1/2024 (06.18.) SZÁMÚ UTASÍTÁS

A WISER Group Kft. egységes, adatvédelmi és adatkezelési szabályzata

Verziószám: V.001
Hatálybalépés dátuma: 2024. június 18.
Jóváhagyta: Kozák László ügyvezető
Hozzáférés: Kizárólag belső felhasználásra

 

  1. ÁLTALÁNOS RENDELKEZÉSEK
    1.1 A SZABÁLYZAT CÉLJA

Az Európai Parlament és a Tanács (EU) 2016/679. számú rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről, azaz az Európai Unió Általános Adatvédelmi Rendelete (GDPR) alapján a WISER Group Kft., mint adatkezelő (a továbbiakban: „Adatkezelő”) az általa folytatott adatkezelési tevékenységek nyilvántartása, az érintettek jogainak biztosítása és az adatvédelem általános rendjének kialakítása céljából az alábbiakban meghatározott szabályzatot (a továbbiakban: „Szabályzat”) alkotja. Jelen Szabályzat útján az Adatkezelő biztosítani kívánja működésének törvényes rendjét, az adatvédelem alkotmányos elveinek és az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

1.2 A SZABÁLYZAT HATÁLYA

A Szabályzat tárgyi hatálya kiterjed az Adatkezelő bármely szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során személyes adatok kezelése megvalósul, függetlenül attól, hogy az adatkezelés, illetve adatfeldolgozás teljesen vagy részben számítógépes eszközzel (elektronikus úton), illetve manuális módon történik.

Jelen Szabályzat személyi hatálya kiterjed az Adatkezelő munkavállalóira, munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyekre, továbbá az adatkezeléssel érintett bármely természetes és jogi személyre.

Jelen Szabályzat a külzeten feltüntetett időponttól visszavonásig hatályos.

1.3 DEFINÍCIÓK

érintett”: bármely információ alapján azonosított vagy azonosítható természetes személy;

személyes adat”: az érintettre vonatkozó bármely információ;

hozzájárulás”: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;

adatkezelő”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

adatkezelés”: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

adatfeldolgozó”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

harmadik személy”: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;

adatvédelmi incidens”: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

profilalkotás”: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

címzett”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz.

1.4 ADATKEZELÉSI IRÁNYELVEK

Az Adatkezelő a személyes adatok kezelése során mindenkor az alábbi irányelvek szem előtt tartásával jár el:

Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie. („jogszerűség, tisztességes eljárás és átláthatóság”)

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. („célhoz kötöttség”)

A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. („adattakarékosság”)

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. („pontosság”)

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. („korlátozott tárolhatóság”)

Az adatkezelés során arra alkalmas műszaki vagy szervezési – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát. („integritás és bizalmas jelleg”)

Az Adatkezelő felelős a fenti irányelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. („elszámoltathatóság”)

1.5 AZ ADATKEZELŐ ADATAI

Név: WISER Group Kft.

Cím: 1065 Budapest, Révay köz 4.

Adószám: 27928181-2-41

Cégjegyzékszám: 01-09-357551

Nyilvántartást vezető bíróság: Fővárosi Törvényszék Cégbírósága

Törvényes képviselő: Kozák László ügyvezető

E-mail: info@wisergroup.hu

Telefonszám: +36 30 336 08 16

  1. AZ ADATKEZELÉS SZABÁLYAI
    2.1 AZ ADATKEZELÉS CÉLJA

Az Adatkezelő személyes adatot a működésével összefüggésben felmerült célokból, foglalkoztatási célból, marketing céljából, személy- és vagyonbiztonságot szolgáló eszközök üzemeltetése céljából, a működéshez kapcsolódó iratkezelési folyamatok, informatikai szolgáltatások és az információbiztonság biztosítása céljából, az adatvagyon hasznosítása céljából, továbbá a szervezet létesítő okiratában meghatározott egyéb alaptevékenységek ellátása céljából kezel. Amennyiben annak jogszabályi feltételei fennállnak, az Adatkezelő jogosult új adatkezelési tevékenységet kezdeményezni. Az egyes adatkezeléseket és azok részleteit az Adatkezelő adatkezelési tevékenységeinek nyilvántartása (1. sz. melléklet) tartalmazza.

2.2 AZ ADATKEZELÉS JOGALAPJA

A személyes adatok Adatkezelő általi kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbi feltételek egyike teljesül:

  1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

    2.2 A HOZZÁJÁRULÁS FELTÉTELEI

A hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Az érintett hozzájárulását – tárolható formában – megadhatja szerződésben, e célra rendszeresített formanyomtatványon (7. sz. melléklet), elektronikus formában vagy papír alapon. Az érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulással csak olyan adatkezelés folytatható, amelynek során az előzetes tájékoztatás követelményeinek betartása és az önkéntesség igazolható. Nem igazolható az önkéntesség, amennyiben a kizárólag az Adatkezelő érdekeit szolgáló adatkezeléshez a hozzájárulást alá-fölérendeltségi viszonyban, tömegesen, meghatározott személyi körben kivétel nélkül adták meg az érintettek.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. A hozzájárulás bármely olyan formában megadható, amelynek során az érintett azonosítható, és a hozzájárulás ténye rögzített, így különösen:

  1. írásban (az érintett aláírásával);
  2. az érintett egyedi azonosítását követően elektronikusan, amennyiben a hozzájárulás ténye rögzített (naplózott);
  3. elektronikus úton az érintett Adatkezelő által nyilvántartott elektronikus levelezési címéről küldött üzenetben, amennyiben az üzenet változtatások nélküli rögzítése és megőrzése biztosított.
    • ÉRDEKMÉRLEGELÉSI TESZT

Bizonyos esetekben az Adatkezelőnek lehetősége van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz előzetes tájékoztatási kötelezettségének. Amennyiben az adatkezelési jogalapot a jogos érdek indokolja, az adatkezelés jogszerűségének vizsgálatához az Adatkezelő elvégez egy érdekmérlegelési tesztet (2. sz. melléklet), mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos korlátozását vizsgálja és megfelelően alátámasztja.

Az érdekmérlegelési teszt elvégzése során az Adatkezelő azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja az Adatkezelő. Az Adatkezelő a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát, stb.

Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi az Adatkezelő, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére. A súlyozás elvégzése alapján az Adatkezelő megállapítja, hogy kezelhető-e a személyes adat.

A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy az Adatkezelő az érintett beleegyezése nélkül kezeli a személyes adatot, tehát az Adatkezelő adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait. Az Adatkezelő tájékoztatja az érintetteket a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozás lehetőségéről. Nem írható elő az ellentétes érdekek és jogok közötti súlyozás eredménye anélkül, hogy eltérő eredményt tenne lehetővé az Adatkezelő az adott eset sajátos körülményeire tekintettel, ezért az Adatkezelő minden egyes esetben külön érdekmérlegelési tesztet végez el.

Lehetséges forgatókönyv, melytől való eltérés jogát az Adatkezelő fenntartja:

  1. Az Adatkezelő a tervezett adatkezelés megkezdése előtt áttekinti, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
  2. Az Adatkezelő a jogos érdekét a lehető legpontosabban meghatározza.
  3. Az Adatkezelő meghatározza, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek.
  4. Az Adatkezelő meghatározza, hogy az érintetteknek mik lehetnek az érdekeik az adott adatkezelés vonatkozásában (például azok a szempontok, amelyeket az érintettek felhozhatnának az adatkezeléssel szemben).
  5. Az Adatkezelő elvégzi jogos érdekeinek és az érintettek érdekeinek, alapjogainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e. Az Adatkezelő meghatározza, hogy miért korlátozza arányosan az Adatkezelő jogos érdeke – és az ennek alapján végzett adatkezelés – a 4. lépésben meghatározott érdekelti jogokat, várakozásokat.
  6. Az Adatkezelő meghatározza, mely garanciák biztosíthatják az adatkezelés szükségességét-arányosságát (természetesen más garanciális intézkedések is alkalmazhatóak).

    2.3  KÜLÖNLEGES ADATOK KEZELÉSE

A különleges adat fogalmát általánosságban nem határozza meg a GDPR, csupán egyes kategóriáit említi (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok), vagy definiálja külön. Különleges adat kizárólag akkor kezelhető, ha

  1. az érintett kifejezett hozzájárulását adta az említett személyes adatok meghatározott célból történő kezeléséhez, és uniós vagy tagállami jog nem tiltja a hozzájárulás-adást;
  2. az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
  3. az adatkezelés az érintett létfontosságú érdekeinek védelméhez szükséges, feltéve, hogy az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  4. az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  5. az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;
  6. az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  7. az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében;
  8. az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

    2.4 AZ ELŐZETES TÁJÉKOZTATÁS KÖVETELMÉNYE

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az Adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét, kivéve, ha és amilyen mértékben az érintett már rendelkezik az információkkal:

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
  2. az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  4. jogos érdeken alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
  5. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  6. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
  7. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  8. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
  9. a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  10. a felügyeleti hatósághoz címzett panasz benyújtásának joga;
  11. a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  12. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logika és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Ha a személyes adatokat nem az érintettől szerezték meg, az Adatkezelő megjelöli az adatok forrását és adott esetben azt is, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e. Az Adatkezelő a tájékoztatást az alábbiak szerint adja meg:

  1. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  2. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

A fenti információkat tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva, főszabály szerint írásban – beleértve az elektronikus utat is – kell közölni az érintettel. Ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

2.5 ADATKEZELÉSI TEVÉKENYSÉGES NYILVÁNTARTÁSA

Az Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. Az Adatkezelő egységes adatkezelési tevékenységeinek nyilvántartása jelen Szabályzat 1. számú mellékletét képezi. E nyilvántartás a következő információkat tartalmazza:

  1. az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  2. az adatkezelés céljai;
  3. az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  4. olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  5. adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  6. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  7. ha lehetséges, a technikai és szervezési intézkedések általános leírása.

    2.6 HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően az Adatkezelő hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők. Az adatvédelmi hatásvizsgálat lefolytatása az adatkezelő szervezeti egység feladata a jelen Szabályzat elválaszthatatlan mellékletét képező hatásvizsgálati dokumentum (3. sz. melléklet) igénybevételével. A kockázatok és a hatásvizsgálat egyéb szempontjainak értékelése érdekében az adatkezelő szervezeti egység kikéri az Adatkezelő adatvédelmi tisztviselőjének véleményét, amennyiben ilyet alkalmaznak. Kötelező adatvédelmi hatásvizsgálatot végezni:

  1. nyilvános helyek nagymértékű, módszeres megfigyelése, így például e feltételeknek megfelelő elektronikus megfigyelőrendszer (kamera) alkalmazása esetén;
  2. egészségügyi és más különleges adatok nagy számban történő kezelése esetén;
  3. természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése esetén, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
  4. azon adatkezelések esetén, amelyek a felügyeleti hatóság adatvédelmi hatásvizsgálatot kötelezően előíró jegyzékében találhatók.

Nem kell adatvédelmi hatásvizsgálatot folytatni a törvényen alapuló (kötelező) adatkezelések, és a jogi kötelezettség teljesítéséhez szükséges adatkezelések esetén, valamint azon adatkezelések esetén, amelyek a felügyeleti hatóság adatvédelmi hatásvizsgálat alól mentességet élvező adatkezelések jegyzékében találhatók.  A hatásvizsgálat kiterjed legalább:

  1. a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak és jogalapjának ismertetésére; ideértve az érdekmérlegelésen alapuló adatkezelés esetén az adatkezelő által érvényesíteni kívánt jogos érdeket is;
  2. az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  3. az érintettek jogait és szabadságait érintő kockázatok vizsgálatára; és
  4. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a jogszabályoknak és e szabályzatnak való megfelelés igazolását szolgáló, az érintettek jogos érdekeit figyelembe vevő garanciákat és adatbiztonsági intézkedéseket.

Az Adatkezelő szervezeti egysége a hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább három évente kell elvégezni. Az elkészült hatásvizsgálat eredményét az Adatkezelő adatvédelmi tisztviselőjének meg kell küldeni. Az adatvédelmi tisztviselő a hatásvizsgálattal kapcsolatban észrevételeket tehet.

Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy a tervezett adatkezelés – a kockázatok mérséklése céljából tett intézkedések hiányában – ténylegesen magas kockázattal járna, a személyes adatok kezelését megelőzően az Adatkezelő – amennyiben ilyet alkalmaz, az adatvédelmi tisztviselő közreműködésével – konzultál a felügyeleti hatósággal.

2.7 ADATTOVÁBBÍTÁS

Adattovábbítás, ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik, ideértve az adatokba történő betekintés vagy kivonat készítés lehetővé tételét is. Nem minősül adattovábbításnak az Adatkezelő, mint adatkezelő szervezeti rendszerén belüli adattovábbítás, az adatok adatfeldolgozó részére történő átadása, valamint az érintett saját személyes adataihoz való hozzáférése. Harmadik országba történő adattovábbítás az Európai Gazdasági Térség (továbbiakban: EGT) tagállamain kívüli országba történő adattovábbítás. Nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetővé teszik.

Az Adatkezelő a személyes adatokat bizalmasan kezeli. Adattovábbításra, harmadik országba vagy nemzetközi szervezet számára történő adattovábbításra, személyes adatok nyilvánosságra hozatalára csak valamennyi vonatkozó előírás maradéktalan betartása mellett, a GDPR rendelkezéseinek megfelelően kerülhet sor.

Az adattovábbításról, harmadik országba vagy nemzetközi szervezet számára történő adattovábbításról, személyes adatok nyilvánosságra hozataláról az adatkezelő szervezeti egység dönt. Amennyiben a jogszerűséggel kapcsolatban kétség merül fel, a szervezeti egység vezetője köteles – írásban vagy elektronikus úton – az Adatkezelő adatvédelmi tisztviselőjéhez fordulni, aki állásfoglalást ad ki a tervezett adatkezelési műveletek jogszerűségéről.

Az Adatkezelő, mint adatkezelő szervezeti rendszerén belül kezelt személyes adatok – a feladat elvégzéséhez szükséges mértékben és ideig – továbbíthatók olyan szervezeti egységhez, amelynek a törvényben, belső szabályzatban vagy utasításban foglalt feladatainak ellátásához az adatra szüksége van.

2.8 ADATFELDOLGOZÁS

Az Adatkezelő egyes adatkezelési műveletek tekintetében adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelő nevében, annak megbízásából és adott esetben konkrét utasításai szerint az adatkezelő számára adatfeldolgozást végez. Az adatfeldolgozók az adatkezelést az Adatkezelő utasításai szerint végzik, az adatkezelést érintő érdemi döntést nem hozhatnak, a tudomásukra jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatják fel, saját célra adatfeldolgozást nem végezhetnek, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint kötelesek tárolni, megőrizni és titokban tartani. Az adatfeldolgozók az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

Az adatfeldolgozás feltételeit írásbeli megállapodásba (4. sz. melléklet) kell foglalni. A megállapodás más szerződés részeként is megköthető. Adatfeldolgozás történhet jogszabályi előírás alapján is, ez esetben az adatfeldolgozói jogviszonyra a jogszabályi előírások az irányadók. Nem szükséges írásbeli megállapodást kötni, amennyiben az adatfeldolgozói jogviszonyt az adott jogszabály teljes körűen szabályozza.

Az adatfeldolgozási megállapodás tartalmazza legalább:

  1. az adatfeldolgozás tárgyát, célját, időtartamát, a személyes adatok típusát és az érintettek körét;
  2. azt, hogy – ha jogszabály másként nem rendelkezik – az adatfeldolgozó az adatfeldolgozást az adatkezelő írásbeli utasításai szerint végzi, valamint az utasításadás körülményeit, így különösen az arra jogosult szervezeti egység vagy személy nevét.
  3. azt, hogy az adatfeldolgozó jogosult-e további adatfeldolgozó igénybevételére, és – amennyiben jogosult – a további adatfeldolgozó igénybevételével vagy cseréjével kapcsolatos tájékoztatási kötelezettséget;
  4. az adatfeldolgozó adatbiztonsági intézkedéseit;
  5. az adatvédelmi incidensekről való tájékoztatás rendjét;
  6. az érintett jogainak biztosításával kapcsolatos együttműködési szabályokat;
  7. az adatfeldolgozó titoktartási kötelezettségét;
  8. az arra vonatkozó kötelezettséget, hogy az adatfeldolgozó – jogszabály eltérő rendelkezése hiányában – az adatfeldolgozás befejezését követően az adatkezelő döntésének megfelelően valamennyi személyes adatot (ideértve a meglévő másolatokat) töröl vagy azokat az adatkezelőnek visszajuttatja;
  9. azt, hogy az adatfeldolgozó rendelkezésre bocsát minden olyan információt, amely az adatkezelő jogszabályi kötelezettségeinek betartásához szükséges;
  10. azt, hogy az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatfeldolgozás jogszerűségének igazolásához szükségesek, valamint együttműködik az adatkezelés ellenőrzése, helyszíni vizsgálata vagy auditja során;
  11. szükség esetén az adatkezelő és adatfeldolgozó további jogait és kötelezettségeit.

    3.0 ADATBIZTONSÁG

    3.1. BEÉPÍTETT ÉS ALAPÉRTELMEZETT VÉDELEM

Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az adatvédelmi jogszabályokban foglalt követelmények teljesítéséhez, és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása céljából, hogy az adatok megfelelő szintű biztonságát garantálja, ideértve különösen a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását, ellenálló képességét, valamint egy incidens esetén a személyes adatokhoz való hozzáférés és az adatok rendelkezésre állásának kellő időben való visszaállítását. A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

3.2 FIZIKAI VÉDELEM

A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az iratokat jól zárható, tűz- és vagyonvédelemmel ellátott helyiségben tárolja. A személyes adatot tartalmazó, manuálisan kezelt iratok az Adatkezelőre vonatkozó megőrzési kötelezettség teljesítése érdekében irattárba kerülnek, mely helyiség szintén jól zárható, korlátozott hozzáféréssel rendelkező, tűz- és vagyonvédelemmel ellátott terület. A személyes adatokat tartalmazó dokumentumokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak. Az megőrzési kötelezettség lejártával az Adatkezelő a dokumentumokat megsemmisíti.

3.3 INFORMATIKAI VÉDELEM

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi garanciális intézkedéseket alkalmazza:

  • az adatkezelésekhez használt számítógépek az Adatkezelő tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező jogkörrel bír;
  • a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről az Adatkezelő indokolt esetben gondoskodik;
  • a szerveren tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
  • amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül;
  • a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
  • a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.

Az Adatkezelő által kezelt személyes adatok áramlását elektronikus módon szerverek segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével.

MUNKAVÁLLALÓK TEVÉKENYSÉGÉNEK ELLENŐRZÉSE

A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében az Adatkezelő, mint munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót pedig előzetesen írásban tájékoztatja. Az Adatkezelő a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. Az Adatkezelő, mint munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Az ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a magáncélú használat tiltása esetében a korlátozás betartásának ellenőrzéséhez szükséges adat is. A jelen bekezdés akkor is alkalmazandó, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.

A munkavállalók az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok feldolgozása során adatrögzítők, adathordozók kizárólag titkosított (szabványoknak megfelelő) formában használhatók. Az adatbiztonság követelményeinek további érvényesüléséről az Adatkezelő külön belső szabályzatok, utasítások útján gondoskodhat. Az Adatkezelő munkavállalói minden esetben belső szabályzatokban, utasításokban meghatározott, az adatbiztonság magas fokú érvényesülését biztosító rendben kötelesek eljárni.

Az Adatkezelő adatkezelést vagy adatfeldolgozást végző alkalmazottai kötelesek a tevékenységük során általuk megismert személyes adatokat bizalmasan kezelni és titokként megőrizni. Adatkezeléssel, adatfeldolgozással, vagy személyes adatok megismerésével járó munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot (5. sz. melléklet) tett.

3.4. ADATVÉDELMI INCIDENSEKRE VONATKOZÓ ELJÁRÁSREND

Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az adatokhoz való jogosulatlan hozzáférést eredményez. Amennyiben az Adatkezelő bármely munkatársa adatvédelmi incidens gyanúját észleli, vagy az adatfeldolgozótól adatvédelmi incidensre vonatkozó jelzést kap, az Adatkezelő Adatvédelmi Incidenskezelési Szabályzatában (6. sz. melléklet) foglalt eljárásrendet követve kell eljárni.

  1. FELADATOK

    4.1 FELELŐSSÉG

Az Adatkezelő ügyvezetése az Adatkezelő szervezeti felépítésére tekintettel meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és – amennyiben ez szükséges – kijelöli az adatkezelés felügyeletéért felelős személyt, az adatvédelmi tisztviselőt.

Az Adatkezelő ügyvezetése

  1. felel az érintettek törvényben biztosított jogainak gyakorlásához szükséges feltételek megteremtéséért;
  2. felel az Adatkezelő által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  3. felel az adatkezelésre irányuló ellenőrzések során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, más személy felelősségének      megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  4. felügyeli az adatvédelmi tisztviselő tevékenységét, amennyiben van ilyen;
  5. tényállás feltárására irányuló vizsgálatot rendelhet el;
  6. jóváhagyja az Adatkezelő adatvédelemmel kapcsolatos szabályzatait.

Jelen Szabályzat végrehajtása során az egyes szervezeti egységek és személyek feladatait, felelősségét az Adatkezelő szervezetére, működésére, tevékenységére vonatkozó belső szabályzatok, valamint az munkavállalók munkaköri / feladatköri leírásai határozzák meg. Az Adatkezelő szervezeti egységeinek vezetői felelősek azért, hogy az általuk vezetett szervezeti egységnél az adatkezelés a jogszabályokban és jelen Szabályzatban meghatározottak szerint történjen.

Az Adatkezelő adatkezelést végző munkavállalója személyes adat felvétele előtt minden esetben tájékoztatja az érintettet az adatkezelés lényeges tartalmáról. Az Adatkezelő adatkezelést végző munkavállalói kötelesek az általuk megismert személyes adatokat üzleti titokként megőrizni és az ilyen adatokat a Szabályzatnak, valamint egyéb szervezeti utasításnak megfelelően kezelni. Az Adatkezelő munkavállalói tevékenységük során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

A munkavállaló saját munkakörén / feladatkörén belül

  • felel az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért;
  • kezeli és megőrzi a feladata ellátása során birtokába került adatokat, ügyel a nyilvántartások biztonságos kezelésére és tárolására;
  • gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá;
  • betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
  • részt vesz az adatkezeléssel, adatvédelemmel összefüggő belső szakmai képzéseken;
  • köteles megtagadni minden olyan utasítás végrehajtását, amely ellentétes az adatkezelésre, adatvédelemre vonatkozó jogszabályokkal, valamint a belső utasításokkal.

    5.0 ÉRINTETTI JOGOK ÉS JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEK

Az alábbi pontokban felsorolt érintetti jogok az Adatkezelőnél előterjesztett kérelem útján gyakorolhatóak. Az Adatkezelő a jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb 25 (huszonöt) napon belül elbírálja és döntéséről az érintettet írásban vagy, ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

5.1 TÁJÉKOZTATÁS SZEMÉLYES ADATAINAK KEZELÉSÉRŐL

Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

5.2 SZEMÉLYES ADATOKHOZ VALÓ HOZZÁFÉRÉS

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  1. az adatkezelés céljai;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

5.3 HELYESBÍTÉSHEZ VALÓ JOG

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

5.4 TÖRLÉSHEZ VALÓ JOG (AZ ELFELEDTETÉSHEZ VALÓ JOG)

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentiek szerint azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges: a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából; a népegészség-ügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján; vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

5.5 AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Az Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.

5.6 AZ ADATOK HORDOZHATÓSÁGÁHOZ VALÓ JOG

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

  1. az adatkezelés az érintett hozzájárulásán, vagy szerződésen alapul; és
  2. az adatkezelés automatizált módon történik.

Az adatok hordozhatóságához való jog fentiek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását. E jog gyakorlása nem sértheti a törléshez való jogot. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. A bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.

5.7 VISSZAVONÁS JOGA

Az érintett jogosult arra, hogy a személyes adatainak kezelésére vonatkozó hozzájárulását bármely időpontban visszavonja, mely jog gyakorlása nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

5.8 FELÜGYELETI HATÓSÁGHOZ CÍMZETT PANASZ BENYÚJTÁSA

Az érintett Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „Hatóság”) vizsgálatát kezdeményezheti az Adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az Adatkezelő az érintett jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint az érintett a Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az Adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság

Székhely: 1055 Budapest, Falk Miksa utca 9-11

Levelezési cím: 1363 Budapest, Pf.: 9.

Telefon: +36 (1) 391 1400

Fax: 06 1 391 1410

E-mail: ugyfelszolgalat@naih.hu

Honlap: http://www.naih.hu

5.9 BÍRÓSÁGHOZ FORDULÁS JOGA

Az érintett az Adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az Adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.

Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásoknak megfelel, az Adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.

A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat.

  1. ZÁRÓ RENDELKEZÉSEK

A Szabályzatban külön nem rendezett kérdésekben a vonatkozó adatvédelmi tárgyú jogszabályok rendelkezései irányadók. Amennyiben jogszabályváltozás alapján vagy egyéb okból szükséges, az ügyvezetés a Szabályzat tartalmát módosítja. A Szabályzatban foglalt rendelkezéseket az Adatkezelő egyéb, hatályban lévő előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok kezelésével kapcsolatban ellentmondás áll fent jelen rendelkezések és bármely más, jelen Szabályzat hatálybalépése előtt alkalmazott szabályzat előírásai között, úgy abban az esetben jelen rendelkezések az irányadóak. Jelen Szabályzat végrehajtása során az egyes szervezeti egységek és személyek feladatait, felelősségét, az Adatkezelő szervezetére, működésére, tevékenységére vonatkozó belső utasítások határozzák meg.

MELÉKLETEK

 

  1. sz. melléklet – Adatkezelési tevékenységek nyilvántartása
  2. sz. melléklet – Érdekmérlegelési teszt
  3. sz. melléklet – Hatásvizsgálati lap
  4. sz. melléklet – Adatfeldolgozási szerződés
  5. sz. melléklet – Titoktartási nyilatkozat
  6. sz. melléklet – Adatvédelmi Incidenskezelési Szabályzat
  7. sz. melléklet – Adatkezelési hozzájárulás nyilatkozat-minta

 

WISER Group Kft.

1065 Budapest, Révay köz 4.

+36 30 336 08 16

info@wisergroup.hu

Adószám: HU 27928181-2-42

Cégjegyzékszám: 01-09-357551

D-U-N-S® szám: 40-142-8329

Adatkezelési tájékoztató

Környezetvédelmi politika

vállalható üzleti szereplő
hu_HUHU
en_GBEN de_DEDE zh_CNZH ko_KRKO it_ITIT fr_FRFR hu_HUHU