Rólunk
A D!Sign Solutions Kft. jó nevű, élvonalbeli bútorgyártó cégek képviselője Magyarországon.
2012 óta vagyunk jelen a hazai piacon a MadiLancos Studio belsőépítész irodával közös együttműködésben, azonban önálló cégként.
CÉLUNK:
a kézműves tradíciókkal rendelkező németországi gyárak értékálló, magas minőségű, modern design bútorait eljuttatni Magyarország igényes vásárlóihoz,
valamint a hazai belsőépítészek és lakberendezők számára szélesebbé tenni a minőségi bútor-palettát.
FORGALMAZOTT MÁRKÁK:
molo KFF Chat-Board Rolf Benz Contract
Atelier Vierkant Kymo Ruf-Betten tommy M
Schönbuch bordbar
Szolgáltatásaink
- tanácsadás — belsőépítészeti szaktanácsadás
- tervezés, ajánlat-készítés — helyszíni felmérés, látványterv
- támogatás — online letölthető katalógusok, képek, 3d modellek
- logisztika — helyszínre szállítás
- kivitelezés — helyszíni összeszerelés
Adatvédelmi szabályzatunk
ADATVÉDELMI SZABÁLYZAT
A D! Sign Solutions Kereskedelmi Korlátolt Felelősségű Társaság (a továbbiakban: Társaság vagy Adatkezelő) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi szabályzatot (a továbbiakban: szabályzat) alkotja.
Adatkezelő
neve: D! Sign Solutions Kereskedelmi Korlátolt Felelősségű Társaság
rövidített neve: D! Sign Solutions Kft.
cégjegyzékszáma: 01-09-982481
székhelye: 1011 Budapest, Fő utca 10., 1. lph. I. emelet 1.
e-elérhetősége: info@dsignsolutions.hu
Jelen szabályzatban használt rövidítések:
Infotv. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
Mt. a munka törvénykönyvéről szóló 2012. évi I. törvény
Mvt. a munkavédelemről szóló 1993. évi XCIII. törvény
Ptk. a polgári törvénykönyvről szóló 2013. évi V. törvény
Sztv. a számvitelről szóló 2000. évi C. törvény
NAIH, vagy Hatóság Nemzeti Adatvédelmi és Információszabadság Hatóság
GDPR, vagy Rendelet az Európai Parlament és a Tanács (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet)
A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja az Infotv. 15. §-ában meghatározott, az érintettek tájékoztatáshoz való jogának megvalósulását.
Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozók által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
A szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során az Infotv. 3. § 2. pontjában meghatározott személyes adat kezelése megvalósul.
A szabályzat időbeli hatálya 2018. május 25-től visszavonásig tart.
A jelen szabályzat fogalmi rendszere megegyezik az Infotv.-ben és a GDPR-ban meghatározott értelmező fogalommagyarázatokkal, így különösen:
Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadók.
Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, ezért a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és – amennyiben a Társaságnál kinevezésre vagy megbízásra került, úgy – adatvédelmi tisztviselő ellenőrizheti.
A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel.
A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni.
Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségeket az adatfeldolgozóval kötött megbízási szerződésben érvényesítendőek. Az adatfeldolgozóval a Társaság az Infotv. által előírt Adatfeldolgozói szerződést köt.
A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.
A szabályzatban előírtak betartatásáért a feladatkörében minden érintett szervezeti egység vezetője felelős.
A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el.
A Társaságnál adatvédelmi tisztviselő nem került kinevezésre.
A vezető tisztségviselő az adatvédelemmel kapcsolatosan:
4.1. Adatvédelmi incidens kezelése
Adatvédelmi incidens észlelése és jelentése
A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a szervezeti egysége vezetőjének. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.
Adatvédelmi incidens kivizsgálása, értékelése
A vezető tisztségviselő – informatikai rendszert érintő incidens esetén az IT vezetővel együttműködve – megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér az incidensre vonatkozóan. A vezető tisztségviselő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását. A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 2 munkanapon belül teljesíti a vezető tisztségviselő részére.
Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel a vezető tisztségviselő a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.
A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.
A vizsgálat eredményeként a vezető tisztségviselő javaslatot tesz az adatvédelmi incidenssel érintett szervezeti egység vezetőjének az incidens kezeléshez szükséges intézkedések megtételére.
A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője dönt.
A vizsgálatot legkésőbb a bejelentésnek a vezető tisztségviselőhöz érkezésétől számított három munkanapon belül be kell fejezni.
Az adatvédelmi incidens nyilvántartása
Az adatvédelmi incidensről a vezető tisztségviselő nyilvántartást vezet.
Az adatvédelmi incidens bejelentése a Hatóság részére
A vezető tisztségviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Az érintettek tájékoztatása az adatvédelmi incidensről
Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, a vezető tisztségviselő haladéktalanul értesíti az érintetteket.
Nem kell az érintetteket tájékoztatni:
4.2. Hatásvizsgálat
Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően a Társaság hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők.
A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni.
A személyes adatok kezelésével kapcsolatosan az Adatkezelő kötelezettsége továbbá a kockázatelemzés, amelynek lépései a következők:
Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét és el kell különíteni az objektív és szubjektív kockázati elemeket.
Az elemzés során el kell jutni a teljes kockázatértékelési rendszer kialakításáig, amelyben teljes kockázatpotenciál és kockázat prioritási sorrend (nem az intézkedési rendszerrel azonos) megállapítása kell, hogy megtörténjen. Az elemzés menetét és eredményeit írásba kell foglalni.
A kockázatpotenciálnál meg kell határozni a valószínűség szempontjából
Ez a meghatározás alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében. A kockázatelemzés végrehajtásáért a vezető tisztségviselő felel.
4.3. Érdekmérlegelés
Az Infotv. rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.
Amennyiben a jogalapot a GDPR 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Az adatkezelés jogszerűségének vizsgálatához a Társaság elvégez egy érdekmérlegelési tesztet, mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja.
Az érdekmérlegelési teszt során a Társaság azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja a Társaság. A Társaság a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát, stb.
Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi a Társaság, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére.
A súlyozás elvégzése alapján a Társaság megállapítja, hogy kezelhető-e a személyes adat.
A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy a Társaság az érintett beleegyezése nélkül kezeli a személyes adatot, tehát a Társaság adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait. A Társaság tájékoztatja az érintetteket a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozás lehetőségeiről.
Nem írható elő az ellentétes érdekek és jogok közötti súlyozás eredménye anélkül, hogy eltérő eredményt tenne lehetővé a Társaság az adott eset sajátos körülményeire tekintettel, ezért a Társaság minden egyes esetben külön érdekmérlegelési tesztet végez el.
4.4. Személyazonosító igazolványok fénymásolása
A Társaság nem készít fénymásolatot személyazonosító igazolványokról. A hatósági okmányról készített fénymásolat nem alkalmas a természetes személyek azonosítására, mivel az egyén személyes jelenléte elengedhetetlen a hatósági igazolvány alapján történő személyazonosításhoz. Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. Egy hatósági igazolványról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes hatósági igazolványnak.
Az adatrögzítés és az adatminőség elvének megtartása céljából a Társaság azonban azonosító igazolványairól maszkolt fénymásolatot (vagy szkennelt képet – együtt: fénymásolat) készíthet. A fénymásolás során a Társaság az igazolvány csak azon részeit hagyja fénymásolásra alkalmas, a továbbiakban olvasható állapotban, amely adatokat az érintett egyébként is köteles magáról megadni. A fénymásolat ebben az esetben az adategyeztetés céljából készül. A fénymásolatot a Társaság azonnal és visszavonhatatlanul törli vagy megsemmisíti, a maszkolt igazolvány-fénymásolatokon szereplő adatok a Társaság által kijelölt munkatársa általi összehasonlítását, de legkésőbb a fénymásolat készültét követő 30 nap elteltével.
5.1. Fizikai védelem
A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:
Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Ebben az esetben a Társaság kijelöl egy munkavállalót, aki a megsemmisítésért felelős. A megsemmisítésért felelős munkavállaló a megsemmisítéssel érintett szervezeti egység bevonásával állítja össze a megsemmisítendő iratcsomagot.
Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy a fizikai eszköz megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.
5.2. Informatikai védelem
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
Szerverek biztonsága
A Társaság által kezelt személyes adatok áramlását elektronikus módon szerverek segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével. Mind az adattárolókat, mind pedig a szervereket külön erre a célra kialakított helyiségben kell elhelyezni. Erre a helyiségre vonatkozóan ki kell alakítani egy hozzáférési jogosultsággal rendelkező munkavállaló bázist, akik engedéllyel férhetnek hozzá ezekhez az eszközökhöz és esetlegesen a rajtuk tárolt adatokhoz. A szerverszobába való belépési jogosultságot a munkavállalónak külön kell igényelnie, amit a vezető tisztségviselőnek kell elbírálnia.
A helyiségbe csak a feljogosított személyek léphetnek be.
Jogosultságkezelés
A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez. A szabályozás kiterjed az elektronikus megfigyelőrendszerek informatikai rendszerére és az azokhoz csatlakozó eszközökre.
Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, módosítása, megszűnése) dokumentálni kell.
A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:
Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel a Társaság az ilyen további információt külön tárolja, és technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
A Társaság törekszik – a GDPR-nak való megfelelés érdekében – a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést, a Társaság pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését a Társaság feltüntetett elérhetőségein.
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
A Társaság a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.
A feladat- és hatáskörrel rendelkező szervezeti egység vezetője az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb 25 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ ad.
A tájékoztatás kiterjed az Infotv. 15. § (1) bekezdésében meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg.
A tájékoztatás főszabály szerint ingyenes, költségtérítést Társaság csak az Infotv. 15. § (5) bekezdésében meghatározott esetben számít fel.
A Társaság kérelmet csak az Infotv. 9. § (1) bekezdésében vagy a 19. §-ában meghatározott okokból utasít el, erre csak indoklással, az Infotv. 16. § (2) bekezdésében meghatározott tájékoztatással, írásban kerül sor.
A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, az Infotv. 17. § (2) bekezdésében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törlése iránt.
Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára – de legfeljebb 5 napra – az adatkezelést az adatkezelést végző szervezeti egység vezetője felfüggeszti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt az Infotv. 21. § (2) bekezdésében foglaltak szerint tájékoztatja.
Amennyiben a tiltakozás indokolt, az adatot kezelő szervezeti egység vezetője az Infotv. 21. § (3) bekezdésében meghatározottak szerint jár el.
A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
Az érintett a jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, illetve lakóhelye vagy tartózkodási helye szerinti illetékes törvényszéknél élhet.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1534 Budapest Pf.:834
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/C.
Telefon: 06-1/391-1400
Fax: 36-1/391-1410
e-mail-cím: ugyfelszolgalat@naih.hu
Weboldal: www.naih.hu
Az adatkezelések helye:
1011 Budapest, Fő utca 10., 1. lph. I. emelet 1.
Adatfeldolgozás, adattovábbítás:
Az adott adatkezelésekhez kapcsolódó adatfeldolgozókat és az adattovábbítások címzettjeit az adatvédelmi szabályzat és adatvédelmi tájékoztatók tartalmazzák.
8.1. Munkára jelentkezők adataival kapcsolatos adatkezelés
A Társasághoz történő jelentkezés folyamata
A megfelelő munkavállaló kiválasztásáért a személyügyi területért felelős szakmai vezető felelős, így jelen adatkezeléssel összefüggő feladatok ellátása során köteles az érintettek jogait biztosítani.
Az önéletrajzokkal kapcsolatos közös szabályok
A Társaság a munkára jelentkezés céljából érkezett személyes adatokat tartalmazó önéletrajzok (továbbiakban: CV) esetén nem tesz különbséget azok érkezésének módja között: azonos elbírálás alá esik a papíralapon és az elektronikus módon érkezett CV.
A Társasághoz beérkező minden CV esetében tájékoztató levél kerül megküldésre a jelentkezőnek, amelyben értesítik a további folyamatokról.
A Társaság elsődlegesen tájékoztatást küld meg, amellyel tájékoztatja az érintettet, hogy abban az esetben, amennyiben nem veszi fel vele a továbbiakban a kapcsolatot, úgy az adatkezelést is megszünteti.
A Társaság azonban fenntartja a jogot magának, hogy a szakmailag releváns önéletrajzokat későbbi felhasználás céljából kategorizálja, hogy a később megüresedő vagy betöltendővé váló pozíciók miatt adatbázist építsen belőle. Az adatbázisba kerülő adatokat a beérkezéstől számított 2 évig őrzi meg a Társaság, majd ezen határidő elteltével semmisíti meg, lévén ennyi idő elteltével már vélhetően nem relevánsak a munkakeresés szempontjából az adatok.
Abban az esetben, amennyiben egy jelölt az önéletrajzi adatai alapján érdemes az adatbázisba kerülésre, úgy arról értesítést kap.
Minden, a Társaság előtt feltárt CV esetében az adatkezelésre az Infotv. 5. § (1) a) pontja ad jogalapot.
Az adatkezeléshez adott hozzájárulás visszavonható, erről megfelelő tájékoztatást kap az érintett.
8.2. Munkaviszonnyal kapcsolatos adatkezelés
A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése.
A munkavállalói adatok kezelésére vonatkozóan külön íven szövegezett munkavállalói tájékoztató készült, amelynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről.
8.3. Hozzátartozók adatainak kezelése munkaviszonnyal összefüggésben
A munkaviszony kapcsán a munkavállaló hozzátartozóinak adatait is kezeli a Társaság kedvezmények érvényesítése céljából. Az így beszerzett harmadik személy adatai a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.
8.4. Pénzügyi adatkezelés
A Társaság által kiállított számlák a személyes adatok tekintetében – a magánszemélyek és az egyéni vállalkozók esetén - az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 169. § szerinti kötelező elemeket tartalmazzák: a vevő neve, címe, valamint „esetfüggően” a vevő adószáma (külföldi vevő esetén: közösségi adószám) és bankszámla száma.
A fizetés történhet átutalással vagy készpénzes fizetéssel. Átutalás esetén az ügyféllel kapcsolatba kerülő munkatárs küldi meg a számlázási adatokat a pénzügyi munkatárs részére. Készpénzes fizetés esetén az ügyféllel közvetlenül kapcsolatba kerülő munkatárs veszi fel az ügyféladatokat és számláz az ügyfélnek.
A megkapott adatokat a munkáltató rögzítheti egy külön szoftverbe (számlázó program) is. A szoftverre, és így a nyilvántartásban szereplő adatokra rálát a szoftverfejlesztő és karbantartó cég.
A Társaság a számlák kezeléséhez adatfeldolgozót vesz igénybe. A munkáltató a számlakezeléssel
Hátralékkezelés
A magánszemélyek által igénybevett szolgáltatáshoz kapcsolódóan történhet hátralékkezelés is, amelynek során a hátralékos magánszemély ügyfelek adatait – hátralékkezelési célból – kezelheti a Társaság és továbbíthatja külsős ügyvédi iroda részére.
adatkezelés célja: adatkezelő szolgáltatási területén ügyféladatok kezelése hátralékkezelés céljából
kezelt adatok köre:
Magánszemély esetében: az adós családi és utóneve, lakóhelyének, tartózkodási és értesítési helyének címe, a szolgáltatást igénybevevő születési dátuma, születési helye és az anyja neve.
adatkezelés jogalapja: a bírósági végrehajtásról szóló 1994. évi LIII. törvény 11. § (2) bekezdése, valamint az Infotv. 6. § (5) b) pontja
adattárolás határideje: a hátralék kiegyenlítése, vagy a hátralékkal kapcsolatos polgári jogi igények elévülése (5 év)
adattárolás módja: papíralapon és elektronikusan
Irattárazás
A Társaság fenntartja a jogot, hogy a pénzügyi adatkezelése során kiállított számlák kezelésével (így különösen azok kategorizálásával, tárolásával, selejtezésével) harmadik felet bízzon meg. A harmadik fél a számlák kezelése során köteles betartani a Társaság iratkezelési szabályait. Amennyiben harmadik felet bíz meg a Társaság, úgy az adatvédelmi tájékoztatóban adatfeldolgozóként kerül feltüntetésre.
A Társaság a számlák kezeléséhez adatfeldolgozót vesz igénybe. A munkáltató a számlakezeléssel
adatkezelés célja: számlázás, jogok és kötelezettségek nyilvántartása
kezelt adatok köre: magánszemély esetén: név, cím, számlázással kapcsolatos adatok,
egyéni vállalkozó beszállító esetén: név, cím, adószám, számlavezető pénzintézet neve, bankszámlaszám
adatkezelés jogalapja: az Sztv. 169. § (1)-(2)-ben szereplő törvényi rendelkezés
adattárolás határideje: az adatfelvételtől számított 8 év [Sztv. 169. § (1)-(2)]
adatkezelés módja: papíralapon és elektronikusan
8.5. Értékesítés
Az értékesítési tevékenység business to business módon történik, a tevékenység ellátása során túlnyomórészt jogi személyekkel kerül kapcsolatba a Társaság.
A Társaság fő tevékenysége bútor, szőnyeg, világítóberendezés nagykereskedelem.
A szolgáltatás ellátása során elsősorban jogi személyekkel áll kapcsolatban a Társaság, amelyekkel minden esetben szerződést kötnek. A szerződésben cégadatok kerülnek felvételre, valamint a kapcsolattartási adatok.
A kereskedelmi tevékenységgel kapcsolódóan alvállalkozókkal, beszállítókkal is szerződéses kapcsolatba kerül a Társaság, ugyanazon adatokat veszik fel, mint a partnerek esetében.
A felvett ügyféladatok elektronikus ügyféladatbázisba kerülhetnek, amely adatbázisba minden releváns adat bekerül az ügyféllel kapcsolatban.
Az adatbázisba az ügyféllel kapcsolatba kerülő munkatárs viszi fel az ügyféladatokat. Az adatbázishoz a Társaságon belül több munkatárs is hozzáfér, de csak egy meghatározott kör, akinek a munkaköréből adódóan ez szükséges.
Papíralapon kerülnek tárolásra a szerződések és az eseti megbízások során kapcsolattartói adatlapok, ahol személyes adatok felvételére szintén csak a kapcsolattartók, egyéni vállalkozók esetén kerül sor.
Az ügyfelek fenti adatkezelésével kapcsolatban külön íven szövegezett ügyféltájékoztató készül, amely a jelen szabályzat elhelyezésével azonos helyen megtekinthető.
adatkezelés célja: az ügyfelekkel történő szerződéskötés, megrendelt szolgáltatások teljesítéséhez szükséges kapcsolattartás, a vásárlás és a fizetés dokumentálása, számviteli kötelezettség teljesítése,
kezelt adatok köre: az ügyfél szerződéskötéshez szükséges adatai, kapcsolattartójának neve, telefonszáma, e-mail címe
adatkezelés jogalapja: az Infotv. 5. § (1) a) szerinti érintetti hozzájárulása és jogszabályi felhatalmazás (Sztv.)
adattárolás határideje: az adatfelvételtől számított 8 évig
adattárolás módja: elektronikus, szerződések esetében papíralapon
9. Kapcsolatfelvétel a Társasággal
A Társaság lehetőséget biztosít arra, hogy az érdeklődő felvegye a Társasággal a kapcsolatot. A megkereséseket a Társaság rögzíti, a megadott személyes adatokat a megkeresés céljával összefüggő határideig tárolja.
adatkezelés célja: a Társasággal történő kapcsolatfelvétel elősegítése
kezelt adatok köre: név, e-mail cím, telefonszám, kapcsolatfelvétel tárgya, üzenet szövege
adatkezelés jogalapja: az Infotv. 5. § (1) a) szerinti érintetti hozzájárulása
adattárolás határideje: a kapcsolatfelvételi ügy elintézéséig (a cél megvalósulásáig), vagy az érintett adatkezelő felé intézett törlési kérelméig tart az adatkezelés.
adattárolás módja: elektronikus
10. Honlap és hírlevél
A Társaság az általa nyújtott szolgáltatások értékesítéséhez kapcsolódóan a weboldalán, valamint az e-mailes és telefonos kapcsolattartás során személyes adatok megadását kérheti:
- kapcsolattartó neve, - e-mail címe, - telefonszáma.
Az adatkezelés célja a www.dsignsolutions.hu weboldalon (Weboldal) elérhető szolgáltatások nyújtásának biztosítása, és a szolgáltatások támogatása, valamint az igénybe vevőkkel történő kapcsolatfelvétel lehetőségének biztosítása. A Társaság a rendelkezésre bocsátott adatokat célhoz kötötten, kizárólag a megrendelések teljesítése, a számlázás lehetővé tétele, szolgáltatás nyújtása, kapcsolattartás, illetve hírlevél küldése érdekében kezeli.
Az érintett a hozzájárulást az egyes adatkezelések tekintetében a Weboldal használatával, a regisztrációval, hírlevélre való feliratkozással, vagy a kérdéses adatok önkéntes megadásával adja meg.
A Társaság a megadott személyes adatokat a fenti céloktól eltérő célokra soha nem használja. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – kivéve, ha jogszabály ettől eltérően rendelkezik – kizárólag az érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
A Társaság a megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel. E-mail címének megadásakor egyben az érintett mindig felelősséget vállal azért, hogy a megadott e-mail címről kizárólag saját maga vesz igénybe szolgáltatást. Ezen felelősségvállalásra tekintettel, egy megadott e-mail címen történt kapcsolatfelvétellel vagy megrendeléssel összefüggő mindennemű felelősség kizárólag azt terheli, aki az e-mail címet regisztrálta.
E-mail és hírlevél
A Társaság kiemelt figyelmet fordít az általa kezelt elektronikus levélcímek felhasználásnak jogszerűségére, így azokat csak az alábbiakban meghatározott módon használja fel (tájékoztató vagy reklám) e-mail küldésére.
Az e-mail címek kezelése elsősorban a partner azonosítását, illetve a megrendelések teljesítése, szolgáltatások igénybevétele során a kapcsolattartást szolgálja, így elsősorban ennek érdekében kerül sor e-mail küldésére.
A nyújtott szolgáltatások változása esetén a változásokra vonatkozó, valamint a egyéb hasonló szolgáltatásokra, termékekre vonatkozó tájékoztatást bizonyos esetekben elektronikus formában, e-mailben juttatjuk el a partnerek részére.
A Weboldalon keresztül személyre szabott hírlevélre történő feliratkozásra lehet lehetőség. A lehetőség igénybevételével kapcsolatosan a hírlevélre feliratkozó felhasználó önkéntes adatszolgáltatás keretében az alábbi személyes adatait adja át kezelésre a Társaságnak:
- név, - e-mail cím, - hírlevelekkel kapcsolatos érdeklődési kör
Hírlevél esetében a Társaság mindaddig kezeli a feliratkozása során megadott adatokat, ameddig a hírlevélről le nem iratkozik, azaz nem kéri a levételét a feliratkozók listájából e-mailben vagy postai úton. Leiratkozás esetén a további hírlevelekkel, ajánlatokkal a Társaság nem keresi meg a partnert. Az érintett bármikor leiratkozhat a hírlevélről és hozzájárulását visszavonhatja.
11. Jogorvoslati lehetőségek
Amennyiben bármely érintett úgy érzi, hogy a Társaság vagy annak valamely dolgozója megsértette a személyes adatainak védelméhez fűződő jogát, kérjük, vegye fel a kapcsolatot a Társasággal valamely elérhetőségünk útján, hogy a problémát mielőbb megoldhassuk.
A Társaság elérhetőségei a tájékoztató elején olvashatóak.
Ha bármely érintett úgy véli, hogy a Társaság a problémájával kapcsolatban nem tette meg a megfelelő lépéseket, lehetősége van a továbbiakban bírósághoz, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulni.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1534 Budapest Pf.:834
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/C.
Telefon: 06-1/391-1400
Fax: 36-1/391-1410
e-mail-cím: ugyfelszolgalat@naih.hu
Weboldal: www.naih.hu
12. Kikötés
Az adatkezelő fenntartja a jogot, hogy szükséges esetben adatvédelmi szabályzatát megváltoztassa. Erre azon esetekben kerülhet sor, ha a szolgáltatások köre bővül, a technikai rendszer megváltozik, vagy azt jogszabály kötelezővé teszi. Azonban ilyen jellegű módosítás nem jelentheti a személyes adatok eredeti céltól való eltérő kezelését.
A D! Sign Solutions Kereskedelmi Korlátolt Felelősségű Társaság (a továbbiakban: Társaság vagy Adatkezelő) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi szabályzatot (a továbbiakban: szabályzat) alkotja.
Adatkezelő
neve: D! Sign Solutions Kereskedelmi Korlátolt Felelősségű Társaság
rövidített neve: D! Sign Solutions Kft.
cégjegyzékszáma: 01-09-982481
székhelye: 1011 Budapest, Fő utca 10., 1. lph. I. emelet 1.
e-elérhetősége: info@dsignsolutions.hu
Jelen szabályzatban használt rövidítések:
Infotv. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
Mt. a munka törvénykönyvéről szóló 2012. évi I. törvény
Mvt. a munkavédelemről szóló 1993. évi XCIII. törvény
Ptk. a polgári törvénykönyvről szóló 2013. évi V. törvény
Sztv. a számvitelről szóló 2000. évi C. törvény
NAIH, vagy Hatóság Nemzeti Adatvédelmi és Információszabadság Hatóság
GDPR, vagy Rendelet az Európai Parlament és a Tanács (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet)
1.A szabályzat célja és hatálya
A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja az Infotv. 15. §-ában meghatározott, az érintettek tájékoztatáshoz való jogának megvalósulását.
Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozók által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
A szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során az Infotv. 3. § 2. pontjában meghatározott személyes adat kezelése megvalósul.
A szabályzat időbeli hatálya 2018. május 25-től visszavonásig tart.
2.Fogalmak
A jelen szabályzat fogalmi rendszere megegyezik az Infotv.-ben és a GDPR-ban meghatározott értelmező fogalommagyarázatokkal, így különösen:
- Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
- Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés;
-
Különleges adat:
- a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
- az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
- Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
- Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
- Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
- Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
- Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
- Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
- Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
- Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
- Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
- Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;
- Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
- Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
- Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés;
- Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadók.
3.Az adatkezelések szabályai
Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, ezért a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és – amennyiben a Társaságnál kinevezésre vagy megbízásra került, úgy – adatvédelmi tisztviselő ellenőrizheti.
A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel.
A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni.
Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségeket az adatfeldolgozóval kötött megbízási szerződésben érvényesítendőek. Az adatfeldolgozóval a Társaság az Infotv. által előírt Adatfeldolgozói szerződést köt.
4.A Társaság adatvédelmi rendszere
A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.
A szabályzatban előírtak betartatásáért a feladatkörében minden érintett szervezeti egység vezetője felelős.
A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el.
A Társaságnál adatvédelmi tisztviselő nem került kinevezésre.
A vezető tisztségviselő az adatvédelemmel kapcsolatosan:
- felelős az érintettek Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
- felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
- felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
- vizsgálatot rendelhet el;
- ellenőrzi az adatvédelmi jogszabályoknak, valamint a Társaság belső szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyek tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
- együttműködik a NAIH-val;
- az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint bármely egyéb kérdésben konzultációt folytat le.
- kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.
4.1. Adatvédelmi incidens kezelése
Adatvédelmi incidens észlelése és jelentése
A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a szervezeti egysége vezetőjének. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.
Adatvédelmi incidens kivizsgálása, értékelése
A vezető tisztségviselő – informatikai rendszert érintő incidens esetén az IT vezetővel együttműködve – megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér az incidensre vonatkozóan. A vezető tisztségviselő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását. A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 2 munkanapon belül teljesíti a vezető tisztségviselő részére.
Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel a vezető tisztségviselő a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.
A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.
A vizsgálat eredményeként a vezető tisztségviselő javaslatot tesz az adatvédelmi incidenssel érintett szervezeti egység vezetőjének az incidens kezeléshez szükséges intézkedések megtételére.
A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője dönt.
A vizsgálatot legkésőbb a bejelentésnek a vezető tisztségviselőhöz érkezésétől számított három munkanapon belül be kell fejezni.
Az adatvédelmi incidens nyilvántartása
Az adatvédelmi incidensről a vezető tisztségviselő nyilvántartást vezet.
Az adatvédelmi incidens bejelentése a Hatóság részére
A vezető tisztségviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Az érintettek tájékoztatása az adatvédelmi incidensről
Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, a vezető tisztségviselő haladéktalanul értesíti az érintetteket.
Nem kell az érintetteket tájékoztatni:
- ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét.
- ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.
- ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.
4.2. Hatásvizsgálat
Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően a Társaság hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők.
A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni.
A személyes adatok kezelésével kapcsolatosan az Adatkezelő kötelezettsége továbbá a kockázatelemzés, amelynek lépései a következők:
- a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
- kockázati lista felállítása,
- az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása és
- ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.
Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét és el kell különíteni az objektív és szubjektív kockázati elemeket.
Az elemzés során el kell jutni a teljes kockázatértékelési rendszer kialakításáig, amelyben teljes kockázatpotenciál és kockázat prioritási sorrend (nem az intézkedési rendszerrel azonos) megállapítása kell, hogy megtörténjen. Az elemzés menetét és eredményeit írásba kell foglalni.
A kockázatpotenciálnál meg kell határozni a valószínűség szempontjából
- kicsi
- közepes
- és nagy bekövetkezésű kockázatokat,
- kicsi
- közepes
- és nagy horderejű kockázatokat.
Ez a meghatározás alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében. A kockázatelemzés végrehajtásáért a vezető tisztségviselő felel.
4.3. Érdekmérlegelés
Az Infotv. rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.
Amennyiben a jogalapot a GDPR 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Az adatkezelés jogszerűségének vizsgálatához a Társaság elvégez egy érdekmérlegelési tesztet, mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja.
Az érdekmérlegelési teszt során a Társaság azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja a Társaság. A Társaság a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát, stb.
Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi a Társaság, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére.
A súlyozás elvégzése alapján a Társaság megállapítja, hogy kezelhető-e a személyes adat.
A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy a Társaság az érintett beleegyezése nélkül kezeli a személyes adatot, tehát a Társaság adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait. A Társaság tájékoztatja az érintetteket a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozás lehetőségeiről.
Nem írható elő az ellentétes érdekek és jogok közötti súlyozás eredménye anélkül, hogy eltérő eredményt tenne lehetővé a Társaság az adott eset sajátos körülményeire tekintettel, ezért a Társaság minden egyes esetben külön érdekmérlegelési tesztet végez el.
4.4. Személyazonosító igazolványok fénymásolása
A Társaság nem készít fénymásolatot személyazonosító igazolványokról. A hatósági okmányról készített fénymásolat nem alkalmas a természetes személyek azonosítására, mivel az egyén személyes jelenléte elengedhetetlen a hatósági igazolvány alapján történő személyazonosításhoz. Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. Egy hatósági igazolványról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes hatósági igazolványnak.
Az adatrögzítés és az adatminőség elvének megtartása céljából a Társaság azonban azonosító igazolványairól maszkolt fénymásolatot (vagy szkennelt képet – együtt: fénymásolat) készíthet. A fénymásolás során a Társaság az igazolvány csak azon részeit hagyja fénymásolásra alkalmas, a továbbiakban olvasható állapotban, amely adatokat az érintett egyébként is köteles magáról megadni. A fénymásolat ebben az esetben az adategyeztetés céljából készül. A fénymásolatot a Társaság azonnal és visszavonhatatlanul törli vagy megsemmisíti, a maszkolt igazolvány-fénymásolatokon szereplő adatok a Társaság által kijelölt munkatársa általi összehasonlítását, de legkésőbb a fénymásolat készültét követő 30 nap elteltével.
5.Adatbiztonsági szabályok
5.1. Fizikai védelem
A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:
- az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
- a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
- a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
- a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
- a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
- amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.
Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Ebben az esetben a Társaság kijelöl egy munkavállalót, aki a megsemmisítésért felelős. A megsemmisítésért felelős munkavállaló a megsemmisítéssel érintett szervezeti egység bevonásával állítja össze a megsemmisítendő iratcsomagot.
Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy a fizikai eszköz megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.
5.2. Informatikai védelem
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
- az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a Társaság;
- a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen, illetve indokolt esetben gondoskodik;
- az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
- a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
- amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
- a hálózaton tárolt adatok biztonsága érdekében a szerverek esetén magas rendelkezésre állású infrastruktúrán történik mentésekkel és archiválással kerüli el a Társaság az adatvesztést;
- a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik;
- a lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt;
- a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
- a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
Szerverek biztonsága
A Társaság által kezelt személyes adatok áramlását elektronikus módon szerverek segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével. Mind az adattárolókat, mind pedig a szervereket külön erre a célra kialakított helyiségben kell elhelyezni. Erre a helyiségre vonatkozóan ki kell alakítani egy hozzáférési jogosultsággal rendelkező munkavállaló bázist, akik engedéllyel férhetnek hozzá ezekhez az eszközökhöz és esetlegesen a rajtuk tárolt adatokhoz. A szerverszobába való belépési jogosultságot a munkavállalónak külön kell igényelnie, amit a vezető tisztségviselőnek kell elbírálnia.
A helyiségbe csak a feljogosított személyek léphetnek be.
Jogosultságkezelés
A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez. A szabályozás kiterjed az elektronikus megfigyelőrendszerek informatikai rendszerére és az azokhoz csatlakozó eszközökre.
Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, módosítása, megszűnése) dokumentálni kell.
A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:
-
Alapelvek
- Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az IT vezető végzi.
- A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
- El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek.
- Adminisztrátori jogosultsággal rendelkező nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezető tisztségviselője vagy akadályoztatása esetén helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
- Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.
6.Álnevesítés
Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel a Társaság az ilyen további információt külön tárolja, és technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
A Társaság törekszik – a GDPR-nak való megfelelés érdekében – a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést, a Társaság pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
7.Az érintettek jogainak érvényesítése
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését a Társaság feltüntetett elérhetőségein.
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
A Társaság a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.
A feladat- és hatáskörrel rendelkező szervezeti egység vezetője az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb 25 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ ad.
A tájékoztatás kiterjed az Infotv. 15. § (1) bekezdésében meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg.
A tájékoztatás főszabály szerint ingyenes, költségtérítést Társaság csak az Infotv. 15. § (5) bekezdésében meghatározott esetben számít fel.
A Társaság kérelmet csak az Infotv. 9. § (1) bekezdésében vagy a 19. §-ában meghatározott okokból utasít el, erre csak indoklással, az Infotv. 16. § (2) bekezdésében meghatározott tájékoztatással, írásban kerül sor.
A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, az Infotv. 17. § (2) bekezdésében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törlése iránt.
Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára – de legfeljebb 5 napra – az adatkezelést az adatkezelést végző szervezeti egység vezetője felfüggeszti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt az Infotv. 21. § (2) bekezdésében foglaltak szerint tájékoztatja.
Amennyiben a tiltakozás indokolt, az adatot kezelő szervezeti egység vezetője az Infotv. 21. § (3) bekezdésében meghatározottak szerint jár el.
A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
Az érintett a jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, illetve lakóhelye vagy tartózkodási helye szerinti illetékes törvényszéknél élhet.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1534 Budapest Pf.:834
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/C.
Telefon: 06-1/391-1400
Fax: 36-1/391-1410
e-mail-cím: ugyfelszolgalat@naih.hu
Weboldal: www.naih.hu
8.A Társaságnál megvalósuló adatkezelések
Az adatkezelések helye:
1011 Budapest, Fő utca 10., 1. lph. I. emelet 1.
Adatfeldolgozás, adattovábbítás:
Az adott adatkezelésekhez kapcsolódó adatfeldolgozókat és az adattovábbítások címzettjeit az adatvédelmi szabályzat és adatvédelmi tájékoztatók tartalmazzák.
8.1. Munkára jelentkezők adataival kapcsolatos adatkezelés
A Társasághoz történő jelentkezés folyamata
A megfelelő munkavállaló kiválasztásáért a személyügyi területért felelős szakmai vezető felelős, így jelen adatkezeléssel összefüggő feladatok ellátása során köteles az érintettek jogait biztosítani.
Az önéletrajzokkal kapcsolatos közös szabályok
A Társaság a munkára jelentkezés céljából érkezett személyes adatokat tartalmazó önéletrajzok (továbbiakban: CV) esetén nem tesz különbséget azok érkezésének módja között: azonos elbírálás alá esik a papíralapon és az elektronikus módon érkezett CV.
A Társasághoz beérkező minden CV esetében tájékoztató levél kerül megküldésre a jelentkezőnek, amelyben értesítik a további folyamatokról.
A Társaság elsődlegesen tájékoztatást küld meg, amellyel tájékoztatja az érintettet, hogy abban az esetben, amennyiben nem veszi fel vele a továbbiakban a kapcsolatot, úgy az adatkezelést is megszünteti.
A Társaság azonban fenntartja a jogot magának, hogy a szakmailag releváns önéletrajzokat későbbi felhasználás céljából kategorizálja, hogy a később megüresedő vagy betöltendővé váló pozíciók miatt adatbázist építsen belőle. Az adatbázisba kerülő adatokat a beérkezéstől számított 2 évig őrzi meg a Társaság, majd ezen határidő elteltével semmisíti meg, lévén ennyi idő elteltével már vélhetően nem relevánsak a munkakeresés szempontjából az adatok.
Abban az esetben, amennyiben egy jelölt az önéletrajzi adatai alapján érdemes az adatbázisba kerülésre, úgy arról értesítést kap.
Minden, a Társaság előtt feltárt CV esetében az adatkezelésre az Infotv. 5. § (1) a) pontja ad jogalapot.
Az adatkezeléshez adott hozzájárulás visszavonható, erről megfelelő tájékoztatást kap az érintett.
8.2. Munkaviszonnyal kapcsolatos adatkezelés
A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése.
A munkavállalói adatok kezelésére vonatkozóan külön íven szövegezett munkavállalói tájékoztató készült, amelynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről.
8.3. Hozzátartozók adatainak kezelése munkaviszonnyal összefüggésben
A munkaviszony kapcsán a munkavállaló hozzátartozóinak adatait is kezeli a Társaság kedvezmények érvényesítése céljából. Az így beszerzett harmadik személy adatai a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.
8.4. Pénzügyi adatkezelés
A Társaság által kiállított számlák a személyes adatok tekintetében – a magánszemélyek és az egyéni vállalkozók esetén - az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 169. § szerinti kötelező elemeket tartalmazzák: a vevő neve, címe, valamint „esetfüggően” a vevő adószáma (külföldi vevő esetén: közösségi adószám) és bankszámla száma.
A fizetés történhet átutalással vagy készpénzes fizetéssel. Átutalás esetén az ügyféllel kapcsolatba kerülő munkatárs küldi meg a számlázási adatokat a pénzügyi munkatárs részére. Készpénzes fizetés esetén az ügyféllel közvetlenül kapcsolatba kerülő munkatárs veszi fel az ügyféladatokat és számláz az ügyfélnek.
A megkapott adatokat a munkáltató rögzítheti egy külön szoftverbe (számlázó program) is. A szoftverre, és így a nyilvántartásban szereplő adatokra rálát a szoftverfejlesztő és karbantartó cég.
A Társaság a számlák kezeléséhez adatfeldolgozót vesz igénybe. A munkáltató a számlakezeléssel
- az Ár-Túr Kft.-t (székhelye: 1149 Budapest, Egressy út 96-98. A. ép. 1. em. 8. adószáma: 11271033-2-42 a továbbiakban: adatfeldolgozó) bízta meg.
Hátralékkezelés
A magánszemélyek által igénybevett szolgáltatáshoz kapcsolódóan történhet hátralékkezelés is, amelynek során a hátralékos magánszemély ügyfelek adatait – hátralékkezelési célból – kezelheti a Társaság és továbbíthatja külsős ügyvédi iroda részére.
adatkezelés célja: adatkezelő szolgáltatási területén ügyféladatok kezelése hátralékkezelés céljából
kezelt adatok köre:
Magánszemély esetében: az adós családi és utóneve, lakóhelyének, tartózkodási és értesítési helyének címe, a szolgáltatást igénybevevő születési dátuma, születési helye és az anyja neve.
adatkezelés jogalapja: a bírósági végrehajtásról szóló 1994. évi LIII. törvény 11. § (2) bekezdése, valamint az Infotv. 6. § (5) b) pontja
adattárolás határideje: a hátralék kiegyenlítése, vagy a hátralékkal kapcsolatos polgári jogi igények elévülése (5 év)
adattárolás módja: papíralapon és elektronikusan
Irattárazás
A Társaság fenntartja a jogot, hogy a pénzügyi adatkezelése során kiállított számlák kezelésével (így különösen azok kategorizálásával, tárolásával, selejtezésével) harmadik felet bízzon meg. A harmadik fél a számlák kezelése során köteles betartani a Társaság iratkezelési szabályait. Amennyiben harmadik felet bíz meg a Társaság, úgy az adatvédelmi tájékoztatóban adatfeldolgozóként kerül feltüntetésre.
A Társaság a számlák kezeléséhez adatfeldolgozót vesz igénybe. A munkáltató a számlakezeléssel
- az Ár-Túr Kft.-t (székhelye: 1149 Budapest, Egressy út 96-98. A. ép. 1. em. 8. adószáma: 11271033-2-42 a továbbiakban: adatfeldolgozó) bízta meg.
adatkezelés célja: számlázás, jogok és kötelezettségek nyilvántartása
kezelt adatok köre: magánszemély esetén: név, cím, számlázással kapcsolatos adatok,
egyéni vállalkozó beszállító esetén: név, cím, adószám, számlavezető pénzintézet neve, bankszámlaszám
adatkezelés jogalapja: az Sztv. 169. § (1)-(2)-ben szereplő törvényi rendelkezés
adattárolás határideje: az adatfelvételtől számított 8 év [Sztv. 169. § (1)-(2)]
adatkezelés módja: papíralapon és elektronikusan
8.5. Értékesítés
Az értékesítési tevékenység business to business módon történik, a tevékenység ellátása során túlnyomórészt jogi személyekkel kerül kapcsolatba a Társaság.
A Társaság fő tevékenysége bútor, szőnyeg, világítóberendezés nagykereskedelem.
A szolgáltatás ellátása során elsősorban jogi személyekkel áll kapcsolatban a Társaság, amelyekkel minden esetben szerződést kötnek. A szerződésben cégadatok kerülnek felvételre, valamint a kapcsolattartási adatok.
A kereskedelmi tevékenységgel kapcsolódóan alvállalkozókkal, beszállítókkal is szerződéses kapcsolatba kerül a Társaság, ugyanazon adatokat veszik fel, mint a partnerek esetében.
A felvett ügyféladatok elektronikus ügyféladatbázisba kerülhetnek, amely adatbázisba minden releváns adat bekerül az ügyféllel kapcsolatban.
Az adatbázisba az ügyféllel kapcsolatba kerülő munkatárs viszi fel az ügyféladatokat. Az adatbázishoz a Társaságon belül több munkatárs is hozzáfér, de csak egy meghatározott kör, akinek a munkaköréből adódóan ez szükséges.
Papíralapon kerülnek tárolásra a szerződések és az eseti megbízások során kapcsolattartói adatlapok, ahol személyes adatok felvételére szintén csak a kapcsolattartók, egyéni vállalkozók esetén kerül sor.
Az ügyfelek fenti adatkezelésével kapcsolatban külön íven szövegezett ügyféltájékoztató készül, amely a jelen szabályzat elhelyezésével azonos helyen megtekinthető.
adatkezelés célja: az ügyfelekkel történő szerződéskötés, megrendelt szolgáltatások teljesítéséhez szükséges kapcsolattartás, a vásárlás és a fizetés dokumentálása, számviteli kötelezettség teljesítése,
kezelt adatok köre: az ügyfél szerződéskötéshez szükséges adatai, kapcsolattartójának neve, telefonszáma, e-mail címe
adatkezelés jogalapja: az Infotv. 5. § (1) a) szerinti érintetti hozzájárulása és jogszabályi felhatalmazás (Sztv.)
adattárolás határideje: az adatfelvételtől számított 8 évig
adattárolás módja: elektronikus, szerződések esetében papíralapon
9. Kapcsolatfelvétel a Társasággal
A Társaság lehetőséget biztosít arra, hogy az érdeklődő felvegye a Társasággal a kapcsolatot. A megkereséseket a Társaság rögzíti, a megadott személyes adatokat a megkeresés céljával összefüggő határideig tárolja.
adatkezelés célja: a Társasággal történő kapcsolatfelvétel elősegítése
kezelt adatok köre: név, e-mail cím, telefonszám, kapcsolatfelvétel tárgya, üzenet szövege
adatkezelés jogalapja: az Infotv. 5. § (1) a) szerinti érintetti hozzájárulása
adattárolás határideje: a kapcsolatfelvételi ügy elintézéséig (a cél megvalósulásáig), vagy az érintett adatkezelő felé intézett törlési kérelméig tart az adatkezelés.
adattárolás módja: elektronikus
10. Honlap és hírlevél
A Társaság az általa nyújtott szolgáltatások értékesítéséhez kapcsolódóan a weboldalán, valamint az e-mailes és telefonos kapcsolattartás során személyes adatok megadását kérheti:
- kapcsolattartó neve, - e-mail címe, - telefonszáma.
Az adatkezelés célja a www.dsignsolutions.hu weboldalon (Weboldal) elérhető szolgáltatások nyújtásának biztosítása, és a szolgáltatások támogatása, valamint az igénybe vevőkkel történő kapcsolatfelvétel lehetőségének biztosítása. A Társaság a rendelkezésre bocsátott adatokat célhoz kötötten, kizárólag a megrendelések teljesítése, a számlázás lehetővé tétele, szolgáltatás nyújtása, kapcsolattartás, illetve hírlevél küldése érdekében kezeli.
Az érintett a hozzájárulást az egyes adatkezelések tekintetében a Weboldal használatával, a regisztrációval, hírlevélre való feliratkozással, vagy a kérdéses adatok önkéntes megadásával adja meg.
A Társaság a megadott személyes adatokat a fenti céloktól eltérő célokra soha nem használja. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – kivéve, ha jogszabály ettől eltérően rendelkezik – kizárólag az érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
A Társaság a megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel. E-mail címének megadásakor egyben az érintett mindig felelősséget vállal azért, hogy a megadott e-mail címről kizárólag saját maga vesz igénybe szolgáltatást. Ezen felelősségvállalásra tekintettel, egy megadott e-mail címen történt kapcsolatfelvétellel vagy megrendeléssel összefüggő mindennemű felelősség kizárólag azt terheli, aki az e-mail címet regisztrálta.
E-mail és hírlevél
A Társaság kiemelt figyelmet fordít az általa kezelt elektronikus levélcímek felhasználásnak jogszerűségére, így azokat csak az alábbiakban meghatározott módon használja fel (tájékoztató vagy reklám) e-mail küldésére.
Az e-mail címek kezelése elsősorban a partner azonosítását, illetve a megrendelések teljesítése, szolgáltatások igénybevétele során a kapcsolattartást szolgálja, így elsősorban ennek érdekében kerül sor e-mail küldésére.
A nyújtott szolgáltatások változása esetén a változásokra vonatkozó, valamint a egyéb hasonló szolgáltatásokra, termékekre vonatkozó tájékoztatást bizonyos esetekben elektronikus formában, e-mailben juttatjuk el a partnerek részére.
A Weboldalon keresztül személyre szabott hírlevélre történő feliratkozásra lehet lehetőség. A lehetőség igénybevételével kapcsolatosan a hírlevélre feliratkozó felhasználó önkéntes adatszolgáltatás keretében az alábbi személyes adatait adja át kezelésre a Társaságnak:
- név, - e-mail cím, - hírlevelekkel kapcsolatos érdeklődési kör
Hírlevél esetében a Társaság mindaddig kezeli a feliratkozása során megadott adatokat, ameddig a hírlevélről le nem iratkozik, azaz nem kéri a levételét a feliratkozók listájából e-mailben vagy postai úton. Leiratkozás esetén a további hírlevelekkel, ajánlatokkal a Társaság nem keresi meg a partnert. Az érintett bármikor leiratkozhat a hírlevélről és hozzájárulását visszavonhatja.
11. Jogorvoslati lehetőségek
Amennyiben bármely érintett úgy érzi, hogy a Társaság vagy annak valamely dolgozója megsértette a személyes adatainak védelméhez fűződő jogát, kérjük, vegye fel a kapcsolatot a Társasággal valamely elérhetőségünk útján, hogy a problémát mielőbb megoldhassuk.
A Társaság elérhetőségei a tájékoztató elején olvashatóak.
Ha bármely érintett úgy véli, hogy a Társaság a problémájával kapcsolatban nem tette meg a megfelelő lépéseket, lehetősége van a továbbiakban bírósághoz, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulni.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1534 Budapest Pf.:834
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/C.
Telefon: 06-1/391-1400
Fax: 36-1/391-1410
e-mail-cím: ugyfelszolgalat@naih.hu
Weboldal: www.naih.hu
12. Kikötés
Az adatkezelő fenntartja a jogot, hogy szükséges esetben adatvédelmi szabályzatát megváltoztassa. Erre azon esetekben kerülhet sor, ha a szolgáltatások köre bővül, a technikai rendszer megváltozik, vagy azt jogszabály kötelezővé teszi. Azonban ilyen jellegű módosítás nem jelentheti a személyes adatok eredeti céltól való eltérő kezelését.
