ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
A testunk.hu, mint adatkezelő
az elvégzett hatástanulmány és eltéréselemzés, valamint az azok alapján
kialakított és végrehajtott akcióterv alapján
a természetes személyeknek a személyes adatok kezelése tekintetében történő
védelméről és az ilyen adatok szabad áramlásáról szóló, az Európai
Parlament és a Tanács (EU) 2016/679 Rendeletének (általános adatvédelmi
rendelet – jelen szabályozásban, a továbbiakban GDPR Rendelet)
történő megfelelés érdekében az alábbi szabályzatot alkotja.
1.) Általános rendelkezések
A Vállalkozás, mint adatkezelő jogosult a szerződésben foglalt szolgáltatás
nyújtása, valamint a vállalt kötelezettségek teljesítése érdekében, a természetes
személy ügyfél, valamint az ügyfelet képviselő természetes személy személyes
adataira vonatkozó szükséges dokumentumokat és nyilatkozatokat bekérni és az
azokban foglalt személyes adatokat kezelni a GDPR Rendelet, az egyéb
vonatkozó jogszabályok, valamint az ügyféllel kötött szerződések rendelkezései
alapján.
A szabályzat célja a Vállalkozás által a személyes adatok kezelésének,
feldolgozásának és az érintettek jogai érvényesítési, valamint mindezekkel
kapcsolatos felelősségi rendszer meghatározása.
A szabályzat rendelkezéseit alkalmazni kell valamennyi olyan személyre, akik a
Vállalkozás részére adatfeldolgozási, vagy közös adatkezelési tevékenységet
végeznek.
A személyes adatok kezelésének általános céljai:
• az Ügyfél, illetve képviselőjének azonosítása,
• a szerződésben foglalt jogok gyakorlása és kötelezettségek teljesítése
2
(ideértve a tranzakciók lebonyolítását) és ezek teljesítésének igazolása,
• a tranzakciókkal, vagy a Vállalkozás tevékenységével kapcsolatos
tájékoztatás és marketing,
• a Vállalkozás jogos érdekeinek érvényesítése,
• a szerződésben szabályozott jogviszony szerinti elszámolás,
• kapcsolattartás,
• a Vállalkozást az Ügyfél vonatkozásában esetleg terhelő
adókötelezettségek teljesítése.
Az egyes adatok kezelésének időtartama eltérő, részletesen az Adatleltárban (1.
számú melléklet), illetve táblázatos formában az Adatkezelési tájékoztatóban (4.
számú melléklet – nem munkavállalók, 5. számú melléklet – munkavállalók)
található.
A Vállalkozás adatkezelési alapelvei összhangban vannak az adatvédelemmel
kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:
– 2011. évi CXII. törvény – az információs önrendelkezési jogról és az
információ-szabadságról (Infotv.);
– Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április
27.) – a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról,
valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános
adatvédelmi rendelet, GDPR);
– 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
– 2000. évi C. törvény – a számvitelről (Számv. tv.);
2.) A szabályzat tárgyi hatálya
A szabályzat rendelkezéseit kell alkalmazni a Vállalkozás személyes adat
kezelésére, azzal kapcsolatos folyamatok szabályozására érvényesítésére, az
érintettek jogainak biztosítására.
3.) A szabályzat időbeli hatálya
3
A szabályzat rendelkezései az aláírás napján lépnek hatályba, azonban
rendelkezéseit 2018. május 25. napjától kell alkalmazni. A szabályzat
visszavonásig vagy további rendelkezésig hatályos.
4.) A szabályzat alapja
A szabályzat alapját a GDPR rendelet 35. cikke figyelembe vételével készített
helyzetfelmérés és eltérés elemzés eredménye képezi.
5.) Alapfogalmak
Jelen szabályzat alábbi alapfogalmai egyeznek a GDPR rendelet 4. cikkében
felsorolt alapfogalmakkal (lásd 2. számú melléklet), az alábbi kiegészítésekkel és
hozzáfűzött rendelkezésekkel:
Az adatgazdák: a szervezetnél működő informatikai rendszerek, alkalmazások
és adatbázisok adatainak „felelősei”. Feladatuk, hogy a hozzájuk tartozó adatbázis
biztonsági elvárásait (adatok minősítése, bizalmasságra, sértetlenségre,
rendelkezésre állásra, számon kérhetőségre, szerepkörök kötelező
szétválasztására stb. vonatkozó igények) meghatározzák, az adatokhoz történő
hozzáférést szabályozzák, ellenőrizzék.
Adatleltár: a személyes adatok típusának azonosításával kialakított lista
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt
vagy más módon kezelt személyes adatok véletlen vagy jogellenes
megsemmisítését, elvesztését, megváltoztathatóságát, jogosulatlan közlését vagy
az azokhoz jogosulatlan hozzáférést eredményezi.
Adatvédelmi hatásvizsgálat: az Adatkezelő által végzett eljárás, amelynek során
egy új szolgáltatás bevezetése, vagy módosítása során a folyamat során használt
személyes adatok körét, jogosultságát, tárolhatóságát, védelmét részletesen
elemzik.
4
Adatvédelmi szervezet: a Vállalkozás által, a munkavállalók és az adatvédelmi
tisztségviselő által működtetett munkafolyamatot alkotó személyek csoportja
(vázlatos bemutatása a 8. számú mellékletben)
Profilalkotás: a statisztikai következtetések sorozatát esetenként magában
foglaló eljárás, amelyet általában az egyénekkel kapcsolatos előrejelzések
megalkotása céljából használnak. Az egyén értékelése vagy osztályozása már
önmagában is profilalkotásnak minősülhet anélkül, hogy bármilyen előrejelzést
vagy következtetést vonnának le az eljárás eredményéből.
Rendezett íróasztal: olyan munkafolyamat, amelynek során a munkatársak csak
az aktuális munkavégzéshez használt dokumentumokat tartják asztalukon, a
munkaidő végeztével minden iratot elzárnak. Számítógépüktől való távozáskor a
képernyőt zárolják.
Nyilvántartási rendszer: minden olyan elektronikus és papíralapú nyilvántartás,
amelyek a GDPR hatálya alá tartozó személyes adatokat tartalmaznak, kezelnek,
vagy feldolgoznak.
Tevékenységi központ: a Vállalkozás székhelye (telephelye), akkor is, ha a
Vállalkozás a határon átnyúlóan végzett tevékenysége keretén belül kezel
személyes adatokat.
Felügyeleti hatóság (adatvédelemmel kapcsolatban): Nemzeti Adatvédelmi és
Információszabadság Hatóság (címe: 1125 Budapest, Szilágyi Erzsébet fasor 22c,
levelezési címe: 1530 Budapest, Pf..5; c; elérhetősége: Telefonon: +36 1 391
1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL
http://naih.hu)
Tudomásszerzés: tudomásszerzésnek az tekinthető, amikor az adatkezelő
ésszerű mértékű bizonyossággal rendelkezik arról, hogy olyan biztonsági
esemény történt, amely személyes adatokkal kapcsolatos jogellenes műveletekhez
vezethet.
6.) A személyes adatok kezelésére vonatkozó elvek
5
A személyes adatok kezelésére a Vállalkozás a GDPR rendelet 5. cikkében
foglaltak szerint jár el. Ezen rendelkezések az alábbiakkal egészülnek ki, illetve
az alábbi módokon valósulnak meg.
– Jogszerűség, tisztességes eljárás és átláthatóság
A Vállalkozás adatkezelése és feldolgozása során, a GDPR rendelet, a magyar
jogi szabályozás és jelen szabályzat rendelkezéseit maradéktalanul be kell tartani.
A Vállalkozás valamennyi vezetőjének és munkatársának feladata olyan
folyamatok és eljárásrendek kialakítása, nyomtatványok és adatkezelési
hozzájárulások és nyilatkozatok készítése, amelyek ezen alapelvi
rendelkezéseknek teljes mértékben megfelelnek.
A Vállalkozás meghatározza, hogy a személyes adatok kezelése a szerződések
teljesítéséhez, a Vállalkozás jogi kötelezettsége teljesítéséhez szükséges. Ezek
hiányában a személyes adatkezelés kizárólag az érintett, tájékoztatáson alapuló
hozzájárulásával lehetséges.
Hozzájárulásos adatkezelés esetén a Vállalkozás az érintett hozzájárulását
igazolható módon: írásban, vagy rögzített telefonon szerzi be. A hozzájárulásos
adatkezelés esetén az érintett önkéntes hozzájárulása bármikor, indokolás nélkül
visszavonható, amelyről az érintettet minden esetben tájékoztatni szükséges.
Gyermekek személyes adatainak hozzájáruláson alapuló kezeléséhez az érintett
felett szülői felügyeletet gyakorló törvényes képviselője hozzájárulása szükséges.
Valamennyi adatkezelési módnál az érintettet tájékoztatni kell arról, hogy a
Vállalkozás milyen személyes adatokat kezel, milyen személyes adatot milyen
célból kinek ad át adatfeldolgozás céljából. A tájékoztatást elsősorban a
szerződési feltételekben kell rögzíteni és az érintettek részére a Vállalkozás
internetes felületén is elérhetővé kell tenni. Egyben biztosítani kell azt is, hogy az
érintett a Vállalkozástól a személyes adatainak kezeléséről, érintetti jogairól a
GDPR rendelet szerinti tájékoztatást kérelmére megkaphassa.
A Vállalkozás a személyes adatok különleges kategóriáit akkor kezelheti, ha
ehhez az érintett kifejezett hozzájárulását adja, vagy az érintett foglalkoztatását
6
szabályozó jogi előírásokból fakadó követelmény teljesítése miatt szükséges.
Üzemorvosi vizsgálat a munkaszerződés megkötéséhez és fenntartásához előírt.
A Vállalkozás büntetőjogi felelősség megállapítására vonatkozó személyes
adatkezelést nem végez. Ezen tilalom nem érinti azon hatósági határozatokat,
amelyek a Vállalkozás szolgáltatási igényét váltják ki.
– célhoz kötöttség
A Vállalkozás a személyes adatokat csak a működéséhez és szolgáltatásainak
teljesítéséhez szükséges célból kezeli. Ennek során nem vesz, és nem értékesít,
nem ad át és nem tesz harmadik személy számára hozzáférhetővé személyes
adatokat tartalmazó adatbázisokat.
– adattakarékosság
A Vállalkozás kizárólag annyi személyes adatot kezel, amennyi a törvényes
működéséhez és szerződéseinek kezeléséhez szükséges.
– pontosság
A Vállalkozás minden ésszerű és szükségszerű intézkedést megtesz a személyes
adatok pontossága és aktualizálása érdekében. A személyes adatokat a törvényi
rendelkezéseknek (pontosság), továbbá az érintetteknek a bejelentései alapján a
változásokat a rendszeren átvezeti.
– korlátozott tárolhatóság
A Vállalkozás haladéktalanul megszünteti a GDPR rendelet hatálya alá tartozó
azon személyes adatok kezelését, amelyeknél a célhoz kötöttség már nem
állapítható meg és az adat kezelésének megszüntetésére a jogszabály lehetőséget
ad.
– integritás és bizalmas jelleg
A Vállalkozás megteszi a méretének és tevékenységének elvárható színvonalú,
fejlett technikai és szervezeti védelmi intézkedéseket, amely a személyes adatok
kezelésének és feldolgozásának biztonságát az előírt módon biztosítja (rendezett
íróasztal). Ennek érdekében követelményrendszert támaszt minden olyan
adatfeldolgozóval, illetve közös adatkezelővel, akik a Vállalkozásnak GDPR
7
rendelet hatálya alá tartozó személyes adatait kezelik illetve az adatfeldolgozás
bármilyen fázisában részt vesznek.
– elszámoltathatóság
A Vállalkozás a szervezeti rendjét és adatkezelési rendszerét úgy építi ki, hogy a
személyes adatok kezelése és feldolgozása nyomon követhető legyen és képes
legyen arra, hogy egyes adatkezelési művelet és adatfeldolgozás során ki és
milyen adatműveletet hajtott végre.
7.) Az érintettek jogai és azok biztosítása
a.) Átlátható intézkedések
A Vállalkozás megteszi a szervezeti és technikai intézkedéseket annak érdekében,
hogy az érintett részére a GDPR Rendeletben meghatározott szempontok alapján
a személyes adatainak kezelésére vonatkozó tájékoztatást írásban vagy szóban
előírt határidőn belül (30 nap) meg tudja adni.
Az írásbeli tájékoztatást az érintettek részére a szerződéses kapcsolat létrejöttét, a
személyes adatok kezelését megelőzően kell adni:
– szerződések esetében a szerződés megkötésekor;
– más esetekben a személyes adatok megadásakor, vagy megismerésekor.
Az írásbeli tájékoztatás díjmentes. A tájékoztatás írásbelinek minősül az érintett
részére kialakított elektronikus felületen történő elektronikus levélben történő
megküldés is.
A tájékoztatás csak jogszabályban előírt esetekben tagadható meg.
Az adatgazdák gondoskodnak arról, hogy az érintettekkel való kapcsolatba lépést
szabályozó belső rendelkezések, a szerződési feltételek a tájékoztatásra is
kiterjedjenek, az ezirányú tájékoztatás az érintettek részére a Vállalkozás
honlapján is könnyen hozzáférhető legyen.
Az érintettek jogairól való szóbeli tájékoztatás feltétele az érintett
személyazonosságának megállapítása és a tájékoztatásra való jogosultság
feltételeinek fennállta. Az érintett kérelmére történő tájékoztatásért az érintett
személy adatainak adatgazdája felel.
8
b.)Rendelkezésre bocsátandó információk, ha a személyes adatok az
érintettől kerülnek beszerzésre
Az érintett részére nyújtott adatvédelmi tájékoztatónak az alábbi
alapinformációkra szükségszerűen kell kitérni:
– a Vállalkozás, mint adatkezelő személye és elérhetősége;
– az adatvédelmi tisztségviselő személye és elérhetősége;
– a személyes adatok kezelésének célja, valamint a kezelésének jogalapja
(hozzájáruláson, szerződés teljesítésén, vagy a Vállalkozás jogszabályi
kötelezettségének teljesítésén alapuló adatkezelés);
– az érintett személyes adatok kategóriái.
A személyes adatok megszerzésének időpontjában a tisztességes és átlátható
adatkezelés biztosítása érdekében az érintettet az alábbi kiegészítő információkról
kell tájékoztatni:
– a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges,
ezen időtartam meghatározásának szempontjai;
– amennyiben megállapítható a Vállalkozás, vagy egy harmadik fél jogos
érdeke, akkor ennek tényéről;
– amennyiben az adatkezelés jogalapja az érintett hozzájárulása, akkor a
személyes adatokhoz való hozzáféréshez, helyesbítéshez, törléshez,
kezelésének korlátozásához, a személyes adatkezelés elleni tiltakozáshoz
és az adathordozáshoz való jogról, valamint az adatkezeléshez való
hozzájárulás visszavonásának következményeiről;
– felügyeleti hatósághoz való panasz benyújtásának jogáról.
c.) Az érintett hozzáférési joga
A Vállalkozás az érintettnek a személyes adataihoz és az adatkezeléssel történő
információhoz való folyamatos hozzáférést az alábbiak szerint biztosítja.
9
– Az adatkezeléssel kapcsolatos általános információkat a honlapon;
– a szerződés teljesítésével kapcsolatos személyes adatokkal kapcsolatban a
szerződési feltételekben, vagy az ahhoz kiadott adatvédelmi
tájékoztatóban;
– konkrét érintettek vonatkozásában az egyedi személyes adataival
kapcsolatos műveletekről írásbeli, vagy szóbeli megkeresés alapján
d.)A helyesbítéshez való jog
Az érintett kérheti az adatainak helyesbítését, hiányos adatainak kiegészítését. Az
érintett kérelmének teljesítéséhez a Vállalkozás az érintett személytől okiratot
kérhet be, amelynek adatai alapján a helyesbítést vagy kiegészítést haladéktalanul,
de legkésőbb 3 munkanapon belül elvégzi.
e.) A törléshez való jog („az elfeledéshez való jog”)
A Vállalkozás az Adatvédelmi rendeletben meghatározott okokból
haladéktalanul, de legkésőbb 3 munkanapon belül törli az érintett személyes
adatait.
A törléshez való jog az érintettet nem illeti meg, amennyiben a személyes
adatainak teljesítése a Vállalkozás szerződési kötelezettségeinek, vagy
jogszabályból eredő kötelezettségeinek teljesítéséhez szükséges, vagy a
Vállalkozás jogos érdeke azt kívánja.
f.) Az adatkezelés korlátozásához való jog
Az adatkezelés korlátozására az érintett kérelme alapján kerülhet sor. Az érintett
ez irányú kérelme tárgyában az adatvédelmi tisztségviselő állásfoglalását kell
kikérni (ha van ilyen). Amennyiben ezen állásfoglalás szerint az adatkezelés
korlátozásának van helye, az adatgazda valamennyi adathordozón és
nyilvántartásában köteles megjelölni az érintett személyes adatait. A megjelölés
történhet az érintettet a nyilvántartásban történő azonosító szám megjelölésével,
vagy papíralapú dokumentáció esetén feljegyzésnek az iratok első oldalára történő
helyezésével.
10
g.) A személyes adatok helyesbítéséhez vagy törléséhez, illetve az
adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatgazda az érintettet az adatok helyesbítéséről, törléséről, korlátozásáról
írásban köteles tájékoztatni.
h.)Az adathordozhatósághoz való jog
Az érintett jogosult a személyes adatainak széles körben használt, géppel
olvasható formátumban történő továbbításának kérésére. Az érintett ezen jogának
gyakorlására a GDPR rendelettől eltérően akkor is jogosult, ha adatainak
kezelését a Vállalkozás nem az érintett hozzájárulása alapján kezeli, feltéve ha az
adatkezelés automatizált módon történik.
i.) A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyben
Az érintett saját helyzetével kapcsolatos okból bármikor tiltakozhat személyes
adatainak kezelése ellen, ha az adatkezelés jogalapja kizárólag a Vállalkozás vagy
egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen
érdekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető
jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé,
különösen, ha az érintett gyermek.
Az érintett személyes adatait jelölni kell, amennyiben a Vállalkozás azokat
közvetlen üzletszerzés érdekében kívánja felhasználni, vagy ilyen okból a
cégcsoport, vagy partner vállalkozás felé továbbítani. Az adatok továbbításához
való hozzájárulást szerződéses partnerenként kell az érintettől beszerezni és ezt a
rendszerben jelölni. A jelölésért az adatok rögzítését végző személy felel. A
személyes adatok közvetlen üzletszerzés érdekében történő kezelése esetén az
érintettek figyelmét az első kapcsolatfelvétel során kifejezetten fel kell hívni, és
az erre vonatkozó tájékoztatást egyértelműen és minden más információtól
elkülönítve kell megjeleníteni.
Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében
történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem
kezelhetők. Az ilyen módon történő adatkezelése ellen bármikor indokolás nélkül
11
tiltakozhat. A tiltakozás bejelentését a Vállalkozás bizonyítható formában történő
bejelentéshez köti. Ennek formája lehet rögzített telefonon vagy személyesen
történő bejelentés, email, levél, fax, vagy honlap üzenő-falán történő jelzés.
A Vállalkozás akkor alkalmaz automatizált döntéshozatalt egyedi ügyekben,
beleértve a profilalkotást, ha ahhoz az érintett kifejezetten hozzájárult. A
hozzájárulást az intézkedés alkalmazása előtt kell az érintettől beszerezni és azt a
rendszerben jelölni. Ilyen esetben az az érintettnek joga, hogy a Vállalkozás
részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel
szemben kifogást nyújtson be. Az automatizált döntéshozatal, ideértve a
profilalkotást is, a Vállalkozás nem alapozhatja a személyes adatok különleges
kategóriáira.
8.) A Vállalkozás adatkezelése és adatfeldolgozása, adatkapcsolati ábra
A Vállalkozás a helyzetelemzés adatai és folyamatos kockázatértékelés és a jelen
szabályzatban foglaltak alapján megfelelő technikai és szervezési intézkedéseket
hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok
kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az
adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
A Vállalkozás megfelelő technikai és szervezési intézkedéseket hajt végre annak
biztosítására, hogy a személyes adatok kezelése során a Rendelet szerint beépített
és alapértelmezett adatvédelem megfelelő módon valósuljon meg.
A Vállalkozás felmérte a hozzá beérkező adatok módját, a Vállalkozáson belüli
útját. Ezt az adatkapcsolati ábra tartalmazza, beleértve az egyes rendszerek
informatikai biztonsági védelmi leírását is. (Lásd 3. számú melléklet)
9.) Közös adatkezelés
A Vállalkozás közös adatkezelést valósíthat meg, ha az adatkezelés céljait és
eszközeit más adatkezelővel együtt határozza meg. Az ilyen adatkezelést a másik
adatkezelővel írásba kell foglalni és abban az érintettek számára kapcsolattartót
kell kijelölni.
12
10.) Adatfeldolgozás
A Vállalkozás az adatfeldolgozásához adatfeldolgozót vehet igénybe az alábbi
feltételekkel:
– az adatfeldolgozó megfelelő garanciákat nyújt az adatkezelés e rendelet
követelményeinek való megfelelését és az érintettek jogainak védelmét
Vállalkozás, megfelelő technikai és szervezési intézkedések
végrehajtására;
– a Vállalkozás előzetesen írásban tett eseti vagy általános felhatalmazása
nélkül az adatfeldolgozó további adatfeldolgozót nem vehet igénybe. Az
általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja a
Vállalkozást minden olyan tervezett változásról, amely további
adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva
lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal
szemben kifogást emeljen;
– az adatfeldolgozó írásbeli szerződésben vállalja a Rendelet 28. cikk (3-5)
bekezdésében megjelölt feltételek teljesítését,
– továbbá az adatvédelmi incidensek haladéktalan jelentését a Vállalkozás
felé.
Adatfeldolgozási tevékenység igénybe vételére kizárólag akkor kerülhet sor, ha
az adatfeldolgozó a fenti feltételeket vállalja és a Vállalkozás meggyőződik arról,
hogy az adatfeldolgozó képes a szerződésben foglalt garanciális szabályokat
betartani és az érintettek jogai nem sérülnek.
11.) Az adatkezelési tevékenységek nyilvántartása
A Vállalkozás egyes szervezeti egységei az általuk rögzített és ezáltal kezelt
személyes adatokról a Rendelet 30. cikke szerinti nyilvántartást vezetnek.
A nyilvántartás vezetésére az adatgazdák kötelesek. Az adatgazdák feladatait a
jelen szabályzat tartalmazza.
Az adatgazda gondoskodik arról, hogy az adatot kezelő szervezeti egység
tevékenységét szabályozó belső rendelkezések (munkautasítások) a törlésre
határidőket és felelőst irányozzanak elő, továbbá a szervezeti intézkedéseket a
13
személyes adatok védelmére és az érintettek jogainak biztosításának konkrét
módjára.
12.) Adatvédelmi incidens
Az adatvédelmi incidenst észlelő személy, ideértve az adatfeldolgozót, is köteles
azt haladéktalanul jelenteni az adott személyes adat kezeléséért felelős
adatgazdának. Az adatgazda az incidensről jelentést készít. A jelentésnek
tartalmaznia kell a Rendelet 33. cikk (3) bekezdésében foglalt részletes adatokat
is (lásd 6. számú melléklet)
Az adatvédelmi felelős az incidensjelentés alapján kockázatértékelést végez.
Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a
természetes személyek jogaira és szabadságaira nézve, az adatvédelmi felelős
legkésőbb az incidenst követő 72 órán belül bejelentést tesz az illetékes
hatóságnak, majd annak hatásairól, a kiküszöbölésére tett intézkedésekről
nyilvántartást vezet.
Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem
igazolására szolgáló indokokat is.
Az ügyvezető valamennyi adatvédelmi incidensről nyilvántartást vezet (6. számú
melléklet).
13.) Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a
természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan
késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről a Rendelt
szerinti tartalommal.
Az érintett tájékoztatása nem kötelező, ha a következő feltételek bármelyike
teljesül:
14
a) az adatkezelő – már korábban – megfelelő technikai és szervezési védelmi
intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens
által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket
– mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való
hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az
adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket
tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett,
mérlegeléssel megállapítható magas kockázat a továbbiakban valószínűsíthetően
nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az
érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan
hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony
tájékoztatását.
14.) Adatvédelmi tisztségviselő
A Vállalkozás adatvédelmi tisztviselőt nem alkalmaz
15.) Személyes adatok továbbítása
Személyes adatok harmadik országba, vagy nemzetközi szervezet részére történő
továbbítására megfelelőségi határozat, vagy megfelelő garanciák és jogorvoslati
lehetőségek biztosítása alapján, vagy a Rendeletben különös helyzetekben
biztosított eltérésekre előírt esetekben van helye.
16.) Jogorvoslati jogosultság
Minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál,
vagy bírósághoz forduljon– különösen a szokásos tartózkodási helye, a
15
munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban – ha az
érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a
Rendeletet.
17.) Telefonon történő kapcsolattartás
A Vállalkozás az Ügyféllel történt telefonbeszélgetést jogosult rögzíteni,
amelyről az Ügyfelet előzetesen tájékoztatja. A telefonbeszélgetés
kezdeményezésével, illetve tájékoztatást követő folytatásával az Ügyfél
hozzájárul a telefonbeszélgetés rögzítéséhez.
II.
A Vállalkozás speciális adatvédelmi rendelkezései
1.) Adatvédelmi hatásvizsgálat
A Vállalkozás köteles minden olyan esetben adatvédelmi hatásvizsgálatot
elvégezni, amikor olyan új technológiát alkalmaz, amely jellegére, hatókörére,
körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes
személyek jogaira és szabadságaira nézve. A hatásvizsgálatnak a Rendeletben
előírtakra kell kiterjednie (lásd 9. számú melléklet). Amennyiben az adatvédelmi
hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat
mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas
kockázattal jár, a személyes adatok kezelését megelőzően a Vállalkozás
adatvédelmi felelőse, vagy a hatásvizsgálat elvégzésével megbízott konzultál a
felügyeleti hatósággal.
2.) A Vállalkozás adatgazdái
– gondoskodnak arról, hogy meghatározzák azokat az adatköröket és azok
kezelésének célját, amelyeket a Vállalkozás kezel. Az adatkörök
feltérképezése során meg kell határozni a korábban vagy jelenleg kezelt
adatokat, azok kezelésének jogalapját, az adatfelvétel és az adatkezelés
teljes tartama során az érintettek részére nyújtott tájékoztatás tartalmát;
– gondoskodnak arról, hogy az adatok felvételére és az érintettek
tájékoztatására egységes sztenderdek alapján kerüljön sor. Ennek
16
érdekében minden olyan nyomtatványon, amelyen személyes adatok
felvételére kerül sor, a Rendelet követelményei szerinti adatvédelmi
tájékoztatót tüntetnek fel, továbbá a gondoskodnak arról is, hogy a
tájékoztató szövege a Vállalkozás honlapjára is kikerüljön;
– a külső partnerektől érkező adatok kezelésére és feldolgozására egységes
eljárási rendet dolgoznak ki és az abban foglalt rendelkezéseket a
partnerekkel kötött szerződésekben érvényesítik;
– meghatározzák azokat az adatköröket, amelyeket a Vállalkozás
adatfeldolgozásra kiad. Ennek során feltérképezik az egyes
adatfeldolgozási műveleteket, és adatfeldolgozónként feldolgozandó
adatok körét,
– gondoskodnak arról, hogy az adatfeldolgozókkal kötött szerződésekben az
egységes adatfeldolgozási elvek maradéktalanul érvényesüljenek,
– elkészítik és naprakészen tartják a személyes adatok kezelésével és
feldolgozásával kapcsolatos az eljárásrendeket;
– elkészítik az adatok törlésére, a személyes adatokat tartalmazó papíralapú
dokumentumok megsemmisítésére vonatkozó eljárásrendeket. Az ilyen
eljárásrendet egyeztetik az adatvédelmi tisztségviselővel és az alapján
megkezdik azon személyes adatok kezelésének megszüntetésére irányuló
eljárást, amelyeknél az adatkezelés jogi feltételei már nem állnak fenn.
3.) Incidens jelentési folyamat
Az ügyvezető kiépíti az incidens jelentési folyamatot. Az adatvédelmi incidens
megtörténtét az azt észlelő személy köteles az adatgazdának jelenteni, aki a
jelentés alapján vizsgálatot folytat, majd jelentését továbbítja az adatvédelmi
tisztségviselőnek.
Az adatvédelmi tisztségviselő a Rendelet 33. cikk szerinti vizsgálat
lefolytatását követően dönthet a felügyeleti hatóságnak történő bejelentésről
és az érintettek értesítéséről. Amennyiben az érintettek értesítése szükséges
ügyfelek és munkavállalók tekintetében az ügyvezető köteles erről
gondoskodni.
Az adatvédelmi incidensek bejelentését a NAIH által erre a célra kialakított
elektronikus felületen kell teljesíteni.
17
4.) Érintett tájékoztatási rendszerének kiépítése
Az érintettek tájékoztatási igényét az adatgazdák segítségével az érintett
személyes adatainak kezelését elsősorban ellátó szervezeti egység elégíti ki. A
személyes adatok kezelésével kapcsolatos panaszokat az ügyvezető vizsgálja
ki.
5.) Az egyes szervezeti egységek speciális adatvédelmi rendelkezései
a.) Adminisztráció, szerződéskezelés
Gondoskodni kell a létre nem jött szerződések során a személyes adatok
törléséről. Az adatok törlésének ki kell terjednie azokra az elektronikus és
egyéb levelekre is, amelyek személyes adatokat tartalmaznak és kezelésének
jogalapja megszűnt.
A nyilvántartási rendszerben gondoskodni kell arról, hogy amennyiben a
személyes adatok kezelés nem az érintett és az adatkezelő közötti szerződés
megkötése vagy teljesítése érdekében szükséges, akkor az eltérő jogalap
feltüntetésre kerüljön.
Gondoskodni kell arról, hogy a szerződés teljesítése során kizárólag olyan
személyes adatok bekérésére kerüljön sor, amely az érintett azonosításához a
jogszabályi rendelkezések előírnak, továbbá a szerződés teljesítéséhez
feltétlenül szükségesek. Amennyiben a személyes adatok különleges
kategóriáiba tartozó olyan adatok érkeznek a Vállalkozáshoz, amelyek a
szerződés teljesítéséhez szükségesek, a kezeléséhez az érintett (vagy a
jogosult) tájékoztatásán alapuló hozzájárulását be kell szerezni. Amennyiben
a személyes adatok különleges kategóriáiba tartozó olyan adatok érkeznek a
Vállalkozáshoz, amelyek a szerződés teljesítéséhez nem szükségesek, az ezt
tartalmazó iratot vissza kell küldeni.
18
Gondoskodni kell arról, hogy a kiskorúak személyes adatainak kezelésére csak
a törvényes képviselő hozzájárulása esetén kerülhessen sor.
Ki kell építeni az archiválási és adattörlési folyamatokat, ideértve a
papíralapon kezelt személyes adatok megsemmisítésének folyamatát is.
b.)Új szolgáltatás bevezetése
Ki kell alakítani a szerződéses feltételek és nyomtatványok esetében az
érintettek tájékoztatásának teljes körű rendszerét.
Amennyiben a személyes adatok különleges kategóriájának kezelése
szükséges, ki kell építeni az érintettek hozzájárulásának bizonyítható
rendszerét és a hozzájárulás visszavonásának lehetőségét, továbbá az ilyen
lehetőséggel való élés következményeinek rendszerét is.
c.) HR adatkezelés
A toborzás, ajánlás és jelentkezések során beérkező személyes adatokat
egységes adatbázisban havi bontásban kell nyilvántartani. A jelentkezők,
pályázók részére adatvédelmi tájékoztatást kell adni személyes adatainak
kezeléséről és annak végső határidejéről (lásd 7. számú melléklet). A
sikertelen pályázó, vagy jelentkező személyes adatait legkésőbb az adatainak
megismerését követő 12. hónapban törölni kell, papíralapon rögzített
személyes adatait meg kell semmisíteni.
A munkavállalókat tájékoztatni kell a személyes adatok kezeléséről és arról,
hogy az egyes személyes adatokat bérszámfejtési, társadalombiztosítási és
nyilvántartási célból kinek továbbítja. Egyben az adatfeldolgozónak a
Rendelet szerinti adatairól is tájékoztatását kell adni. Ki kell alakítani a
munkavállalók személyes adataihoz való hozzáférés jogosultsági rendszerét is,
amelyben meg kell határozni, hogy ki és milyen személyes adatokhoz fér
hozzá és kik jogosultak az adatok bővítésére, módosítására, kezelésének,
feldolgozásának megszüntetésére.
19
A munkavállalók egészségügyi adatai közül kizárólag a belépéskori és az
időszakos orvosi felülvizsgálat alkalmassági adatai kezelhetőek. A
munkavállaló képességével és személyiségével összefüggő, továbbá egyéb – a
személyes adatok különleges kategóriájába tartozó adatok – csak az érintett
hozzájárulásával kezelhetőek. Az ilyen adatok csak a munkavállaló
alkalmasságával összefüggőek lehetnek, egyéb ilyen adatok kezelésére nem
kerülhet sor.
Az adatfeldolgozóval közösen ki kell alakítani a személyes adatok kezelésének
megszüntetési rendszerét is azon adatok vonatkozásában, akik munkaviszonya
megszűnt.
d.)Informatikai biztonság
A Vállalkozás köteles kialakítani a jogosultsági rendszer technikai
paramétereit, amely alapján a Vállalkozás munkatársai és partnerei, továbbá
az ügyfelek a személyes adatokat kezelik.
Az adathordozhatóság feltételeit úgy kell meghatározni, hogy az érintett
kérésére valamennyi – a Vállalkozás által kezelt – személyes adatát
elektronikus, lakossági általános felhasználású szoftverrel olvasható legyen.
e.) Marketing
Üzletszerzési célú adatgyűjtésre kizárólag akkor kerülhet sor, ha a személyes
adatok kezelésének célját és módját előre meghatározzák. Az érintetteket az
adatfelvételt megelőzően tájékoztatni kell az adatkezelésről és jogaikról. Az
ilyen célú adatkezelés legfeljebb 6 hónapi időtartamig terjedhet, azt követően
az adatokat törölni kell, a papíralapon lévő adatokat pedig meg kell
semmisíteni.
A hírlevélre feliratkozó személyek személyes adatait kizárólag addig lehet
kezelni, amíg a hírlevélre való feliratozását vissza nem vonja, vagy az
adatkezeléséhez való hozzájárulását bármely formában visszavonja.
20
6.) Oktatás
A Vállalkozás számára fontos célkitűzés, hogy a munkatársak ismerjék, és
munkájuk során helyesen alkalmazzák az adatkezeléssel, valamint az
adatvédelemmel kapcsolatos lényeges szabályokat. Ehhez az szükséges, hogy
az adatkezelési és adatbiztonsági ismeretek a munkatársak képzésének szerves
részévé váljanak. Az adatvédelmi és adatbiztonsági ismeretekről a Vállalkozás
a munkatársakat belépéskor, majd évente oktatásban részesíti. A jelen
szabályzat hatálybalépése előtt is kell oktatást tartani. Az éves megújító oktatás
során be kell mutatni az új folyamatokat, szabályzatokat.

21
Fogalmak
GDPR – General Data Protection Regulation
(https://en.wikipedia.org/wiki/General_Data_Protection_Regulation)
Adatcsoport: Adatok, (azaz tények, koncepciók vagy utasítások formalizált
megjelenítése, rögzí- tett jelsorozat, beszéd vagy technikai eszközökkel történő
közlés, értelmezés és feldolgozás számára. Jelen Szabályzatban írásban vagy
elektronikus úton készített – bármilyen adathordozón tárolt – szöveg,
számadatsor, tény, információ, vázlat, grafikon, kép és ábra) és adatkörök
összefoglaló elnevezése, általában nyilvántartási funkció alapján.
Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.
Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok
elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és
eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az
adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen
minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit
az adatkezelő megbízása alapján az adatfeldolgozó végez.
Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi
személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel
kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő
szerződéskötést is – adatok feldolgozását végzi.
Adatgazda: Egy adott szervezeti egységnél kezelt személyes adatok
tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti
egysége által kezelt valamennyi személyes adat jelen szabályzatnak megfelelő
kezelésért (továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt
személyes adattal kapcsolatos döntés meghozatala szükséges, és az érinti az
Információ Biztonsági Szabályzat szerinti adatgazda felelősségét, akkor a
személyes adatgazda az Információ Biztonsági Szabályzat alapján kijelölt
adatgazda egyetértésével hozza meg döntését.
Adathordozó: Az adat fizikai megjelenési formája, tárolási helye, ide értve az
iratokat is.
Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi személyiséggel
nem rendelkező szervezet, aki vagy amely a személyes adatai kezelésével,
helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet nyújt be a
Szervezethez.
Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely
művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele,
rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése,
továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása,
22
zárolása, törlése és megsemmisítése, valamint az adatok további
felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése,
valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy
tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében
adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések
meghozatala, utasítások kiadása.
Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel
nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az
adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a
felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az
általa megbízott adatfeldolgozóval végrehajtatja.
Adatkör: Az adatfajták nevesített felsorolása. A felhasználás szempontjából
funkcionálisan összetartozó üzleti adatok, azaz olyan halmaz, amely logikai
szinten egységesen kezelhető, illetve kezelendő és a halmaz elemeinek védelmi
igénye közel egy szinten van.
Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes fizikai
megsemmisítése.
Adattovábbítás: Az adat meghatározott harmadik személy számára történő
hozzáférhetővé tétele.
Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a
helyreállításuk többé nem lehetséges.
Adatzárolás: Az adat azonosító jelzéssel ellátása további kezelésének végleges
vagy meghatározott időre történő korlátozása céljából.
Anonimizálás: Olyan technikai eljárás, amely biztosítja az érintett és az adat
közötti kapcsolat helyreállítási lehetőségének végleges kizárását.
Érintett: Bármely meghatározott, személyes adat alapján azonosított vagy –
közvetlenül vagy közvetve – azonosítható természetes személy.
Felügyeleti Hatóság: Adatvédelmi jogszerűséget ellenőrző szervezet.
Harmadik személy: Olyan természetes vagy jogi személy, illetve jogi
személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az
érintettel, az adatkezelővel vagy az adatfeldolgozóval.
Harmadik ország: minden olyan ország, amely nem (Európai Gazdasági
Térség) EGT-állam.
Hozzájárulás: Az érintett akaratának önkéntes és határozott kinyilvánítása,
amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen
beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes
23
műveletekre kiterjedő – kezeléséhez. A hozzájárulás – a különleges adatok
kezelésére adott hozzájárulást kivéve – nincs alakszerűséghez kötve, történhet
kifejezett nyilatkozattal és ráutaló magatartással is, azonban a hozzájárulásnak
minden esetben bizonyíthatónak kell lennie.
Irat: Valamely szerv működésével, illetve személy tevékenységével
kapcsolatban írásban vagy elektronikus úton készített szöveg, számadatsor,
vázlat, grafikon és ábra.
Kapcsolat-felvételi lista: Kizárólag a közvetlen üzletszerzés céljából küldendő
küldemények fogadásához való hozzájárulás beszerzése érdekében az
ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél nevét,
lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját,
nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó
információt, valamint családi állapotát tartalmazó lista.
Közvélemény-kutató, piackutató és közvetlen üzletszerző szerv: A
Szervezet, illetve a feladatkörrel rendelkező minden olyan szervezeti egysége,
amely a közvélemény-kutatást, a piackutatást és a direkt marketing
tevékenységet jogosult végezni.
Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint
jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy
kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával
összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen
módon vagy formában rögzített információ vagy ismeret, függetlenül
kezelésének módjától, önálló vagy gyűjteményes jellegétől. Így különösen a
hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak
eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a
működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
Különleges adat:
a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai
véleményre vagy pártállásra, vallásos vagy más világnézeti meggyőződésre,
érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes
adat,
b) az egészségi állapotra, a kórós szenvedélyre vonatkozó személyes adat,
valamint a bűnügyi személyes adat.
Nyilvános adat: Minden olyan tény, adat, információ, amelyek bárki számára
hozzáférhetők. Személyes adat nyilvánosságáról kizárólag törvény rendelkezhet.
Segédlet: Minden olyan kezelési vagy kitöltési útmutató, kódjegyzék, számítási
módszer, amely a Szervezet által kezelt (feldolgozott) személyes adatok
kezeléséhez, feldolgozásához szükséges.
24
Személyes adat: Az érintettel kapcsolatba hozható adat – különösen az érintett
neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális,
gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az
adatból levonható, az érintettre vonatkozó kö- vetkeztetés.
Személyes adatok köre:
• Név
• Cím
• E-mail cím
• Fotó
• IP cím
• Helyadatok
• Online viselkedés (cookie-k)
• Profil és analitikai adatok
A személyes adatok különleges kategóriái:
• Vallás
• Politikai vélemények
• Szakszervezeti tagság
• Szexuális orientáció
• Egészségügyi információ
• Biometrikus adatok
• Genetikai adatok
Természetes személyazonosító adatok: Az érintett családi- és utóneve,
születéskori neve, anyja neve, születési helye és ideje.
Tiltakozás: Az érintett nyilatkozata, amellyel személyes adatainak kezelését
kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését
kéri.
Tilalmi lista: Azon érintettek név- és lakcímadatainak a nyilvántartása, akik
megtiltották, illetve – a közvetlen üzletszerző szerv erre irányuló előzetes
megkeresése ellenére – nem járultak hozzá, hogy személyes adataikat
kapcsolatfelvétel vagy üzletszerzési lista céljából felhasználják, vagy
megtiltották azok e célból történő további kezelését.
URL cím: Uniform Resource Locator/egységes erőforrás-azonosító az
interneten megtalálható bizonyos erőforrások (például szövegek, képek)
szabványosított címe. Egységes forrásazonosító, az interneten használt címzési
25
szabványrendszer, megadja az információ elérésének módját, és az információ
pontos helyét a távoli számítógépen.
Üzletszerzési lista: A reklámok közlése céljából a kapcsolatfelvételt és
kapcsolattartást szolgáló, kizárólag az ügyfél nevét, lakcímét, nemét, születési
helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint
családi állapotát tartalmazó lista.
Üzleti titok: A Szervezet gazdasági tevékenységéhez kapcsolódó minden nem
közismert vagy az érintett gazdasági tevékenységet végző személyek számára
nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból
készült összeállítás, amelynek illetéktelenek által történő megszerzése,
hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a Szervezet
jogos pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné,
feltéve, hogy a titok megőrzésével kapcsolatban a Szervezetet felróhatóság nem
terheli.
26
Adatvédelmi tájékoztató
A természetes személyeknek a személyes adatok kezelése tekintetében
történő védelméről és az ilyen adatok szabad áramlásáról szóló, az Európai
Parlament és a Tanács (EU) 2016/679 Rendelete (általános adatvédelmi
rendelet, GDPR) alapján
Az adatkezelő neve: Csontos Zsuzsa
Székhely: 8000 Székesfehérvár, Szakolcai u. 6.
Cégjegyzékszám:
Adószám: 11740188-2-07
E-mail:
Telefonos elérhetősége +36 70 2085088 (nem rögzített vonal)

Adatvédelmi tisztviselőt a Vállalkozás nem alkalmaz
A Vállalkozás az adatkezelésben érintett személyek köre, az adatkezelés
célja és időtartama pontban megjelölt személyes adatok körét kezeli
Profilalkotás: a Vállalkozás nem alkalmaz profilalkotásos adatkezelést
A Vállalkozás honlapján sütiket alkalmaz
A Weboldalon tett látogatások során egy vagy több cookie-t – azaz egy-egy
karaktersorozatot tartalmazó kis fájlt – küldünk a látogató számítógépére,
amely(ek) révén annak böngészője egyedileg azonosítható lesz. Ezen cookie-k a
Google által biztosítottak, felhasználásuk a Google Adwords rendszerén
keresztül történik. Ezeket a cookie-kat csak egyes al-oldalak látogatása esetén
küldjük el a látogató számítógépére, tehát ezekben csak az adott al-oldal
meglátogatásának tényét és idejét tároljuk, semmilyen más információt nem.
Az így elküldött cookie-k felhasználása a következő: A külső szolgáltatók,
közöttük a Google, ezen cookie-k segítségével tárolják, ha a felhasználó
27
korábban már látogatást tett a hirdető webhelyén, és ez alapján hirdetéseket
jelenítenek meg a felhasználónak külső szolgáltatók – közöttük a Google –
partnereinek internetes webhelyein. A felhasználók a Google hirdetések
kikapcsolására szolgáló oldalon tilthatják le a Google cookie-jait. (Azt is
jelezheti a felhasználók számára, hogy a Network Advertising Initiative
leiratkozási oldalán a külső szolgáltatók cookie-jait is letilthatják.)
Alkalmazott cookie-k:
– Analitika, követés cookie
– Webhelyen keresztüli követés
– Bejelentkezési, felhasználó azonosító session cookie
A legtöbb böngésző menüsorában található „Segítség” funkció tájékoztatást
nyújt arra vonatkozóan, hogy a böngészőben
hogyan lehet letiltani a cookie-kat,
hogyan fogadjon el új cookie-kat, vagy
hogyan adjon utasítást böngészőjének arra, hogy új cookie-t állítson be,
vagy
hogyan kapcsoljon ki egyéb cookie-kat.
A Vállalkozás a honlapján személyes adatokat nem gyűjt.
I. Az adatkezelés jogalapja
Az adatkezelés a szerződés teljesítéséhez, illetve jogszabály alapján szükséges.
Az adatszolgáltatás önkéntes, az érintett nem köteles hozzájárulását megadni az
adatkezeléshez, ugyanakkor tudomásul veszi, hogy az adatok megadása
hiányában a Vállalkozás nem tudja az üzleti kapcsolatot vele a megkezdeni,
vagy folytatni.
II. Az adatkezelésben érintett személyek köre, az adatkezelés célja és
időtartama
Az adatkezelés kiterjed valamennyi partner / vevő / megbízó adataira
(érintettek).
28
A Vállalkozás kizárólag abból a célból kezel személyes adatokat (adatok célhoz
kötöttsége), hogy az érintettek részére a megbízási szerződésben meghatározott
szolgáltatásokat, kifizetéseket nyújthassa.
A Vállalkozás a következő adatokat kezeli:
Adat fajtája Adatkezelés célja, indoka Az adatkezelés
időtartama
magánszemély
megbízó családi és
utóneve, lakcíme,
telefonszáma,
email címe
a szerződés létrehozása, számla
adás
eseti megbízáskor
annak teljesítését
követő 8 év
(Számviteli
megőrzés)
társas-vállalkozót
képviselő
magánszemély
neve
a szerződés létrehozása,
kapcsolattartás
keretszerződés
esetén annak
megszűnését,
képviselet
megszűnését, eseti
megbízáskor annak
teljesítését követő
3 hónap
Egyéni vállalkozó
neve, székhelye,
egyéni vállalkozói
igazolvány száma,
bankszámla
száma, email címe,
telefonszáma
a szerződés létrehozása,
kapcsolattartás
keretszerződés
esetén annak
megszűnését, eseti
megbízáskor annak
teljesítését követő
8 év (Számviteli
megőrzés)
felelősségi igényt /
panaszt benyújtó
neve, lakcíme,
azonosító
igazolványainak
megnevezése és
száma
jogi eljárás alapján az igény /
panasz elbírálása
a válasz
kiküldésétől
számított 5 év
Az adatok megadása a Vállalkozás szerződésben foglalt szolgáltatása
nyújtásának feltétele, megadásuk hiányában, illetve azok utólagos törlési
kérelme esetén a szolgáltatás nem vehető igénybe.
29
III. Az adatkezelők köre
Adatkezelésre jogosult személynek minősülnek a VÁLLALKOZÁS
munkavállalói/megbízottjai.
IV. Adattovábbítás, adatfeldolgozás
A Vállalkozás adattovábbítást végez. Plasztikkártya megrendelés esetén a
nyomdának továbbítja a kért személyes adatokat
A Vállalkozás adatfeldolgozót igénybe vesz – számviteli feladatok ellátásához
könyvelőt vesz igénybe.
V. Az érintettek adatkezeléssel összefüggő jogaik
Tájékoztatáshoz való jog: az érintett kérésére megfelelő méretű, nyelvű,
egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az
adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan,
mettől, meddig használ).
Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy
történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok
pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre –
megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség,
így célszerű időről időre ellenőrizni azok pontosságát.
Törléshez való jog: az érintett bármikor kérheti adatai törlését. Amennyiben az
adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért
adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra
hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes
adatot töröljenek.
Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok
kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását –
például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem
szükséges már, de az adatalany azt mégis szeretné.
30
Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan
kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban
(pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy
másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti
adatkezelő. Azaz megkönnyíti az adatkezeléssel érintett helyzetét, hogy
személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól
hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.
Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével
kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak
meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott
megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott
kezeléséhez.
Adataival kapcsolatos jogainak gyakorlását az érintett az adatkezelőhöz címzett
nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon –
célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az
adatkezelőhöz kerültek.
Amennyiben az érintettnek az adatkezeléssel kapcsolatban panasza van, először
javasoljuk az adatkezelőnél (azaz a Vállalatnál) megtenni. A panasz
kivizsgálására és megválaszolására 30 naptári nap áll az adatkezelő
rendelkezésére. Amennyiben panaszát továbbra is fenntartja, bírósághoz vagy a
Nemzeti Adatvédelmi és Információszabadság Hatósághoz az alábbi
elérhetőségeken:
posta cím: 1530 Budapest, Pf.: 5.
cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
31
E-mail: ugyfelszolgalat@naih.hu
URL http://naih.hu
koordináták:É 47°30’56”; K 18°59’57”
Jelen Tájékoztatót a Vállalkozás módosíthatja, a mindenkor aktuális tájékoztató
a Vállalkozás honlapján érhető el.

32
33
Adatvédelmi szervezet
A Vállalkozás ügyvezetése Adatvédelmi tisztviselő
Elvárások megfogalmazása és Megfelelés vizsgálata és
kommunikálása visszacsatolás
Az érintettek kérésére
tájékoztatás adása
A Vállalkozás középvezetői
A munkafolyamatba épített adatáramlások
előírásoknak való működtetése
A Vállalkozás adatgazdái
Az adatok felvétele, rögzítése, továbbítása, az adatokkal kapcsolatos
műveletek végrehajtása
34
Az adatvédelmi hatásvizsgálatra vonatkozó szempontok
1. módszeres leírás készült az adatfeldolgozásról (a 35. cikk (7) bekezdésének a) pontja):
2. figyelembe vették az adatkezelés jellegét, hatókörét, körülményeit és céljait ((90)
preambulum bekezdés);
3. a személyes adatokat, a címzetteket, valamint a személyes adatok tárolásának
időtartamát rögzítették;
4. funkcionális leírás készült az adatkezelési műveletről;
5. a személyes adatokhoz használt eszközöket (hardverek, szoftverek, hálózatok,
személyek, papírok vagy papíralapú továbbítási csatornák) azonosították;
6. figyelembe vették a jóváhagyott magatartási kódexek előírásainak teljesítését (a 35.
cikk (8) bekezdése);
7. értékelték a szükségességet és az arányosságot (a 35. cikk (7) bekezdésének b)
pontja):
8. a rendelet betartására irányuló intézkedéseket meghatározták (a 35. cikk (7)
bekezdésének d) pontja és a (90) preambulum bekezdés), figyelembe véve az
alábbiakat:
9. az adatkezelés arányosságát és szükségességét előmozdító intézkedések a
következők alapján:
10. meghatározott, kifejezett és jogos cél(ok) (az 5. cikk (1) bekezdésének b) pontja);
11. az adatkezelés jogszerűsége (6. cikk);
12. megfelelőek, relevánsak, és a szükséges adatokra korlátozódnak (az 5. cikk (1)
bekezdésének c) pontja);
13. korlátozott tárolási időtartam (az 5. cikk (1) bekezdésének e) pontja);
14. az érintettek jogait támogató intézkedések:
15. az érintetteknek nyújtott tájékoztatás (12., 13. és 14. cikk);
16. betekintési jog és az adathordozhatósághoz való jog (15. és 20. cikk);
17. a helyesbítéshez és a törléshez való jog (16., 17. és 19. cikk);
18. kifogásolási jog és az adatkezelés korlátozásához való jog (18., 19. és 21. cikk);
19. az feldolgozókkal fennálló kapcsolatok (28. cikk);
20. a nemzetközi adattovábbításhoz kapcsolódó garanciák (V. fejezet);
21. előzetes konzultáció (36. cikk);
22. az érintett jogait és szabadságait érintő kockázatokat kezelik (a 35. cikk (7)
bekezdésének c) pontja):
23. a kockázatok forrását, jellegét, egyediségét és súlyosságát felmérték (vö. (84)
preambulum bekezdés) vagy konkrétabban mindegyik kockázat (jogosulatlan
hozzáférés, nemkívánatos módosítás és az adatok eltűnése) esetében az érintettek
szemszögéből:
24. figyelembe vették a kockázatforrásokat ((90) preambulum bekezdés);
25. az érintettek jogaira és szabadságaira esetlegesen gyakorolt hatásokat
beazonosították olyan eseményekre vonatkozóan, mint a jogosulatlan hozzáférés, a
nemkívánatos módosítás és az adatok eltűnése;
26. az esetleg jogosulatlan hozzáféréshez, nemkívánatos módosításhoz vagy adatok
eltűnéséhez vezető veszélyeket beazonosították;
27. felmérték a valószínűséget és a súlyosságot ((90) preambulum bekezdés);
35
28. az említett kockázatok orvoslására irányuló intézkedéseket meghatározták (a 35. cikk
(7) bekezdésének d) pontja és a (90) preambulum bekezdés);
29. az érdekelteket bevonták:
30. kikérték az adatvédelmi tisztviselő tanácsát (a 35. cikk (2) bekezdése);
31. adott esetben kikérték az érintettek véleményét (a 35. cikk (9) bekezdése). 

GREEN COFFEE PLUS