• Live chat
  • Facebook
  • Google Plus
  • rss

Adatvédelmi és adatbiztonsági szabályzat

×
×

Adatvédelmi és adatbiztonsági Szabályzat

VERZIÓ: 1.0

Hatályos:

2018. május 26.

Felülvizsgálat határideje:

2018. szeptember 28.

Tartalomjegyzék

  • 1. Fogalmak.
  • 1. A Szabályzat célja és hatálya.
  • 3. A Társaság által végzett adatkezelés alapelvei
  • 4. A belső adatvédelmi rendszer.
    • 1; Az adatvédelmi rendszer irányítása.
    • 4.2; Adatbiztonsági szabályok.
  • 5. Az érintettek jogainak érvényesítése.
    • 5.1; Tájékoztatás.
      • 5.1.1Tájékoztatás kérelem nélkül
      • 5.1.2Tájékoztatás az érintett kérelmére.
    • 5.2; Helyesbítés.
    • 5.3; Törlés.
    • 5.4; Az adatkezelés korlátozásához való jog.
    • 5.5; Adathordozhatósághoz való jog.
    • 5.6; A tiltakozáshoz való jog.
  • 6. Az adatkezeléssel kapcsolatos kérelmének elintézésére vonatkozó szabályok.
  • 7. A Társaságnál megvalósuló adatkezelések.
    • 7.1; A személyes adatok átadása a Társasággal szerződéses kapcsolatban álló adatkezelőnek, vagy adatfeldolgozónak.
    • 7.2; A személyes adatok továbbítása harmadik személyek számára.
    • 7.3; Unión kívüli országba vagy nemzetközi szervezetek felé irányuló adattovábbítás.
    • 7.4; Ellenőrzés, belső auditok.
    • 7.5; Adatvédelmi képzés.
    • 7.6; Vagyonvédelemmel összefüggő adatkezelések.
    • 7.7; Adatkezelési tevékenységek nyilvántartása.
  • 8. Adatvédelmi incidens kezelése.
  • 9. Új üzleti folyamatok kialakítása során megvalósuló adatkezelés, adatvédelmi hatásvizsgálat
  • 10. Jogorvoslat
  • 11. Hatályba lépés.

Mellékletek. I

  • 1.sz. melléklet II
  • 2. sz. melléklet III
  • 3. sz. melléklet IV
  • 4. sz. melléklet V

Adatkezelő megnevezése: DoclerNet Hosting Korlátolt Felelősségű Társaság

Adatkezelő cégjegyzékszáma: 01-09-186097

Adatkezelő székhelye: 1101 Budapest, Expo tér 5-7.

Adatkezelő e-elérhetősége: info@doclernet.hu

Jelen rendelkezéseket a DoclerNet Hosting Korlátolt Felelősségű Társaság többi Szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és bármely más, jelen Szabályzat hatálybalépése előtt hatályba lépett Szabályzat előírásai között, úgy abban az esetben jelen rendelkezések az irányadóak.

1. Fogalmak

A jelen Szabályzat alkalmazásában:

  • Társaság: a Szabályzat hatálya alatt adatkezelési tevékenységet végző DoclerNet Hosting Korlátolt Felelősségű Társaság.
  • Szabályzat: jelen Adatvédelmi és adatbiztonsági Szabályzat
  • GDPR: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 sz. rendelete
  • személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
  • különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
  • bűnügyi személyes adat: a büntetőeljárás során, vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
  • érintett:bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
  • adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
  • adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  • adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Társaság nevében személyes adatokat kezel;
  • címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egyegyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
  • harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, a Társasággal, az adatfeldolgozóval vagy azokkal a személyekkel, akik a Társaság vagy az általa jogszerűen igénybevett adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  • Adatvédelmi Tisztviselő: a Társaságnál a GDPR 4. szakasza alapján kijelölt és működő adatvédelmi tisztviselő, illetve tisztviselők;
  • Biztonsági Szolgálat: a Társaság székhelyének mindenkori vagyonvédelmét ellátó egység. A Biztonsági Szolgálatot a jelen Szabályzat hatályba lépésének napján a Docler Services Kft. (cégjegyzékszám: 01-09-186181; székhely: 1101 Budapest, Expo tér 5-7.) látja el az Irodaház tulajdonosával kötött megállapodás alapján.
  • hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat, vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  • adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
  • NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság; a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében létrehozott és eljáró, a Társaság adatkezelése fölött felügyeleti jogot gyakorló fő felügyeleti hatóság;
  • Unió: Európai Unió.

2 A Szabályzat célja és hatálya

A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDRP-ban meghatározott alapelveknek megfelelő adatkezelés megvalósulását.

Jelen Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés alapelveiről, céljáról, jogalapjáról, időtartamáról, az érintettek jogairól, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

Jelen Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát és szabályozni kívánja a közte és vele egy tulajdonosi körbe tartozó vállalkozások közti adatáramlást és biztosítani az adatvédelmi előírások teljesülését.

A Szabályzat tárgyi hatálya ekként kiterjed a Társaság minden szervezeti egységénél és a jelen Szabályzatot elfogadó és a Társasággal egy tulajdonosi körbe tartozó más vállalkozásnál folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

A Szabályzat időbeli hatálya 2018. május 26. napjától visszavonásig tart.

3 A Társaság által végzett adatkezelés alapelvei

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A Társaság által kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. A Táraság minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Az adatkezelés során a Társaság minden szükséges intézkedést megtesz az általa végzett személyes adatok jogszerű, tisztességes, valamint az érintett számára átlátható módon történő kezelése érdekében.

A Társaság a személyes adatokat kizárólag az alábbi esetekben kezeli:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A Társaság a személyes adatokat a cél eléréséhez megfelelő, releváns és szükséges mértékben kezeli. Az adatkezelési cél megszűnését, illetve a jelen Szabályzatban megjelölt adatkezelési időtartam elteltét követően a Társaság a személyes adatokat végérvényesen törli.

A Társaság az adatkezelés során minden tőle telhetőt megtesz annak érdekében, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítsa a személyes adatok biztonságát, beleértve az adatok jogosultalan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is.

4 A belső adatvédelmi rendszer

4.1 Az adatvédelmi rendszer irányítása

A Társaság mindenkori vezető tisztségviselője a Társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, kijelöli az adatkezelés felügyeletét ellátó személyt.

A Szabályzatban előírtak betartatásáért a feladatkörében minden érintett önálló szervezeti egység vezetője felelős.

A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

A Társaság adatvédelmi rendszerének felügyeletét a Társaság vezető tisztségviselője látja el, az általa kinevezett, vagy megbízott adatvédelemért felelős személy(ek), az Adatvédelmi Tisztviselő(k) útján. A Társaság az adatvédelmi feladatok ellátásának elősegítése céljából jogosult Adatvédelmi Bizottság létrehozására. Az Adatvédelmi Bizottság tagjainak megválasztásáról a Társaság legfőbb szerve határoz. Az Adatvédelmi Bizottság létszámát, feladat és hatáskörét, valamint működését a Táraság legfőbb szerve által elfogadott ügyrend határozza meg.

A Társaság vezető tisztségviselője az adatvédelemmel kapcsolatosan:

  1. a) felelős az érintettek GDPR-ban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  2. b) felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  3. c) felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok, vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  4. d) felügyeli a kinevezett, vagy megbízott belső Adatvédelmi Tisztviselő tevékenységét;
  5. e) vizsgálatot rendelhet el;
  6. f) kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.
  7. A Társaság Adatvédelmi Tisztviselőjének neve, elérhetősége a jelen Szabályzat 1. számú mellékletét képezi.
  8. Az Adatvédelmi Tisztviselő adatvédelemmel kapcsolatos kötelezettségei:
  9. a) segítséget nyújt az érintett jogainak biztosításában: az érintettek a személyes adatok kezeléséhez és a GDPR szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az Adatvédelmi Tisztviselőhöz fordulhatnak;
  10. b) tájékoztat és szakmai tanácsot ad a Társaság, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
  11. c) ellenőrzi a GDPR-nak, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá a Társaság vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
  12. d) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat GDPR szerinti elvégzését;
  13. e) minden év január 15-ig jelentést készít a vezető tisztségviselő, vagy ha a Társaságnál ilyen működik, az adatvédelmi bizottság számára a Társaság előző évi adatvédelmi feladatainak végrehajtásáról;
  14. f) jogosult jelen Szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
  15. g) részt vesz a NAIH által szervezett belső Adatvédelmi Tisztviselők konferenciáján;
  16. h) figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján, indokolt esetben kezdeményezi jelen Szabályzat módosítását;
  17. i) közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
  18. j) általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg;
  19. k) együttműködik a NAIH-val; az adatkezeléssel összefüggő ügyekben – ideértve a GDPR szerinti előzetes konzultációt is – kapcsolattartó pontként szolgál a NAIH felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;
  20. l) időszakosan ellenőrzi a Társaság adatkezeléssel kapcsolatos nyilvántartásait (adatvédelmi incidensek nyilvántartása, adatkelési tevékenységek nyilvántartása);
  21. m) ha működik a Társaságnál Adatvédelmi Bizottság, részt vesz annak ülésein;
  22. n) ellátja a jelen Szabályzatban feladataként meghatározott egyéb, adatkezeléssel összefüggő feladatokat.

4.2 Adatbiztonsági szabályok

Társaság a jelen Szabályzat szerinti adatkezelés során a jelen Szabályzatban írt intézkedéseket teszi annak érdekében, hogy illetéktelen személyek ne férjenek hozzá a kezelt személyes adatokhoz.

A Társaság munkavállalói a munka törvénykönyvéről szóló 2012. évi I. törvény („Mt.”) alapján titoktartásra kötelesek, amely titoktartás őket a munkaviszony megszűnése után is terheli a munkavégzés során megismert személyes adatok tekintetében.

A Társaság a munkavállalóival titoktartási nyilatkozatot ír alá.

A Társaság jogosultsági szinteket dolgoz ki a személyes adatokhoz történő elektronikus és fizikai hozzáférés szabályozására, amelynek technikai részleteit, illetve az informatikai adatbiztonsági előírások részeletes meghatározását az Informatikai Biztonsági Szabályzat tartalmazza.

A Társaság intézkedik annak érdekében, hogy a munkavállalók csak a munkájuk végzéséhez szükséges körben jussanak hozzá a Társaság által kezelt személyes adatokhoz.

A személyes adatok teljes köréhez hozzáférése van a Társaság legfelsőbb vezetőinek, ideértve a vezető tisztségviselőket.

Teljeskörű hozzáférés alatt olyan jogosultságot kell érteni, ami lehetővé teszi a személyes adatok módosítását, törlését vagy archiválását is. A hozzáférési szintek kialakítása a Társaság menedzsmentjének a feladata, az operatív kivitelezésről és a kialakított szintek ellenőrzéséről és rendszeres felülvizsgálatáról az Adatvédelmi Tisztviselő gondoskodik.

A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság különösen, de nem kizárólag az alábbi intézkedéseket alkalmazza:

  • - az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
  • - a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben, zárható szekrényben helyezi el;
  • - a folyamatos, aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
  • - a dossziék kivételét és visszarakását egy, a szekrényben elhelyezett naplóban szükséges vezetni;
  • - a szervezeti egység vezetője naponta, szúrópróba szerűen ellenőrzi, a napló vezetését, illetve minden héten elvégzi a személyes adatokat tartalmazó szekrényeket biztonsági (zárhatósági) vizsgálatát;
  • - a kulccsal zárható szekrények esetében a kulcsok egy zárható helyen (Kulcsdoboz) kerülnek tárolásra. A kulcsok kulcsdobozból történő felvételét a kulcsdoboz mellett elhelyezett kulcs naplóban köteles vezetni. A szervezeti egység vezetője a napi munkavégzés megkezdésekor, illetve befejezésekor köteles ellenőrizni a Kulcsdoboz érintetlenségét, illetve a kulcs napló vezetését. Amennyiben valamely szekrény, vagy a Kulcsdoboz kulcsa hiányzik, arról jegyzőkönyvet szükséges felvenni és haladéktalanul tájékoztatni szükséges a Társaságnál működő belső adatvédelmi tisztségviselőt, aki az adatvédelmi incidens veszélye valószínűségének mértékétől függően a szükséges bejelentéseket megteszi a NAIH felé.
  • - a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
  • - a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
  • - amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság különösen, de nem kizárólag az alábbi intézkedéseket és garanciális elemeket alkalmazza:

  • - az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a Társaság;
  • - a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval – lehet hozzáférni, a jelszavak cseréjéről Társaság rendszeresen gondoskodik;
  • - az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
  • - a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
  • - amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
  • - a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el a Társaság az adatvesztést;
  • - a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik;
  • - a lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt;
  • - a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
  • - a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.

5 Az érintettek jogainak érvényesítése

5.1 Tájékoztatás

5.1.1 Tájékoztatás kérelem nélkül
5.1.1.1. Személyes adatok beszerzése az érintettől:

Amennyiben a személyes adatokat a Táraság az érintettől szerezte meg, a Társaság az adatkezelés megkezdése előtt (vagy az érintett hozzájárulásának beszerzését megelőzően) az érintettet egyértelműen, tömör, átlátható érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva tájékoztatja az alábbiakról:

a) a Társaság, mint adatkezelő neve, illetve elérhetőségei;

b) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

c) az Adatvédelmi Tisztviselő elérhetőségei;

d) az érintett személyes adatok kategóriái;

e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;

g) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

h) a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

i) a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítésén alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos érdekei;

j) az érintett azon jogáról, hogy kérelmezheti a Táraságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

k) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

l) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír;

m) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

A tájékoztatási kötelezettség nem áll fenn, ha és amilyen mértékben az érintett már rendelkezik az adott információkkal.

Amennyiben a Társaság a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és a fentiekben említett minden releváns kiegészítő információról.

5.1.1.2. Személyes adatok beszerzése az érintettől eltérő forrásból:

Amennyiben a személyes adatokat a Társaság nem az érintettől szerezte meg, a Társaság egyértelműen, tömör, átlátható érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva az érintett rendelkezésére bocsátja az alábbi információkat:

a) a fenti 5.1.1. a)-l) pontban foglaltakról;

b) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

A Társaság a jelen pont szerinti tájékoztatást az alábbiak szerint adja meg:

  • a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

A tájékoztatási kötelezettség nem áll fenn, ha és amilyen mértékben:

a) az érintett már rendelkezik az információkkal;

b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben e kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben a Társaságnak megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c) az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

Amennyiben a Társaság a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a fentiekben említett minden releváns kiegészítő információról.

5.1.2 Tájékoztatás az érintett kérelmére

Az érintett kérelmére a Társaság tájékoztatást ad az 5.1.1.1. pont b),d), e), f), g), j), k), l), valamint az 5.1.2.1. b) pontjaiban foglaltak tekintetében.

A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

5.2Helyesbítés

Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a Társaság rendelkezésére áll, a Társaság az adatot helyesbíti.

Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

5.3Törlés

A Társaság az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törli, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) ha az érintett tiltakozása megalapozza a törlést;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Amennyiben a Társaság nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az érintett fenti kérelmének teljesítése nem kötelező, amennyiben az adatkezelés:

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) a személyes adatok kezelését előíró, a Társasára alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;

c) a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d) a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a kérelem teljesítése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

szükséges.

5.4 Az adatkezelés korlátozásához való jog

A Társaság az érintett kérelmére korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

A Társaság az érintettet, akinek a kérésére a fentiek alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

A Társaság minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.

5.5 Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az a Társaság, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és

b) az adatkezelés automatizált módon történik.

Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

A fenti jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

A Társaság által végzett automatizált adatkezeléseket a jelen Szabályzat 2. számú melléklete tartalmazza.

5.6 A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) (közérdekű adatkezelés) vagy f) pontján (jogos érdek érvényesítésére alapított adatkezelés) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha a Társaság bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

A Társaság automatikus döntéshozatalt nem alkalmaz, profilalkotást nem végez.

6 Az adatkezeléssel kapcsolatos kérelmének elintézésére vonatkozó szabályok

Ha az érintettektől

  • tájékoztatás kérése
  • helyesbítés, törlés, illetve korlátozás iránti kérelem
  • tiltakozás
  • panasz

illetve harmadik személytől adatszolgáltatás iránti, vagy egyéb adatvédelmi tárgyú megkeresés (a továbbiakban jelen pontban együttesen: „kérelem”) érkezik a Társasághoz, akkor a megkeresésről tudomást szerző munkavállaló a tudomásszerzést követően haladéktalanul köteles azt továbbítani az Adatvédelmi Tisztviselő számára. A továbbításnak úgy kell megtörténnie, hogy a Társaság az abban foglalt megkeresésnek határidőben eleget tudjon tenni.

Amennyiben a kérelem munkavállalótól, mint érintettől származik, a munkavállaló a kérelmét közvetlenül az Adatvédelmi Tisztviselőnek jogosult eljuttatni.

Az Adatvédelmi Tisztviselő szükség esetén megkeresi az adatkezelést végző szervezeti egység vezetőjét és a kérelemmel kapcsolatos álláspontját kikéri. Az illetékes a megkeresésre a megkeresés kézhezvételétől számított 5 (öt) munkanapon belül köteles indoklással és intézkedési javaslattal ellátott álláspontját az Adatvédelmi Tisztviselő számára visszajuttatni.

Az Adatvédelmi Tisztviselő a kérelmet és az adatkezelést végző szervezeti egység vezetőjének álláspontját megvizsgálja és javaslatot ad a Társaság adatkezelésért felelős, jelen Szabályzat 4. pontjában megjelölt vezetőjének, vagy ha a Társaságnál működik ilyen, az Adatvédelmi Bizottságnak a kérelem megválaszolására nyitva álló határidő meghosszabbítása, a kérelem elintézése, illetve indokolt esetben elutasítása tekintetében.

Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

A Társaság vezetője indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a fenti kérelem nyomán hozott intézkedésekről.

Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.

Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Ha a Társaság vezetője nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával.

A tájékoztatást díjmentesen kell biztosítani.

Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

  • észszerű összegű díjat számíthat fel, vagy
  • megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli.

Ha a Társaságnak megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

A Társaság kérelmet csak indoklással, írásban utasíthat el.

Az érintett az adatkezeléssel kapcsolatos jogainak gyakorlásával összefüggő bármely kérdésben, különös figyelemmel az adatkezeléssel kapcsolatos jogainak megsértése esetén közvetlenül a Társaság Adatvédelmi Tisztviselőjéhez fordulhat.

Ha az érintett a Társaságnál más személyhez fordul ennek érdekében, az köteles az érintettet tájékoztatni az Adatvédelmi Tisztviselő hatásköréről és elérhetőségeiről.

7 A Társaságnál megvalósuló adatkezelések

A Társaság által kezelt személyes adatok, az adatkezeléssel érintettek köre, a végzett adatkezelési műveletek, az adatkezelés időtartama, jogalapja, stb. megjelölését a jelen Szabályzat 2. számú melléklete tartalmazza.

A Társaságnál megvalósuló adatkezelési folyamatok leírását, a Társaság adattérképét, azaz a Társaság által kezelt adatok útját, a végzett adatkezelési műveleteket a jelen Szabályzat 3. számú, nem nyilvános melléklete tartalmazza, amelyről az érintett kérése esetén az érintett adatai vonatkozásában kivonat adható ki.

7.1. A személyes adatok átadása a Társasággal szerződéses kapcsolatban álló adatkezelőnek, vagy adatfeldolgozónak

A Társaság kizárólag a Társasággal, vagy adatfeldolgozóval kötött írásbeli megállapodása alapján, az abban foglalt mértékben jogosult az általa kezelt személyes adatok átadására. A Társaság szerződött partnereitől megköveteli a jelen Szabályzatban foglaltak érvényesülését.

A személyes adatok átadását, illetve a címzettek körét a jelen Szabályzat 2. számú melléklete tartalmazza. A továbbítás módját a jelen Szabályzathoz 3 számú mellékletként csatolt (nem nyilvános) folyamatábra, illetve abban foglalt adatátadási térkép tartalmazza.

7.2. A személyes adatok továbbítása harmadik személyek számára

Az adatkezelést végző munkavállaló bármely adattovábbításra irányuló megkeresés beérkezéséről haladéktalanul tájékoztatja az adatkezelést végző szervezeti egység felelős vezetőjét. Az egység vezetője a rendelkezésre álló adatok alapján megvizsgálja az adattovábbítás feltételeinek fennállását, a kérés teljesíthetőségét, szükség esetén további tájékozódást végez.

Az egység vezetője írásban vagy elektronikus úton tájékoztatja az Adatvédelmi Tisztviselőt. Az adatok továbbításának feltételeinek fennállását az Adatvédelmi Tisztviselő megvizsgálja, és ennek alapján 15 munkanapon belül dönt az adattovábbítás végrehajthatóságáról. Az Adatvédelmi Tisztviselő döntése ellen az adatkérő 8 (nyolc) munkanapon belül panasszal fordulhat a Társaság vezetőjéhez. A Társaság vezetője a panasszal kapcsolatban 15 munkanapon belül hoz döntést.

7.3. Unión kívüli országba vagy nemzetközi szervezetek felé irányuló adattovábbítás

Személyes adatokat az Unión kívüli harmadik országba, vagy nemzetközi szervezetek számára a Társaság kizárólag abban esetben továbbíthat, ha:

a) az Unió Bizottsága határozatával megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély, vagy

b) a harmadik országbeli, vagy nemzetközi szervezetnek minősülő adatkezelő vagy adatfeldolgozó a GDPR 46. cikkében foglalt megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. A garanciáktól függően szükséges, vagy elhagyható az illetékes felügyeleti hatóság engedélye.

A fenti adatszolgáltatással kapcsolatos tényeket, körülményeket dokumentálni kell.

Az Unió Bizottságának megfelelőségi határozata, illetve a GDPR 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a) az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b) az adattovábbítás az érintett és a Társaság közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c) az adattovábbítás a Társaság és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d) az adattovábbítás fontos közérdekből szükséges; (a jelen pontban foglalt közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy a Társaságra vonatkozó tagállami jog elismeri)

e) az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

f) az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

g) a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek. A jelen pont szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

Ha az adattovábbítás nem alapulhat a megfelelőségi határozaton, vagy a GDPR-ban meghatározott garanciákon és a fentiekben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, a Társaság olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és a Társaság az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. A Társaság a vizsgálatot és megfelelő garanciákat az adatkezelési tevékenységek nyilvántartásában dokumentálja.

A Társaságnak tájékoztatnia kell a NAIH-ot az adattovábbításról.

A Társaság a jelen Szabályzat 5.1. pontjában foglalt információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint a Társaság kényszerítő erejű jogos érdekéről.

Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását.

7.4. Ellenőrzés, belső auditok

Az adatvédelemmel kapcsolatos előírások, így különösen a jelen Szabályzat rendelkezéseinek betartását, az adatkezelést végző szervezeti egység vezetői folyamatosan ellenőrizni kötelesek.

Az egyes adatkezelések ellenőrzését szükség szerint, de legalább évente el kell végezni.

Az ellenőrzés tapasztalatairól az Adatvédelmi Tisztviselő írásban tájékoztatja a Társaság vezető tisztségviselőjét, illetve amennyiben a Táraságnál működik, Adatkezelési Bizottságát.

Az Adatvédelmi Tisztviselő tájékoztatása elkészítését megelőzően konzultál az adatkezelésért felelős szervezeti egységek vezetőjével, illetve az illetékes szakemberekkel és javaslatot ad a Társaság vezető tisztségviselőjének/Adatkezelési Bizottságának a szükséges intézkedések megtételére.

Az ellenőrzés során szükségessé vált intézkedések végrehajtásáért a Társaság vezető tisztségviselője felelős.

7.5. Adatvédelmi képzés

A Társaság adatkezelést végző munkavállalói évente általános adatvédelmi képzésben kötelesek részt venni. Az általános adatvédelmi képzés szervezése, lebonyolítása az Adatvédelmi Tisztviselő feladata.

7.6. Vagyonvédelemmel összefüggő adatkezelések

A Társaság székhelyén kamerás megfigyelőrendszer és beléptető rendszer üzemel, amelynek célja kizárólag a Társaság vagyonának és érdekeinek védelme. A rendszer üzemeltetését a Docler Irodaház mindenkori Biztonsági Szolgálata végzi.

A rendszer üzemeltetésével összefüggésben rögzített adatok tekintetében a Társaság nem végez adatkezelési tevékenységet.

A vagyonvédelemmel kapcsolatos adatkezelés részleteit a Biztonsági Szolgálat vagyonvédelemre vonatkozó szabályzata tartalmazza.

7.7. Adatkezelési tevékenységek nyilvántartása

A Társaság a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. A nyilvántartás a következő információkat tartalmazza:

a) a Társaság neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, a Társaság képviselőjének és az Adatvédelmi Tisztviselőnek a neve és elérhetősége;

b) az adatkezelés céljai;

c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f) ahol lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g) ahol lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírását.

8 Adatvédelmi incidens kezelése

A Társaságnál felmerülő adatvédelmi incidensek esetén követendő eljárásrendet a Társaság Adatvédelmi Incidenskezelési Szabályzata rögzíti.

9 Új üzleti folyamatok kialakítása során megvalósuló adatkezelés, adatvédelmi hatásvizsgálat

Az új üzleti folyamatok kidolgozása során az üzleti folyamattal érintett szervezeti egység vezetőjének fel szükséges mérnie, hogy az új üzleti folyamat egyben új típusú, eddigi formában nem végzett adatkezelést / adatkezelési folyamatot is jelent-e.

Amennyiben a Társág által végzett adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társág az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetők.

Az adatvédelmi hatásvizsgálat szükségességét az adatkezelésért felelős szervezeti egység vezetője minden egyes új adatkezelés megkezdését megelőzően köteles megvizsgálni és az Adatvédelmi Tisztviselő tanácsát kikérni.

Amennyiben az adatkezelésért felelős szervezeti egység vezetője az adatvédelmi hatásvizsgálatot szükségesnek látja, arról a Társaság vezető tisztségviselője - illetve amennyiben a Társaságnál működik - az Adatvédelmi Bizottság számára előterjesztést készít, amelyhez csatolja az Adatvédelmi Tisztviselő álláspontját is. Amennyiben a Társaságnál működik Adatvédelmi Bizottság, az Adatvédelmi Bizottság az előterjesztést megvizsgálja és javaslatot tesz a Társaság vezető tisztségviselőjének a hatásvizsgálat szükségessége, vagy elhagyhatósága tárgyában.

A hatásvizsgálat végrehajtását az adatkezelést végző szervezeti egység végzi.

Az adatvédelmi hatásvizsgálat elvégzése során az Adatvédelmi Tisztviselő szakmai tanácsát köteles kikérni.

Abban az esetben, amennyiben az új folyamat egyben új adatkezelést is jelent, de adatvédelmi hatásvizsgálatot a Táraság az új adatkezelés tekintetében nem végez, az Adatvédelmi Bizottság, illetve amennyiben a Társaságnál ilyen nem működik, a Társaság vezető tisztségviselője az Adatvédelmi Tisztviselő véleményének birtokában, az adatkezelésért felelős szervezeti egység vezetője előterjesztése alapján az adatkezelés megfelelősége tekintetében határoz.

10 Jogorvoslat

Az érintett a GDPR, valamint a mindenkori hatályos Polgári Törvénykönyv alapján bíróság előtt érvényesítheti jogait, illetve a NAIH segítségét is kérheti.

A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az érintett a Társaság adatkezelési eljárásával kapcsolatos panasszal a NAIH-hoz fordulhat:

név: Nemzeti Adatvédelmi és Információszabadság Hatóság

székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C.

honlap: www.naih.hu

11 Hatályba lépés

A jelen Szabályzat a Táraság legfőbb szerve általi elfogadása útján, a vezető tisztségviselő aláírásával, 2018. május 26. napjával lép hatályba.

Kelt: 2018.05.25

…………………………………………………………..DoclerNet Hosting Korlátolt Felelősségű TársaságMolnár Bálint ügyvezető

Mellékletek

1.sz. melléklet

AZ ADATVÉDELMI TISZTVISELŐRE VONATKOZÓ ADATOK

Név: Szekeres István

Telefonszám: +36-1-432 3133

E-mail cím: dpo@doclernet.hu

Az adatok kezelési helye: 1101 Budapest, Expo tér 5-7.

Az adatok fizikai tárolási helyei

Személyes adatai (vagyis azok az adatok, amelyek az Ön személyével kapcsolatba hozhatók) a következő módon kerülhetnek a kezelésünkbe: egyfelől az internetes kapcsolat fenntartásával összefüggésben az Ön által használt számítógéppel, böngészőprogrammal, internetes címmel, a látogatott oldalakkal kapcsolatos technikai adatok automatikusan képződnek számítógépes rendszerünkben, másfelől Ön is megadhatja nevét, elérhetőségét vagy más adatait, ha a honlap használata során személyes kapcsolatba kíván lépni velünk.

A rendszer működtetése során technikailag rögzítésre kerülő adatok: az érintett bejelentkező számítógépének azon adatai, melyek a bejelentkezés során generálódnak és melyeket a Társaság rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatot a rendszer az érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adat egyéb személyes felhasználói adatokkal – a törvény által kötelezővé tett esetek kivételével – össze nem kapcsolható. Az adathoz kizárólag az Társaság fér hozzá.

2. sz. melléklet

A TÁRSASÁG ÁLTAL KEZELT SZEMÉLYES ADATOK

 

3. sz. melléklet

 

ADATTÉRKÉP

(NEM NYILVÁNOS MELLÉKLET)

 

 

  • adatkezelési folyamatábra
  • az adatkezelési folyamatok rövid leírása
  • a Társaság által kezelt adatok átadása, az adatátadás útja (honnan hová), módja (szervezeti egységek közötti adatátadás, adatkezelőnek, vagy adatfeldolgozónak történő átadás, stb.)
  • külföldre történő adattovábbítás (útja, módja, stb.)
  • esetlegesen harmadik személyeknek történő átadás (útja, módja, stb.)


4. sz. melléklet

 

HONLAP ÜZEMELTETÉSSEL ÖSSZEFÜGGŐ ADATKEZELÉSEK SZABÁLYAI
Cookie adatkezelés

A Társaság az alábbi címen üzemelteti weboldalát: http://www.doclernet.hu

Cookie-k (Sütik)

sütik feladata

  • információkat gyűjtenek a látogatókról és eszközeikről;
  • megjegyzik a látogatók egyéni beállításait, amelyek felhasználásra kerül(het)nek pl. online tranzakciók igénybevételekor, így nem kell újra begépelni őket;
  • megkönnyítik a weboldal használatát;
  • minőségi felhasználói élményt biztosítanak.

A testre szabott kiszolgálás érdekében a felhasználó számítógépén kis adatcsomagot, ún. sütit (cookie) helyez el és a későbbi látogatás során olvas vissza. Ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében.

Feltétlenül szükséges, munkamenet (session) cookie-k

Ezen sütik célja, hogy a látogatók maradéktalanul és zökkenőmentesen böngészhessék a DoclerNet Hosting weboldalát, használhassák annak funkcióit, és az ott elérhető szolgáltatásokat. Az ilyen típusú sütik érvényességi ideje a munkamenet (böngészés) befejezéséig tart, a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépről, illetve a böngészésre használt más eszközről.

Harmadik fél által elhelyezett cookie-k (analitika)

A Társaság weboldalán alkalmazza a Google Analytics mint harmadik fél sütijeit is. A Google Analytics statisztikai célú szolgáltatás használatával az Társaság információkat gyűjt azzal kapcsolatban, hogy a látogatók hogyan használják a weboldalakat. Az adatot a honlap fejlesztésének és a felhasználói élmény javításának céljával használja fel. Ezen sütik szintén lejáratukig a látogató számítógépén vagy böngészésre használt más eszközén, annak böngészőjében maradnak, illetve amíg a látogató nem törli őket.

 

A https://www.doclernet.hu címen elérhető portál látogatóiról a webszerver a következő adatokat 60 napig tárolja: a látogatás dátuma és időpontja, a Felhasználó számítógépének IP címe, operációs rendszerének és böngészőjének típusa, valamint a Felhasználóhoz tartozó cookie-k.

Online kapcsolatfelvétel

https://www.doclernet.hu honlap esetében lehetősége van a látogatónak elektronikusan felvennie a kapcsolatot a Társasággal

A cv@doclernet.hu e-mail címen lehetősége van a látogatónak a Társasághoz állásra jelentkezni.

A regisztráció során megadott adatok és az önéletrajzban szereplő személyes adatok az érintett hozzájárulása alapján, a megfelelő munkavállaló kiválasztását elősegítendő rögzítésre kerülnek, és a továbbiakban jelen Szabályzat szerint kezeli.