Menu

Adatvédelmi Szabályzat

1. Bevezető

A jelen Szabályzat a Total Felhő Kft., Magyarországon bejegyzett Vállalkozás, cégjegyzékszáma: 05-09-028118, melynek székhelye: 3530 Miskolc, Széchenyi utca 88. („a Vállalkozás”) adatvédelemmel és az érintettek, ügyfelek, üzleti kapcsolatok stb.(„érintettek”) jogaival kapcsolatos kötelezettségeit határozza meg az EU 2016/679 sz. Általános Adatvédelmi Szabályozásában (“GDPR”) meghatározott személyes adataik tekintetében.

A GDPR meghatározása szerint: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Ez a Szabályzat meghatározza a Vállalkozás kötelezettségeit a személyes adatok gyűjtése, feldolgozása, átadása, tárolása és eltávolítása kapcsán. Az itt meghatározott eljárásokat és elveket a Vállalkozás, annak munkavállalói, ügynökei, vállalkozói és a Vállalkozás nevében eljáró más felek is kötelesek betartani.

A Vállalkozás nemcsak a törvény betűje, de a törvény szelleme mellett is elkötelezett, és nagy fontosságot tulajdonít az összes személyes adat helyes, törvényes és tisztességes kezelésének, tiszteletben tartva mindazon magánszemélyek törvényes jogait, magánélethez való jogát és bizalmát, akikkel kapcsolatba kerül.

2. Adatvédelmi elvek

A Szabályzat célja biztosítani a GDPR-nak való megfelelést. A GDPR meghatározza az alábbi elveket, amelyeket minden személyes adatokat kezelőnek be kell tartania. A személyes adatok:

2.1. Kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

2.2. Gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik az előző célokkal össze nem egyeztethető módon. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést nem lehet az eredeti célokkal összeegyeztethetetlennek tekinteni.

2.3. Legyenek megfelelők és relevánsak, valamint az adatkezelés céljával összhangban elégséges mértékű.

2.4. Legyenek pontosak és ha szükséges rendszeresen frissíteni kell őket. Minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

2.5. Tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ban az érintettek jogának és szabadságának védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

2.6. Kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

3. Az érintettek jogai

A GDPR az alábbi jogokat biztosítja az érintetteknek (a további részleteket a jelen szabályzat megfelelő részeiben találja):

3.1. A tájékoztatáshoz való jog (12. rész);

3.2. Hozzáférési jog (13. rész);

3.3. A helyesbítéshez való jog (14. rész);

3.4. A törléshez való jog (más néven „az elfeledtetéshez való jog”) (15. rész);

3.5. Az adatfeldolgozás korlátozásához való jog (16. rész);

3.6. Az adathordozhatósághoz való jog (17. rész);

3.7. A tiltakozáshoz való jog (18. rész);

3.8. Az automatizált döntéshozatallal és profilalkotással kapcsolatos jogok (19. és 20. rész)

4. Törvényes, tisztességes és átlátható adatkezelés

4.1. A GDPR célja biztosítani, hogy a személyes adatokat törvényesen, tisztességesen és átláthatóan, az érintett jogainak sérelme nélkül kezeljék. A GDPR előírja, hogy a személyes adatok kezelése csak akkor jogszerű, ha legalább az alábbiak egyike teljesül:

4.1.1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

4.1.2. Az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az érintettel való szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

4.1.3. Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

4.1.4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

4.1.5. Az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; vagy

4.1.6. Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető joga és szabadsága, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

4.2. [Ha a kérdéses személyes adatok “különleges kategóriájú adatok” (más néven “érzékeny személyes adatok”) (például az érintett fajára, nemzetiségére, politikai, vallási nézeteire, szakszervezet tagságára, genetikai, biometriai adataira (ha azokat azonosításra használják), egészségére, szexuális életére, vagy szexuális irányultságára vonatkozó adatok), akkor az alábbi feltételek közül legalább egynek teljesülnie kell:

4.2.1. Az érintett kifejezetten hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (kivéve, ha az uniós vagy uniós tagállami jogszabály ezt megtiltja számára);

4.2.2. Az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségeinek teljesítése és konkrét jogainak gyakorlása érdekében szükséges (amennyiben az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi);

4.2.3. Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

4.2.4. Az adatkezelő valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet, és az adatkezelés jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szervezet jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

4.2.5. Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott;

4.2.6. Az adatkezelés jogi igények érvényesítéséhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

4.2.7. Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

4.2.8. Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR 9. cikk (3) bekezdésében említett feltételekre és garanciákra figyelemmel;

4.2.9. Az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint például a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; vagy

4.2.10. Az adatkezelés a GDPR 89. cikk 1. bekezdésével összhangban közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;]

5. Meghatározott, konkrét és törvényes célok

5.1. A Vállalkozás a jelen Szabályzat 21. részében meghatározott személyes adatokat gyűjti és kezeli. Ezek közé a következők tartoznak:

5.1.1. Közvetlenül az érintettől gyűjtött személyes adatok[.] VAGY [; és]

5.1.2. [harmadik felektől beszerzett személyes adatok.]

5.2. A Vállalkozás a jelen Szabályzat 21. részében meghatározott konkrét célokra (illetve a GDPR-ban kifejezetten megengedett egyéb célokra) gyűjti, kezeli és tárolja a személyes adatokat.

5.3. Az érintettet rendszeresen tájékoztatni kell azokról a célokról, amelyekre a Vállalkozás személyes adatait felhasználja. A 12. rész további információkat tartalmaz az érintettek tájékoztatásáról.

6. Megfelelő, releváns és korlátozott adatfeldolgozás

A Vállalkozás csak olyan célra és olyan mértékben gyűjt és dolgoz fel személyes adatokat, amely szükséges azokra a konkrét célokra, amelyekről az érintetteket tájékoztatta (vagy tájékoztatni fogja) a fenti 5. rész alapján, illetve az alábbi 21. részben meghatározottak szerint.

7. Az adatok pontossága és az adatok naprakészen tartása

7.1. A Vállalkozás biztosítja, hogy az általa gyűjtött, feldolgozott és tárolt személyes adatok pontosak és naprakészek legyenek. A fentiek részeként egyebek mellett az érintett kérésére helyesbíti a személyes adatokat az alábbi 14. részben leírtak szerint.

7.2. A személyes adatok pontosságát ellenőrizni kell azok benyújtásakor, majd azt követően [rendszeresen] VAGY [legalább 3 évente]. Amennyiben bármely személyes adat pontatlannak vagy elavultnak bizonyul, minden elvárható lépést meg kell tenni az érintett adatok módosítása vagy szükség szerinti törlése érdekében.

8. Adatmegőrzés

8.1. A Vállalkozás csak addig tárolhat személyes adatokat, amíg ez szükséges arra/azokra a cél(ok)ra, amelyekre az adatokat eredetileg gyűjtötték, tárolták és feldolgozták.

8.2. Amennyiben a személyes adatokra már nincs szükség, minden elvárható lépést meg kell tenni azok haladéktalan törlése vagy egyéb módon történő eltávolítása érdekében.

8.3. A Vállalkozás adatmegőrzési koncepciójának részleteiről – beleértve a Vállalkozás által kezelt meghatározott személyesadat-típusokra vonatkozó megőrzési időket –, kérjük, tekintse meg Adatmegőrzési Szabályzatunkat.

9. Biztonságos adatkezelés

A Vállalkozás gondoskodik róla, hogy a gyűjtött, tárolt és feldolgozott személyes adatok biztosítva és védve legyenek az adatok jogosulatlan vagy törvénytelen kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szemben. A meghozandó műszaki és szervezési intézkedésekre vonatkozó részleteket a jelen Szabályzat 22.-27. pontjai tartalmazzák.

10. Elszámoltathatóság és nyilvántartás

10.1. A Vállalkozás Adatvédelmi tisztviselője: Révész Róbert Gábor, e-mail: revesz.robert@tc2.hu, tel.: 0036208235576.

10.2. Az Adatvédelmi tisztviselő felel a jelen Szabályzat végrehajtásáért és a jelen Szabályzat, a Vállalkozás más adatvédelemhez kapcsolódó szabályzatai, a GDPR és az egyéb adatvédelmi jogszabályok betartásának ellenőrzéséért.

10.3. A Vállalkozás minden személyesadat -gyűjtésről, -tárolásról és -feldolgozásról írásbeli nyilvántartást vezet, amelynek az alábbi adatokat kell tartalmaznia:

10.3.1. A Vállalkozás az Adatvédelmi tisztviselő és az esetleges harmadik fél adatfeldolgozó neve és adatai;

10.3.2. Azok a célok, amelyekre a Vállalkozás személyes adatokat gyűjt, tárol és dolgoz fel;

10.3.3. A Vállalkozás által gyűjtött, tárolt és feldolgozott személyes adatok kategóriái és azok a kategóriák, amelyekre az adott személyes adatok vonatkoznak;

10.3.4. Nem EU országokba történő személyesadat-átadás részletei, beleértve az összes mechanizmust és biztonsági intézkedést;

10.3.5. Arra vonatkozó adatok, hogy meddig őrzi meg a Vállalkozás a személyes adatokat (kérjük, tekintse meg a Vállalkozás Adatmegőrzési Szabályzatát); és

10.3.6. A Vállalkozás által a személyes adatok biztonsága érdekében megtett technikai és szervezési intézkedések részletes leírása.

11. Adatvédelmi hatásvizsgálatok

11.1. A Vállalkozás adatvédelmi hatásvizsgálatokat köteles elvégezni minden új projektről és/vagy személyesadat-felhasználásról [amelynek részeként új technológiákat használnak és az érintettek feldolgozás az érintetteknek a GDPR-ban biztosított jogát és szabadságát valószínűleg kockázatnak teheti ki].

11.2. Az adatvédelmi hatásvizsgálatokat az adatvédelmi tisztviselő felügyeli és azok az alábbi témakörökre terjednek ki:

11.2.1. A gyűjtött, tárolt és feldolgozott személyes adatok típusa(i);

11.2.2. Milyen cél(ok)ra használják fel a személyes adatokat;

11.2.3. A Vállalkozás céljai;

11.2.4. Miként használják fel a személyes adatokat;

11.2.5. Azok a (belső, illetve külső) felek, akikkel konzultálni kell;

11.2.6. Az adatfeldolgozás szükségessége és arányossága a feldolgozás céljára/céljaira tekintettel;

11.2.7. Az érintettek számára felmerülő kockázatok;

11.2.8. A Vállalkozáson belül felmerülő és a Vállalkozást érintő kockázatok; és

11.2.9. Az azonosított kockázatok minimalizálására és kezelésére javasolt intézkedések.

12. Az érintettek tájékoztatása

12.1. A Vállalkozás köteles a 12.2 részben meghatározott információkat közölni minden érintettel:

12.1.1. Amennyiben a személyes adatokat közvetlenül az érintettektől gyűjtik, az érintetteket a gyűjtés időpontjában tájékoztatják annak céljáról; és

12.1.2. Ha a személyes adatokat harmadik féltől gyűjtik, az érintetteket tájékoztatják annak céljáról:

a) ha a személyes adatokat az érintettel történő kommunikációra használják, az első kommunikációval egyidejűleg; vagy

b) ha a személyes adatokat átadják egy harmadik félnek, mielőtt az adatátadásra sor kerülne; vagy

c) a lehető leghamarabb, de minden esetben legkésőbb egy hónappal azután, hogy a személyes adatokat megszerezték.

12.2. A következő információkat kell megadni az éritettek részére:

12.2.1. A Vállalkozás adatai, például az Adatvédelmi tisztviselő személyazonossága;

12.2.2. Az(ok) a cél(ok), amely(ek)re a személyes adatokat gyűjtik és feldolgozzák (a jelen Szabályzat 21. részében részletezettek szerint) és az adatgyűjtés és feldolgozás jogalapja;

12.2.3. Amennyiben van ilyen, jogos érdek, amellyel a Vállalkozás indokolja a személyes adatok gyűjtését és feldolgozását;

12.2.4. Ha a személyes adatokat nem közvetlenül az érintettől szerzik be, a gyűjtött és feldolgozott személyes adatok kategóriái;

12.2.5. Ha a személyes adatokat átadják egy vagy több harmadik félnek, a harmadik-felek adatai;

12.2.6. Ha a személyes adatokat olyan harmadik félnek adják át, aki az Európai Gazdasági Térségen („EGT”) kívül található, az adatátadás részletei, beleértve – nem kizárólag – az alkalmazott óvintézkedéseket (a részleteket lásd a jelen Szabályzat 28. részében);

12.2.7. Az adatmegőrzés részletei;

12.2.8. Az érintettnek a GDPR-ban biztosított részletes jogai;

12.2.9. Az érintett azon joga, hogy személyes adatainak a Vállalkozás által végzett kezeléséhez adott hozzájárulását bármikor visszavonja;

12.2.10. Az érintett joga az Adatvédelmi Biztos hivatalánál (a GDPR szerinti „felügyeleti hatóság”) történő panasztételhez;

12.2.11. Ha alkalmazható, bármely olyan törvényi vagy szerződéses előírás vagy kötelezettség leírása, amely szükségessé teszi a személyes adatok gyűjtését és feldolgozását, és ezek elmaradásának esetleges következményei; és

12.2.12. A személyes adatok felhasználásával történő esetleges automatizált döntéshozatal vagy profilalkotás leírása és tájékoztatás arról, hogyan hozzák meg a döntéseket, mi a jelentősége ezeknek a döntéseknek és melyek az esetleges következmények.

13. Érintetti adatkérés

13.1. Az érintettek bármikor benyújthatnak érintetti adatkéréseket, hogy megtudják, milyen személyes adatokat kezel a Vállalkozás velük kapcsolatban, mit tesz a személyes adatokkal és miért.

13.2. Az érintett az adatkérést írásban teheti meg, a Vállalkozás által biztosított és Érintetti Adat Kérés (ÉAK) űrlap felhasználásával vagy egyéb írásbeli közléssel. Az érintetti adatkérést a Vállalkozás adatvédelmi tisztviselőjének kell címezni: Révész Róbert Gábor, e-mail: revesz.robert@tc2.hu, tel.: 0036208235576.

13.3. Az érintetti adatkérésre a kézhezvételtől számított egy hónapon belül kell válaszolni, azonban ez a határidő legfeljebb két hónappal meghosszabbítható, ha az érintetti adatkérés bonyolult és/vagy nagyszámú kérést nyújtanak be. Ha ilyen határidő-hosszabbítás szükséges, az érintettet erről tájékoztatni kell.

13.4. A beérkezett összes érintetti adatkérést a Vállalkozás adatvédelmi tisztviselője kezeli.

13.5. A Vállalkozás a szokásos érintetti adatkérések kezeléséért nem számít fel díjat. A Vállalkozás fenntartja a jogot arra, hogy az érintettnek már átadott információk további példányai, illetve a nyilvánvalóan megalapozatlan vagy túlzott kérések után ésszerű díjat számítson fel, különösen, ha ezek a kérések ismétlődők.

14. Személyes adatok helyesbítése

14.1. Az érintett jogosult kérni a Vállalkozástól személyes adatainak helyesbítését, amennyiben azok pontatlanok vagy hiányosak.

14.2. A Vállalkozás a kérdéses adatokat helyesbíti és tájékoztatja az érintettet a helyesbítésről egy hónapon belül azt követően, hogy az érintett a problémáról értesítette a Vállalkozást. A fenti határidő bonyolultabb kérések esetén legfeljebb két hónappal meghosszabbítható. Amennyiben ilyen határidő-hosszabbítás szükséges, az érintettet erről tájékoztatni kell.

14.3. Amennyiben bármely érintett személyes adatokat harmadik feleknek adtak ki, az érintett feleket tájékoztatni kell azokról a helyesbítésekről, amelyeket kötelező végrehajtani az érintett személyes adatokon.

15. A személyes adatok törlése

15.1. Az érintett jogosult arra, hogy kérésére a Vállalkozás törölje a rá vonatkozó személyes adatokat, az alábbi esetekben:

15.1.1. A Vállalkozásnak a személyes adatokra már nincs szüksége abból a cél(ok)ból, amelyből azokat gyűjtötték vagy kezelték;

15.1.2. Az érintett vissza kívánja vonni a személyes adataira vonatkozóan az adattárolás és adatkezelés alapját képező hozzájárulását a Vállalkozás felé;

15.1.3. Az érintett tiltakozik a Vállalkozás általi adattárolás és adatkezelés ellen (és nincs elsőbbséget élvező jogszerű ok a Vállalkozás általi folytatódó adatkezelésre) (az adatkezelés elleni tiltakozásra vonatkozó jogra vonatkozó további részleteket lásd a jelen Politika 18. részében!);

15.1.4. A személyes adatokat jogellenesen kezelték;

15.1.5. A személyes adatokat a Vállalkozásra alkalmazandó valamely jogi kötelezettség teljesítéséhez törölni kell; VAGY [.]

15.1.6. [A személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások gyermekek részére történő szolgáltatással kapcsolatosan került sor.]

15.2. Kivéve, ha a Vállalkozásnak ésszerű jogalapja van a személyes adatok törlésének elutasítására, a Vállalkozás köteles az adattörlésre irányuló kérelmet teljesíteni, és az érintettet az adatok törléséről értesíteni, az érintett kérelmének kézhezvételét követő egy hónapon belül. Összetett kérelem esetén e határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az érintettet tájékoztatni kell.

15.3. Ha azon személyes adatok, amelyekre a törlési kérelem irányul, harmadik személlyel közlésre kerültek, a Vállalkozás köteles e címzetteket az adatok törléséről tájékoztatni (kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne.)

16. A személyes adatok kezelésének korlátozása

16.1. Az érintett jogosult arra, hogy kérésére a Vállalkozás korlátozza személyes adatainak kezelését. Ha az érintett ilyen kérelmet nyújt be, a Vállalkozás az érintettre vonatkozóan csak olyan mértékű személyes adatot tarthat meg (ha szükséges), ami annak biztosításához szükséges, hogy a kérdéses személyes adatok kezelése ne folytatódjon.

16.2. Ha az adott személyes adatok harmadik személlyel közlésre kerültek, a Vállalkozás köteles a címzetteket az adatok kezelésére vonatkozó korlátozásokról tájékoztatni (kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne.)

17. Adathordozhatóság

17.1. A Vállalkozás a személyes adatok kezeléséhez automatizált módszereket vesz igénybe. Automatizált adatkezelés jelenleg nincs használatban.

17.2. Amennyiben az érintett hozzájárult személyes adatainak a Vállalkozás által ilyen módon történő kezeléséhez, vagy az adatkezelés egyébként a Vállalkozás és az érintett közötti szerződés teljesítéséhez szükséges, az érintett a GDPR alapján jogosult arra, hogy személyes adatairól másolatot kapjon, és azokat más célra felhasználja (más adatkezelőknek továbbítsa).

17.3. Az adathordozhatósághoz való jog elősegítése céljából a Vállalkozás az alábbi formátum(ok)ban köteles az érintettek számára a vonatkozó személyes adatokat átadni:

17.3.1. az alkalmazandó formátumok - .txt, .csv, .xlsx, .docx;

17.3.2. további szükséges formátumok - .pdf, .jpg, .png.

17.4. Az érintett jogosult arra, hogy ha ez technikailag megvalósítható, kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

17.5. A személyes adatokra vonatkozó másolatok iránti kérelmet a kérelem benyújtásától számított egy hónapon belül kell teljesíteni. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az érintettet tájékoztatni kell.]

18. Tiltakozás a személyes adatok kezelése ellen

18.1. Az érintett jogosult arra, hogy tiltakozzon személyes adatainak Vállalkozás általi, jogos érdekek érvényesítése, vagy közvetlen üzletszerzési célból (beleértve a profilozást is) [valamint tudományos és/vagy történelmi kutatás céljából, vagy statisztikai célokból] történő kezelése ellen.

18.2. Amennyiben az érintett tiltakozik a személyes adatainak Vállalkozás általi jogos érdek érvényesítése érdekében történő kezelése ellen, a Vállalkozás köteles az ilyen adatkezelést azonnali hatállyal beszüntetni, kivéve, ha bizonyítani tudja, hogy a Vállalkozás adott adatkezelésre vonatkozó jogos érdekei elsőbbséget élveznek az érintett érdekeivel, jogaival, és szabadságaival szemben, vagy az adatfeldolgozás bírósági keresetindításhoz szükséges.

18.3. Amennyiben az érintett tiltakozik a személyes adatainak Vállalkozás általi közvetlen üzletszerzés érdekében történő kezelése ellen, a Vállalkozás köteles az ilyen adatkezelést azonnali hatállyal beszüntetni.

18.4. [Amennyiben az érintett tiltakozik a személyes adatainak Vállalkozás általi tudományos és/vagy történelmi kutatás, vagy statisztikai célokból történő kezelése ellen, az érintettnek a GDPR alapján bizonyítania kell a „saját helyzetével kapcsolatos speciális okot”, ami miatt tiltakozik. A Vállalkozás nem köteles a kérést teljesíteni, amennyiben a kutatás közérdekű feladat teljesítéséhez szükséges.]

19. Automatizált döntéshozatal

19.1. A Vállalkozás a személyes adatokat automatizált döntéshozatali folyamatokhoz használja fel. Automatizált adatkezelés jelenleg nincs használatban.

19.2. Amennyiben az ilyen döntési módszer az érintettre nézve joghatással (vagy más hasonló jelentős hatással) járna, az érintettnek a GDPR alapján joga van az ilyen döntés eljárást megtámadni, és emberi beavatkozást kérni, saját véleményét elmondani, és a Vállalkozástól a döntés módszerre vonatkozóan magyarázatot kérni.

19.3. A 19.2 részben leírt jog nem alkalmazandó, ha a döntés:

19.3.1. a Vállalkozás és az érintett közötti szerződés megkötése vagy teljesítése érdekében szükséges;

19.3.2. meghozatalát valamely jogszabály teszi lehetővé; vagy

19.3.3. az érintett kifejezett hozzájárulásán alapul.]

20. Profilalkotás

20.1. A Vállalkozás felhasznál személyes adatokat profilalkotási célokra. Profilalkotási tevékenységek jelenleg nincsenek használatban.

20.2. Amikor személyes adatok felhasználása történik profilalkotási célokra, a következők alkalmazandók:

20.2.1. Az érintettet a profilalkotásra vonatkozóan egyértelmű tájékoztatással kell ellátni, beleértve a profilalkotás jelentőségét, és valószínű következményeit;

20.2.2. Megfelelő matematikai vagy statisztikai eljárásokat kell alkalmazni;

20.2.3. Meg kell tenni a szükséges technikai és szervezési intézkedéseket a hibák kockázatának minimalizálására. Hiba bekövetkezése esetén az alkalmazott intézkedéseknek lehetővé kell tennie a könnyű hibajavítást; valamint

20.2.4. Gondoskodni kell a profilalkotási célokból kezelt személyes adatok biztonságos kezeléséről, a profilalkotásból eredő esetleges diszkriminatív hatások megelőzésére (az adatbiztonságra vonatkozó további részleteket lásd a jelen Politika 22. és 26. részében!).]

21. A gyűjtött, tárolt és kezelt személyes adatok

A Vállalkozás a következő személyes adatokat gyűjti, tárolja, és kezeli (az adatmegőrzésre vonatkozóan a Vállalkozás Adatmegőrzési Politikájából tájékozódhat):

Adat hivatkozás

Adat típusa

Adat felhasználás célja

<<ügyfél adatok>>

<<név, e-mail, telefonszám, cím>>

<<szolgáltatás kiajánlás, értékesítés, támogatás>>

<<érdeklődők>>

<<név, e-mail, telefonszám, cím>>

<<folyamatos tájékoztatás a cég szolgáltatásairól, tevékenységeiről>>

<<munkavállalók>>

<<név, e-mail, telefonszám, cím, egyéb jogszabályi kötelezettség szerinti adatok>>

<<céges munkaköri feladatok és a jogszabályban előírt kötelezettség szerint>>

22. Adatbiztonság - a személyes adatok továbbítása és kommunikáció

A Vállalkozás köteles az alábbi intézkedéseket megtenni a személyes adatokat tartalmazó mindennemű kommunikáció és egyéb adattovábbítás esetén:

22.1. A személyes adatokat tartalmazó minden e-mail-t titkosítani kell [data in transit: SSL, data at rest: S/MIME felhasználásával];

22.2. A személyes adatokat tartalmazó e-mail-eket „bizalmas” megjelöléssel kell ellátni;

22.3. Személyes adatot továbbítani csak biztonságos hálózaton keresztül lehet; a nem biztonságos hálózaton történő adattovábbítás semmilyen körülmények között sem megengedett;

22.4. Személyes adat vezetéknélküli hálózaton nem továbbítható, ha rendelkezésre áll ésszerű alternatív vezetékes megoldás;

22.5. Az elküldött vagy kapott e-mail szövegtestében található személyes adatokat ki kell másolni, és biztonságosan kell tárolni. Magát az e-mail-t törölni kell. A kapcsolódó ideiglenes fájlokat szintén törölni kell a életciklus menedzsment integrálva a megőrzési politikával felhasználásával;

22.6. A faxon keresztül elküldendő személyes adatok esetén, a címzettet előre értesíteni kell az adattovábbításról, akinek a fax gépnél kell várakoznia az adatok megérkezésére;

22.7. Amikor a személyes adatok papír alapon kerülnek átadásra, azokat közvetlenül a címzettnek kell átadni vagy futárszolgálattal megküldeni; és

22.8. A fizikai úton átadott személyes adatokat, akár papír formában, akár hordozható elektronikus adathordozón kerültek átadásra, megfelelő tárolóeszközben kell átadni, „bizalmas” megjelöléssel ellátva.

23. Adatbiztonság - tárolás

A Vállalkozás az alábbi intézkedéseket köteles megtenni a személyes adatok tárolására vonatkozóan:

23.1. A személyes adatok elektronikus másolatait biztonságosan kell tárolni, jelszavak és [O365 és AWS] adat titkosítási megoldások felhasználásával;

23.2. A személyes adatokról meglévő papír alapú másolatokat, a fizikai, hordozható adattároló eszközön tárolt valamennyi elektronikus másolattal együtt, biztonságosan kell tárolni, egy zárható dobozban, fiókban, szekrényben, vagy hasonló módon;

23.3. Az elektronikus formában tárolt személyes adatokról biztonsági másolatot kell készíteni napi rendszerességgel, és a másolatokat a felhőszolgáltatónál kell tárolni. A biztonsági másolatokat [a data at rest] módon titkosítani kell;

23.4. Személyes adat hordozható eszközön nem tárolható (beleértve, de nem kizárólagosan a laptopot, tabletet, vagy okostelefont), függetlenül attól, hogy az adott eszköz a Vállalkozás tulajdona-e vagy sem Révész Róbert Gábor, ügyvezető hivatalos írásbeli jóváhagyása nélkül, és amennyiben az ilyen jóváhagyás megadásra került, szigorúan csak a jóváhagyáskor megadott utasításoknak és korlátozásoknak megfelelően, és kizárólag a feltétlenül szükséges ideig lehet]; továbbá

23.5. Személyes adat a munkavállaló saját eszközére nem továbbítható, és személyes adat a megbízottak, szerződéses partnerek, vagy a Vállalkozás megbízásából dolgozó egyéb felek eszközeire csak akkor továbbítható, ha az adott fél vállalja a jelen szabályzás és a GDPR rendelkezéseinek és szellemének való megfelelést (amibe beleértendő, hogy az adott félnek bizonyítania kell, hogy valamennyi megfelelő technikai és szervezeti intézkedést megtett).

24. Adatbiztonság - az adatok megsemmisítése

Amikor személyesadat törlésére vagy más módon történő megsemmisítésére kerül sor bármely okból (beleértve, amikor másolatok készültek, és azokra már nincs szükség), azokat biztonságos módon kell törölni és megsemmisíteni. A személyes adatok törlésére és megsemmisítésére vonatkozó további információkat a Vállalkozás Adatmegőrzési Szabályzata tartalmazza.

25. Adatbiztonság - a személyes adatok felhasználása

A Vállalkozás az alábbi intézkedéseket köteles megtenni a személyes adatok felhasználására vonatkozóan:

25.1. Személyes adatot informális úton megosztani nem lehet, és amikor egy munkavállaló, ügynök, alvállalkozó, vagy más, a Vállalkozás megbízásából dolgozó fél olyan személyes adatokhoz kér hozzáférést, amelyekhez még nem rendelkezik hivatalos hozzáféréssel, a hozzáférést hivatalosan kérvényezni kell Révész Róbert Gábor, ügyvezető személytől;

25.2. A Révész Róbert Gábor, ügyvezető személy jóváhagyása nélkül személyes adat semmilyen munkavállalónak, ügynöknek, szerződéses partnernek, vagy más félnek nem továbbítható, függetlenül attól, hogy az adott fél a Vállalkozás megbízásából dolgozik-e;

25.3. A személyes adatokat minden esetben nagy gondossággal kell kezelni, és azokat őrizetlenül, vagy olyan helyen hagyni, ahol jogosulatlan munkavállaló, ügynök, alvállalkozó, vagy más fél megláthatja, nem lehet;

25.4. Ha a személyes adatok egy számítógép monitoron láthatók, és az adott számítógépet bármely időtartamra el kell hagyni, a felhasználó köteles a számítógépet és annak képernyőjét a gép elhagyása előtt lezárni; valamint

25.5. Amikor a Vállalkozás által tárolt személyes adatok marketing célokra kerülnek felhasználásra, a Révész Róbert Gábor, ügyvezető felelőssége annak biztosítása, hogy az érintettek hozzájárulása megfelelően beszerzésre kerüljön, és egyetlen érintett se tagadja meg a hozzájárulást, akár közvetlen módon, akár harmadik fél szolgáltatása révén.

26. Adatbiztonság - informatikai biztonság

A Vállalkozás az alábbi intézkedéseket köteles megtenni az informatikai rendszerekre és informatikai biztonságra vonatkozóan:

26.1. A személyes adatok védelméhez használt jelszavakat rendszeresen cserélni kell, és olyan szavak vagy kifejezések nem használhatók, amelyek könnyen kitalálhatók, vagy egyéb módon megfejthetők. Minden jelszónak nagy és kis betűk, számok és szimbólumok kombinációját kell tartalmaznia. [A Vállalkozásnak olyan szoftvereket kell használniuk, melyek úgy tervezettek, hogy kérik az ilyen jelszavakat.];

26.2. A jelszavakat semmilyen körülmények között nem lehet leírni, vagy a munkavállalók, ügynökök, szerződéses partnerek, vagy a Vállalkozás megbízásából dolgozó egyéb felek között megosztani, függetlenül a vezető beosztás szintjétől, vagy az adott osztálytól. Ha a jelszót elfelejtették, a megfelelő módszer alkalmazásával újat kell beállítani. Az informatikai osztály dolgozóinak a jelszavakhoz nem lehet hozzáférése;

26.3. A szoftvereket (beleértve, de nem kizárólag az alkalmazásokat, és operációs rendszereket) rendszeresen frissíteni kell. A biztonsági frissítések elvégzését a Vállalkozás informatikai részlegének dolgozói, illetve az informatikai szolgáltató végzik el [legkésőbb 3 hónapon belül azt követően, hogy a kiadó vagy gyártó azt közzétette] VAGY [a lehető legrövidebb ésszerű határidőn belül] [, kivéve, ha valamilyen jogos műszaki okból azt nem kell megtenni]; és

26.4. A Vállalkozás tulajdonában lévő számítógépekre vagy eszközökre a a Szolgáltatási és Támogatási csoport előzetes írásbeli jóváhagyása nélkül semmilyen szoftver nem telepíthető.

27. Szervezési intézkedések

A Vállalkozás az alábbi intézkedéseket köteles megtenni a személyes adatok gyűjtésére, tárolására, és kezelésére vonatkozóan:

27.1. A Vállalkozás valamennyi munkavállalójának, ügynökének, szerződéses partnerének, és a Vállalkozás megbízásából dolgozó minden más félnek ismernie kell a GDPR és a jelen szabályozás alapján fennálló saját, és a Vállalkozás kötelezettségeit, és másolatot kell kapnia a jelen szabályozásról;

27.2. A Vállalkozás által tárolt személyes adatokhoz kizárólag azon munkavállalók, ügynökök, alvállalkozók, és a Vállalkozás megbízásából dolgozó egyéb felek férhetnek hozzá, akiknek a hozzáférésre és felhasználásra saját munkaköri feladataik elvégzéséhez szüksége van;

27.3. A személyes adatokat kezelő munkavállalókat, ügynököket, szerződéses partnereket, és a Vállalkozás megbízásából dolgozó egyéb feleket megfelelő képzésben kell részesíteni;

27.4. A személyes adatokat kezelő munkavállalók, ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek megfelelő ellenőrzés alatt állnak;

27.5. A személyes adatokat kezelő munkavállalók, ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek felé elvárás és ajánlott a megfelelő gondossággal, figyelemmel és diszkrécióval való eljárás a személyes adatokra vonatkozó munkahelyi ügyek megvitatása során, akár a munkahelyen, akár máshol;

27.6. A személyes adatok gyűjtésének, tárolásának és kezelésének módszereit rendszeresen értékelni kell, és felül kell vizsgálni;

27.7. A Vállalkozás által tárolt személyes adatokat rendszeresen felül kell vizsgálni, a Vállalkozás adatmegőrzési szabályozása szerint;

27.8. A személyes adatokat kezelő munkavállalók, ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek teljesítményét rendszeresen értékelni kell, és felül kell vizsgálni;

27.9. A személyes adatokat kezelő munkavállalók, ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek a személyes adatok kezelését szerződéses kötelezettség alapján, a GDPR alapelveinek, és a jelen szabályozásnak megfelelően kötelesek végezni;

27.10. A személyes adatokat kezelő ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek kötelesek biztosítani, hogy a személyes adatokat kezelő munkavállalóik a Vállalkozás vonatkozó munkavállalóival azonos feltételek szerint végezzék munkájukat, a jelen szabályozásnak és a GDPR-nak megfelelően;

27.11. Amennyiben személyes adatokat kezelő ügynökök, szerződéses partnerek, és a Vállalkozás megbízásából dolgozó egyéb felek a jelen szabályozásból fakadó kötelezettségeik teljesítését elmulasztják, az adott fél köteles a Vállalkozást az ilyen mulasztásból eredő valamennyi költség, felelősség, kár, veszteség, kárigény, vagy eljárás alól mentesíteni és kártalanítani.

28. Személyes adatok továbbítása az EGT-n kívüli országokba

28.1. A Vállalkozás esetenként továbbíthat (a „továbbítás”-ba a távoli elérés lehetővé tétele is beleértendő) személyes adatokat az EGT-n kívüli országokba.

28.2. A személyes adatok EGT-n kívüli országokba történő továbbítására kizárólag akkor kerülhet sor, ha az alábbiak közül egy vagy több feltétel teljesül:

28.2.1. Az adattovábbítás olyan országba, területre, vagy az adott ország (vagy nemzetközi szervezet) egy vagy több olyan konkrét szektorába történik, ami az Európai Bizottság álláspontja szerint biztosítja a személyes adatok megfelelő szintű védelmét;

28.2.2. Az adatátadás olyan országba (vagy nemzetközi szervezet számára) történik, aki megfelelő garanciákat biztosít a következő formákban: a hivatalos vagy közhatalmi szervek közötti jogilag kötelező erejű megállapodás, kötelező erejű céges szabályok, az Európai Bizottság által elfogadott standard adatvédelmi rendelkezések, a felügyeleti hatóság (pl. az Információs Biztos Hivatala) által elfogadott magatartási kódex betartása, a (GDPR szerint) jóváhagyott tanúsítási mechanizmusok szerinti tanúsítás, az illetékes felügyeleti szervvel egyeztetett és jóváhagyott szerződéses rendelkezések, vagy a hivatalos és közhatalmi szervek közötti adminisztrációs megállapodásokba az illetékes felügyeleti hatóság által jóváhagyott rendelkezések beillesztése;

28.2.3. Az adatátadásra az érintett(ek) megfelelő tájékoztatáson alapuló hozzájárulásával kerül sor;

28.2.4. Az adatátadás az érintett és a Vállalkozás közötti szerződés teljesítése érdekében szükséges (vagy a szerződés előkészítő lépéseihez, az érintett kérésére);

28.2.5. Az adatátadás fontos közérdekből szükséges;

28.2.6. Az adatátadás bírósági keresetindításhoz szükséges;

28.2.7. Az adatátadás az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni; vagy

28.2.8. Az adatátadás olyan nyilvántartásból történik, ami az EU jogszabályok alapján nyilvános információ szolgáltatási célokat szolgál, vagy általában hozzáférhető a nyilvánosság, vagy olyan személyek számára, akik a hozzáférésre vonatkozó jogos érdeküket bizonyítani tudják.

29. Az adatvédelmi incidensek bejelentése

29.1. Valamennyi adatvédelmi incidenst azonnal jelenteni kell a Vállalkozás adatvédelmi tisztviselőjének.

29.2. Adatvédelmi incidens bekövetkezésekor, amennyiben az adatvédelmi incidens az érintettek jogára és szabadságára nézve kockázatot jelent (pl. pénzügyi veszteség, titoktartás megsértése, diszkrimináció, hírnévrontás, vagy más jelentős társadalmi vagy gazdasági kár), az adatvédelmi tisztviselő köteles biztosítani, hogy a NAIH az adatvédelmi incidensről késedelem nélkül, de legkésőbb a tudomására jutástól számított 72 órán belül értesítésre kerüljön.

29.3. Ha az adatvédelmi incidens valószínűsíthetően magas (azaz a 29.2 részben leírt kockázattól nagyobb) kockázattal jár az érintettek jogaira és szabadságaira nézve, az adatvédelmi tisztviselő köteles biztosítani, hogy a vonatkozó érintettek az adatvédelmi incidensről közvetlenül, és indokolatlan késedelem nélkül értesüljenek.

29.4. Az adatvédelmi incidens bejelentésnek a következő információkat kell tartalmaznia:

29.4.1. A vonatkozó érintettek kategóriái és hozzávetőleges száma;

29.4.2. A vonatkozó személyes adat nyilvántartások kategóriái és hozzávetőleges száma;

29.4.3. A Vállalkozás adatvédelmi tisztviselőjének neve és elérhetősége (vagy a további tájékoztatást nyújtó egyéb kapcsolattartó);

29.4.4. Az adatvédelmi incidens valószínűsíthető következményei;

29.4.5. A Vállalkozás adatvédelmi incidens orvoslására tett vagy tervezett intézkedései, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

30. A jelen szabályozás végrehajtása

A jelen szabályozás 2018.05.05.-én lép hatályba. A jelen szabályozás egyetlen része sem minősül visszamenőleges hatályúnak, ily módon az kizárólag az e dátumot követően felmerült ügyekre alkalmazandó.

A jelen szabályozást jóváhagyta és engedélyezte:

Név:

Révész Róbert Gábor

Beosztás:

ügyvezető

Dátum:

2018.05.05.

Következő felülvizsgálat dátuma:

2019.05.05.