Adatvédelmi Szabályzat
MERKAPT Építőipari, Szolgáltató és Kereskedelmi Zártkörűen Működő Részvénytársaság
(1106 Budapest, Maglódi út 14/B)
Tartalom
1. Jelen szabályzat készítése során figyelembe vett jogszabályok
2. A szabályzat célja
3. A szabályzat hatálya
4. Fogalmak
5. Az adatkezelés elvei
5.1. Adatkezelés célhoz kötöttsége
5.2. Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
5.3. Adattakarékosság elve
5.4. Pontosság
5.5. Korlátozott tárolhatóság elve
5.6. Elszámoltathatóság elve
6. Adatbiztonság
7. Beépített és alapértelmezett adatvédelem
8. Érintettek jogai
8.1. Tájékoztatáshoz való jog
8.2. Hozzáférési jog
8.3. Személyes adatok helyesbítéséhez való jog
8.4. Személyes adatok törléséhez való jog (elfeledtetéshez való jog)
8.5. Tiltakozási jog a személyes adatok kezelése ellen
8.6. Az adatkezelés korlátozásához való jog
8.7. Adathordozhatósághoz való jog
8.8. Jogorvoslathoz való jog
9. Érintettek jogainak érvényesítése
10. Adatvédelem rendszere, felelősség
10.1. Az igazgatóság tagja
10.2. A Társaság munkatársai
11. Adatkezelés jogalapja
12. Adatkezelési tevékenységek
12.1. Kamerarendszer üzemeltetése
12.1.1. Általános rendelkezések
12.1.2. Kamerarendszer üzemeltetésének célja
12.1.3. Kamerarendszer üzemeltetésének jogalapja
12.1.4. Felvétel tárolása, felhasználása
12.1.5. Adatkezelési jogosultság
12.1.6. Adatbiztonsági intézkedések
12.2. Munkáltatói adatkezelés
12.2.1. Álláshirdetésre jelentkezők adatainak a kezelése
12.2.2. Munkaviszony létesítéséhez, teljesítéséhez, módosításához, megszüntetéséhez kapcsolódó személyes adatkezelés
12.2.3. Munkavállaló kijelölése szerződéses kapcsolattartónak, valamint a személyes adatai (név, telefon, e-mail) átadása üzleti partnerek részére
12.2.4. Munkáltatói adatkezelési tájékoztató
12.3. Számlakezelés
12.4. Weblapon keresztül és e-mailben történő kommunikáció
12.5. Szerződéses partnerek kapcsolattartói személyes adatainak a kezelése
12.6. Hírlevél (marketing levél), illetve hirdetések megjelenítése.
12.7. Társaság által üzemeltetett weblapon (www.merkapt.hu, www.radeco.hu, www.geowarm.hu, www.merkaptoutlet.hu, www.unicalkazan.hu, www.unicalszerviz.hu, www.luflo.hu, www.aquarad.hu, www.furdoszoba-outlet.hu, www.livingwall.hu, www.mfix.hu, www.warmair.hu, www.walltherm.hu, www.floortherm.hu, www.merkaptakademia.hu, www.merkaptkarrier.hu, supernova.merkapt.hu, www.merkaptacel.hu) történő adatkezelések
12.8. Új személyes adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását megelőzően követendő eljárásrend
12.9. Papíralapú és elektronikus újság
12.10. Társaság által szervezett képzésekkel kapcsolatosa adatkezelés
13. Adattovábbítás
14. Adatfeldolgozók
15. Adatvagyon-leltár és egyéb nyilvántartások
16. Felelősség, jogorvoslat, jogérvényesítés
16.1. A Társaság felelőssége
16.2. A Társaság munkavállalóinak felelőssége
16.3. Az érintettek jogorvoslathoz való joga
16.4. A személyes adatok kezelésével kapcsolatos jogok érvényesítése az érintett halálát követően
17. Adatvédelmi incidensek
18. Adatvédelmi hatásvizsgálat
Preambulum
A MERKAPT Építőipari, Szolgáltató és Kereskedelmi Zártkörűen Működő Részvénytársaság (a továbbiakban: Társaság) belső adatkezelési folyamatai jogszerűségének és az érintettek jogainak biztosítása céljából az alábbi adatvédelmi tájékoztatót alkotja.
Adatkezelő megnevezése: MERKAPT Építőipari, Szolgáltató és Kereskedelmi Zártkörűen Működő Részvénytársaság
Adatkezelő cégjegyzékszáma: 01-10-047276
Adatkezelő székhelye: 1106 Budapest, Maglódi út 14/B.
Adatkezelő elektronikus címe: info@merkapt.hu
Adatkezelő képviselője: Fülöp Ildikó igazgatóság elnöke
Jelen rendelkezéseket a Társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és a bármely más, jelen szabályzat hatálybalépése előtt hatályba lépett szabályzat előírásai között, abban az esetben jelen rendelkezések az irányadóak.
1. Jelen szabályzat készítése során figyelembe vett jogszabályok
1.1. A szabályzat elsősorban az alábbi jogszabályok figyelembe vételével készült:
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.),
- a Munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.),
- a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.),
- az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: Rendelet),
- egyéb személyes adatok kezelésére vonatkozó jogszabályok.
2. A szabályzat célja
2.1. A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a személyes adatok kezelésére, továbbítására, feldolgozására és védelmére vonatkozó jogszabályok érvényesülését a működése során.
2.2. Jelen szabályzat célja egyrészt, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság, illetve a Társaság által megbízott adatfeldolgozók által kezelt adatokról, valamint az adatkezelés, illetve adatfeldolgozás szabályairól, jellemzőiről. Jelen szabályzat célja továbbá, hogy meghatározza a Társaság adatkezelési műveleteire, tevékenységeire vonatkozó szabályokat és irányt mutasson a munkavállalók részére a személyes adatok kezelése során.
2.3. Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
3. A szabályzat hatálya
3.1. Jelen szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul.
3.2. Jelen szabályzat személyi hatálya kiterjed a Társaság minden munkavállalójára, valamint a Társasággal megbízási jogviszonyban álló olyan személyekre, akik személyes adatokat kezelnek.
3.3. Jelen szabályzat hatálya kifejezetten kiterjed azon további személyekre, akik magukra nézve a Társasággal történő együttműködés során kötelezőnek elfogadják.
3.4. A szabályzat hatálya kiterjed a munkavállalók, valamint egyéb természetes személyek személyes adatainak kezelésére.
3.5. Jelen szabályzat 2018. május 23. napján lép hatályba.
4. Fogalmak
4.1. A jelen szabályzat fogalmi rendszere megfelel a Rendelet 4. cikkében meghatározott értelmező fogalommagyarázatoknak, így különösen:
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
„üzleti partner”: azon gazdasági szereplő, amellyel a Társaság szerződéses jogviszonyban áll.
4.2. Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadóak.
4.3. Amennyiben a jelen szabályzat, vagy a Társaság egyéb, személyes adatok kezelését szabályozó dokumentuma adatkezelésre, vagy adatokra hivatkozik, azon személyes adat kezelését, illetve személyes adatokat kell érteni.
5. Az adatkezelés elvei
5.1. Adatkezelés célhoz kötöttsége
5.1.1. Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a Társaság jogalap hiányában nem kezeli ezekkel a célokkal össze nem egyeztethető módon. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
5.1.2. A meghatározott célból kezelt személyes adatot a Társaság egyéb célból csak megfelelő jogalap esetén kezeli.
5.1.3. Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és kezelésük ezekkel a célokkal össze nem egyeztethető módon nem történik.
5.1.4. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható, tehát bármely közvetlen vagy közvetett módon a személyes adatból az érintett személye azonosítható.
5.1.5. A Társaság gondoskodik arról, hogy a személyes adatokhoz csak olyan munkavállalói, illetve adatfeldolgozói férhessenek hozzá, akik, vagy amelyek adatkezelése, adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósultnak tekinthető. A célhoz kötöttség elvének megvalósulása biztosítása minden esetben a Társaság igazgatósági tagjának a felelőssége.
5.1.6. Az adatkezelési cél megvalósulását, vagy az adatkezelési időtartam lejártát követően a kezelt személyes adatok törlésre kerülnek. Az adott adatkezelési célhoz kapcsolódóan a Társaság az adatkezelés megkezdésekor megállapítja az adatkezelés időtartamát. Amennyiben a cél megvalósult, vagy az adatkezelési időtartam lejárt, a Társaság nem törli azon személyes adatokat, amelyek kezelésére más célból is sor kerül, és azon cél tekintetében a jogszerű adatkezelés feltételei fennállnak.
5.2. Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A Társaság nem él vissza helyzetével, és az adatokat nem kezeli a jogszabályban meghatározottakkal ellentétesen, vagy rosszhiszeműen. Az átláthatóság elvének érvényesítése során a Társaság tájékoztatja az érintettet az adatkezelés lényeges jellemzőiről és rögzíti is ezen jellemzőket. A Társaság a személyes adatok kezelését kizárólag ezen tájékoztatóban írtak szerint végzi.
5.3. Adattakarékosság elve
5.3.1. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához megfelelő, releváns és szükséges. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
5.3.2. A meghatározott adatkezelési cél eléréséhez szükséges személyes adatok körét, valamint azok kezelésének idejét minden esetben az igazgatósági tagja határozza meg.
5.4. Pontosság
5.4.1. A Társaság által kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. A Társaság minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.
5.4.2. A Társaság az érintettet minden esetben tájékoztatja arról, hogy köteles a személyes adatai megváltozását késedelem nélkül bejelenteni.
5.4.3. A Társaságnak amikor van lehetősége, így különösen az érintettel történő személyes kapcsolatteremtés során, egyezteti a kezelt személyes adatait az adatok pontosságának biztosítása érdekében.
5.5. Korlátozott tárolhatóság elve
5.5.1. A személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
5.5.2. A személyes adatok 5.5.1. pontban írtnál hosszabb ideig történő kezelésére (tárolására) csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor.
5.5.3. Az adatkezelés időtartamát a cél eléréséhez szükséges mértékben az igazgatósági tagja állapítja meg minden adatkezelési cél esetében.
5.5.4. A Társaság a korlátozott tárolhatóság elvének maradéktalan érvényesítése érdekében minden év december hónapjában ellenőrzést végez annak biztosítása érdekében, hogy a törlendő személyes adatok törlése valóban megtörtént-e. Az ellenőrzésről jegyzőkönyv készül, melyben rögzíti, hogy hány és milyen típusú személyes adat törlésére került sor az ellenőrzés során, valamint a törlés okát.
5.6. Elszámoltathatóság elve
5.6.1. A Társaság a személyes adatok kezelése során a Rendeletben foglaltaknak történő megfelelést biztosítja. A Társaság a megfelelést, valamint az ehhez szükséges és általa megtett intézkedéseket oly módon hajtja végre, hogy azt minden esetben igazolni tudja a későbbiekben az érintett, valamint az illetékes hatóságok felé.
5.6.2. A Társaság a személyes adatok jogszerű kezelésével kapcsolatos minden lényeges körülményt, a különböző előírásoknak történő megfelelés érdekében tett intézkedéseket, az elvégzett hatásvizsgálatokat, érdekmérlegeléseket, az adatkezeléssel kapcsolatos döntéseinek a jogi indokát, valamint minden egyéb olyan körülményt, mely a Rendeletben foglaltak teljesítése érdekében szükséges, írásban rögzíti.
5.6.3. A Társaság az 5.6.1. pontban foglaltak biztosítása érdekében szervezési és technikai intézkedéseket tesz.
6. Adatbiztonság
6.1. A Társaság az adatkezelés során mindvégig gondoskodik a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról. A Társaság az adatkezelési műveleteit oly módon végzi, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmi jelleg). A Társaság továbbá a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A Társaság ennek biztosítása érdekében többek között a 6.11. pontban írtak szerint biztonsági másolatokat készít.
6.2. A Társaság az adatkezelési műveleteit úgy tervezi meg és hajtja végre, hogy az adatkezelésre vonatkozó jogszabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.
6.3. A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet, valamint az egyéb személyes adatvédelmi szabályok érvényre juttatásához szükségesek.
6.4. A Társaság az adatkezelés időtartama alatt az adatok biztonságos tárolása, az időtartam lejártával az adatállomány végleges és visszaállíthatatlan törlése, fizikai megsemmisítése érdekében megteszi a szükséges intézkedéseket.
6.5. Az igazgatósági tagja ellenőrzi, hogy a kezelt adatok továbbításukat követően is olyan adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki, vagy amely az adatok biztonságos kezeléséről megfelelően gondoskodik.
6.6. A személyes adatok kezelése során a Társaság biztosítja:
a) a jogosulatlan adatbevitel megakadályozását,
b) az adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását tűzfal alkalmazásával.
6.7. A papír alapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:
a) az adatokat csak az arra jogosultak ismerik meg, azokhoz más nem fér hozzá, más számára fel nem tárható;
b) a dokumentumokat jól zárható, száraz, tűzriasztó és vagyonvédelmi berendezéssel ellátott helyiségben őrzi;
c) a folyamatos aktív kezelésben lévő iratokhoz csak az illetékeseknek biztosít hozzáférést;
d) az adatkezelést végző munkavállaló a nap folyamán csak úgy hagyja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
e) az adatkezelést végző munkatárs a munkavégzés befejeztével az általa használt papíralapú adathordozót elzárja;
f) amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza,
g) a személyes adatokat tartalmazó papír alapú dokumentumok megsemmisítése oly módon történik, hogy később semmilyen módszerrel ne lehessen azok adattartalmát visszaállítani (iratmegsemmisítés).
6.8. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
a) az adatkezelés során a munkavállalók elsősorban olyan eszközöket vesznek igénybe, melyek a társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a társaság,
b) a Társaság informatikai rendszerére kívülről történő rácsatlakozás biztonságosan, kizárólag felhasználónévvel és jelszóval lehetséges,
c) a számítógépen található adatokhoz érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen gondoskodik;
d) amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adat visszaállíthatatlanul törlésre kerül;
e) a Társaság munkavállalói a munkavégzés céljából rendelkezésükre bocsátott eszközökön saját személyes adataikat nem tárolják;
f) a Társaság munkavállalói munkavégzésükkel összefüggésben kizárólag a Társaság által biztosított @merkapt.hu végződésű e-mail címet jogosultak használni;
g) az f) pont szerinti e-mail címet a munkavállalók magáncélra nem jogosultak használni;
h) a Társaság a személyes adatokat kezelő hálózaton a vírusvédelemről és tűzfalvédelemről folyamatosan gondoskodik; a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
6.9. A Társaság az adattovábbítások során különös figyelemmel jár el az adatbiztonság elvének biztosítása érdekében, és kizárólag olyan csatornánk végez adattovábbítást, mely megbízható. Ha ezzel kapcsolatban valamely munkavállalónak kétsége merül fel, köteles az igazgatósági tagjától utasítást kérni.
6.10. A Társaság az adatbiztonság biztosítása érdekében tett technikai és szervezési intézkedéseit 2 évente felülvizsgálja, ezzel biztosítva, hogy azok a technika mindenkori állásához igazodnak.
6.11. A Társaság rendszeres biztonsági mentésekkel gondoskodik arról, hogy fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza tudja állítani. Amennyiben a biztonsági mentésből visszaállítás történik, a Társaság gondoskodik róla, hogy törölt, vagy helyesbített személyes adat ne kerülhessen visszaállításra. A Társaság a biztonsági mentések adatkezelési időtartamát 15 napban határozza meg.
6.12. A Társaság elektronikusan kezelt személyes adatokat kizárólag olyan esetben nyomtat ki, amikor ez kifejezetten szükséges valamilyen jog gyakorlásához, vagy kötelezettség teljesítéséhez.
7. Beépített és alapértelmezett adatvédelem
7.1. A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, szabályok érvényesítése, másrészt a Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
7.2. A Társaság megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések azt biztosítják, hogy a személyes adatok alapértelmezés szerint természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
7.3. A Társaság biztosítja, hogy a személyes adatok különböző kategóriáihoz kizárólag azokban a munkakörökben foglalkoztatott munkavállalók férnek hozzá, akiknek a munkaköri feladata az adott személyes adatok kezeléséhez kapcsolódik. A munkavállalók saját jelszóval és felhasználói fiókkal rendelkeznek a számítástechnikai rendszerekhez, ezzel biztosítva a jogosulatlan hozzáférés megelőzését. A személyes adatokat tartalmazó papír alapú iratok tárolása akként történik, hogy az iratokhoz csak azon munkavállalók férnek hozzá, akik jogosultak a személyes adatok kezelésére.
7.4. A Társaság biztosítja, hogy a személyes adatok különböző kategóriáit kizárólag olyan adatfeldolgozók részére kerüljenek továbbításra, akik az adatkezelést a 7.1. és 7.2. pontban írtak szerint végzik.
8. Érintettek jogai
8.1. Tájékoztatáshoz való jog
8.1.1. Amennyiben a személyes adatot a Társaság az érintettől gyűjti, úgy a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információkat:
a) a Társaságnak a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja, hozzájáruláson alapuló adatkezelés esetén a hozzájárulás visszavonásának lehetősége;
d) a jogos érdeken alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos érdekei;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
8.1.2. A Társaság a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, az adatok hordozását, és tiltakozhat a személyes adatok kezelése ellen;
c) a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.
8.1.3. Ha és amilyen mértékben az érintett már rendelkezik a fenti információkkal, abban a körben a 8.1.1. és 8.1.2. pont szerinti tájékoztatása nem szükséges az adatkezelés jellemzőiről.
8.1.4. Ha a Társaság a személyes adatokat nem az érintettől szerezte meg, az érintett rendelkezésére bocsátja a következő információkat:
a) a Társaságnak a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
8.1.5. A Társaság annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) a jogos érdeken alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos érdeke;
c) az érintett azon jogáról, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
d) a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
e) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
f) a személyes adatok forrásáról,
g) ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
8.1.6. A Társaság a 8.1.4. és 8.1.5. pontban írt tájékoztatásokat az alábbiak szerint adja meg:
a) személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
8.1.7. A tájékoztatást nem kell megadni, amennyiben
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Ilyen esetekben a Társaságnak megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
8.1.8. Ha a Társaság a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
8.1.9. A Társaság az érintetteket minden alkalommal tájékoztatja a személyes adataik kezeléséről.
8.1.10. A Társaság a tájékoztatást az érintett részére minden esetben olyan módon nyújtja, hogy az elszámoltathatóság elvének megfelelően később igazolható legyen, így elsősorban írásban. Szóbeli tájékoztatás nem megfelelő.
8.1.11. A Társaság minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt.
8.1.12. A Társaság az adatvédelmi incidens bekövetkezéséről az érintettet a 17. pontban írtak szerint tájékoztatja.
8.2. Hozzáférési jog
8.2.1. Az érintett kérelmére a Társaság tájékoztatja, hogy a személyes adatainak kezelése folyamatban van-e és ha igen, akkor a személyes adatokhoz és a következő információkhoz hozzáférést biztosít a részére:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának, illetve bírósági eljárás megindításának joga;
g) ha az adatokat nem az érintettől gyűjtötte, a forrásukra vonatkozó minden elérhető információ;
h) ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
8.2.2. A Társaság kérelemre az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért adminisztratív költségeken alapuló, ésszerű mértékű díj kerül felszámításra. A díj meghatározása az igazgatóság tagjának feladata. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk széles körben használt elektronikus formátumban kerülnek a rendelkezésére bocsátásra, kivéve, ha az érintett másként kéri. A személyes adatok rendelkezésre bocsátása nem érintheti hátrányosan mások jogait és szabadságait.
8.3. Személyes adatok helyesbítéséhez való jog
8.3.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
8.3.2. A Társaság – összhangban a pontosság elvével - az érintettel történő kapcsolatfelvétel során amennyiben van rá lehetősége, egyezteti az érintett személyes adatait és szükség esetén helyesbíti azokat. A személyes adatok egyeztetése kizárólag biztonságos kommunikációs csatornán keresztül történik.
8.4. Személyes adatok törléséhez való jog (elfeledtetéshez való jog)
8.4.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik a közvetlen üzletszerzés céljából történő adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
8.4.2. Ha a Társaság jogszerűen nyilvánosságra hozta a személyes adatot, és azt a 8.4.1. pont szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőle a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
8.4.3. Az 8.4.1. és 8.4.2. bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő közérdek alapján;
d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
8.4.4. Az adatok törlése végelegesen és visszaállíthatatlanul történik. A törléssel érintett személyes adatok a Társaság minden adatbázisából törlésre kerülnek. A Társaság a törlést úgy hajtja végre, hogy a jelen szabályzatban foglaltak szerint azt később igazolni tudja. A papír alapú személyes adatok törlése iratmegsemmisítő gép alkalmazásával történik. Személyes adatot tartalmazó okirat, vagy tárgy megsemmisítésére kizárólag olyan módon kerül sor, amely lehetetlenné teszi, hogy bármilyen módszerrel a személyes adat az adathordozóból újból előállítható legyen.
8.5. Tiltakozási jog a személyes adatok kezelése ellen
8.5.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen amennyiben az adatkezelés:
a) a közérdekű, az adatkezelőre ruházott közhatalmi jogosítványon gyakorlásának keretében végzett feladat végrehajtásához szükséges,
b) az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,
ideértve az említett rendelkezéseken alapuló profilalkotást is. Ilyen esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
8.5.2. Ha a személyes adatokat a Társaság közvetlen üzletszerzés érdekében kezeli, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
8.6. Az adatkezelés korlátozásához való jog
8.6.1. Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
8.6.2. Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak
a) az érintett hozzájárulásával,
b) jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
c) más természetes vagy jogi személy jogainak védelme érdekében, vagy
d) az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
8.6.3. A Társaság az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
8.7. Adathordozhatósághoz való jog
8.7.1. Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Társaság, ha
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul és
b) az adatkezelés automatizált módon történik.
8.7.2. Az érintett jogosult kérni, hogy személyes adatait a Társaság közvetlenül egy másik adatkezelőnek küldje meg.
8.7.3. A Társaság az adathordozhatósághoz való jog érintett általi gyakorlása esetén a személyes adatokat fogadó adatkezelő tevékenységéért felelősséggel nem tartozik.
8.8. Jogorvoslathoz való jog
8.8.1. Az érintettet a 16.3. pont szerint megilleti a jogorvoslathoz való jog ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó jogszabályokban meghatározott előírás megsértésével kezeli.
9. Érintettek jogainak érvényesítése
9.1. Az érintettek a 8. pontban írt jogaik érvényesítése, az adatkezeléssel kapcsolatos észrevételeik megtétele érdekében, vagy bármilyen egyéb adatkezeléssel kapcsolatos témában az info@merkapt.hu e-mail címen, vagy személyesen és postai úton a mindenkori székhelyen vehetik fel a kapcsolatot a Társasággal.
9.2. Az érintettek jogainak gyakorlásával kapcsolatos tájékoztatások, illetve az egyéb érintettel folytatott kommunikáció tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően kerül megfogalmazásra.
9.3. Az érintetti jogok gyakorlása során a Társaság indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. A tájékoztatást ugyanazon csatornán szükséges megadni, amit az érintett használ a kérelem előterjesztésekor, kivéve, ha kifejezetten máshogy kéri.
9.4. A Társaság az érintetti kérelmet a beérkezésekor rögzíti a melléklet szerinti nyilvántartásba, és a beérkezését követően legfeljebb 3 napon belül megkezdi annak teljesítését. A kérelem teljesítésére az igazgatóság tagja jelöli ki az illetékest a munkaszervezeten belül a kérés jellege és az érintett személyes adatok figyelembe vételével. Mielőtt a Társaság a kérelmet érdemben teljesítené, azonosítja a kérelmezőt. A kérelmet érdemben a Társaság kizárólag a beazonosítást követően teljesíti. A Társaság tájékoztatást nem ad, személyes adatot nem szolgáltat ki és érintetti jog gyakorlását nem teszi lehetővé, amíg az érintett azonosítása meg nem történt. Az érintett beazonosítását követően a kérelem teljesítésére kijelölt illetékes munkavállaló késedelem nélkül, de legkésőbb a kérelem beérkezését követő 15 napon belül előterjeszti az igazgatóság tagjának a kérelem teljesítésére vonatkozó, jogi szempontból alátámasztott javaslatát. A kérelem teljesítéséről, és annak pontos tartamáról a végső döntést az igazgatóság tagja hozza meg a javaslat előterjesztését követő 5 napon belül.
9.5. A Társaság a jogszabályokban meghatározott időtartamon belül teljesíti a kérelemben, vagy egyéb megkeresésben foglaltak, illetve tájékoztatja az érintettet a teljesítés megtagadásának indokáról.
9.6. Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett mely hatóságnál és milyen feltételek mellett élhet panasszal, vagy bírósági jogorvoslati jogával.
9.7. A 8.1. pont szerinti, az érintetti jogok gyakorlásával, valamint az adatvédelmi incidensekkel kapcsolatos tájékoztatást és intézkedést a Társaság díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre
a) észszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli. Az a) pont szerinti díj mértékét az igazgatóság tagja határozza meg.
9.8. Amennyiben a Társaságnak megalapozott kétségei vannak az érintetti jogok gyakorlására irányuló kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
9.9. Az érintettet nem érheti hátrányos megkülönböztetés a jelen szabályzatban, vagy valamely jogszabályban a személyes adatai kezelésével kapcsolatban biztosított joga gyakorlása miatt.
9.10. A Társaság minden olyan címzettet tájékoztat az érintett személyes adatainak helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.
10. Adatvédelem rendszere, felelősség
10.1. Az igazgatóság tagja
10.1.1. A Társaság vezetője az igazgatósági tag. Az igazgatóság tagja felelős a Társaság adatkezelésének jogszerűségéért. A társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre valamint az azzal összefüggő tevékenységre vonatkozó feladat-és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.
10.1.2. Az igazgatóság tagja az adatvédelemmel kapcsolatosan:
a) felelős az érintettek jogszabályokban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
b) felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
c) felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
d) személyes adatkezelési vizsgálatot rendelhet el;
e) felelős az érintetti kérelmek teljesítéséért;
f) képviseli a Társaságot a külső szervektől és személyektől érkező, a Társaság személyes adatokat érintő adatkezelésével összefüggő megkeresések tekintetében;
g) elkészítteti és biztosítja a naprakészségét a Társaság Adatvédelmi szabályzatának;
h) biztosítja, hogy a Társaság kizárólag olyan adatfeldolgozók szolgáltatásait vegye igénybe, amelyek a személyes adatok kezelését a hatályos jogszabályok tiszteletben tartásával végzik;
i) kijelöli (amennyiben szükséges) az adatvédelmi tisztviselőt, és biztosítja számára a megfelelő forrásokat;
j) kialakítja a Társaság adatvédelemmel kapcsolatos belső szabályait.
10.1.3. Kijelöli a személyes adatok kezelésére vonatkozó jogosultságokat és ellenőrzi ezek betartását.
10.2. A Társaság munkatársai
10.2.1. Munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy történjen, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
10.2.2. Feladatkörükön belül felelősek az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért. Tevékenységük során amennyiben szükséges, az adatkezelési műveletet megelőzően egyeztetnek az igazgatóság tagjával.
10.2.3. Kezelik és megőrzik a feladataik, illetve munkakörük ellátása során birtokukba került adatokat.
10.2.4. Kötelesek részt venni a Társaság által szervezett adatvédelmi oktatáson.
10.2.5. Az adatkezeléssel kapcsolatosan feltárt visszásságot kötelesek haladéktalanul jelenteni és szükség esetén részt venni a megszüntetésükben.
10.2.6. Munkájuk során betartják az adatkezelésre vonatkozó jogszabályokat, valamint jelen szabályzatot.
10.2.7. A személyes adatok kezelését elsősorban a Társaság által kijelölt technikai eszközökön és a Társaság által meghatározott szoftverekkel kötelesek végezni. Egyéb hard-, és szoftverek használata kizárólag az igazgatóság tagja engedélyével lehetséges.
10.2.8. Személyes adatot tartalmazó adatállományt kizárólag biztonságos csatornán jogosultak továbbítani. Amennyiben a használni kívánt kommunikációs csatorna biztonságának megfelelősége felől kétségük merül fel, az adattovábbítást megelőzően kötelesek az igazgatóság tagja utasítását kérni az ügyben.
10.2.9. PIN kód és telefonzár használata kötelező azon mobiltelefon esetében, melyben személyes adatok kezelése (tárolása) történik a munkavállalók által. Jelszavas védelem használata kötelező valamennyi személyes, vagy üzleti adatok kezelésére használt eszköz esetében.
10.2.10. Ha lehetőségük nyílik rá, az érintettel történő kommunikáció során adategyeztetést végeznek, amennyiben a kommunikációs csatorna megfelelő biztonságú.
11. Adatkezelés jogalapja
11.1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés a Társaságra vonatkozó uniós, vagy nemzeti jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
11.2. Ha az adatgyűjtés céljától eltérő célból kezel személyes adatot a Társaság, és az adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a Rendelet 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, a Társaság hatásvizsgálatot végez, és többek között figyelembe veszi:
a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az Társaság közötti kapcsolatokra;
c) a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó;
d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
e) megfelelő garanciák meglétét.
11.3. Ha az adatkezelés hozzájáruláson alapul, a Társaság a hozzájárulást úgy szerzi be, hogy később képes legyen annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, és hozzájárulása az akaratának
a) önkéntes,
b) konkrét és megfelelő tájékoztatáson alapuló,
c) egyértelmű kinyilvánítása,
d) amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
11.4. Ha az érintett hozzájárulását olyan írásbeli szerződésben, vagy egyéb nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.
11.5. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben történik, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
11.6. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon teszi lehetővé a Társaság, mint annak megadását.
11.7. Valamely szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül nem szabható olyan személyes adat kezeléséhez való hozzájárulást, amely nem szükséges a szerződés teljesítéséhez.
11.8. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése kizárólag abban az esetben lehetséges, ha
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez,
b) az adatkezelés a Társaságnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges,
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
e) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
f) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
g) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján;
h) az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
11.9. A munkáltatói adatkezelés a jogviszony természetéből eredő alá-, fölérendeltségi viszonyból következően hozzájáruláson kivételesen, kizárólag akkor alapulhat, ha az adatkezelési művelet természetéből következően a munkavállalónak valóban van lehetősége a hozzájárulás megtagadására.
11.10. Amennyiben az adatkezelés jogalapja a 11.1. c) pont szerint a Társaságra vonatkozó jogszabályi kötelezés, a Társaság az érintettet tájékoztatja a konkrét jogszabályhelyről, mely az adatkezelést előírja.
11.11. A 11.1. f) pont szerinti, az adatkezelő vagy harmadik személy jogos érdekén alapuló adatkezelés esetén adatkezelés megkezdése előtt a Társaság érdekmérlegelési tesztet végez annak megállapítására, hogy a társaság jogos érdeke mennyiben érinti hátrányosan az érintettek jogait és szabadságait. A tesztben a Társaság:
a) megvizsgálja, hogy valóban szükséges-e az adatkezelés,
b) meghatározza a saját, vagy a harmadik személy jogos érdekét,
c) meghatározza az érintettek védendő érdekeit,
d) meghatározza az érintett érdekeinek védelme érdekében tett intézkedéseket, biztosítékokat
e) összeveti a saját maga és az érintettek jogos érdekeit.
11.12. Az érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek - ideértve a közérdekű adatok nyilvánosságát is - nem sérthetik, illetve korlátozhatják.
12. Adatkezelési tevékenységek
12.1. Kamerarendszer üzemeltetése
12.1.1. Általános rendelkezések
12.1.1.1. A Társaság az 1106 Budapest, Maglódi út 14/B. alatti székhelyén, továbbá a 1134 Budapest, Róbert Károly krt. 88.; 1134 Budapest, Róbert Károly krt. 90.; 1095 Budapest, Mester utca 33-35.; 1212 Budapest, Kossuth Lajos utca 17.; 1117 Budapest, Budafoki út 183.; 1143 Budapest, Hungária krt. 92-94.; 1081 Budapest, Fiumei út 10.; 9023 Győr, Fehérvári út 16/B.; 4002 Debrecen, Ragoda dűlő 5. hrsz. 0198/17.; 6722 Szeged, Budapesti utca 2. szám alatti telephelyein (továbbiakban együttesen: székhely) kamerás megfigyelést folytat, valamint a jelen szabályzatban írt időtartamban rögzíti a kamerák felvételét. A megfigyelés érinti a munkavállalókat és érinthet bármely egyéb személyt, aki a Társaság székhelyén a kamerák látószögében tartózkodik.
12.1.1.2. A Társaság kizárólag magánterületet figyel meg, közterület megfigyelésére nem kerül sor.
12.1.1.3. A Társaság nem alkalmaz kamerás megfigyelést olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, a munkavállaló pihenőidejének, munkaközi szünetének eltöltésére szolgáló helyiségben. A munkavállaló magánélete nem ellenőrizhető.
12.1.1.4. A kamerás megfigyelés jellemzőinek meghatározás során a jelen szabályzatban foglaltakat a Társaság tiszteletben tartja. A kamerás megfigyelés során a célhoz kötöttség elvének érvényesülése érdekében a kamerák látószögét a Társaság úgy állítja be, hogy kizárólag a megfigyelés céljával összhangban álló területre fokuszáljon.
12.1.1.5. Jelen szabályzat melléklete tartalmazza a Társaság által üzemeltetett kamerarendszerre vonatkozó adatvédelmi tájékoztatót. A tájékoztatóban bejelölésre került a kamerák pontos helye, a látószögük, valamint minden kamera vonatkozásában a rögzített kép.
12.1.1.6. A Társaság nem használ olyan kamerát, amely valamely munkavállalót, és az általa végzett tevékenységet figyeli meg. A Társaságnak a kamerarendszer üzemeltetésével nem célja a munkavállalók munkahelyi viselkedésének a befolyásolása.
12.1.1.7. A Társaság a kamerák élő képét folyamatosan figyelemmel követi, valamint a jelen szabályzatban meghatározott munkakörben foglalkoztatott munkavállalók hozzáféréssel rendelkeznek a kamerák élő képéhez, így felhasználónévvel és jelszóval történő azonosítást követően lehetőségük van bármikor betekinteni azokba.
12.1.1.8. A rögzített felvételek visszanézésére kizárólag nyilvántartásban dokumentáltan van lehetőség, indokolt esetben. A felvétel visszanézésére kizárólag jogszabálysértés, annak gyanúja, illetve személyi sérülés bekövetkezése szolgálhat indokul. A jegyzőkönyvben rögzíteni kell a visszanézés célját, okát, idejét, a felvételt megtekintők pontos személyét, és a megtekintés alapján tett intézkedéseket.
12.1.1.9. A kamerák működtetése folyamatosan történik. A kamerákat kikapcsolni, eltakarni vagy bármely módon a rögzítést akadályozni tilos.
12.1.1.10.A Társaság az adatkezelés lényeges, jogszabályban meghatározott jellemzőiről tájékoztatja az érintetteket figyelemfelhívó táblák elhelyezésével, valamint részletes adatkezelési tájékoztató rendelkezésre bocsátásával.
12.1.1.11.A kamerák által megfigyelt terület kijelölése, valamint az alkalmazott kamerák típusa és mennyisége a személyes adatok kezelésére vonatkozó jogszabályok, és különösen a célhoz kötöttség, az adattakarékosság, a jogszerűség elvének figyelembe vételével kerül meghatározásra.
12.1.1.12.Az adatkezeléssel érintett személyes adat az érintettek képmása.
12.1.2. Kamerarendszer üzemeltetésének célja
12.1.2.1. A Társaság célja a kamerarendszer üzemeltetésével a vagyonvédelem a célja, e körben pedig a jogsértések észlelése, az elkövető tettenérése, e jogsértő cselekmények megelőzése, a bekövetkezett személyi sérülések körülményeinek felderítése, valamint, hogy a felvételek ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra.
12.1.2.2. A kamerarendszer alkalmazásának további célja a jogsértő cselekmények megelőzése a rendszer alkalmazásának preventív hatását kihasználva.
12.1.3. Kamerarendszer üzemeltetésének jogalapja
12.1.3.1. A személyes adatok kezelésének jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja szerint a Társaság jogos érdeke. A Társaság jogos érdeke a vagyonvédelemhez kapcsolódóan elsősorban:
a) jogsértések megelőzése,
b) jogsértések, szabálysértések és bűncselekmények észlelése,
c) az elkövető tettenérése,
d) jogsértés elkövetése esetén az elkövető beazonosítása,
e) a kamerafelvétel felhasználása hatósági, és/vagy bírósági eljárásban,
12.1.3.2. A kamerarendszer üzemeltetése a vagyonvédelmet továbbá annyiban szolgálja, hogy a rendszer üzemeltetésének a ténye is jelentős visszatartó hatással bír.
12.1.3.3. A kamerarendszer alkalmazásához kapcsolódóan a Társaság érdekmérlegelés tesztet készített, mely jelen szabályzat mellékletét képezi.
12.1.4. Felvétel tárolása, felhasználása
12.1.4.1. A felvételeket felhasználás hiányában a Társaság legfeljebb 3 munkanapig őrzi. A felvétel törlése automatikusan történik.
12.1.4.2. A felvételek a Társaság székhelyén található adattárolón kerülnek tárolásra.
12.1.4.3. Felhasználásnak az minősül, ha a rögzített felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.
12.1.4.4. Az, akinek jogát vagy jogos érdekét a felvétel érinti, annak rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot a Társaság ne semmisítse meg, illetve ne törölje. A kérelem elbírálására az igazgatóság tagja jogosult.
12.1.4.5. Bíróság vagy más hatóság megkeresésére a rögzített felvételt haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített felvételt meg kell semmisíteni.
12.1.5. Adatkezelési jogosultság
12.1.5.1. A kamerák képének élőben történő megtekintésére jogosultak:
a) igazgatósági tag
b) a Társaság székhelyén az irodavezető, a telephelyein pedig az ott dolgozó üzletvezető fér hozzá, akik munkakörébe tartozik a kamerák elő képének ellenőrzése.
12.1.5.2. A rögzített felvétel megtekintésére jogosultak:
a) igazgatósági tag
12.1.5.3. Az élő kép állandó figyelemmel követésére a jelen szabályzatban meghatározott személyek jogosultak.
12.1.5.4. A rögzített felvétel megtekintésére kizárólag akkor kerül sor, ha vagyon elleni jogsértés, vagy annak gyanúja merült fel.
12.1.5.5. Kizárólag az igazgatóság tagja jogosult dönteni a felvétel megtekintéséről, felhasználásáról, illetve továbbításáról.
12.1.6. Adatbiztonsági intézkedések
12.1.6.1. A Társaság szervezési és technikai intézkedéseket is hoz a felvételek biztonsága érdekében.
12.1.6.2. Az élő képhez, és a tárolt felvételekhez hozzáférés csak biztonságos módon és akként történik, hogy az adatkezelő személye azonosítható legyen. A rögzített felvételek visszanézését és a felvételekről készített mentést a Társaság dokumentálja. A rögzített felvételek visszanézésére kizárólag indokolt és nyilvántartásban rögzített esetben kerül sor. A nyilvántartásban rögzítésre kerül a visszanézés célja, oka, ideje, a felvételt megtekintők pontos személye, és a visszanézés alapján végrehajtott cselekmények.
12.1.6.3. A felvétel továbbításáról a Társaság nyilvántartást vezet, mely tartalmazza az alábbiakat:
a) továbbítás címzettje,
b) ideje,
c) módja,
d) célja,
e) jogalapja.
12.2. Munkáltatói adatkezelés
12.2.1. Álláshirdetésre jelentkezők adatainak a kezelése
12.2.1.1. A Társaság a megüresedett állásait álláshirdetések útján tölti be.
12.2.1.2. Az adatkezelés célja a Társaság által meghirdetett állás betöltéséhez szükséges kiválasztási folyamat lebonyolítása. A kiválasztás során szükséges a jelentkezők szakmai és emberi jellemzőinek, iskolai végzettségének, korábbi munkatapasztalatának a megismerése abból a célból, hogy a Társaság megtalálja a megüresedett pozíció betöltésére leginkább alkalmas személyt. Ezen cél érdekében a Társaság kizárólag a jelentkező által rendelkezésre bocsátott adatokat kezeli.
12.2.1.3. A Társaság által kezelt személyes adatok: pályázók önéletrajza, motivációs levele, esetlegesen a végzettségét és képzettségét igazoló okmányok másolata. Amennyiben az érintett további személyes adatokat küld a Társaság részére, akkor azok kezelése is a jelen szabályzatban írtak szerint történik. Amennyiben az állásjelentkezésének elbírálásához valamely, az érintett által megküldött dokumentumra vagy adatra nincs a Társaságnak szüksége, vagy azok kezelése ellentétes a célhoz kötöttség elvével, úgy azokat töröli, vagy megsemmisíti.
12.2.1.4. A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés a) pontja szerint az érintett hozzájárulása.
12.2.1.5. A Társaság az általa feladott álláshirdetésre történő jelentkezés, valamint az álláshirdetés hiányában a részére önkéntesen megküldött jelentkezés esetén a személyes adatokat a jelen szabályzat, illetve a vonatkozó jogszabályok előírásai szerint kezeli. A Társaság amennyiben bármilyen módon állásjelentkezést kap, az érintettet a jelen mellékletében található adatkezelési tájékoztató útján tájékoztatja az adatkezelés jellemzőiről.
12.2.1.6. A Társaság a részére megküldött jelentkezéseket és pályázatokat a meghirdetett pozíció betöltéséhez szükséges ideig, legfeljebb azonban a személyes adatok rendelkezésére bocsátásától számított 1 évig kezeli.
12.2.1.7. Amennyiben az érintett álláshirdetés hiányában jelentkezik a Társasághoz, az adatkezelés megkezdését megelőzően a Társaság a hozzájárulást beszerzi az érintettől. Az adatkezelésére ilyen esetben legfeljebb a jelentkezése elbírálásához szükséges ideig kerül sor.
12.2.2. Munkaviszony létesítéséhez, teljesítéséhez, módosításához, megszüntetéséhez kapcsolódó személyes adatkezelés
12.2.2.1. A munkaviszonnyal kapcsolatos adatkezelés célja elsősorban a munkaviszony létesítése, teljesítése, módosítása és megszüntetése, és az ehhez kapcsolódó jogszabályi és egyéb kötelezettségek teljesítése.
12.2.2.2. A Társaság adatkezelésének jogalapja általánosságban a Rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (1) és (3) bekezdése, mely lehetővé teszi a munkavállalói adatok 12.2.2. pont céljából történő kezelését. A Társaság a jelen pont szerinti általános felhatalmazást adó jogszabályhelyeken felül a konkrét adatkezelési műveletet előíró jogszabályhelyet is megjelöli az adatkezelés jogalapjaként az adatvagyon-leltárában. A Társaság a munkavállalók személyes adatait hozzájárulás alapján kizárólag olyan esetben kezeli, amikor a munkavállalónak valóban van lehetősége arra, hogy önkéntesen, szabad belátása szerint döntsön a hozzájárulás megadásáról.
12.2.2.3. A Társaság a jelen ponthoz kapcsolódó célból a munkavállalóknak elsősorban az alábbi személyes adatait kezeli:
a) neve, születési neve,
b) születési helye és ideje,
c) állampolgársága,
d) anyja születési neve,
e) lakóhelyének, tartózkodási helyének címe,
f) magán-nyugdíjpénztári
o tagság ténye,
o belépés ideje (év, hó, nap),
o bank neve és kódja,
g) adóazonosító és társadalombiztosítási azonosító jele,
h) bankszámla száma,
i) munkaviszony kezdő napja, valamint a foglalkoztatás időtartamával kapcsolatos további adatok,
j) biztosítási jogviszony típusa,
k) heti munkaórák száma, jelenléti ív,
l) rendes és rendkívüli munkaidő, készenlét, szabadság, pótszabadság, rendkívüli szabadság, táppénz, baleseti táppénz, betegszabadság időtartama,
m) telefonszáma, e-mail címe,
n) családi állapota,
o) végzettséget igazoló okmány másolati példánya,
p) munka-alkalmassági egészségügyi igazolás, orvosi alkalmasság ténye,
q) munkaköre,
r) főálláson kívüli munkavégzés esetén
o jogviszony jellege,
o munkáltató neve és székhelye,
o a főálláson kívüli munkahelyen teljesített havi átlagos munkaidő,
o elvégzendő tevékenység,
s) az elszámolást követően a munkaköri alkalmassági záró orvosi vizsgálat elvégzésének ténye,
t) az Mt. 120. § alapján járó pótszabadság igénybevételével kapcsolatosan:
o a rehabilitációs szakértői szerv egészségkárosodás megállapítását igazoló okmánya,
o fogyatékossági támogatásra jogosultságot igazoló okmány fénymásolata,
o vakok személyi járadékára jogosultságot igazoló okmány fénymásolata,
u) pótszabadság, családi adókedvezmény, adómentes iskolakezdési támogatás igény bevétele céljából a munkavállaló hozzátartozójának
o születési helye és ideje,
o lakcíme,
o anyja neve,
o társadalombiztosítási azonosító jele (TAJ szám),
o adóazonosító jele,
o érvényes diákigazolvány meglétének ténye,
v) első házasok adókedvezményének igénybevétele esetén a házastárs vagy bejegyzett élettárs
o neve,
o adóazonosító jele,
o házasságkötés időpontja.
12.2.2.4. A Társaság munkavállalói harmadik személyek (hozzátartozó, eltartott, élettárs, házastárs, stb.) személyes adatait kizárólag az érintet előzetes felhatalmazása alapján jogosultak átadni. A személyes adatok átadásával a munkavállalók szavatolják, hogy felhatalmazással rendelkeztek az adatok átadására, és az adatok a valóságnak megfelelnek.
12.2.2.5. A Társaság kezelheti továbbá
a) végrehajtói letiltás esetén az ehhez kapcsolódó személyes adatokat,
b) a céges gépkocsi használata kapcsán a menetlevélen szereplő, valamint a gépkocsi használattal kapcsolatos egyéb információkat,
c) fegyelmi eljárások lefolytatása esetén az ezzel kapcsolatos személyes és egyéb adatokat,
d) az üzemorvos által a munkaalkalmasság körében kiadott igazolásokat,
e) különböző munkahelyi oktatásokkal kapcsolatos adatokat,
f) munkaruha biztosítása esetén a munkaruha méretével, típusával, valamint az átadásával kapcsolatos adatokat,
g) munkabaleset bekövetkezése esetén a balesettel kapcsolatos törvényben meghatározott adatokat, mely magában foglalja a Társaság döntését a baleset minősítésével kapcsolatban,
h) a Társaság által gyermek születése, vagy közeli hozzátartozó halála esetén nyújtott támogatás folyósításával kapcsolatos személyes adatokat,
i) céges telefon, SIM kártya, gépjármű rendelkezésre bocsátása esetén az ezzel kapcsolatos adatokat,
j) munkáltatói támogatások esetén az ezzel kapcsolatos adatokat,
k) a munkavállalók, vagy hozzátartozójuk betegsége, vagy valamilyen ellátás folyósítása esetén az ezzel kapcsolatos adatok,
l) a munkavállaló támogatás vagy pályázat keretében történő alkalmazásakor az ezzel kapcsolatos adatokat.
12.2.2.6. A Társaság jogszabályi kötelezés alapján a munkavállalók személyes adatait továbbíthatja a jogszabályban meghatározott címzettek felé elsősorban, de nem kizárólagosan az alábbiak szerint:
a) NAV részére a munkavállalók bejelentése és kijelentése kapcsán megküldendő nyomtatvány (T1041),
b) NAV részére havonta megküldendő adóbevallási nyomtatvány (T1808),
c) táppénz, gyermekgondozási díj, csecsemőgondozási díj, gyermek ápolás címén igényelt táppénz, baleseti táppénz igénylése esetén a nyomtatványban meghatározott személyes adatok továbbítása a NEAK felé,
d) letiltás foganatosítása esetén az ehhez kapcsolódó adatok megküldése a végrehajtó felé, valamint ellátás igénybevétele esetén a NEAK felé;
e) üzemi baleset bekövetkezése esetén a jegyzőkönyv és a munkáltató által hozott határozat megküldése a NEAK-nak, a jegyzőkönyv megküldése a munkavédelmi hatóság, valamint a szükséges iratok megküldése a Társaság biztosítója felé,
f) cafetéria juttatás esetén a cafetéria szolgáltató felé a juttatáshoz szükséges személyes adatok,
g) támogatás, vagy pályázat útján foglalkoztatott munkavállalók esetén a foglalkoztatással kapcsolatos, jogszabályokban meghatározott személyes adatok továbbítása a folyósító felé,
h) a nyugdíjbiztosítási szerv megkeresése alapján a munkavállalók foglalkoztatására vonatkozó személyes adatok,
i) gyermek születésekor az apát megillető pótszabadsággal összefüggő költségek elszámolása kapcsán a Magyar Államkincstár részére.
12.2.2.7. A személyes adatok továbbítására általánosságban a Rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (2) bekezdése ad jogalapot a Társaságnak. A Társaság az egyes adattovábbításokat a jelen pontban foglaltakon túl a konkrét adattovábbítást előíró jogszabályok kötelezése alapján végzi.
12.2.2.8. A Társaság a 12.2.2. pontban írt célból az adatkezelést az adó, társadalombiztosítási, nyugdíjbiztosítási, egészségbiztosítási, munka, munkavédelmi, számviteli, a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló, és valamennyi egyéb, az egyes iratok őrzési idejére vonatkozó jogszabályok előírásai szerint végzi.
12.2.3. Munkavállaló kijelölése szerződéses kapcsolattartónak, valamint a személyes adatai (név, telefon, e-mail) átadása üzleti partnerek részére
12.2.3.1. A Társaság a gazdasági tevékenysége folytatása során szerződéses kapcsolatba kerül más természetes és jogi személyekkel. A szerződés tárgyához kapcsolódóan a szerződő felek kijelölnek kapcsolattartókat abból a célból, hogy a szerződés teljesítése során felmerülő kérdésekkel egymáshoz forduljanak tájékoztatásért, valamint, hogy a szerződés minél hatékonyabb és gyorsabb teljesítése, és a teljesítés közben fellépő problémák mielőbbi megoldása érdekében együttműködjenek.
12.2.3.2. A Társaság szerződéses kapcsolattartónak olyan személyt jelöl ki, akinek a munkaköréhez kapcsolódik a szerződés tárgya.
12.2.3.3. A Társaság az érintett munkavállalót előzetesen tájékoztatja azon szándékáról, hogy kapcsolattartónak kívánja valamelyik szerződésben kijelölni, és lehetőséget biztosít a részére az azonnali tiltakozásra ezzel szemben.
12.2.3.4. A Társaság által átadásra kerülő személyes adatok az érintett neve, céges e-mail címe, és céges telefonszáma. A Társaság a munkavállaló személyes e-mail címét, vagy telefonszámát semmilyen körülmények között nem adja át harmadik fél részére. Amennyiben a munkavállaló nem rendelkezik céges telefonnal, úgy a Társaság vonalas telefonszáma kerül átadásra, melyen az érintett munkavállaló elérhető.
12.2.3.5. A Társaság jogalapja az adatok átadására a Rendelet 6. cikk (1) bekezdés f) pontja szerint a jogos érdeke. A Társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a szerződéses kapcsolatban levő jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdasági érdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse és jogait minél hatékonyabban érvényesítse.
12.2.3.6. A szerződéses partner az érintett személyes adatait legfeljebb a szerződés teljesítéséhez szükséges időtartamban, valamint azt követően a szerződésből eredő igények elévülési idejének végéig jogosult kezelni.
12.2.3.7. A kapcsolattartói személyes adatok jogos érdekből történő kezeléséhez kapcsolódóan a Társaság érdekmérlegelés tesztet készített, mely jelen szabályzat mellékletét képezi.
12.2.4. Munkáltatói adatkezelési tájékoztató
12.2.4.1. Jelen szabályzat melléklete tartalmazza a Társaság részletes munkáltatói adatkezelési tájékoztatóját.
12.3. Számlakezelés
12.3.1. A Társaság abból a célból, hogy
a) eleget tegyen az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (Áfatv.) 159. § (1) bekezdésében foglalt kötelezettségnek, mely szerint az adóalany (jelen esetben a Társaság) köteles a termékértékesítéséről, szolgáltatásnyújtásáról a termék beszerzője, szolgáltatás igénybevevője részére számla kibocsátásáról gondoskodni, valamint hogy
b) eleget tegyen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdésében foglalt kötelezettségének, mely szerint a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot legalább 8 évig őriznie kell,
kezeli az általa kiállított, illetve befogadott számlákon szereplő személyes adatokat. Személyes adatkezelésre jogosult és egyben köteles a fentiek alapján a Társaság abban az esetben is, amennyiben elektronikus számlát állít ki a szerződéses partner részére és ezen elektronikus számlát megküldi a szerződéses partner email címére.
Az adatkezelés célja tehát a számlák kiállítása a gazdasági tevékenysége folytatása során, valamint a Társaság által és a Társaság részére kiállított számlák őrzése a jogszabályi kötelezettségeknek megfelelően.
12.3.2. A számlákon szeplő adattartalom és ezáltal a kezelt személyes adatok lehetséges köre a törvény által pontosan meghatározásra került az Áfatv. 169. § -ban.
12.3.3. Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés c) pontja szerint jogszabályi kötelezettség teljesítése. A Társaság a számla kiállításával a 12.3.1. pont a) alpontja szerinti törvényi kötelezettségét teljesíti, a számlák őrzésével pedig a 12.3.1. pont b) alpont szerinti törvényi kötelezettségét teljesíti.
12.3.4. A kiállított számlákat a Társaság a Számvitelről szóló 2000. évi C. törvény. 169. § (2) bekezdése szerinti ideig, a számla kiállításától számított 8. évig őrzi.
12.3.5. A Társaság törvényi kötelezettsége a számlák átadása ellenőrzés céljából az állami adóhatóság részére.
12.4. Weblapon keresztül és e-mailben történő kommunikáció
12.4.1. A Társaság a mai felgyorsult világban a kapcsolatot elsősorban elektronikus úton tartja a partnereivel, illetve a fogyasztóival. Az érintettek felvehetik a kapcsolatot a Társasággal e-mailben, valamint a www.merkapt.hu, www.radeco.hu, www.geowarm.hu, www.merkaptoutlet.hu, www.unicalkazan.hu, www.unicalszerviz.hu, www.luflo.hu, www.aquarad.hu, www.furdoszoba-outlet.hu, www.livingwall.hu, www.mfix.hu, www.warmair.hu weblapon keresztül. A különböző ügyekhez kapcsolódóan lefolytatott kommunikáció során kezelt személyes adatokat az adott cél megvalósulásáig kezeli a Társaság.
12.4.2. Az elektronikus kommunikáció során megadott személyes adatokat kizárólag a cél megvalósulásához szükséges ideig és mértékben kezeli a Társaság.
12.4.3. A kezelt személyes adatok elsősorban az érintett neve, e-mail címe, valamint az általa a Társaság részére megküldött azon személyes adatok, melyek az ügye elintézéshez szerinte szükségesek.
12.4.4. A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés b) pontja, tehát az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
12.4.5. Az elektronikus kommunikáció során a Társaság a tudomására hozott személyes adatokat az adott szerződéshez kapcsolódóan kezeli, legfeljebb az elévülési idő lejártáig. Amennyiben a szerződéskötést megelőző adatkezelést követően nem jön létre szerződés vagy megállapodás a Társaság és az érintett között, akkor az üzenete(ke)t a kommunikáció lezárását követően a Társaság törli.
12.5. Szerződéses partnerek kapcsolattartói személyes adatainak a kezelése
12.5.1. A Társaság az egyes szerződések teljesítése érdekében a 12.2.3.1. pont szerinti céllal kezeli a szerződéses partnerei által kijelölt kapcsolattartók meghatározott személyes adatait.
12.5.2. A Társaság az üzleti partnere által megadott kapcsolattartói személyes adatokat kizárólag abban az esetben kezeli, ha a szerződő fél írásban szavatol azért, hogy a személyes adatok átadására jogszerű felhatalmazással rendelkezik.
12.5.3. A Társaság kizárólag a szerződéses partner által megadott személyes adatokat kezeli, mely azonban nem terjeszkedik túl az érintett nevén, telefonszámán, faxszámán és e-mail címén.
12.5.4. A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés f) pontja alapján a Társaság jogos érdeke. A Társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a természetes személyek, illetve jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdasági érdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse és jogait minél hatékonyabban érvényesítse.
12.5.5. A Társaság a személyes adatokat a szerződés teljesítését követően az elévülési időhöz igazodva, legfeljebb a teljesítést követő 5 évig kezeli.
12.5.6. A szerződéses partnerek kapcsolattartói személyes adatainak jogos érdek alapján történő kezeléséhez kapcsolódóan a Társaság érdekmérlegelési tesztet készített, mely jelen szabályzat mellékletét képezi.
12.6. Hírlevél (marketing levél), illetve hirdetések megjelenítése.
12.6.1. A Társaság az aktuális híreiről, szolgáltatásairól tájékoztató hírlevelet (marketing levelet) küld a szolgáltatásra feliratkozott érintettek részére, illetve a hirdetők számára – szerződés alapján – hirdetéseket jelenít meg a 12.9. pont szerinti újságjában. A hírlevélre történő le- és feliratkozás – amennyiben az adott weblapról hírlevél-megkeresés történik - www.merkapt.hu, www.radeco.hu, www.geowarm.hu, www.merkaptoutlet.hu, www.unicalkazan.hu, www.unicalszerviz.hu, www.luflo.hu, www.aquarad.hu, www.furdoszoba-outlet.hu, www.livingwall.hu, www.mfix.hu, www.warmair.hu webcímeken, vagy közvetlen e-mail küldésével történik, míg a hirdetések felvétele egyedi megrendelés (szerződés) alapján. Az érintett által a feliratkozás, illetve a hirdetések újságban történő megjelentetése során megadott adatokat kizárólag a hírlevél küldéséhez, illetve az újságban történő megjelentéshez használjuk.
12.6.2. A hírlevél küldéshez kezelt személyes adatok az érintettek neve, valamint e-mail címe, míg a hirdetés esetében a hirdető által a hirdetésben megadott adatok.
12.6.3. A Társaság jogalapja az adatkezelésre a Rendelet 6. cikk (1) bekezdés a) pontja, tehát az érintett hozzájárulása, míg a hirdetések esetében a Rendelet 6. cikk (1) bekezdés b) pontja, azaz tehát az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
12.6.4. Az adatkezelés a hozzájárulás visszavonásáig (hírlevélről történő leiratkozás időpontjáig) történik. Az érintett bármikor jogosult leiratkozni a hírlevélről az üzenetben, illetve a weblapon található linken keresztül. Hírlevél esetében az adatkezelés a szerződés megszűnését követő 5 évig, azaz az elévülési időig történik.
12.7. Társaság által üzemeltetett weblapon (www.merkapt.hu, www.radeco.hu, www.geowarm.hu, www.merkaptoutlet.hu, www.unicalkazan.hu, www.unicalszerviz.hu, www.luflo.hu, www.aquarad.hu, www.furdoszoba-outlet.hu, www.livingwall.hu, www.mfix.hu, www.warmair.hu, www.floortherm.hu, www.walltherm.hu, www.merkaptakademia.hu, www.merkaptacel.hu, www.merkaptkarrier.hu, www.okosradiatorok.hu, www.supernovabojler.hu, supernova.merkapt.hu ) történő adatkezelések
12.7.1. A Társaság a weblapja üzemeltetéséhez különböző cookie-kat használ. A cookie egy információcsomag (apró szöveges fájl), amelyet a honlap küld az érintett web böngészőjének, majd a böngésző visszaküldi a honlap szervernek minden, a szerver felé irányított kérés alkalmával. A sütiket maga a webszerver hozza létre a böngésző segítségével az érintett gépén, ahol azok egy elkülönített könyvtárban kerülnek tárolásra.
12.7.2. A cookiek az érintett bizonyos böngészési adatait tárolják egy-egy látogatás során. A böngészőprogramok ezeket az adatokat minden megnyitáskor kommunikálják a weboldalt kiszolgáló szerver felé, ezáltal lehetséges, hogy az érintett számára “személyre szabottan” jelenjen meg egy-egy oldal az újabb és újabb megnyitásokkor, továbbá a weboldal valamennyi funkciója elérhetővé, használhatóvá váljon.
12.7.3. A cookiek alkalmazásával a Társaság célja a weboldal böngészési élményének a javítása, valamint a honlap látogatási szokások vizsgálata, továbbá a weboldal használata, funkcióinak elérése.
12.7.4. A Társaság a weboldalra látogatókat tájékoztatja a cookiek használatáról, és lehetőséget biztosít a számukra, hogy azok használatához hozzájáruljanak, vagy megtiltsák azok használatát, utóbbi esetben ide nem értve azt, amennyiben a cookie azért szükséges, hogy egyáltalán a weboldalt használni lehessen, illetve el lehessen azt érni. A cookie-nak három fő típusa van:
1. feltétlenül szükséges sütik (pl. állapotsütik, session [munkamenet] sütik): a honlap működéséhez szükséges. Ezek semmilyen személyes adatot vagy azonosításra alkalmas kódot nem tartalmaznak, egyébiránt nem is tilthatók le.
2. egyes funkciókhoz tartozó sütik (pl. kosársüti, statisztikai süti): belső felhasználó-azonosítást tesznek lehetővé, ezek nélkül a honlap alapfunkciói használhatók, de egyes funkciókhoz, műveletekhez feltétlenül szükség van rájuk (pl. regisztráció, vásárlás a shopban), letiltásuk esetén ezek a funkciók nem lesznek elérhetők.
3. harmadik fél sütijei: a felhasználók azonosításához szükségesek külső szolgáltató részére, illetve a felhasználó webhelyműveleteihez köthetők, továbbá a közösségimédia-funkciók működéséhez szükségesek. Ezek a sütik letilthatók, ám ebben az esetben ezen funkciók (pl. a közösségimédia-funkciók) nem lesznek elérhetők (pl. megosztás, hozzászólás stb.).
12.7.5. A cookiek alkalmazására, és így az adatkezelésre a társaság részére a jogalapot a Rendelet 6. cikk (1) bekezdés a) pontja alapján az érintett hozzájárulása képezi.
12.7.6. A cookiek alkalmazásához történő érintetti hozzájárulás alapján a Társaság az adatkezelést a hozzájárulás visszavonásáig végzi.
12.7.7. A Társaság a weblapon – hozzájárulás alapján – regisztrációs lehetőséget biztosít, melynek során a felhasználók részére a weboldal valamennyi funkciója elérhetővé válik, mint például a felhasználó nyomon követheti a rendelése aktuális állását, hozzászólásokat eszközölhet a cikkekhez, hírekhez, továbbá a weblapon történő árucikk-megrendelést lehetővé teszi.
12.7.8. A regisztrációs lehetőség célja a weboldal valamennyi funkciója elérhetőségének biztosítása.
12.7.9. A Társaság a weboldalon a regisztráció során tájékoztatja a felhasználókat a regisztrációhoz kapcsolódó adatkezelésről, egyben arról, hogy a regisztrációjuk törlését is kezdeményezhetik a weboldal menügombján keresztül.
12.7.10. A regisztráció tekintetében az adatkezelésre a társaság részére a jogalapot a Rendelet 6. cikk (1) bekezdés a) pontja alapján az érintett hozzájárulása képezi.
12.7.11. A Társaság az adatkezelést a hozzájárulás visszavonásáig végzi.
12.7.12. A Társaság weboldallal kapcsolatos infrastruktúra üzemeltetését külön adatfeldolgozóval üzemelteti.
12.8. Új személyes adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását megelőzően követendő eljárásrend
12.8.1. Új adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását kizárólag az igazgatósái tagja rendelheti el.
12.8.2. Azon munkavállaló, akinek a munkakörét érintő feladat teljesítéséhez kapcsolódóan új adatkezelési folyamat bevezetésére vonatkozó igény merül fel, köteles ezt jelezni az igazgatóság tagjának.
12.8.3. Azon munkavállaló, akinek a munkakörét érintő adatkezelési folyamat megváltoztatására vonatkozó igény merül fel, köteles ezt jelezni az igazgatóság tagjának.
12.8.4. Új adatkezelési folyamat bevezetésére vagy adatkezelés folyamatok megváltoztatására akkor kerül sor, ha az nem ütközik a jelen Szabályzat előírásaiba.
12.8.5. Új adatkezelési folyamat bevezetése vagy adatkezelés folyamatok megváltoztatása előtt szükséges meghatározni az adatkezelés fontosabb jellemzői, így elsősorban
a) az adatkezelés célját,
b) az adott cél más adatkezelési művelettel elérhető-e,
c) az adatkezelés jogalapját,
d) az érintettek körét,
e) az érintettekre vonatkozó adatok leírását,
f) az adatok forrását,
g) az adatok kezelésének időtartamát,
h) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
i) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
j) az alkalmazott adatfeldolgozási technológia jellegét.
12.8.6. Új adatkezelési folyamat bevezetésekor, vagy már meglévő adatkezelési folyamat megváltoztatásakor az igazgatósái tagja gondoskodik a személyes adatok kezelésére vonatkozó szerződések, nyilvántartások, szabályzatok aktualizálásáról és arról, hogy a módosított, aktualizált adatvédelemmel kapcsolatos dokumentumokat az illetékes személyek megismerjék. Jelen pont szerinti tevékenységét az igazgatóság tagja igazolható módon dokumentálja.
12.9. Papíralapú és elektronikus újság
12.9.1. A Társaság – egyedi megrendelés alapján – a tevékenységi körébe tartozó témakörökkel összefüggésben – szakmai újságot ad ki mind papír alapon és egyúttal elektronikus formában, amikben a hirdetők által – egyedi megrendelés alapján - megrendelt hirdetéseket is megjeleníti. Az újság megrendelése egyedileg történik. A papír alapú megrendelés ára az elektronikus újság – kibővített tartalmú – előfizetését is magába foglalja. A Társaság az elektronikus újságot az érintett (fogyasztó, olvasó, vevő) által megadott email címére küldi meg, míg a papír alapú újságot annak lakcímére, illetve székhelyére. Az elektronikus újság megküldése során a megadott email címet kizárólag az újságnak megrendelő részére történő eljuttatása érdekében használjuk.
12.9.2. Az újság küldéshez kezelt személyes adatok az érintettek neve, lakcíme, valamint e-mail címe.
12.9.3. A Társaság jogalapja az adatkezelésre a Rendelet 6. cikk (1) bekezdés b) pontja, tehát az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
12.9.4. Az adatkezelés a szerződés megszűnését követő 5 évig, azaz az elévülési időig történik.
12.10. Társaság által szervezett képzésekkel kapcsolatosa adatkezelés
12.10.1. A Társaság – hatósági közreműködéssel – különböző szakmai képzéseket szervez és tart az arra beiratkozó személyek részére, egyedi szerződés alapján.
12.10.2. A szakmai képzések célja a szakvégzettség megszerzésének igazolása külső harmadik személyek felé, jogszabályi alapja pedig a szakképzésről szóló 2011. évi CLXXXVII. törvény 4. §-a.
12.10.3. A szakmai képzések során az adatok körét a mindenkori jogszabályok határozzák meg.
12.10.4. A különböző oklevelekkel, bizonyítványokkal kapcsolatos adatok kezelésére a jogalapot a Rendelet 6. cikk (1) bekezdés c) pontja képezi: ez alapján az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
12.10.5. A Társaság az adatkezelést a mindenkori jogszabályok rendelkezései szerint, az azokban foglalt ideig kezeli, de legalább a szerződés megszűnését követő 5 évig (elévülési idő).
13. Adattovábbítás
13.1. A Társaság személyes adatot csak megfelelő jogalap alapján továbbít, a célhoz kötöttség elvének maradéktalan érvényesítésével. A Társaság csak olyan személyes adatot továbbít, amelynek jogszerű adatkezelője.
13.2. Az adattovábbítás feltételeit az adott terület működéséért felelős vezető munkavállaló minden esetben ellenőrizni köteles.
13.3. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.
13.4. Az adattovábbításokról jelen szabályzat 2. számú mellélete szerint a Társaság nyilvántartást vezet.
13.5. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása - a törvényben kötelezően előírt adattovábbítás esetét kivéve - az igazgatóság tagja hatáskörébe tartozik. Az adattovábbítási kérelem abban az esetben teljesíthető, ha az tartalmazza
a) az adattovábbítást kérő minden kétséget kizáró azonosításához szükséges adatokat,
b) az adattovábbítás célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését),
c) a kért adatok körének pontos meghatározását,
d) az érintett személy azonosításához szükséges adatokat.
13.6. A Társaság az Európai Unión kívüli országba személyes adatot nem továbbít.
13.7. A Társaság nyilvántartást vezet az adattovábbításairól.
14. Adatfeldolgozók
14.1. A Táraság kizárólag olyan adatfeldolgozóval köt adatfeldolgozásra irányuló szerződést, amely megfelelő garanciákat nyújt arra vonatkozóan, hogy az adatkezelés a Rendelet követelményeinek megfelelően és az érintettek jogainak védelmét biztosítva történik.
14.2. Az adatfeldolgozás megkezdését megelőzően a Társaság meggyőződik arról, hogy az adatfeldolgozó a mindennapi tevékenysége során az adatvédelem megfelelő szintjéhez szükséges technikai és szervezési intézkedéseket megtette.
14.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a Társaság határozza meg. A Társaság felel az általa adott utasítások jogszerűségéért.
14.4. Az adatfeldolgozó kizárólag a Társaság előzetes írásos engedélye alapján vehet igénybe további adatfeldolgozót.
14.5. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság utasításai szerint kezelheti, saját céljára az adatokat nem használhatja, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.
14.6. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
14.7. A Társaság nyilvántartást vezet az adatfeldolgozóiról a jelen szabályzat melléklete szerint, mely nyilvántartás tartalmazza az adatfeldolgozás alábbi jellemzőit:
a) célja,
b) jogalapja,
c) adatfeldolgozó adatai,
d) feldolgozásra kerülő adatok köre,
e) adatok törlése kezelésének jellemzői,
f) az adatfeldolgozó igénybe vesz-e további adatfeldolgozót, ha igen, ennek adatai.
14.8. A Társaság az adatfeldolgozói szerződésekben a jelen szabályzat mellékletében szereplő szerződési feltételeket alkalmazza, valamint meggyőződik arról, hogy az adatfeldolgozó valóban a jogszabályi előírások szerint kezeli a személyes adatokat.
15. Adatvagyon-leltár és egyéb nyilvántartások
15.1. Adatvagyon-leltár
15.1.1. A Társaság a Rendelet 30. cikkének történő megfelelés érdekében létrehozza az adatvagyon-leltárát, mely tartalmazza a Társaság valamennyi adatkezelési célját és folyamatát, valamint azok legfontosabb jellemzőit.
15.1.2. Az adatvagyon leltár az egyes adatkezelési műveletek kapcsán az alábbiakat tartalmazza:
a) adatkezelési cél,
b) kezelt adatok köre,
c) adatok forrása,
d) érintett személye,
e) adatkezelés jogalapja,
f) a személyes adatokhoz hozzáférők meghatározása,
g) adatfeldolgozók, valamint azok megjelölése, akik részére az adat továbbításra kerül,
h) adatkezelés időtartama,
i) adatkezelés helye,
j) tartalmaz-e különleges adatokat,
k) Rendelet szerinti jogalap,
l) egyéb megjegyzések.
15.1.3. A Társaság minden munkavállalójának kötelessége a személyes adat kezelési tevékenysége során az adatvagyon-leltár naprakészen tartása.
15.1.4. Az adatvagyon-leltár tartalmazza a Társaság valamennyi adatkezelési folyamatát.
15.1.5. Az adatvagyon-leltárt jelen szabályzat melléklete tartalmazza.
15.2. További nyilvántartások
15.2.1. A Társaság nyilvántartást vezet az adattovábbításairól, az igénybe vett adatfeldolgozókról, az adatkezelési tevékenységeiről (adatvagyon-leltár), és azok jellemzőiről, az érintetti jogok gyakorlásáról, valamint az adatvédelmi incidensekről.
15.2.2. A személyes adatok 8.4. pont szerinti törlésekor az adatokat a különböző adatvédelemmel kapcsolatos nyilvántartásokból is törli a Társaság.
15.2.3. A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza
a) az általa kezelt személyes adatok továbbításának időpontját,
b) az adattovábbítás jogalapját és címzettjét,
c) a továbbított személyes adatok körének, és érintettjeinek meghatározását,
d) az adattovábbítás módját, csatornáját, valamint
e) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
15.2.4. Az adattovábbítási nyilvántartás naprakész vezetése a Társaság minden munkavállalójának kötelessége. Az adattovábbítást végző munkavállaló haladéktalanul rögzíti az adattovábbítást a nyilvántartásban.
15.2.5. A 8. pont szerinti jogok gyakorlására, illetve az ahhoz kapcsolódó kérelmek teljesítésére vonatkozó nyilvántartás tartalmazza
a) érintett személyére vonatkozó adatok,
b) azonosítása megtörtént, vagy sem,
c) kérelem tárgya (gyakorolt jog megnevezése),
d) kérelem beérkezésének időpontja,
e) kérelem teljesítésének a határideje,
f) kérelem előterjesztésének módja, csatornája,
g) a kérelem alapján tett intézkedéseket,
h) kérelem teljesítésének az időpontja,
i) a kérelem alapján tett intézkedésekről szóló tájékoztatás érintett részére történő megadásának időpontját.
15.2.6. Amennyiben az érintett kérelme a személyes adatai törlésére irányult, úgy a 15.2.5. pont szerinti nyilvántartás a) alpontja törlésre kerül. A nyilvántartásban szereplő személyes adatokat (15.2.5. a) alpont) a Társaság korlátozás nélkül őrzi, azok törlésére a személyes adatok végleges törlésekor kerül sor.
15.2.7. A Társaság minden munkavállalója gondoskodik a személyes adatok kezelésével kapcsolatos nyilvántartások naprakész vezetéséről.
16. Felelősség, jogorvoslat, jogérvényesítés
16.1. A Társaság felelőssége
16.1.1. A Társaság felelősséggel tartozik a személyes adatok kezeléséért. Az érintett, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
16.1.2. A bírósági jogorvoslathoz való jogának érvényesítése érdekében az érintett a Társaság, illetve - az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben - az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.
16.1.3. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a Rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
16.1.4. Ha a Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett sérelemdíjat követelhet.
16.1.5. Az érintettel szemben a Társaság felel az általa igénybe vett adatfeldolgozó által okozott kárért és a Társaság köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
16.1.6. Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
16.2. A Társaság munkavállalóinak felelőssége
16.2.1. A Társaság munkavállalója munkajogi, polgári jogi és büntetőjogi felelősséggel tartozik a munkája során végzett adatkezelési műveletek jogszerűségéért és a jelen Szabályzatban foglaltak betartásáért.
16.2.2. Vétkes kötelezettségszegésnek minősül amennyiben a munkavállaló nem tartja be a jelen szabályzatban, illetve a személyes adatok kezelésére vonatkozó jogszabályokban foglalt kötelezettségeit. A munkavállalóval szemben ilyen esetben a munkaszerződésében írt hátrányos jogkövetkezmények alkalmazhatóak.
16.2.3. A munkavállaló a jelen szabályzatban, valamint a jogszabályokban foglalt személyes adatok kezelésére vonatkozó kötelezettségének megszegésével okozott kárt köteles megtéríteni, ha nem úgy járt el, ahogy az adott helyzetben általában elvárható.
16.2.4. A kártérítés mértéke nem haladhatja meg a munkavállaló négyhavi távolléti díjának összegét. Szándékos vagy súlyosan gondatlan károkozás esetén a teljes kárt kell megtéríteni.
16.2.5. Nem kell megtéríteni azt a kárt, amelynek bekövetkezése a károkozás idején nem volt előrelátható, vagy amelyet a munkáltató vétkes magatartása okozott, vagy amely abból származott, hogy a munkáltató kárenyhítési kötelezettségének nem tett eleget.
16.3. Az érintettek jogorvoslathoz való joga
16.3.1. Az érintett a jogainak megsértése esetén a Társasággal szemben bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
16.3.2. Az érintett a 16.1. pontban foglaltak szerint kártérítésre, illetve sérelemdíjra lehet jogosult.
16.3.3. A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) bejelentéssel a Társasággal szemben bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, illetve, hogy a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, korlátozáshoz, törléshez, jogorvoslathoz való jogainak érvényesítését a Társaság korlátozza, vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja. A bejelentést az alábbi elérhetőségek valamelyikén lehet megtenni:
Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH)
Posta cím: 1530 Budapest, Pf.: 5.
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
URL: http://naih.hu
16.3.4. Az érintett bármilyen, a személyes adatai kezelésével kapcsolatos kérdéssel, észrevétellel, kérelemmel, panasszal a Társasághoz fordulhat az info@vgf.hu e-mail címen, vagy postai úton, illetve személyesen a Társaság mindenkori székhelyén. Ilyen esetben a Társaság az ügyet legfeljebb 30 napon belül kivizsgálja, és tájékoztatja az érintettet a vizsgálat eredményéről.
16.4. A személyes adatok kezelésével kapcsolatos jogok érvényesítése az érintett halálát követően
16.4.1. Az érintett halálát követő öt éven belül a hozzáféréshez, helyesbítéshez, törléshez, az adatkezelés korlátozásához és tiltakozáshoz való jogát az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal - ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal - meghatalmazott személy jogosult érvényesíteni.
16.4.2. Ha az érintett nem tett 16.4.1. pontnak megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult a helyesbítéshez és tiltakozáshoz, valamint - ha az adatkezelés már az érintett életében is jogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt - a törléshez és az adatkezelés korlátozásához való jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak jelen pont szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
16.4.3. Az érintett jogait a jelen pont alapján érvényesítő személyt e jogok érvényesítése -így különösen a Társasággal szembeni, valamint a Hatóság, illetve bíróság előtti eljárás - során az érintett részére megállapított jogok illetik és kötelezettségek terhelik.
16.4.5. Az érintett jogait jelen pont alapján érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát és hozzátartozói minőségét közokirattal igazolja.
17. Adatvédelmi incidensek
17.1. Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is.
17.2. A bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
17.3. A Társaság nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó fontosabb tényeket, körülményeket az alábbiak szerint:
a) időpont,
b) incidens leírása,
c) incidens hatása az érintettekre,
d) érintettek száma,
e) érintettek kategóriái,
f) érintett személyes adatok köre, száma,
g) incidens következményei,
h) incidens következményeinek orvoslására tett intézkedések,
i) érintettek tájékoztatása megtörtént-e, és ha igen, mikor.
17.4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásnak ki kell terjednie legalább a 17.2. pont b), c), d) alpontjaiban foglaltakra.
17.5. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
17.6. Adatvédelmi incidens bekövetkezése esetén a Társaságnak azonnal megkezdi annak kivizsgálását. Az adatvédelmi incidenst elsőként érzékelő munkavállaló köteles azt azonnal jelenteni az igazgatóság tagjának. Ezzel egyidejűleg a munkavállalónak haladéktalanul meg kell tennie mindent annak érdekében, hogy az incidens következményeit enyhítse, a további károkat elhárítsa.
17.7. Incidens bekövetkezése esetén az igazgatóság tagja az incidens körülményeinek felderítéséhez, és a következmények enyhítéséhez szükséges szakértelemmel rendlelkező jogi és informatikai szakértők bevonásával haladéktalanul megkezdi az incidens kivizsgálását és megszüntetését.
18. Adatvédelmi hatásvizsgálat
18.1. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
18.2. A hatásvizsgálat kiterjed legalább:
a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
c) az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
18.3. A hatásvizsgálat kiterjed legalább:
e) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
f) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
g) az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
h) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
18.4. A Társaság adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
18.5. A Társaság szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
18.6. A hatásvizsgálat eredménye alapján a Társaság dönt az adatkezelési bevezetéséről. Amennyiben a hatásvizsgálat megállapítja, hogy az adatkezelés a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal.
18.7. A Társaság a hatósággal folytatott konzultáció során a hatóságot tájékoztatja:
a) adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;
b) a tervezett adatkezelés céljairól és módjairól;
c) az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
d) adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;
e) a hatásvizsgálatról; és
f) a felügyeleti hatóság által kért minden egyéb információról.
18.8. A Társaság a hatósággal folytatott konzultáció lezártáig nem kezdi meg a hatásvizsgálattal érintett adatkezelést.
Mellékletek:
1. számú melléklet: Adatvagyon-leltár
2. számú melléklet: Adattovábbítási nyilvántartás
3. számú melléklet: Érintetti kérelmek, joggyakorlások nyilvántartása
4. számú melléklet: Adatvédelmi incidens nyilvántartás
5. számú melléklet: Adatfeldolgozók nyilvántartása
6. számú melléklet: Kamera felvétel visszanézési nyilvántartás (minta)
7. számú melléklet: Általános adatkezelési tájékoztató
8. számú melléklet: Munkáltatói adatkezelési tájékoztató
9. számú melléklet: Álláshirdetéssel kapcsolatos adatkezelési tájékoztató
10. számú melléklet: Kamerarendszer érdekmérlegelési teszt
11. számú melléklet: Szerződéses kapcsolattartók adatainak kezelésére vonatkozó érdekmérlegelési teszt
12. számú melléklet: GPS érdekmérlegelési teszt