Adatvédelmi és adatbiztonsági szabályzat – GDPR

L-CONT Villamossági Kft. 

Győr, 2018.05.25.

 

 1.    Cél

A szabályzat célja az L-CONT Villamossági Korlátolt Felelősségű Társaság (székhely: 9027 Győr, Budai út 5.; cégjegyzékszám: Cg.08-09-009041; a továbbiakban: Társaság) belső adatkezelési folyamatainak nyilvántartása, a kezelt személyes adatok körének és a kezelés módjának meghatározása, valamint az érintettek jogainak biztosítása.

A Társaság a jelen szabályzat megalkotásával biztosítani kívánja az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint az Európai Unió 2016/679 rendeletében (általános adatvédelmi rendelet, GDPR) meghatározottaknak való megfelelést.

Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

2.    Érvényesség

A szabályzat tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi olyan folyamatra, amely során az adatvédelmi jogszabályokban meghatározott személyes adatkezelés megvalósul.

A szabályzat időbeli hatálya 2018. május 25-től visszavonásig tart.

3.    Jogszabályi hivatkozások

Az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet, GDPR)

– 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)

– 1996. évi XX. törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló (Szaztv.)

– 2012. évi I. törvény a munka törvénykönyvéről (Mt.)

– 1995. évi CXVII. törvény a személyi jövedelemadóról

– 2013. évi V. törvény a Polgári Törvénykönyvről

– 2000. évi C. törvény a számvitelről

– 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól (Szvtv)

– 1993. évi XCIII. törvény a munkavédelemről

4.    Fogalmak

A jelen szabályzat fogalmi rendszere megegyezik az adatvédelmi jogszabályokban meghatározott értelmező fogalommagyarázatokkal, így különösen:

  • Személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személyre (a továbbiakban: érintett) vonatkozó bármely információ és az abból levonható, az érintettre vonatkozó következtetés, mely alkalmas az adott személy azonosítására (akár önállóan, akár más adatokkal kombinálva). A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, szám, helymeghatározó adat, online azonosító, illetőleg egy vagy több, fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet;
  • Különleges adat:
    • a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra,
    • az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat;
  • Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
  • Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
  • Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
  • Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
  • Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját és módját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
  • Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtés, felvétel, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, továbbítás, nyilvánosságra hozatal, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, iletve megsemmisítés. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is;
  • Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
  • Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik;
  • Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
  • Adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele;
  • Adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése;
  • Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől;
  • Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából – beleértve a jogszabály rendelkezése alapján történő megbízást is – személyes adatok feldolgozását végzi; nem hoz érdemi döntéseket az adatokon végzett műveletek céljával és módjával kapcsolatban, hanem szolgáltatásként csupán technikai műveleteket végez az adatokon (például: tárolás, módosítás, törlés);
  • Személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  • Adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége;
  • Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  • Felügyeleti hatóság: egy tagállam által a GDPR rendelet 51. cikkének megfelelően létrehozott független közhatalmai szerv. Magyarország esetében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadóak.

5.    Az adatkezelés jogalapja és cél

5.1.     Az adatkezelések szabályai

Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést, így különösen:

Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaság az adatot ténylegesen kezelő megbízottja/munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket gyakorló személy ellenőrizheti.

A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

A Társaság az adat felvétele előtt az adatvédelmi jogszabályokban meghatározottak szerint közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

A Társaságnál adatkezelést végző személyek és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A társaság ennek megfelelően gondoskodik arról, hogy ezen személyek és szervezetek titoktartási kötelezettséget vállaljanak, illetve az alkalmazandó jogszabályi rendelkezések alapján titoktartási kötelezettség alatt álljanak.

A Társaság a GDPR személyes adatok kezelésére vonatkozó elveinek való megfeleléssel biztosítja az elszámoltathatóság feltételeit.

A Társaság az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött megbízási szerződésben érvényesítendőek. Az adatfeldolgozóval kötendő szerződés tartalmára a GDPR 28. cikkének rendelkezései irányadók.

5.2.     Adatbiztonsági szabályok

A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  1.  a személyes adatok álnevesítését és titkosítását;
  2.  a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  3.  fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  4.  az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

  • az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
  • a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
  • a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
  • a Társaság adatkezelést végző megbízottja/munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
  • a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
  • amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

A Társaság a számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében is köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

5.3.     Az adatvédelmi incidens

A Társaság az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve (ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is).

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti a Társaságnak.

A bejelentésben legalább

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintettet nem kell tájékoztatni, ha a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, vagy a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg vagy tájékoztatás aránytalan erőfeszítést tenne szükségessé.

5.4.     Adatvédelmi hatásvizsgálat

Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között kerülnek értékelésre.

A hatásvizsgálat kiterjed legalább

  • a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére (beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket);
  • az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • az érintett jogait és szabadságait érintő kockázatok vizsgálatára;
  • a kockázatok kezelését célzó intézkedések bemutatására.

5.5.     Az érintettek jogainak érvényesítése

Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését.

A Társaság az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb 25 – tiltakozási jog gyakorlása esetén 5 – napon belül írásban, közérthető formában választ ad. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, melyről az érintett tájékoztatást kap.

A tájékoztatás kiterjed az adatvédelmi jogszabályokban meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg.

Az érintett jogosult arra, hogy a Társaságtól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon (az érintett hozzáférési joga):

  • az adatkezelés céljai;
  • az érintett személyes adatok kategóriái;
  • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják
  • a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel írt, olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa (adathordozhatósághoz való jog).

A tájékoztatás főszabály szerint ingyenes. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre ésszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.

A Társaság kérelmet csak az adatvédelmi jogszabályokban meghatározott okokból utasít el, erre csak indoklással, az adatvédelmi jogszabályokban meghatározott tájékoztatással, írásban kerül sor.

A valóságnak nem megfelelő adatot a Társaság – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, az adatvédelmi jogszabályokban meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törlése iránt (helyesbítéshez való jog).

Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára – de legfeljebb 5 napra – az adatkezelést a Társaság felfüggesztheti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt az adatvédelmi jogszabályokban foglaltak szerint tájékoztatja.

Amennyiben a tiltakozás indokolt, a Társaság az adatvédelmi jogszabályokban meghatározottak szerint jár el.

Az érintett kérésére a Társaság indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll („az elfeledtetéshez való jog”)

  • személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  • az érintett tiltakozik az adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
  • a személyes adatokat jogellenesen kezelték

A törléshez való jog nem érvényesíthető, amennyiben az adatkezelés a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából szükséges.

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést az adatvédelmi jogszabályokban meghatározottak szerint (adatkezelés korlátozásához való jog).

A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az érintett a Társaság adatkezelési eljárásával kapcsolatos panasszal a NAIH-hoz fordulhat:

név:                     Nemzeti Adatvédelmi és Információszabadság Hatóság

székhely:             1024 Budapest, Szilágyi Erzsébet fasor 22/C.

honlap:                 www.naih.hu

5.6.     A Társaságnál megvalósuló adatkezelések

Az adatkezelés helye:  9027 Győr, Budai út 5. (a társaság székhelye)

Az adatkezelések NAIH nyilvántartása

A személyes adatok kezelésének nyilvántartásba vételét a Társaság – a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt – kérelmezi a NAIHnál, kivéve az alábbi adatkezeléseket, amelyekről a NAIH nem vezet adatvédelmi nyilvántartást:

– az adatkezelővel munkaviszonyban, tagsági viszonyban, vagy ügyfélkapcsolatban álló személyek adataira vonatkozik; valamint mindazon egyéb adatkezelésekről, amelyekről az Infotv. 65. § (3) bekezdése alapján a NAIH nem vezet adatvédelmi nyilvántartást.

A Társaság adatkezelési tevékenységeiről vezetett nyilvántartása

A Társaság mint adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásos (akár elektronikus) nyilvántartást vezet, mely legalább a következő információkat tartalmazza: az adatkezelő neve és elérhetősége; az adatvédelmi tisztviselő neve és elérhetősége, amennyiben a társaság alkalmaz adatvédelmi tisztviselőt; az adatkezelés céljai; az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják; a különböző adatkategóriák törlésére előirányzott határidők; az adatbiztonság érdekében megtett technikai és szervezési intézkedések általános leírása.

A munkaviszony fenntartásával és megszűnésével kapcsolatos adatkezelések

A Társaság munkavállalóiról személyzeti, illetve bér- és munkaügyi nyilvántartást vezet.

A személyzeti nyilvántartás a munkaviszonyra, illetve foglalkoztatásra irányuló egyéb jogviszonyra (pl. önálló tevékenységként végzett megbízás, vállalkozás stb.) vonatkozó tények dokumentálására szolgáló adatkezelés. A személyzeti nyilvántartás adatai a munkavállaló munkaviszonyával kapcsolatos tények megállapítására és statisztikai adatszolgáltatásra használhatók fel. A személyzeti nyilvántartás a Társaság valamennyi munkavállalójának adatait tartalmazza.

A bér- és munkaügyi nyilvántartás a munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés. A bér- és munkaügyi nyilvántartás adatai a munkavállaló munkaviszonyával kapcsolatos tények megállapítására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel. A bér- és munkaügyi nyilvántartás a Társaság valamennyi munkavállalójának adatait tartalmazza.

A munkavállalók adatkezelésének jogalapja a törvényi felhatalmazás (munka törvénykönyvéről szóló 2012. évi I. törvény), illetve az adatvédelmi jogszabályok szerinti érintetti hozzájárulás ad jogalapot.

A munkaviszony kapcsán beszerzett harmadik személy adatai (például pótszabadság, családi adókedvezmény kapcsán) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők. Az adatok megadása önkéntes, az adatok megadása minden esetben az érintetti hozzájárulás eseti beszerzése mellett történhet.

A munkaviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok

Amennyiben a munkaviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a munkavállalótól, úgy a nyilatkozat beszerzése során a Társaság minden esetben felhívja a munkavállaló figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára, céljára.

Amennyiben a nyilatkozat érvényességéhez személyi okmány bemutatása szükséges (személyi igazolvány, stb.), úgy a Társaság semmilyen módon nem kezeli az okmány adatait és/vagy képét, hanem a Társaság arra jogosult munkavállalója aláírásával tanúsítja az okmány bemutatását és annak érvényességét.

A társaság munkavállalóinak tájékoztatása

Az adatkezelésre vonatkozóan munkavállalói tájékoztató készült, melynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről. A munkavállalói tájékoztató szövegét jelen szabályzat 1. melléklete tartalmazza.

Honlap üzemeltetés

A  Társaság honlapjához bárki kilétének felfedése és személyes adatainak megadása nélkül hozzáférhet, a honlapon és az ahhoz kapcsolt oldalakon szabadon és korlátozás nélkül szerezhet információkat. Nem személyhez kötött információkat azonban korlátlanul és automatikusan gyűjt a weblap a látogatókról. Ezekből az adatokból személyes adat azonban nem nyerhető, így az adatvédelmi jogszabályok hatálya alá tartozó adatkezelést nem valósít meg.

A honlaplátogató böngészője megfelelő beállításainak kiválasztásával visszautasíthatja a sütik („cookies”) használatát.

Számlázás

A számlák a törvényi előírások szerinti kötelező alaki kellékkel ellátottak. A számlák külső irattárban kerülnek archiválásra, ahol a papíralapú számviteli bizonylatokra vonatkozó szabályok szerint 8 évig megőrzésre kerülnek.

Kamerás megfigyeléssel kapcsolatos adatkezelés

A Társaság a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben (a továbbiakban: Szvtv.) meghatározottak szerint üzemeltethet elektronikus megfigyelőrendszert.

Amennyiben a Társaság elektronikus megfigyelőrendszert üzemeltet, az elektronikus megfigyelőrendszer által készített képek megőrzésére és felhasználására az Szvtv. rendelkezéseinek figyelembe vételével az alábbi szabályok irányadóak.

Az elektronikus megfigyelőrendszerrel készített felvételek törlésének módja és határideje

A felvétel felhasználás hiányában a rögzítéstől számított 3, azaz három munkanap elteltével törlésre kerül [Szvtv. 31. § (2)], kivéve, ha a törvény ettől eltérő időt is megenged. Felhasználásnak az minősül, ha a felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.

A Társaság biztosítja az érintetti jogok közül az Szvtv-ben meghatározottat, azaz az, akinek jogát vagy jogos érdekét a felvétel rögzítése érinti, a felvétel fent meghatározott törlési idején (három munkanapon vagy harminc napon) belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A kérelemről a lehető legrövidebb időn belül a Társaság dönt. Bíróság vagy más hatóság megkeresésére a rögzített felvételt a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben a megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a felvétel törlésre kerül.

Az elektronikus megfigyeléssel kapcsolatos garanciális szabályok

A Társaság az elektronikus megfigyelőrendszerrel csak a kellő mértékben avatkozik bele az érintettek magánszférájába.

A Társaság semmilyen indokból és módon nem folytat elektronikus megfigyelést:

  • abból a célból, hogy egy munkavállalót és az általa végzett tevékenységét figyelje meg,
  • abból a célból, hogy a munkavállalók munkahelyi viselkedését befolyásolja,
  • szenzitív területeken, így különösen öltözőben, zuhanyzóban, illemhelyiségben,
  • olyan területen, ahol a munkavállalók pihenőidejüket vagy munkaközi szünetüket töltik,
  • közterületen.

Az érintettek tájékoztatása

Az adatkezelésre vonatkozóan tájékoztató készült, melynek célja az érintettek előzetes tájékoztatása az adatkezelésről. A tájékoztató szövegét jelen szabályzat 2. melléklete tartalmazza. A tájékoztató a megfigyelt területre történő összes belépési ponton kihelyezésre kerül.

A kameraképek megtekintése

Annak érdekében, hogy a Társaság minél kevésbé érintse az érintettek magánszféráját, a Társaság minden, a kamerával rögzített képekbe történő betekintésről jegyzőkönyvet vesz fel, amiben rögzíteni kell a betekintés időpontját, célját és a betekintésben résztvevő személyek nevét.

6.    Mellékletek

1.    számú melléklet:   Munkavállalói tájékoztató

2.    számú melléklet:   Kamerával megfigyelt terület