ADATVÉDELMI SZABÁLYZAT
Az Adatkezelő megnevezése:
Cégnév: Beton Zóna Kft.
Székhely: 2370 Dabas, Wesselényi utca 9. Telephely: 2363 Felsőpakony, TSZ dűlő 2. Cégjegyzékszám: 13-09-234728
Képviselő neve: Váczi Balázs
Telefonszám: +36-70/554-91-94
E-mail címe: info@betonzona.hu
(a továbbiakban Adatkezelő)
Jelen Adatvédelmi szabályzat tartalmazza az Adatkezelő belső adatvédelmi szabályait. Alkalmazása és betartása valamennyi munkavállaló, foglalkoztatott számára kötelező.
A Beton Zóna Kft fenntartja a jogát, és egyben kötelezettséget vállal arra, hogy a jelen Szabályzat tartalmát a mindenkor hatályos jogszabályi rendelkezéseknek megfelelően, továbbá a szolgáltatások változása esetén annak megfelelően, egyoldalúan módosítsa. A jelen Szabályzat bármilyen változásáról a Beton Zóna Kft. az érintetteket a változással egyidejűleg értesíti a www.betonzona.hu honlapon. Amennyiben kérdése lenne jelen Szabályzattal kapcsolatosan, kérjük, írja meg nekünk a info@betonzona.hu e-mail címünkre.
Ellenkező tájékoztatás hiányában a Szabályzat hatálya nem terjed ki azon szolgáltatásokra és adatkezelésekre, amelyek A Beton Zóna Kft honlapján hirdető, vagy azon más módon megjelenő partnerek hatáskörébe tartoznak.
D a b a s, 2024. november 1.
…………………………………………………….
Váczi Balázs
ügyvezető
TARTALOMJEGYZÉK
I. FEJEZET - ÁLTALÁNOS RENDELKEZÉSEK
1. A Szabályzat célja
2. A Szabályzat hatálya
II. FEJEZET - AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK 1. Az adatkezelési tevékenység végzésének alapvető szabálya 2. Az adatkezelési tevékenységek azonosítása és nyilvántartása 3. Belső nyilvántartások, adatbázisok vezetésének adatvédelmi szabályai 4. Az érintett tájékoztatása
5. Adatkezelési incidensek jelentése
6. Eljárás 16. életévét be nem töltött kiskorú érintett esetén
7. Eljárás adatfeldolgozó igénybevétele esetén
8. Eljárás adatfeldolgozóként
9. Az adatkezelések felülvizsgálata
III. FEJEZET - ADATKEZELÉS AZ ÉRINTETT HOZZÁJÁRULÁSA ALAPJÁN
IV. FEJEZET - ADATBIZTONSÁGI INTÉZKEDÉSEK
1. Fizikai védelmi intézkedések
2. Informatikai biztonsági intézkedések
3. Munkavégzésre vonatkozó alapvető biztonsági előírások
V. FEJEZET - ADATVÉDELMI INCIDENSEK KEZELÉSE
VI. FEJEZET - ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ VII. FEJEZET - ADATVÉDELMI TISZTVISELŐ
VIII. FEJEZET – JOGORVOSLATI LEHETŐSÉG
IX. FEJEZET - ZÁRÓ RENDELKEZÉSEK
I.FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. A Szabályzat célja
Jelen Szabályzat célja az Adatkezelő azon belső adatkezelési szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a természetes személyek személyes adatainak kezelése során az Adatkezelő adatkezelési tevékenysége megfeleljen az EU 2016/679 Rendeletnek (továbbiakban: GDPR vagy Rendelet).
2. A Szabályzat hatálya
Jelen szabályzat tárgyi hatálya – összhangban a GDPR tárgyi hatályával - a személyes adatok Adatkezelő általi számítógépes (automatizált) kezelésére, nyilvántartásaira terjed ki.
A személyes adatok Adatkezelő általi manuális kezelésére akkor terjed ki a GDPR, és jelen Szabályzat hatálya, ha a személyes adatokat az adatkezelő nyilvántartási rendszerben tárolja vagy kívánja tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak a GDPR és jelen Szabályzat hatálya alá. (GDPR (15) Preambulumbekezdés)
Ezen Szabályzatban foglalt elvek a személyes adatokkal kapcsolatos gyakorlatot ismertetik. Adatkezelési elveink valamennyi, az Adatkezelő által üzemeltetett eszközre, webhelyre, valamennyi papíralapú adatkezelésünkre, ügyfélszolgálati platformra vagy egyéb online alkalmazásra érvényesek, amely internetes hivatkozással vagy egyéb módon hivatkozik rájuk. Azonban ahol a jelen Szabályzat az egyes adatkezelési tevékenységeinknél, azokra vonatkozó adatkezelési műveletekkel összefüggésben külön adatkezelési tájékoztatóra, illetve szabályzatra utal, ott külön tájékoztatót, illetve szabályzatot bocsát az Adatkezelő az érintettek tudomására és rendelkezésére, hogy érthetőbben tájékozódjanak az
adatkezelési tevékenységekről. Ezen szabályzatok és tájékoztatók a jelen Szabályzat mellékleteit és egyben részét képezik, azzal, hogy amennyiben egy mellékletet képző szabályzat vagy tájékoztató kifejezetten másként nem rendelkezik, úgy ott a jelen Szabályzatban foglaltak megfelelően irányadóak.
A személyes adat fogalmára jelen Szabályzat alkalmazásában is a GDPR 1. cikk 1. pontja irányadó:
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági,
kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Az „adatkezelés” fogalma a következőket jelenti: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; (GDPR 1. cikk 2.)
Jelen Szabályzat személyi hatálya kiterjed az Adatkezelő valamennyi foglalkoztatottjára, továbbá az általa végzett minden olyan más személy adatkezelésére kiterjed, amely személyes adatra vonatkozik. A foglalkoztatottak a személyes adatok kezelése körében köteles jelen Szabályzat rendelkezéseinek érvényt szerezni.
II. FEJEZET
AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK
1. Az adatkezelési tevékenység végzésének alapvető szabálya
Az Adatkezelőnek és minden munkavállalójának, foglalkoztatottjának a személyes adatok kezelése során biztosítani kell a GDPR elvei és az érintett jogai érvényesülését.
2. Az adatkezelési tevékenységek azonosítása és nyilvántartása
Az Adatkezelőnél végzett minden adatkezelést az adatkezelési céllal kell meghatározni és nyilvántartani.
Minden egyes – céljával meghatározott – adatkezelés csak a megfelelő jogalap fennállása esetén végezhető. A jogalapot mindig igazolni kell. E szabályzatban a továbbiakban „adatkezelés” alatt egy céljával meghatározott és megfelelő jogalappal rendelkező adatkezelés értendő.
Minden egyes – céljával azonosított - adatkezelést be kell vezetni az adatkezelési tevékenységek nyilvántartásába. Az adatkezelés megkezdése előtt az adatkezelési tevékenységek nyilvántartásában meg kell határozni az adatkezelés célját és jogalapját, a cél által meghatározott adatkört és az adatok tárolásának idejét, és ha lehetséges az adatbiztonsági intézkedéseket, továbbá a GDPR 30. cikkében előírtakat.
3. Belső nyilvántartások, adatbázisok vezetésének adatvédelmi szabályai
A személyes adatokat tartalmazó minden számítógépen, és papíralapon vezetett nyilvántartással szembeni követelmények a következők:
3.1. A nyilvántartás vezetésének célja
■ Minden egyes adatkezelési célnak meghatározottnak, egyértelműnek és jogszerűnek kell lennie.
■ A személyes adatok nem kezelhető e célokkal össze nem egyeztethető módon. (GDPR. 5. cikk /1/ a./)
3.2. Személyes adatok szükségessége az adatkezelési cél eléréséhez
■ A nyilvántartásban kezelt, tárolt adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és az adatkezelésnek a szükséges adatokra kell korlátozódnia.
■ Az adatkezelés cél teljesítéséhez nem szükséges, nem releváns adatokat a nyilvántartás nem tartalmazhat, ezeket törölni is kell. (GDPR. 5. cikk /1/ c./)
3.3. A személyes adat nyilvántartásba kerülése
■ Az adatkezelőnek az adatkezeléshez jogalappal kell rendelkeznie, és ezt igazolnia kell. Tehát, az adatkezelés jogalapját dokumentálni kell. Tehát, az adatkezelő nyilvántartásába csak olyan személyes adat vehető fel, amelynek kezelésére az adatkezelő igazolt jogalappal rendelkezik.
■ Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
■ Az adatkezelésről és a jogairól az érintett személyt írásban tájékoztatni kell. Ha az Adatkezelő a személyes adatokat az érintettől személyesen kéri, ezt a tájékoztatást az adatfelvételkor kell megadni, és az ezt tartalmazó dokumentumot az érintettel aláíratni. Elektronikus adatkezelés esetén a tájékoztatástudomásul vételét, hozzájárulás megadását naplózni kell.
■ Ha az Adatkezelő a személyes adatokat nem az érintettől szerezte meg, akkor az érintettet utólag kell tájékoztatni az adatkezelésről és a jogairól, a GDPR 14. cikke szerint.
■ Az adatfelvételkor és a nyilvántartás vezetése során biztosítani kell a felvett és kezelt adatok pontosságát. (GDPR. 5. cikk /1/ a./, 13-14. cikk)
3.4. Adatok tárolása, továbbítása
■ A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. A kockázat mértékének megfelelő szintű adatbiztonság garantáláshoz szükséges intézkedések lehetnek adott esetben:
■ a személyes adatok álnevesítése és titkosítása,
■ biztonsági mentések készítése,
■ az adatkezelés biztonságának garantálására hozott hatékonyságának rendszeres tesztelése, felmérése és értékelése, technikai és szervezési intézkedések
■ vírusvédelem, kibertámadások elleni védelem,
■ munkavégzésre vonatkozó információbiztonsági követelmények előírása és érvényesítése a foglalkoztatottakkal szemben,
■ az informatikai eszközök, és papíralapú dokumentumok fizikai védelmére alkalmazott vagyonvédelmi intézkedések. (GDPR. 5. cikk /1/ f./)
3.5. Az adatokhoz való hozzáférés és müveletek végzése
■ Az adatkezelő a számítógépes nyilvántartásokhoz való hozzáférésre alkalmazzon azonosítást és hitelesítést.
■ Az adatkezelő az informatikai rendszerében alkalmazzon jogosultságkezelő rendszert.
■ Az informatikai rendszerbe történő belépéseket és műveleteket naplózni kell. (GDPR. 5. cikk /1/ f./)
3.6. Személyes adat megőrzésének ideje a nyilvántartásban
■ Az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (GDPR. 5. cikk /1/ e./) Ennek érdekében a nyilvántartott személyes adatok kezelhetőségét rendszeresen felül kell vizsgálni.
■ A már nem kezelhető adatokat törölni kell.
4. Az érintett tájékoztatása
Az érintett jogosult arra, hogy az Adatkezelőtől információt kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) adatkezelés céljai:
b)az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Amennyiben az érintett elektronikus úton nyújtotta be a kérelmet, az információkat az Adatkezelő széles körben használt elektronikus formátumban bocsátja rendelkezésre, kivéve, ha az érintett másként kéri.
Az előző bekezdésben említett, másolat igénylésére vonatkozó jog nem sértheti harmadik személy jogát.
Helyesbítés joga
Az Adatkezelő az érintett kérésére az érintettre nézve pontatlan személyes adatot indokolatlan késedelem nélkül helyesbíti. Az adatkezelés célját figyelembe véve az érintett jogosult arra, hogy kérje a hiányos személyes adatainak – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Törléshez való jog
Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat:
i)személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
j)az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
k) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre vagy amennyiben az adatkezelés közvetlen üzletszerzéshez kapcsolódna; l)a személyes adatokat jogellenesen kezelték;
m) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
n) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges a)a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből;
c) megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll;
d) a népegészségügy területét érintő olyan közérdekből, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és
az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
e) a népegészségügy területét érintő közérdek alapján és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll;
f) közérdekű archiválás, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést.
g)jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az adatkezelés korlátozásához való jog
Az érintett kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
a)az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az érintett ellenőrizze a személyes adatok pontosságát;
b)személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók.
Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.
c)az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
d) a Beton Zóna Kft-nek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
e) az érintett a Beton Zóna Kft közérdeken vagy jogos érdeken alapuló adatkezelése kapcsán tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,
érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelő azon érintettet, akinek a kérésére a fentiek alapján korlátozta az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- az adatkezelés hozzájáruláson vagy szerződésen alapul; és
- az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog fentiek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a törléshez („elfeledtetéshez való jogot”).Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog 1. pont szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.
Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló az Adatkezelő általi kezelése ellen, amennyiben az adatkezelés jogalapja közérdek vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésének szükségessége, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Az említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
Visszavonás joga
Az érintett jogosult arra, hogy amennyiben az Adatkezelő adatkezelése az érintett hozzájárulásán alapul hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
Eljárás a fenti jogok gyakorlásával kapcsolatos érintetti kérelem esetén
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon (30 napon) belül tájékoztatja az érintett a jelen Szabályzatban rögzített jogok gyakorlásával kapcsolatos érintetti kérelem nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal (60 nappal) meghosszabbítható. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás lehetőség szerint elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Adatkezelő a kért információkat és tájékoztatást díjmentesen biztosítja, azzal, hogy amennyiben az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű összegű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
Az Adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
5. Adatkezelési incidensek jelentése
A munkavállaló köteles jelenteni a munkáltatói jogok gyakorlójának, ha adatvédelmi incidens, vagy arra utaló információ jutott a tudomására.
6. Eljárás 16. életévét be nem töltött kiskorú érintett esetén
A 16. életévét be nem töltött kiskorú érintettre vonatkozó adatkezeléshez – ha az hozzájáruláson alapul - be kell szerezni a törvényes képviselő belegyezését, és valamennyi jogcímű adatkezelés esetén a törvényes képviselő részére kell a tájékoztatásokat megadni.
7. Eljárás adatfeldolgozó igénybevétele esetén
Ha az Adatkezelő adatfeldolgozásnak minősülő szolgáltatást – pl. könyvelés, IT szolgáltatás, vagyonvédelem, rendezvényszervezés, futárszolgálat stb. – vesz igénybe,
akkor a szerződés megkötésekor, jogviszony létrejöttekor a külső szolgáltatótól meg kell követelnie a GDPR-ban előírt garanciák teljesítését:
1. Írásban vállaljon garanciát arra, hogy adatkezelése megfelel a GDPR rendelkezéseinek. 2. Ő maga és munkavállalója az általuk megismert személyes adatok kezelése körében titoktartási nyilatkozatot vállaljanak, amely a szerződéses jogviszony megszűnése utáni időszakra is érvényes.
3. Alvállalkozót csak az Adatkezelő előzetes írásbeli engedélyével vehet igénybe, akinek meg kell felelnie az 1-2. pont rendelkezéseinek.
4. Az Adatfeldolgozók önálló döntést nem hoznak, kizárólag az Adatkezelővel kötött szerződés és a kapott utasítások szerint jogosultak eljárni. Az Adatkezelő ellenőrzi az Adatfeldolgozók munkáját
Ha a munkavállaló e feltételek hiányát észleli, köteles erről a munkahelyi vezetőjét tájékoztatni.
Az adatfeldolgozót – szükség esetén és kérésre – segíti az Adatkezelő, vagy ágazati törvények alapján egyéb adatkezelőt abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
8. Eljárás adatfeldolgozóként
Ha az Adatkezelő saját tevékenységi körében kezel más nevében (megbízása alapján) személyes adatokat – azaz ő maga minősül adatfeldolgozónak, az Adatkezelő biztosítja, hogy ilyen tevékenysége megfeleljen a GDPR adatfeldolgozóra előírt követelményeinek.
9. Az adatkezelések felülvizsgálata
Az egyes – adatkezelési tevékenységek nyilvántartásában feltüntetett – adatkezeléseket háromévente felül kell vizsgálni. A felülvizsgálat keretében:
a) Aktualizálni kell az adatkezelésnek a GDPR-ral való összhangjára korábban tett technikai és szervezési intézkedéseket, figyelemmel az adatkezelés jellege, hatóköre, körülményeire és a kockázatokra.
b) Felül kell vizsgálni a személyes adatok tárolásának időtartamát. A korlátozott tárolhatóság elve miatt már nem tárolható adatokat törölni kell.
c) A felülvizsgálat elvégzését dokumentálni kell.
III. FEJEZET
ADATKEZELÉS AZ ÉRINTETT HOZZÁJÁRULÁSA ALAPJÁN
Ha az adatkezelés jogalapja az érintett hozzájárulása, az adatfelvételkor tájékoztatni kell az adatkezelés céljáról jogalapjáról, és az érintetti jogokról.
Nem lehet szerződés megkötésének, teljesítésének feltételeként előírni a személyes adatok kezeléséhez való hozzájárulás megadását, ha a hozzájárulás nem szükséges a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
IV. FEJEZET
ADATBIZTONSÁGI INTÉZKEDÉSEK
Az Adatkezelő az adatbiztonság garantálása érdekében a következő technikai és szervezési intézkedéseket hozza.
1. Fizikai védelmi intézkedések
Védendő helyiségnek kell tekinteni minden helyiséget, ahol számítástechnikai eszközöket, papíralapú dokumentumokat tartanak, tárolnak.
A védendő helyiségeket el kell látni:
a) a mechanikai védelemmel: a bejárati ajtókat biztonsági zárral, szükség esetén fémráccsal, a földszinti helyiségek ablakait betekintés és behatolás ellen védő biztonsági fóliával, vagy fémráccsal, a belső ajtókat, szekrényeket, fiókokat biztonsági zárral, b) betöréses lopás- és rablás jelzésére alkalmas elektronikus vagyonvédelmi jelzőrendszerrel,
c) tűzjelző berendezéssel és poroltóval, az épületet villámhárítóval.
2. Informatikai biztonsági intézkedések
Az Adatkezelő számítógépe rendszerét a következő eljárásokkal, alkalmazásokkal kell védeni:
Azonosítási kötelezettség előírása
Az informatikai rendszerhez és egyes elemeihez való hozzáférés feltétele a felhasználó megbízható azonosítása.
Az azonosítás a személyes használatra kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag a felhasználó által ismert jelszóval történhet.
Kétlépcsős hitelesítés alkalmazása
Kétlépcsős hitelesítést kell alkalmazni felhőben tárolt adatok elérésére.
Jogosultságkezelés
Az informatikai rendszeren és elemein jogosultságkezelő rendszert kell alkalmazni, amely az azonosítottfelhasználónak a számára engedélyezett alkalmazások és adatok elérését és műveletek elvégzését teszi lehetővé, ezzel technikailag is megakadályozva az eszközhöz, programhoz, adathoz való jogosulatlan hozzáférést.
Naplózási rendszer kialakítása, működtetése
Az informatikai rendszernek naplóznia kell a felhasználói tevékenységet. Törekedni kell az automatizált naplóesemény-elemző automatikus rendszer alkalmazására. A biztonsági eseményekről automatikus figyelmeztetéseket kell generálni.
A szoftverekre vonatkozó szabályok
Az adatkezelőnél csak jogtiszta – vásárolt, vagy üzleti használatra is ingyenes - szoftverek használhatók.
Szoftvert kizárólag a rendszergazda telepíthet.
Vírusvédelem és mentesítés
Az Adatkezelő informatikai rendszerét annak belépési és kilépési pontjain védeni kell a kártékony kódok - a vírusok, trójai- és kémprogramok, és minden kártevő program - ellen, azokat fel kell deríti ésmeg kell semmisíteni.
Biztonsági mentés és helyreállítás
A biztonsági mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. Minden elektronikusan tárolt adatról, állományról, dokumentumról biztonsági mentést kell készíteni. A mentés gyakorisága az adatok fontosságától és keletkezésük gyakoriságától függően határozandó meg. A központi adatmentést legalább havi rendszerességgel el kell végezni.
Minden nagyobb beavatkozás, változás előtt teljes biztonsági mentést kell készíteni a rendszerről. A mentéseket tartalmazó adathordozón – ha ilyen eszközre történik e mentés - fel kell tüntetni a mentett rendszer nevét, az érintett adatkört, és a mentés idejét. Az archivált adatok és a biztonsági mentések egy példányát biztonságos körülmények között, fizikailag elkülönített helyen kell tárolni. A biztonsági mentéseket 1 évig bármikor visszakereshetően, helyreállíthatóan meg kell őrizni.
Ha a biztonsági mentésen olyan adat, információ dokumentum található, amelynek őrzési, tárolási idejét jogszabály határozza meg, a biztonsági mentést a jogszabályban írt határidőig kell megőrizni. Havonta ellenőrizni kell, hogy a biztonsági mentésből helyreállíthatók-e az adatok, illetve a rendszer.
Mobil adathordozók védelme
Csak az Adatkezelőnél nyilvántartásba vett, vagy engedélyedzett adathordozók használhatók. Tilos olyan adathordozó használata, amelynek tulajdonosa nem azonosítható. A telephelyről kivitt adathordozón csak hozzáférés-védelemmel ellátva tárolhatók adatok. Az adathordozót a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal (mélytörlés) kell törölni leselejtezés, vagy a szervezeti ellenőrzés megszűnte előtt.
Elektronikus levelezés, e-mail fiók, adattovábbítás védelme
Csak olyan levelezőrendszer használható, amelynél biztosított a rendszer és azok elemei, különösen aszerverek fizikai és logikai védelme, a kéretlen és kártékony kódot tartalmazó elektronikus levelek kiszűrése és blokkolása. Lehetőség szerint személyes adatokat elektronikus levelezésben titkosítottan kell továbbítani.
A hírlevelekre történő feliratkozás
Az érintettek az Adatkezelő különböző weboldalain történő hírlevél feliratkozások során személyes adatokat adnak meg, mely adatokat az Adatkezelő abból a célból veszi fel és kezeli, hogy a későbbiekben marketing tartalmú megkereséseket küldjön számukra az Adatkezelő termékeire és szolgáltatásaira vonatkozóan. A hírlevélre történő feliratkozással az érintett hozzájárul, hogy a megadott e-mail címére kiküldésre kerülő hírlevelekben mutatott aktivitását (pl. megnyitás, kattintás) az Adatkezelő kövesse és harmadik fél reklámját is tartalmazó személyre szabott hirdetések saját vagy partner oldalon valómegjelenítése érdekében felhasználja.
A hírlevelekre történő feliratkozásra vonatkozó további részletekre kiterjedő leírást a jelen Szabályzat mellékletét képező, a Hírlevelekre vonatkozó külön Adatkezelési Tájékoztató tartalmaz, amely a www.betonzona.hu oldalon érhető el.
Nyereményjátékban történő részvétel
Az érintettek Játékra történő jelentkezéssel – amelynek formája lehet A Játék alapjául szolgáló kérdőív kitöltése - a Játékos kifejezetten, a megfelelő tájékoztatás birtokában hozzájárul a jelen szabályzat mellékletét képező Adatkezelési Tájékoztatóban szereplő, és általa megadott személyes adatok az Adatkezelő általi, a Játék lebonyolításával összefüggő feladatok végrehajtásának kezeléséhez. Ennek keretében a Versenyző különösen tudomásul veszi, hogy a személyes adatok az Adatkezelő adatbázisába kerülnek.
Cookie- (sütik) használatával kapcsolatos általános tájékoztató
Az Adatkezelő tájékoztatja az érintetteket, hogy a www.metal-sheet.hu weboldalon sütiket használ.
Mik azok a cookie-k, sütik? Hogyan módosíthatók a beállítások?
A cookie egy rövid szöveges fájl, amit a webszerverünk elküld az érintett eszközére (legyen szóbármilyen számítógépről, mobiltelefonról vagy tabletről) és olvas vissza. Az ideiglenes (munkamenet vagy más néven session) cookie-k, amelyek automatikusan törlődnek az eszközéről, amikor a böngésző bezárásra kerül és vannak hosszabb élettartamú cookie-k, amelyek hosszabb ideig maradnak az Ön eszközén (ez függ az Ön eszközének beállításától is). Az Adatkezelő a www.metal-sheet.hu oldalon egyaránt alkalmaz személyes adatokat kezelő és személyes adatokat nem kezelő sütiket.
Az Adatkezelő által alkalmazott cookie-kal kapcsolatos további részletes információkat (a süti beállítások későbbi módosításának lehetőségére kiterjedően) a jelen Szabályzat mellékletét képező, a Cookie (süti) Tájékoztató tartalmaz, amely a honlapon érhető el.
Harmadik felek által használt sütik vonatkozásában a fentiekben jelzett egyes felületeken elhelyezett linkek/reklámok harmadik fél weblapjára vezetnek, melyek adatkezelése, beleértve esetleges süti használata kapcsán az adott szolgáltatónál tud tájékozódni, azokért az Adatkezelő felelősséget nem vállal.
3. Munkavégzésre vonatkozó alapvető biztonsági előírások
A munkavállaló kötelessége az információbiztonság területén az adott helyzetben általában elvárható magatartást tanúsítani, és az információs rendszert és elemeit az információbiztonsági tudatosság szem előtt tartásával használni.
A munkavállaló bármely személyes adatot kizárólag a munkáltató utasításának megfelelően kezelhet, kivéve, ha az ettől való eltérésre jogszabály kötelezi.
A személyes adatokat kezelő munkavállaló köteles titoktartási nyilatkozatot tenni, amelyet a jogviszonya megszűnését követően is köteles betartani.
A munkavállaló a munkavégzés folyamatában, a munkaköri feladatai teljesítése során köteles gondoskodni arról, hogy az általa kezelt adatokat jogosulatlan személyek sem élőszóban, sem írásban sem más módon ne ismerhessék meg.
Minden munkavállalónak évente legalább egyszer részt kell vennie a munkáltató által szervezett, információbiztonsági tudatosságot fokozó információbiztonsági képzésen.
V. FEJEZET
ADATVÉDELMI INCIDENSEK KEZELÉSE
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
A személyes adatokat érintő adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
A bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság ügyvezetője indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az adatvédelmi incidens kockázattal jár a természetes személyek jogaira és szabadságaira nézve, ha
- az adatkezelésből hátrányos megkülönböztetés,
- személyazonosság-lopás vagy személyazonossággal való visszaélés, - pénzügyi veszteség,
- a jó hírnév sérelme,
- a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése,
- az álnevesítés engedély nélkül történő feloldása, vagy
- bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha - az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy - nem rendelkezhetnek saját személyes adataik felett; vagy ha
- olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha
- a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha
- személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha
- kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerülsor; vagy ha
- az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki. (GDPR /75/)
Az adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről az Adatkezelő Adatvédelmi Incidens Nyilvántartást vezet, amely tartalmazza:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját,
- az adatvédelmi incidens körülményeit, hatásait,
- az adatvédelmi incidens orvoslására megtett intézkedéseket,
- az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
Az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából vezet, amelyben kötelező rögzíteni minden adatvédelmi incidenst, minimum azalábbi tartalom szerinti részletezettséggel:
- az érintett személyes adatok körét
- az adatvédelmi incidenssel érintettek körét és számát
- az adatvédelmi incidens időpontját, körülményeit, hatásait és
- az elhárítására megtett intézkedéseket, valamint
- az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Az Adatkezelő a fentieken kívül nyilvántartást vezet az adatkezelés-megszüntetési kérelmekről, az érintetti és hatósági megkeresésekről, a marketing célú megkeresésekhez hozzájáruló érintettekről. Az Adatvédelmi Incidens Nyilvántartást, az érintettektől, valamint a felügyeleti hatóságtól érkező megkeresésekről szóló nyilvántartásokat az adatvédelmi tisztviselő vezeti, a marketinghozzájárulásokat tartalmazó nyilvántartásokat az Adatkezelő Marketing osztálya, az Adattovábbítási Nyilvántartást az Adatkezelő egyes adattovábbítási műveletekben érintett osztályai vezetik.
VI. FEJEZET
ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36. cikkei azirányadók.
VII. FEJEZET
ADATVÉDELMI TISZTVISELŐ
A Társaság adatvédelmi tisztviselőt jelöl ki a Rendelet 37. cikkében meghatározott esetekben. Az adatvédelmi tisztviselő kijelölése az ügyvezető hatáskörébe tartozik.
Kijelölése esetén az adatvédelmi tisztviselő feladatai
- tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik a felügyeleti hatósággal; és
- az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
VIII. FEJEZET
JOGORVOSLATI LEHETŐSÉG
Az érintett az adatkezeléssel kapcsolatos kérdéssel, észrevétellel az Adatkezelő fent megadott elérhetőségek valamelyikén élhetnek.
Jogorvoslati lehetőséggel, panasszal továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C. iii.
Levelezési cím: 1530 Budapest, Pf.: 5.
Telefon: 06/1-391-1400
Honlap: http://www.naih.hu
E-mail: ugyfelszolgalat@naih.hu
Az érintett a jogainak megsértése esetén bírósághoz fordulhat.
IX. FEJEZET
ZÁRÓ RENDELKEZÉSEK
E Szabályzat rendelkezéseit meg kell ismertetni az Adatkezelő valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége.