ADATKEZELÉSI TÁJÉKOZTATÓ
ADATKEZELÉSI SZABÁLYZAT
Jelen Adatkezelési Szabályzat az Adatkezelők (a továbbiakban együtt: „Adatkezelő”, „Adatkezelők” vagy „Adatkezelő Társaságok” vagy „Közös Adatkezelők”)adatkezelési szabályzata (a továbbiakban: „Szabályzat”).
I. AZ ADATKEZELŐ FŐBB ADATAI:
Neve: UniYou Korlátolt Felelősségű társaság
Székhely és levelezési cím: 1026 Budapest, Pasaréti út 83.
Nyilvántartási szám: 01-09-388568
Adószám: 27401617-2-41
E-mail elérhetősége: info@uniyou.hu
Telefonszám: +36-1-776-78-78
Képviselője: Szili-Török Adrienn
Weboldala: https://www.uniyou.hu/
(a továbbiakban: „Adatkezelő1/ UniYou Kft.”)
Neve: UniYou Iskolaszövetkezet
Székhely és levelezési cím: 1026 Budapest, Pasaréti út 83.
Nyilvántartási szám: 01-02-054693
Adószám: 32397565-2-41
E-mail elérhetősége: info@uniyou.hu
Telefonszám: +3617767878
Képviselője: Szili-Török Adrienn igazgatóság elnöke
Weboldala: https://www.uniyou.hu/
(a továbbiakban: „Adatkezelő2/ UniYou Iskolaszövetkezet”)
Adatkezelők az Európai Parlament és a Tanács (EU) 2016/679 rendeletének a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről, és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló rendelet (General Data Protection Regulation, a továbbiakban: „GDPR”) 4 cikk 19. pontja értelmében „vállalkozáscsoportot” alkot.
A Vállalkozáscsoportot egy ellenőrző vállalkozás (jelen szerződés vonatkozásában: Adatkezelő1) és az általa ellenőrzött vállalkozások (jelen szerződés vonatkozásában: Adatkezelő2) alkotják. Ellenőrző vállalkozásnak a GDPR alapján azt a vállalkozást kell tekinteni, amely – például tulajdonosi jogok, pénzügyi részesedés vagy az arra vonatkozó szabályok, vagy a személyes adatok védelmére vonatkozó szabályok végrehajtására való jogosultság révén – a többi vállalkozás felett meghatározó befolyást gyakorol. Az a vállalkozás, amely ellenőrzi a hozzá kapcsolt vállalkozásokban a személyes adatok kezelését, ezen intézményekkel együtt vállalkozáscsoportnak tekinthető jogalanyt alkot.
II. ÁLTALÁNOS RENDELKEZÉSEK
Az Adatkezelők jogszabályi előírásokból eredő kötelezettségeiknek megfelelően jelen Adatvédelmi Szabályzatot hozták létre, melyre a továbbiakban ezen dokumentumban Szabályzatként hivatkoznak.
Az Adatvédelmi Szabályzatot az Adatkezelők többi hatályos szabályzatának, és hatályos Társasági utasításainak rendelkezéseivel összhangban kell alkalmazni. Abban a nem várt esetben, ha a személyes adatok kezelésével, védelmével kapcsolatban ellentmondás állna fenn jelen Szabályzat és a bármely más, jelen Szabályzat hatálybalépése előtt életbe lépett szabályzat előírásai között, úgy abban az esetben jelen Szabályzat rendelkezései az irányadóak.
III. A SZABÁLYZAT CÉLJA
3.1. Jelen Szabályzat a 2018. május 25. napjától alkalmazandó 679/2016 Európai Bizottsági Rendelet, (Általános Európai Adatvédelmi Rendelet, a továbbiakban: „GDPR”), és a hatályos magyar adatvédelmi jogszabályok, így különösen információs önrendelkezési jogról az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”) figyelembevételével készült.
3.2. Ebben az Adatvédelmi Szabályzatban az Adatkezelők rögzítik az adatkezelési alapelveit célokat és egyéb tényeket, amelyek meghatározzák azt, hogy az Adatkezelő az általa kezelt személyes adatokat milyen célból, meddig és hogyan kezeli, és az adatkezelés vonatkozásában az érintetteknek milyen jogérvényesítési és jogorvoslati lehetőségei vannak, és bemutatják az általuk megfogalmazott követelményeket, amelyekhez az Adatkezelők adatkezelőként tartják magukat.
3.3. A Szabályzat célja, hogy:
-Az Adatkezelők tevékenységük során biztosítsák a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését,
-biztosítsák, hogy az ügyfeleik és a velük kapcsolatba lépő más természetes személyek adatainak kezelésére jogszerű keretek között, a GDPR, és az Infotv. előírásainak megfelelően kerüljön sor.
-Az Adatkezelők által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat és elveket, valamint
-Az Adatkezelők adatkezelési rendjét szabályozza.
3.4. A jelen Szabályzattal létrehozásával és nyilvánossá tételével Az Adatkezelők biztosítani kívánják a GDPR, és az Infotv. 15. §-ban meghatározott érintteti tájékoztatáshoz való jog megvalósulását is.
IV. A SZABÁLYZAT HATÁLYA
4.1. Személyi hatály
Jelen Szabályzat személyi hatálya kiterjed:
-Az Adatkezelővel szerződéses jogviszonyban álló - a megkötött szerződésben rögzített módon vagy a titoktartási nyilatkozat alapján, illetve
-az Adatkezelő informatikai rendszerével, szolgáltatásaival más módon kapcsolatba kerülő természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban: „Külső személy”).
-az Adatkezelő valamennyi szervezeti egységére, illetve az Adatkezelővel munkaviszonyban vagy a munkavégzésre irányuló egyéb jogviszonyban álló foglalkoztatottjaira (a továbbiakban: „Munkatárs”),
-azon személyekre, akik adatait a jelen Szabályzat előírásai szerint az Adatkezelő kezeli, valamint
-azon személyekre, akik jogos érdekét, jogait az Adatkezelő által folytatott adatkezelés érinti,
-egyéb adatkezelőkre, vagy Adatfeldolgozókra, akik az Adatkezelő tevékenységével kapcsolatos feladatuk ellátása közben személyes adatokkal bármilyen jellegű műveletet végeznek (ahhoz hozzáférnek, feldolgozzák, kezelik, törlik, továbbítják).
4.2. Tárgyi hatály
Jelen Szabályzat tárgyi hatálya kiterjed:
-az Adatkezelő – székhelyén– valamennyi szervezeti egységénél folytatott minden olyan folyamatra, amely természetes személy személyes adatait tartalmazó adatkezelést, adatfeldolgozást folytat, függetlenül attól, hogy az adatkezelés, adatfeldolgozás teljesen, vagy részben számítógépes eszközzel (elektronikus úton), illetve papír alapon (manuális módon) történik,
V. KÖZÖS ADATKEZELÉS
5.1. Adatkezelők – a GDPR 26. cikke szerinti – közös adatkezelők, mivel az adatkezelés céljait és eszközeit közösen határozzák meg.
5.2. A Közös Adatkezelők átlátható módon, a közöttük létrejött, külön, írásos megállapodásban (Közös Adatkezelői Megállapodás) határozzák meg a GDPR szerinti kötelezettségeik teljesítéséért fennálló – különösen az Érintett jogainak gyakorlásával és a GDPR 13. és a 14. cikkben említett információk rendelkezésre bocsátásával, kapcsolatos feladataikkal összefüggő – felelősségük megoszlását.
5.3. A Közös Adatkezelők a Közös Adatkezelői Megállapodásban az Érintettek felé az UNIYOU Kft-t jelölték ki kapcsolattartóként (a továbbiakban: „adatkezelői kapcsolattartó”).A Közös Adatkezelői Megállapodás megfelelően tükrözi a Közös Adatkezelők Érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az Érintett írásbeli kérésére az adatkezelői kapcsolattartó az Érintett rendelkezésére bocsátja.
5.4. Az Érintett – a Közös Adatkezelői Megállapodás feltételeitől függetlenül – mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a GDPR szerinti jogait.
5.5. A Közös Adatkezelők – a GDPR 24. cikke szerint – az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtanak végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történjen.
A Közös Adatkezelők megfelelő belső adatvédelmi szabályokat alkalmaznak. A személyes adatokkal kapcsolatos kérelmeket az adatkezelők az e pont szerinti elérhetőségén fogadják.
VI. IRÁNYADÓ FŐBB JOGSZABÁLYOK ÉS SZABÁLYZATOK
-az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (Európai Unió általános adatvédelmi rendelete -General Data Protection Regulation, (a továbbiakban: „GDPR”)
-az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”)
-a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”)
-a szövetkezetekről szóló 2006. évi X. törvény (a továbbiakban: „Szövtv.”)
-a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”)
-a munkavédelemről szóló 1993. évi XCIII. Törvény (a továbbiakban: „Mvt.”)
-a számvitelről szóló 2000. évi C. törvény (a továbbiakban: „Sztv.”)
-a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. Törvény (a továbbiakban: „Szvtv.”)
-a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. Törvény (a továbbiakban: „Tbj.”)
-a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény végrehajtásáról szóló 195/1997. (XI. 5.) Korm. Rendelet
-az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. Rendelet
-az általános forgalmi adóról szóló 2007. évi CXXVII. törvény („Áfatv.”)
-az adózás rendjéről szóló 2017. évi CL. Törvény („Adótv.”)
VII. ELŐÍRÁSOK ALKALMZÁSA
Annak érdekében, hogy az Adatkezelő megfeleljen a hatályos jogszabályok által előírt kötelezettségeknek, a jelen Szabályzat személyi hatálya alá tartozó személyeknek a következőket kell figyelembe venni:
-elsősorban az Adatkezelő jelen Szabályzatát,
-amennyiben a Szabályzat adott rendelkezése nem kellőképpen kifejtett vagy nem tartalmazza a konkrét élethelyzetre vonatkozó szabályt, a hatályos vonatkozó magyar jogszabályi előírásoknak, Európai Unió által előírt jogszabályi rendelkezéseknek megfelelően kell eljárni.
Az Adatkezelővel kapcsolatba kerülő szolgáltatókkal a Szabályzat adott területére vonatkozó előírásait a munkavégzést felügyelő személynek kell megismertetnie és betartatnia.
A Szabályzatban alkalmazott kifejezések értelmezése
Jelen Szabályzatban alkalmazott kifejezések tekintetében elsősorban a GDPR-ban, és az Infotv-ben rögzített értelmezések az irányadóak.
VIII. A SZABÁLYZATBAN HASZNÁLATOS FOGALMAK MEGHATÁROZÁSA
Az alábbiakban összefoglaljuk a Szabályzatban előforduló legfontosabb fogalmakat.
Adatfeldolgozás: olyan, a személyes adatokkal végzett, az adatkezelési műveletekhez kapcsolódó bármely tevékenység, amelyet az Adatkezelő nevében hajtanak végre, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a tevékenységet az adaton végzik. Ennek megfelelően adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében, az Adatkezelő által meghatározottak szerint személyes adatokat kezel.
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet, vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása.
Cookie: olyan fájl (adatsor), amit a Honlap látogatójának Számítógépén hozhat létre a Honlapot megjelenítő program, és amely információkat tárol az Érintettről, az Érintett és a webszervere kapcsolatáról. A cookie használatának célja az Érintett számítógépének beazonosítása (felismerése), az egyszerűbb böngészés biztosítása és annak nyomon követése, valamint a Honlapra látogatók felhasználási szokásainak elemzése, kiértékelése, és ezek nyomán a felhasználói élmény javítása.
Érintett: bármely, az Adatkezelő által kezelt személyes adatok alapján azonosított vagy azonosítható természetes személy.
Hatóság: a Nemzeti Adatkezelési és Információszabadság Hatóság (NAIH)
Honlap/weboldal: az Adatkezelő(k) által üzemeltetett honlap(ok).
Rendszergazda: aki a Honlapot kezeli és karbantartja. A Honlap működtetése, karbantartása vonatkozásában a Szabályzat rendelkezései a Rendszergazdára megfelelően irányadóak. A Rendszergazda önállóan, saját döntései szerint személyes adatot nem kezel, a Honlap karbantartása tekintetében – amennyiben és amilyen terjedelemben az Adatkezelő által kezelt személyes adatokra rálát – adatfeldolgozónak minősül.
Számítógép: minden olyan – az elektronikus hírközlésről szóló 2003. évi C. törvény 188. § 21. pontja szerinti elektronikus hírközlő végberendezésnek minősülő – az Érintett rendelkezése alatt álló számítástechnikai eszköz, mobiltelefon, számítógép, táblagép, amely ún. cookie-k (adatcsomagok) fogadására alkalmas.
Személyes adat: Az Érintettre vonatkozó bármely olyan információ, amely alapján az Érintett azonosítottsága vagy azonosíthatósága teljesül.
Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Az Adatkezelő a jelen szabályzatban adatkezelési célonként külön feltüntetett személyes adatokat kezeli az Érintettről.
IX. ADATKEZELÉSI ELVEK
Jogszerűség, tisztességes eljárás és átláthatóság
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni.
Az Adatkezelő az adatkezelési tevékenysége során az Érintettől közvetlenül veszi fel, és kezeli a személyes adatokat, illetve amennyiben harmadik személytől közvetetten gyűjt személyes adatot, úgy azt külön feltünteti jelen Szabályzatban.
Amennyiben az Adatkezelő közvetlenül vesz fel személyes adatokat, úgy a GDPR 13. cikk (1) bekezdése alapján a személyes adatok megszerzésének időpontjában bocsátja rendelkezésre a jelen Szabályzatban foglalt információkat, tájékoztatásokat, illetve – amennyiben az érintett adatkezelés tekintetében ez indokolt – ennek időpontjában kéri az Érintett hozzájárulását az adatkezeléshez.
Amennyiben az Adatkezelő közvetetten, harmadik személy útján kerül valamely személyes adat birtokába, úgy a GDPR 14. cikk (3) bekezdésével összhangban a személyes adatok megszerzésétől számított ésszerű határidőn belül, de legkésőbb egy hónapon belül adja meg a jelen Szabályzat szerinti tájékoztatást.
Az Adatkezelő a Szabályzat mellékletét képező Adatkezelési Tájékoztató hatályos (valamint korábbi) szövegét ingyenesen, kötelezettségmentesen, folyamatosan és nyilvánosan elérhetővé és megismerhetővé teszi a Honlapon. Az Adatkezelő a megadott személyes adatokat tisztességtelen vagy a jelen szabályzatban foglalt célokon felül más, további célból nem kezeli, adatkezelési tevékenysége során mindenkor jelen szabályzatot, valamint az irányadó jogszabályoknak megfelelően jár el.
Célhoz kötöttség
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
Az Adatkezelő a személyes adatokat kizárólag a Szabályzatban feltüntetett, egyértelmű és jogszerű célokból kezelheti. Ha ezektől eltérő célra kívánja az Adatkezelő kezelni a már megadott személyes adatokat, akkor az Adatkezelő erről előzetesen, teljes-körűen tájékoztatja az Érintettet.
Az egyes adatkezelési célok teljes áttekinthetősége érdekében az Adatkezelő jelen szabályzatban tájékoztatást nyújt arra vonatkozóan, hogy az egyes személyes adatokat milyen célból, milyen időtartamig és mely jogalap alapján kezeli. Mindezen előírásokat az Adatkezelő rá nézve kötelezőként alkalmaz.
Adattakarékosság
Az adatkezelés céljai szempontjából megfelelőek, és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
Az Adatkezelő célja, hogy csak a lehető legszükségesebb, legrelevánsabb személyes adatokat kezelje adatkezelési tevékenységei tekintetében. Ezek minden esetben olyan adatok, amelyek kezelése valóban szükségesek és indokoltak. Az Adatkezelő a jelen szabályzatban foglaltak szerint jár el, ha a Szabályzatban felsorolt személyes adatokon túl további adatok megadását kérné az Érintettől
Pontosság
A személyes adatok kezelésének pontosnak, és szükség esetén naprakésznek kell lennie, minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék, vagy helyesbítsék.
Az Adatkezelő célja, hogy a már rögzített személyes adatok folyamatosan naprakészek, pontosak legyenek, e cél teljesítése érdekében az Adatkezelő minden ésszerű intézkedést megtesz. Az adatok naprakészségét az Érintettek is elősegítik az adatváltozás bejelentésével, vagy a megadott adataik helyesbítésével
Korlátozott tárolhatóság
A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
Integritás és bizalmas jelleg
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az Adatkezelő a tisztesség és a törvényesség követelményeinek megfelelően, az érintettekkel együttműködve köteles eljárni. Az Adatkezelő jogait és kötelezettségeit rendeltetésüknek megfelelően köteles gyakorolni, illetőleg teljesíteni. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor állítható helyre a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. Az Adatkezelő az adatkezelés során biztosítja az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet az adattal csak az adatkezelés céljához szükséges ideig lehessen összekapcsolni.
Az Adatkezelő személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében, a cél megvalósulásához szükséges mértékben és ideig kezel. Szolgáltató köteles biztosítani, hogy az adatkezelése minden szakaszában megfeleljen az adatkezelés céljának.
Az Adatkezelő a tevékenysége során felmerülő jogaik érvényesítése, kötelezettségük teljesítése érdekében elengedhetetlenül szükséges személyes adatokat az Adatkezelő az érintett hozzájárulása és törvényi felhatalmazás alapján, és kizárólag célhoz kötötten használják fel.
Minden olyan esetben, ha a szolgáltatott adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az érintettet tájékoztatja, es ehhez előzetes, kifelezett hozzájárulását megszerzi, illetőleg lehetőséget biztosítanak számára, hogy a felhasználást megtiltsa.
Az Adatkezelő gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai es szervezési intézkedéseket, es kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását es jogosulatlan megváltoztatását, és az adatfeldolgozókkal is betartatja ezeket a kötelezettségeket.
Jelen Szabályzat hatálya alá tartozó adatkezelések minden esetben valamely, az adatkezelő által nyújtott szolgáltatáshoz kapcsolódnak, amely szolgáltatást az Érintett, mint ügyfél igénybe vesz, igénybe vett, vagy amely igénybevétele céljából az adatkezelővel kapcsolatba került.
Adatvédelem elve
Az Adatkezelő kiemelten fontosként kezeli a megadott személyes adatok védelmét, ezért megtesz minden ehhez szükséges, elvárható és a technika mindenkori fejlettségéhez igazodó technikai és egyéb szervezési lépést, eljárást.
Az Adatkezelő a megadott személyes adatokat alapvetően digitálisan, a papír alapon felvett, rögzített személyes adatokat pedig papír alapon is tárolja.
Az adatvédelmi incidens megelőzése, illetve elhárítása érdekében az Adatkezelő különösen az alábbi technikai, szervezési intézkedéseket biztosítja:
a) jelszavakkal és titkosítási eljárásokkal megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, valamint a jogosulatlan adatbevitelt, adatmódosítást, adattörlést;
b) a papír alapon kezelt személyes adatokat védett, zárt helyiségben, illetve zárható szekrényben tárolja.
X. AZ ADATKEZELÉS JOGALAPJA
A személyes adatok kezelése kizárólag akkor, és annyiban jogszerű, amennyiben:
a) az Érintett hozzájárulását adta személyes adatainak, egy vagy több konkrét célból történő kezeléséhez, vagy
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges (a-b) az Érintett hozzájárulása),
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (kötelező),
d) az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges,
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
A. Érintett hozzájárulása Az Adatkezelő az Érintett személyes adatait elsősorban az Érintett hozzájárulása alapján kezeli. A hozzájárulás az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. Különleges adatok esetében szükséges az írásos forma.
Az érintett hozzájárulása alapján történő adatkezelés esetén az Érintett a személyes adatainak kezeléséhez való hozzájárulását a következő formában adhatja meg:
a) írásban, személyes adatkezeléshez hozzájárulást adó nyilatkozati formában,
-1. számú melléklet MINTA Hozzájárulás személyes adatok kezeléséhez,
-2. számú melléklet MINTA Hozzájárulás Hírlevél, DM célú adatkezeléshez
b) elektronikus úton,
az Adatkezelő internetes weboldalán megvalósított kifejezett magatartásával, jelölőnégyzet kipipálásával, vagy ha az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
Hozzájárulás feltételei:
-A hozzájárulásnak egyértelműnek kell lennie, önkéntesnek, mely megfelelő tájékoztatáson alapul.
-Az adatkezelőnek képesnek kell lennie annak igazolására, hogy az Érintett személyes adatainak kezeléséhez hozzájárult.
-Amennyiben az Érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel.
Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
A gyermek hozzájárulására vonatkozó feltételek
-Közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte.
-A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte
-Korlátozottan cselekvőképes kiskorú tag jognyilatkozatának érvényességéhez a törvényes képviselője beleegyezése szükséges.
B. Szerződés teljesítése
A szerződés megkötésekor megadott személyes adatok kezelése az Adatkezelő számára szükségesek a szerződés teljesítéséhez. Az adatok kezeléséhez fűződő érdek mindaddig fennáll, amíg a teljesített szerződéshez kapcsolódóan jogos érdekek érvényesítésére sor kerülhet – a szerződés teljesítését követő általános öt éves polgári jogi igényérvényesítési határidő lejártáig.
Kizárólag a szerződés teljesítéséhez ténylegesen szükséges személyes adatokra vonatkozik a felhatalmazás (így például a kapcsolattartó telefonszáma a jogviszony megszűnését követően mindenképpen törlendő).
C. Kötelező Jogszabályi előírás és az Érintett, illetve más természetes személy létfontosságú érdekeinek védelme
Az Adatkezelés kötelező, ha a személyes adat kezelését jogszabály írja elő, akkor az Érintett hozzájárulása a személyes adatainak kezeléséhez nem szükséges. Erről az Adatkezelő az Érintettet tájékoztatja.
A hatályos jogszabály(ok) alapján az Adatkezelő, mint az adatok-kezelője köteles a jogszabály rendelkezéseit végrehajtani, nem vizsgálhatja a jogszabály célszerűségét, szakszerűségét, alkotmányosságát.
Az adatkezelő jogi kötelezettség teljesítése címén az Érintett hozzájárulásának visszavonását követően jogosult kezelni azon adatkört, amely valamely rá vonatkozó jogi kötelezettség teljesítése végett szükséges.
D. Közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása, az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése.
Az Adatkezelő, vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az Érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az Adatkezelővel való kapcsolata alapján az érintett ész-szerű elvárásait.
Például:
Az ilyen jogos érdekről lehet szó olyankor, amikor megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.
A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában, és azzal összefüggésben számíthat-e ész-szerűen arra, hogy adatkezelésre az adott célból kerülhet sor.
Az Érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.
E. Egyéb jogalap(ok)
Érintett hozzájárulásának beszerzése lehetetlen
Személyes adat kezelhető akkor is, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
Amennyiben a személyes adat kezelésére ezen jogalapból kerül sor, az Adatkezelő tájékoztatja az Érintettet.
Az Érintett cselekvőképtelen
Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek.
16. életévét betöltött kiskorú
A 16. életévét betöltött kiskorú Érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
Szerződés végrehajtása
Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
Amennyiben az adatkezelés egyéb jogalapon alapul, az Adatkezelő az Érintettet tájékoztatja az adatkezelést megalapozó jogi kötelezettségről, védendő érdekről. A tájékoztatásra a kapcsolatfelvételkor, vagy az Érintett kérésére kerül sor.
XI. A SZABÁLYZAT MINŐSÍTÉSE, KEZELÉSE
Jelen Szabályzat a kapcsolódó dokumentumokkal, feljegyzésekkel együtt az Adatkezelők üzleti titkát képezi. Ezen dokumentumok, feljegyzések kezelésénél a jelen Szabályzatban meghatározott eljárások az alkalmazandók, illetve a minősítéssel összhangban az Iratkezelési Szabályzatban meghatározott tárolási, kezelési eljárásokat kell alkalmazni.
XII. SZERVEZETI FELÉPÍTÉS, SZOLGÁLTATÓI HÁTTÉR
12.1. Szabályzat megvalósításához tartozó belső szervezeti felépítés
Ezen fejezetben találhatóak, az egyes munkakörökre, pozíciókra vonatkozó adatvédelemmel, adatkezeléssel kapcsolatos jogok és kötelezettségek, illetve felelősségi körök meghatározása.
12.1.1. Vezető tisztségviselők
A vezető tisztségviselők az Adatkezelők operatív vezetői. Az Infotv. rendelkezése értelmében az Adatkezelő vezetőjének kell kineveznie vagy megbíznia a közvetlen irányítása alá tartozó, Adatvédelmi Belső Felelőst, illetve ha szükséges az Adatvédelmi Tisztségviselőt (DPO-t). Az Adatkezelő részéről bármilyen jogviszonnyal összefüggésben kezelt, illetve keletkezett adatok védelmére és kezelésére vonatkozó szabályok kidolgozásáért, valamint a Szabályzatban rögzített előírások betartatásáért, az előírt szabályok betartásának ellenőrzéséért, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóságtól („Hatóság”) érkező megkeresésekkel, ajánlásokkal kapcsolatos intézkedések megtételéért az Adatkezelő vezetője a felelős.
12.1.2. Belső adatvédelmi felelős Az Adatvédelmi Belső Felelőst (a továbbiakban: „AVF”) közvetlenül az Adatkezelő vezetője alá rendelt, adatvédelmi ismeretekkel rendelkező személy, aki az adatkezelő saját adatvédelmi szempontú működését hivatott megteremteni a szabályozás kidolgozása, oktatási anyag összeállítása, ellenőrzés végrehajtása, és a szükséges korrekciós javaslatok előterjesztése által.Az AVF-nek, a törvény által előírt jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező személy nevezhető ki. Nem nevezhető ki adatvédelmi felelősnek olyan személy, akinek a munkaköre összeférhetetlen az AVF jelen Szabályzatban részletezett tevékenységével.
Az AVF fő feladata az Adatkezelő adatvédelemmel kapcsolatos tevékenységének szakmai szempontok szerinti irányítása, felügyelete, ellenőrzése, a jogvédelem, jogérvényesítés elősegítése, szakmai segítségnyújtás, valamint az adatbiztonság biztosítása, melynek keretén belül a következő feladatokat köteles ellátni.
3. számú melléklet: Adatkezelésre kijelölt személyek
Jelen Szabályzathoz kapcsolódóan:
Jelen Szabályzatot rendszeresen, szükség esetén soron kívül, de legalább két évente köteles felülvizsgálni, vagy a felülvizsgálat elvégzéséről gondoskodni.
A Szabályzat felülvizsgálatának szempontjai:
-a Szabályzat megfelel-e a hatályos jogszabályi előírásoknak, a jogszabályi változások érintik-e a Szabályzatot,
-a Szabályzat összhangban van-e az Adatkezelő belső adatkezelési gyakorlatával,
-tervezett-e a Szabályzatba nem kezelt újabb adatkezelési tevékenység bevezetése.
Az adatkezelés menedzsmentjéhez kapcsolódóan:
a) kapcsolattartás a munkatársakkal a megvalósult és tervezett adatkezelések, illetve ezeket érintő jogszabályváltozások tekintetében,
b) az adatvédelemhez kapcsolódó jogszabályok változásainak folyamatos figyelemmel kísérése,
c) önkéntes hozzájáruláson alapuló adatkezelés esetén az érintett hozzájáruló nyilatkozatát tartalmazó dokumentum elkészítése, nyilatkoztatás feltételeinek, kialakítása,
d) az Adatkezelő adatkezelései során a célhoz kötöttség alapelv érvényesülésének folyamatos vizsgálata szúrópróbaszerű ellenőrzésekkel;
e) az adatkezelés jogalapjának megszűnése esetén az adatok törlésének végrehajtásáról való gondoskodás,
f) az adatkezeléshez, adatfeldolgozáshoz használt rendszerek, eszközök, technikák ellenőrzése, melynek során az AVF vizsgálja, hogy ezen berendezések, eszközök, technikák biztosítják-e a jelen szabályzatban rögzített követelmények érvényesülését,
g) az adatkezelési és adatfeldolgozói tevékenység ellenőrzése, melynek során az AVF vizsgálja a jelen szabályzatban rögzített követelmények érvényesülését.
h) a bevezetendő új adatkezelések vonatkozásában az adatkezelés megkezdése előtt gondoskodik a Szabályzat esetleges módosításáról, és az adatvédelmi nyilvántartásba történő bejelentésről.
i) amennyiben bejelentett adatkezelés változik, akkor az Infotv. 65. § (1) b)-j) pontja szerint a változás bekövetkezésétől számított 8 napon belül köteles változásbejegyzési kérelmet benyújtani, amely beadványnak csak a megváltozott adatokat kell tartalmaznia.
j) a kezelt adatok körét, az adatkezelés célját, jogalapját, időtartamát, az igénybe vett adatfeldolgozói nevét, címét, az adattovábbításokat is tartalmazó, „adatkezelési tábla” folyamatos, naprakész változáskövetést tartalmazó vezetése.
Az érintettek jogai érvényesülésének vonatkozásában
a) biztosítani az érintettek tájékoztatáshoz, helyesbítéshez, törléshez való jogát, valamint tiltakozási jogának érvényesülését,
b) az érintettek tájékoztatási kérésére megfelelő ügyintézési határidőn belül válasz biztosítása,
c) az elutasított tájékoztatás kérések adatainak gyűjtése.
Az érintettek tájékoztatási rendszerének, koncepciójának vonatkozásában
a) az adatkezeléssel kapcsolatos tájékoztatóknak az elkészítése, módosítása, felülvizsgálata annak biztosítása érdekében, hogy ezen dokumentumok megfeleljenek a vonatkozó jogszabályi előírásoknak, illetve jelen szabályzat előírásainak.
Az Adatvédelmi Hatósággal kapcsolatosan
a) az Adatvédelmi Hatóság megkereséseire az általa meghatározott határidőn belül válaszolni,
b) az elutasított tájékoztatás kérésekről tárgyévet követő január 31-ig a Hatóságot írásban értesíteni,
c) az Adatvédelmi Hatóság által megrendezett AVF-ek konferenciáján személyesen részt venni,
d) az Adatvédelmi Hatósági nyilvántartásba történt bejelentések folyamatos aktualizálását biztosítani.
Továbbá
a) évente, illetve szükség szerint gondoskodni az adatkezelésben, adatfeldolgozásban résztvevő munkatársak képzéséről, az adatvédelmi ismeretek oktatásáról,
b) a munkatársak adatvédelmi tudatosságának fejlesztése,
c) törvénysértés esetén köteles a vezetőt írásban tájékoztatni a törvénysértés tényéről, annak körülményeiről, továbbá a törvénysértés megszüntetésére, helyesbítő, és javító intézkedésekre vonatkozó javaslatokról,
d) nem-megfelelőség észlelése esetén a problémát véleményezni és jelezni az adatkezelésért felelős szervezeti egység vezetője, illetve az Adatkezelő vezérigazgatója felé,
e) a számára ismertetett új adatkezelés vagy adatfeldolgozási technológia bevezetése előtt az Adatkezelő vezérigazgatója figyelmének felhívása a bejelentési kötelezettségre, illetve a jelen Szabályzatnak vagy a jogszabályi előírásoknak való megfelelőségre,
f) köteles az egyes adatkezelésekkel kapcsolatos feladatok megvalósulásáról, azok ellenőrzéséről az előző év vonatkozásában évente egyszer az Igazgatóságnak és a Felügyelő Bizottságnak beszámolni.
12.1.3. Belső ellenőr
A belső ellenőr hatáskörében eljárva jogosult a jelen szabályzatban foglaltak betartását, végrehajtását ellenőrizni. Az Adatkezelő a jóváhagyott belső ellenőrzési terv szerint végzi munkáját. A tárgyban érintett ellenőrzések szempontrendszerébe a jelen Szabályzatban meghatározottak teljesülésének vizsgálatát be kell építeni.
12.1.4. Szervezeti egységek vezetői
a) felelősek azért, hogy az általuk vezetett szervezeti egységnél az adatkezelés jelen Szabályzatban meghatározottak szerint történjék,
b) felelősek azért, hogy a szervezeti egység által végzett adatfeldolgozások során az adatbiztonsági előírások maradéktalanul teljesüljenek,
c) köteles figyelemmel kísérni az adatvédelemmel kapcsolatos belső szabályzatokban foglalt rendelkezések szervezeti egységen belüli betartását, érvényesülését.
12.1.5. Személyes adatokat kezelő munkatársak Az Adatkezelő adatkezelést végző munkatársa fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok és gazdasági titok, valamint egyéb törvény által védett titok jogszerű kezeléséért, az Adatkezelő nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
Az Adatkezelő munkatársa:
a) felel az adatok a jogszabályok és a jelen Szabályzatnak megfelelő kezelésért, valamint az adatok pontosságáért, a változások nyomon követhetőségéért,
b) a tőle elvárható módon köteles gondoskodni arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá,
c) köteles a jelen Szabályzatot, a kapcsolódó szabályzatokat és egyéb dokumentumokat megismerni, betartani,
d) a jelen Szabályzatban foglaltak tudomásul vételét igazoló nyilatkozatot aláírni (pl: Oktatási jegyzőkönyv)
e) köteles jelen Szabályzatot és a hozzátartozó eljárásokat, dokumentumokat bizalmasan kezelni,
f) köteles minden olyan tényt, információt, amely a jelen Szabályzat megvalósulását befolyásolja, befolyásolhatja azonnal jelezni az AVF-nek, vagy az Adatkezelő vezetőjének,
g) köteles megtagadni minden olyan utasítás végrehajtását, amely ellentétes az adatkezelésre, adatvédelemre vonatkozó szabályzatokkal, eljárásrendekkel, illetve jogszabályokkal.
12.2. Külső szolgáltatókkal, adatfeldolgozókkal kapcsolatos rendelkezések
Az Adatkezelőnek külső szolgáltatókkal, adatfeldolgozókkal a szolgáltatás megkezdése előtt írásbeli szerződést kell kötni.
Az Adatkezelői szerződések megkötésekor, és azok megvalósulása során kiemelt figyelmet kell fordítani a jelen Szabályzat és a kapcsolódó szabályzatok előírásainak betartására, valamint törekedni kell arra, hogy a szerződéses tevékenységekben rejlő kockázatok minimalizálódjanak.
Az Adatkezelői szerződések jelen Szabályzatnak való megfelelőségéért a szerződés előkészítője felelős mindaddig, amíg az előkészítésbe az AVF-et nem vonja be. Az AVF szükségszerű bevonása a szerződés előkészítője a felelős. Az AVF kapcsolód véleményét dokumentálni szükséges.
4. számú melléklet: Adatfeldolgozói szerződés
5. számú melléklet: Egyéb szerződésbe kerülő adatvédelmi pontok
XIII. SZOLGÁLTATÓ ADATKEZELÉSE
13.1. Az Érintett személye
a.) Ügyfelek:
Az Adatkezelő elsősorban azon természetes személyek adatait kezeli, akik vele ügyfélkapcsolatban állnak, így az adatkezelő által nyújtott szolgáltatást szerződés alapján igénybe veszik. Az Adatkezelő kezeli továbbá azon személyek adatait, akikkel korábban ügyfélkapcsolatban állt (volt Ügyfelek).
b.) Egyéb Érintettek
Az Adatkezelő kezeli azon természetes személyek adatait is, akik az Adatkezelővel ügyfélkapcsolatba kívánnak lépni, és emiatt szolgáltatások igénybevétele céljából megkeresik. A szolgáltatásra vonatkozó szerződés megkötéséig az ügyfélkapcsolat nem jön létre, ugyanakkor az Érintettek adataikat az Adatkezelő rendelkezésére bocsátják, elsősorban annak érdekében, hogy az Adatkezelő a jogviszony létesítéséről megalapozott döntést hozhasson.
Az Adatkezelő ezen túlmenően kezeli azon természetes személyek adatait is, akik az Adatkezelő és az ügyfelek közötti szerződéssel érintettek, és akik adatai kezelése a szerződés teljesítéséhez szükséges (meghatalmazott, kapcsolattartó stb.).
13.2. A kezelt adatok köre
a) Természetes személyazonosító adatok:
Ezen adatok kezelésének célja az Érintett egyértelmű azonosítása és a kapcsolattartás. Az Adatkezelő kezeli az Érintett következő adatait: név, születési név, anyja neve, születési hely, idő, állampolgárság, lakcím, postacím, személyi igazolvány (útlevél) száma, egyéb, a személyazonosság igazolására a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény szerint alkalmas igazolvány száma.
b) Az Érintettel való kapcsolattartáshoz szükséges telefonszámok és egyéb elérhetőségi adatok: Amennyiben az Érintett megadja, az Adatkezelő kezeli a kapcsolattartáshoz szükséges telefonszámait és elektronikus levelezési címét.
c) Okmányok másolata és adatai: Az Adatkezelő az egyes, adatokat igazoló okmányokról az adathelyesség megállapítása és a jogszabályi előírások végrehajtása érdekében másolatot készít kötelező adatkezelés, vagy az Érintett hozzájárulása alapján.
d) Az igénybe vett, vagy igénybe venni kívánt szolgáltatásra vonatkozó szerződés megkötéséhez, a szerződésről való döntéshez szükséges adatok: Amennyiben az Érintett az Adatkezelővel szerződést kíván kötni, az Adatkezelő a szerződéskötés előtt – az irányadó szerződési feltételeknek megfelelően – jogosult megvizsgálni azt, hogy az Ügyféllel / Egyéb Érintettel a szerződés megköthető-e. Amennyiben a szerződő fél nem az Ügyfél, az Érintett adatai a szerződés előkészítésével és a szerződésről való döntéssel összefüggésben kezelhetők.
e) Az igénybe vett szolgáltatás nyújtásával és igénybevételével összefüggésben keletkezett adatok: Az Adatkezelő a szerződés alapján nyújtott szolgáltatással összefüggésben keletkezett adatokat az irányadó szerződési feltételekben és jogszabályokban meghatározottak szerint kezeli.
f) Az Adatkezelő és az Ügyfelek között fennálló vagy megszűnt szerződésekből származó igényekre, ezek érvényesítésére vonatkozó adatok: A már megszűnt szerződésekből az irányadó jogszabályok alapján származhatnak igények, az ezzel kapcsolatos, esetleges igényérvényesítéshez szükséges adatokat, továbbá a jogszabály alapján kötelezően megőrzendő adatokat az Adatkezelő kezeli.
g) Az Adatkezelővel, az Adatkezelő ügyfélszolgálatával történő kapcsolatfelvétel során keletkezett adatok: Ebbe a körbe tartozik mindazon adat, amely az ügyfélkapcsolati eljárásokban, az Érintett és az Adatkezelő közötti kapcsolat során keletkezik és kerül az Adatkezelő kezelésébe. Az adatok kezelése ebben az esetben az Érintett által indított eljáráshoz kapcsolódnak, továbbá a szerződéshez, a szerződés teljesítéséhez szorosan kapcsolódnak.
h) Az Ügyfél, egyéb Érintett és az Adatkezelő között folytatott telefonbeszélgetés: Az Adatkezelő rögzíti és az irányadó jogszabályokban, továbbá az Ügyfelekkel megkötött szerződésekben meghatározottak szerint kezeli az Érintett és az ügyfélszolgálat közötti beszélgetésről készült hangfelvételt. Az Érintett a rögzítésről minden esetben a beszélgetés megkezdése előtt tájékoztatást kap.
XIV. EGYES ADATKEZELÉSEK
14.1. KAPCSOLAT FELVÉTELI CÉLBÓL MEGADOTT SZEMÉLYES ADATOK AZ ADATKEZELŐK ÁLTAL ÜZEMELTETETT HONLAPOKON - REGISZTRÁCIÓ
A Szolgáltatás használata bizonyos körben (azonban nem teljes körűen) regisztráció, vagyis személyes azonosításra alkalmas adatok megadása nélkül is lehetséges, a Szolgáltatáson elérhető szolgáltatások egy részének használata azonban regisztrációhoz, és így személyes adatok megadásához kötött. A regisztráció során az Adatkezelő egyértelműen jelzi a kötelezően és opcionálisan megadandó adatokat. A kötelezően megadandó adatok szükségesek a szolgáltatás biztonságos és jogszerű nyújtásához és használatához. A felhasználó természetesen hozhat olyan döntést, hogy bizonyos adatokat nem kíván megadni, ez azonban azt eredményezheti, hogy a felhasználó bizonyos szolgáltatásokat nem vehet igénybe. Az adatszolgáltatás tehát a regisztráció vonatkozásában önkéntes.
adatkezelés jogalapja:
•GDPR 6. Cikk (1) bek. a.) pont Érintett hozzájárulása,
•GDPR 6. Cikk (1) bek. b.) pont az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges
adatkezelés célja:
• Kapcsolatfelvételi lehetőség biztosítása arra, hogy az Adatkezelő közvetlenül vehesse fel a kapcsolatot az Érintettel az Érintett erre vonatkozó, kifejezett kezdeményezésére.
• A nyújtott szolgáltatások és üzleti ajánlat vonatkozásában adandó üzleti tájékoztatás, üzleti kommunikáció folytatása.
kezelt adatok köre:
• A közvetlen kapcsolat felvételét kezdeményező Érintett neve, e-mail cím, kapcsolati telefonszáma,
• Érintett adószáma (amennyiben a kapcsolat felvételét az Érintett jogi személyként kezdeményezi)
(A kapcsolat felvételéhez kötelezően megadandó személyes adat. Megadása hiányában a kapcsolatfelvételre nem tud sor kerülni)
• A kapcsolat-felvételi adatlap „Üzenet” szövegdobozában az Érintett által esetlegesen megadott további személyes adatok (A szövegmező a kapcsolat felvételéhez NEM kötelezően töltendő. Tartalmát az Érintett maga alakítja ki és határozza meg)
adatok forrása: Érintett
adattárolás határideje: A szerződéses jogviszonyból fakadó követelések elévülési ideje (5 év)
adattárolás módja: elektronikus és papír alapú
adattovábbítás: A közzétett kiszervezetti tevékenységet végzők, illetőleg az adatfeldolgozókról szóló általános szerződési feltételi dokumentumokban foglaltak szerint.
14.2. SZERZŐDÉSES JOGVISZONY LÉTREHOZÁSA ÉS SZERZŐDÉS, ILLETVE SZOLGÁLTATÁS TELJESÍTÉSE (ÁLTALÁNOS CÉL)
adatkezelés jogalapja:
•GDPR 6. Cikk (1) bek. a.) pont Érintett hozzájárulása,
•GDPR 6. Cikk (1) bek. b.) pont az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges
adatkezelés célja:
• a nyújtott szolgáltatások és üzleti ajánlat vonatkozásában adandó üzleti ajánlat,
• A szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele, szerződéskötés, szerződés teljesítése
kezelt adatok köre: Azonosító adatok, kapcsolattartási adatok
adatok forrása: Érintett
adattárolás határideje: A szerződéses jogviszonyból fakadó követelések elévülési ideje (5 év)
adattárolás módja: elektronikus és papír alapú
adattovábbítás: A közzétett kiszervezetti tevékenységet végzők, illetőleg az adatfeldolgozókról szóló általános szerződési feltételi dokumentumokban foglaltak szerint.
14.3. KOCKÁZAT-MEGELŐZÉS ÉS KEZELÉS CÉLJÁBÓL VÉGZETT ADATKEZELÉS
Az Adatkezelők a szolgáltatásra irányuló szerződés megkötése előtt jogosultak ellenőrizni, hogy a szerződni kívánó fél (leendő Ügyfél) részére történő szolgáltatásnyújtás milyen kockázattal jár. Ennek érdekében az Adatkezelők jogosultak az Érintettől a kockázatértékelés céljából adatokat, dokumentumokat kérni, és jogosultak azokat elemezni, ellenőrizni, jogosultak továbbá a rendelkezésére álló adatállományokat az elemzés és ellenőrzés céljából felhasználni.
adatkezelés jogalapja: • GDPR 6. Cikk (1) bek. a.) pont az Érintett hozzájárulása
adatkezelés célja: • Szolgáltatási tevékenységgel kapcsolatos feladatok ellátásához szükséges adatok kezelése
kezelt adatok köre: név, cím, levelezési cím, adószám, cégjegyzékszám, telefonszám, e-mail cím
adattárolás határideje: az adatkezelési cél megszűnését követő 8 év a számviteli törvény alapján
adattárolás módja: elektronikus és papír alapú
14.4. EGYES AZONOSÍTÓK KEZELÉSE
Az Adatkezelők jogosultak kezelni azon azonosítókat, amelyek szükségesek a jogszabályokban előírt kötelezettségek teljesítéséhez. Amennyiben az Érintett és az Adatkezelők között olyan jogviszony jön létre, amely kapcsán az Adatkezelőknek, vagy valamelyik Adatkezelőnek adókötelezettsége – ideértve az adatszolgáltatási kötelezettséget is – keletkezik, az Adatkezelők jogosultak kezelni az Érintett adóazonosító jelét.
adatkezelés jogalapja:
•GDPR 6. Cikk (1) bek. a.) pont az Érintett hozzájárulása
adatkezelés célja: • Szolgáltatási tevékenységgel kapcsolatos feladatok ellátásához szükséges adatok kezelése
kezelt adatok köre: név, cím, levelezési cím, adószám, cégjegyzékszám, telefonszám, e-mail cím
adatkezelés időtartama: az adatkezelési cél megszűnését követő 8 év a számviteli törvény alapján
adattárolás módja: elektronikus és papír alapú
14.5. SZERZŐDÉSES PARTNEREKRE VONATKOZÓ ADATKEZELÉS - ÜZLETI PARTNEREK KAPCSOLATTARTÓI ADATAINAK KEZELÉSE
Szerződés teljesítése, kapcsolattartás:
Az Adatkezelők, valamint a jogi személy szerződéses partnerei között létrejött szerződés teljesítése, valamint az abból származó, a Polgári Törvénykönyvről szóló 2013. évi V. törvényből származó 6:62. § rendelkezése szerinti együttműködési és tájékoztatási kötelezettség megkívánja, hogy kapcsolattartásra szolgáló adatok kerüljenek átadásra a szerződő felek között.
A személyes adatokat harmadik személy részére csak jogi szempontból indokolt esetekben lehet kiadni, amennyiben ez szerződő partnerek jogainak, vagy jogos követeléseinek gyakorlásához szükséges, vagy abban az esetben, ha Szerződés erről rendelkezik. Az adatot kiadó szerződő partner felel az adatok biztonságos kiadásáért a harmadik személy részére.
Az adatokat kezelő szerződő partnerek független adatkezelők a GDPR szerinti jelentésnek megfelelően, és ebben a tekintetben a másik Fél által a szolgáltatott személyes adatokat a GDPR-ral összhangban védik a Szerződés teljesítése érdekében. Az Adatkezelő számos üzleti partnernek nyújtanak szolgáltatást. E cégekkel, társaságokkal rendszeres kapcsolatot tartanak együttműködésük érdekében. Az üzleti partnerek kapcsolattartó adatait az Adatkezelők a következők szerint kezeli. Az Adatkezelő Társaságok és a velük szerződéses jogviszonyba kerülő személyek, társaságok által a megkötött szerződésben kapcsolattartó személyek kerülnek kijelölésre a Szerződés teljesítésével kapcsolatos valamennyi ügy megfelelő és hatékony rendezése érdekében. Az Adatkezelő Társasággal szerződéses jogviszonyba kerülő személy, társaság maga jelöli ki a kapcsolattartójának a személyét.
adatkezelés jogalapja:
•GDPR 6. cikk (1) bek. b.) pontja alapján az Adatkezelő és a szerződő partnere között létrejött szerződés teljesítése
•GDPR 6. cikk (1) bek. f) pont) jogos érdek, ahhoz, hogy a vele szerződéses jogviszonyba kerülő társaságok a szerződés tartama alatt kapcsolatot tudjon tartani
adatkezelés célja: üzleti kapcsolatok fenntartása, erősítése
kezelt adatok köre: kapcsolattartó személy neve, telefonszáma, e-mail címe
adatok forrása: Társasággal szerződéses jogviszonyba kerülő társaság által kijelölt személy adatkezelés időtartama: a szerződéses kapcsolatfennállását követő 2. év végéig
adattárolás módja: elektronikus és papír alapú
adat megismerés: azon személyek, osztályok, intézmények részére, amelyek/ akik az adatokat jogilag indokolt okokból kezelik, a szerződéses felek jogának vagy jogos követeléseinek érvényesítése céljából.
14.6. UNIYOU APPLIKÁCIÓ
adatkezelés jogalapja:
• GDPR 6. Cikk (1) bek. a.) pont az Érintett hozzájárulása
• GDPR 6. Cikk (1) bek. b.) pont az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél
adatkezelés célja: A szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele; és szerződés teljesítése
kezelt adatok köre: Kapcsolattartási adatok, azonosító adatok, a szerződés teljesítéséhez, nyilvántartásához szükséges adatok
• Vezetéknév, keresztnév, e-mail cím, telefonszám, az érintett neme, születési dátuma, születési neve, végzettsége, állampolgársága, tartózkodási helye, levelezési címe, fő foglalkozása, valamint az ezen területen szerzett szakmai tapasztalata, egyéb foglalkozása, továbbá az ezen területen szerzett szakmai tapasztalata, nyelvtudása, fénykép, önéletrajz (képzettségi adatokkal és a korábbi munkahelyek adataival), jogosítvány, rendelkezik-e gépjárművel, személyi igazolvány száma, motivációs levél, általános ráérés, mikortól és hol szeretne dolgozni, milyen munka érdekli.
• Az iskolaszövetkezet tagjaként végzett személyes közreműködéssel összefüggésben: diákigazolvány száma, érvényességi ideje, a regionálisan illetékes Adatkezelő részére történő bemutatásának dátuma, TAJ-szám, adóazonosító jel, legmagasabb iskolai végzettség, bankszámlaszám, üzemorvosi alkalmassági vélemény, tüdőszűrő eredmény amennyiben az ellátandó feladat jellege megköveteli.
Az iskolaszövetkezet tagjaként végzett személyes közreműködéssel, feladatellátással összefüggésben: munkavégzés helye, kezdő- és befejezési ideje, melyik irodában regisztrált, belépés dátuma, keretszerződés kezdete és vége, kilépés dátuma, tagi befizetés összege és módja, kifizetés összege és módja, eseti szerződés időtartama, munkavégzés és annak helye megjelölése a megbízó feltüntetésével, ellátandó feladat (munkakör), napi munkaidő, megbízási díj összege, valamint a munkaruha/egyéni védőeszköz viseléséhez szükséges személyes adatok (magasság, testsúly, lábméret).
adatok forrása: Érintett
adattárolás határideje: A szerződéses jogviszonyból fakadó követelések elévülési ideje (5 év)
adattárolás módja: elektronikus és papír alapú
14.7. AZ ISKOLASZÖVETKEZETI TAGOK ADATAINAK KEZELÉSE
A tagi megállapodás aláírásával iskolaszövetkezeti taggá váló Érintettek esetében a megadott személyes adatok kezelése a megállapodás végrehajtásához szükséges. A tagok részére a Adatkezelő rendszeres munkavégzési lehetőséget biztosít, ezzel összefüggésben – a szükséges mértékben – kezeli a tagok személyes adatait.
adatkezelés jogalapja: • GDPR 6. Cikk (1) bek. b.) pont az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél
adatkezelés célja: álláslehetőségek felajánlása, munkavégzési lehetőség biztosítása
kezelt adatok köre: • Vezetéknév, keresztnév, e-mail cím, telefonszám, az érintett neme, születési dátuma, születési neve, végzettsége, állampolgársága, tartózkodási helye, levelezési címe, fő foglalkozása, valamint az ezen területen szerzett szakmai tapasztalata, egyéb foglalkozása, továbbá az ezen területen szerzett szakmai tapasztalata, nyelvtudása, fénykép, önéletrajz (képzettségi adatokkal és a korábbi munkahelyek adataival), jogosítvány, rendelkezik-e gépjárművel, személyi igazolvány száma, motivációs levél, általános ráérés, mikortól és hol szeretne dolgozni, milyen munka érdekli.
• Az iskolaszövetkezet tagjaként végzett személyes közreműködéssel összefüggésben: diákigazolvány száma, érvényességi ideje, a regionálisan illetékes Adatkezelő részére történő bemutatásának dátuma, TAJ-szám, adóazonosító jel, legmagasabb iskolai végzettség, bankszámlaszám, üzemorvosi alkalmassági vélemény, tüdőszűrő eredmény amennyiben az ellátandó feladat jellege megköveteli.
• Az iskolaszövetkezet tagjaként végzett személyes közreműködéssel, feladatellátással összefüggésben: munkavégzés helye, kezdő- és befejezési ideje, melyik irodában regisztrált, belépés dátuma, keretszerződés kezdete és vége, kilépés dátuma, tagi befizetés összege és módja, kifizetés összege és módja, eseti szerződés időtartama, munkavégzés és annak helye megjelölése a megbízó feltüntetésével, ellátandó feladat (munkakör), napi munkaidő, megbízási díj összege, valamint a munkaruha/egyéni védőeszköz viseléséhez szükséges személyes adatok (magasság, testsúly, lábméret).
adatok forrása: Érintett
adattárolás határideje: A munkaügyi iratnak nem minősülő személyes adatokat az Adatkezelő a következő időpontokig kezeli:
• A tagsági jogviszony megszüntetése esetén a tagsági jogviszony végétől számított 6. év végéig kezeli az Adatkezelő a munkaügyi iratnak nem minősülő iratokat.
• Amennyiben az érintett a tagsági jogviszonyát nem szűnteti meg, úgy az utolsó teljesítési (munkavégzési) naptól számított 6. év végéig, kivéve a tagsági jogviszonnyal összefüggésben kötelezően kezelendő adatokat.
Az Adatkezelő tájékoztatja az érintettet, hogy a munkaügyi iratnak minősülő dokumentumokat nem selejtezi, azokat jogszabályi rendelkezés alapján köteles megőrizni. Munkaügyi iratnak minősülnek a következő személyes adatokat tartalmazó iratok:
• Belépési adatlap, Hosszabbítási adatlap, Kilépő adatlap, Tagsági megállapodás, Eseti szerződés, Megbízói tájékoztató, Átvételi nyilatkozat, Munkavédelmi teszt, Kölcsönszerződés, Részjegybefizetési igazolás, Adatváltozás nyilatkozat, Orvosi alkalmassági, Tüdőszűrő eredmény, Diákigazolvány másolat, Iskolalátogatási igazolás, Pénztárfelelősségi nyilatkozat, Titoktartási nyilatkozat, Kiegészítő megállapodások konkrét munkákhoz, Jelenléti ív, Bérszámfejtési összesítő.
adattárolás módja: elektronikus és papír alapú
adatátadás:
• A kezelt személyes adatokat az Adatkezelő szervezetén belül kizárólag az erre felhatalmazott, munkakörükben érintett munkavállalói ismerhetik meg.
• A tagok személyes adatait továbbá az adatfeldolgozók kijelölt munkatársai ismerhetik meg.
• Az iskolaszövetkezeti tagok egyes személyes adatait átadjuk a diákmunkát kereső megbízóinknak. továbbított adatok: Az átadott személyes adatok a következők: a tag neve, születési helye és ideje, anyja neve, üzemorvosialkalmassági véleménye, tüdőszűrő igazolása, TAJ száma, adóazonosító jele, állandó lakcíme, bankszámlaszáma, továbbá az érintett önéletrajza, valamint az abban foglalt, az érintett által feltüntetett további személyes adatok. A fentiek alapján címzettnek minősülnek azon megbízóink, akik szerződést kötöttek az Adatkezelővel iskolaszövetkezeti szolgáltatásigénybevételére.
Adatfeldolgozó: ExpertConsult Tanácsadó Zrt. (Székhely: 1203 Budapest, Széchenyi utca 9. C. ép. Fsz. 29. ajtó, Cégjegyzékszám: 01-10-141219)
Adatkezelés időtartama: A megbízási/adatfeldolgozói szerződés fennállásáig, de maximum az Adatkezelőt a számviteli törvény szerint terhelő 8 év (Szt. 169.§) iratmegőrzési idő.
Az adatfeldolgozás tárgya:
Az Adatkezelővel, mint megbízóval jogviszonyban levő érintett természetes személyek adatainak kezelése, az Adatkezelő számviteli bizonylatainak feldolgozása révén.
Az adatkezelés jellege és célja:
Az Adatkezelőt, mint megbízót terhelő adó-, járulék-, számviteli kötelezettségek teljesítése, ideértve a főkönyvi nyilvántartások vezetését, az összesítő feladások készítését, a beszámoló összeállítását, a beszámolóban, a könyvviteli nyilvántartásokban szereplő adatok elemzését, a gazdasági döntéseket megalapozó következtetések levonását is. Munkajogi és bérszámfejtési feladatok elvégzése. Az Adatfeldolgozó garantálja, hogy az általa a megbízás keretében kezelt személyes adatokat más célból nem kezeli, nem használja fel.
Személyes adatok köre:
a) Személyazonosító adatok (ideértve az előző nevet és a titulust is), neme, állampolgársága, a természetes személy adóazonosító jele, társadalombiztosítási azonosító jele (TAJ szám), adószáma, egyéni vállalkozói igazolvány száma, őstermelő azonosító száma.
b) Egészségügyi adatok, szakszervezeti tagságra utaló személyes adatok amennyiben ahhoz a Munka Törvénykönyve munkajogi következményt, vagy adótörvény adójogi következményt fűz – a Rendelet 9. cikk /2/ b) pontja alapján.
Az érintettek köre:
Az Adatkezelő munkavállalói, foglalkoztatottjai, juttatásban részesülők, iskolaszövetkezeti tagok, szerződő felei (szállítók, vevők), törvényben írt esetekben a munkavállalók családtagjai.
Az adatfeldolgozás elvégzését követően az Adatfeldolgozó a feldolgozott számviteli bizonylatokat legkésőbb a tárgyévet követő év május 31-ig visszaszolgáltatja az adatkezelőnek, az elektronikusan kezelt adatokat, listákat, nyilvántartásokat az adatkezelővel fennálló jogviszonya megszűnéséig, de legkésőbb a számviteli törvényben előírt bizonylatmegőrzési időig – 8 évig – (Szt. 169.§) tárolja.
14.8. PANASZKEZELÉS
A szóbeli panaszt az Érintett személyesen az Adatkezelő irodájában, illetve telefonon ügyfélfogadási időben tehet. Az írásbeli panasz előterjesztésére papír alapon, telefaxon, illetve elektronikus levél útján van lehetőség.
adatkezelés jogalapja:
• GDPR 6. Cikk (1) bek. c.) pont Jogi kötelezettség teljesítése
• GDPR 6. Cikk (1) bek. b.) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél
adatkezelés célja: Jogszabályban előírt jogi kötelezettség teljesítése
kezelt adatok köre: Név; Telefon/e-mail; Panasz tárgya és tartalma; panaszos által becsatolt dokumentumok
adatok forrása: Érintett
adattárolás határideje: A panasz benyújtásától számított 5 év
adattárolás módja: elektronikus és papír alapú
adattovábbítás: Fogyasztóvédelmi hatóság, Békéltető testület
14.9. TELEFONBESZÉLGETÉSEK RÖGZÍTÉSE:
Az Adatkezelő a telefonon megbízást adó, vagy vele telefonon kapcsolatot felvevő Érintettel folytatott telefonbeszélgetést, illetőleg az Adatkezelő által kezdeményezett bármely telefonhívást jogosult hangfelvételen rögzíteni, és az ilyen hangfelvételt panaszkezelési, igényérvényesítési, elszámolási és biztonsági célból jogosult tárolni és felhasználni. A hangfelvételek tárolására a jogszabályok rendelkezéseinek megfelelően kerül sor.
adatkezelés jogalapja: • GDPR 6. Cikk (1) bek. a) az Érintett hozzájárulása,
adatkezelés célja: Panasz-kezelés, Ügyfelek és az Adatkezelő jogainak érvényesítése, megállapodások bizonyítása
Kezelt adatok köre: név, telefonszám, hívás dátuma és időpontja, telefonbeszélgetés hangfelvételét, beszélgetés alatt megadott személyes adatokat
adattárolás határideje: a panasz megválaszolásától számított fogyasztóvédelmi törvény szerinti 5 év (Fgytv. 17/A. § (7) bekezdés)
adattárolás módja: elektronikus
14.10. SZERZŐDÉSES VISZONYBÓL FAKADÓ VITÁK RENDEZÉSE - KÖVETELÉSKEZELÉS
Az Adatkezelőknél követeléskezelő tevékenységét saját munkatársak végzik. A hátralékkal rendelkező Érintettek/ügyfelek részére fizetési felszólítást küldenek.
Szerződéses viszonyból fakadó viták rendezési tevékenységet szerződéses jogviszonyban álló követeléskezelők, jogi képviselők végzik.
adatkezelés jogalapja: GDPR 6. Cikk (1) bek. c.) pont Jogi kötelezettség teljesítése
adatkezelés célja: Jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges
kezelt adatok köre: Azonosító adtok, ügylet adatok, fizetési adtok, késedelemre vonatkozó pénzügyi adatok
adatok forrása: Érintett
adattárolás határideje: A szerződéses jogviszonyból fakadó követelések elévülési ideje (5 év)
adattárolás módja: elektronikus és papír alapú
adattovábbítás: szerződéses jogviszonyban álló követeléskezelők, jogi képviselők
14.11. INFORMATIKAI TEVÉKENYSÉGGEL KAPCSOLATOS ADATKEZELÉS
14.11.1. HONLAP ÜZEMELTETÉS
Az Adatkezelők honlapja: https://www.uniyou.hu/A honlapokon automatikus adatgyűjtés (cookie/sütik, Google Analytics stb.) valósul meg.
A GDPR 29. cikk szerint létrehozott Adatvédelmi Munkacsoport a sütikhez való hozzájárulás alóli mentességről szóló 2012/4. számú véleménye (a továbbiakban: „2012/4. számú Vélemény „) alapján nem szükséges beszerezni a hozzájárulást az alábbi süti típusokhoz (hanem ezek alkalmazásáról elegendő csak tájékoztatást nyújtani):
• a felhasználó által rögzített adatokat tároló sütik („user-input cookies”),
• hitelesítési munkamenet-sütik („authentication cookies”),
• felhasználó központú biztonsági sütik („user centric security cookies”),
• multimédia-lejátszó munkamenet-sütik („multimedia player session cookie”),
• terheléskiegyenlítő munkamenet-sütik („load balancing session cookies”),
• a felhasználói felület testre szabását segítő munkamenet-sütik („user interface customization cookies”).
A jelen Tájékoztatóban feltüntetésre kerülnek azok a linkek, amelyen keresztül az érintett/felhasználók megismerhetik, hogy a leggyakrabban használt böngészők esetében (Mozilla Firefox, Google Chrome, Internet Explorer) hogyan találják meg a sütik kezelésére vonatkozó menüpontot, funkciót.https://support.mozilla.org/hu/kb/sutik-informacio-amelyet-weboldalak-tarolnak-szamihttps://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=huhttps://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies
Az Érintett felhasználók további információkat szerezhetnek a sütik szerepéről, és így még több figyelmet tudnak fordítani az online magánszféra megteremtésére az alábbi honlapokon:
• az Adatkezelő a Szabadságjogokért https://www.nopara.org/nyitooldal címen, vagy
• az Európai Interaktív Digitális Reklámszövetségnek a http://www.youronlinechoices.com/hu/ keresztül elérhető honlapja.
6. számú melléklet: Adatkezelési Tájékoztató honlapra
14.11.2. TECHNIKAI ADATOK (COOKIE) RÖGZÍTÉSE, VALAMINT STATISZTIKAI CÉLÚ ADATKEZELÉS
Amikor a látogató a weboldalt meglátogatja, egy kisméretű adatfájlt, úgynevezett cookie (továbbiakban: cookie vagy süti) kerül elhelyezésre a számítógépre, mely többféle célt szolgálhat.
Kizárólag az oldal működéséhez feltétlenül szükséges és munkamenet támogató, az egyes felhasználói munkamenetek azonosítására szolgáló, továbbá a weboldal kényelmesebb használatát elősegítő sütiket használunk.
Az általunk alkalmazott sütik egy része csak átmeneti és eltűnik a böngésző bezárásával, míg léteznek oly kényelmi sütik, melyek egy hónapig tárolódnak számítógépén, hogyha rendszeresen látogatja weboldalunkat, akkor a böngészője megjegyezze a korábban használt beállításait.
Az Adatkezelők honlapjai használata során az Érintett személyes adatain kívül technikailag rögzítésre kerülnek az Érintett számítógépének azon adatai (cookie-k), amelyek a honlapok használata során generálódnak, és amelyeket a honlapok megtekintésekor és elhagyásakor (az Érintett külön nyilatkozata vagy cselekménye nélkül) rögzít (naplóz). Ezen adatok célja a honlapok látogatottságával és használatával kapcsolatos statisztikák készítése, valamint átfogóan a honlapok informatikai rendszerének fejlesztése. Ezeket az adatokat az Adatkezelők (jogszabály által kötelezővé tett esetek kivételével) nem kapcsolják össze az Érintett személyes adataival, és azokhoz csak az Adatkezelők és a Rendszergazda munkatársai férnek hozzá. A cookie-t a saját számítógépéről az Érintett (a böngésző erre szolgáló menüpontjai segítségével) bármikor törölheti, illetve a böngészőben (jellemzően a „Segítség” funkcióval) beállíthatja a cookie-k alkalmazásának tiltását is. A cookie-k alkalmazásának tiltásával ugyanakkor a Felhasználó tudomásul veszi, hogy cookie-k nélkül a honlapok használata nem teljes értékű.
Az Adatkezelők honlapjain tett látogatások során cookie kerül küldésre a honlapot meglátogató Érintett gépére, így annak böngészője egyedileg azonosítható lesz. Az Érintett a honlapok böngészésére irányuló magatartásával, világos és egyértelmű tájékoztatást követően kifejezett (aktív) hozzájárulását adta. A sütik elsősorban a belépési folyamat automatizálása, élmény fokozása érdekében működnek. Társaság személyes adatkezelést e körben nem folytat.
A sütik feladata:
-információkat gyűjtenek a látogatókról és eszközeikről;
-megjegyzik a látogatók egyéni beállításait, amelyek felhasználásra kerül(het)nek pl. online tranzakciók igénybevételekor, így nem kell újra begépelni őket;
-megkönnyítik a weboldal használatát;
-minőségi felhasználói élményt biztosítanak.
A munkamenet (session) cookie-k
Ezen sütik feladata és célja, hogy a látogatók maradéktalanul és zökkenőmentesen böngészhessék a honlapot/weboldalt, használhassák funkcióit és szolgáltatásait. Ezen sütik érvényességi ideje a munkamenet (böngészés) befejezéséig tart, a böngésző bezárásával a sütik e fajtája automatikusan törlődik a böngészésre használt eszközről.
Használatot támogató kényelmi sütik
Ezek a sütik lehetővé teszik, hogy honlapunk megjegyezze, hogy milyen működési módot választott (például: a kereső eredmény listájában kapott találatok milyen rendezési mód alapján kerüljenek megjelenítésre). Ez annak érdekében történik, hogy a következő látogatás alkalmával ne kelljen újra és újra beállítania, hogy milyen rendezési elv szerint szeretné megtekinetni az oldalon megjelenített tartalmakat. A preferenciákat tároló sütikben lévő információk nélkül honlapunk kevésbé gördülékenyen ugyan, de működhet.
A kényelmi sütikben személyes adatokat nem rögzítünk, kizárólag egy azonosítószámot tárolunk, melyből az oldal értesül, hogy a sütitájékoztató korábban elfogadásra került. A kényelmi sütit a kliens gép böngészője tárolja 1 hónapos lejárati idővel.
Harmadik fél által elhelyezett cookie-k (analitika)
A honlap/ weboldal üzemeléséhez harmadik fél sütijeit is alkalmazzuk. Ezek a cookie-k információkat gyűjtenek a látogatók felhasználói szokásairól, rögzítik az egyes akciókat. Ezen cookie-k szintén lejáratukig vagy a látogató általi törlésükig a látogató böngészésre használt eszközein maradnak.
A weboldalon használt cookie-k
Cookie-k megnevezése: Google Analytics/Cookie-k típusa: analitika/Leírás: Ez a süti rögzíti a meglátogatott oldalakat, az ott töltött időt.
Cookiek megnevezése: Facebook/META/Instagram, TikTok pixel/Cookie-k típusa: analitika, hirdetés/Leírás: Ez a süti méri a Facebook hirdetések hatékonyságát, lehetővé teszi a megtekintett tartalom alapján való hirdetés indítását.
Cookie-k megnevezése: MS Clarity/Cookie-k típusa: analitika/Leírás: A látogatók görgetéseit, kattintásait és egérmozgásait rögzíti, személyes adatok rögzítése, beazonosíthatóság nélkül.
Cookiek megnevezése: Zoho One/Cookie-k típusa: CRM segéd/Leírás: Ez a süti teszi lehetővé, hogy a kapcsolatfelvételnél megadott adatok bekerüljenek a Hubspot CRM rendszerébe, a látogatott oldalakkal együtt
adatkezelés jogalapja: GDPR 6. Cikk (1) bek. a.) az Érintett hozzájárulása
adatkezelés célja:
• Adatkezelő tevékenységével kapcsolatos feladatok ellátásához szükséges adatok kezelése
• Hirdetés eljuttatása online felületen, (Facebook, Google, Instagram) szolgáltatás hirdetés online felületeken és ehhez e-mail cím átadása.
• Kapcsolatfelvétel üzleti partnereknek
• Kapcsolatfelvétel a főoldalon
• Munkára jelentkezés
• Munkakeresőnek való regisztráció
kezelt adatok köre: név, e-mail cím, telefonszám
adattárolás határideje: az adatkezelési cél megszűnését követően haladéktalanul
adattárolás módja: elektronikus
A modern böngészők engedélyezik a süti beállítások módosítását. A böngészők egy része alapértelmezettként automatikusan elfogadja a sütiket, de ez a beállítás is megváltoztatható annak érdekében, hogy a jövőre nézve a felhasználó megakadályozza az automatikus elfogadást. Átállítás esetén a böngésző a továbbiakban minden alkalommal felajánlja a sütik beállításának választási lehetőségét.
Felhívjuk látogatóink figyelmét, hogy mivel a sütik célja a weboldal használhatóságának és folyamatainak támogatása, valamint megkönnyítése, a sütik letiltása esetén nem tudjuk garantálni, hogy a látogató képes lesz a weboldal valamennyi funkciójának teljes körű használatára. A weboldal ez esetben a tervezettől eltérően működhet a böngészőben.
További részletes információk az alábbi böngészők süti beállításairól
-Chrome https://support.google.com/accounts/answer/61416?hl=hu
-Firefox https://support.mozilla.org/hu/kb/sutik-informacio-amelyet-weboldalak-tarolnak-szami?redirectlocale=hu&redirectslug=S%C3%BCtik+kezel%C3%A9se
-Internet Explorer https://support.microsoft.com/hu-hu/windows/cookie-k-t%C3%B6rl%C3%A9se-%C3%A9s-kezel%C3%A9se-168dab11-0753-043d-7c16-ede5947fc64d
-Microsoft Edge https://support.microsoft.com/hu-hu/windows/a-microsoft-edge-a-b%C3%B6ng%C3%A9sz%C3%A9si-adatok-%C3%A9s-az-adatv%C3%A9delem-bb8174ba-9d73-dcf2-9b4a-c582b4e640dd
14.12. DIREKT MARKETINGGEL ÖSSZEFÜGGŐ ADATKEZELÉS
Az Adatkezelő a Direkt marketingre való jelentkezés regisztrálására adatokat kér be, a szolgáltatást használni kívánó féltől. A regisztrációs eljárásban beszerzett adatokat kizárólag az ott megjelölt célra használja fel. Az érintett egyértelmű, kifejezett előzetes hozzájárulását az Adatkezelő honlapján a hozzájárulás direkt marketing célú megkereséshez szövegrész melletti jelölőnégyzet kipipálásával adja meg adatainak kezelésére vonatkozó tájékoztatást követően.
adatkezelés jogalapja:
• GDPR 6. Cikk (1) bek. a) az Érintett hozzájárulása
• Grt. 6. § (5) bek az Érintett hozzájárulása
• Direkt marketing célú megkereséshez csak 16. életévüket betöltött személyek járulhatnak hozzá. adatkezelés célja: • az Érintettek részére e-mail hírlevelek küldése, online analitikai adatok felhasználásával személyre szóló ajánlatok készítése, és az adatkezelő ajánlatainak továbbítása.
kezelt adatok köre: név, cím, e-mail cím, telefonszám, direktmarketing célú megkereséshez adott hozzájárulás valamint a rendszer tárolja a fel- és leiratkozással, az üzenetek küldésével, kézbesítésével, megnyitásával, illetve az Érintettek online aktivitásával kapcsolatos analitikai adatokat (pl. az események dátuma és időpontja, megtekintett tartalmak, számítógép IP címe, kézbesíthetetlenség oka, demográfiai adatok, tranzakciós adatok).
adattárolás határideje: az Érintett hozzájáruló nyilatkozatának visszavonásáig
adattárolás módja: elektronikus
XV. BELSŐ ADATKEZELÉSI NYILVÁNTARTÁS
Az Adatkezelő belső adatkezelési nyilvántartásának célja, hogy információt biztosítson az adatkezeléssel kapcsolatos jogszabályokban meghatározott kötelezettségek teljesítéséhez és jogok gyakorlásához.
15.1. Az adatkezelési nyilvántartás tartalma, felépítése
a) Ügyfél,
b) a kezelt adatok köre,
c) tartalmazza az egyes adatok kezelésének célját, forrását, jogalapját, automatikus/rendszeres továbbítását, bevont adatfeldolgozót, adatkezelési időtartamot,
d) minden olyan információt, amely szükséges lehet jogszabály által előírt adatkezelésre vonatkozó információszolgáltatáshoz, tájékoztatáshoz,
e) az eseti adattovábbítások tételes nyilvántartásának megjelölését. Az eseti jellegű, megkeresésre alapuló adatkezelések (pl. hatósági megkeresések, végrehajtói megkeresések) tételesen nem a belső adatkezelési nyilvántartásban kerülnek rögzítésre, csak ezen adatkezelések, továbbítások nyilvántartási helye kerül itt rögzítésre.
Az Adatkezelő a fentieken túl a belső adatvédelmi felelős útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából olyan nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
XVI. AZ ADATKEZELÉSRE VONATKOZÓ SZABÁLYOK - ÉRINTETT JOGAI
Az Érintett kérelmezheti az Adatkezelőnél:
• Tájékoztatását személyes adatainak kezeléséről,
• Személyes adatainak helyesbítését, javítását,
• Személyes adatainak, zárolását, törlését– a jogszabályban elrendelt adatkezelések kivételével –
• A személyes adatok továbbítását.
Az Érintett jogosult arra, hogy
• A személyes adataihoz hozzáférjen,
• Megadott Hozzájárulását bármikor visszavonja,
• Tiltakozzon a személyes adatának kezelése ellen
• Mentesüljön az automatizált döntéshozatal alól.
Az Érintett a kérelmet az Adatkezelő feltüntetett elérhetőségein nyújthatja be.
Átlátható tájékoztatáshoz való jog
Az Érintett egyértelműen tájékoztatni kell az adatkezelés minden részletéről:
• még az adatkezelés megkezdése előtt, és
• ezen felül kérésére bármikor.
Minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva szükséges nyújtani, különösen a gyermekeknek címzett bármely információ esetében, indokolatlan késedelem nélkül.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az Érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy igazolták az Érintett személyazonosságát. Különleges adat esetén kizárólag írásbeli tájékoztatás adható.
Hozzáféréshez való jog
Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van.
Jogosult az Érintett arra, hogy a személyes adatokhoz, és a következő információkhoz hozzáférést kapjon:a) az adatkezelés céljai;
b) az Érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az Érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) jogorvoslati joga - felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.
Helyesbítéséhez való jog
Az Érintett jogosult pontatlan adatai helyesbítését kérni. Ezen jog megilleti az Érintettet, eredetileg pontatlanul rögzített, vagy később megváltozott adatnál. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő helyesbíti.
Az Adatkezelő az Adatkezelési Tájékoztatóban felhívja az Érintettek figyelmét arra is, hogy az adatok naprakészségében működjenek közre.
Az Adatkezelő ugyanis jogszerűen nem tudhat arról, hogy az Érintett például elköltözött, és az eredeti regisztrációjához képest megváltozhatott a kézbesítési címe.
Ha az Érintett a már korábban megadott kézbesítési cím változását nem jelezte egy további rendelésnél, az adatkezelő a téves címre postázza ki a megrendelt árut. Ebben az esetben az érintett magatartása miatt sérül az adatminőség elve.
Személyes adat törléséhez való jog („az elfeledtetéshez való jog”)
Az Érintett bizonyos esetben jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat.
Az Adatkezelő köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
• személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték, vagy más módon kezelték;
• az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
• az Érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték,
• a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
• a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor(GDPR 8. cikk (1) bekezdés).
Az elfeledtetéshez való jog:
Amennyiben a személyes adatot az Adatkezelő nyilvánosságra hozta, és a fenti pont értelmében azt törölni köteles, az elérhető technológia, és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek, vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Nem jogosult a törlésre, és az elfeledtetési jog gyakorlására:
A törléshez és az elfeledtetéshez való jog nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából,
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából,
c) népegészségügy területét érintő közérdek alapján,
d) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben ezen jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést, vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az adatkezelés korlátozásához való jog – Zárolás -
Az Adatkezelő az Érintett kérésére korlátozza az adatkezelést, ha
a) ha az Érintett vitatja a személyes adatok pontosságát,
b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez
d) az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben
7. számú melléklet: MINTA Tájékoztatás korlátozás feloldásáról
Személyes adat zárolása
Törlés helyett az Adatkezelő zárolja a személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az adatkezelési cél, amely a személyes adat törlését kizárta.
Korlátozás következménye:
Az ilyen személyes adatokat a tárolás kivételével csak
• az Érintett hozzájárulásával, vagy
• jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
• más természetes vagy jogi személy jogainak védelme érdekében, vagy
• az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Adathordozhatósághoz való jog
Az Érintett jogosult:
• a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kérni.
• ezeket az adatokat másik adatkezelőnek továbbítani,
• kérni a személyes adatok adatkezelők közötti közvetlen továbbítását - ha ez technikailag megvalósítható – Az adathordozhatósághoz való jog nem alkalmazandó, ha
• az adatkezelés közérdekű, vagy
• az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Ezen jog nem érintheti hátrányosan mások jogait és szabadság jogait.
Tiltakozáshoz való jog
Az Érintett törvényben meghatározott esetekben bármikor tiltakozhat személyes adatának kezelése ellen,
a) közvetlen üzletszerzési cél esetén,
b) közvetlen üzletszerzési célú profilalkotás esetén.
Ebben az esetben a személyes adatokat nem lehet tovább kezelni, kivéve, ha• az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy
• amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha az Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Hozzájárulás visszavonása
Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az Érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Az automatizált döntéshozatal alóli mentesség joga
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
A mentesség nem alkalmazandó abban az esetben, ha a döntés:
-az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
-meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
-az érintett kifejezett hozzájárulásán alapul.
Az adatkezelő köteles megfelelő intézkedéseket tenni az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
Az érintettek tájékoztatásával, adatvédelmi tudatosságuk erősítésével kapcsolatban
• A személyes adatok védelme akkor valósulhat meg kellő biztonsággal, ha az érintett és az Adatkezelő között olyan tájékoztatáson alapuló kapcsolat alakul ki, ami elősegíti a személyes adatokhoz fűződő jogok és kötelezettségek teljesülését.
• Amennyiben a tájékoztatás lehetősége fennáll, az Adatkezelő kötelessége az adatkezelés megkezdése előtt a személyes adatok védelmével kapcsolatos tájékoztatás. Ezen tájékoztatók célközönségre szabott elkészítése, a szükséges oktatások, képzések oktatóanyagának összeállítása az AVF feladata, melyet a kapcsolódó szabályzatok figyelembevételével kell teljesíteni.
Személyes adatokhoz való hozzáférés rendje, adatbiztonsággal kapcsolatos generális rendelkezések
a) Az Adatkezelő tevékenységi körében köteles gondoskodni az adatok biztonságáról, megtenni mindazon szervezési és technikai intézkedéseket, amelyek védelmet biztosítanak a kezelt adatok tekintetében.
b) Az adatokat különösen védeni kell a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
c) Amennyiben az adatok továbbítása, illetve elérhetősége hálózati vagy egyéb informatikai eszköz útján történik, úgy az érintett minden szolgáltatónak gondoskodni kell a megfelelő adatbiztonságról.
d) Az Adatkezelő a vagyonbiztonságra, az informatikai biztonságra, illetve titokvédelemre vonatkozó eljárási rendjét, ami egyben a kezelt személyes adatok biztonságára is vonatkozik, a jelen szabályzat, az Informatikai Biztonsági Szabályzat, illetve a Titokvédelmi Szabályzat rögzíti.
Ügyfelek, tagok személyes adatainak védelme
a) Az Ügyfelek személyes adatai magas rendelkezésre állású szervereken futtatott ügyviteli rendszerben kerülnek kezelésre, mely használatához felhasználónév, jelszó, jogosultság szükséges, mely menedzsmentjét a jogosultságkezelési eljárásrend határozza meg.
b) A nyomtatott iratanyagok kezelési rendjét és ezáltal a védelmét az Adatkezelő belső szabályzatai határozzák meg.
c) Az adatnyilvántartásokban kezelt adatok megfelelőségéért az adatokat rögzítő, nyilvántartó ügyintéző a felelős. Az ügyintézőnek meg kell tenni mindent annak érdekében, hogy a kezelt adatok pontosak, teljesek és aktuálisak legyenek. Az érintettel történő személyes kapcsolat létrejöttekor, a személyazonosság megállapításával egy időben a személyi okmány adatait ellenőrizni kell, és ha szükséges a nyilvántartott adatokon a módosítást el kell végezni.
d) Az ügyfélnyilvántartás a pénzforgalmi tevékenység során az ügyfél és Szolgáltató között létrejövő jogviszonyra vonatkozó, az alapján keletkező adatok, információk rögzítésére, dokumentálására szolgáló adatkezelés.
e) Az ügyfélnyilvántartás tartalmazza az Adatkezelő valamennyi ügyfelének adatait. Az ügyfél adatainak kezelői azon szervezeti egységek munkatársai, akiknek tevékenységük ellátásához az adott adatok szükségesek. Az adatok nyilvántartása vegyes rendszerben, számítógépen és manuális módszerrel történik. Az Adatkezelő szervezetén belül az ügyfélnyilvántartásból csak azon szervezeti egységek, munkavállalók részére teljesíthető adathozzáférés, amelyek az ügyfél és az Adatkezelő között létrejövő szerződések előkészítésében, megkötésében, kezelésében, végrehajtásában, ellenőrzésében érintettek.
f) Személyi iratok lehetséges köre az ügyfelek esetében különösen
1. a nyilvántartó rendszer alapadatait tartalmazó adatlapjai, a vonatkozó jogszabályoknak megfelelő adatokkal,
2. szerződéskötéssel összefüggő,
3. egyéb, az Adatkezelő szolgáltatásaival összefüggő adatokat tartalmazó iratok,
4. az Érintett saját kérelmére kiállított, vagy önként átadott egyéb iratok.
g) Az egyes speciális területeken, mint a pénzmosás és a terrorizmus finanszírozása megelőzésének és megakadályozásának keretében kötelezően rögzítendő adatokat és eljárási rendet külön belső szabályzat határozza meg.
h) Az Adatkezelő lejárt őrzésű iratanyagainak megsemmisítéséről az Iratkezelési Szabályzat rendelkezései irányadóak.
i) Jelen szabályzathoz szorosan kapcsolódó szabályzatok részletesen tartalmazzák az ügyfelek adataira vonatkozó további speciális eljárási szabályokat.
8. számú melléklet Adatkezelési Tájékoztató a Munkavállalók részére
Személyes adatok továbbítási rendje
a) Az Adatkezelő az általa kezelt személyes adatot az érintett kifejezett kérésére, vagy felhatalmazására, illetve törvényi felhatalmazás alapján továbbíthat, vagy biztosíthat hozzáférést harmadik fél számára.
b) Az Adatkezelő adattovábbítást jellemzően jogszabályi kötelezettség teljesítése, valamint jog érvényesítése keretében továbbít, így különösen: Adóhatóság, Társadalombiztosítás, Nyugdíjbiztosítók, Rendőrség, Bíróság számára.
c) Az adattovábbítással kapcsolatos dokumentumokat a jellegének megfelelően vagy az ügyfél dossziéban vagy az ügyhöz kapcsolódó nyilvántartási dossziéban, illetve levelezések között kell visszakereshetővé tenni. Ennek teljesítése a munkakörében eljáró munkatárs feladata.
d) Az Adatkezelő az általa kezelt személyes adatokat más szervezet részére üzleti vagy egyéb célra történő felhasználásra csak az érintett előzetes írásbeli hozzájárulásával adhatja át.
e) A büntetőügyben eljáró és a feljelentés kiegészítést végző nyomozó hatóságtól, ügyészségtől, a büntetőügyben eljáró bíróságtól, a titkosszolgálati eszközök alkalmazására, titkos információgyűjtésre felhatalmazott szervtől, a nemzetbiztonsági szolgálattól, valamint más hatóságoktól érkező írásbeli megkeresések teljesítése során meg kell vizsgálni az adatszolgáltatás jogalapját. Adatszolgáltatás során a jogalaphoz tartozó minimális adatkört kell átadni a Titokvédelmi Szabályzat rendelkezéseinek figyelembevételével.
f) Az eseti adattovábbításokat, adatkezeléseket (pl. hatósági megkeresések, végrehajtói megkeresések) nem kell külön belső adatnyilvántartó rendszerben rögzíteni. Az eseti adatkezelést, adattovábbítást végzőnek kell gondoskodnia arról, hogy az adattovábbítás ténye és körülménye rögzítve legyen, biztosítva ezzel az alábbi legfontosabb adatok, tények, körülmények legalább 5 évig visszamenőleges kinyerhetőségét.
1. Megkeresés időpontja,
2. Megkeresést kezdeményező szerv vagy személy neve, címe, telefonszáma,
3. Megkeresés célja,
4. Megkeresés alapjául szolgáló jogszabály, ha szükséges az érintett hozzájáruló nyilatkozata,
5. Adatszolgáltatást teljesítő szervezeti egység neve,
6. Továbbított adatok,
7. Érintettek köre,
8. Továbbítás módja.
Adattovábbítás külföldre
a) Személyes adatot az Adatkezelő harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha a jogszabályi feltételei fennállnak.
b) Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben – a fenti bekezdésben meghatározott feltételek hiányában is – továbbíthatók harmadik országba. Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
c) Külföldre történő adattovábbítás esetén a továbbítással kapcsolatos tényeket a jelen szabályzat személyes adatok továbbítási rendjének megfelelően kell rögzíteni.
Személyes adatok felhasználása statisztikai célra
a) A jogszabály által elrendelt kötelező adatkezelés keretében kezelt személyes adatokat – ha törvény eltérően nem rendelkezik – a Központi Statisztikai Hivatal statisztikai célból egyedi azonosításra alkalmas módon átveheti és törvényben meghatározottak szerint kezelheti.
b) A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok – ha törvény eltérően nem rendelkezik – csak statisztikai célra kezelhetők. A személyes adatok statisztikai célra történő kezelésének részletes szabályait külön törvény határozza meg.
Személyes adatok mentési, archiválási, megsemmisítési rendje
a) Jelen szabályzathoz szorosan kapcsolódó szabályzatok részletesen tartalmazzák az érintettek adatainak mentési, archiválási, megsemmisítési rendjére vonatkozó speciális eljárási szabályokat.
XVII. ÉRINTETT JOGAIHOZ KAPCSOLÓDÓ ELJÁRÁS REND
17.1. Tájékoztatási kötelezettséghez kapcsolódó eljárás
Tájékoztatás az adatfelvétel előtt, adatátvételkor
Az adatkezelés megkezdése előtt, az adatfelvételkor közölni kell Érintettel, hogy az adatkezelés a hozzájárulásán alapul-e, vagy kötelező. Egyértelműen, és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről.
Kötelező adatkezelés esetén a tájékoztatás megtörténhet az információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:
-az adatgyűjtés ténye,
-az Érintettek köre,
-az adatgyűjtés célja,
-az adatkezelés időtartama,
-az adatok megismerésére jogosult lehetséges adatkezelők személye,
-az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése.
Rendelkezésre bocsátandó információk, ha a személyes adatokat az Érintettől gyűjtik be az Adatkezelők:
Az Adatkezelők a személyes adatok megszerzésének időpontjában a tisztességes és átlátható adatkezelést biztosítása végett, az Érintett rendelkezésére bocsátja az alábbi információk mindegyikét,
-az Adatkezelők, és az Adatkezelők képviselőjének neve és elérhetőségei;
-az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
-a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja
-a személyes adatok tárolásának időtartamáról;
-és tájékoztatja az Érintett jogairól;
-jogorvoslati eljárásról, a panasz benyújtásának jogáról.
Tájékoztatás időpontja: adatfelvételkor.
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az Érintettől szerezték meg
Amennyiben a személyes adatokat Az Adatkezelők nem az Érintettől szerezte be, Az Adatkezelők az Érintett rendelkezésére bocsátják a következő információkat:
-az Adatkezelők, és az Adatkezelők képviselőjének neve és elérhetőségei
-az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
-a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
-az Érintett személyes adatok kategóriái;
-a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
Tájékoztatás időpontja:
-az adat megszerzésétől számított ésszerű határidőn belül, (legfeljebb 1 hónap),
-első kapcsolatfelvétel alkalmával – ha kapcsolattartási célú az adatkezelés,
-ha más címzettel is közölve lesz az adat, akkor legkésőbb az első közléskor.
Mikor mellőzhető a tájékoztatás:
-az Érintett már rendelkezik az információkkal,
-a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne,
-az adat megszerzését vagy közlését kifejezetten előírja az alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik, vagy
-a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
9. számú melléklet: MINTA tájékoztatás az adatfelvétel előtt, adatátvételkor (Adatfelvételi nyomtatványokon elhelyezendő adatvédelmi kiegészítés.
10. számú melléklet: MINTA tájékoztatás (Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az Érintettől szerezték meg)
17.2. Az Érintett hozzáférési jog gyakorlásának módja
Ha az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri.
Az Adatkezelők az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátják.
Az Érintett által kért további másolatokért az Adatkezelők az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthatnak fel.
17.3. Az Érintett által kért adatok kiadásához kapcsolódó költségek
Tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőkhöz még nem nyújtott be.
Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
A) Az adathordozó költsége
Az igényelt adatokat tartalmazó adathordozó költségeként az alábbi mértékek vehetők figyelembe:
a) papír alapon nyújtott színes másolat esetén az adathordozó közvetlen önköltsége, de legfeljebb
aa) 130 Ft/másolt A/4-es oldal,
ab) 260 Ft/másolt A/3-as oldal,
b) papír alapon nyújtott fekete-fehér másolat esetén az adathordozó közvetlen önköltsége, de legfeljebb
ba) 12 Ft/másolt A/4-es oldal,
bb) 24 Ft/másolt A/3-as oldal,
c) optikai adathordozón nyújtott másolat esetén az adathordozó közvetlen önköltsége, de legfeljebb 580 Ft/adathordozó,
d) elektronikus úton használható egyéb adathordozón nyújtott másolat esetén az adathordozó közvetlen önköltsége.
A papír alapon nyújtott másolat költsége csak az adatigénylés teljesítéséhez szükséges másolt oldalak azon része tekintetében vehető figyelembe, amellyel a másolt oldalak száma a tízet meghaladja.
B) A Postaköltség
Az igényelt adatokat tartalmazó adathordozó kézbesítési költségeként legfeljebb az alábbi mértékek vehetők figyelembe:
a) az Érintett részére postai úton, Magyarország területén belül való kézbesítés esetén a hivatalos iratokra vonatkozó belföldi postai szolgáltatás díja,
b) az adatigénylő részére postai úton, külföldre történő kézbesítés esetén az egyetemes postai szolgáltatás keretében tértivevény többletszolgáltatással feladott, könyvelt küldeményre vonatkozó postai szolgáltatás díja.
C.) A munkaerő-ráfordítás költsége
Az adatigénylés teljesítésével összefüggő munkaerő-ráfordítás költsége - az Infotv. 29. § (5) bekezdés c) pontjában foglalt feltétel teljesülése mellett - abban a mértékben vehető figyelembe, amennyivel az adatigénylés teljesítéséhez szükséges munkaerő-ráfordítás időtartama meghaladja a 4 munkaórát. Az adatigénylés teljesítésével összefüggő munkaerő-ráfordításként az igényelt adat felkutatásához, összesítéséhez és rendszerezéséhez, az igényelt adat adathordozójáról másolat készítéséhez és a másolaton a meg nem ismerhető adatok felismerhetetlenné tételéhez szükséges időtartam vehető figyelembe.
Ha az adatigénylés teljesítésére elektronikus úton kerül sor, a másolat készítéséhez szükséges időtartam csak akkor vehető figyelembe, ha elektronikus formában rendelkezésre nem álló adat igénylésére került sor, vagy a másolat készítéséhez szükséges időtartam rövidebb az elektronikus formában rendelkezésre álló adat rendelkezésre bocsátásához szükséges időtartamnál.
Ezen költségét a munkaerő-ráfordítás személyenként-i költségeinek összegeként kell megállapítani, időtartamát személyenként a kerekítés szabályainak megfelelően egész órára kell kerekíteni.
A munkaerő-ráfordítás személyenként-i költségét akként kell meghatározni, hogy az adatigénylés teljesítésében közreműködő személy által az adatigénylés teljesítésével összefüggésben teljesített munkaórák számát meg kell szorozni e személy egy munkaórára eső tényleges munkaerőköltségével, ahol tényleges munkaerőköltségnek az e személyt megillető rendszeres személyi juttatások összegét kell tekinteni. Az adatigénylés teljesítésével összefüggő munkaerő-ráfordítás összes költségeként legfeljebb munka óránként átlagosan 4.400,- Ft vehető figyelembe
17.4. Tájékoztatás a korlátozás feloldásáról
Az Adatkezelők az Érintettet, (akinek a kérésére korlátozták az adatkezelést), az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
17.5. Tájékoztatás az Érintett kérelmére vagy Tiltakozás eseténAz Érintett tájékoztatást kérő levele esetén az Adatkezelők a kérelem benyújtásától számított legrövidebb időn belül, legfeljebb azonban 25 napon belül, – tiltakozási jog gyakorlása esetén 15 napon belül – közérthető formában, írásban kötelesek megadni a tájékoztatást.
Az Érintett kérelmére az Adatkezelők tájékoztatást adnak:
• az Érintett általa kezelt, illetve az általa, vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól,
• azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról,
• az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, • az Érintett személyes adatainak továbbítása esetén, az adattovábbítás jogalapjáról és címzettjéről.
Az Adatkezelők a beérkezett kérelmet, illetve tiltakozást kötelesek a beérkezéstől számított 3 napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező személyhez.
Ha a Társaság az Érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással Érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Jogorvoslat:
Ha az Érintett az Adatkezelők meghozott döntésével nem ért egyet, illetve, ha az Adatkezelők a határidőt elmulasztják, az Érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – az Infotv. 22. §-ban, GDPR 12. Cikk (4) bekezdésében meghatározott módon bírósághoz fordulhat.
17.6. Adat megjelölése
Az Adatkezelők megjelölik az általuk kezelt személyes adatot, ha az Érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége, vagy pontatlansága nem állapítható meg egyértelműen.
17.7. A tájékoztatás megtagadása
Az Adatkezelő kérelmet csak az Infotv. 9. § (1) bekezdésében vagy a 19. § meghatározott okokból utasítanak el, erre csak indoklással, az Infotv. 16. § (2) bekezdésében meghatározott tájékoztatással, írásban kerülhet sor. A tájékoztatás megtagadása esetén az Adatkezelők, írásban közlik az Érintettel, hogy a felvilágosítás megtagadására az Infotv., mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Társaság tájékoztatja az Érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
17.8. Adatok helyesbítése
Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy az Adatkezelők által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
Az adat helyesbítésről, a zárolásról, a törlésről vagy adatkezelés-korlátozásról az Érintettet, továbbá mindazokat tájékoztatni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
Az Érintettet kérésére a Társaság tájékoztatja az érintetett e címzettekről,
Ha az Adatkezelők az Érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesítik, a kérelem kézhezvételét követő 30 napon belül írásban vagy az Érintett hozzájárulásával elektronikus úton közölni kell a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait.
A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az Adatkezelők tájékoztatják az Érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
17.9. Tiltakozás adatkezelés ellen
Amennyiben a tiltakozás indokolt, az Adatkezelők kötelesek az adatkezelést (további adatfelvételt, adattovábbítást) megszüntetni, és az adatokat zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással Érintett személyes adatot korábban továbbította.
Jogorvoslat:
Ha az Érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott döntéssel, a döntés ellen a közléstől számított harminc napon belül – az Infotv. 22. §-ában, GDPR 12. Cikk (4) bekezdésében foglalt módon – bírósághoz fordulhat
XVIII. ADATVÉDELMI INCIDENSEK KEZELÉSE
18.1. Az adatvédelmi incidens bejelentése
Az a munkavállaló, aki az Adatkezelő által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, azaz:
-személyes adat jogellenes kezelését vagy
-feldolgozását,
-így különösen jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt,
-törlést vagy megsemmisítést, valamint
-véletlen megsemmisülést és sérülést észlel,
azt köteles a közvetlen vezetője útján haladéktalanul az Adatkezelő1 belső adatvédelmi felelősének bejelenteni, megadva a nevét, telefonszámát és/vagy e-mail címét, a szervezeti egységét, az incidens tárgyát, valamint azt, hogy az incidens informatikai rendszert érint-e. A bejelentő további olyan információkat is megadhat, amelyeket az incidens beazonosítása, megvizsgálása szempontjából lényegesnek ítél.
Az AVF a bejelentést követően tájékoztatja a Jogi Vezetőt az adatvédelmi incidens bekövetkezéséről, megadva a bejelentő nevét, telefonszámát és/vagy e-mail címét, szervezeti egységét, továbbá a bejelentett adatvédelmi incidens tárgyát, azt, hogy az incidens informatikai rendszert érint-e, valamint a további, a bejelentő által tudomására hozott egyéb információkat.
Amennyiben az adatvédelmi incidens informatikai rendszert érintően következett be, akkor a Jogi Vezető az IT Vezetőt is tájékoztatja.
Amennyiben az Adatkezelő ellenőrzésre jogosult szervezeti egységei a feladataik ellátása során adatvédelmi incidenst észlelnek, az AVF-et értesítik.
18.2. A bejelentés megvizsgálása és az incidens kezelése
Az AVF – informatikai rendszert érintő incidens esetén az IT Vezetővel együttműködve – a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell
a) az incidens bekövetkezésének időpontját és helyét,
b) az incidens leírását, körülményeit, hatásait,
c) az incidens során kompromittálódott adatok körét, számosságát,
d) a kompromittálódott adatokkal érintett személyek körét,
e) az incidens elhárítása érdekében tett intézkedések leírását,
f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Amennyiben az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, annak végrehajtására az AVF felkéri az Információbiztonsági felelőst, az informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az IT Vezetőt is bevonva. A belső adatvédelmi felelős szaktanácsadóként közreműködik a vizsgálat lefolytatásában.
Az adatszolgáltatás alapján és az AVF – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az IT Vezetővel együtt – javaslatot tesz az adatvédelmi incidens elhárításához szükséges intézkedésekről az adatok kezelését vagy feldolgozását végző szakterületnek, továbbá – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében – a kijelölt adatgazdának.
A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője, – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében a kijelölt adatgazda egyetértésével dönt.
Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője, kijelölt adatgazda esetében az adatgazda az adott intézkedések végrehajtását követő 2 munkanapon belül köteles az AVF-et tájékoztatni.
18.3. Az incidens nyilvántartása
Az adatvédelmi incidensről az AVF nyilvántartást vezet.
A nyilvántartásba rögzíteni kell:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens elhárítására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat személyes adatokat érintő incidens esetében 5 évig, különleges adatokat érintő incidens esetében 20 évig köteles az AVF megőrizni.
XIX. ADATBIZTONSÁGOT SZOLGÁLÓ ALKALMAZOTT ESZKÖZÖK
Az adatbiztonság megvalósulását biztosító alább megnevezett és alkalmazott eszközök részletes alkalmazási rendjét és megoldásait egyéb belső szabályzatok és megállapodások tartalmazzák.
19.1. Informatikai eszközök
a) elektronikus aláírás
b) titkosítási eljárás,
c) azonosítási mechanizmusok,
d) biztonságos szerver környezet,
e) biztonsági másolat,
f) tűzfal alkalmazása,
g) vírusvédelem,
h) izolált működési környezet,
i) jogosultság kezelő technikák,
j) felhasználó azonosítás,
19.2. Iratkezelési eszközök
a) Irattár
b) Páncélszekrény
c) Iratmegsemmisítő
19.3. Fizikai védelmi eszközök
a) Zárt, elkülönített helyiségek
b) Riasztó
19.4. Adminisztratív eszközök
a) Szabályzás
b) Oktatás
c) Ügyfelek felvilágosítása,
d) Ügyfelek biztonsági tudatosságának erősítése.
XX. JOGORVOSLATHOZ VALÓ JOG
Ha az Érintett úgy ítéli meg, hogy az Adatkezelők a személyes adatainak a kezelése során megsértették a hatályos adatvédelmi követelményeket, akkor:
20.1. Az Adatkezelőnél történő panasztételhez való jog Minden Érintett jogosult arra, hogy panaszt tegyen az Adatkezelőknél, Adatvédelmi felelősnél, ha az Érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t, Infotv-t.
Az Adatkezelők kötelesek tájékoztatni az Érintettet a panasszal kapcsolatos eljárási fejleményekről, és annak eredményéről, valamint arról, hogy az Érintett jogosult bírósági jogorvoslattal élni.
Adatkezelési kapcsolattartó:
Neve: Szili-Török Adrienn
Székhely és levelezési cím: 1026 Budapest Pasaréti út 83.
E-mail elérhetősége: info@uniyou.hu
Telefonszám: +36-1 776 78 78
Weboldala: https://www.uniyou.hu/
Belső adatvédelmi felelős elérhetőségei:
Neve: Szili-Török Adrienn
Székhely és levelezési cím: 1026 Budapest Pasaréti út 83.
E-mail elérhetősége: info@uniyou.hu
Telefonszám: +36-1-776-78-78
20.2. Az Adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog
Minden Érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak, vagy az Infotv-nek nem megfelelő kezelése következtében megsértették a GDPR rendelet, vagy az Infotv. szerinti jogait.
A bírósági eljárásban az Érintett fél. Az Érintett tartózkodási helye alapján is megindítható eljárás.
Bíróság illetékessége
Az Adatkezelőkkel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelők vagy az adatfeldolgozó tevékenységi helye szerinti állam bírósága előtt kell megindítani.
Az eljárás megindítható az Érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az Adatkezelők vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szervei.
20.3. A felügyeleti hatóságnál történő panasztételhez való jog
Minden Érintett jogosult arra, hogy panaszt tegyen az illetékes Felügyeleti Hatóságnál, ha az Érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR rendeletet, Infotv-t.
A Felügyeleti Hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az Érintett jogosult bírósági jogorvoslattal élni a GDPR 78. cikk alapján.
A Hatósághoz tett bejelentése miatt senkit sem érhet hátrány. A bejelentő kilétét a Hatóság csak akkor fedheti fel, ha ennek hiányában a vizsgálat nem lenne lefolytatható. Ha a bejelentő kéri, kilétét a Hatóság akkor sem fedheti fel, ha ennek hiányában a vizsgálat nem folytatható le.
Hatóság illetékessége
Az Adatkezelőkkel vagy az adatfeldolgozóval szembeni eljárást
-Az Érintett szokásos tartózkodási helye, a munkahelye vagy
-a feltételezett jogsértés helye szerinti állam Hatósága előtt kell megindítani.
Az eljárásban az Érintett nem fél, kizárólag tájékoztatás kérési joga van.
Adatvédelmi ügyekben az eljáró magyar felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „Hatóság”)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postai cím: 1363 Budapest, Pf.: 9.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
honlap: http://www.naih.hu;.
20.4. A Felügyeleti Hatósággal szembeni bírósági jogorvoslathoz való jog Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a Felügyeleti Hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
Minden Érintett jogosult a hatékony bírósági jogorvoslatra, ha
-az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy
-három hónapon belül nem tájékoztatja az Érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
Bíróság illetékessége
A Hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
20.5. Az Érintettek képviselete
Az Érintett jogosult arra, hogy
-panaszának a nevében történő benyújtásával,
-az Adatkezelőkkel vagy az adatfeldolgozóval szembeni bírósági jogorvoslathoz való jognak, a felügyeleti hatóságnál történő panasztételhez való jognak, a felügyeleti hatósággal szembeni bírósági jogorvoslathoz való jognak a nevében való gyakorlásával, valamint
-a kártérítési jognak a nevében történő érvényesítésével
olyan nonprofit jellegű szervezetet bízzon meg, amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az Érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.
20.6. A kártérítéshez való jog, sérelemdíj
Az Érintett, ha a GDPR rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőktől vagy az adatfeldolgozótól kártérítésre jogosult.
-Ha az Adatkezelő az Érintett személyes adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével:
o az Érintettnek, illetve másnak kárt okoz, köteles azt megtéríteni (kártérítés);
o az Érintett személyiségi jogát megsérti, az Érintett az Adatkezelőtől sérelemdíjat követelhet.
Az Adatkezelők mentesülnek az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítják, hogy a kárt vagy az Érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár vagy a személyiségi jog megsértésével okozott jogsérelem az Érintett (károsult) szándékos vagy súlyosan gondatlan magatartásából származott.
20.7. Bíróság illetékessége
A kártérítéshez való jog érvényesítését célzó bírósági eljárást,
-Adatkezelők, vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani.
-Az ilyen eljárás megindítható az Érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az Adatkezelők vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve. bíróság előtt kell megindítani.
XXI. ZÁRÓ RENDELKEZÉSEK
Jelen szabályzat 2023.10.25. napján lép hatályba.
Budapest, 2023.10.25.
UniYou Kft. UniYou Iskolaszövetkezet
Mellékletek:1. számú melléklet MINTA Hozzájárulás személyes adatok kezeléséhez,
2. számú melléklet MINTA Hozzájárulás Hírlevél, DM célú adatkezeléshez
3. számú melléklet Adatkezelésre kijelölt személyek
4. számú melléklet Adatfeldolgozói szerződés
5. számú melléklet Egyéb szerződésbe kerülő adatvédelmi pontok
6. számú melléklet Adatkezelési Tájékoztató honlapra
7. számú melléklet MINTA Tájékoztatás korlátozás feloldásáról
8. számú melléklet Adatkezelési Tájékoztató Munkavállalók
9. számú melléklet: MINTA tájékoztatás az adatfelvétel előtt, adatátvételkor (Adatfelvételi nyomtatványokon elhelyezendő adatvédelmi kiegészítés.
10. számú melléklet MINTA tájékoztatás (Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az Érintettől szerezték meg)
11. számú melléklet MINTA Adatfeldolgozói nyilvántartás