Adatvédelmi Tájékoztató
A MAGYARORSZÁGI REFORMÁTUS EGYHÁZ ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA
Készítette és módosította a Magyarországi Református Egyház Zsinati Hivatalának Jogi Osztálya. Jóváhagyta Bogárdi Szabó István püspök, a Zsinat lelkészi elnöke és Huszár Pál főgondnok, a Zsinat világi elnöke. Hatályos 2019. április 2. óta.
1. A szabályzat célja
Jelen Adatvédelmi- és adatbiztonsági szabályzat (a továbbiakban: „Szabályzat”) célja annak biztosítása, hogy a Magyarországi Református Egyház (székhely: 1146 Budapest Abonyi u.21.) (a továbbiakban: „Adatkezelő”) adatvédelmi szempontból megfeleljen a vonatkozó hazai és közvetlenül alkalmazandó nemzetközi jogszabályi előírásoknak.
Az Adatkezelő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendeletben (általános adatvédelmi rendelet) (továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”) 24. § (3) bekezdésében foglaltakra tekintettel köteles az Infotv. végrehajtása érdekében adatvédelmi és adatbiztonsági szabályzatot készíteni.
Az Adatkezelő a jelen Szabályzatban leírtak szerint gyűjti, kezeli, használja és dolgozza fel az ellátottai, munkatársai, valamint egyéb partnerei személyes adatait.
Az Adatkezelő az Érintettről szerzett személyes adatokat kizárólag a hatályos jogszabályi rendelkezéseknek megfelelően és a Szabályzatban rögzített célok elérésének érdekében tárolja, kezeli, illetve dolgozza fel.
A Szabályzat célja az adatvédelmi elvek és szabályok meghatározásával, bevezetésével az Adatkezelőnél vezetett nyilvántartások működésének és törvényes megfelelőségének, valamint az alaptörvényben lefektetett adatvédelemi elveknek, az adatbiztonság követelményei érvényesülésének biztosítása, továbbá a jogosulatlan hozzáférés, az adatok megváltoztatásának vagy jogosulatlan nyilvánosságra hozatalának megakadályozása.
Az Adatkezelő gondoskodik arról, hogy a Szabályzat hatályos tartalma mindenkor kétséget kizáróan megállapítható, egyúttal korábban hatályban volt tartalma utólag pontosan visszakereshető legyen.
Jelen szabályzat hatályba lépésével egyidejűleg az Adatkezelő korábbi, adatvédelemről szóló szabályzata hatályát veszti.
2. Alkalmazási terület
2.1. Jogszabályok
Annak érdekében, hogy az érintett a jogait megfelelő terjedelemben gyakorolhassa és az Adatkezelő a jogszabályokban előírt kötelezettségeinek eleget tehessen, az Adatkezelő gyűjti, rögzíti, feldolgozza és tárolja az ellátottak/gondozottak, munkatársak és szerződéses partnerek személyes adatait. Az Adatkezelő ezen eljárása során a mindenkor hatályos magyarországi és közvetlenül alkalmazandó nemzetközi jogszabályoknak megfelelően jár el, különös tekintettel a következő törvények és egyéb dokumentumok rendelkezéseire:
- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 számú rendelete (általános adatvédelmi rendelet) (továbbiakban: „GDPR”),
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”);
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”)
- 2011. évi CCVI. tv. (Ehtv).
- a számvitelről szóló 2000. évi C. törvény („Sztv.”);
- 2012. évi I. tv. (Mt.)
- az Adatkezelő szabályzatai, szerződései és nyomtatványai.
2.2. Tárgyi hatály
Jelen Szabályzat tárgyi hatálya kiterjed az Adatkezelő valamennyi tevékenységére, amely:
- az Adatkezelővel szerződéses jogviszonyban álló természetes személyek jelen Szabályzatban meghatározott adatait tartalmazza;
- azon természetes személyek adatait érinti, akik az Adatkezelővel korábban jogviszonyban álltak;
- azon természetes személyek adatait érinti, akik az Adatkezelővel a jövőben egyéb szerződéses jogviszony alapján kívánnak kapcsolatba lépni;
- azon természetes személyek adatait érinti, akik az Adatkezelővel kapcsolatban álló természetes személyekhez oly módon kapcsolódnak, hogy személyes adataik kezelése az Adatkezelő szolgáltatásához szükséges (például meghatalmazott; értesítendő hozzátartozó, törvényes képviselő, gondnok, stb.);
- azon természetes személyek adatait érinti, akik az Adatkezelővel szerződéses kapcsolatban álló jogi személyek képviselői, kapcsolattartói.
2.3. Időbeli hatály
Jelen Szabályzat 2018. május 25. napjától visszavonásig, vagy az Adatkezelő általi módosításáig hatályos.
2.4. Személyi hatály
Jelen Szabályzat hatálya kiterjed:
- az Adatkezelőre;
- azon személyekre, akik adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák;
- azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti;
- az Adatkezelő valamennyi szervezeti egységére, valamennyi alkalmazottjára és vezető tisztségviselőire, akik az Adatkezelőn belül adatkezelést végeznek, vagy munkakörük azzal összefüggésbe hozható.
- A szabályzat személyi hatálya nem terjed ki az Adatkezelő származtatott jogi személyeire
Az Adatkezelő valamennyi vezető tisztségviselője és főállású vagy részmunkaidőben foglalkoztatott munkavállalója illetve egyéb jogviszonyban álló személy a Szabályzatban meghatározottak szerint felelősséggel tartozik az előírt adat- és információvédelmi szabályok betartásáért és betartatásáért.
A belső adatvédelmi tisztviselő az Adatkezelő munkavállalói számára szükség szerint tájékoztatást, oktatást tart jelen szabályzat tárgyában, annak érdekében, hogy az adatvédelmi tudatosság erősödjön a munkavállalók között, és folyamatosan naprakészen tartsák az adatvédelemmel kapcsolatos ismereteiket.
3. Fogalmak
Az alábbi fogalmak jelen Szabályzat alkalmazásában értendők.
Érintett
Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy. A jelen Szabályzat hatálya alá tartozó adatkezelést illetően érintett elsősorban az Adatkezelő által nyújtott szolgáltatásokat igénybe vevő személy, továbbá az a személy, akinek adatait az Adatkezelő a szolgáltatásához kapcsolódóan kezeli.
Személyes adat
Az érintettel kapcsolatba hozható információ – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Különleges adat
A személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Közérdekű adat
Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
Hozzájárulás
Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Adatkezelő
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. A jelen Szabályzat hatálya alá tartozó adatkezelések tekintetében adatkezelő az Adatkezelő.
Adatkezelés
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Adattovábbítás
Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Nyilvánosságra hozatal
Az adat bárki számára történő hozzáférhetővé tétele.
Adattörlés
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatmegjelölés
Az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
Adatzárolás
Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Adatmegsemmisítés
Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adatfeldolgozás
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.
Adatfeldolgozó
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.
Adatállomány
Az egy nyilvántartásban kezelt adatok összessége.
Harmadik személy
Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval, illetve azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Ellátott/gondozott
Az a természetes személy, aki az Adatkezelővel ellátotti jogviszonyban áll, aki részére az Adatkezelő szolgáltatást nyújt, valamint ezen személyek törvényes képviselője.
SZMSZ
Az Adatkezelő Zsinati Hivatalának mindenkor hatályos Szervezeti és Működési Szabályzata.
Adatvédelmi incidens
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
4. Az Adatkezelő adatai
- Adatkezelő neve: Magyarországi Református Egyház
- Adatkezelő rövidített neve: MRE
- Adatkezelő székhelye:1146 Budapest, Abonyi u. 21.
- Adatkezelő telephelye:1146 Budapest, Abonyi u. 27.
- Adatkezelő telefonszáma:+36-1-460-0704
- Adatkezelő e-mailcíme:zsinat.tanacsos@reformatus.hu/zsinat.jog@reformatus.hu
- Adatkezelő honlapjának címe:www.reformatus.hu
- Adatkezelő képviselője: Dr Huszár Pál főgondnok és Dr. Szabó István püspök együttesem
- Adatkezelő kijelölt adatvédelmi tisztviselőjének neve: Dr. Veres Lajos
- Az adatvédelmi tisztviselő elérhetősége: 1055 Budapest, Markó u. 7. VI/9.
5. Az Adatkezelő adatvédelmi szervezete
5.1. Az Adatkezelő elkötelezett az adatvédelem iránt, ezért folyamatosan – a jogszabályi és működésbeli változásnak megfelelően – módosítja a jelen Szabályzatot és általában az egész adatvédelmi szabályozását.
5.2. Az Adatkezelő adatvédelemmel, adatkezeléssel, adatbiztonsággal és információbiztonsággal kapcsolatos vezetését
a) elsődlegesen az Adatkezelő irányítását ellátó képviselő önállóan,
b) másodlagosan a belső adatvédelmi tisztviselő és a képviselő együttesen látják el.
Az a-b) pont a továbbiakban együttesen: Adatkezelő (adatvédelmi) vezetése.
Az Adatkezelő (adatvédelmi) vezetése:
- ellátja az Adatkezelő adatvédelmi tevékenységének irányítását, felügyeletét
- meghatározza az adatfeldolgozási szerződések tartalmát;
- rendszeresen ellenőrzi az Adatkezelő adatvédelmi működését, a Munkatársak adatkezelését, valamint az adatvédelmi/adatkezelési nyilvántartásokat;
- engedélyezi a munkatársak munkakör ellátásához szükséges informatikai alkalmazásokhoz való hozzáférési jogosultságának megállapítását;
- ellát egyéb olyan feladatot, amelyet a jelen Szabályzattól formailag eltérő más szabályzat vagy eljárásrend, utasítás, vagy jogszabály meghatároz.
A belső adatvédelmi tisztviselő:
Az Adatkezelő képviselőjének közvetlenül felelő Munkatárs, aki ellátja a következőkben meghatározott feladatokat:
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) tájékoztat és szakmai tanácsot ad az Adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző Munkatársak részére kötelezettségeikkel kapcsolatban;
c) ellenőrzi a 2011. évi CXII. törvény, a GDPR, és az adatvédelemre, adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatkezelési szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az Adatkezelőt vagy az adatfeldolgozót;
e) elkészíti és folyamatosan karbantartja a Szabályzatot;
f) vezeti a belső adatvédelmi nyilvántartásokat;
g) gondoskodik az adatvédelmi ismeretek oktatásáról;
h) kérésre szakmai tanácsot ad a munkatársak számára,
i) szükség szerint tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
j) együttműködik és kapcsolatot tart a felügyeleti hatósággal;
k) ellát egyéb, hatáskörébe utalt feladatokat.
5.3. A munkatársak a rájuk vonatkozó jogszabályokból, belső szabályzatokból és szabályokból, utasításokból, munkaköri leírásból, oktatási anyagból fakadó kötelezettségeket betartva végzik feladataikat.
5.4. Azon munkatárs, akinél az adat keletkezett, és/vagy akinek az adathoz hozzáférési jogosultsága van, illetve akinek az adatot egy másik adatgazda, vagy harmadik személy továbbította, vagy akinek az adat bármilyen más módon a birtokába jutott, adatgazdának minősül jelen Szabályzat alapján.
5.5. Adat törlését, helyesbítését, zárolását vagy megsemmisítését csak a hozzáférésre jogosult adatgazda, a belső adatvédelmi tisztviselő, vagy az Adatkezelő képviselője, továbbá az általa e feladattal írásban megbízott más munkatárs végezheti el, kizárólag abban az esetben, ha meggyőződött arról, hogy annak jogszabályban, a mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzatban, vagy egyéb szabályzatban meghatározott feltételei fennállnak.
Amennyiben jogszabály, vagy belső szabályzat előírja, az adatok törlésének, zárolásának, vagy megsemmisítésének tényét az azt végrehajtó munkatársnak megfelelően dokumentálnia kell.
Az Adatkezelő munkatársai
5.6. Az Adatkezelő által foglalkoztatott munkatárs köteles:
a) a munkafolyamatok megfelelő szabályozása, szervezése útján gondoskodni arról, hogy
Ø maradéktalanul érvényesüljenek az adat- és titokvédelmi előírások;
Ø az egyes Munkatársak, valamint szerződéses partnerek, adatfeldolgozók kizárólag a feladatellátásukhoz szükséges mértékben juthassanak az adatok birtokába; ugyanakkor
Ø adatkezelése során a rendelkezésre állás elve érvényesüljön, vagyis az adatok a hozzáférésre jogosult más adatgazda, vagy harmadik személy számára elérhetőek és felhasználhatóak legyenek, ha azok a feladataik elvégzéséhez szükségesek;
Ø az adatok illetéktelen harmadik személyek birtokába kerülésének kockázata a lehető legkisebbre csökkenjen; ennek körében például a feladat végzésével összefüggésben az általa létrehozott, vagy birtokába került, papíron rögzített adatokat (pl. manuálisan kitöltött formanyomtatvány, kinyomtatott Word vagy Excel dokumentum, stb.) köteles megvédeni a jogosulatlan hozzáféréstől, az elveszéstől, a fizikai károsodástól és a megsemmisüléstől. Ennek érdekében az adathordozó dokumentumokat a közvetlen felügyelete alatt, vagy a munkavégzés helyén, illetéktelenek számára nem hozzáférhető, zárt helyen (lezárt fiókban, szekrényben, zárt irodában) kell tartania;
Ø az adott terület adatkezelési és adatmentési tevékenysége, annak folyamata a vonatkozó adatvédelmi jogszabályokkal, továbbá az Adatkezelő szabályzataival összhangban történjen;
b) az elvárható legnagyobb gondossággal eljárni. Ezzel összefüggésben köteles megtenni mindazokat a technikai és szervezési intézkedéseket, amelyeket a mindenkor hatályos vonatkozó jogszabály, a jelen Szabályzat, egyéb belső szabályzat, utasítás, munkaköri leírás, stb. előír, valamint ezen túlmenően is, mindazt, amit az adott helyzetben az ésszerűség megkövetel;
c) a felhasználói azonosító és a jelszó titkos kezelésére, e feladat teljesítése körében az azonosító és jelszó adatait bármilyen adathordozón csak és kizárólag saját felhasználás céljából rögzítheti, és ez esetben gondoskodnia kell arról, hogy ahhoz rajta kívül senki más ne férhessen hozzá. Az elektronikus adattárolási helyeken (nyilvántartási rendszerben) rögzített adatokhoz csak a saját hozzáférési jogosultságának keretei között, a saját felhasználói azonosítójával és jelszavával jogosult hozzáférni;
d) az elektronikusan tárolt adatok elveszésének megakadályozása érdekében a kizárólag általa használt adattárolási helyeken lévő adatokról rendszeres időközönként biztonsági mentést végezni, vagy végeztetni a megfelelő pozícióban levő más munkatárssal.
5.7. Amennyiben adatkezeléssel összefüggő ügyben a vonatkozó jogszabályok és/vagy az Adatkezelő szabályzatainak rendelkezéseinek értelmezésével és/vagy alkalmazásával kapcsolatos kérdés merül fel, a munkatárs iránymutatást kérhet az Adatkezelő (adatvédelmi) vezetésétől, így a belső adatvédelmi tisztviselőtől és/vagy az Adatkezelő képviselőjétől
5.8. A munkatárs az adatkezelésre, adat- és titokvédelemre vonatkozó jogszabályi rendelkezések, továbbá mindenkor hatályos Adatvédelmi és Adatkezelési Szabályzat, egyéb adatvédelmi vagy más belső szabályzat, munkaköri leírás, munkáltatói utasítás, adatvédelmi oktatási anyag rendelkezéseinek megszegése esetén a magatartás, vagy mulasztás jellegétől függően
a) büntetőjogi és/vagy
b) polgári jogi és/vagy
c) munkajogi felelősséggel tartozhat.
6. Az adatkezelés elvei
6.1. Az Adatkezelő az adatkezelés során, illetve azzal összefüggésben a „jóhiszeműség és tisztesség” követelményeinek megfelelően, az érintettekkel együttműködve jár el. Az Adatkezelő jogait és kötelezettségeit rendeltetésüknek megfelelően köteles gyakorolni, illetőleg teljesíteni.
6.2. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor tekinthető helyreállíthatónak a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
6.3. Az Adatkezelő az adatkezelés során biztosítja az adatok pontosságát, teljességét, sérthetetlenségét, bizalmasságát és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
6.4. A Szabályzat a fentieken kívül különösen a következő adatkezelési elveket vezeti be kihirdetése napjától, amely elvek kötelező rendelkezések és iránymutatásul szolgálnak olyan kérdésekben, amelyeket a Szabályzat nem tárgyal.
a.) „Célhoz kötöttség elve”: Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
b.) „Jogszerűség, tisztességes eljárás és átláthatóság elve”: Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
c.) „Arányosság, szükségesség” vagy „adattakarékosság elve”: Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Mindezeknek megfelelően Adatkezelő csak és kizárólag olyan adatot kezel, amely feltétlenül szükséges.
d.) „Pontosság elve”: Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
e.) „Korlátozott tárolhatóság elve”: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére az EU 2016/679 Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
f.) „Integritás és bizalmasság elve”: Megfelelő biztonsági intézkedések alkalmazásával az automatizált adatállományokban tárolt személyes adatok védelme érdekében az Adatkezelő gondoskodik a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozásáról.
g.) „Elszámoltathatóság elve”: Az Adatkezelő felelős az a-f.) pontoknak, és a Szabályzatban meghatározottaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
h.) „Beépített és alapértelmezett adatvédelem elve”: tudatos gondolkodásmód, amely szerint mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során (már annak megkezdése előtt is) az Adatkezelő megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre a fenti elvek hatékony megvalósítása, a kötelezettségek teljesítése, jogi garanciák beépítése, stb. céljával, mindezeket pedig szabályozottan és részletesen dokumentáltan teszi meg. A gyakorlatban a gondolkodásmódot elősegíti a Munkatársak oktatása, adatvédelmi tudatossága, valamint az egyes adatkezelések bevezetése és/vagy rendszeres felülvizsgálata során használt hatásvizsgálat, kockázatelemzés, érdekmérlegelési teszt.
7. Az adatkezelések célja
A GDPR és az Infotv. rendelkezései értelmében az Adatkezelő személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhet, amely személyes adat kizárólag a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés minden szakaszában megfelel az adatkezelés céljának. Az adatok felvétele és kezelése tisztességesen és a vonatkozó jogszabályi előírásoknak megfelelően, törvényesen történik. Az Adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és így a cél elérésére alkalmas.
Az Adatkezelő esetében a jelen Szabályzat hatálya alá tartozó adatkezelések az alábbi célokat szolgálják:
- az ellátotti jogviszony létrehozása és megszüntetése;
- az ellátott részére nyújtott szolgáltatások biztosítása,
- kötelező nyilvántartások vezetése, jelentések, statisztikai szolgáltatások teljesítése
- az ellátottak, törvényes képviselőik és hozzátartozóik panaszainak, bejelentéseinek, igényeinek kezelése, ezek nyilvántartása, kivizsgálása;
- az ellátottakkal kötött megállapodásban foglalt jogok biztosítása és kötelezettségek teljesítése;
- az ellátottakkal, törvényes képviselőkkel, hozzátartozókkal és hatóságokkal történő kapcsolattartás;
- az Adatkezelő Alapító Okiratában, Szakmai programjában és SZMSZ-ében meghatározott célok teljesítése, megvalósítása;
- az Adatkezelő székhelyén, telephelyein a személy- és vagyonvédelem biztosítása;
- munkaviszonyból, egyéb szerződéses jogviszonyból eredő kötelezettségek teljesítése;
- munkavállalói toborzás, munkaerő-kiválasztás folyamata;
- egyéb, az előzőekben fel nem sorolt, jogszabályi előírások, kötelezettségek teljesítése.
8. Az adatkezelések jogalapja
8.1. A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak kezeléséhez,
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél,
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,
- az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges, illetve az adatkezelő jogos érdekén alapul,
- az adatkezelés közérdekű feladat végrehajtásához szükséges.
8.2. Az Adatkezelő a fentiek szerint személyes adatokat kizárólag az alábbi jogalapokkal kezel:
Ø közérdekű feladat elvégzése (GDPR 6. cikk (1) e)),
Ø jogszabályok által előírt kötelezettségek teljesítése (GDPR 6. cikk (1) c)).,
Ø az érintettel kötött szerződés teljesítése (GDPR 6. cikk (1) b)).,
Ø az érintett esetleges létfontosságú érdekeinek védelme (GDPR 6. cikk (1) d))
Ø . Az Adatkezelő az ügyféltér kamerás megfigyeléskor mozgókép formában keletkező személyes adatokat jogos érdeke (vagyon- és személyvédelem) alapján kezeli. (GDPR 6. cikk (1) f)).
9. Az Adatkezelő által kezelt adatok köre és kezelése
9.1. Az Adatkezelő az érintett adatait az általa végzett tevékenység, vagy szolgáltatás vonatkozásában használhatja fel. Az Adatkezelő által végzett tevékenységhez kapcsolódó kezelt adatok különösen:
- természetes személy neve,
- születéskori neve,
- anyja neve,
- neme,
- lakcíme, lakcímkártyájának száma,
- születési helye és ideje,
- értesítési cím, telefonszám, e-mailcím,
- adóazonosító jele,
- állampolgársága,
- igazolványszáma, típusa, lejárata,
- telefonszám
- email cím
- bankszámlaszám (amennyiben arra vagy arról bármilyen jogcímen kifizetés történik)
- kamerával védett helyiségek esetén mozgókép felvétele,
- ellátott egészségügyi adatai, szakvéleményei (amennyiben a szolgáltatás biztosításához azok kezelését jogszabály írja elő)
- munkavállaló, leendő munkavállaló egészségügyi alkalmasságával kapcsolatos egészségügyi adatok,
- vallási meggyőződésre utaló adatok (amennyiben az egyházi szervezet szolgáltatása szempontjából azt belső jogforrás, szabályozás relevánsnak minősíti)
- faji, etnikai hovatartozásra utaló adatok (amennyiben a szolgáltatás biztosítása érdekében az adat kezelését jogszabály írja elő)
9.2. Munkaviszony létesítése, illetve toborzás kapcsán az Adatkezelő tudomására jutott adatok köre ettől lényegesen eltérő is lehet (pl.: hatósági erkölcsi bizonyítvány adatai, TAJ-szám).
9.3. Az Infotv. 4. § (2) bekezdése alapján az Adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
9.4. Az Adatkezelő akként jár el, hogy az általa nyújtott szolgáltatások érintett általi igénybevétele esetén az érintett – a megfelelő tájékoztatás tudomásul vételét követően- a vonatkozó megállapodások aláírásával kijelenti, hogy tudomással bír a személyes adatokkal kapcsolatos adatkezelés céljáról, egyben hozzájárulását adja az adatok kezeléséhez.
10. Adatállományok kezelése
10.1. Az Adatkezelő biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. A jogszabályon alapuló adatkezelések kötelezőek, azonban azokról az érintettek tájékoztatást kérhetnek. Az Adatkezelő gondoskodik az eltérő célú adatkezelések megfelelő, logikai elkülönítéséről, illetve arról, hogy az egyes adatkezelési célok megvalósítása során kizárólag az ahhoz szükséges adatok kerüljenek felhasználásra.
10.2. Az Adatkezelő az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.
10.3. Az Adatkezelő a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a személyügyi nyilvántartásban szereplő adatokat csak azok a munkavállalók, és egyéb az Adatkezelő érdekkörében eljáró személyek (könyvelési, bérszámfejtési és informatikai feladatokat ellátó személyek) ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
10.4. Az adatfeldolgozók az adatfeldolgozásra irányuló szerződésben foglalt kötelezettségeik ellátásához Adatkezelőtől csak azokat az adatokat kapják meg, amelyekre a tevékenység ellátásához feltétlenül szükség van. Az Adatkezelő – a feladat jellegétől függően minden olyan esetben, amikor a jogszabály az adat megőrzését a továbbiakban nem írja elő – kötelezi az adatfeldolgozót az átadott adatok adatfeldolgozási tevékenység lezárultát követő megsemmisítésére.
10.5. Az Adatkezelő a nyilvántartás, ellátotti és munkatársi dokumentáció, szerződéses állományhoz tartozó adattartalmak papíralapú dokumentumait az adatbiztonság követelményeire tekintettel tárolja, és gondoskodik azok biztonságos őrzéséről.
10.6. Az Adatkezelő az elektronikus nyilvántartásokat külön erre a célra fejlesztett nyilvántartási rendszer útján üzemelteti, amely, illetve amelynek futtatási környezete megfelel az adatbiztonság követelményeinek. A jogszabályok által elrendelt kötelező nyilvántartások amelyekben történő adatrögzítést az Adatkezelő köteles elvégezni védelmi rendszerét az elektronikus nyilvántartásokat működtető szervezetek garantálják.
10.7. Az Adatkezelő lehetőség szerint törekszik az adatminimum elvének érvényesülésére, annak érdekében, hogy az egyes munkavállalók, és egyéb, az Adatkezelő érdekkörében eljáró személyek csak a szükséges személyes adatokhoz férjenek hozzá.
10.8. Az Adatállományok kezelésére, azok biztonságos őrzésére, a hozzáférési jogokra, adatok, dokumentációk felhasználására az Adatkezelő szervezetén belül – összhangban a törvényi előírásokkal – hatályos szabályzatok, utasítások megfelelően irányadóak. A hozzáférési jogosultságok igénylése, jóváhagyása, engedélyezése és beállítása, valamint megvonása és törlése dokumentált eljárások keretében történik. A jogosultságok beállítását az érintett adatvagyon elem adatgazdája engedélyezi. Az elavult, már nem szükséges jogosultságok elkerülése érdekében az Adatkezelő rendszeresen felülvizsgálja, leltározza a domain és a nyilvántartási rendszerben beállított jogokat. Az Adatkezelő a kiadott jogosultságokról külön nyilvántartást vezet, az informatikai feladatokat ellátó munkatárs, vagy megbízott feladata a nyilvántartás összevetése a tényleges hozzáférési beállításokkal.
11. Az egyes adatkezelési tevékenységek
I. Adatkezelés az érintett hozzájárulása alapján
11.1. A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez az 1. számú melléklet szerinti adatkérő lapon kell kérni.
Hozzájárulásnak minősül az is, ha az érintett az Adatkezelő internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
11.2. Az Adatkezelő nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
11.3. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
11.4. A Társaság a 2. számú mellékletszerinti általános adatkezelési tájékoztatóját a helyben szokásos módon, továbbá honlapján a láblécben elérhetővé teszi az érintettek számára. E tájékoztató célja, hogy az érintetteket nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen adatkezelési tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél külön megismerhetővé kell tenni.
II. Adatkezelés jogi kötelezettség teljesítése jogcímén
11.5. A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést törvény határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
III. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
Munkaügyi, személyzeti nyilvántartás
11.6. A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek a munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
11.7. Az Adatkezelő munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
- név
- születési név,,
- születési ideje,
- anyja neve,
- lakcíme,
- állampolgársága,
- adóazonosító jele,
- TAJ száma,
- nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
- telefonszám,
- e-mail cím,
- személyi igazolvány száma,
- lakcímet igazoló hatósági igazolvány száma,
- bankszámlaszáma,
- online azonosító (ha van)
- munkába lépésének kezdő és befejező időpontja,
- munkakör,
- iskolai végzettségét, szakképzettségét igazoló okmány másolata,
- fénykép,
- önéletrajzban megjelölt bármely egyéb adat,
- munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
- a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
- a munkavállaló munkájának értékelése,
- a munkaviszony megszűnésének módja, indokai,
- munkakörtől függően erkölcsi bizonyítványa
- a munkaköri alkalmassági vizsgálatok összegzése,
- magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
- külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma,
- munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;
- a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat;
- az Adatkezelőnél biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer,
- illetve a helymeghatározó rendszerek által rögzített adatokat.
11.8. Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Ø A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, az Adatkezelő munkaügyi, bérszámfejtési feladatokat ellátó munkavállalói és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 8 év. A munkavállaló nyugellátás megállapításához szükséges jogosultsági idő igazolása érdekében megőrzendő személyes adatai azonban nem selejtezhetőek.
11.9. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul. A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 3. számú melléklete szerinti Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogairól.
Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
11.10. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is. E Tájékoztatáshoz kapcsolódó adatkezelési tájékoztató mintáját jelen szabályzat 4. számú melléklete tartalmazza.
Ø A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.
Ø Az adatkezelés jogalapja: a munkáltató jogos érdeke és jogszabályi kötelezettségeinek teljesítése.
Ø A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása , munkakör betöltése.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez.
Ø A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.
Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
11.11. A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
Ø A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
Ø Az adatkezelés jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelőnél munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
ØA személyes adatok tárolásának időtartama: a jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta.
11.12. A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
11.13. Ha az Adatkezelő e-mail fiókot bocsát a munkavállaló rendelkezésére, ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek más személyekkel, szervezetekkel.
A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
11.14. A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.
Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.
Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
11.15. Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.
A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
11.16. Az Adatkezelő által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 10.15. pont rendelkezései irányadók.
A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
11.17. A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként az Adatkezelő nevében elvégzett internetes regisztrációk jogosultja az Adatkezelő, a regisztráció során az Adatkezelőre utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni az Adatkezelő.
A munkavállaló munkahelyi internet használatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményeire a 11.15. pont rendelkezései irányadók.
Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
11.18. A munkáltató nem engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
A munkavállaló köteles bejelenteni a munkáltatónak, ha a céges mobiltelefont magáncélra használta. Ez esetben –szükség esetén- az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
Egyebekben az ellenőrzésre és jogkövetkezményire a 11.15. pont rendelkezései irányadók.
GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés
11.19. A GPS rendszer alkalmazásának jogalapja: a munkáltatói jogos érdek, célja munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat ideje.
Az ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egyebekben a munkáltatói ellenőrzésre és jogkövetkezményire a 11.15. rendelkezései irányadók.
Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
11.20. Adatkezelőünk a székhelyén, telephelyén az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
Ø Ezen adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
11.21. Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 5. számú Mellékletét képezi.
11.22. A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági, vagy egyéb eljárásban bizonyítékként kívánják felhasználni.
11.23. Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
11.24. Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
11.25. Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
11.26. Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és megbízottja, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
IV. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
Szerződő partnerek adatainak kezelése
11.27. Az Adatkezelő szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele szerződött természetes személy: nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát.
Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
Ø A személyes adatok címzettjei: az Adatkezelő megrendelt szolgáltatással, megrendelt áruhoz kapcsolódó tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 8 év.
11.28. Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat 6. számú melléklete tartalmazza.
Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
11.29. A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
Ø A személyes adatok kezelésének célja: az Adatkezelő jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő megrendelt szolgáltatással, megrendelt áruhoz kapcsolódó tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
Ø A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 8 évig.
11.30. Az adatfelvételi lap mintáját jelen Szabályzat 7. számú melléklete tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
Látogatói adatkezelés az Adatkezelő honlapján - Tájékoztatás sütik (cookie) alkalmazásáról
11.31. A Sütik (cookie-k) rövid adatfájlok, melyeket a meglátogatott honlap helyez el a felhasználó számítógépén. A cookie célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája létezik, de általában két nagy csoportba sorolhatóak. Az egyik az ideiglenes cookie, amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az állandó cookie (pl.: egy honlap nyelvi beállítása), amely addig a számítógépen marad, amíg a felhasználó le nem törli azt. Az Európai Bizottság irányelvei alapján cookie-kat [kivéve, ha azok az adott szolgáltatás használatához elengedhetetlenül szükségesek] csak a felhasználó engedélyével lehet a felhasználó eszközén elhelyezni.
11.32. A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére.
11.33. A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő egy rövid összefoglaló a tájékoztatás lényegéről, és egy linken keresztül utalás a teljes körű tájékoztató elérhetőségére.
11.34. A honlapon a sütik alkalmazásáról a látogatót a 2. számú melléklet szerinti adatkezelési tájékoztatóban tájékoztatni kell. E tájékoztatóval az Adatkezelő biztosítja hogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a Társaság mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
Regisztráció az Adatkezelő honlapján
11.35. A honlapon a regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése.
A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító.
Ø A személyes adatok kezelésének célja:
- A honlapon nyújtott szolgáltatások teljesítése.
- Kapcsolatfelvétel, elektronikus, telefonos, SMS, és postai megkereséssel.
- Tájékoztatás az Adatkezelő szolgáltatásairól, szerződési feltételeiről,
- A honlap használatának elemzése.
Ø Az adatkezelés jogalapja: az érintett hozzájárulása.
Ø A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő releváns feladatokat ellátó munkavállalói, adat