❮ ❯

Adatvédelmi szabályzat

Bevezető

Jelen adatvédelmi szabályzatot a LCS SERVICE Munkaerő Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban: vállalkozás) adta ki. Jelen szabályzat - amennyiben az ügymenetben és az adatkezelés módszertanában változás nem történik - 2019.05.25. napján (és minden évben) külön ok nélkül felülvizsgálatra kerül.

Vállalkozás adatai:

Név: LCS SERVICE Kft.
Képviselő: Gruber Attila ügyvezető
Székhely: 8097 Nadap, Templom köz 4. fszt. 3.
Cégjegyzékszám: 07-09-026201
Adószám: 22956985-2-07

A jelen szabályzatot kötelező felülvizsgálni olyan esetekben, amikor új kockázatértékelésre okot adó esemény, avagy az adatkezelés módjában és metodikájában egyéb lényeges változás történik. Az új kockázatértékelés elkészítésére olyan okból, avagy eseményből kerül sor, amikor valószínűsíthető, hogy az adatok kezelése az érintettekre kockázatot jelenthet (különösképpen: új adatkezelési technológia bevezetése, - alkalmazása, a korábbitól eltérő módon történő adatgyűjtés vagy adattovábbítás stb.)

A szabályzat alapja

A vállalkozásnak a rendes ügymenetében, a szokásos üzleti tevékenysége során elengedhetetlenül szüksége van személyes adatok gyűjtésére és kezelésére. A begyűjtött adatok vonatkoznak Megbízókra, ügyfelekre, beszállítókra, munkavállalókra, és egyéb olyan személyekre, akikkel a vállalkozás működése során kapcsolatba kerül.

A szabályzat célja az, hogy biztosítsa a vállalkozás tevékenysége során a személyes adatok védelméhez fűződő jogok érvényesülését, és megakadályozza a cég által kezelt személyes adatok jogosulatlan felhasználását, és meghatározza az adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

Az adatvédelmi szabályzatban rögzítésre kerül a személyes adatok gyűjtésének, tárolásának, és kezelésének módja, valamint a vállalkozás adatvédelmi elvei. A jelen szabályzat az adatvédelmi törvénynek megfelelést szolgálja.

A szabályzat biztosítja, hogy a vállalkozás az adatvédelmi jogi követelményeknek megfelel, és megfelelő adatvédelmi gyakorlatot, és operatív tevékenységet fog folytatni. Ezáltal védi és figyelembe veszi a munkavállalók, egyéb alkalmazottak, beszállítók, vevők jogait, és jogos érdekeit.

Meghatározza az adatkezelési műveleteket: gyűjtés, őrzés, tárolás, törlés, továbbítás. Szabályozza az adatvédelmi incidensek megelőzését, és a felmerülésük során alkalmazandó eljárásokat.

A Vállalkozás fokozott kiemelt figyelmet fordít a biztonságos adatkezelés és adatok felhasználásával összefüggő humán feltételrendszer működésének törvényességére és szakszerűségére, ennek érdekében fokozatosan fejleszti technikai eszközeit, törekszik folyamatainak szervezettebbé, tökéletesebbé tételére. A személyi adatkezelésnek minősülő rendszerek alkalmazása nélkülözhetetlenné teszi a vonatkozó jogszabályokból - különösen az Alaptörvényből, „az információs önrendelkezési jogról és az információszabadságról” szóló 2011. évi CXII. Törvény továbbiakban: Infotv.) a „Polgári Törvénykönyvről” valamint az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (a továbbiakban: Adatvédelmi rendelet) rendelkezéseiből, illetve a Munka Törvénykövéről szóló 2012. évi I. Törvényből - fakadó kötelezettségek teljesítését, amelyek egyaránt biztosítják a Vállalkozás jogkövető magatartását, és az érintettek személyiségi jogainak érvényesülését.

Értelmező rendelkezések

Fogalmak

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„különleges adat”:

2.2.1. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

2.2.2. egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; (egészségügyi adat)

2.2.3. büntetőjogi felelősséggel kapcsolatos bármely adat

„adat”: bármilyen formában rögzített információ;

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„adatfeldolgozó”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;

„adatfeldolgozás”: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

„adatvédelmi felelős”: a Vállalkozás vezetése alá tartozó megbízott személy, aki felelős a vonatkozó jogszabályokban és jelen szabályzatban meghatározottak teljesítéséért;

„adatállomány”: az egy nyilvántartó rendszerben kezelt adatok összessége;

„adatbiztonság”: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket – és ezzel a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;

„jogosultság”: a Vállalkozás vezetésének külön döntése alapján az adatkezelésbe hozzáférési, műveleti jogosultsággal rendelkező személy;

„jogosítás”: az adatkezelő egyedileg differenciált döntése, amely a jogosított személyt az adatok bármely kezelési, vagy feldolgozási műveletére jogosítja;

„tiltakozás”: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

„adattörlés”: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

„adatmegsemmisítés”: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése;

„adattovábbítás”: az adat meghatározott harmadik személy számára hozzáférhetővé tétele;

„adatzárolás”: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele;

„adatkérő”; olyan személy, amely kéri az adatkezelőtől a személyes adatainak kiadását, saját részre másolását, megtekinthetőségét.

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

„fizikai védelem”: mechanikai és elektronikai biztonságtechnikai eszközök alkalmazása, amelyekkel azok a helyiségek védettek, ahol számítástechnikai erőforrásokat használnak, vagy az adatmegőrzés szempontjából fontosak.

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő Vállalkozásokat és egyesületeket is;

„Jogi képviselő”: a társasággal szerződéses jogviszonyban álló az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény hatálya alá tartozó ügyvéd / jogtanácsos, aki foglalkozásánál fogva külön titoktartásra köteles, egyebekben külön megállapodás alapján vállalta a jelen szabályzat alapján neki továbbított személyes adatok kezelésére vonatkozó kitételeket.

„Könyvelő”: a könyvviteli szolgáltatások nyilvántartásba vételéről szóló 93/2002 (V.5) Korm. rendelet hatálya hatálya tartozó könyvelő, vagy könyvelő iroda, aki foglalkozásánál fogva külön titoktartásra köteles, egyebekben külön megállapodás alapján vállalta a jelen szabályzat alapján neki továbbított személyes adatok kezelésére vonatkozó kitételeket.

„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;

„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

„hardver eszköz”: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;

„hírközlő eszköz”: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas.

„információs önrendelkezési jog”: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;

Az adatvédelem jogi háttere

Az adatvédelemre vonatkozó alapvető szabályokat az Európai Parlament és Tanács (EU) 2016/679 Rendelete (2016. április 27.) szabályozza, mely a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló (általános adatvédelmi rendelet, a jelen szabályzatban a továbbiakban: GDPR).

A vállalkozás a GDPR-t az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a jelen szabályzatban a továbbiakban: Infótörvény) mindenkor hatályos rendelkezéseivel összhangban, az abban foglalt szabályok betartásával értékeli és alkalmazza, azzal, hogy ahol az Infótörvény és a GDPR szabályai ellent mondanak egymással (jogszabályi összeütközés/kollízió) ott a GDPR rendelkezései az irányadóak.

A GDPR és az Infótörvény a személyes adatokra vonatkozó valamennyi adatgyűjtési és adatkezelési műveletre alkalmazandó, tekintet nélkül az adatgyűjtés és az adatkezelés formájára (elektronikus, avagy papír alapú).

A vállalkozás kötelezettséget vállal arra, hogy a további magyarországi szabályozókkal és jogszabályokkal összhangban, azoknak megfelelve, az ágazati szabályok figyelembe vételével folytatja az adatkezelési és adatgyűjtési tevékenységét.

Alapelvek

A vállalkozás által alkalmazott GDPR az alábbi fontos alapelveket alkalmazza:

A vállalkozás a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintettek számára átlátható módon végzi. A személyes adatok kezelésének célja a vonatkozó jogszabályok alapján a Vállalkozás és az érintettek – a dolgozók és az ügyfelek – között létrejött szerződé(ek) teljesítéséhez szükséges adatok biztosítása, továbbá létfontosságú biztonsági-, vagyonvédelmi érdekeinek védelme – érvényre juttatása.

A vállalkozás az információs önrendelkezési jog tiszteletben tartása érdekében személyes adatot csak az alábbi esetekben kezelhet:

• az érintett előzetes, önkéntes és kifejezett hozzájárulása
• szerződés teljesítése a teljesítéshez szükséges mértékben
• az érintett vagy a vállalkozás jogos érdekeinek érvényesítése
• a vállalkozás cég/adó/Tb jogi kötelezettségének teljesítése
• az érintett vagy más természetes személy létfontosságú érdeke

A Vállalkozás kijelenti, hogy adatkezelései törvényben védett érdekek biztosítására szolgálnak, és biztosítja, hogy az adatkezelési célok eléréséhez elengedhetetlenül szükséges és arányos mértékű az érintettek információs önrendelkezési jogának korlátozása.

A vállalkozás kijelenti, hogy személyes adatok kezelését kizárólag a fentiek alapján kezel, azonban emellett valamennyi adatkezelést az érintettek (külön írásban foglalt) hozzájárulásával is végzi. Az érintettel az adat felvételét megelőzően minden esetben közölni kell, hogy az adatszolgáltatás önkéntes mindazok számára, akik a Vállalkozással jogviszonyra kívánnak lépni. Az érintett ehhez a szerződés aláírásával ennek elmaradása esetén külön nyilatkozatban az adatkezeléshez hozzájárulását adja.

• A munkavállalók / megbízottak a Vállalkozásnál személyes adataik kezeléséhez külön nyilatkozatban hozzájárulásukat adják a megadott adatok kezeléséhez azzal, hogy egyben tudomásul veszik azzal, hogy a munkáltatói feladatok ellátása szükségszerűen együtt jár a munkavállalók személyes adatainak kezelésével. Ezen adatkezelés jogszerűségéhez egyebekben nem szükséges a munkavállalók hozzájárulása, azonban a Vállalkozás e körben is tiszteletben tartja a garanciális szabályokat, így a munkavállalók is önkéntes, kifejezett hozzájárulásán nyugszik az adatkelezés.
• A Vállalkozás biztosítja az érintettek adatkezeléssel összefüggő törvényes – tájékoztatás, helyesbítés - jogainak érvényesülését. Csak annyi adat kerül gyűjtésre, kezelésre, amennyi feltétlen szükséges a célok eléréshez. Kerülendő minden felesleges, és irreleváns adat gyűjtése, és tárolása. A vállalkozás munkavállalói és külső megbízottjai (továbbiakban: alkalmazottak) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
• A Vállalkozás biztosítja, hogy az információs önrendelkezési jog kizárólag fenti célok megvalósításához elengedhetetlenül szükséges mértékű, a cél elérésével arányos korlátozásával jár.
• A Vállalkozás garantálja, hogy a személyes adatok felvétele, kezelése tisztességes és törvényes, az adatok pontosak, teljesek, időszerűek, az adattárolás módja biztosítja, hogy az érintettet csak a tárolás céljához szükséges ideig lehet azonosítani.
• A bármely személyes adatot csak az a személy jogosult megismerni, akinek ez a jogszabály vagy szerződésből fakadó kötelezettségei érvényesítéséhez feltétlenül szükséges,
• Rögzíteni kell jegyzőkönyvben a személyes adatot kezelő, vagy egyéb okból annak megismerésére, betekintésre jogosult személy nevét, és az adatok megismerésének okát és idejét.
• A Vállalkozás gondoskodik az adatok biztonságáról, megteszi azokat az intézkedéseket és kialakítani azokat a szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
• A Vállalkozás védi az adatokat jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen, külön védelmi intézkedéseket tesz a személyes adatok hálózaton vagy egyéb informatikai eszköz útján történő továbbítása esetén.
• A vállalkozás, adatot kizárólag az érintett beleegyezésével illetve jogszabályi kötelezettsége teljesítése érdekében továbbít. Személyes adatokat harmadik országba vagy nemzetközi szervezet részére nem továbbít, kizárólag a jelen szabályzatban meghatározott megbízottak vagy alkalmazottak részére. Amennyiben a későbbiekben, mégis ilyen helyzet állna elő, akkor igazolhatóan biztosítja az adatok biztonságának kellő mértékét és módját.
• Az adatkezeléshez és adatok továbbításához az érintett hozzájárulását a Vállalkozás külön nyilatkozatban beszerzi. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
• A vállalkozásnál az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi
• A 16. életévét be nem töltött fiatalkorú esetén, az érintett személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a fiatalkorú feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
• A vállalkozás nem kezel faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokat, illetve az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatokat.
• A vállalkozás nem kezel büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatokat.
• Nem tekinthető jogszabályellenesnek, és az adatkezelő jogos érdekének tekintendő, ha jelzi a lehetséges bűncselekményeket vagy a közbiztonságot fenyegető veszélyeket, és az ugyanazon bűncselekményhez vagy közbiztonságot fenyegető veszélyhez kapcsolódó releváns személyes adatokat egyedi esetekben vagy több különálló esetben továbbítja az illetékes hatóságnak.
• A vállalkozásnál nem történik a személyes adatok alapján profilalkotás.
• Ha az vállalkozás a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.
• A vállalkozásnál az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolni a tiltakozáshoz való jogát. Az adatkezelő / vállalkozás ennek megfelelően biztosítja a kérelmek elektronikus benyújtásának lehetőségét is (e-mail). Az adatkezelőt az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszol indoklással ellátva. Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését és megilleti őt az „elfeledtetéshez való jog”, ha a szóban forgó adatok megőrzése jogszabályt sért vagy az olyan uniós vagy tagállami jogot, amelynek hatálya az adatkezelőre kiterjed. Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtése vagy más módon való kezelése az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes adataik kezelése egyéb szempontból nem felel meg e rendeletnek.
• A személyes adatok kezelése a vállalkozásnál nem automatizáltan történik.
• Adatvédelmi tisztviselő alkalmazási (kijelölési) kötelezettség kiterjed minden közhatalmi szervre vagy egyéb, közfeladatot ellátó szervre (függetlenül attól, hogy milyen adatokat dolgoz fel), valamint egyéb olyan szervezetekre, amelyek fő tevékenysége az egyének szisztematikus, nagymértékű megfigyelése, vagy amelyek a személyes adatok különleges kategóriáit nagy számban kezelik. A Vállalkozás adatvédelmi tisztviselőt nem alkalmaz, az azzal járó feladatokat ügyvezető tölti be.
• A vállalkozás munkavállalói és külső megbízottjai (továbbiakban: alkalmazottak) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
• Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. A cég által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A szabályzat személyi, és tárgyi hatálya

Szabályzatunk kiterjed a vállalkozás valamennyi dolgozójára, ide értve, a gyakornoki, vagy alkalmi munkavállalási jogviszonyban lévő dolgozókat is, illetve bármely a vállalkozás által meghatalmazott / megbízott személyre, amely/aki a cég nevében jár el, és a személyes adatokba betekintést nyer(het).

A szabályzatunk az alábbi adatok körére terjed ki:

• Valamennyi érintettel összefüggésbe hozható személyes adat, különösen:

• név (születési név)
• postai, elektronikus cím
• telefonszám, e-mail cím
• személyes okiratok, azonosítók
• munkahely
• jövedelmi, pénzügyi helyzet
• képi- vagy hanganyag
• valamennyi egyéb az érintettel összefüggésben célhoz kötötten kezelt adat

Jelen szabályzat különösen az alábbi kockázatokkal szembeni védelmet hivatott elősegíteni:

• Adatok jogosulatlan személy, vagy személyek általi megszerzése
• Érintettek adatokkal való rendelkezési jogának megsértése
• Adatbiztonsági rendszer megsértésével/kijátszásával történő megszerzése

A vállalkozás valamennyi vezetőjének, dolgozójának, és együttműködő partnerének kötelessége annak biztosítása, hogy az adatok gyűjtése, kezelése, és tárolása jogszerűen történjen. Az egyes részfeladatok, és felelősségi körök az alábbiak szerint kerülnek meghatározásra:

• A teljes jogszabályi, és jogi megfelelés biztosítása az ügyvezető és az irodai alkalmazottak feladata
• A rendszer ellenőrzése, és auditálása a rendszergazda feladata

Az ügyvezető tájékoztatja a dolgozókat az adatvédelmi kötelezettségről, kockázatokról, és feladatokról, részt vesz az adatkezeléssel összefüggő döntések előkészítésében és meghozatalában, gondoskodik az érintettek jogainak biztosításáról;

Az ügyvezető az irodai alkalmazottakkal együtt tesz javaslatokat a folyamatok és szabályzatok kialakítására, a folyamatok és szabályzatok rendszeres vizsgálatára.

Az ügyvezető biztosítja az irodai alkalmazottak számára az adatvédelmi képzést, oktatást, valamint kérésre az adatvédelemmel összefüggő tanácsok nyújtását a megfelelő adatkezelés eléréshez.

Az érintettek megkeresésére az irodai alkalmazottak tájékoztatást nyújtanak arról, hogy a vállalkozás milyen adatait tárolja és kezeli.

Az ügyvezető meghatározza, hogy incidens esetén milyen adatvédelmi intézkedéseket kell megtenni. Ügyvezetői feladatkör a harmadik féllel kötött olyan megállapodások vizsgálata, amely adatkezelési- és továbbítási kérdéseket vet fel. A cég irodai alkalmazottai együtt működnek a partnerek, és beszállítók adatvédelmi tisztségviselőivel (ha van).

A cég ügyvezetője tartja a kapcsolatot az illetékes adatvédelmi hatósággal. Amennyiben az illetékes adatvédelmi hatóság előírja, a Hatóság által tartott továbbképzéseken, és konferenciákon való részvételt az adatvédelmi ismeretek naprakészen tartása érdekében, akkor az ügyvezető részt vesz rajta.

Az Ügyvezető ellenőrzi az adatkezelésre vonatkozó jogszabályok, és belső utasítások megtartását;

A SZEMÉLYES ADATOKAT TARTALMAZÓ ADATÁLLOMÁNYOK

1.1. munkaügyi nyilvántartás

A manuális nyilvántartás a dolgozók munkaviszonyra vonatkozó iratait, adatait tartalmazza, melyeket az erre kijelölt helyen kezelik. A munkaügyi nyilvántartásához kapcsolódik a balesetvédelmi oktatások jegyzőkönyvei, és (amennyiben szükséges) a munkahelyi balesetek nyilvántartása, amelyeket az erre kijelölt munkatárs kezel.

Az (elsősorban irat alapú) munkaügyi nyilvántartásban a Vállalkozás munkavállalók alábbi személyi adatait kezeli: Név, (nemtől függően szükség esetén születési név), anyja neve, lakcím, (szükség esetén tartózkodási helye) születési helye, ideje, személyi azonosító száma, lakcímkártya száma, adóazonosító jele, TAJ száma.

Amennyiben szükséges, a Vállalkozás a tevékenységi körébe tartozó feladatok ellátásához szükséges részfeladatok elvégzése érdekében nyilvántartja, a munkakör vagy részfeladat betöltéséhez jogszabály által előírtaknak megfelelő igazolásokat a munkavállaló speciális képesítéseiről. (jogosítvány, egyéb szükséges képesítések)

A fenti személyes adatokon kívül a vállalkozás további adatot az érintettekről nem gyűjt. Az adatok tárolása a szükséges időtartamra korlátozódik. A vállalkozás a személyes adatokat a munkaszerződések és okmány másolatok kivételével elektronikusan kizárólag irat és irodai adathordozón (belső merevlemez) tartja nyilván, azok felhő alapú háttértárba nem kerülnek feltöltésre. Az érintett a személyes adatait a munkaszerződés / megbízási szerződés keretében, illetve kifejezetten külön azon a nyilatkozaton adja meg, melyen egyben hozzájárul személyes adatainak kezeléséhez.

A vállalkozás a fenti személyes adatokat adathordozón összesítheti, a szükséges igazolások validálása után valamennyi adatot a továbbiakban statisztikai célból kezel.

1.2. A dolgozók egészségügyi nyilvántartása

A dolgozók személyi adatait és egészségügyi állapotára vonatkozó különleges adatait tartalmazó, orvosi titkot képező, kartonokból álló adatállomány az üzemorvosi rendelőben van elhelyezve.

Az egészségügyi adatok kezelését „Az egészségügyről” szóló CLIV. tv. (24-25.§) szabályozza, amelynek értelmében a dokumentációval a Társaság, az abban szereplő adatokkal pedig a dolgozó rendelkezik, akinek saját adatai tekintetében megismerési, tájékoztatási és betekintési joga van.

1.3. A Vállalkozás területén működő videó megfigyelő rendszer

A Vállalkozás a kamera rendszerről külön felhívás és szabályzat útján tájékoztatja az érintetteket.

Az Elektronikus megfigyelőrendszer alkalmazása elsődlegesen a dolgozók munkabiztonsága céljából (a veszélyforrást hordozó létesítmények, munkahelyiségek - nagy teljesítményű gépeket tartalmazó szerelőcsarnok, egyes gyártási folyamatok monitorozása) szükséges.

A videó megfigyelő rendszert a vonatkozó kezelési utasítás, műszaki leírás szerint kell kezelni, telepítési topográfiáját a jóváhagyott terv tartalmazza. A rendszer segítségével ellenőrizhető a munkabiztonsági és, esetenként vagyonbiztonsági- szabályok betartása, a védelmi rendszer működése. A rendszer működése során alkalmazott munkáltatói ellenőrzés illetőleg megfigyelés valamint az annak során alkalmazott eszközök, módszerek nem járhatnak és nem járnak az emberi méltóság megsértésével, így kamerák, olyan helyeken, amelyek az emberi méltóságot sérthetik nem kerülnek / kerültek elhelyezésre. Az elhelyezett kamerák látószöge a céljukkal összhangban álló területre, vagyis a munkavégzési helyre irányul. A kamerák elhelyezéséről a Társaság a Munkavállalókat külön írásban tájékoztatja és hozzájárulásukat beszerzi. Kamera munkavállalóra közvetlenül nem irányul, munkavállaló munkavégzését mozgásánál fogva nem követ.

A videorendszerrel rögíztett felvételek főszabályként 3 munkanapig tárolhatóak. A videorendszerhez kizárólag az ügyvezető férhet hozzá, a felvételek visszanézésére kizárólag ez a kör jogosult. Az Infotv. alapelvei a rögzített felvételek megtekintésekor is érvényesülnek, vagyis arra kizárólag az erre feljogosított rendelkezik jogosultsággal és kizárólag a jelen pontban meghatározott célból.

1.4. Amennyiben a vállalkozás partnere egyéni vállalkozó, vagy megbízás esetén természetes személy a megbízási vagy más szerződés teljesítése érdekében szükséges személyes adatokat kezeli, és tartja a nyílván jelen szabályzatban foglaltaknak megfelelően.

Vállalkozás struktúrája és adatkezelési jogosultságok

Ügyvezető:

Kezelt adatok köre: (teljes hozzáférés, valamennyi adat)

Elsődlegesen: tulajdonosi, céges, munkajogi, gazdasági, hatósági, saját adatok

exemplifikatív felsorolás mellett:

• Cég tulajdonos, vezetők, munkavállalók és személyes adataik, amennyit a törvényi előírások (cég/adó/tb jogszabályok stb.) miatt adminisztrálni volt szükséges
• A cég tulajdonosát érintő olyan jellegű információk, amely a cégtulajdonos, vezető tisztségviselő, cégvezető esetleges pénzügyi, gazdasági helyzetére utalhatnak (fizetés, üzletrész névértéke stb.)
• A hatósági vagy más nyilvántartásokban nyilvántartott és közzétett, bárki által megismerhető személyes adatok

Az ügyvezető hozzáfér a vállalkozás és alkalmazottak / egyéb jogviszonyban lévők összes adatához. Az ügyvezető rendelkezik az adatok létrehozásának, módosításának, törlésének, olvasásának, másolásának, engedélyezésének jogával (teljes hozzáférés)

Felelőssége:

A vállalkozás valamennyi adatkezelő és adatfeldolgozó tevékenységéért felelős

Partner kapcsolattartók:

Kezelt adatok köre:

• A üzleti partnerek által megadott személyes adatok kezelése (név, telefonszám, munkahely, (magánszemély esetén egyéb: lakcím, születési hely, születési idő)
• Egyéb a munka során előforduló személyes adatok

Felelőssége:

• A partnerektől, és egyéb helyekről beérkező adatok tárolása, és kizárólag a megrendelés teljesítéséhez, nyomon követéséhez, a teljesítés számlázásához szükséges adatok gyűjtése
• Az adatok védelme, és megfelelő kezelése, a szabályzat betartása

A fenti körben az adatok vonatkozásában: olvasási, módosítási, másolási, létrehozási, jog

Pénzügyi munkatárs:

Kezelt adatok köre:

• A partnerek, alvállalkozók, megbízottak által a számlázás során megadott személyes adatok kezelése
• A beérkező hatósági levelek adatainak a kezelése
• A vállalkozás gazdasági adatainak (különös tekintettel a pénzügyi helyzetekre vonatkozó adatokat) kezelése
• Egyéb a munka során előforduló személyes adatok

Felelőssége:

• A partnerek, beszállítók által megadott személyes adatok kezelése, tárolása, és kizárólag a pénzügyi teljesítéshez szükséges adatok gyűjtése.
• A tudomására jutott gazdasági pénzügyi adatok védelme, és tárolása, felhasználása csak a céget érintő ügyintézés során a szabályok betartásával
• A hatóságok által közölt személyes adatok védelme, és tárolása, felhasználása csak a céget érintő ügyintézés során a szabályok betartásával
• Egyéb adatok megfelelő kezelése a GDPR szabályzat irányelvei szerint

A fenti körben az adatok vonatkozásában: olvasási, módosítási, másolási, létrehozási jog

HR munkatárs:

Kezelt adatok köre:

• A munkavállalók által megadott személyes adatok
• A hatóságok által közölt személyes adatok
• Egyéb a munka során előforduló személyes adatok

Felelőssége:

• A munkavállalói által megadott személyes adatok kezelése, tárolása, és kizárólag a pénzügyi teljesítéshez szükséges adatok gyűjtése.
• A hatóságok által közölt személyes adatok védelme, és tárolása, felhasználása csak a céget érintő ügyintézés során a szabályok betartásával
• Egyéb adatok megfelelő kezelése a GDPR szabályzat irányelvei szerint

A fenti körben az adatok vonatkozásában: olvasási, módosítási, másolási, létrehozási jog.

IT/Rendszergazda:

Kezelt adatok köre:

• Mivel a kezelt adatok köre nagyon széles, (hiszen manapság az informatikai rendszeren érkeznek be az adatok többsége), ezért a rendszergazda minden elektronikusan beérkező adat kezeléséért felel, és megfelelő tárolásért, a biztonsági mentések biztosításával

Felelőssége:

• Valamennyi elektronikus rendszer, szolgáltatás, és eszköz biztonsági szempontoknak megfelelésének biztosítása a rendelkezésre álló vagy ésszerűen elérhető szoftver, és hardver megoldások segítségével.
• Rendszeres felülvizsgálat és ellenőrzés lefolytatása a szoftverek és hardverek megfelelő működésének biztosítása érdekében.
• A külső szolgáltatók által biztosított adattárolásra vagy feldolgozásra alkalmas eszköz vállalkozás alkalmazása előtti értékelése (szoftver, hardver, offline/online eszközök).

A fenti körben az adatok vonatkozásában: teljes jogosultság

A munkavállalók általános felelőssége

Valamennyi munkavállaló, aki a cégben munkája során személyes adatokhoz hozzáfér, a megszerzett adatokkal csak a munkakörének megfelelően járhat el, és csak annak elvégzése céljából kezelheti, rögzítheti, tarthatja nyílván.

A munkavégzés során megszerzett adatokat a munkavállaló erre vonatkozóan különös írásos engedély nélkül nem oszthatja meg az arra illetéktelen személyekkel, nem teheti közzé, önkényesen nem kezelheti.

A vállalkozás biztosítja, hogy a munkavállalók képzés/oktatás keretében megismerhessék pontos teendőiket és feladatukat, valamint felelősségüket az adatvédelem és az adatkezelés tekintetében. A munkavállalók kötelesek valamennyi a birtokukba jutott adatot biztonságosan kezelni, munkavégzésük során elővigyázatosnak lenni, és a jelen adatvédelmi szabályzatban meghatározott feladatokat végrehajtani.

A munkavállaló köteles a szoftveres hozzáférés esetén erős, titkos jelszavakat alkalmazni, a jelszót megosztani, másoknak felfedni szigorúan tilos. Kivételt jelent a cég rendszergazdája, és az ügyvezető.

Arra fel nem hatalmazott személlyel vagy személyekkel nem oszthat meg személyes adatokat sem a vállalkozáson belül, sem azon kívül.

A munkavállaló köteles rendszeresen felülvizsgálni és aktualizálni a rendelkezésre álló adatokat annak érdekében, hogy személyes adat szükségtelenül ki ne kerüljön sem tárolásra, sem egyéb kezelésre. A már szükségtelenné váló adatok törlése a munkavállaló felelőssége.

Amennyiben a munkavállaló bizonytalan a helyes adatkezelés, vagy az adatvédelmi szempontok tekintetében, úgy köteles tanácsért az ügyvezetőhöz fordulni.

Ha a munkavállaló tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A vállalkozás adatkezelését végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a munkavégzése során tudomására jutott személyes adatok jogszerű kezeléséért, a vállalkozás nyilvántartásaihoz rendelkezésre álló hozzáférési jogosultságok jogszerű gyakorlásáért.

Informatikai és fizikai védelem

1. Fizikai védelem:

1. Külső, zárható kapu a székhelyen, és a telephelyen
2. Zárható iroda
3. Zárható fiókok, szekrények
4. Biztonsági széf
5. Elkülönített tárgyaló helyiség

2. IT védelem:

1. Tűzfal
2. Vírusirtó
3. Jelszavas védelem a számítógépeken
4. Tűzfallal védett routerek
5. Egyéb hálózati védelem

Adatkezelési szabályok

Az adatkezelő vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt jogszabályban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

A jelen bekezdés célja annak meghatározása, hogy az adatokat hol, és milyen módon szükséges kezelni ahhoz, hogy biztonsága biztosítható legyen. Az adattárolásra vonatkozó további esetleges kérdésekkel a rendszergazdához, illetőleg az ügyvezetőhöz fordulhat a cég munkatársa vagy bárki akinek az adatkeléssel kapcsolatosan kérdése merülne fel.

A Vállalkozás vezetése a megbízott felelősökön keresztül gondoskodik arról, hogy:

• azonosítható legyen, hogy a számítástechnikai, valamint manuálisan vezetett adatállományokban mikor és ki, milyen műveletet végzett, megoldja az adatok felhasználásának nyomon követhetőségét;
• ellenőrizhető legyen, hogy az adatfeldolgozást a megbízó utasításainak megfelelően végezzék;
• az adatkezelést, illetve adatfeldolgozást végző szervezet elhelyezésére szolgáló helyiségeket és az adatkezelés belső rendjét úgy alakítsák ki, hogy azok az adatvédelmi rendelkezéseknek és az adatbiztonsági követelményeknek megfeleljen;
• megelőzze, megakadályozza, az illetéktelen fizikai hozzáférést személyi adatokhoz, az adathordozókhoz, a jogosulatlan adatbevitelt, az adatállományok illetéktelen megismerését, lemásolását, megváltoztatását, vagy az adathordozó eltávolítását;
• a jogosultak csak a hozzáférési jogosultságuknak megfelelő adatokhoz férjenek hozzá;
• a nyomtatott anyagokkal kapcsolatos valamennyi művelet az iratkezelési szabályzat hatálya alá essen (pl. iktatás, selejtezés).
• adatok álnevesítése / titkosítása
• fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
• az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
• a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

A szokásos informatikai biztonsági intézkedéseken túl folyamatosan figyelemmel kell kísérni az alábbiak gyakorlatát:

• az adathordozó eszközök elhelyezésére szolgáló helyiségek fizikai védelmét úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen;
• nyilvántartást kell vezetni az adathordozókról, telepítési helyükről és mozgásukról, azok tartalmáról és felhasználásáról, a használatukra jogosított személyekről;
• szabályozni és ellenőrizni kell a belépési jogosultságot azokba a helyiségekbe, ahol adatkezelés folyik, a jogosításnak összhangban kell lennie az adott személy feladataival, hozzáférési jogosultságával;
• zárt dobozban kell kezelni a védett helyiségek kulcsait, az erre vonatkozó szabályozás szerint;
• ellenőrizni kell az adathordozók tárolását, hozzáférését és felhasználását, különös figyelmet fordítva arra, hogy a kivitt eszközök maradványadatokat ne tartalmazzanak;
• a hozzáférés jelszavait az üzleti-gazdasági titokra vonatkozó szabályok szerint kell kezelni, időközönként, - üzemeltető személyének megváltozása esetén haladéktalanul, de legkésőbb 24 órán belül - meg kell változtatni, jelszót ismételten nem lehet kiadni;
• külső személy - pl. karbantartás, javítás, fejlesztés céljából - a számítástechnikai eszközökhöz úgy férjen hozzá, hogy az adatok csak a szükséges mértékben legyenek megismerhetők;
• rendszeresen biztonsági másolatot kell készíteni az adatállományokról, és azt az eredeti adatállománytól eltérő helyen, biztonságosan kell tárolni;
• ellenőrizni kell a számítástechnikai rendszer üzemeltetését, annak nyilvántartását - ideértve a rendszer üzeneteit is – esetleges illetéktelen hozzáférés vagy annak kísérlete megállapítása céljából;
• selejtezni kell minden adathordozót az alkalmazásból történő kivonáskor, illetve a selejtezés után felülírási eljárással törölni kell az adatokat, megsemmisítésüket eredményezve.

1. Papír alapú adatkezelés

A papír alapon kezelt adatokat olyan biztonságos helyen szükséges tárolni, ahol arra jogosulatlan személy azokat nem ismerheti meg.

Az olyan elektronikus úton érkezett, vagy kezelt adatokat, amelyeket valamilyen okból a cég munkavállalói kinyomtatnak az irattárolóban kell tárolni, és a többi adattól elkülönítve kell kezelni. A cég munkatársai kötelesek gondoskodni arról, hogy a kinyomtatott anyagokhoz jogosulatlan személy ne férjen hozzá. A kinyomtatott adatokat tartalmazó iratokat a nyomtatás okának megszűnése után az iratmegsemmisítővel haszontalanná kell tenni.

2. Elektronikus adatkezelés

Az elektronikusan tárolt adatokat védeni szükséges a jogosulatlan eléréstől, véletlen törléstől, és a kémprogramokkal/vírusokkal/illetéktelen rendszerfeltörésekkel, rendszertámadásokkal szemben.

Az adatokat erős jelszavakkal szükséges védeni, melyek cseréjét kötelező bizonyos időszakonként elvégezni, de legalább félévente. A jelszavak titkosak, és hozzáférhetetlenek, a munkavállalók/vezetők nem oszthatják meg egymás között, sem más személyekkel. Kivéve a rendszergazdát, hogy munkáját ne akadályozzák.

Amennyiben az adat hordozható adattárolón (CD/DVD, pendrive, külső winchester, egyéb külső adattároló) kerül rögzítésre, akkor az adattároló eszközöket a használatot követően biztonságos helyen, jogosulatlan személyek számára hozzáférhetetlenül szükséges tárolni.

Az adatokat csak az arra kijelölt szervereken, és hardver eszközökön szabad tárolni. Felhő alapú, vagy külső adattárolási szolgáltatás igénybevétele esetén adat csak a kijelölt, és meghatározott szolgáltatóval kötött szerződés alapján, és szerint tárolható. A rendszergazda az adattárolás megkezdése előtt meggyőződik arról, hogy a szolgáltatást végző partner megfelel az adatvédelem jogszabályi, és technikai követelményeinek.

Valamennyi adattárolásra szolgáló szervert és számítógépet szükséges tűzfallal és vírusirtóval védeni. A tárolt adatokat rendszeresen szükséges felülvizsgálni.

Az adattárolásra alkalmazott szoftvereket rendszeresen frissíteni szükséges. A frissítés megkezdése előtt a szoftverfrissítési metódust az adatvesztés elkerülése érdekében tesztelni szükséges.

Személyes adatokat tartalmazó mobil eszközöket tilos a cég üzemterületéről kivinni.

3. Postai küldeményekre vonatkozó speciális szabályok:

A postai küldemények átvételére, felbontására a vállalkozás ügyvezetője és az ügyvezető által meghatalmazott irodai munkatársak jogosultak.

Adatok felhasználása

A vállalkozás az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezeléseket végez. Az ügyvitelhez kapcsolódó adatkezelés a szerződés/megállapodás nyilvántartásához (iktatásához), feldolgozásához kapcsolódik.

Alapvető célja az adott szerződéshez/megállapodáshoz tartozó feladatok elvégzéséhez (szerződő teljesítése), az adatkezelés szereplőinek azonosításához és a szerződés lezárásához szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatokat kizárólag az adott szerződés irataiban, és az ügyviteli segédletekben szerepelnek; kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges.

A nyilvántartási célú adatkezelés adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva van az adatok különböző, meghatározott jellemzője alapján a visszakereshetőség, lekérdezhetőség. Az adatok jogszerű és célhoz kötött használata során az alábbi intézkedések megtétele kötelező annak érdekében, hogy:

• az adatkezelővel munkavégzésre irányuló jogviszonyban álló személyek adatait tartalmazza
• a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz a társadalombiztosítási igény érvényesítése céljából
• az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik
• a hatóságok által a munkavállalóval szembeni megkövetelés kielégítése céljából vezetett nyilvántartás
• a céggel szerződéses kapcsolatba került személyek személyes adataira, vagy azzal összefüggésben kezelt személyes adatokra vonatkozik (ügyviteli célú adatkezelés)
• személyes adatokból készült belső statisztikák, amelyben az érintettekkel való kapcsolat megállapítása lehetetlen.

A személyes adatok kezelésének célja a vállalkozás üzleti tevékenysége során történő felhasználása, és ennek megfelelően az alábbi adatok azonosíthatóak be:

• a személyes adatokkal dolgozó munkavállalók a munkaterület elhagyása során kötelesek a felhasznált eszközt képernyőzárral védeni, melyhez egyedi belépési azonosító, és jelszó szükséges.
• személyes adat csak olyan levelezőrendszeren keresztül küldhető tovább, melynek biztonsága, és zárt jellege garantált. Továbbá olyan címzett/ek számára, aki megfelelő és biztos módon beazonosítható olyan személyként, aki a fogadott személyes adatokat jogszerűen megismerheti
• a személyes adatokat tartalmazó fájlokat, üzeneteket csak védett számítógépeken szabad
• személyes adatokat az Európai Gazdasági Térségen túlra továbbítani tilos, amennyiben mégis szükségessé válik, csak olyan fogadó részére szabad továbbítani, amely igazoltan megfelel a GDPR-ban foglalt valamennyi adatvédelmi követelménynek
• a vállalkozás napi operatív tevékenysége során tilos a saját gépre személyes adatokat menteniük, valamennyi adatot kötelező a vállalkozás saját belső rendszerére menteni
• nem vihető ki személyes adatokat tartalmazó irat a vállalkozás székhelyéről vagy telephelyéről. Amennyiben ez mégis szükségessé válik, akkor a munkavállalók kötelesek ezt bejelenteni, és egyedi jóváhagyást kérni az Ügyvezetőtől.

Kezelt adatok pontossága

A vállalkozás. jogszabályi kötelezettsége az általa kezelt személyes adatok naprakész és pontos nyilvántartása. Kiemelt figyelmet fordít az esetlegesen (és szükségesen) nyilvántartott különleges adatok naprakészségére és pontosságára.

A fentiek okán a vállalkozás valamennyi munkavállalójának kiemelt feladata, hogy a tőle telhető legjobb módon az adatokat naprakészen és pontosan nyilvántartsa.

Az adatokat a lehető legkevesebb adattároló helyen szükséges tartani (célszámítógép+biztonsági másolatok/mentések), a vállalkozás munkavállalói feleslegesen és engedély nélkül semmilyen egyéb nyilvántartást, vagy személyes adatokat tartalmazó egyéb forrást nem készíthetnek.

A cégünk munkatársai kötelesek azon lenni, hogy a személyes adatok naprakészek legyenek, és kötelesek az adatokat az ügyfél- és egyéb kapcsolatok során folyamatosan egyeztetni.

A vállalkozás az érintettek számára folyamatosan biztosítja az adatpontosítás lehetőségét.

Amennyiben a kezelt adatok körében pontatlan adatok kerülnek elő, azt haladéktalanul pontosítani szükséges, így különösen, ha a vevő az általa megadott telefonszámon vagy levelezési címen már nem érhető el. Az elektronikus levelezés mindaddig elérhetőnek tekinthető, ameddig az ügyfél a cím megváltozását nem jelenti be, vagy onnan a kézbesítés sikertelenségére vonatkozó rendszerüzenet vissza nem érkezik. A telefonszám tekintetében ameddig az ügyfél az elérhetősége változását nem jelzi, vagy hívás esetén az elérhetőség változása be nem bizonyosodik. Az érintett jelzésének hiányában is pontatlannak bizonyult adatot valamennyi rendszerből és adattárolóról a pontatlanság megállapítását követően haladéktalanul szükséges.

A vállalkozás vevői kapcsolatokért felelős munkatársának a feladata a vevői levelezési és adatrendszerének naprakész tartása azzal, hogy annak teljes felülvizsgálatát legalább évente különösebb ok nélkül is kötelezően elvégzi.

Az érintettek jogai

Az érintettek, akiknek a vállalkozásunk személyes adatait kezeli jogosultak:

• tájékoztatást kérni arról, hogy milyen okból és mely adatait kezeli a vállalkozás
• tájékoztatást kérni azok címzettekről vagy címzettek kategóriájáról, akikkel, illetve, amelyekkel a személyes adatokat közölni fogják
• adott esetben a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam meghatározásának szempontjai
• kérheti az adatok helyesbítését, törlését, kezelésének korlátozását (amennyiben nem ellentétes ez hatósági, törvényi előírással),
• ha az adatokat a vállalkozás nem az érintettől gyűjtötte, a forrásukra vonatkozó valamennyi fellelhető információ ismerete
• Hatósághoz fordulás lehetőségéről
• tájékoztatást kérni, hogy hogyan érheti el a vállalkozás által kezelt adatokat
• tájékoztatást kérni arról, hogy a vállalkozás naprakészen tartja-e az adatait
• tájékoztatást kérni, hogy a vállalkozás hogyan teljesíti az adatvédelmi kötelezettségeit

Amennyiben valamely érintett a fenti tájékoztatások valamelyikét kéri, azt az érintett hozzáférési jogának hívjuk.

Az étintettnek a hozzáférési joga e-mailen érkezhet, a vállalkozás: lcs@lcsservice.hu levelezési címére vagy személyesen a 8097 Nadap, Templom köz 4. fszt. 3. székhelyen nyitvatartási időben (hétfőtől-péntekig 8-16 óráig, kivéve ünnepnapokon). A vállalkozás az ilyen igényeket rögzíti a nyilvántartásába, az elektronikus levélben történő bejelentés is érvényes bejelentésnek minősül.

A vállalkozás az érintett hozzáférési kérelmének 6 héten belüli megismételt teljesítéséért 10.000. Ft, azaz tízezer forint adminisztrációs díjat kérhet kérésenként. A vállalkozás az érintett kérelmét 14 (tizennégy) napon belül köteles teljesíteni.

Az érintettnek joga van továbbá:

• hozzájáruláson alapuló adatkezelés esetén a hozzájárulást visszavonni
• tiltakozni a személyes adatai kezelése ellen
• kérni az adatai más szerv/személy részére történő hiánytalan továbbítását (adathordozhatóság)

A vállalkozás minden esetben pontosan beazonosítja az adatkérő személyét a kért információ kiadását megelőzően.

A vállalkozás ügyvezetője jogosult dönteni az érintett kérelméről. Ha munkavállalóhoz érkezik a megkeresés, azt haladéktalanul köteles az ügyvezető részére továbbítani.

Az adatok egyéb okból történő hozzáférhetővé tétele

A GDPR rendelet értelmében meghatározott feltételek szerint az érintett hozzájárulása nélkül megismerhetővé teheti az egyes személyes adatokat jogérvényesítési okból.

Ebben az esetben a vállalkozás jogosult a személyes adatokat másokkal megosztani, de a megosztás kizárólag az igényérvényesítéshez szükséges terjedelemben és okból, illetve jogszerű megkeresés alapján, és szükség esetén ügyvéd tanácsának kikérése mellett történik.

Az adatok adatfeldolgozó részére történő átadása

A vállalkozás a cég szervezetén kívül az alábbi okból és személyekkel (Partner) osztja meg az érintettekre vonatkozó személyes adatokat:

• EBS Profit Kft, mint könyvelő és bérszámfejtő. Az adózási kötelezettségek végett, valamint a munkavállalók bérszámfejtésének szakszerű elkészítésére
• Dr. Botka - Dr.Hérincs Orvosi Bt, PRO-SAN Kft, Dr. Prigya Zsolt András, KEREMEDIOS Kft, Heldner és Társa Kft, üzemorvos, a munkavállalók foglalkozás egészségügyi felmérése végett
• Techinfo Studio Bt., mint tárhely szolgáltató adatfeldolgozó, és elektronikus levelezési kiszolgáló a webes felület biztosítása és az elektronikus kapcsolattartás lebonyolításához
• Urbán László e.v. mint a cég munkavédelmi, és tűzvédelmi tanácsadója, megbízottként szakértő a munkavédelmi, és tűzvédelmi incidensek kivizsgálásban
• Dr. Bodnár Lilla Ügyvédi Iroda, mint a cég jogi képviselője a céget érintő speciális személy és egyéb jogi kérdésekben képviselő
• Dr. Császár László ügyvéd, mint a cég jogi képviselője a céget érintő speciális személy és egyéb jogi kérdésekben képviselő
• A Vállalkozás a munkaerő kölcsönzési tevékenysége során a munkavállalók engedélye mellett a Kölcsönbevevő vállalkozás számára megosztja az érintettre vonatkozó szükséges személyes adatokat.

A vállalkozás minden esetben, valamennyi együttműködő partner tekintetében az adatok továbbításának megkezdése előtt meggyőződik arról, hogy az adott partner az Európai Uniós és magyarországi adatvédelmi jogszabályoknak megfelelően jár el, és a jelen szabályzatban rögzített garanciális rendelkezések mellett kezeli az adatokat.

A Partner az így továbbított személyes adatok vonatkozásában - külön rögzített kötelezettségvállalása alapján- kizárólag a fennálló jogiszony ideje alatt, kizárólag a fenti célokhoz kötötten kezelheti, és a megbízás teljesítése / jogviszony megszűnése esetén azonnal törölni köteles, azokat sem elektronikus, sem írásbeli formában nem jogosult tárolni vagy megőrizni. A társaság kizárólag adatokat továbbíthat személyi okmányokról másolatot vagy fénykép anyagot nem.

A vállalkozás valamennyi partnere megismerte és magára nézve elfogadta a jelen adatkezelési szabályzatot.

Tájékoztatási kötelezettség teljesítése

A vállalkozás biztosítja, hogy az érintettek tisztába legyenek azzal, hogy a személyes adataik feldolgozásra kerülnek, és felvilágosítást kapjanak arról, hogy:

• hogyan használják/dolgozzák fel az adataikat
• hogyan érvényesíthetik jogaikat

A fenti okból a vállalkozás adatvédelmi tájékoztatót készít, és könnyen hozzáférhetővé teszi a magánszemélyek számára, még az adatkezelés megkezdése előtt. az adatkezelési tájékoztató minden adatkezelési művelet vagy műveletsorozat tekintetében külön-külön meghatározza az érintettek jogait, továbbá rögzíti az adatkezelés célját, módját, idejét.

Az adatkezelési tájékoztatót a vállalkozás az érintett kérésére bármikor megküldi, és az adatvédelmi tájékoztató megtalálható a vállalkozás weboldalán is.

Az Adatok Megőrzése

Irat alapú bér- és munkaügyi nyilvántartás

A nyilvántartás megőrzési idejére, selejtezésére a munkajog szabályai vonatkoznak.

Balesetvédelmi oktatás és a munkahelyi balesetek nyilvántartása

Az adatállományt a „Munkavédelemről” szóló 1993. évi XCIII. Törvényben meghatározottak szerint kell kezelni.

Bér és Munkaügyi Rendszer

Az adatállomány megőrzése és törlése a munkajog szabályai szerint történik

A dolgozók egészségügyi nyilvántartása

Az egészségügyi adatállomány megőrzésére és törlésére az egészségügyi törvény rendelkezik.

Videó megfigyelő rendszer

A videó megfigyelő rendszerből automatikusan történik az adattörlés 3 naponként.

A személyes adatok törlése

Az adatok törlése a digitális adattárolókból informatikai műveletekkel, illetve az iratok selejtezésével, megsemmisítésével történik meg.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• az érintett hozzájárulását visszavonja és az adatkezelésnek nincs más jogalapja;
• az érintett a közvetlen üzletszerzés okén tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték;
• a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

Az Infotv. értelmében a személyes adatot törölni kell, különösen, ha az adatkezelés célja megszűnt, a szerződésben foglaltak teljesítéséhez már nem szükséges vagy arra alkalmatlan, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, ennek megfelelően a Vállalkozás egyes adatállományaikra a következők vonatkoznak:

A törlés szükségességének felismerése a munkavállaló feladata, aki azt amennyiben törlés szükségessége tekintetében bizonytalan köteles az ügyvezetőnek jelezni.

A vállalkozás nem töröl olyan adatot, amely a jogi kötelezettsége teljesítéséhez, illetőleg a jogi érvényesítéshez szükséges.

A személyes adatok törlése végleges, és helyreállíthatatlan módon valósul meg.

Intézkedések adatvédelmi incidens esetén

A vállalkozás munkavállalója, együttműködő partnere adatvédelmi incidens esetén azonnal köteles értesíteni a vállalkozás ügyvezetőjét, illetőleg a rendszergazdát (informatikai incidens esetén), akinek haladéktalanul vizsgálatot kell indítania az incidens kockázatának felmérésére.

Amennyiben az adatvédelmi incidens kockázatot jelent az érintett jogaira nézve, úgy a vállalkozás legkésőbb 72 órán belül köteles azt bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság incidens- bejelentési nyilvántartási rendszerében.

Bejelentés:

• Ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges- az érintettek kategóriáját és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit, és hozzávetőleges számát.
• közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit
• ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket
• ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleg hátrányos következmények enyhítésére célzó intézkedéseket

Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül, részletekben is közölhetőek.

A vállalkozás nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait, és az orvoslására tett intézkedéseket.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira, szabadságaira nézve, vagy jelentősen vissza lehet élni az információ tartalmával, akkor a vállalkozás késedelem nélkül tájékoztatja az érintetteket a negatív eseményről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell:

• az incidenshez kijelölt kapcsolattartó nevét, és elérhetőségeit
• az adatvédelmi krízisből eredő, valószínűsíthető következményeket
• a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A vállalkozás mellőzi az érintett tájékoztatását, ha a következő feltételek bármelyike teljesül:

• a vállalkozás olyan technikai, és szervezési védelmi intézkedésekkel védte az adatokat (és ezek vonatkoztak az incidens által érintett adatokra), amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszi az adatokat (pl. titkosított, rejtjeles, nem kapcsolható személyhez)
• a vállalkozás az adatvédelmi incidenst követően olyan orvoslással tudott élni, amely által az érintett jogaira, és szabadságaira nézve jelentett magas kockázat valószínűleg nem valósulhat meg.
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

ADATVÉDELMI HATÁSVIZSGÁLAT

Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal, és e körben megfelelő tájékoztatás nyújt.

EGYÉB RENDELKEZÉSEK

Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen az illetékes felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak, e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

A vállalkozás adatkezelési tevékenységről illetve az adat továbbításról nyilvántartást vezet.

Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1530 Budapest, Pf.: 5.
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c 
Telefon: +36 (1) 391-1400 
Fax: +36 (1) 391-1410 
E-mail: ugyfelszolgalat@naih.hu 
URL https://naih.hu 
koordináták: É 47°30'56''; K 18°59'57'' 

Az érintett a jogainak megsértése esetén az adatátvevő az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

ZÁRÓ RENDELKEZÉSEK

1. A Vállalkozás vezetése felkér minden a jelen szabályzat hatálya alá tartozó dolgozót, és Partnert, hogy segítse elő a megelőzési célok elérését, jelen Szabályzat rendelkezéseinek betartását.
2. A Szabályzat aláírása napján lép hatálya, valamennyi érintettel ismertetni kell.

Nadap, 2018. 05. 25.