek részére a Társaság meghatározza, hogy melyek azok a sürgős, halasztást nem tűrő esetek, amelyek alkalmával felvehetik a kapcsolatot a munkavállalókkal.
A fentiek alapján a munkavállalók kapcsolattartási adatainak kezelése a Társaság jogos érdeke, a Társaság tevékenységének folytatásához szükséges, a munkavállaló jogos érdekével arányos Adatkezelés.
- Érdekmérlegelési teszt készítője:
- Érdekmérlegelési teszt készítőjének aláírása:
- Érdekmérlegelési teszt kelte:
- Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:
2. A munkavállalók részére átadott eszközök nyilvántartásával kapcsolatos adatkezelés
Az Adatkezelő jogos érdekének azonosítása
- Mi az adatkezelés célja? A Társaság tulajdonát képező, a munkavállalók részére átadott eszközök nyilvántartása
- Szükséges-e az adatkezelés a Társaság vagy harmadik személy üzleti céljának eléréséhez? Igen, a Társaság a tulajdonában álló eszközök használójának rögzítéséhez elengedhetetlen.
- Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket? A Rendelet nem említi meg az eszköznyilvántartást mint jogos adatkezelési célt.
Szükségességi teszt
- Miért fontos a fenti Adatkezelés az Adatkezelő részére? A Társaság a nyilvántartás alapján tudja azonosítani a leltárban szereplő, de munkavállalóinál használatban lévő eszközöket.
- Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő? Nem történik adattovábbítás
- Elérhető-e az Adatkezelés célja más módon? Nem, mivel a Társaság írásbeli rögzítés nélkül nem tudja egyedileg azonosítani az eszközöket, amelyeket átad a munkavállaló részére
Arányossági teszt
- Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli? Igen, a Társaság tájékoztatja a munkavállalóit arról, hogy a részükre átadott eszközökről nyilvántartást vezet, továbbá arról, hogy a nyilvántartás mely Személyes Adataikat tartalmazza. A munkavállaló továbbá tisztában van azzal, hogy a Társaság tulajdonában álló (több esetben nagy értékű) eszköz birtokában van, amely eszköz birtokosát a Társaság rögzíti.
- Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges? Igen, a munkavállalók részére biztosított eszközök lehetővé teszik a munkavégzést, illetve bizonyos esetekben megkönnyítik a hatékony munkavégzést.
- Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés? Nem, tekintettel arra, hogy az adatkezelés nem túlzó (a munkavállaló és az eszköz azonosításához szükséges legkevesebb adatot tartalmazza).
- Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor? Igen, az Adatkezelés elmaradása esetén nem tudja pontosan azonosítani a leltárban szereplő eszközeinek használóit, valamint esetleges kérdés esetén nem tudja azonosítani a tulajdonában álló eszköz hollétét.
- Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor? Nem, tekintettel arra, hogy a munkavállaló és a Társaság közötti "ügyletre" vonatkozó adatkezelés történik.
- Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli? Elsősorban a Társaság érdeke az eszköznyilvántartás vezetése, de a munkavállalónak is fontos, hogy a Társaság pontosan tisztában legyen azzal, hogy részére mely eszközöket adta át (ne követelhessen a munkavállalóval szemben olyan eszközöket, amelyeket nem adott át a részére, illetve amelyek a használat során amortizálódtak)
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? Az Érintett az Adatkezelő munkavállalója, megbízottja.
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? A felek között tartós, folyamatos kapcsolat áll fenn.
- Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett? Igen, alá-fölérendeltségi viszony áll fenn közöttük.
- Korlátozná-e az Adatkezelés az Érintett jogait? Nem.
- Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében? Név, munkakör, eszköz azonosítója.
- Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében? Nem.
- Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz? Közvetlenül az Érintettől vette fel, illetve az Érintett részére átadott eszközről rögzítette.
- Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli? Igen, általánosan bevett gyakorlat, hogy a Társaság a tulajdonukban és a munkavállalóik, illetve megbízottjaik használatában álló eszközöket nyilvántartják.
- Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek? Nem.
- Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében? A Társaság a munkaszerződés megkötésekor tájékoztatja munkavállalóit arról, hogy a részükre átadott eszközökről nyilvántartást vezet, s hogy ez a nyilvántartás mely személyes adataikat tartalmazza.
- Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett? Igen, mert kérheti Személyes Adatai helyesbítését, azok korlátozott adatkezelését, valamint azok törlését (ennek feltétele az eszközök visszaadása)
- Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel? Nem.
Személyes Adatok biztonságos kezelése érdekében tett lépések
- A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő? Igen.
- Álnevesíti -e az Adatkezelő a Személyes Adatokat? Nem.
- Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében? A Társaság korlátozza az eszköznyilvántartáshoz való hozzáférést, csak olyan személyek részére biztosítja azt, akik munkaüggyel vagy eszköznyilvántartással kapcsolatos feladatokat látnak el.
- Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő? A jelen Szabályzatban foglaltakon túl a Társaság nem tesz lépéseket az eszköznyilvántartásban szereplő Személyes Adatok biztonságos kezelése érdekében.
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
A Társaság jogos érdeke, hogy a munkavállalói részére átadott eszközöket nyilvántartsa, melyhez elengedhetetlen a munkavállalók Személyes Adatainak kezelése.
A Társaság az eszközök nyilvántartásának érdekében a munkavállalói lehető legkevesebb Személyes Adatát kezeli. Az adatkezelési tevékenység megkezdése előtt a Társaság tájékoztatja munkavállalóit az adatkezelés céljáról, időtartamáról, valamint arról, hogy a munkavállalók hogyan élhetnek a Személyes Adataik kezelésével kapcsolatos jogaikkal.
A fentiek alapján a munkavállalók részére átadott eszközök nyilvántartásával kapcsolatos Adatkezelés a Társaság jogos érdeke, a Társaság gazdasági tevékenységének végzéséhez szükséges, a munkavállalók jogaival arányos Adatkezelés
- Érdekmérlegelési teszt készítője:
- Érdekmérlegelési teszt készítőjének aláírása:
- Érdekmérlegelési teszt kelte:
- Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:
3. Ügyfelek kapcsolattartási adatainak kezelése
Az Adatkezelő jogos érdekének azonosítása
- Mi az adatkezelés célja? A Társaság ügyfeleiről adatbázist készít annak érdekében, hogy kapcsolattartási adataikat könnyen, kereshető formában elérje.
- Szükséges-e az adatkezelés a Társaság vagy harmadik személy üzleti céljának eléréséhez? Az Adatkezelés a Társaság üzletmenete folyamatosságának biztosításához szükséges. Egy-egy partnerrel több munkavállaló is kapcsolatban áll, így a Társaság érdeke, hogy a kapcsolattartási adatokat egy központi adatbázisban tárolja, ahol azok az arra jogosultságot kapó munkavállalók számára elérhetőek.
- Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket ? Igen, a Rendelet jogos érdekként jelöli meg az ügyfélkapcsolatot.
Szükségességi teszt
- Miért fontos a fenti Adatkezelés az Adatkezelő részére? Az Adatkezelés azért elengedhetetlen a Társaság részére, mert csak így tudja biztosítani azt, hogy a megfelelő jogosultsággal rendelkező munkavállalói hozzáférjenek az ügyfelek kapcsolattartási adataihoz.
- Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő? A Társaság abban az esetben továbbítja a Személyes Adatokat Harmadik Fél (a kiszállításért felelős cég) részére, amikor a partnerei megrendelését teljesíti.
- Elérhető-e az Adatkezelés célja más módon? Nem.
Arányossági teszt
- Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli? Igen, a Társaság tájékoztatja ügyfeleit arról, hogy kapcsolattartási adataikat adatbázisban tárolja.
- Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges? Igen, az adatbázis megléte biztosítja azt, hogy az ügyfél nem szenved hátrányt azért, mert esetlegesen a Társaság munkavállalói nem férnek hozzá a kapcsolattartási adataikhoz.
- Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés? A Társaság megítélése szerint az Adatkezelés nem befolyásolja negatívan az ügyfelek jogait.
- Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor? Igen, a Társaság számára üzleti hátrányt okoz, ha az ügyfelei adataihoz a munkatársak nem férnek hozzá, mert a - Társaság tevékenységéből adódóan - az ügyfél ebben az esetben egy konkurens cégtől rendeli meg a terméket.
- Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor? Nem.
- Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli? Az Adatkezelésre elsősorban a Társaság érdekében kerül sor, azonban a szerződéses kapcsolat fennállására tekintettel az ügyfél is érdekelt abban, hogy adatait a Társaság nyilvántartsa és vele a Társaság szükség esetén kapcsolatban tudjon lépni.
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? • Jelenlegi ügyfél
- • Ügyfél munkavállalója vagy megbízottja
- • Beszállító
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? Időszakosan fennálló kapcsolatban vagy folyamatos, tartós jogviszonyban
- Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett? Az Adatkezelő és az Érintett között szerződéses kapcsolat áll fenn, amennyiben magánszemély az ügyfél vagy az Adatkezelő és az Érintett munkáltatója vagy megbízottja között áll fenn kapcsolat és az Érintett a munkáltatója vagy megbízottja nevében jár el kapcsolattartóként, illetőleg az Érintett vagy az Érintett munkáltatója vagy megbízója az Adatkezelő beszállítója.
- A fenti jogviszonyok alapján a felek között nem áll fenn egyenlőtlenség.
- Korlátozná-e az Adatkezelés az Érintett jogait? Nem.
- Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében? Név, e-mail cím, telefonszám, egyéb elérhetőségek (számlázási cím, kézbesítési cím)
- Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében? Nem.
- Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz? Közvetlenül az Érintettől vagy az Érintett munkáltatójától, megbízójától
- Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli? Igen
- Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek? Nem.
- Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében? A Társaság a weboldalon történő regisztráció során tájékoztatja ügyfeleit, hogy Személyes Adataikat adatbázisban rögzíti.
- Beszállítói, illetve nem természetes személy ügyfél esetében a Társaság nem tudja biztosítani a tájékoztatást azok számára, aki az ügyfél megbízásából jár el abban az esetben, ha a regisztrációs folyamatot nem az adott szervezet részéről kapcsolattartóként eljáró személy készíti a regsiztrációt.
- Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett? Igen, mert bármikor kérheti, hogy a Társaság az adatbázisban kezelt adatait módosítsa vagy törölje.
- Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel? Nem.
Személyes Adatok biztonságos kezelése érdekében tett lépések
- A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő? Igen.
- Álnevesíti -e az Adatkezelő a Személyes Adatokat? Nem.
- Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében? A Társaság ügyfelei adatait saját informatikai rendszerében tárolja, melyekhez a megfelelő jogosultsági szinttel rendelkező munkavállalók férhetnek csak hozzá.
- Az adatbázisban szereplő Személyes Adatokat a Társaság az ügyfél kérésére azonnal törli.
- Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő? A jelen Szabályzatban foglaltakon túlmenően a Társaság nem tesz lépéseket az ügyféladatbázisban szereplő Személyes Adatok biztonságos kezelése érdekében.
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
A Társaság jogos érdeke, hogy ügyfeleinek a megrendelés teljesítéséhez szükséges kapcsolattartási adatait nyilvántartsa. A Társaság a megrendelés teljesítéséhez, valamint a kapcsolatfelvételhez szükséges legkevesebb Személyes Adatát kezeli.
Mivel a Társaság több munkatársa munkavégzéséhez szükséges, hogy az ügyfelek Személyes Adatait kezelje a megrendelés teljesítése, illetőleg kapcsolatfelvétel céljából, ezért a Társaság a megfelelő jogosultsággal rendelkező munkavállalói részére nyújt hozzáférést az ügyféladatbázisban szereplő Személyes Adatokhoz.
A Társaság a honlapon történő regisztrálás során tájékoztatja ügyfeleit arról, hogy az ott megadott Személyes Adataikat adatbázisban tárolja, valamint arról, hogy mely Személyes Adataikat továbbítja Harmadik Fél részére a megrendelés teljesítése érdekében.
A fentiekre tekintettel a Személyes Adatok ügyféladatbázisban való kezelése a Társaság jogos érdekén alapul, a Társaság tevékenységének folytatásához szükséges, az Érintett jogos érdekével arányos Adatkezelés.
- Érdekmérlegelési teszt készítője:
- Érdekmérlegelési teszt készítőjének aláírása:
- Érdekmérlegelési teszt kelte:
- Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:
4. Kamerarendszer üzemeltetésével kapcsolatos adatkezelés
Az Adatkezelő jogos érdekének azonosítása
- Mi az adatkezelés célja? A Társaság vagyonvédelmi céllal 3 kamerából álló kamerarendszert működtet székhelyén vagyon védelmi és jogellenes cselekmény megelőzési és jogellenes cselekmény felderítési céllal az árukiadás nyomon követése érdekében.
- Szükséges-e az adatkezelés a Társaság vagy harmadik személy üzleti céljának eléréséhez? Igen, a kamerarendszer működése biztosítja a Társaság székhelyének és [termelőüzemének] folyamatos ellenőrzését.
- Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket? Igen.
Szükségességi teszt
- Miért fontos a fenti Adatkezelés az Adatkezelő részére? vagyonvédelmi szempontból
- Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő? A Társaság nem továbbítja Harmadik Fél részére a kamerarendszer üzemeltetése során rendelkezésére jutott adatokat.
- Elérhető-e az Adatkezelés célja más módon? Nem
Arányossági teszt
- Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli? Igen, a Társaság előzetesen tájékoztatja a munkavállalóit, valamint a székhelyére érkező ügyfeleit arról, hogy kamerarendszert működtet.
- Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges? Igen, az ügyfél részére megkönnyíti annak bizonyítását, hogy az árut átvette vagy sem, azt az árut vette-e- át, amit megrendelt. Továbbá, a munkavállaló részére biztosítékul szolgál arra az esetre, ha esetlegesen jogellenes cselekmény gyanúja merül fel.
- Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés? Nem, jogszabályi előírások tiltják a kamerarendszer használatát azokban a helyiségekben, amelyekben a megfigyelés sérti az emberi méltóságot. A kamerarendszer kizárólag az árukiadás nyomon követésére szolgál, nem a kamerafelvételen szereplő személyek megfigyelésére irányul.
- Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor? Igen, az Adatkezelés nélkül nem tudja az esetleges jogellenes cselekményt azonosítani annak megtörténtekor, illetve bizonyítási nehézségek merülnének fel a kamerafelvétel hiányában abban az esetben, ha egy konkrét árukiadást utólag kellene megvizsgálni.
- Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor? Igen, ugyanis áru kiadásával kapcsolatos utólagos reklamáció esetén nem lehetne bizonyítani az árukiadáskor történt eseményeket.
- Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli? Az Adatkezelésre elsősorban a Társaság érdekében kerül sor, de a munkavállalók és az ügyfelek érdeke is az áru kiadásának rögzítése.
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? • Az Adatkezelő és a Érintett állhat munkáltató- munkavállaló viszonyban vagy az Érintett lehet az Adatkezelő beszállítója vagy ügyfele, illetőleg beszállítójának vagy ügyfelének munkavállalója, megbízottja.
- Milyen kapcsolatban áll az Érintett és az Adatkezelő? Tartós jogviszonyban vagy egyszeri megrendelés esetén alkalmi jogviszonyban
- Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett? A Társaság és munkavállalói között alá-fölérendeltségi viszony áll fenn.
- Az ingatlan területére lépő harmadik személyek és a Társaság között nincs egyenlőtlenség.
- Korlátozná-e az Adatkezelés az Érintett jogait? Nem.
- Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében? Képmás
- Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében? Nem.
- Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz? Közvetlenül az Érintettől
- Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli? Igen, tekintettel arra, hogy az áru kiadásának kamerafelvételen történő rögzítése bevett gyakorlat, továbbá az Adatkezelő ikont helyez el a kamerafelvételre figyelmeztetés céljából.
- Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek? Nem.
- Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében? Igen, a munkavállalóit a munkaszerződés aláírásával egyidejűleg tájékoztatja a kamerarendszer működtetéséről.
- A székhelyére lépő harmadik személyeket is tájékoztatja, táblával, illetve kérés esetén tájékoztató átadásával
- Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett? Igen, kérésre másolatot kaphat a kamerarendszer róla rögzített felvételeiről
- Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel? Nem.
Személyes Adatok biztonságos kezelése érdekében tett lépések
- A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő? Igen.
- Álnevesíti -e az Adatkezelő a Személyes Adatokat? Nem.
- Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében? Az adatbiztonság általános rendelkezésein túl az Adatkezelő többszörös jelszóval védi a kamera felvételeket, a kamerák szoftveres karbantartásával harmadik személyeket nem bíz meg.
- Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő? A fentieken kívül a Társaság nem tervez további lépéseket a kamerarendszer által rögzített Személyes Adatok biztonsága érdekében.
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
A Társaság jogos érdeke, hogy az áru kiadását nyomon kövesse. Ennek megvalósítására a Társaság rendelkezésére álló emberállomány és pénzügyi források alapján kizárólag elektronikus megfigyelő rendszer üzemeltetésével kerülhet sor. A kamerák kizárólagos célja a vagyonvédelem, a jogellenes cselekmények megelőzése és a jogellenes cselekmények felderítésének lehetővé tétele. Ebből a célból a lehető legkevesebb Személyes Adatot kezeli, csupán az arckép rögzítésére alkalmas kamerákat használ, hangfelvételeket nem készít.
A Társaság munkavállalói részére a munkaszerződés aláírásával egyidejűleg írásbeli tájékoztatás ad a kamerarendszer működéséről, valamint az az által rögzített Személyes Adataikhoz kapcsolódó jogaikról. A s belépő Harmadik Feleket jól láthatóan elhelyezett tábla tájékoztatja arról, hogy képmásuk felvételen rögzítik. Kérésre írásbeli tájékoztatást is ad a Társaság a kamerarendszerben történő személyes adatkezeléssel kapcsolatban Harmadik Felek részére.
A fentiekre tekintettel a kamerarendszer működése a Társaság jogos érdekén alapul, a Társaság működésének folytatásához szükséges, az Érintettek jogos érdekével arányos Adatkezelés.
- Érdekmérlegelési teszt készítője:
- Érdekmérlegelési teszt készítőjének aláírása:
- Érdekmérlegelési teszt kelte:
- Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:
5. sz. Melléklet
Érdekmérlegelési teszt (minta)
Az Adatkezelő jogos érdekének azonosítása
- Mi az adatkezelés célja?
- Szükséges-e az adatkezelés a Társaság vagy harmadik személy üzleti céljának eléréséhez?
- Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket ?
Szükségességi teszt
- Miért fontos a fenti Adatkezelés az Adatkezelő részére?
- Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő?
- Elérhető-e az Adatkezelés célja más módon?
Arányossági teszt
Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli?
Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges?
Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés?
Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor?
Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor?
Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli?
Milyen kapcsolatban áll az Érintett és az Adatkezelő?
• Jelenlegi ügyfél
• Volt ügyfél
• Munkavállaló vagy megbízott
• Ügyfél munkavállalója vagy megbízottja
• Potenciális ügyfél
• Beszállító
• Egyéb:
Milyen kapcsolatban áll az Érintett és az Adatkezelő?
• Folyamatos kapcsolatban
• Időszakosan fennálló kapcsolatban
• Nem állnak kapcsolatban
Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett?
Korlátozná-e az Adatkezelés az Érintett jogait?
Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében?
Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében?
Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz?
• Közvetlenül az Érintettől
• Nem az Érintettől
Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli?
• Igen
• Nem
• Nem biztos
Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek?
Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében?
Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett?
• Igen, mert
• Nem, mert
• Részlegesen, mert
Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel?
Személyes Adatok biztonságos kezelése érdekében tett lépések
A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő?
Álnevesíti -e az Adatkezelő a Személyes Adatokat?
Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében?
Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő?
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
[...]
- Érdekmérlegelési teszt készítője:
- Érdekmérlegelési teszt készítőjének aláírása:
- Érdekmérlegelési teszt kelte:
- Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:
6. sz. Melléklet
Adatvédelmi hatásvizsgálat (minta)
1 Az Adatkezelés részletes leírása
1.1 Az adatkezelés jellege, hatóköre, körülményei, céljai:
[...]
1.2 A kezelendő személyes adatok köre, a személyes adatok címzettjei, adatkezelés időtartama:
[...]
1.3 Az adatkezelési tevékenység leírása:
[...]
1.4 Azon eszközök és személyek azonosítása, amelyeken keresztül az adatkezelésre sor kerül, illetve akik az adatkezelésben részt vesznek (hardver, szoftver, hálózat, adatkezelésben közreműködő személyek):
[...]
1.5 Jóváhagyott magatartási kódexeknek megfelelő adatkezelés:
[...]
2 Szükségesség-arányossági teszt elvégzése az alábbi tényezők figyelembe vételével
2.1 Az adatkezelés szükségességéhez-arányosságához hozzájáruló tényezők
2.1.1 Az adatkezelés célhoz kötöttségének való megfelelés:
[...]
2.1.2 Az adatkezelés jogszerűsége, megfelelő jogalap azonosítása:
[...]
2.1.3 Az adattakarékosság elvének való megfelelés:
[...]
2.1.4 Korlátozott tárolhatóság
[...]
2.2 Az érintettek jogai erősítését szolgáló tényezők:
2.2.1 Tájékoztatás nyújtása az érintettek részére:
[...]
2.2.2 A hozzáféréshez való jog és adathordozhatósághoz való gyakorlása:
[...]
2.2.3 A helyesbítéshez és törléshez való jog gyakorlása:
[...]
2.2.4 A tiltakozáshoz való jog és adatkezelés korlátozásához való jog:
[...]
2.2.5 Az adatfeldolgozókkal fennálló jogviszony azonosítása
[...]
2.2.6 A nemzetközi adattovábbítás biztonságát biztosító tényezők:
[..]
2.2.7 Előzetes konzultáció lefolytatása:
[...]
3 Az Érintettek jogait és szabadságait érintő kockázatok azonosítása
3.1 Valamennyi, a konkrét adatkezelés tekintetében azonosított kockázat esetén az alábbi szempontok figyelembe vétele:
3.1.1 A kockázat forrásának azonosítása:
[...]
3.1.2 Az érintettek jogait és szabadságait érintő kockázatok azonosítása:
[...]
3.1.3 Olyan fenyegetések azonosítása, amelyek jogosulatlan hozzáféréshez, véletlen vagy nem szándékos megváltoztatáshoz vagy adatveszteséghez vezethetnek:
[...]
3.1.4 A kockázatok súlyosságának és bekövetkezése valószínűségének azonosítása:
[...]
3.2 A fenti 3.1 pont szerint azonosított kockázatok kezelésre tett intézkedések
[...]
4 A hatásvizsgálat elvégzésében közreműködő személyek azonosítása
4.1 A hatásvizsgálatot lefolytató személy:
[...]
4.2 A hatásvizsgálat lefolytatásával kapcsolatban tanácsot adó személy:
[...]
4.3 A hatásvizsgálat elvégzésébe bevont érintettek (amennyiben lehetséges):
[...]
Kiértékelés
A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:
[...]
- Hatásvizsgálat készítője:
- Hatásvizsgálat készítőjének aláírása:
- Hatásvizsgálat elvégzésének kelte:
- Hatásvizsgálat felülvizsgálatának előirányzott időpontja: