Általános adatkezelési és adatvédelmi szabályzatunk

Adatvédelmi és adatkezelési szabályzat

 

ADAMDESIGN CART Korlátolt Felelősségű Társaság

Székhely: 1095 Budapest, Soroksári út 48.

Adószám: 22774121-2-43

Cégjegyzékszám: 01-09-942946

 

ÉRVÉNYES: 2021.január 1-től visszavonásig

 

1. 1.   Bevezetés

 

Jelen belső szabályzat célja, hogy rögzítse a Adamdesign Cart Kft (továbbiakban a Társaság), mint Adatkezelő adatkezeléssel kapcsolatos alapvető tevékenységeit, és eljárásait.

A Társaság személyes adatkezelés során tiszteletben tartja az érintettek személyhez fűződő jogait, ezért adatkezelése során az alábbi szabályzatban foglaltak értelmében jár el. Az Adatkezelő a Szabályzatnak az időközben módosulandó jogszabályi háttérrel és egyéb belső szabályzattal való összehangolása miatti megváltoztatására a jogot fenntartja.

Az adatvédelmi szabályzat és az összes adatkezeléssel kapcsolatos egyéb tájékoztató mindenkor hatályos változata elérhető a Társaság telephelyén, valamint weboldalán a http://www.adamdesignstudio.hu/adatvedelem/ oldalon

Adatkezelő törekszik arra, hogy minél pontosabban betartsa a Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlásait, így különösen az előzetes tájékoztatás adatvédelmi követelményeiről szóló 2015. Október hó 09. napján kiadott ajánlását, (https://www.naih.hu/files/tajekoztato-ajanlas-v-2015-10-09.pdf) és ezért a lehető legérthetőbben fejezi ki az adatvédelmi szabályokat, szükség esetén példákkal magyarázva azokat.

 

1. 2.   A Társaság fő tevékenységének ismertetése

 

Az Adamdesign Cart Kft. építészeti tervezéssel, belsőépítészettel, arculattervezéssel és műszaki ellenőrzéssel foglalkozik, mely tevékenységek során ügyfelei, partnerei és munkatársai személyes adatainak kezelése elengedhetetlen.

 

1. 3.   Adatkezelő, Adatvédelmi tisztviselő

 

Jelen Adatvédelmi és adatkezelési szabályzat szempontjából adatkezelőnek minősül:

ADAMDESIGN CART Korlátolt Felelősségű Társaság

Székhely: 1095 Budapest, Soroksári út 48.

Adószám: 22774121243

Cégjegyzékszám: 01 09 942946

 

Adatvédelmi tisztviselő, adatvédelemmel kapcsolatos kontakt:

Szilas Ádám üv.

Email : adam@szilas.com

Telefon: +36 20 969 9388

 

1. 4.   Fogalom meghatározás

Jelen tájékoztatóban használatos adatkezeléssel kapcsolatos fogalmak jelentése elérhető a Nemzeti Adatvédelmi és Információbiztonság Hatóság ( a továbbiakban NAIH vagy Hatóság) weboldalán

https://www.naih.hu/adatvedelmi-szotar.html

 

1. 5.   A szabályzat célja

 

A jelen szabályzat elsődleges célja, hogy az Adatkezelővel kapcsolatba kerülő természetes személyek adatainak kezelésére vonatkozó alapvető elveket és rendelkezéseket meghatározza

és betartsa annak érdekében, hogy a természetes személyek magánszférája védelemben részesüljön a vonatkozó törvényi előírásoknak és hatósági állásfoglalásoknak megfelelően.

 

Hivatkozva az előzőekben meghatározottakra, a jelen szabályzat további célja annak biztosítása, hogy az Adatkezelő mindenben megfeleljen a hatályos jogszabályok adatvédelemmel kapcsolatos

rendelkezéseinek, így különösen, de nem kizárólagosan

 

-         az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.

törvény

 

-         az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény

 

-         2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről 2013. évi V. tv. a Polgári Törvénykönyvről - 2012. évi I. tv a Munka Törvénykönyvéről - 2012. évi C. tv. a Büntető Törvénykönyvről - 2003. évi C. tv. az Elektronikus Hírközlésről - 2013. évi CLXV. tv. a Panaszokról és a Közérdekű bejelentésekről

 

-         A Számviteli törvény 169. §

 

-         A Polgári Törvénykönyvről szóló 2013. évi V. törvény,

-         Az adózás rendjéről szóló 2017. évi CL. törvény és végrehajtására kiadott

jogszabályok,

-         Mt. - A munka törvénykönyvéről szóló 2012. évi I. törvény

 

Az Adatkezelő tehát kiemelten fontosnak tartja, egyben elkötelezett az iránt, hogy az érintett  által, különböző csatornákon keresztül rendelkezésre bocsátott, az információs önrendelkezési jogról és az  információszabadságról szóló 2011. évi CXII. törvény által meghatározott adatokat védelemben részesítse, és az érintetek információs önrendelkezési jogukat tiszteletben tartsa.  E körben a vonatkozó hatályos jogszabályoknak teljes körűen eleget téve járul hozzá az érintett személyes adatok biztonságos, jogszerű kezeléséhez.

 

1. 6.   A szabályzat hatálya

 

Időbeli hatály: Jelen szabályzat 2021. Január 1. napjától további rendelkezésig vagy visszavonásig hatályos.

 

Személyi hatály kiterjed a(z)

-         Adatkezelőre,

-         Az adatkezelő munkatársaira

-         Az adatkezelő szerződött partnereire

-         Az adatkezelő adatfeldolgozóira, valamint

-         azon személyekre, akik adatait e Szabályzat hatálya alá tartozó adatkezelések tartalmazzák,

 

1. 7.   Az adatkezelés alapelvei

 

Jelen szabályzat rendelkezése, valamint az Adatkezelő gyakorlata nem lehet ellentétes az adatkezelési elvekkel.

Jelen szabályzat a következő adatkezelési elveket vezeti be kihirdetése napjától, amely elvek kötelező rendelkezések és iránymutatásul szolgálnak olyan kérdésekben, amelyeket a jelen szabályzat nem tárgyal.

 

Jogszerűség, tisztességes eljárás, átláthatóság A személyes adatok kezelése csak meghatározott alapján történhet. A személyes adatokat tisztességesen és az érintett által átlátható módon kell kezelni. Az adatkezeléssel kapcsolatos információkat pontos, átlátható, érthető és könnyen hozzáférhető formában, egyszerű és érthető nyelvezettel kell megadni.

 

Célhoz kötöttség Az adatok csak meghatározott, egyértelmű és jogszerű célból gyűjthetőek. Az adatok további kezelése is csak e célokkal összhangban történhet. A célhoz kötöttséggel közvetlenül összefüggő, az adatkezelő és az érintett érdekei közti mérlegelés sok esetben megteremti az adatkezelés jogalapját. Ezért az adatkezelés konkrét célját minden esetben meg kell határozni.

 

Adattakarékosság Az adattakarékosság alapelvének értelmében az adatgyűjtés és az adatkezelés azokra az adatokra korlátozandó, amelyek a kívánt cél eléréséhez ténylegesen szükségesek.

 

Pontosság A vállalkozásoknak tudniuk kell igazolni, hogy az általuk kezelt személyes adatok pontosak és naprakészek. A pontatlan adatokat haladéktalanul törölni vagy helyesbíteni kell. A vállalkozások
kötelesek az adatok aktualizálására rutinszerű eljárásokat bevezetni.

 

Korlátozott tárolhatóság A személyes adatok érintettek azonosítását lehetővé tevő formában történő tárolása az adatkezelés céljának eléréséhez szükséges ideig lehetséges. Továbbá be kell tartani a jogszabályban előírt határidőket is. Vizsgálni kell azt is, hogy az álnevesítésnek vagy anonimizálásnak helye van-e. Az álnevesítés esetében az adatok más információkkal való összekapcsolás nélkül nem rendelhetők hozzá az érintetthez. Ennek biztosítására megfelelő technikai és szervezeti intézkedéseket kell bevezetni.

 

Integritás, bizalmi jelleg A jövőben biztosítani kell, az adatok jogosulatlan és jogellenes kezelésének, véletlen elvesztésének, megsemmisülésének, illetve károsodásának megelőzését. Ezért elsősorban IT és szervezeti vonatkozásban (pl.: hozzáférési és jogosultsági eljárásrendek, kódolás) kell megfelelő intézkedéseket foganatosítani, figyelembe véve különösen a 32. cikk (az adatkezelés biztonsága) és 35. cikk (adatvédelmi hatásvizsgálat) rendelkezéseit. Az adatvédelmi incidenseket, azaz a személyes adatok sérelmét, ha fennáll a kockázata annak, hogy az érintettek jogai sérülnek, a 33. cikk értelmében az adatvédelmi hatóságnak be kell jelenteni. Adott esetben – ha a kockázat magas – az érintett személy közvetlenül is értesítendő.

 

Elszámolhatóság Az elszámoltathatóság alapelve értelmében a vállalkozásoknak az előzőekben
bemutatott alapelveknek való megfelelést tudniuk kell dokumentumokkal alátámasztva igazolni.

 

1. 8.   A Társaság által történő adatkezelések jogalapjai

 

Az Adamdesign Cart Kft. az alább felsorolt jogalapok alapján kezel személyes adatokat,

a)      személyes hozzájárulás: Amennyiben a személyes adatok kezeléséhez az érintett hozzájárulása szükséges azt a Társaság minden esetben beszerzi írásban, vagy elektronikus formában.

A hozzájárulás önkéntességét biztosítani kell. A GDPR értelmében a hozzájárulás „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

 

Hozzájárulásnak minősül az is, ha az érintett a társaság honlapjának megtekintése során bejelöl

egy erre létrehozott négyzetet, amely az adott összefüggésben az érintett önkéntes,

tájékoztatáson alapuló hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.

 

A hallgatás, az előre bejelölt négyzet, előre aláhúzott válasz vagy a nem cselekvés nem minősül hozzájárulásnak.

A társaságnak bármikor igazolnia kell tudni azt, hogy az adatkezelési művelethez az érintett

hozzájárult.

b)      szerződés teljesítéséhez szükséges jogalap: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Társaság nem kötheti szerződés megkötését, teljesítését olyan személyes adatok szolgáltatása feltételéül, amelyek nem szükségesek a szerződés teljesítéséhez.

A szerződés előkészítése során, a tervezet kidolgozásakor, véleményezésre megküldése során személyes adat feltüntetésére csak az azonosításhoz szükséges mértékben kerülhet sor.

A szerződésben csak a szerződés érvényességéhez és a teljesítéséhez szükséges személyes adatok kezelhetőek.

A szerződésekben külön adatvédelmi záradékot kell feltüntetni, amiben rögzíteni kell a papír alapú, illetve az elektronikus védelmi intézkedéseket a szerződésben szereplő személyes adatok védelme érdekében.

A társaság a szerződést kötő partnerét tájékoztatja jelen szabályzatban meghatározott, szerződéskötéshez kapcsolódóan lényeges adatkezelési, adatvédelmi feltételekről.

 

c)      jogi kötelezettség teljesítése: A jogi kötelezettségen alapuló adatkezelés szabályaira – adatkezelés célja, kezelhető adatok köre, tárolás időtartama, címzettek – a vonatkozó jogszabályok rendelkezései irányadók.

A jogi kötelezettség teljesítésén alapuló adatkezelés az érintett hozzájárulásától független. Az érintettel az adatkezelés megkezdése előtt ezesetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő  a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az

adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazójogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

 

d)      az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges adatkezelés : A Adamdesign Cart Kft. ezen jogalap alapján személyes adatokat nem kezel

 

e)      közhatalmi jogosítvány gyakorlásának keretében végzett feladat : A Adamdesign Cart Kft. ezen jogalap alapján személyes adatokat nem kezelhet

 

f)       Jogos érdek érvényesítés: Az adatkezelő vagy valamely harmadik fél jogos érdeke teremthet jogalapot az adatkezelésre, feltéve, hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő (vagy harmadik fél) jogos érdekével szemben, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait.

Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre. Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül.

 

1. 9.   Az Adatkezelések időtartama

 

Az adatkezelés időtartama minden adatkezelési tevékenység esetében az  érintett kérelme alapján

 

a)      személyes adatainak törléséig,

b)      adatainak kezelésére vonatkozó engedélye visszavonásáig

c)      vagy ilyen rendelkezés és jogszabály eltérő rendelkezése hiányában, azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli.

d)      Kötelező adatkezelés esetén, a vonatkozó törvény vagy önkormányzati rendelet állapítja meg az adatkezelés időtartamát.

e)      A számvitelről szóló 2000. Évi C törvény 169.§ (2) bekezdése alapján a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylat megőrzési kötelezettsége 8 év

 

Jelen Szabályzat az egyes adatkezelésekre vonatkozóan az előző pontban meghatározott időtartamtól eltérő, de jogszabály által megengedett időtartamot is meghatározhat.

 

1. 10.        Az Adatkezelő nyilatkozatai

 

Az Adatkezelő kijelenti, hogy :

-         az adatkezelés során az információs önrendelkezési jogról, és az információszabadságról szóló 2011. évi CXII. törvény rendelkezéseinek megfelelően jár el.

-         Az adatkezelő a tevekénysége során a személyes adatok kezelését minden esetben a megfelelő jogalap alapján végzi.

-         az adatkezelés során az Adatkezelő tudomására jutott személyes adatokat kizárólag azok a Munkatársak ismerhetik meg, akiknek az adott adatkezeléssel kapcsolatban feladatuk van.

-         Az adatkezelő gondoskodik arról, hogy a mindenkor hatályos szabályzat az érintettek részére folyamatosan hozzáférhető legyen, ezzel érvényre juttatva az átláthatóság elvét.

-         az érintettek személyes adatait bizalmasan, a hatályos jogszabályi előírásokkal összhangban kezeli, gondoskodik azok biztonságáról, technikai és szervezési intézkedéseket tesz, valamint az adatvédelem elveinek maradéktalan betartása érdekében eljárási szabályokat alakít ki.

-         az általa kezelt adatok megőrzése érdekében az adattároláshoz, feldolgozáshoz és  adattovábbításhoz kapcsolódó informatikai és egyéb biztonságos adatkezelést elősegítő valamennyi intézkedést megteszi, biztosítja.

-         a tőle elvárható módon mindent megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülés elleni védelem biztosítása, az ehhez szükséges technikai feltételek garantálása érdekében.

-         a neki megadott személyes adatokat nem ellenőrzi, azok helytállóságáért felelősségét kizárja.

-         a személyes adatokat harmadik személy részére csak kivételesen és abban az esetben továbbítja, valamint az általa kezelt adatbázist más adatkezelővel csak abban az esetben kapcsolja össze, ha az érintett ahhoz kifejezetten hozzájárul, vagy törvény azt megengedi illetve kötelezővé teszi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.

-         személyes adatot harmadik országban lévő adatkezelő vagy adatfeldolgozó részére nem továbbít, nem ad át.

-         az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat

 

1. 11.        A társaság adatkezeléssel érintett főbb    tevékenységei

 

Adatkezelő az alább felsorolt tevékenységek kapcsán végez személyes adatkezelést:

 

a)      Munkahelyi adatkezelés

b)      Szerződött partnerek személyes adatainak kezelése

c)      Alvállalkozók, beszállítók személyes adatainak kezelése

A fenti tevékenységek során történő adatkezelések részleteiről érintettek tájékoztatása külön dokumentumokban történik.

 

1. 12.        Adatfeldolgozás

A Társaság bizonyos tevékenységei során adatfeldolgozók szolgáltatásait veszi igénybe.

Az adatfeldolgozás általános feltételei

-         A társaság az adatfeldolgozási tevékenységre írásbeli szerződést köt.

-         Az általános szerződési feltétel tartalmát a másik féllel a szerződéskötést megelőzően meg kell ismertetni, és azt a másik félnek el kell fogadnia.

Adatkezelő külső adatfeldolgozót alkalmaz:

-         informatikai feladatok elvégzésére

-         tárhely szolgáltatásra

-         email szolgáltatásra

-         könyvelési és bérszámfejtési folyamatok elvégzésére

Az adatfeldolgozó számára az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az Adatkezelő felel.  Az adatfeldolgozó tevékenységi körén belül, valamint az Adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.

Az Adatfeldolgozókról a társaság nyilvántartást vezet. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Adatfeldolgozók nyilvántartása:

Adatfeldolgozó	Milyen személyes adatokhoz fér hozzá? Milyen módon használhatja fel az adott személyes adatot (milyen tevékenységet végez az Adatkezelő részére)?	Mennyi ideig tárolhatja az adatokat?
RLB-60 Bt. 3000 Hatvan, Balassi Bálint út 40.	A számlázó szoftver tulajdonosa. A számlákon szereplő személyes adatokhoz fér hozzá	szerződés megszűnéséig, törvényi bizonylatőrzési kötelezettség fennállásáig
Total Studio Kft. 1043 Budapest, Kassai utca 11. 4. em. 24.	Tárhely és levelezőrendszer szolgáltatás. A Társaság weboldala és levelezőrendszere a Total Studio Kft. szerverein keresztül üzemel. Az üzemeltető a digitális adatfolyam titkosításáról gondoskodik, az adatokon semmiféle feldolgozást nem vágez, pusztán biztosítja azok elérhetőségét	Határozatlan idejű szolgáltatási szerződés – a szerződés megszűnéséig.
Cég Center Control Kft.  . 1081 Budapest, Kun utca 4. fszt. 7	Könyvelési és bérszámfejtési folyamatok elvégzésére szerződött partner. Hozzáfér az összes számlán szereplő személyes adathoz, valamint a munkatársak munkaviszony létesítésével, és fenntartásával kapcsolatosan megadott személyes adatait kezeli bérszámfejtés céljából	Határozatlan idejű szolgáltatási szerződés – a szerződés megszűnéséig.
Serco Kft, 1037 Budapest, Bécsi út 314.	A társaság számítástechnikai rendszerének karbantartója, hibaelhárítás esetén hozzáférhet a számítógépen tárolt adatokhoz	Határozatlan idejű szolgáltatási szerződés – a szerződés megszűnéséig.

 

1. 13.        Adattovábbítás

 

Az Adamdesign Cart Kft. nem adja tovább, illetve nem teszi hozzáférhetővé az általa kezelt, őrzött személyes adatokat, kivéve:

a)      amennyiben az adattovábbítást jogszabály írja elő (pl. statisztikai adatgyűjtés; munkáltatót terhelő adatszolgáltatási kötelezettség) és az adattovábbítás címzettjeként bíróság, hatóság vagy egyéb állami szerv a Társaság felé hivatalos megkeresését eljuttatja. Ilyen esetben a társaság a meghatározott terjedelemben, a megkeresés teljesítéséhez szükséges mértékben biztosítja az általa tárolt személyes adatok továbbítását.

b)      amennyiben az adattovábbításhoz az érintett kifejezett hozzájárulását adta, és ha az adatkezelés feltételei és garanciái minden egyes továbbítandó személyes adatra nézve teljesülnek. Ebben az esetben köteles tájékoztatni az érintettet:

1. az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
2. arról, hogy az adattovábbítással kapcsolatos tájékoztatás ismeréséhez és az adattovábbításhoz hozzájárul;
3. az adattovábbítás pontos céljáról, konkrét terjedelméről;
4. a személyes adat jogosultját megillető jogokról;
5. a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.

 

1. 14.        Adatkezeléssel kapcsolatos belső szabályok

 

14.1.           Adatvédelmi incidensek kezelése

A vállalat működése során bekövetkező adatvédelmi incidens kezelésére az alábbi eljárásrendet kell alkalmazni.

 

14.1.1.              Információbiztonsági incidensek

 

Az információbiztonsági incidensek olyan nem kívánt vagy nem várt egyedi vagy sorozatos információbiztonsági események, amelyek nagy valószínűséggel veszélyeztetik az üzleti tevékenységet és fenyegetik az információbiztonságot.

Információbiztonsági incidensek jellemző előfordulásai:

•     A szolgáltatás, a berendezés vagy az eszközök elvesztése;

•     A rendszer hibás működése vagy túlterhelések (DDos-támadás);

•     Emberi hibák;

•     Szabályzatoknak vagy irányelveknek való nem-, vagy hiányos megfelelés;

•     A fizikai biztonsági rendelkezések megsértése;

•     A rendszert érintő előre nem ellenőrzött változások;

•     A szoftver vagy hardver hibás működése;

•     Hozzáférési sértések.

•     Rosszindulatú kód;

•     Nem teljes vagy nem pontatlan működési adatokból eredő hibák;

•     A bizalmasság és sértetlenség megsértése;

•     Az információrendszerekkel való visszaélés

 

14.1.2.              Személyes adatokat érintő incidensek

 

Adatvédelmi incidensnek minősül a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, az azokhoz való jogosulatlan hozzáférést vagy a jogosultak számára a hozzáférhetetlenné férést eredményezi.

Személyes adatok kezelésében érintett adatvédelmi incidensnek általános példái:

- Személyes adatok akár papíralapú dokumentumon, akár bármilyen elektronikus hordozható eszközön, adathordozón vagy egyéb informatikai rendszeren, például email forgalomban, felhő alapú tárterületen vagy egyéb azonnali üzenetküldő alkalmazással (Facebook, Instagram, Viber, Twitter, WhatsApp stb.) történő nem az adatkezelés céljával és érintettjeivel összeegyeztethető továbbítása.

- Illetéktelen hozzáférések személyes adatokat kezelő informatikai rendszerhez vagy alkalmazáshoz. Általános esete például jelenlegi vagy volt alkalmazott vétlen vagy tudatos közreműködése által, vagy biztonsági rések kihasználásával történő illetéktelen hozzáférés, törlés, megváltoztatás, illetve eltulajdonítás-másolás.

- Személyes adatokat tartalmazó adatbázis részének vagy egészének sérülése vagy elvesztése. Általános példa az adathordozók elvesztése, vagy olyan eszközök meghibásodása, vagy vírusfertőzése, melyen személyes adatok kezelése folyik rendszeres biztonsági mentés nélkül.

- Az informatikai rendszer részének vagy egészének hozzáférési rendjének előre nem várt változása, mely következményeként a rendelkezésreállás sérül. Ennek kiváltó okai legtöbbször az eszközök meghibásodása, valamint vírus vagy egyéb rosszindulatú szoftvertámadás.

Minden ilyen behatás esetén, melyben előre nem tervezett módon módosul a személyes adatok bizalmassága, sértetlensége vagy rendelkezésre állása köteles a társaság az esetet kivizsgálni, az incidensnyilvántartásban rögzíteni és a bejelentés szükségességéről dokumentált értékelést és döntést hozni a jelen szabályzat megkötéseinek értelmében.

 

14.1.3.              Felelősségi körök

 

Az adatvédelmet sértő események megelőzése és kezelése vállalat vezetőjének felelőssége és feladata.

Minden szervezeti egység vezetője felelős a feladatkörébe tartozó szakterületen észlelt adatvédelmet sértő esemény ismételt előfordulásának megelőzéséhez szükséges intézkedések megtételéért, a bekövetkezett esemény feltárásáért, szükség esetén annak dokumentálásáért, továbbá indokolt esetben a felelősségre vonással és a hiányosságok megszüntetésével kapcsolatos intézkedések kezdeményezéséért és megvalósításuk ellenőrzéséért

 

Az értékelésnek ki kell térni különösen az alábbiakra:

 

a)            az incidens bekövetkezésének időpontja és helye,

b)           az incidens leírása, körülménye, hatásai,

c)            az incidens során kompromittálódott adatok köre, számossága,

d)           a kompromittálódott adatokkal érintett személyek köre,

e)            az incidens elhárítása érdekében tett intézkedések leírása,

f)            a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírása.

 

Az adatvédelmi incidensekről nyilvántartást kell vezetni, melynek tartalmaznia kell az alábbiakat:

 

a)            az érintett személyes adatok körét,

b)           az adatvédelmi incidenssel érintettek körét és számát,

c)            az adatvédelmi incidens időpontját,

d)           az adatvédelmi incidens körülményeit, hatásait,

e)            az adatvédelmi incidens orvoslására megtett intézkedéseket,

f)            az adatkezelést előíró jogszabályban meghatározott egyéb adatokat

 

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

 

14.1.4.              Eljárásrend adatvédelmi incidens esetén

 

1)     Adatvédelmi incidens észlelésekor az azt észlelő személy köteles haladéktalanul részletes tájékoztatásban részesíteni közvetlen felettesét, aki erről késedelem nélkül köteles tájékoztatni az adatvédelemi döntéshozatalért felelős vezetőt. Amennyiben nincs erre kijelölt személy, vagy adatvédelmi tisztviselő, úgy a felelős cégvezetőt kell tájékoztatni az incidens bekövetkeztéről.

2)     Az adatvédelemért felelős vezetőnek amennyiben az incidens jellege és körülményei indokolják (a szabályzat folytatásában lefektetett elvek szerint történő értékelését követően) eleget kell tennie jelentéstételi kötelezettségeinek úgy a hatóság, mint az incidensben érintett természetes személyek irányába egyaránt.

3)     Amennyiben a kezelt adatok relációjában a Társaság adatfeldolgozónak minősül, úgy az észlelést követően a lehető leghamarabb, indokolatlan késedelem nélkül köteles - dokumentált formában - értesíteni annak bekövetkeztéről a felelős adatkezelőt, vagy az adatfeldolgozói láncolatban felette álló adatfeldolgozót.

4)     Amennyiben, mint adatfeldolgozó észleli az incidenst azt köteles jelenteni az adatkezelő irányába és ezt követően pedig köteles a törvényes keretek adta minden rendelkezésére álló lehetőséggel élve támogatni az adatkezelőt annak kivizsgálásában és enyhítésében.

5)     Amennyiben a Társaság, mint adatkezelő szenvedi el az adatvédelmi incidenst, úgy amennyiben az incidens körülményei ezt indokolttá teszik az észlelést (bejelentést) követően a lehető leghamarább, indokolatlan késedelem nélkül, de legkésőbb 72 órán belül az incidenst jelenteni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH).

6)     Minden incidenst dokumentálni szükséges, attól függetlenül, hogy bejelentési kötelezettséggel bír e vagy sem. A dokumentációnak a következő adatokat szükséges tartalmaznia:

7)     Az adatvédelmi incidens jellegét, beleértve az érintettek kategóriáit és hozzávetőleges számát, a lehető legpontosabban, amit a rendelkezésre álló technológia és szaktudás birtokában elérhető a Társaság számára.

8)     Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kontaktszemély nevét, email címét és telefonszámát.

9)     Az adatvédelmi incidensből eredő, valószínűsíthető következményeket,

10)  Az incidens okozta lehetséges károk orvoslására tett vagy tenni kívánt lépéseket, mellyel célja az adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Az adatvédelemért felelős vezető, illetve amennyiben az incidens informatikai eszközzel kapcsolatba hozható, akkor az adatvédelemért felelős vezető és az informatikáért felelős munkatárs, vagy megbízott szolgáltató feladatai a továbbiak:

• A adatvédelmi incidens rögzítése, bejelentése, az incidenssel kapcsolatos további adatok, információk begyűjtése.
• Adatvédelmi incidens lehetséges hatásának és következményeinek felmérése a Társaság, illetve az érintettek jogai szempontjából.
• A megtámadott információs rendszer és/vagy hálózat leválasztásának lehetővé tétele ezzel megszakítva a támadás / fertőzés terjedését.
• Az üzleti szempontból kritikus szolgáltatások, rendszerek helyes működésének biztosítása.
• A kapcsolódó folyamatok / tevékenységek felelőseinek értesítése az incidensről.
• Az incidens hatását, és az incidenskezelés módját, lépéseit meghatározó szakértői team összehívása. Feladatuk az incidenssel kapcsolatos minden információ felderítése, bizonyítékok további gyűjtése, majd a szükséges technikai és szervezési intézkedések meghatározása és foganatosítása.
• A feltárt eredmények dokumentálása az Adatvédelmi incidensek nyilvántartásában.
• Az adatvédelmi incidens kiértékelésének eredményéről tájékoztatni kell a hatóságot.

 

14.1.5.              TÁJÉKOZTATÁSI KÖTELEZETTSÉGEK

 

Annak megállapítását követően, hogy adatvédelmi incidens történt, a Rendelet két fél tájékoztatását írja elő. Ezek a következők:

1.           Felügyeleti hatóság

2.           Érintettek

Az incidenst „a természetes személyek jogaira és szabadságaira” gyakorolt kockázat értékelésétől függően kell jelenteni, ezért annak bekövetkezte esetén mindig szükségszerű elvégezni az abban rejlő kockázatok értékelést.

Az Adatkezelő továbbá köteles dokumentált formában rögzíteni hogy az incidens rendelkezik e  az érintett Hatóság felé bejelentési kötelezettséggel, tekintetbe véve a szabályzat folytatásában rögzített bejelentéselbírálási eljárás kritikus kérdéseit.

 

FELÜGYELETI HATÓSÁG

A Rendelet alapján Adatkezelőnek a Nemzeti Adatvédelmi és Információszabadság Hatósággal szükséges felvennie a kapcsolatot személyes adatok kezelését érintő adatbiztonsági kérdésekben, melyet a következő elérhetőségein tehet meg:

Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság

Web: www.naih.hu

 

Incidensbejelentő rendszer         http://www.naih.hu/adatvedelmi-incidensbejelent--rendszer.html

 

AZ ÉRINTETT TÁJÉKOZTATÁSA AZ ADATVÉDELMI INCIDENSRŐL

Amennyiben a Társaság a kezelt személyes adatok vonatkozásában, mint Adatkezelő vesz részt, és a bekövetkezett adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, az adatkezelő indokolatlan késedelem nélkül, világos, közérthető, az érintettek számár értelmezhető megfogalmazásban (például külföldi érintettek esetében a magyar nyelvű tájékoztatás nem elégséges) tájékoztatni köteles az érintettet az adatvédelmi incidens őt érintő minden részletéről.

Ezen tájékoztatónak minimum a következő adatokat kell tartalmaznia:

• Az adatvédelmi incidens jellegét,
• Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb munkatárs nevét és elérhetőségeit,
• Az adatvédelmi incidensből eredően lehetséges következményeket,
• Az adatkezelő által az adatvédelmi incidens orvoslására tett vagy előirányzott intézkedéseket, beleértve adott esetben az incidensből eredő kárenyhítést célzó lépéseket.

DÖNTÉS ARRÓL, HOGY KELL-E ÉRTESÍTENI A FELÜGYELETI HATÓSÁGOT

A Rendelet kimondja, hogy az adatkezelési incidenst be kell jelenteni a felügyeleti hatóságnak, „kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve”.

Ennek alapján Adatkezelő köteles értékelni az adatvédelmi incidens által jelentett kockázat szintjét és mértékét, mielőtt dönt arról, hogy tesz-e bejelentést.

A kockázatértékelés körében többek között az alábbi szempontokat érdemes figyelembe venni:

• az incidens jellege;
• az incidenssel érintett személyes adatok természete, érzékenysége és mennyisége;
• egyéb, relevánsnak tekintett tényezők (ideértve különösen, de nem kizárólagosan az incidens hatásának értékelését).

A fenti kockázatértékelés elvégzésére, a bejelentéssel kapcsolatos döntés végrehajtása, a megfelelő dokumentáció elkészítése, és az érintettek felé kapcsolattartás és a részükről felmerülő további kérdések megválaszolása és ügyek intézésére Adatkezelő vezetője felelőst nevez ki.

A kockázatértékelés módját, az indokolást és a következtetéseket dokumentálni kell, és azt a felső vezetésnek kell az aláírásával ellátnia. A kockázatértékelés eredményének az alábbi következtetések egyikét kell tartalmaznia:

• Az adatvédelmi incidens nem igényel bejelentést
• Az adatvédelmi incidenst csak a felügyeleti hatóságnak kell bejelenteni
• Az adatvédelmi incidenst a felügyeleti hatóságnak és az érintetteknek egyaránt be kell jelenteni

 

A FELÜGYELETI HATÓSÁGI BEJELENTÉS MÓDJA

Amennyiben a döntés alapján bejelentést kell tenni a felügyeleti hatósághoz, a Rendelet megköveteli, hogy azt „indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott” kell megtenni. Ha jogszerű indok alapján a bejelentést nem teszik meg az előírt határidőn belül, az indokot fel kell tüntetni a bejelentésben.

A bejelentést az illetékes adatvédelmi hatóság felé megfelelően, és biztonságos módon kell megtenni.

DÖNTÉS MEGHOZATALA AZ ÉRINTETTEK TÁJÉKOZTATÁSI KÖTELEZETTSÉGÉRŐL

A Rendelet kimondja, hogy az adatkezelési incidensről tájékoztatni kell az érintettet, „ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”.

A Rendelet akkor nem követeli meg az érintettek tájékoztatását, ha az „aránytalan erőfeszítést tenne szükségessé”. Ilyen esetekben azonban az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.

 

AZ ÉRINTETTEK TÁJÉKOZTATÁSÁNAK MÓDJA

Miután döntés született arról, hogy az incidens indokolja az érintettek tájékoztatását, a Rendelet alapján a tájékoztatást indokolatlan késedelem nélkül kell megtenni.

 

AZ ÉRINTETTEKNEK ADOTT TÁJÉKOZTATÁSBAN „VILÁGOSAN ÉS KÖZÉRTHETŐEN ISMERTETNI KELL AZ ADATVÉDELMI INCIDENS JELLEGÉT” ÉS A KÖVETKEZŐKET:

a)           az incidens részleteiről további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségét;

b)           az adatvédelmi incidensből eredő, valószínűsíthető következmények leírását; és

c)            az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

14.2.           Igazolványok fénymásolása

 

Fő szabályként a társaság – betartva az adattakarékosság, és a célhoz kötött adatkezelés elvét-  nem másol igazolványokat, és nem tárol semmilyen személyes iratról fénymásolatot, mely alól kivételt képeznek az olyan tevékenységek, ahol a személyes iratok másolatát jogi kötelezettség teljesítése végett a hatóságoknak szükséges átadni.

Amennyiben bármilyen szolgáltatás nyújtásához az érintett személyazonosságának igazolása szükséges, abban az esetben az igazolvány felmutatásával a társaság meggyőződik az egyén kilétéről, és szükség esetén  azonosítóját rögzíti.

 

14.3.           Az adatkezeléssel érintett jogok biztosítása

 

Az adatkezeléssel érintetteket számos, a 15.pontban bővebben kifejtett jogok illetik meg, mely jogok biztosítását a társaság kiemelten fontosnak tartja, így minden érintetti joggyakorlással kapcsolatos megkeresést írásban rögzít, és igyekszik a kérésnek a lehető legrövidebb határidőn belül eleget tenni.

Továbbá az üzletvitellel kapcsolatot olyan technikai és szervezési intézkedéseket alkalmaz, melyek biztosítják a jogorvoslat lehetőségeit mint pl:

• Adatkezeléssel kapcsolatos megkeresések esetére jelen szabályzatban elérhetőséget tüntet fel.
• Informatikai rendszeréből -kérés esetén- az érintettre vonatkozó összes személyes adatot törölni, vagy zárolni tudja
• Adatvédelemmel kapcsolatos kérdések, kérések esetén a megfelelő hozzáértő személy tanácsát kikéri.
• Panasz esetén törekszik az érintettel való megegyezésre, vele teljes mértékben együttműködik.

 

14.4.           A társaság informatikai eszközeinek használata

 

A társaság jelen szabályzattal előírja, hogy az általa biztosított számítástechnikai vagy

elektronikus eszközt így különösen számítógépet, laptopot, tabletet a munkavállaló kizárólag

a munkavégzéshez használhatja, ezek magáncélú használatát a társaság nem engedélyezi,

ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelhet és

nem tárolhat.

 

Az elektronikai eszközök időszakos mentéséről gondoskodni kell, megelőzően az érintetteket

fel kell hívni, hogy esetleges személyes adataikat távolítsák el az adathordozókról.

 

A társaság által biztosított mobil adathordozókon kívül egyéb eszköz nem csatlakoztatható a társaság informatikai eszközeihez, jelszavas védelmi ellenőrzéssel biztosítani kell az idegen

eszközök használatának kizárását.

 

Az informatikai eszköz javítására a társaság rendszergazdája intézkedik, amennyiben ő nem

tudja megjavítani, úgy a javítás idején jelen kell lennie, hogy személyes adat jogosulatlanul ne kerülhessen ki az informatikai eszköz adathordozójáról. A harmadik személy által végzett

javítás idején akkor lehet az informatikus távol, ha adathordozót (winchestert) nem ad át, vagy

a harmadik személy igazolja, hogy az általa folytatott tevékenység a GDPR rendeletnek

megfelel, és titoktartási nyilatkozatot tesz.

 

Az informatikai eszköz selejtezését, értékesítését megelőzően gondoskodni kell az adathordozó fizikai megsemmisítéséről.

 

A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetlegesen informatikai eszközön lévő magáncélú adatait törölje. A jogviszony megszűnését követően a

társaság az informatikai eszközön tárolt személyes adatokat megsemmisíti.

 

A munkavállaló köteles 24 órán belül bejelenteni a társaság vezetője részére, ha informatikai eszközét elvesztette és közölni hogy az eszközön megközelítőleg hány, és milyen jellegű

személyes adat volt.

 

A távmukavégzés a társaság által rendelkezésre bocsátott informatikai eszköz felhasználásával engedélyezhető. A távmunkavégzés esetén a munkavállalót tájékoztatni kell a társaság általi ellenőrzés és az informatikai eszköz használata korlátozásának szabályairól.

 

Az informatikai eszközök védelméről a rendszergazda gondoskodik, amelynek során megfelelő

intézkedéseket tesz annak érdekében, hogy az eszköz elvesztése esetén a tárolt személyes

adatokhoz ne lehessen hozzáférni

 

14.5.           Elektronikus levelezőrendszerrel kapcsolatos szabályok

 

A munkavállaló az elektronikus levelezőrendszert magán célra nem használhatja, a fiókban személyes leveleket nem kezelhet.

 

A társaság elektronikus levelezőrendszerének informatikai védelméről a rendszergazda gondoskodik.

 

Az elektronikus levelezőrendszer használata során az érintett munkavállaló köteles megfelelő körültekintéssel eljárni, mind a címzettek megadása, titkos másolatok alkalmazása, mind a dokumentumok csatolása során. Ügyelni kell arra, hogy a címzettek és másolatot kapó személyhez kapcsolódó elektronikus levelezési cím is személyes adat.

 

Az elektronikus levelezés során törekedni kell a személyes adatok titkosítására.

 

A dokumentumok tervezeteit személyes adatok feltüntetése nélkül kell egyeztetésre küldeni.

 

A munkahelyi levelezőrendszer használata kizárólag munkahelyi eszközökön engedélyezett.

 

A munkáltató jogosult az e-mail fiók tartalmát és használatát rendszeresen ellenőrizni. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek teljesítésének ellenőrzése.

 

Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.

 

Lehetőség szerint biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során, távollétében két személy jelenlétében jegyzőkönyvet kell felvenni a tapasztaltakról

 

Az ellenőrzés megkezdése előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről, ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az ellenőrzés eredményével kapcsolatban.

 

Az ellenőrzés során a fokozatosság elvét kell érvényesíteni, így elsődlegesen levél címéből és tárgyából kell következtetést levonni arra vonatkozóan, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. A nem személyes célú e-mailek tartalmát a társaság korlátozás nélkül vizsgálhatja.

 

Amennyiben megállapítható, hogy a munkavállaló az elektronikus levelezőrendszert személyes célra használta, fel kell szólítani, hogy a személyes adatokat haladéktalanul törölje.

 

A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli.

 

Az elektronikus levelező rendszer jelen szabályzatba ütköző használata miatt a társaság a munkavállalóval szemben, az Mt. 56. § alapján, a munkaszerződésben rögzített jogkövetkezményeket alkalmazhat.

 

A munkavállaló az elektronikus levelezőrendszer ellenőrzésével együtt járó adatkezeléssel kapcsolatban jelen szabályzatnak az érintett jogairól szóló részében írt jogokat gyakorolhatják.

 

A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetleges magáncélú leveleit törölje. A jogviszony megszűnését követően a társaság az elektronikus levelezőrendszerben tárolt személyes adatokat megsemmisíti.

 

Az a munkavállaló, aki a levelezőrendszer működésében rendellenességet észlel, vagy olyan személyes adat válik számára hozzáférhetővé, amelynek megismerésére nem jogosult, köteles azonnal jelezni a rendszergazda, és a társaság vezetője felé.

 

14.6.           Adatbiztonsági intézkedések szervezeten belül

 

Az Adatkezelő az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás,

nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.

 

Az Adatkezelő az adatkezeléshez szükséges informatikai támogatórendszer üzemeltetőivel együtt olyan technikai, szervezési és  szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

 

A papíralapú adatkezelés során az adatkezelő a személyes adatokat tartalmazó dokumentumokat a jogosulatlan hozzáférés és visszaélés ellen az adatokat elzárt, illetéktelenek által nem hozzáférhető helyen tárolja.

 

Az érintett a hozzájárulását az Adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell  minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, esetleges adatfeldolgozók igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

 

A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik.

 

Adatok tárolása, selejtezése, felhasználásának, feldolgozásának, továbbításának fizikai, üzemeltetési és technikai biztonsági módozata, a jogszabályoknak megfelelően történik, pontos dokumentálással lekövetve. A fenti tevékenységek naplózása, nyilvántartása a vállalkozás által üzemeltetett informatikai rendszerből nyomon követhető. Az adatok törlése, helyesbítése, zárolásának formája, az ezzel kapcsolatos nyilvántartások a társaság által használt programok naplózásában rögzítésre kerül.

 

A magánszemély részére biztosítandó tiltakozási jog biztosításáról való tájékoztatás, ennek megtagadása (jogszabályhelyi hivatkozás alapján), az érintettek azonosításának módjáról való rendelkezést jelen szabályzat tartalmazza.

 

Adatvédelmi incidens esetén követendő protokoll eljárásban a társaság adatvédelmi tisztviselőjének tájékoztatását követően a rendszer üzemeltetőjével haladéktalanul fel kell venni a kapcsolatot a további adatvesztés elkerülése érdekében. Az adatvédelmi incidens bekövetkeztét követően elsődleges feladat az érintettek tájékoztatása, az adatvédelmi tisztviselő bevonásával, a megtett intézkedésekről való pontos dokumentáció ismertetése, amennyiben lehetséges, az adatmentés megszervezése a szakértők bevonásával.

 

1. 15.        Jogorvoslati lehetőségek

 

• Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve –a jogszabályban elrendelt adatkezelések kivételével –törlését vagy zárolását
• Az érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, adatfeldolgozó adatairól, ha adatfeldolgozót vett igénybe, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá -az érintett személyes adatainak továbbítása esetén -az adattovábbítás jogalapjáról, céljáról és címzettjéről.
• Az Adatkezelő a valóságnak nem megfelelő személyes adatot helyesbíti, illetve törli az adatot, amennyiben: 
  • kezelése jogellenes;
  • az érintett kéri;
  • az hiányos vagy téves -és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki.
  • az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározotthatárideje lejárt;
  • azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

 

• Az Adatkezelő a helyesbítésről és a törlésről értesíti az érintettet, továbbá mindazokat, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
• Az érintett tiltakozhat személyes adatának kezelése ellen, ha
  • a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
  • a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény kutatás vagy tudományos kutatás céljára történik;
  • a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
  • Az Adatkezelő –az adatkezelés egyidejű felfüggesztésével –a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 munkanap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a kérelmező tiltakozása megalapozott, az Adatkezelő az adatkezelést –beleértve a további adatfelvételt és adattovábbítást is –megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
  • Az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő.
  • Törlés helyett az Adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
  • Amennyiben az érintett az Adatkezelő döntésével nem ért egyet, vagy az Adatkezelő az előbbiekben hivatkozott határidőt elmulasztja, jogosult –annak közlésétől számított 30 napon belül –bírósághoz fordulni.
  • Bírósági jogérvényesítés: Az érintett a jogainak megsértése esetén bírósághoz fordulhat. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani.
  • Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen.

Információs önrendelkezési jogának megsértése esetén bejelentéssel, panasszal élhet:

Nemzeti Adatvédelmi és Információszabadság Hatóság

Cím: 1055 Budapest, Falk Miksa utca 9-11.

Telefon: +36 (1) 3911-400

Fax: +36 (1) 391-1410

http://www.naih.hu

e-mail: ugyfelszolgalat@naih.hu

 

1. 16.        Egyéb rendelkezések

 

-         A szabályzat megállapítására és módosítására a vállalkozás ügyvezetője jogosult.

-         A vállalkozás vállalja, hogy az általa megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállal.

 

Jelen szabályzat 2021. január 1 napjától lép hatályba.

 

Kelt: Budapest, 2021. január 1

 

____________________________

Adamdesign Cart Kft