CSERNIK SÁNDORNÉ EGYÉNI VÁLLALKOZÓ
2800 Tatabánya, Sárberki lakótelep 219.3.em.12.
Hatályos: 2018.10.24-től.
ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT
Tartalomjegyzék
Bevezetés 3. oldal
A Szabályzat célja 3. oldal
A szabályzat hatálya 3. oldal
Az alapfogalmak értelmezése 4. oldal
Az adatkezelés alapjául szolgáló jogszabályok 5. oldal
Adatkezelési és adatvédelmi alapelvek, alapvető szabályok
valamint az adatkezelés jogalapja 6.oldal
Adatfeldolgozói tevékenység 8. oldal
Az adatokhoz való hozzáférés és adatbiztonsági intézkedések 8. oldal
Az érintett jogai 9. oldal
Jogorvoslati és kártérítési lehetőségek 11. oldal
Az adatvédelmi incidens kezelése 12. oldal
Hatásvizsgálat, a felügyeleti hatósággal történő előzetes konzultáció
és az érdekmérlegelés 13. oldal
IT felhasználói szabályok és védelmi intézkedések 15.oldal
Az adatkezelési, adatvédelmi szabályok oktatása, az adatkezelést
végzők képzése 18. oldal
Az adatkezelő által folytatott adatkezelések 18. oldal
Az adatkezelési folyamatok szervezése, irányítása,felelőségi szintjei 26. oldal
Az adatvédelmi szabályok betartásának ellenőrzése 26. oldal
Záró rendelkezések 26. oldal
Bevezetés
Ezen adatkezelési és adatvédelmi szabályzat (Továbbiakban: Szabályzat.), Csernik Sándorné egyéni vállalkozó, mint adatkezelő (A továbbiakban: Adatkezelő.) által folytatott személyes adatkezelési és adatvédelmi tevékenység szabályozását tartalmazza.
Az Adatkezelő kötelezettséget vállal arra, hogy az adatkezelési és adatvédelmi tevékenységét az e szabályzatban foglaltaknak megfelelően végzi, a mindenkori rá vonatkozó, hatályos jogszabályok és szakmai előírások betartásával.
Az adatkezelő pontos megnevezése, azonosító adatai és elérhetősége:
Megnevezés: Csernik Sándorné egyéni vállalkozó (Fortuna-Vörös Autósiskola)
Székhely: 2800 Tatabánya, Sárberki lakótelep 219.3.em.12.
E-mail cím: csernikmelinda@gmail.com
Telefonszám:+36308424447
Adószám:63664713-2-31
A Szabályzat célja
A Szabályzat célja az Adatkezelő által végzett személyes adatkezelési folyamatokkal kapcsolatos körülmények összegzése, és az ezen folyamatok során végezett adatkezelési tevékenységgel kapcsolatos belső szabályok, valamint adatvédelmi intézkedések meghatározása.
A szabályzat célja továbbá az Adatkezelő által végzett személyes adatkezelések érintettjeinek tájékoztatása a velük kapcsolatban folytatott adatkezelések lényeges körülményeit, az adatkezeléssel kapcsolatos jogaikat és jogorvoslati lehetőségeiket illetően.
Az Adatkezelő a Szabályzat 15. pontjában részletezi az általa mindenkor aktuálisan folytatott összes személyes adatkezelési folyamat lényeges körülményeit, ezért ezen Szabályzat az Adatkezelő által folytatott adatkezelések nyilvántartására is szolgál.
A szabályzat hatálya
A Szabályzat tárgyi hatálya kiterjed az Adatkezelő által folytatott összes olyan adatkezelési tevékenységre, melynek keretében - a 4. pontban foglalt fogalom meghatározás szerint - személyes adatkezelés történik.
A Szabályzat személyi hatálya kiterjed az Adtakezelő által folytatott adatkezelések összes érintettjére, valamint azon személyekre, akik az Adatkezelővel fennálló valamely szerződéses jogviszonyukból kifolyólag, az e Szabályzat 15. pontjában foglalt és részletezett adatkezelési folyamatok során, feladatokat hajtanak végre.
E Szabályzatot kell alkalmazni a hatálybalépést követően megkezdett és a már folyamatban lévő adatkezelésekkel kapcsolatban egyaránt.
Az alapfogalmak értelmezése
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Különleges adat:A faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, illetve az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.
Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából.
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.
Adatállomány: az egy nyilvántartásban kezelt adatok összessége.
Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
Harmadik ország: minden olyan állam, amely nem EGT-állam.
Az adatvédelmi incidens:Személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
Az adatkezelés alapjául szolgáló jogszabályok
Magyarország Alaptörvénye, VI. cikk;
GDPR (Általános Adatvédelmi Rendelet - Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.);
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.);
A Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.);
A számvitelről szóló 2000. évi C. törvény;
A panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény. (Pktv.).
A munka törvénykönyvéről szóló 2012.évi I. tv. 9.§ (2.)bek., 11. § (1.)bek., valamint, 52.§ (1.)bek. a.), b) pont, 286. § (1.)bek..
A munkavédelemről szóló, 1993. évi XCIII. tv. 60. § 1.) bek.,
A büntetőeljárásról szóló 2017. évi XC. törvény.
A fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgy. tv)
A gazdasági reklámtevékenységről szóló 2008. évi XLVIII. törvény.
Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. tv. 13/A §-a.
Adatkezelési és adatvédelmi alapelvek, alapvető szabályok valamint az adatkezelés jogalapja
6.1 Adatkezelési és adatvédelmi alapelvek
Csernik Sándorné egyéni vállalkozó – mint adatkezelő - azon belső folyamatait, melyek során magánszemélyek adatait kezeli, megfelelő technikai és szervezési intézkedések megtételével, úgy alakította ki, illetve úgy folytatja, hogy azok maradéktalanul megfeleljenek aGDPRvalamint az Info törvény rendelkezéseinek.
Az Adatkezelő kiemelt figyelmet fordít arra, hogy a gazdasági tevékenységének keretében, a napi gyakorlat során, a rá vonatkozó egyéb ágazati jogszabályok betartásával egyidejűleg, megvalósuljanak az adatvédelmi jogszabályok, illetőleg a belső adatvédelmi szabályzat rendelkezései is.
Az Adatkezelő, az adatkezelési és adatvédelmi tevékenységét úgy szervezi és folytatja, hogy az jogszerű, tisztességes, átlátható és pontos legyen. Az adatkezelő által végzett adatkezelési folyamatok keretében végzett konkrét adatkezeléseknek mindvégig célhoz kötötteknek kell lenniük, melyek keretében kizárólag az adatkezelés célja érdekében legszükségesebb adatok, és csak a ténylegesen indokolt ideig kezelhetők. Az Adatkezelő kiemelt figyelmet fordít arra, hogy adatkezelési tevékenysége megfelelően dokumentált legyen, mellyel kapcsolatban mindenkor elszámoltatható.
Az adatkezeléssel és adatvédelemmel kapcsolatos alapvető szabályok
Az Adatkezelő a személyes adatokat a szükséges és indokolt mértékig bizalmasan, illetve titkosan kezeli.
Az érintettek az adatkezelés céljára, jogalapjára és egyéb lényeges körülményeire vonatkozó tájékoztatást már az adatkezelés megkezdése előtt megkapják. Amennyiben ezen tájékoztatásra az adatkezelés megkezdését megelőzően nincs reális lehetőség, úgy annak pótlása az első adandó alkalommal, a lehető legrövidebb időn belül megtörténik.
Az Adatkezelő bármely adatkezelési folyamatával, továbbá termelő, üzleti, illetve működésével kapcsolatos egyéb folyamataival kapcsolatban egyaránt tilos a személyes adatok magáncélra történő felhasználása.
Az érintettek által az adatkezeléshez adott hozzájárulás az adatkezelés bármely szakában szabadon visszavonható. Abban az esetben, ha az adatok kezelésének jogalapja kizárólag az érintett hozzájárulása volt, úgy a hozzájárulás visszavonása esetén az adatok törlésre kerülnek, tovább nem kezelhetők.
Bármely személy, aki az Adatkezelővel fennálló valamely szerződéses jogviszonyból kifolyólag, az e Szabályzat 15. pontjában foglalt és részletezett adatkezelési folyamatok keretében, feladatot hajt végre, titoktartási kötelezettséggel tartozik mindennemű személyes adattal kapcsolatban, mely ezen tevékenysége során jutott a tudomására. Ezen – adatkezelési folyamatokban résztvevő -, és titoktartásra kötelezett személyeknek írásbeli titoktartási nyilatkozatot kell tenniük. (1.számú melléklet.)
Az adatkezelési folyamatok során biztosítani kell az adatok naprakészségét pontosságát, teljességét. Amennyiben az adatkezelési folyamatokban résztvevő bármely személy tudomást szerez arról, hogy az Adatkezelő által kezelt adat hibás, hiányos, vagy nem naprakész, azt jeleznie kell az Adatkezelőnél (Egyéni Vállalkozónál), vagy a konkrét adatkezelési feladat végrehajtójánál, akik köteles intézkedni az adat kijavítását illetően.
Amennyiben egy konkrét adatkezeléssel elérni kívánt minden cél megvalósult, illetőleg az adatkezelés jogalapja megszűnt, és az adatok tárolására a vonatkozó jogszabályok alapján már nincs törvényes lehetőség, az adatkezelő intézkedik a kezelt adatok törléséről. Az adattörlés a papír alapon kezelt adatok esetén az adatot hordozó papír megsemmisítésével, míg elektronikus adat esetén az adatok visszaállíthatatlan módon történő törlésével, vagy az adathordozó összezúzásával történik. Az adathordozók megsemmisítéséről jegyzőkönyvet kell felvenni. (2.számú melléklet) A jegyzőkönyv felvétele során az Adatkezelő, mint egyéni vállalkozó személyesen van jelen.
6.3. Csernik Sándorné egyéni vállalkozó által végzett személyes adatkezelések jogalapja
Az Adatkezelő személyes adatokat kizárólag a következő feltételek fennállása esetén kezel:
Az érintett hozzájárulását adta személyes adatainak kezeléséhez;
Az adatkezelés olyan szerződéses kötelezettség teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
Az adatkezelés valamely természetes személy létfontosságú érdekeinek védelme érdekében szükséges;
Az adatkezelés az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha az adatkezelő jogos érdekével szemben elsőbbséget élveznek az érintett olyan érdekei, vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Gyermekekkel kapcsolatos adatkezelés
Az adatkezelő adatkezelési folyamatai során megvalósuló személyes adatkezelésekkel kapcsolatban az érintett önkéntes hozzájárulása -16. életévét be nem töltött gyermek esetén - csak akkor és olyan mértékben tekinthető jogszerűnek, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A 16. életévét betöltött gyermek, azonban külön erre vonatkozó szülői engedély nélkül is önkéntes hozzájárulását adhatja a személyes adatainak ilyen módon történő kezeléséhez.
Az adatkezelő – figyelembe véve az elérhető technológiát – minden ésszerű erőfeszítést megtesz annak ellenőrzése érdekében, hogy a 16 év alatti felhasználók esetén az adatkezeléshez való hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta-e meg, illetve engedélyezte-e. Továbbá különös figyelmet fordít a gyermekek személyes adatainak védelmére, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, annak következményeivel, valamint ezen adatkezeléshez kapcsolódó garanciákkal és jogosultságokkal.
Adatfeldolgozói tevékenység
Az Adatkezelő, bizonyos – alább részletezett – adatkezelési folyamatai során adatfeldolgozót vehet igénybe. Az adatkezelő megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekkel az Adatkezelő adatfeldolgozói szerződést köt, melyben a tevékenységgel kapcsolatos összes lényeges körülmény rögzítésre kerül. Az Adatkezelő által kötött adatfeldolgozói tevékenységgel kapcsolatosan használt mintaszerződést a Szabályzat 3. számú melléklete tartalmazza. Az adatfeldolgozói szerződésben foglaltak minden tekintetben összhangban állnak ezen Szabályzatban foglalt rendelkezésekkel.
Az Adatkezelő által az adatkezelési folyamatok során igénybe vett adatfeldolgozók felsorolását, valamint az általuk végzett feladatok és elérhetőségeik részletezését a Szabályzat 4.számú melléklete tartalmazza.
Az adatokhoz való hozzáférés és adatbiztonsági intézkedések
Az adatokhoz való hozzáférés és az adattovábbítás
Az Adatkezelő által kezelt adatokhoz kizárólag az adatkezelő, valamint az adatkezelő azon munkatársai férhetnek hozzá, akiknek feladataik ellátásához ez elengedhetetlenül szükséges.
Az Adatkezelő az általa kezelt személyes adatokat, csak azon szerződéses partnerei felé továbbítja, akiknek a továbbított adatok feldolgozása, illetve kezelése az adatkezelővel e célból kötött szerződés alapján kötelessége. Ezen adattovábbítási folyamatok, valamint a partnerek által e körben végzett adatfeldolgozói, illetve adatkezelői tevékenység lényeges körülményeit a felek írásbeli szerződés keretében rögzítik.
Az adatkezelő a személyes adatok továbbítását megelőzően meggyőződött arról, hogy ezen szerződéses partnerei, illetőleg ezen szerződéses partnerei által folytatott adatkezelési, és adatfeldolgozási gyakorlat megfelelnek a vonatkozó adatvédelmi jogszabályoknak és belső szabályozóknak. Az adattovábbítások ténye illetve körülményei e Szabályzat 15. pontjában az Adatkezelő által folytatott egyes adatkezelések körülményeinek kifejtésénél kerülnek leírásra.
Az adatkezelő az általa kezelt személyes adatokat, a fentiekben kifejtetteken túl, csak rendkívüli esetekben továbbítja, kizárólag az erre törvényileg feljogosított hatóságok felé, amennyiben ezt számára jogszabályok írják elő, illetve erre vonatkozóan a hatóságok megkeresik. Ezen adattovábbításokról az adatkezelő külön nyilvántartást vezet. (5. számú melléklet.)
Adatbiztonsági intézkedések
Az adatkezelő az által rögzített elektronikus adatokat indokolt esetben bizalmasan, illetve titkosan kezeli, és a 2800 Tatabánya, Sárberki lakótelep 219.3.em.12. szám alatti székhelyén lévő számítógépen tárolja. Az adatok tárolásának módja a vonatkozó adatvédelmi jogszabályoknak megfelel. Az adatok megfelelő biztonsági intézkedésekkel védettek.
A papír alapú adatbázisokban kezelt személyes adatokat az adatkezelő indokolt esetben szintén bizalmasan, illetve titkosan kezeli, és a fenti székhelyén lévő irodában tárolja. Az aktuálisan használaton kívül lévő adatbázisok elzárásra kerülnek. A tárolás helye megfelelő biztonsági intézkedésekkel, berendezésekkel, eszközökkel védett.
Amennyiben a papír alapon tárolt személyes adatok kezelésének célja megvalósult és / vagy az adatkezelés határideje lejárt az Adatkezelő intézkedik az adathordozó megsemmisítéséről. Az iratok megsemmisítését az Adatkezelő személyesen végzi el és arról jegyzőkönyv készül.
Az adatkezelési folyamatok során, az egyes adatkezelési részfeladatokat ellátó alvállalkozók, illetőleg egyéb megbízottak kiemelt figyelmet fordítanak arra, hogy arra illetéktelen személyek ne férhessenek hozzá személyes adatokhoz. A használaton kívüli adathordózókat elzárva, illetve elektronikus adathordozók esetén jelszóval védve tárolják.
Az Adatkezelő által használt azon helyiségek, ahol akár elektronikusan, akár papír alapon személyes adat tárolása történik a jogszabályoknak megfelelő fizikális védelemmel vannak ellátva. (Biztonsági zár)
Az érintett jogai
Tájékoztatáshoz való jog: Az érintettnek joga van a személyes adatainak kezelésével kapcsolatosan a tömör, átlátható és érthető tájékoztatáshoz. Ezen tájékoztatásnak könnyen hozzáférhető formában, világosan és közérthetően, valamint az érintett számára tökéletesen érthető nyelven megfogalmazva tartalmaznia kell az adatkezelés összes lényeges körülményét.
Az adatkezelő, amennyiben a személyes adatokat az érintettől szerezi be, úgy az adatok beszerzését megelőzően - illetőleg ha ez nem lehetséges - az első lehetséges időpontban, de legfeljebb egy hónapon belül, megadja az érintettnek a megfelelő tájékoztatást.
Amennyiben a személyes adatokat az adatkezelő nem az érintettől szerezte be, azok megszerzését követő ésszerű határidőn, de legfeljebb egy hónapon belül megadja a megfelelő tájékoztatást az érintettnek.
Ha a személyes adatokat az érintettel való kapcsolattartás céljára használják fel, akkor legkésőbb az érintettel való első kapcsolattartás alkalmával, ha pedig a személyes adatokat várhatóan más címzettel is közlik, akkor legkésőbb a személyes adatok első alkalommal való közlésekor meg kell adni az érintett számára a megfelelő tájékoztatást.
Amennyiben az érintett az adatkezelőtől tájékoztatást kér az adatainak kezelésével kapcsolatban őt megillető jogok érvényesüléséről, illetve az adatkezelés körülményeiről, úgy az adatkezelő indokolatlan késedelem nélkül, de legfeljebb az erre vonatkozó kérelem beérkezésétől számított egy hónapon belül számára a megfelelő tájékoztatást megadja. A kérelem összetettsége esetén ezen határidő további két hónappal meghosszabbítható. A határidő meghosszabításának tényéről az érintettet tájékoztatni kell.
Amennyiben az adatkezelő a kérelemmel kapcsolatban nem tesz intézkedéseket, erről a kérelmezőt, az elmaradás okainak és az érintett panasztételi lehetőségének megjelölésével tájékoztatja.
A tájékoztatást és az ezzel kapcsolatos intézkedéseit az adatkezelőnek díjmentesen kell biztosítani. Ha azonban az érintett kérelme egyértelműen megalapozatlan, vagy – különösen az ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ, vagy tájékoztatás nyújtásával, illetőleg intézkedések megtételével járó adminisztratív költségekre, ésszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
Hozzáféréshez való jog: az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, a személyes adatokhoz, illetőleg az alábbi információkhoz hozzáférést kapjon: Az adatkezelés célja, az érintett személyes adatok kategóriái, a címzettek, vagy a címzettek kategóriái, az adatok tárolásának tervezett időtartama, az érintett ezen fejezetben alább felsorolt adatkezeléssel kapcsolatos jogai, az érintett panaszjoga. Továbbá ha az adatokat nem az érintettől gyűjtötték, akkor a forrásukra vonatkozó információról, annak tényéről, hogy automatizált döntéshozatal, illetve profilalkotás történt-e az adatkezelés során, illetőleg arról, hogy a személyes adatokat harmadik országba továbbították-e.
Az adatkezelő az adatkezelés tárgyát képező adatokat az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló ésszerű mértékű díjat számíthat fel.
Adatok helyesbítésének kérése: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse, illetve kiegészítse a rá vonatkozó pontatlan személyes adatokat.
Törléshez és elfeledtetéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
A személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
Az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
A személyes adatokat jogellenesen kezelték;
A személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
A személyes adatok gyűjtésére 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Ha az adatkezelőnek olyan személyes adatokat kell törölnie, melyet korábban nyilvánosságra hozott, úgy az összes tőle ésszerűen elvárható lépést meg kell tennie annak érdekében, hogy az adatot rajta kívül minden olyan adatkezelő is törölje, aki azt a nyilvánosságra hozatalt követően tőle átvette.
Az adatok törlésére az adatkezelőnek az érintett kérelme ellenére sincs lehetősége, ha az adatok további kezelésére az alábbi okok valamelyike miatt van szükség: A véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlásához, valamely az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, a népegészségügy területét érintő közérdekből, közérdekű archiválás, tudományos és történelmi kutatás céljából, vagy statisztikai célból, illetőleg jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi körülmények valamelyike teljesül: Az érintett vitatja a személyes adatok pontosságát, az adatkezelés jogellenes, az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett jogi igényének érvényesítéséhez igényli azokat, az érintett tiltakozik az adatkezelés ellen.
Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények érvényesítéséhez illetőleg fontos közérdekéből lehet kezelni.
Adathordozhatósághoz való jog: Az érintett jogosult arra, hogy általa egy adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja. Továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: az adatkezelés az érintett önkéntes hozzájárulásán, vagy az érintett által megkötött szerződésen alapul, illetőleg ha az adatkezelés automatizált módon történik. Ha ez technikailag megvalósítható az érintett kérheti, hogy az adattovábbítás közvetlenül az adatkezelők között történjen.
Tiltakozáshoz való jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a közérdekű, vagy jogos érdek érvényesítéséhez szükséges kezelése ellen, ideértve az ezen adatkezelésekkel kapcsolatban végzett profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik (ide értve a profilalkotást is), az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen. Ha az érintett tiltakozik ezen adatkezelés ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Jogorvoslati és kártérítési lehetőségek
Jogorvoslat
Amennyiben az adatkezelés érintettjének panasza merül fel a személyes adataik kezelésével kapcsolatban, célszerű azt elsődlegesen az adatkezelő felé jelezniük az ügy mihamarabbi tisztázása, illetve békés úton történő rendezése érdekében.
Emellett minden érintett jogosult arra, hogy abban az esetben, ha megítélése szerint az Adatkezelő személyes adatainak kezelése során megsértette a rá vonatkozó adatvédelmi jogszabályokat, panaszt tegyen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti felügyeleti hatóságnál. Továbbá minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. Valamint minden érintett jogosult hatékony bírósági jogorvoslatra, abban az esetben, ha megítélése szerint a személyes adatainak kezelésével kapcsolatos jogait, az adatvédelmi jogszabályok be nem tartásával megsértették.
Kártérítés:
Minden olyan személy, aki az adatvédelmi jogszabályok megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatkezelésben érintett valamennyi adatkezelési feladatokat ellátó személy felelősséggel tartozik minden olyan kárért, amelyet az adatvédelmi jogszabályokat sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a vonatkozó jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az Adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Az Adatkezelő, illetve az adatfeldolgozó mentesül a kártérítési felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
Felügyeleti Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Levelezési cím: 1530 Budapest, Pf.: 5.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail:ugyfelszolgalat@naih.hu
Honlap:https://naih.hu/
Bírósági jogorvoslat az adatkezelő székhelye szerinti Tatabányai Járásbíróságnál kezdeményezhető.
Az adatvédelmi incidens kezelése
Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásra jutás után bejelenti felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A felügyeleti hatóság felé történő bejelentés az alábbi adatokat tartalmazza:
Az adatvédelmi incidens jellegének ismertetése, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
A további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
Az adatvédelmi incidensből eredő valószínűsíthető következmények ismertetése;
Az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések ismertetése, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az Adatkezelő az adatvédelmi incidensekről a törvényi előírásoknak megfelelően nyilvántartást vezet (6. számú melléklet), melyben szereplő adatokat 5 évig őrzi. Az adatvédelmi incidensekkel kapcsolatos nyilvántartás az alábbi adatokat tartalmazza: Az adatvédelmi incidenssel érintettek körét és számát, az érintett személyes adatok körét, az adatvédelmi incidens időpontját, az adatvédelmi incidens körülményeit, hatásait, az adatvédelmi incidens orvoslására megtett intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő az incidensről indokolatlan késedelem nélkül tájékoztatja az érintettet. A tájékoztatásban világosan és közérthetően ismerteti az adatvédelmi incidens jellegét és főbb körülményeit, az adatkezelő által az orvoslásra tett intézkedéseket, valamint az Adatkezelő azon ügyintézőjének (képviselőjének) nevét és elérhetőségét, aki az érintett részére az incidenssel kapcsolatban további tájékoztatást nyújt.
Az érintettek tájékoztatását a felügyeleti hatóság is elrendelheti, ha mérlegelése alapján kialakult véleménye szerint az adatvédelmi incidens magas kockázattal jár.
Az Adatkezelőnek nem kell tájékoztatnia az érintette az adatvédelmi incidensről az alábbi feltételek valamelyikének fennállása esetén:
az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezen intézkedéseket az incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket (pl.: titkosítás), amelyek a hozzáférésre jogosulatlan személyek számára értelmezhetetlenné teszik az adatokat;
az Adatkezelő az incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az Adatkezelő az érintetteket nyilvánosan közzétett információk útján tájékoztatja, vagy olyan hasonló intézkedést hoz, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A tudomására jutott adatvédelmi incidensek Adatkezelő felé történő jelzése az Adatkezelő összes alvállalkozójának, valamint a megbízásos jogviszony alapján tevékenységet ellátó személyeknek kötelessége. Az Adatkezelő amennyiben az incidens körülményei alapján indokoltnak tartja a fentiekben foglaltakon túl belső vizsgálatot indít az adatvédelmi incidens körülményeinek kivizsgálására, majd a vizsgálat eredményei alapján a szükséges intézkedéseket megteszi a hasonló esetek megelőzése érdekében.
Hatásvizsgálat, a felügyeleti hatósággal történő előzetes konzultáció és az érdekmérlegelés
Hatásvizsgálat
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az Adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
Hatásvizsgálatot az Adatkezelő által folytatott adatkezelések esetében különösen az alábbi esetekben kell elvégezni:
Ha természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
Szakszervezeti tagságra utaló, egyedi azonosítást célzó biometrikus, vagy egészségügyi adatok kezelése esetén;
Illetőleg a nyilvános helyek nagymértékű, módszeres megfigyelése esetén.
A hatásvizsgálat az alábbi körülményekre terjed ki:
A tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
Az érintett jogait és szabadságait érintő kockázatok vizsgálatára;
A kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Az Adatkezelő adatkezelési tevékenysége során, szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
A felügyeleti hatósággal történő előzetes konzultáció
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az Adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené a vonatkozó adatvédelmi jogszabályok rendelkezéseit, akkor írásban ad tanácsot az Adatkezelőnek a tervezett adatkezeléssel kapcsolatos további lehetőségeket illetően.
Az érdekmérlegelés
Az Adatkezelő által folytatott azon adatkezelési folyamatok esetében, ahol az adatkezelés jogalapja az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése, az adatkezelés abban az esetben tekinthető jogszerűnek, ha az Adatkezelő az adatkezelési folyamat megkezdését megelőzően érdekmérlegelési tesztet végez. (Kivételt képeznek ez alól azok az esetek, amikor az Adatkezelő, vagy valamely harmadik személy jogos érdekével szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ezekben az esetekben az Adatkezelő a „jogos érdekre”, mint adatkezelési jogalapra hivatkozva nem folytat személyes adatkezelést.)
A fentiek alapján az Adatkezelő érdekmérlegelési tesztet végez az összes olyan általa folytatott adatkezelés esetében, ahol az adatkezelés jogalapjaként a saját, vagy harmadik fél „jogos érdekét” határozta meg. Az érdekmérlegelési teszt a 7.számú mellékletben található minta dokumentum alapján, írásban készül.
Az érdekmérlegelési teszt elvégzése során az Adatkezelő megvizsgálja az adatkezelések szükségességét, pontosan behatárolja a jogos érdekeket, valamint a vizsgált adatkezelés összes körülményeit és az érintettek felmerülő érdekei. Ezt követően a vizsgált körülményeket összegzi és a hivatkozott jogos érdekét, valamint az érintettek érdekeit mérlegelve dönt az adatkezelés jogszerűségéről.
Az érdekmérlegelési teszt elvégzése során az Adatkezelő az adatkezelés szükségességének és arányosságának megítélésekor kiemelt figyelmet fordít a fokozatosság elvének betartására. Ezért a működésével kapcsolatos céljainak elérése érdekében elsődlegesen olyan módszert alkalmaz, mely nem jár együtt személyes adatok kezelésével. Ha ilyen lehetőség nem áll rendelkezésre, úgy a magánszférát legkevésbé korlátozó módszert alkalmazza, mellyel kapcsolatban a lehető legszűkebb körben ismeri meg az érintettek személyes adatait.
Az érdekmérlegelési teszt folyamatának leírása:
A vizsgált adatkezelés főbb körülményeinek kifejtése, különös tekintettel az adatkezelés céljára, a kezelt adatok körére és a tárolás időtartamára;
Az Adatkezelő jogos érdekének meghatározása, pontos kifejtése;
Az adatkezelés céljára és jogalapjára való tekintettel az adatkelezés szükségességének vizsgálata és értékelése:
Az adatkezeléssel kapcsolatos olyan alternatív megoldások keresése, melyek alkalmazásával a kívánt cél személyes adatok kezelése nélkül, vagy szűkebb körű kezelésével is megvalósítható. Ezen alternatív megoldások alkalmazhatóságának vizsgálata;
Az érintett adatkezeléssel kapcsolatos jogos érdekeinek feltárása, kifejtése;
Az érintett és az adatkezelő adatkezeléssel kapcsolatos jogos érdekeinek összevetése;
Az adatkezeléssel kapcsolatos biztosítékok és garanciák megjelölése;
Az érdekmérlegelési teszt eredményének leírása;
Az érintett jogorvoslati és tiltakozási lehetőségeinek kifejtése.
Az érdekmérlegelési teszt elvégzése során az Adatkezelő figyelembe veszi a GDPR, az Info tv., valamint az adatkezeléssel kapcsolatos ágazati jogszabályok vonatkozó rendelkezéseit. A teszt elvégzése során az Adatkezelő kifejti a fentiek mellett azt is, hogy mely intézkedései biztosítják az érintettek magánszférájának és személyes adatainak védelmét valamint, a szükségesség és arányosság garanciáit.
IT felhasználói szabályok és védelmi intézkedések
Fizikai, környezeti védelem
Az Adatkezelő az informatikai eszközöket, berendezéseket, adathordozókat és az elektronikusan kezelt dokumentumokat fizikai valójukban is védi, az adatokhoz való illetéktelen hozzáférés megelőzése érdekében. A fizikai védelem megvalósításának során gondoskodik azon helyiségek megfelelő mechanikai védelem megvalósításáról, melyekben személyes adatok kezelése, tárolása zajlik.
Logikai védelem
Az Adatkezelő az elektronikusan kezelt adatokat a fizikai védelmen kívül különböző logikai védelmi módszerekkel, szoftverekkel is védi, ezen intézkedésekkel és programokkal is csökkentve az adatok sérülésének, megsemmisülésének, valamint az azokhoz való illetéktelen hozzáférésnek a kockázatát.
A logika védelem megfelelő szintjének megteremtése érdekében az Adatkezelő az alábbi részterületeken vezetett be védelmi intézkedéseket:
Jogosultságkezelés (hozzáférések, jelszavak, felhasználó kezelés);
Vírus és rosszindulatú programok elleni védelem;
Tűzfal és egyéb behatolás elleni védelem;
Adatok és adathordozók védelme (titkosítás, dokumentumvédelem, adathordozók védelme);
Biztonságos adatcsere, adattovábbítás;
Hálózati és egyéb eszközök védelme;
Jogosultságkezelés
Az Adatkezelő adatkezelési folyamataiban részvevő, abban részfeladatokat ellátó alvállalkozói és megbízottjai (Továbbiakban együtt: Adatkezelést végzők.) csak és kizárólag azon személyes adatokhoz, férhet hozzá, melyek a munkavégzéséhez elengedhetetlenül szükségesek. Ennek érdekében az Adatkezelést végzők az igénybe vett programokat és alkalmazásokat egyedi és tevékenységükhöz igazított jogosultságokkal vehetik igénybe.
Az Adatkezelő az alábbi szempontok alapján határozza meg, illetve osztja ki a jogosultságokat és hozzáférési szinteket:
A meghatározott jogosultságok alkalmazásával minimalizálható legyen a rosszindulatú vagy egyéb jogosulatlan hozzáférés kockázata;
Az elektronikus információs rendszerekkel kapcsolatba kerülő személyeknek a munkájuk ellátásához szükséges minimális jogosultságok biztosítva legyenek a munkavégzésük időtartamára;
Az azonos tevékenységet ellátó felhasználók jogosultságai szerepkörök szintjén legyenek kialakítva, és a felhasználók a kialakított szerepkörökbe kerüljenek besorolásra;
Az összeférhetetlenségi szabályok legyenek figyelembe véve;
Az elektronikus információs rendszerekben alkalmazott hozzáférési jogosultság megfelelően legyenek adminisztrálva;
Az elektronikus információs rendszerekhez, csak a megfelelő adminisztrálást követően kerüljenek felhasználói jogosultság kiosztásra, módosításra, felfüggesztésre, illetve visszavonásra.
A kiemelten fontos számítógépek védelme
A vállalkozás által üzemeltetett kiemelt feladatot ellátó számítógép tárolása lehetőség szerint, olyan helyiségben történik, melynek ajtaja biztonsági zárral zárható és helyiség kulcsához csak a megfelelő jogosultsággal rendelkező személyek férhetnek hozzá.
A kiemelt feladatot ellátó számítógépek esetében az Adatkezelő a fent kifejtetteken túl az alábbiakról intézkedik:
Munkavégzés után a képernyő zárolása, a képernyőkön betekintés elleni védelem használata;
Amennyiben senki nem tartózkodik a tárolásra szolgáló helyiségben az ajtó zárva tartása.
Vírus és rosszindulatú programok elleni védelem
Az Adatkezelő minden óvintézkedést megtesz annak érdekében, hogy az informatikai rendszerbe a rosszindulatú programok bejutását megakadályozza. Ennek keretében kivétel nélkül minden arra alkalmas IT eszközre telepítésre és megfelelő módon konfigurálásra kerülnek a rosszindulatú programok elleni védelmi szoftverek. Továbbá a rosszindulatú programok elleni védelem érdekében észlelő és megelőző óvintézkedések kerülnek bevezetésre. A felhasználók megfelelő tájékoztatást kapnak azzal kapcsolatban, hogy mely tevékenységük során, milyen módon tudnak gondatlanul rosszindulatú kódokat, vírusokat a rendszerbe juttatni, hogy kellő odafigyeléssel és elvárható óvatossággal kezeljék az ilyen interfészek használatát, hiszen a rosszindulatú kódok, vírusok, férgek, trójai vírusok a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztéséhez is vezethetnek.
Tűzfal és egyéb behatolás elleni védelem
Az Adatkezelő megteszi a szükséges intézkedéseket annak érdekében, hogy minden arra alkalmas számítógép és mobil eszköz operációs rendszerében található, (minimálisan a saját) tűzfal bekapcsolásra kerüljön, és bárminemű felhasználás során bekapcsolt állapotban maradjon. Ezzel megelőzve a hálózaton keresztül történő jogosulatlan hozzáféréseket.
Titkosítás
Az Adatkezelő megtesz minden szükséges intézkedést annak érdekében, hogy az összes olyan esetben, amikor fennáll a veszélye annak, hogy az adatokhoz arra illetéktelen személy férhet hozzá, vagy az adatok sértetlensége fenyegetettnek látszik, a veszélyeztetett adatok megfelelő és arányos technikai (kriptográfiai) eszközzel titkosításra kerüljenek.
Anonimizálás, álnevesítés
Az Adatkezelő azokban az esetekben, amikor a személyes adatok kezelésének jellege és körülményei ezt lehetővé teszik, anonimizálásit és / vagy álnevesítést használ az általa kezelt személyes adatok védelme érdekében.
Adatmentés, archiválás, biztonsági másolatok
Az Adatkezelő intézkedik arról, hogy az általa kezelt, vagy használatában lévő, elektronikus formában tárolt személyes adatról, biztonsági mentés készüljön, minimalizálva ezzel az adatvesztés kockázatát. A biztonsági mentések elkészítésének gyakorisága, az adatok szenzitivitásának, pótolhatóságának, illetőleg az Adatkezelő tevékenységi köréből adódó sajátosságoknak megfelelően került meghatározásra. A mentések végrehajtására elsődlegesen automatizált formában kerül sor.
Mentések tárolása
A biztonsági mentések tárolását az Adatkezelő lehetőség szerint az alap tárolási helytől elkülönülő helyiségben valósítja meg, egy erre kijelölt jelszóval, és / vagy titkosítással védett merevlemezen. A biztonsági másolatok tárolási ideje illeszkedik az alap adatok tárolási idejéhez.
Adattörlés, megsemmisítés
Az Adatkezelő, az adatkezelési jogalap megszűnését, valamint hiányának megállapítását követően, illetőleg az indokolt törlési kérelmek esetén véglegesen és visszaállíthatatlan formában törli az általa kezelt személyes adatokat. A kezelt személyes adatok törlésének indokoltsága napi szinten felülvizsgálatra kerül.
Mobil eszközök védelme
Az Adatkezelő által alkalmazott mobil eszközök esetében tilos bármely olyan program, vagy alkalmazás telepítése, amely nem nélkülözhetetlenül szükséges a munkafeladatok elvégzéséhez és / vagy kockázatos lehet a mobil eszközökön tárolt személyes adatok vonatkozásában. A felesleges, munkavégzéshez nem feltétlenül szükséges programok, alkalmazások törlésére főszabály szerint legalább havonta egy alkalommal sor kerül, jelentős mértékben csökkentve ezzel az adatvédelmi kockázatot a mobil eszközökön.
Az alkalmazott mobil eszközökön beállításra kerül a távoli törlés és hozzáférés lehetősége, így amennyiben az eszközt eltulajdonítják, vagy azt a felhasználója esetlegesen elhagyja lehetőség nyílik az azon tárolt személyes adatok esetleges zárolására, törlésére, megsemmisítésére.
Felhasználói felelősség, privát használat
Az Adatkezelő által használt számítógépek, mobil eszközök privát használata esetén a privát használatra elkülönített felhasználói fiók kerül létrehozásra. Ezen fiók nem rendelkeznek rendszergazdai, azaz teljes körű jogosultságokkal. A külön felhasználói fiók létrehozása, használata kiemelten fontos az eszközökön található személyes adatok védelme érdekében.
Az adatkezelési, adatvédelmi szabályok oktatása, az adatkezelést végzők képzése
Az Adatkezelő adatkezelési folyamataiban részvevő, abban részfeladatokat ellátó megbízottjai (Adatkezelést végzők) a foglalkoztatásukat megalapozó szerződés megkötését követően, de a tényleges munkavégzésük megkezdése előtt oktatásban részesülnek ezen Szabályzattal kapcsolatban. Képzést kapnak továbbá az adatkezelés során használt eszközök, hardverek, szoftverek helyes használatát illetően, továbbá a papír alapon kezelt személyes adatok kezelésével és védelmével kapcsolatban is.
Az Adatkezelő az adatvédelemmel, valamint a személyes adatok kezelésének szabályaival kapcsolatban évente ismétlő képzést tart az Adatkezelést végzők számára. Képzések megtartására kerül sor továbbá az Adatkezelést végzők számára minden olyan esetben is, amikor a vonatkozó jogszabályok érdemileg módosulnak, illetőleg azon esetekben, amikor az Adatkezelési szabályzat tartalma érdemben változik.
Az adatkezeléssel, adatvédelemmel kapcsolatos oktatások megtartásáról az oktatás megtartója jegyzőkönyvet készít, mely tartalmazza az oktatás tárgyát és időpontját is. Ezen jegyzőkönyvet az oktatás megtartója és az oktatáson résztvevő megbízottak is aláírják. (8.számú melléklet.)
Ezen túlmenően az Adatkezelő folyamatosan gondoskodik arról, hogy az Adatkezelést végzők tudatában legyenek az informatikai biztonság esetleges sérülékenységének, és motiválva legyenek a fenti szabályzatok betartására.
Az adatkezelő által folytatott adatkezelések
Az ügyfelekkel kapcsolatos személyes adatkezelések
Ügyfelek időpontfoglalásával kapcsolatos adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő ügyfeleinek (érintettek) telefonos, vagy e-mailes időpont egyeztetést követően, van lehetőségük igénybe venni a vállalkozás által nyújtott szolgáltatásokat. A foglalt időpontokat és az időpont foglalók nevét, az Adatkezelő egy erre a célra rendszeresített elektronikus naptárban kezeli, amely a vonatkozó adatvédelmi előírásoknak megfelel.
Az Adatkezelő az érintett ügyfelek figyelmét az első alkalommal történt kapcsolatfelvételkor felhívja a www.fortunajogsi.hu/adatkezelés webcímen elérhető, ügyfeleknek szóló, adatkezelési tájékoztatóra, egyúttal megkéri az érintetteket, hogy az időpont foglalás tényét és a tájékoztató alapján az adatkezeléshez való hozzájárulásukat, visszaigazoló e-mailben erősítsék meg. Amennyiben egy munkanapon belül nem történik visszaigazolás, a foglalt időpont törlésre kerül.
Az adatkezelés jogalapja: Az érintett önkéntes hozzájárulása, illetve az Adatkezelő jogos érdeke.
Az adatkezelés célja: Az ügyfelek kényelmének biztosítása, a szolgáltatás hatékonyabbá, gazdaságosabbá, gördülékenyebbé tétele és ezen szolgáltatással kapcsolatban esetlegesen szükségessé váló kapcsolattartás biztosítása.
A kezelt adatok köre: Az érintett neve, e-mail címe, telefonszáma, az igénybe vett szolgáltatás megnevezése.
Az adattárolás módja: papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az ügyfélkapcsolat megszűnését követő 5 évig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: nem történik.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Gépjármű vezető oktatással kapcsolatos személyes adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő (gépjárművezető oktató) az érintettel (tanuló) írásbeli tanulmányi szerződést köt a gépjármű vezető képzési tevékenységgel kapcsolatban. A szerződés megkötését megelőzően az Adatkezelő az érintett rendelkezésére bocsátja a vállalkozás tanulókra vonatkozó adatkezelési tájékoztatóját. A tájékoztató megismerését követően az érintett írásbeli hozzájáruló nyilatkozatot tesz a személyes adatainak oktatási tevékenység vonatkozásában történő kezelésével kapcsolatban. (9. számú melléklet) A tanulmányi szerződés megkötésére csak az írásbeli nyilatkozat megtételét követően kerül sor. A hozzájáruló nyilatkozat csatolásra kerül a tanulmányi szerződéshez, az Adatkezelő azt a szerződés mellékleteként a szerződéssel együtt kezeli az ügyfélnyilvántartásának (tanulónyilvántartás) keretei között. Az Adatkezelő a tanulókra vonatkozó adatkezelési tájékoztatóját a www.fortunajogsi.hu/adatkezelés webcímen is elérhetővé teszi a tanulók számára.
A tanulmányi szerződés megkötését követően az érintett regisztrál az E-educatio Információtechnológiai Zrt. által üzemeltetett „E-Titán” e-leraning weboldalon, ahol oktatóként az Adatkezelőt tünteti fel. Az ezen regisztrációval kapcsolatos adatkezelést az E-educatio Információtechnológiai Zrt. (székhely: 1111 Budapest, Budafoki út 59. web: e-educatio.hu) önállóan folytatja, melyről az érintetteket tájékoztatja. A tanuló az e-learning KRESZ oktatáson önállóan vesz részt, azonban a rendszer jelzi az Adatkezelőnek, ha a tanfolyamot az érintett befejezte. Ekkor az Adatkezelő bejelenti vizsgára az érintettet a Komárom-Esztergom megyei Kormányhivatal Közlekedési Felügyelősége felé. A sikeres KRESZ vizsga letétele után kezdődik meg az érintett gyakorlati gépjárművezető oktatása, melyet az Adatkezelő végez. Az oktatási tevékenység során az Adatkezelő – a vonatkozó jogszabályoknak megfelelően - a tanulókkal (érintettekkel) kapcsolatban tanulónyilvántartást vezet, valamint az érintettek szükséges adatait bevezeti a vezetési karton nyilvántartóba. Ezen kívül az Adatkezelő, a jogszabályokból adódó kötelezettségének eleget téve a tanulókkal kapcsolatban folyamatosan vezeti, és havi egy alkalommal a Nemzeti Közlekedési Hatóság (székhely.: 1066 Budapest, Teréz krt. 62.) felé továbbítja az úgynevezett óra-ütköztetőt, mely tartalmazza a tanuló vezetési gyakorlataival kapcsolatos legfontosabb adatokat. A vezetési gyakorlat elvégzése után az Adatkezelő bejelenti gyakorlati vizsgára a tanulót, a Komárom-Esztergom megyei Kormányhivatal Közlekedési Felügyelősége felé, majd a vizsga letételéig a vizsgával kapcsolatos dokumentumot kezeli. Pótvizsga kötelezettség esetén a fent írt folyamat tovább folytatódik. Az Adatkezelő gépjármű vezető oktatóként a Nemzeti Közlekedési Hatóság elektronikus felületén az általa oktatott tanulók oktatással kapcsolatos adataihoz a feladatainak elvégzése érdekében hozzáfér.
Amennyiben az oktatási folyamat során az oktatóhoz, másik gépjármű oktatótól tanuló érkezik, vagy másik oktatóhoz tanuló távozik, úgy ezen tanulóval kapcsolatban tanulóáthelyező kerül kitöltésre, mely tartalmazza az érintett további oktatásához szükséges személyes adatokat.
A gépjárművezető oktatással kapcsolatosan az Adatkezelő ügyfélnyilvántartást vezet, melynek keretében papír alapon és elektronikusan nyilvántartja az érintettek adatait, figyelemmel a fentiekben foglaltakra.
Az adatkezelés jogalapja: Az érintett önkéntes hozzájárulása, illetve az Adatkezelő jogszabályból adódó kötelezettsége és jogos érdeke.
Az adatkezelés célja: A gépjárművezető oktatási tevékenység jogszabályoknak megfelelő módon történő végzése.
A kezelt adatok köre: Az érintett neve, anyja neve, születési helye és ideje, lakcíme, tartózkodási helye, e-mail címe, telefonszáma, iskolai végzettsége, egészségügyi alkalmasságának ténye, vizsga adatai, az érintett képmása, valamint a gépjárművezető oktatással kapcsolatos körülmények.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő ügyfelei részére történő szolgáltatás nyújtásának befejeztét követő 5 évig, illetőleg az Adatkezelő ezen tevékenységekkel kapcsolatban felmerülő jogos érdekeinek érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: Az adatkezelés során adattovábbítás történik - a fentiek szerint – a Nemzeti Közlekedési Hatóság és a Komárom-Esztergom Megyei Kormányhivatal Közlekedési Felügyelete felé.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Magánszemély ügyfelek számára kiállított számlákkal kapcsolatos adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő a vonatkozó számviteli szabályoknak megfelelően a teljesített szolgáltatásaival kapcsolatban számlát állít ki az ügyfelei részére, kézi számlatömbben. A kiállított számlák egy példányát az ügyfélnek átadja, egy példányát pedig a számviteli nyilvántartásában (a cég könyvelésében) papír alapon kezeli. A számlák harmad példányát a számlatömbben tárolja, majd annak beteltekor szintén a cég könyvelési anyagai között helyezi el.
Az adatkezelés jogalapja: Az Adatkezelő jogszabályon alapuló kötelezettsége.
Az adatkezelés célja: Az ügyfelek számára történő szolgáltatás nyújtással kapcsolatos számlázási tevékenység végrehajtása.
A kezelt adatok köre: Az érintett neve, lakcíme, tartózkodási helye, adóazonosító jele, az igénybe vett szolgáltatás megnevezése.
Az adattárolás módja: papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő felmerülő jogos érdekeinek érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig, de a vonatkozó jogszabályok alapján, legalább a számla kiállítását követően 5+1 évig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: Adattovábbítás történik a vállalkozás számára könyvelési tevékenységet végző alvállalkozó számára, a könyvelési és adatszolgáltatási feladatok elvégzése céljából.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Ügyfelekkel telefonon, illetve e-mailen keresztül történő egyeztetések során megvalósuló személyes adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő által nyújtott szolgáltatásokkal kapcsolatban telefonon, illetve e-mailen keresztül folytat egyeztetéseket. Ezen egyeztetések során az ügyfelek által az Adatkezelő tudomására hozott személyes adatokat az Adatkezelő az e Szabályzatban foglaltak szerint kezeli.
Az Adatkezelő az e-mail forgalmát a Google, felhő alapú szolgáltatásán keresztül (www.gmail.com) bonyolítja, illetőleg a szükséges esetben a papír alapú és elektronikus ügyfél nyilvántartásába a levelezést tartalmát átemeli. Az e-mailen történő kapcsolatfelvétele esetén felhívja az ügyfelei figyelmét a személyes adataik kezelésével kapcsolatos adatkezelési tájékoztatóra és elérhetőségére (www.fortunajogsi.hu/adatkezelés ).
A telefonon történő egyeztetések során az Adatkezelő a szükséges esetekben az ügyféllel egyeztetett adatokat lejegyzi, illetve azokat az elektronikus és papír alapú nyilvántartásban kezeli. Azon telefonon érdeklődő ügyfelek esetében, akik nem a honlapon keresztül jutottak az Adatkezelő kapcsolattartási telefonszámához, az Adatkezelő felhívja a figyelmet a honlapján elhelyezett adatkezelési tájékoztatóra.
Az adatkezelés jogalapja: Az érintett önkéntes hozzájárulása, illetve az Adatkezelő jogos érdeke.
Az adatkezelés célja: Az ügyfelekkel történő kapcsolattartás biztosítása.
A kezelt adatok köre: Az érintett neve, e-mail címe, telefonszáma, valamint az egyeztetett adatok.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az egyeztetések során az Adatkezelő kizárólag a munkavégzéséhez, illetve a jogos igényeinek érvényesítéséhez és kötelezettségeinek teljesítéséhez szükséges adatokat őrzi meg az ügyfélkapcsolat megszűnését köbvető 5 évig. Egyéb adatok nem kerülnek rögzítésre.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: nem történik.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Beérkező panaszokkal kapcsolatos személyes adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő az általa nyújtott szolgáltatásokkal kapcsolatban felmerülő panaszokat kivizsgálja és a kivizsgálás eredményéről az érintett ügyfelet tájékoztatja. A kivizsgálással kapcsolatos adatokat az Adatkezelő a papír alapú és elektronikus ügyfélnyilvántartásban kezeli.
Az adatkezelés jogalapja: Az érintett önkéntes hozzájárulása, illetve az Adatkezelő jogos érdeke.
Az adatkezelés célja: Az ügyfelek panaszaival kapcsolatos ügyintézés menetének biztosítása, illetve ezen ügyintézés során az ügyfelekkel történő kapcsolattartás biztosítása.
A kezelt adatok köre: Az érintett neve, lakcíme, tartózkodási helye, e-mail címe, telefonszáma, a panasz tartalma.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő ügyfelei részére történő szolgáltatás nyújtásának időintervallumát követő 5 évig, illetőleg az Adatkezelő ezen tevékenységekkel kapcsolatban felmerülő jogos érdekeinek érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: nem történik.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Hatósági megkeresésekkel kapcsolatos személyes adatkezelések
Az adatkezelés folyamatának és főbb körülményeinek leírása: Az Adatkezelő törvényi kötelezettsége, hogy a hozzá érkező hatósági megkeresésekre, megfelelő válaszokat adjon a megkeresést küldő hatóságok felé. Ezzel kapcsolatban sor kerülhet az Adatkezelő által, az ügyfeleivel kapcsolatban, kezelt személyes adatok jogszabályoknak megfelelő keretek között történő továbbítására is. A hozzá érkező – ügyfelek személyi adataival kapcsolatos - hatósági megkereséseket, valamint az azokkal kapcsolatban adott válaszokat az Adatkezelő az ügyfélnyilvántartásában kezeli.
Az adatkezelés jogalapja: Az Adatkezelő jogi kötelezettségének teljesítése.
Az adatkezelés célja: Az Adatkezelőhöz érkező hatósági megkeresések teljesítése.
A kezelt adatok köre: Az ügyfél neve, leánykori neve, születési helye és ideje, valamint a megkereséssel kapcsolatos adatok.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő ügyfelei részére történő szolgáltatás nyújtásának időintervallumát követő 5 évig, illetőleg az Adatkezelő ezen tevékenységekkel kapcsolatban felmerülő jogos érdekeinek érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: Adattovábbítás történik a megkeresést küldő hatóság felé, a vonatkozó jogszabályoknak megfelelően.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Orvosi- és pályaalkalmassági vizsgálatokkal kapcsolatos adatkezelés
Az adatkezelés folyamatának és főbb körülményeinek leírása: Az Adatkezelő a gépjárművezető oktatási tevékenysége során a feladatainak törvényes ellátása érdekében kezeli az általa oktatott tanulók gépjármű vezetésre való alkalmasságával kapcsolatos személyes adatokat. Ezen adatkezelési folyamat során az Adatkezelő az érintett által átadott, orvosi- és pályaalkalmasságot igazoló dokumentumot megtekinti és meggyőződik arról, hogy az általa oktatott tanuló alkalmas a gyakorlati képzés lebonyolításához, majd a dokumentumot tanulóval kapcsolatos egyéb szükséges dokumentumokkal együtt, továbbítja az illetékes hatóság felé.
Az adatkezelés jogalapja:Az Adatkezelő (munkáltató) és az érintett (tanuló) között megkötött szerződés teljesítése, valamint az Adatkezelő jogos érdeke.
Az adatkezelés célja: A gépjárművezető oktatási tevékenység vonatkozó jogszabályoknak megfelelő keretek között történő végzésének biztosítása.
A kezelt adatok köre: Az érintett tanuló neve, születési helye és ideje, anyja neve, TAJ száma, valamint az ellenőrzés időpontja, helye és eredménye.
Az adattárolás módja: papír alapú adatbázisban.
Az adatok tárolásának határideje: Az érintett hallgatók egészségügyi- és pályaalkalmasságával kapcsolatos személyes adatokat, az Adatkezelő a hallgatóktól való átvételt követően a hatóságnak történő továbbításig kezeli. Az adattovábbítás a lehető legrövidebb időn belül megtörténik. Ezen adatokat az Adatkezelő nem tartja nyilván.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: Az adatkezelés során adattovábbítás történik - a fentiek szerint – a Nemzeti Közlekedési Hatóság és a Komárom-Esztergom Megyei Kormányhivatal Közlekedési Felügyelete felé.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Az Adatkezelő üzleti partnereivel kapcsolatos személyes adatkezelések
Egyéni vállalkozó alvállalkozók személyes adatainak kezelése
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő működése során, feladatainak ellátása érdekében kezeli a vele kapcsolatban álló egyéni vállalkozó üzleti partnereinek, illetve alvállalkozóinak alább felsorolt személyes adatait az e Szabályzatban foglaltak szerint. A személyes adataik kezeléséről szóló tájékoztatót az Adatkezelő elérhetővé teszi a www.fortunajogsi.hu/adatkezelés webcímen, valamint szerződéskötéseket megelőzően nyomtatott formátumban is az üzleti partnereinek a rendelkezésére bocsátja. Így az érintett egyéni vállalkozók az adatkezeléssel kapcsolatban a szükséges tájékoztatást az adatkezelés előtt megkapják. Amennyiben az Adatkezelő az érintett üzleti partnerével írásbeli szerződést köt a hozzájáruló nyilatkozat csatolásra kerül ezen szerződéshez. Azokban az esetekben, amikor a két fél között szóbeli megállapodás jön létre, a hozzájárulás megadása az erre vonatkozó írásbeli nyilatkozat megtétele útján történik. (10. számú melléklet) Az írásos hozzájáruló nyilatkozatok külön mappában kerülnek eltárolásra, az Üzleti partner nyilvántartás keretein belül. Az Adatkezelő az egyéni vállalkozó üzleti partnereinek és alvállalkozónak személyes adatait a papír alapon és elektronikusan vezetett Üzleti partner nyilvántartásban kezeli az alább részletezett körülmények között.
Az adatkezelés jogalapja: Az érintett hozzájárulása, illetőleg szerződéses és jogi kötelezettségek teljesítése.
Az adatkezelés célja: Az Adatkezelő egyéni vállalkozó üzletfeleivel (alvállalkozóival), való kapcsolattartása a velük kötött szerződésekben, megállapodásokban foglalt feladatok végrehajtása érdekében.
A kezelt adatok köre: Név, székhelycím, adószám, regisztrációs szám, telefonszám, e-mail cím.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő és az egyéni vállalkozók között fennálló szerződéses jogviszony, vagy megállapodás időtartamát követő 5+1 évig, illetőleg az ezzel kapcsolatos jogszabályok által meghatározott határideig (pl.: adózással kapcsolatos jogszabályok). Továbbá az Adatkezelő ezen jogviszonyokkal kapcsolatban keletkezett jogainak érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: Adattovábbítás történik a vállalkozás számára könyvelési tevékenységet végző alvállalkozó számára, a könyvelési és adatszolgáltatási feladatok elvégzése céljából.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Beszállító, alvállalkozó és egyéb jogi személyiséggel rendelkező üzleti partnerek magánszemély képviselőivel kapcsolatos adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: Az Adatkezelő működése során, feladatainak ellátása érdekében kezeli a vele kapcsolatban álló beszállító, alvállalkozó és egyéb jogi személyiséggel rendelkező üzleti partnerek magánszemély képviselőinek alább felsorolt személyes adatait az e Szabályzatban foglaltak szerint. A személyes adataik kezeléséről szóló tájékoztatót az Adatkezelő elérhetővé teszi a www.fortunajogsi.hu/adatkezelés webcímen, valamint szerződéskötéseket megelőzően nyomtatott formátumban is az érintettek rendelkezésére bocsátja. Ezáltal az adatkezeléssel kapcsolatban a beszállítók, alvállalkozók és egyéb jogi személyiséggel rendelkező üzleti partnerek magánszemély képviselői a szükséges tájékoztatást megkapják. Az adatok kezelésére az érintettek önkéntes hozzájárulásnak a megadását követően kerülhet sor. Amennyiben az Adatkezelő az érintett üzleti partnerével írásbeli szerződést köt a hozzájáruló nyilatkozat csatolásra kerül ezen szerződéshez. Azokban az esetekben, amikor a két fél között szóbeli megállapodás jön létre, a hozzájárulás megadása az erre vonatkozó írásbeli nyilatkozat megtétele útján történik. (10. számú melléklet) Az Adatkezelő a jogi személyiséggel rendelkező üzleti partnereinek magánszemély képviselőivel kapcsolatos személyes adatokat, a papír alapon és elektronikusan vezetett Üzleti partner nyilvántartásban kezeli az alább részletezett körülmények között.
Az adatkezelés jogalapja: Az érintett hozzájárulása, illetőleg szerződéses és jogi kötelezettségek teljesítése.
Az adatkezelés célja: Az Adatkezelő jogi személyiséggel rendelkező alvállalkozóival, beszállítóival és egyéb üzleti partnereivel való kapcsolattartás, a velük kötött szerződések teljesítése.
A kezelt adatok köre: Név, cégnév, beosztás, telefonszám, e-mail cím.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: Az Adatkezelő és a jogi személyiséggel rendelkező alvállalkozói, beszállítói és egyéb üzleti partnerei között fennálló szerződéses jogviszony, vagy megállapodás időtartamát követő 5+1 évig, illetőleg az ezzel kapcsolatos jogszabályok által meghatározott határideig (pl.: adózással kapcsolatos jogszabályok), továbbá az Adatkezelő ezen jogviszonyokkal kapcsolatban keletkezett jogainak érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig. Amennyiben az üzleti partnerek magánszemély képviselőinek személyében változás áll be, a korábbi képviselők adatait az Adatkezelő ezen szerződéses jogviszonnyal kapcsolatban keletkezett jogainak érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig tartja nyilván.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: nem történik.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Az Adatkezelő által üzemeltetett honlappal kapcsolatban folytatott személyes adatkezelések
A honlapon megadott telefonszámon keresztül történő kapcsolatfelvétel esetén megvalósuló adatkezelés
Az adatkezelés folyamatának, főbb körülményeinek leírása: A honlap üzemeltetője (adatkezelő) a honlapon megadja azon telefonos elérhetőséget, vagy elérhetőségeket, melyeken keresztül az üzemeltető szolgáltatásaival kapcsolatban az érdeklődők bővebb felvilágosítást, vagy szakmai tanácsokat kaphatnak. Ezen telefonos elérhetőségeken történő kapcsolatfelvétel főszabály szerint anonim és nem kötött személyes adatok megadásához. Azonban amennyiben az érintett ezt kifejezetten kéri, az üzemeltető képviselője a további ügyintézés érdekében rögzítheti az általa megadott személyes adatokat. A telefonos kapcsolatfelvételek során ilyen módon rögzített személyes adatokat az adatkezelő az erre a célra rendszeresített és bizalmasan kezelt regiszterben rögzíti. Amennyiben az ügyintézési folyamat során az érintett az adatkezelő ügyfelévé válik, úgy a regiszterből az adatok átkerülnek a megfelelő ügyfél adatbázisba. A telefonos kapcsolatfelvételek vonatkozásában vezetett regiszterből az adatkezelő az adatokat 30 nap elteltével törli.
Az adatkezelés jogalapja: Az érintett önkéntes hozzájárulása, illetve az adatkezelő jogos érdeke.
Az adatkezelés célja: Az ügyfelek számára a kényelmes, gyors, hatékony és távolról történő ügyintézés lehetőségének a biztosítása, továbbá az ezen szolgáltatással kapcsolatban esetlegesen szükségessé váló kapcsolattartás biztosítása.
A kezelt adatok köre: Az érintett neve, lakcíme, tartózkodási helye, e-mail címe, telefonszáma, az érintett által a telefonos kapcsolatfelvétel során közölt egyéb körülmények.
Az adattárolás módja: elektronikus és papír alapú adatbázisokban.
Az adatok tárolásának határideje: A telefonos ügyintézés lezárultát követő 30. nap, illetőleg az adatkezelő ezen tevékenységekkel kapcsolatban felmerülő jogos érdekeinek érvényesíthetőségéig, illetve kötelezettségeinek teljesíthetőségéig.
Adattovábbítás történik-e az adatkezelés során, ha igen mely címzett részére: nem történik.
Automatikus döntéshozatal, illetve profilalkotás történik-e az adatkezelés során: nem történik.
Az adatkezelési folyamatok szervezése, irányítása, felelőségi szintjei
Az Adatkezelő adatkezelési folyamatainak szervezéséért, végrehajtásáért, valamint az e Szabályzatban foglaltak betartásáért elsődlegesen az egyéni vállalkozó személyesen tartozik felelősséggel.
Az Adatkezelő adatkezelési folyamataiban részvevő, abban részfeladatokat ellátó megbízottak és adatfeldolgozók pedig saját feladatellátásuk során tartoznak felelősséggel az adatvédelmi és adatkezelési szabályok betartásáért.
Az Adatkezelő egyéni vállalkozó személyesen látja el a vállalkozás adatkezelési tevékenységével kapcsolatos általános feladatokat, ellenőrzéseket végez, figyelemmel kíséri a jogszabályi változásokat, szükség módosítja a Szabályzatot és az adatkezelési tájékoztatókat, igény szerint felvilágosítást ad az érintetteknek és megteszi a szükségesnek tartott intézkedéseket és kapcsolatot tart a hatóságokkal.
Az adatkezelési folyamatok, valamint adatvédelmi szabályok betartásának ellenőrzése
Az Adatkezelő egyéni vállalkozó rendszeresen ellenőrzi az adatkezelési részfeladatokat llátók által folytatott adatkezelési tevékenységet, valamint az adatvédelmi szabályok betartását, a folyamatok szúrópróba szerű ellenőrzésével, valamint egyes részterületek tervszerű, átfogó ellenőrzéseivel. Az ellenőrzések eredményei kiértékelésre kerülnek, mely értékelések alapján, szükség esetén az adatkezelési folyamatok, illetőleg a Szabályzat módosítására is sor kerülhet.
Az ellenőrzések a fentieken túl kiterjednek azon eszközökre, berendezésekre, szoftverekre és hardverekre is, melyek az Adatkezelőnél folytatott adatkezelések során alkalmazásra, felhasználásra kerülnek. A felmerülő hibák kijavítására az egyéni vállalkozó soron kívül intézkedik.
Záró rendelkezések
Ezen Adatkezelési és Adatvédelmi Szabályzat 2018.10.24-én lép hatályba és visszavonásáig, illetőleg módosításáig érvényes. Az adatkezelő fenntartja a jogot a Szabályzat módosítására, mely módosításról az érintetteket megfelelő módon tájékoztatja. A Szabályzat Módosítására az egyéni vállalkozó jogosult.
A Szabályzat mindenkor hatályos változata az adatkezelést végzők számára oktatásra kerül, illetőleg teljes terjedelmében megismerhető, tanulmányozható és munkaidőben a fenti címen lévő hozzáférhető. Ezen túlmenően az Adatkezelő által folytatott adatkezelésekkel kapcsolatos tájékoztatók, melyek a Szabályzat megfelelő részeinek kivonatát tartalmazzák, az érintettek számára elérhetők az adott adatkezelési folyamat vonatkozásában szokásos kapcsolattartási pontokon.
Tatabánya, 2018.10.24.
Csernik Sándorné
Egyéni vállalkozó
Mellékletek
számú melléklet Titoktartási nyilatkozat
számú melléklet Jegyzőkönyv adatok megsemmisítéséről
számú melléklet Adatfeldolgozói szerződés
számú melléklet Adatfeldolgozók felsorolása
számú melléklet Adattovábbítások nyilvántartása
számú melléklet Adatvédelmi incidensek nyilvántartása
számú melléklet Érdekmérlegelési teszt
számú melléklet Jkv. adatkezelési, adatvédelmi oktatás megtartásáról
számú melléklet Nyilatkozat magánszemély ügyfelek, tanulók részére
számú melléklet Nyilatkozat személyes adatok hozzájár. alap. kezeléséhez
Adatkezelési tájékoztató ügyfelek, tanulók részére (pdf letöltése)
Adatkezelési tájékoztató üzleti partnerek részére (pdf letöltése)
Adatkezelési tájékoztató weboldal látogatói számára (pdf letöltése)
Cookie kezelési tájékoztató (pdf letöltése)