(1) Jelen Szabályzat célja, hogy a STEELVENT Csavar és Húzottáru Ipari Kereskedelmi Zártkörűen Működő Részvénytársaság (továbbiakban: STEELVENT Zrt. / Társaság) a működése során megfeleljen az érintettek személyes adatainak védelmével kapcsolatos mindenkor hatályos jogszabályoknak, így különösen az információs önrendelkezési jogról szóló 2011. évi CXII. törvénynek (továbbiakban: Infotv.) és az információszabadságról és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (eu) 2016/679 Rendelete (továbbiakban: Rendelet/GDPR rendelet) szabályainak.
(2) A Szabályzat célja továbbá, hogy biztosítsa a STEELVENT Zrt. tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, az adatvédelemmel kapcsolatos jogoknak és az adatbiztonság követelményeinek az érvényesülését, továbbá, hogy a STEELVENT Zrt. által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése és feldolgozása során irányadó adatvédelmi és adatbiztonsági szabályokat, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát, rendelkezzen az adatvédelmi incidensek bekövetkezése esetében követendő eljárási szabályokról (incidenskezelés).
(3) A szabályzat célja, hogy az Infotv-ben és egyéb jogszabályokban foglalt előírások figyelembevételével elősegítse a közérdekű adatok megismeréséhez való alkotmányos jog érvényesülését azáltal, hogy meghatározza az adatok közzétételének rendjét, megismerésre irányuló igény esetén a követendő eljárás menetét, az ügyintézésben résztvevő személyeket, felelősöket, továbbá az adatot megismerni kívánó személy, továbbá a STEELVENT Zrt. eljárási jogait és kötelezettségeit.
(4) A Szabályzat célja továbbá, hogy a STEELVENT Zrt. partnereinek személyes közreműködésben érintett adatait a GDPR rendeletnek megfelelően tartsa nyilván.
(5) Jelen Szabályzat 2022.10. 25. napján lép hatályba.
(6) A Szabályzat hatálya kiterjed a STEELVENT Zrt-nél folytatott személyes-, különleges-, valamint közérdekű és közérdekből nyilvános adatok kezelésére.
(7) E szabályzatot a teljesen, vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.
(8) Jelen szabályzatra nézve a STEELVENT Zrt-n belül nincsenek hozzáférési korlátozások. Amennyiben jelen Szabályzat külső felhasználása válik szükségessé, az erre vonatkozó igényt a STEELVENT Zrt. vezérigazgatója írásban engedélyezi.
2.§ A SZEMÉLYES ADATOK KEZELÉSE
(1) Az adatkezelés alapelvei
a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
b) célhoz kötöttség elve: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
c) adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
d) pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
e) korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
f) integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
g) elszámoltathatóság elve: az adatkezelő felelős az említett alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
(2) Az adatkezelés jogalapja
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
(3) Különleges személyes adatok
Személyes adatok különleges kategóriái csak rendkívül korlátozott és indokolt esetben, és csak abban az esetben kezelhetőek, amennyiben:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez (kifejezett hozzájárulás az írásbeli vagy szóbeli, az adatkezelésre vonatkozó egyértelmű jóváhagyás, a ráutaló magatartás ez esetben nem elegendő)
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha ezt a vonatkozó jogszabály lehetővé teszi;
c) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása jogszabály alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, vagy
d) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátása és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
e) egyéb, a Rendeletben meghatározott okok.
Munkavállalók különleges személyes adatait a munkaviszonnyal összefüggésben meghatározott célból és mértékben a munkáltató kezeli. Különleges adat a megváltozott munkaképességű személyek ellátásairól szóló törvényben szabályozott körben, mértékben és ideig kezelhető. Kezelhető továbbá a munkahelyi balesettel, betegellátással kapcsolatos adat.
A Munkavállalók személyes adatainak kezeléséről szóló tájékoztatót a Munkavállalók számára (beleértve az új belépőket is) mindig elérhetővé kell tenni, és gondoskodni kell arról, hogy annak tartalmát a Munkavállalók megismerhessék. A Munkavállalók személyes adatainak kezeléséről szóló tájékoztató a Munkavállalóknak kerül átadásra.
(4) Adatbiztonság követelményei
a) A STEELVENT Zrt. az adatkezelési feladatokat úgy tervezi meg és hajtja végre, hogy azok során biztosítsa az érintettek magánszférájának védelmét.
b) A STEELVENT Zrt. által kezelt, – vagy a STEELVENT Zrt. feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az ezen rendelkezést megsértő munkatárs fegyelmi vétséget követ el.
c) A STEELVENT Zrt. , illetve tevékenységi körében az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása, valamint az érintettek alapvető jogainak érvényesülése érdekében, köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni a kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv., Rendelet, továbbá jelen szabályzat, valamint az egyéb adat- és titokvédelemi szabályok érvényre juttatásához szükségesek, annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
d) Az adatokat védeni kell különösen a jogosulatlan hozzáféréstől, megváltoztatástól, továbbítástól, nyilvánosságra hozataltól, törléstől vagy megsemmisítéstől, valamint a véletlen megsemmisüléstől és sérüléstől, továbbá az alkalmazott technológia megváltozásából fakadó hozzáférhetetlenné válástól.
e) A STEELVENT Zrt. különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldásokkal biztosítja, hogy a nyilvántartásokban tárolt adatok a különböző adatok kezelésnek céljától eltérő célra vagy feladatai ellátásához nem szükséges módon – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
f) Az adatbiztonsági szabályoknak való megfelelés érdekében minden munkavállaló köteles a jelen Szabályzat előírásait maradéktalanul betartani és betartatni, mind a fizikai, mind az elektronikus módon kezelt személyes adatok biztonsága érdekében.
(5) Adatok törlése
Ha az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatokat törölni kell. A törlés az adatok felismerhetetlenné tétele oly módon, hogy helyreállításuk már nem lehetséges. A törlés során, az adatkezelés megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni.
3.§ A SZEMÉLYES ADATOK KEZELÉSÉNEK ELJÁRÁSRENDJE
(1) Az adatok nyilvántartása
A STEELVENT Zrt. a személyes adatokról nyilvántartást vezet mind a Munkavállalók, mind a Külső Partnerek vonatkozásában.
(2) Adatkezelés
Adatkezelés a jelen szabályzatban foglaltak betartásával történhet.
A személyes adatok jogszerű kezeléséért a STEELVENT Zrt. vezérigazgatója felelős, aki a szervezeten belül gondoskodik az adatok biztonságának megteremtéséről, továbbá megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat a belső eljárási szabályokat, amelyek a GDPR rendelet, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az érintett kérésére dönt az érintett személyes adatainak helyesbítéséről, zárolásáról, megjelöléséről, törléséről, vagy az érintett tiltakozás iránti kérelméről jelen Szabályzat 5.§ Érintettek kérelmei című fejezetének figyelembevételével.
A társaságnál a munkaügyi, ügyfélkapcsolati területen az adatkezelési feladatok a Pénzügyi Vezető feladatkörébe tartoznak, egyéb adatkezelési feladatokat a Titkárságvezető lát el.
(3) A kezelt adatok köre
Munkavállalókra vonatkozóan kezelt adatok körét a munkavállalói adatkezelési tájékoztató tartalmazza.
Külső Partnerek személyes közreműködőjére vonatkozóan kezelt adatok köre:
a) név, titulus;
b) munkakör
c) telefonos elérhetőség
d) e-mail elérhetőség
e) magánszemélyek esetén az adószám
Külső Partnerek vonatkozásában az adatkezelés a kapcsolattartás, tájékoztatás, valamint a Partnerekkel megkötött szerződések teljesítése céljából történik. Az adatokat a külső Partner bocsátja a STEELVENT Zrt. rendelkezésére. Amennyiben a Partner természetes személy közreműködőjének közreműködői szerepe – ezáltal a kapcsolattartás és tájékoztatás indokoltsága – megszűnik, a Partner természetes személy közreműködője az info@steelvent.hu címre küldött e-mailben kérheti személyes adatainak törlését.
a) Olyan tevékenység/munkafolyamat/szerződés/intézkedés esetén, melyhez személyes adatok kezelése kapcsolódik (pl. rendezvény tartása, játéksorsolás, új adatfeldolgozók igénybevétele) a STEELVENT Zrt. vezérigazgatója által erre kijelölt munkavállaló elkészíti a kapcsolódó adatkezelési tájékoztatót.
b) A STEELVENT Zrt. vezérigazgatója véglegesíti az adatkezelési tájékoztatót, szükség esetén egyeztet az adatkezeléssel járó intézkedéssel megbízott munkavállalóval, ezt követően a végleges tájékoztatót visszaküldi a megbízott munkavállalónak, aki gondoskodik annak közzétételről.
c) A közzétételnek az érintettek által könnyen hozzáférhetőnek kell lennie.
(5) Adattovábbítás
A STEELVENT Zrt. vezérigazgatója dönt a személyes adatok másik adatkezelőnek történő továbbításáról, vagy adatfeldolgozó igénybevételéről és az adatkezeléssel összefüggő tevékenységéről.
d) Adattovábbítás belföldre vagy EGT államba, harmadik személy részére:
A STEELVENT Zrt. személyes adatokat harmadik személy részére megfelelő jogalap és tájékoztatás birtokában továbbíthat. Amennyiben a jogalap a Munkáltató jogos érdeke, úgy a személyes adatok kezeléséhez a munkáltatói jogkörgyakorló által kijelölt munkatárs írásbeli érdekmérlegelési tesztet készít.
e) Adattovábbítás harmadik országban adatkezelést folytató adatkezelő részére:
Személyes adatot a STEELVENT Zrt. harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha az adattovábbítás a GDPR rendelet által meghatározott feltételeknek megfelel. Az adattovábbítás jogszerűségéről a vezérigazgató dönt. Adatszolgáltatás harmadik országba STEELVENT Zrt. részéről nem történik.
(6) Adatfeldolgozók
a) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR rendelet, jelen Szabályzat, valamint az adatkezelésre vonatkozó törvények keretei között a STEELVENT Zrt. határozza meg.
b) Az adatfeldolgozó csak a STEELVENT Zrt. vezérigazgatója jóváhagyása alapján csak a szerződésben rögzítettek szerint vehet igénybe további adatfeldolgozót.
c) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a STEELVENT Zrt. rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a STEELVENT Zrt. rendelkezései szerint köteles tárolni és megőrizni.
d) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozási szabályok az alapul szolgáló szerződésbe is foglalhatóak.
e) Az adatfeldolgozónak a STEELVENT Zrt. csak és kizárólag a megbízásban rögzített feladatának elvégzéséhez elengedhetetlenül szükséges személyes adatokat adja át, a teljesítéshez szükséges formában.
f) Az adatfeldolgozó az adatokat kizárólag célhoz kötötten, a szerződés teljesítése során az abban meghatározott feladatai ellátása érdekében használhatja fel.
g) Az adatfeldolgozó az adatfeldolgozás során felmerült adatvédelmi incidensekről köteles a társaságot haladéktalanul, de legkésőbb a tudomásra jutástól számított 1 munkanapon belül értesíteni.
(7) Kapcsolattartás a Hatósággal
A STEELVENT Zrt. együttműködik a Nemzeti Adatvédelmi és Információszabadság Hatósággal (továbbiakban: Hatóság, NAIH) a személyes adatkezelés felügyeletének végrehajtása során. A NAIH-tól származó, a STEELVENT Zrt-hez érkező, az adatkezelési gyakorlatra vonatkozó, az adatkezelések törvényességével kapcsolatos megkeresések, esetleges hatósági eljárásról szóló értesítések, határozatok, ajánlások tárgyában a szükséges intézkedésekről 3 munkanapon belül dönt a STEELVENT Zrt. vezérigazgatója. A NAIH nevében telefonon érkezett vagy egyéb szóbeli megkeresések esetén – a STEELVENT Zrt. együttműködési szándékának hangsúlyozása mellett – az adatkezelési gyakorlatra vonatkozó tájékoztatás megadását megelőzően írásbeli megkeresést szükséges kérni.
Szükség esetén a jelen bekezdésben foglalt intézkedések megtétele érdekében a STEELVENT Zrt. jogi szolgáltatót vesz igénybe.
(8) Ellenőrzés
Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását a STEELVENT Zrt. vezérigazgatója, vagy az általa kijelölt munkavállaló folyamatosan ellenőrzi.
A STEELVENT Zrt. munkavállalója törvénysértés vagy a szabályzat rendelkezései megsértésének észlelése esetén haladéktalanul intézkedik annak a vezető felé jelentéséről, valamint annak megszüntetéséről. Különösen súlyos vagy ismételten elkövetett visszaélés fegyelmi eljárás megindítását vonhatja maga után.
4.§ INCIDENSKEZELÉS
(1) Általános szabályok
Azokat az adatvédelmi incidenseket, amelyek valószínűsíthetően kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek be kell jelentenie az illetékes felügyeleti hatóságnak, magas kockázat esetén pedig az adatvédelmi incidenssel érintett természetes személyt is értesíteni kell. A STEELVENT Zrt. , mint adatkezelőnek ezért megfelelő folyamatokat kell kialakítania, hogy az adatvédelmi incidenseket felismerje és káros hatásaikat megfékezze, a kockázatok súlyosságát felmérje, és ennek megfelelően bejelentse az incidenst a felügyeleti hatóságnak, szükség szerint az érintetteket is értesítse (kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettekre nézve).
Az adatvédelmi incidenst indokolatlan késedelem nélkül, lehetőség szerint az adatkezelő tudomásszerzésétől számított legkésőbb 72 órával be kell jelenteni. Tudomásszerzésnek minősül az, amikor az adatkezelő észszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek. Ha a bejelentés 72 órán túl történik, mellékelni kell a késedelem igazolására szolgáló indokokat is.
A STEELVENT Zrt. a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljon. Az adatvédelmi incidens időben történő felismerésének, kezelésének és jelentésének képessége alapvető fontosságú eleme ezeknek az intézkedéseknek. A kockázatot esetről esetre kell értékelni.
(2) Az adatvédelmi incidens
Az adatvédelmi incidens kezelésének legelső lépése az, hogy az adatkezelő felismerje az incidenst. A GDPR 4. cikkének 12. pontja szerint adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
(3) Kockázatértékelés
A kockázatértékelés során figyelembe kell venni az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát is, valamint a kockázatot objektív értékelés alapján kell felmérni. Az értékelést a STEELVENT Zrt-nél kijelölt, a Pénzügyi Vezető és a Titkárságvezető együttesen végzi.
(4) Bejelentés
A bejelentésben:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit (pl. munkavállaló, kiskorú, stb.) és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet az alábbi feltételek teljesülése esetén nem kell értesíteni:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
e) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
f) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fent említett feltételek valamelyikének teljesülését.
Az incidenskezeléssel kapcsolatos feladatokat a STEELVENT Zrt-nél az erre kijelölt, a Titkárságvezető végzi.
Incidenskezelés folyamata:
Folyamatlépés
Tevékenység leírás
Felelős
0
Potenciális incidens észlelése
Az érintett vagy egyéb személy potenciális adatvédelmi incidenst észlel.
1
Észlelt incidens bejelentése
Incidenst észlelő e-mailben bejelentést tesz a rendelkezésére álló adatok alapján a vezető felé.
Incidenst észlelő
2
Bejelentés vizsgálata
A vezető megbizonyosodik arról, hogy a rendelkezésre álló adatok alapján megállapítható-e incidens megtörténte. Hiányosság esetén az észlelőtől további információt kérhet. (szükség esetén adatvédelemben jártas szakértő bevonása)
vezető
3
Hiányzó információk pótlása
A bejelentő megküldi a hiányzó információkat és továbbítja e-mailben.
Incidenst észlelő
4
Informatikai biztonsági incidens történt?
A vezető az IT segítségével megvizsgálja, hogy informatikai biztonsági incidens történt-e.
vezető
6
Informatikai biztonsági incidenskezelés
Amennyiben a rendelkezésre álló adatokból megállapítható, hogy informatikai biztonsági incidens (is) történt, az IT haladéktalanul intézkedik az incidens kezeléséről és a lehetséges károk felmérésről.
IT szolgáltató
7
Adatvédelmi incidens történt?
Az összes információ birtokában a vezető, szükség esetén szakértő bevonása mellett eldönti, hogy történt-e adatvédelmi incidens. A döntést a hiánytalan bejelentés rögzítésétől számított 12 órán belül kell meghozni.
vezető
8
Kockázatértékelés elvégzése
A kijelölt, Pénzügyi Vezető és Titkárságvezető feladata, hogy 24 órán belül elvégezze a kockázatértékelést az előre meghatározott értékelési szempontok és súlyozás szerint. Az értékelés alapján dönti el, hogy az adatvédelmi incidens alacsony/közepes/magas kockázatot jelent-e az érintett természetes személy vagy személyek jogai és szabadságai tekintetében.
Pénzügyi Vezető és Titkárságvezető munkavállaló
9
Az érintett értesítése
Amennyiben az incidens magas kockázatú besorolást kapott, a vezető haladéktalanul tájékoztatja az érintettet/érintetteket. Ezt követően haladéktalanul értesíti a NAIH-ot.
vezető
10
A hatóság értesítése
Amennyiben az incidens közepes kockázatú besorolást kapott, vezető tájékoztatja a NAIH az incidensről, illetve a bejelentéstől eltekint amennyiben annak törvényes indokai fennállnak.
vezető
11
Dokumentáció
Az adatvédelmi incidensekről nyilvántartást kell vezetni. Ha alacsony kockázatú az incidens incidenst nyilvántartásba kell venni. Amennyiben közepes vagy magas kockázatú, az incidenst – a hatóság és esetlegesen az érintett tájékoztatását követően – nyilvántartásba kell venni. A mögöttes dokumentáció tárolási ideje 10 év.
Titkárságvezető
5.§ ÉRINTETTEK KÉRELMEI
(1) Az érintetti jogok
a) az érintett hozzáférési joga;
b) a tiltakozáshoz való jog;
c) tiltakozás automatizált döntéshozatal, valamint profilalkotás ellen;
d) az adatkezelés korlátozása;
e) adathordozhatóság;
f) helyesbítéshez való jog;
g) a törléshez való jog.
Amennyiben a magánszemély (érintett) a fenti jogokkal kapcsolatos kérelmet terjeszt elő, a Társaság minden ilyen kérelmet az alkalmazandó adatvédelmi jogszabályokkal és szabályzatokkal összhangban köteles kezelni. Ezt díjmentesen kell biztosítani, kivéve, ha az érintett kérelme egyértelműen megalapozatlan, vagy – különösen ismétlődő jellege miatt – túlzó. Amennyiben ez bebizonyosodik, a STEELVENT Zrt.:
a) észszerű összegű (a felmerülő adminisztratív, kommunikációs, a szükséges intézkedések költségeinek figyelembevételével kalkulált) díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
Az érintettek kérelmük alapján, valamint személyazonosságuk sikeres megállapítása esetén, az alábbi információkhoz férhetnek hozzá személyes adataikkal összefüggésben:
a) az adatkezelés és adatgyűjtés célja, személyes adataik tárolása, felhasználása, jogalapja;
b) személyes adataik forrása, amennyiben nem az érintettől szerezték meg;
c) a tárolt személyes adatok kategóriái;
d) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
e) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
f) tájékoztatás automatizált döntéshozatal, beleértve a profilalkotás alkalmazásáról, ha van ilyen.
Minden kérelmet beérkezéskor rögzíteni kell és indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatni kell az érintettet az alábbiak szerint:
a) Az érintetti kérelemnek elektronikus (e-mail) útján kell megérkeznie a STEELVENT Zrt-hez.
b) A STEELVENT Zrt. Pénzügyi Vezetője a beérkezett kérelem alapján elvégzi az érintett azonosítását. Amennyiben ez a beérkezett e-mail alapján nem lehetséges, úgy felhívja erre az érintettet.
c) Sikertelen azonosítás esetén a kérelem nem teljesíthető és az Érintettet tájékoztatni kell ennek tényéről.
d) Sikeres azonosítás esetén az érintettnek joga van tájékoztatást kapni a kérelemmel kapcsolatos eljárásokról. Amennyiben a kérelem egyértelműen megalapozatlan, illetve – különösen ismétlődő jellege miatt – túlzó, észszerű összegű díj számítható fel a felmerülő adminisztratív, kommunikációs, vagy szükséges intézkedésekhez szükséges költségek figyelembevételével.
e) A kérelmet a beérkezéstől számított 15 naptári napon belül érdemben meg kell vizsgálni.
f) Szükség esetén a kérelem teljesítésére megszabott határidő, figyelembe véve a kérelem összetettségét és a STEELVENT Zrt-hez beérkezett kérelmek számát, 30 nappal meghosszabbítható.
g) A STEELVENT Zrt-nek a kérelem beérkezésétől számított egy hónapon belül kell elektronikus úton tájékoztatnia az Érintettet a meghosszabbításról, a meghosszabbítás időtartamáról és annak okáról.
h) A kérelem teljesítése érdekében az adatokat elő kell készíteni, azt ki kell nyerni az azt tartalmazó rendszerből. Hozzáférési kérelem esetén az előkészítés azt jelenti, hogy csak az érintettre vonatkozó személyes adatok legyenek elérhetők, láthatók. Az adatokon módosítani nem lehet, akkor sem, ha azok között pontatlan, vagy a STEELVENT Zrt-re nézve negatív tartalom szerepel.
i) Ha az érintett helyesbítést, törlést, hozzáférés-korlátozást kért, vagy tiltakozik az adatkezeléssel szemben, a STEELVENT Zrt-nek az IT bevonásával meg kell tenni a szükséges intézkedéseket ennek megfelelően.
j) Az adatokat hozzáférhető, olvasható formátumban kell rendelkezésre bocsátani.
k) Ha a kérelem akár technikai, akár egyéb okból nem teljesíthető, az érintettet tájékoztatni kell erről.
l) Ha kérelemmel érintett adatok nem találhatók a rendszerekben, vagy azokat nem lehet belőlük kinyerni, a STEELVENT Zrt. az IT tájékoztatása alapján nyilatkozatot készít és ezt haladéktalanul megküldi az érintettnek.
m) Amennyiben a kérelem teljesítésének nincs akadálya, úgy a tájékoztatást meg kell küldeni az érintettnek. A tájékoztatást olyan nyelven kell kiküldeni, amilyen nyelven az érintett a kérelmet benyújtotta. Ha az adatok kódoltak, magyarázatot is kell mellékelni a megérthetőség érdekében.
6. § KAMERÁS RENDSZERREL KAPCSOLATOS ADATKEZELÉS
A STEELVENT Zrt. székhelyén és telephelyein kamerás megfigyelő rendszer működik.
Az adatkezelés jogalapja, célja: a 0-24 órás kamerás megfigyelés elsődlegesen vagyonvédelmi célból, betartva az Infotv.-ben, valamint a Rendeletben megfogalmazott alapelveket.
Az adatkezelő a kamerával történő megfigyelés során az érintettek arcképmását kezeli. Az elhelyezett kamerák olyan minőségű felvétel készítésére és rögzítésére alkalmasak, amely lehetővé teszi a STEELVENT Zrt. épületén belül és területén tartózkodók egyedi azonosítását.
Az elektronikus megfigyelőrendszer a hét minden napján, 24 órában üzemel.
Az adatkezelés időtartama: a rögzített felvételek a jogszabályi kivételektől eltekintve a rögzítést követően az alábbi határidőkkel kerülnek törlésre:
Miskolc: 3527 Miskolc, Besenyői u. 8. – 15 nap
Bátonyterenye 1,2: 3070 Bátonyterenye, Bolyoki út 2-4. – 1. telephely: 5 nap
2. telephely: 15 nap
Dűlő: 3529 Miskolc, Görgey Artúr utca 10. – 11 nap
A kamerával megfigyelt területek:
Beltéri kamerák a STEELVENT Zrt. épületeinek közösségi tereiben (folyosók, közlekedők, aulák, egyéb közösségi területek), az irodákban, csarnokokban, valamint az épületeken kívül kerültek telepítésre. Kültéri kamerák a bejáratokat figyelik.
Adatbiztonsági intézkedések: a felvétel jelszóval védett és vírusvédelemmel ellátott zárt rendszerben, számítógépen kerül rögzítésre és tárolásra. Az adatokhoz a STEELVENT Zrt. jogosultsággal rendelkező munkatársai, így a vezérigazgató és az üzemelési területek vezetői férnek hozzá, valamint műszaki meghibásodás, karbantartás esetén a STEELVENT Zrt-vel szerződéses kapcsolatban álló vagyonvédelmi cég (Multi Alarm Zrt.; székhely: 1106 Budapest, Fátyolka utca 8.)
A kamerás megfigyelő és rögzítő rendszer tárolt felvételeibe kizárólag az emberi élet, testi épség és vagyon sérelmére elkövetett jogsértések bizonyítása és az elkövető azonosítása, illetve az életet vagy testi épséget érintő egyéb események, balesetek feltárása érdekében tekinthetnek be az arra jogosultsággal rendelkező személy.
7.§ WEBÁRUHÁZZAL KAPCSOLATOS ADATKEZELÉS
A STEELVENT Zrt. a www.steelventshop.hu oldalon webáruházat üzemeltet. A Webáruház működtetéshez/szolgáltatás igénybevételéhez kapcsolódó adatkezelést az alábbiak szerint határozza meg.
(1) Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:
Személyes adat
Az adatkezelés célja
Jogalap
Felhasználói név
Azonosítás, a regisztráció lehetővé tétele.
a GDPR 6. cikk (1) bekezdés b) pontja és az Ektv. 13/A. § (3) bekezdése.
Jelszó
A felhasználói fiókba történő biztonságos belépést szolgálja.
Vezeték-és keresztnév
A kapcsolatfelvételhez, a vásárláshoz, a szabályszerű számla kiállításához, az elállási jog gyakorlásához szükséges.
E-mail cím
Kapcsolattartás.
Telefonszám
Kapcsolattartás, a számlázással, vagy a szállítással kapcsolatos kérdések hatékonyabb egyeztetése.
Számlázási név és cím
A szabályszerű számla kiállítása, továbbá a szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése.
6. cikk (1) bekezdés c) pontja, és a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése
Szállítási név és cím
A házhoz szállítás lehetővé tétele.
a GDPR 6. cikk (1) bekezdés b) pontja és az Ektv. 13/A. § (3) bekezdése.
A vásárlás/regisztráció időpontja
Technikai művelet végrehajtása.
A vásárlás/regisztrációkori IP cím
Technikai művelet végrehajtása.
(2) Az érintettek köre: A webshop weboldalon regisztrált/vásárló valamennyi érintett. Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon.
(3) Az adatkezelés időtartama, az adatok törlésének határideje: Ha a GDPR 17. cikk (1) bekezdésében foglalt feltételek valamelyike fennáll, úgy az érintett törlési kérelméig tart. Az érintett által megadott bármely személyes adat törléséről az adatkezelő a GDPR 19. cikke alapján, elektronikus úton tájékoztatja az érintettet. Ha az érintett törlési kérelme kiterjed az általa megadott e-mail címre is, akkor az adatkezelő a tájékoztatást követően az e-mail címet is törli. Kivéve a számviteli bizonylatok esetében, hiszen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni ezeket az adatokat. Az érintett szerződéses adatai a polgárjogi elévülési idő leteltével törölhetőek az érintett törlési kérelme alapján.
A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.
(4) Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő, továbbá az arra feljogosított munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
(1) Jelen szabályozót a vezérigazgató az MU 170B számú munkautasításával adta ki.
(2) Jelen szabályzat közzétételéről a/az Titkárságvezető a helyben szokásos módon gondoskodik.
(3) Jelen szabályzat elérési útvonala: fizikálisan a székhely titkárságán, elektronikusan: U meghajtó/GDPR menüpont alatt.
1.sz. melléklet: Az adatvédelem alapfogalmai és elvei
1. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
1a. azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható;
2. személyes adat: az érintettre vonatkozó bármely információ;
3. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
3a. biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;
3b. egészségügyi adat: egy természetes személy testi, vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
7. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely − törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között − önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
8. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
9. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
9a. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
9b. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;
10. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
11. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
12. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölés útján;
13. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
14. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely − törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel − az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
15. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
16. adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;
17. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
18. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;
19. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
20. profilalkotás: személyes adat bármely olyan . automatikus módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciához vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
21. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
22. álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezeti intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni.
23. jogos érdek: az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése az érintett adatkezelő jogos érdekének minősül.
2. sz. melléklet: A személyes adatok kezelésére vonatkozó ügyiratkezelési eljárásrend
(1) Személyes adatok kezelése csak az arra munkakörüknél vagy vezetői megbízásuk okán jogosultak által történhet. Személyes adatokat tartalmazó dokumentumokba az arra munkakörüknél, vagy vezetői megbízásuk okán jogosultak tekinthetnek be meghatározott céllal, így
- vezérigazgató
- Pénzügyi Vezető és a Titkárságvezető;
(2) Az adatkezelést végző és a személyes adatokat tartalmazó dokumentumokba betekintésre jogosult munkavállalók kötelesek az általuk megismert személyes adatokat hivatali titokként megőrizni. Ilyen munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot tett.
(3) Személyes adatokat zárható szekrényben, ennek hiányában zárható helyiségben kell tárolni.
(4) A személyes adatokat tartalmazó iratokba való betekintési jogosultságot igazolni kell.
(5) A személyes adatokat tartalmazó dokumentumok elektronikus úton történő továbbítása kizárólag a Társaság levelező rendszerén keresztül történhet, más levelező rendszer üzleti ügyek továbbítására nem vehető igénybe. Ezen adatok elektronikus tárolása oly módon lehetséges, hogy az ahhoz való hozzáférés csak az arra munkakörüknél vagy vezetői megbízásuk okán jogosultak részére legyen biztosított.
3. sz. melléklet: Az adatok védelmében megtett informatikai intézkedésekről
Az adatok védelme érdekében megtett informatikai biztonsági intézkedésekről a Társaság Informatikai Szabályzata rendelkezik.
4. sz. melléklet: Tájékoztató kamerarendszer működésről (minta dokumentum)
A STEELVENT Zrt. (továbbiakban: STEELVENT Zrt. ) székhelyén, telephelyén, állandó, vagy ideiglenes munkavégzési helyén, ahol kamerarendszer működik az alábbi tájékoztatót szükséges alkalmazni és közzétenni.
„Tájékoztatjuk tisztelt Partnereinket, hogy a STEELVENT Zrt. területén az épületeken belül, illetve az épületeken kívül elektromos vagyonvédelmi megfigyelő rendszer (továbbiakban: kamerarendszer) működik, mellyel személyes adatokat tartalmazó képfelvételek készülnek.
Az adatkezeléshez történő hozzájárulás önkéntes, ráutaló magatartással, a Társaság területére történő belépéssel történik. Ön a STEELVENT Zrt. területére történő belépéssel és az itt tartózkodással hozzájárulását adja a képfelvétellel kapcsolatos adatkezeléshez. A megfigyelésnek és a képfelvételek rögzítésének célja a STEELVENT Zrt. területén tartózkodó személyek életének, testi épségének, valamint a STEELVENT Zrt. tulajdonában, illetve használatában álló vagyontárgyak védelme. Ennek keretében cél a prevenció, a jogsértések észlelése, az elkövető tettenérése, e jogsértő cselekmények megelőzése, továbbá, hogy ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra.
A kamerák pontos elhelyezéséről és az általuk megfigyelt területről a info@steelvent.hu címre küldött adatigényléssel tájékozódhat.
A kezelt adatok köre: a területen tartózkodók képfelvételeken látszódó arcképmása, egyéb személyes adatai.
Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül, vagy közvetve – azonosítható természetes személy kérelmezheti
a) tájékoztatását személyes adatai kezeléséről,
b) személyes adatainak helyesbítését, valamint
c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását.
A kérelmeket a STEELVENT Zrt. vezérigazgatója felé a info@steelvent.hu címen kell benyújtani. A STEELVENT Zrt. adatkezelési szabályzata elérhető a Társaság székhelyén. Adatkezeléssel kapcsolatos ügyekben a info@steelvent.hu e-mail címen kérhet tájékoztatást,
Adatkezelő: STEELVENT Zrt.
Felügyelő hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Az alábbi adatfeldolgozói megállapodás (a továbbiakban: "Megállapodás"), amely létrejött a STEELVENT Csavar és Húzottáru Ipari Kereskedelmi Zártkörűen Működő Részvénytársaság (Továbbiakban: STEELVENT Zrt.) (Cg.: 05-10-000337; székhely: 3527 Miskolc, Besenyői u. 8.; adószám: 11883995-2-05; képviseli: Czél Péter István vezérigazgató), mint Adatkezelő és a/az …………………… (Továbbiakban: …………..) (Cg.: ………………..; székhely: …………………..; adószám: ………………….; képviseli: …………………………….), mint Adatfeldolgozó között (a továbbiakban közösen: "Felek”, külön-külön: "Fél”)
ELŐZMÉNYEK
A Felek rögzítik, hogy közöttük megállapodás jött létre az Adatfeldolgozó által az Adatkezelő részére …………………… ("Szolgáltatás") kapcsán. Tekintettel arra, hogy a Szolgáltatás nyújtása során az Adatfeldolgozó az Adatkezelő adatfeldolgozójának minősül, a Felek jelen Megállapodással tesznek eleget az alkalmazandó adatvédelmi jogszabályokban, különös tekintettel a GDPR 28. cikkének (3) bekezdésében foglalt, a szerződéskötésre vonatkozó kötelezettségüknek, és rögzítik az adatfeldolgozási megállapodásuk részleteit.
1. A Megállapodásban használt fogalmak
Alkalmazandó Szabályok: a GDPR és a vonatkozó magyar jogszabályok;
Személyes Adat(ok): a Szolgáltatás nyújtása céljából az Adatkezelő által az Adatfeldolgozónak átadott és az Adatfeldolgozó által felvett személyes adatok;
GDPR: Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
További Adatfeldolgozó: az Adatkezelő által engedélyezett, illetve a jövőben esetlegesen engedélyezett, az adatfeldolgozási tevékenységbe az Adatfeldolgozó által bevont adatfeldolgozó.
A Felek rögzítik, hogy az Adatfeldolgozó a Szolgáltatás szerinti feladatok kapcsán adatfeldolgozónak, míg az Adatkezelő adatkezelőnek minősül.
2. A (Megállapodás) adatkezelés tárgya
Az Adatkezelő jelen Megállapodás aláírásával megbízást ad az Adatfeldolgozó részére, hogy az Adatkezelő érdekében és az utasításainak megfelelően, a Szolgáltatás nyújtása céljából
2022. ………. – 2022. ………… időtartam között ………………………………………………………….. konkrét célból az alábbiakban felsorolt adatok körét/típusát:
………………………..
………………………..
………………………..
………………………..
………………………..
kezelje és adatfeldolgozási tevékenységet folytasson.
Az Adatfeldolgozó kötelezettséget vállal arra, hogy a részére átadott adatok feldolgozását a GDPR előírásainak megfelelően végzi és maradéktalanul eleget tesz a GDPR rendelkezéseinek.
Tekintettel arra, hogy a fenti tevékenység során az Adatfeldolgozó az Adatkezelő adatfeldolgozójának minősül, Felek jelen megállapodással, mint jogi aktussal tesznek eleget az alkalmazandó adatvédelmi jogszabályokban, különös tekintettel a GDPR 28. cikkének (3) bekezdésében foglalt kötelezettségnek, és rögzítik az adatfeldolgozással kapcsolatos kötelezettségvállalás részleteit.
3. Adatkezelésben Érintett
(továbbiakban: Érintett): A STEELVENT Zrt-vel, mint adatkezelővel munkaviszonyban álló, felső vezető Munkavállaló.
4. Adatfeldolgozással kapcsolatos kötelezettségek
4.1. Az Adatkezelő általános kötelezettségei:
Az Adatkezelő köteles írásban tájékoztatni az Adatfeldolgozót az adatkezeléssel kapcsolatos utasításairól (ideértve, de nem kizárólagosan a Személyes Adatok esetleges továbbítását is). Az utasítás módja a következő eljárásrend szerint alakul: az Adatkezelő az adatfeldolgozással kapcsolatos utasításait az Adatfeldolgozó számára e-mail útján továbbítja az alábbi e-mail címre: ……………………….
Az Adatkezelő köteles megfelelő időn belül továbbítani az Adatfeldolgozó részére az utasításokat, lehetővé téve azok megfelelő időben történő végrehajtását.
4.2. Adatfeldolgozó:
(a) köteles az adatokat kizárólag az Adatkezelő írásbeli utasításai alapján, azoknak mindenben megfelelően kezelni, kivéve, ha vonatkozó jogszabályok eltérően rendelkeznek;
(b) köteles eleget tenni a GDPR-ban és egyéb szabályozókban foglalt rendelkezéseknek;
(c) csak és kizárólag az Adatkezelő előzetes írásbeli engedélyével továbbíthatja az adatokat harmadik személynek és/ vagy harmadik országba.
5. A Személyes Adatok kezelésére jogosult személyek:
Az Adatfeldolgozó kötelezettséget vállal arra, hogy megtesz minden szükséges intézkedést annak érdekében, és minden esetben biztosítja azt, (I) hogy a Személyes Adatokhoz az adatfeldolgozás során csak és kizárólag azon személyek férjenek hozzá, akiknek szigorúan szükséges és nélkülözhetetlen a Szolgáltatás nyújtása céljából, azt, (II) hogy a Személyes Adatokhoz hozzáféréssel rendelkező személyek feladataik teljesítése során mindig az Alkalmazandó Szabályokban foglaltaknak megfelelően járjanak el, ideértve, (III) hogy ezen személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak, valamint, hogy (IV) ezen személyek kizárólag az Adatkezelő utasításainak megfelelően kezeljék a Személyes Adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
6. Az adatkezelés biztonsága
6.1. Az Adatfeldolgozó kötelezettséget vállal, hogy a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve többek között, adott esetben, a GDPR 32. cikk (1) bekezdésében meghatározott intézkedéseket.
6.2. Felek rögzítik, hogy a biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
6.3. Az Adatfeldolgozó a jelen pontban foglaltak alapján az alábbi technikai és szervezési intézkedéseket vállalja végrehajtani:
(a) a tárolt Személyes Adatokhoz kizárólag a jogosult személyek, egyedül az adatkezelési cél(ok) érdekében férjenek hozzá;
(b) az adatfeldolgozáshoz használt technikai eszközök szükséges és rendszeres karbantartása, esetleg fejlesztése;
(c) a Személyes Adatokat tároló technikai eszköz zárt helyiségben történő elhelyezése, annak fizikai védelme.
7. További Adatfeldolgozó igénybevétele
7.1. További Adatfeldolgozó igénybevételére csak az Adatkezelő előzetes hozzájárulása alapján van lehetőség.
7.2. Amennyiben az Adatfeldolgozó mégis További Adatfeldolgozót kíván igénybe venni, illetve a korábban engedélyezett További Adatfeldolgozó(ka)t cserélni kívánja, úgy az Adatfeldolgozó vállalja, hogy a További Adatfeldolgozó igénybevételével, vagy cseréjével kapcsolatos szándékáról megfelelő időn belül előzetesen, írásban tájékoztatja az Adatkezelőt. A tájékoztatásnak ki kell terjednie minden, a További Adatfeldolgozó által ellátandó adatfeldolgozói tevékenységre. Adatkezelő ebben az esetben megtagadhatja a További Adatfeldolgozó igénybevételét (megtagadásnak minősül az is, ha az Adatkezelő 5 munkanapon belül nem jelzi a hozzájárulását, külön értesítés nélkül is), vagy azt további feltételek teljesüléséhez kötheti.
7.3. További Adatfeldolgozó – Adatkezelő által előzetesen adott hozzájárulásával történő - igénybevétele esetén az Adatfeldolgozó még a Személyes Adatok További Adatfeldolgozó általi feldolgozása megkezdését megelőzően köteles:
(a) megfelelő átvilágítási vizsgálatot lefolytatni annak érdekében, hogy felmérje és megállapítsa, hogy a További Adatfeldolgozónál biztosított-e a Személyes Adatok megfelelő szintű védelme, valamint, hogy a További Adatfeldolgozó által végzett adatfeldolgozás megfelelne-e a GDPR (az Alkalmazandó Szabályok) követelményeinek;
(b) biztosítani, hogy az Adatfeldolgozó, valamint a További Adatfeldolgozó között létrejött, az adatfeldolgozásra irányuló írásbeli szerződés a További Adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepítse, mint amelyek a jelen kötelezettségvállalásban szerepelnek.
7.4. Az Adatfeldolgozó köteles gondoskodni arról, hogy a További Adatfeldolgozó a jelen kötelezettségvállalás adatfeldolgozásra irányuló rendelkezéseit ugyanúgy betartsa, mintha a További Adatfeldolgozó szerződéses partner lenne a jelen Megállapodásban.
8. Együttműködési kötelezettség
8.1. Felek megállapodása alapján az Adafeldolgozó köteles az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíteni az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett (GDPR III. fejezetében foglalt) jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
8.2. Az adatfeldolgozás jellegének figyelembevételével Adatfeldolgozó vállalja, hogy a 9.1. pontban foglaltak végrehajtása céljából az alábbi technikai és szervezési intézkedéseket teszi meg:
(a) az Adatfeldolgozó köteles haladéktalanul tájékoztatni az Adatkezelőt amennyiben az Érintettől a Személyes Adatok kapcsán megkeresés érkezik hozzá;
(b) az Adatfeldolgozó az Érintettől érkezett megkeresés megválaszolására csak az Adatkezelő előzetes írásbeli hozzájárulása esetén jogosult, vagy abban az esetben, ha erre valamely Alkalmazandó Szabály kötelezi, azonban utóbbi esetben, amennyiben erre az Alkalmazandó Szabály feljogosítja, az Adatfeldolgozó a megkeresés megválaszolását megelőzően köteles tájékoztatni az Adatkezelőt;
(c) amennyiben az Adatkezelő így rendelkezik, az Adatfeldolgozó köteles az Érintettre vonatkozó személyes adatot az Érintett kérése szerint helyesbíteni, törölni vagy feldolgozni, kivéve, ha erre vonatkozóan a tagállami vagy az európai uniós jogszabályt mást írt elő.
8.3. Az adatkezelés jellegének, valamint az Adatfeldolgozó rendelkezésére álló információk figyelembevételével az Adatfeldolgozó köteles segítséget nyújtani az Adatkezelő részére a GDPR 32. – 36. cikkeiben részletezett bármely, a felügyeleti vagy más hatáskörrel és illetékességgel rendelkező hatóságok által lefolytatott adatvédelmi hatásvizsgálat és előzetes konzultáció, az adatvédelmi incidensek bejelentése, valamint az adatkezelés biztonsága kapcsán, amit az Adatfeldolgozó vállal.
8.4. Amennyiben az Adatfeldolgozó, vagy bármely További Adatfeldolgozó tudomást szerez bármilyen, a Személyes Adatokkal kapcsolatos adatvédelmi incidensről, köteles erről az Adatkezelőt minden szükséges információ átadásával haladéktalanul tájékoztatni, hogy az Adatkezelő minden, az adatvédelmi incidenst kapcsán őt terhelő bejelentési és tájékoztatási kötelezettségnek megfelelő időben, a vonatkozó jogszabályokban foglaltaknak megfelelően eleget tehessen, amit az Adatfeldolgozó vállal.
8.5. Az Adatfeldolgozó és/ vagy bármely További Adatfeldolgozó köteles együttműködni az Adatkezelővel az adatvédelmi incidens kivizsgálása, annak következményei enyhítése, valamint a helyreállítás kapcsán, amit az Adatfeldolgozó vállal.
9. Személyes Adatok törlése és visszajuttatása
9.1. Az Adatfeldolgozó az adatfeldolgozási szolgáltatás nyújtásának befejezését követően köteles a Személyes Adatokat (ideértve azok másolatait is) minden esetben haladéktalanul, de legkésőbb a szolgáltatásnyújtás befejezését követő 5 munkanapon belül, véglegesen törölni, vagy azok törlése iránt intézkedni, vagy az Adatkezelő diszkrecionális döntésétől függően, az adatfeldolgozási szolgáltatás megszűnését követő 5 munkanapon belül biztonságos adatátvitelt biztosító módon visszajuttatni az Adatkezelő részére, az Adatkezelő által észszerűen meghatározott formában az összes, a Személyes Adatokkal kapcsolatos tejes dokumentációt, valamint törölni az azokról készült összes másolatot.
9.2. A 9.1. pontjában foglaltak alól csak az az eset jelent kivételt, ha az Alkalmazandó Szabályok a Személyes Adatok tárolását írják elő az Adatfeldolgozó számára. Adatfeldolgozó az utóbbi esetben is csak az Alkalmazandó Szabályokban előírt mértékben és időtartamban jogosult tárolni a Személyes Adatokat, valamint ebben az esetben is köteles biztosítani a Személyes Adatok bizalmas, valamint csak az Alkalmazandó Szabályok által előírt célból történő kezelését.
9.3. Az Adatfeldolgozó az adatfeldolgozási tevékenység megszűnését követő 10 munkanapon belül, külön felszólítás nélkül köteles írásban igazolást adni az Adatkezelő részére arról, hogy a jelen pontban foglalt kötelezettségeinek, az Adatkezelő döntésének, valamint az Alkalmazandó Szabályoknak az adatfeldolgozási szolgáltatás megszűnését követő 5 munkanapon belül mindenben eleget tett, és azoknak megfelel.
10. Ellenőrzési jogosultság
10.1. Az Adatfeldolgozó, az Adatkezelő kérésére köteles az Adatkezelő rendelkezésére bocsátani az összes olyan információt, ami szükséges a jelen kötelezettségvállalásban foglalt kötelezettségeknek való megfelelés vizsgálata céljából. Ezen túlmenően az Adatfeldolgozó az Adatkezelő kérésére köteles az Adatkezelő rendelkezésére bocsátani az összes olyan információt, ami szükséges, illetve lehetővé teszi az Adatkezelő (vagy az Adatkezelő által megbízott auditor által) végzett auditokat (beleértve a helyszíni vizsgálatokat is), valamint együttműködni az Adatkezelő, vagy az Adatkezelő által egyoldalúan kiválasztott és megbízott auditor által lefolytatott, az adatfeldolgozási tevékenységhez kapcsolódó vizsgálat(ok) során.
10.2. A kötelezettségvállalás jelen pontjával kapcsolatban az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t vagy a tagállami adatvédelmi rendelkezéseket.
10.3. Az Adatkezelő megfelelő időben köteles tájékoztatni az Adatfeldolgozót a 10.1 pontban foglalt vizsgálat lefolytatásáról, valamint minden ésszerű intézkedést megtenni annak érdekében, hogy a vizsgálat (ideértve az Adatkezelő által kijelölt auditor által lefolytatott vizsgálatot is) a lehető legkisebb korlátozással és hátránnyal járjon az Adatfeldolgozó részére. Az Adatfeldolgozó a vizsgálat lefolytatása céljából köteles belépést biztosítani az adatfeldolgozás helyéül szolgáló ingatlanokba az Adatkezelő (vagy az általa kijelölt auditor) részére, kivéve az alábbi esetekben:
(a) amennyiben az ellenőrzést lefolytatni kívánó személy megfelelő módon nem igazolja kilétét, valamint a vizsgálat lefolytatására való jogosultságát. Megfelelő igazolásként kell elfogadni önmagában a személy azonosítására szolgáló igazolvány bemutatását is, amennyiben az Adatkezelő az Adatfeldolgozót az auditor kilétéről előzetesen, írásban tájékoztatta;
(b) munkavégzési időn kívüli ellenőrzés esetén, kivéve, ha az ellenőrzésre kivételesen, sürgősségi alapon kerül sor, és a vizsgálat ilyen jellegéről az Adatkezelő az Adatfeldolgozót a vizsgálat megkezdése előtt tájékoztatta;
(c) amennyiben az ellenőrzés visszaélésszerűen történik, az Adatfeldolgozó nem hivatkozhat visszaélésszerű joggyakorlásra abban az esetben, ha a vizsgálatra az Adatfeldolgozó jogszerűtlen és/vagy jelen kötelezettségvállalással ellentétes adatfeldolgozási tevékenységével kapcsolatos megalapozott gyanú miatt, vagy a hatáskörrel és illetékességgel rendelkező adatvédelmi hatóság előírása alapján kerül sor.
10.4. Utóbbi esetekben az Adatkezelő a vizsgálatra vonatkozó tájékoztatásában köteles tájékoztatni az Adatfeldolgozót a jogsértéssel és/vagy szerződésszegéssel kapcsolatban felmerült gyanúról, illetve a kötelezettséget előíró kérésről, határozatról, kötelezésről.
11. Adatok továbbítása
Adatfeldolgozó vállalja, hogy amennyiben jövőben adattovábbításra is sor kerülne, erre vonatkozólag tájékoztatja Adatkezelőt, illetve gondoskodik arról, hogy az adattovábbítás megfeleljen jelen kötelezettségvállalásnak, valamint a GDPR rendelkezéseinek.
12. A Megállapodás megszűnése
12.1. A jelen Megállapodás foglalt rendelkezéseket a Felek - előzetes szóbeli megállapodásuk alapján - ………………-től alkalmazzák egymás közötti viszonyukban. Felek jelen Megállapodás aláírásával előzetes szóbeli megállapodásukat írásban megerősítik, egyúttal a Megállapodás hatályának lejáratát határozatlan időtartamban határozzák meg.
12.2. Bármelyik Fél jogosult a jelen Megállapodást a másik Félhez intézett írásbeli értesítéssel, 30 (harminc) napos felmondási idő mellett egyoldalúan felmondani.
12.3. Bármelyik Fél súlyos szerződésszegése esetén a másik Fél jogosult a jelen Megállapodást azonnali hatállyal írásban felmondani
13. Egyéb rendelkezések
13.1 A Felek vállalják, hogy a jelen Megállapodás teljesítése során, illetve az ezzel kapcsolatban általuk megkötött szerződéses jogviszonyokban minden tőlük elvárhatót megtesznek annak érdekében, hogy a másik fél üzleti jó hírneve ne sérüljön, és cégneve ne szerepeljen jó erkölcsbe ütköző, ízléstelen, sértő, vagy bármely, a másik félre vagy bármely közvetett vagy közvetlen tulajdonosára hátrányos módon vagy összefüggésben.
13.2 A Felek a Megállapodás teljesítése során vagy azzal kapcsolatban tudomásukra jutott üzemi (üzleti) titkot, valamint ebben a körben és ezen túlmenően is minden, a másik Félre, illetve annak tevékenységére vonatkozó információt és adatot kötelesek bizalmasan kezelni és megőrizni; ezen információkat és adatokat sem közvetve sem közvetlenül, sem egyedül, sem pedig másik személy, társaság, egyesület, cég, vállalkozás vagy más jogi személy révén semmilyen formában nem használhatják fel és nem közölhetik, továbbá nem engedhetik azok semmilyen formában történő használatát, illetve közlését és kötelesek minden tőlük telhetőt megtenni ezen információk és adatok kiszivárgásának megakadályozása érdekében.
13.4 A Megállapodásban nem érintett kérdések tekintetében a Szerződés (tekintet nélkül annak jelen Megállapodástól korábbi megszűnésére), a Polgári törvénykönyvről szóló 2013. évi V. törvény ("Ptk."), a GDPR, valamint a személyes adatok kezelésével kapcsolatos egyéb jogszabályok vonatkozó rendelkezéseit tekintik irányadónak. A Felek a Ptk. 6:63. § (5) bekezdése kapcsán kijelentik, hogy a jelen Megállapodás részét nem képezik azon szokások, illetve az általuk kialakított azon gyakorlat(ok), amelynek alkalmazásában a Felek korábbi üzleti kapcsolatuk során megegyeztek.
13.5 A Felek bármilyen esetleges jogvitára Magyarország joghatóságát kötik ki.
A Felek jelen Megállapodást annak elolvasását és közös értelmezését követően, mint szándékaikkal teljesen megegyezőt írják alá.
1.§ A SZABÁLYZAT CÉLJA, HATÁLYA
(1) Jelen Szabályzat célja, hogy a STEELVENT Csavar és Húzottáru Ipari Kereskedelmi Zártkörűen Működő Részvénytársaság (továbbiakban: STEELVENT Zrt. / Társaság) a működése során megfeleljen az érintettek személyes adatainak védelmével kapcsolatos mindenkor hatályos jogszabályoknak, így különösen az információs önrendelkezési jogról szóló 2011. évi CXII. törvénynek (továbbiakban: Infotv.) és az információszabadságról és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (eu) 2016/679 Rendelete (továbbiakban: Rendelet/GDPR rendelet) szabályainak.
(2) A Szabályzat célja továbbá, hogy biztosítsa a STEELVENT Zrt. tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, az adatvédelemmel kapcsolatos jogoknak és az adatbiztonság követelményeinek az érvényesülését, továbbá, hogy a STEELVENT Zrt. által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése és feldolgozása során irányadó adatvédelmi és adatbiztonsági szabályokat, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát, rendelkezzen az adatvédelmi incidensek bekövetkezése esetében követendő eljárási szabályokról (incidenskezelés).
(3) A szabályzat célja, hogy az Infotv-ben és egyéb jogszabályokban foglalt előírások figyelembevételével elősegítse a közérdekű adatok megismeréséhez való alkotmányos jog érvényesülését azáltal, hogy meghatározza az adatok közzétételének rendjét, megismerésre irányuló igény esetén a követendő eljárás menetét, az ügyintézésben résztvevő személyeket, felelősöket, továbbá az adatot megismerni kívánó személy, továbbá a STEELVENT Zrt. eljárási jogait és kötelezettségeit.
(4) A Szabályzat célja továbbá, hogy a STEELVENT Zrt. partnereinek személyes közreműködésben érintett adatait a GDPR rendeletnek megfelelően tartsa nyilván.
(5) Jelen Szabályzat 2022.10. 25. napján lép hatályba.
(6) A Szabályzat hatálya kiterjed a STEELVENT Zrt-nél folytatott személyes-, különleges-, valamint közérdekű és közérdekből nyilvános adatok kezelésére.
(7) E szabályzatot a teljesen, vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.
(8) Jelen szabályzatra nézve a STEELVENT Zrt-n belül nincsenek hozzáférési korlátozások. Amennyiben jelen Szabályzat külső felhasználása válik szükségessé, az erre vonatkozó igényt a STEELVENT Zrt. vezérigazgatója írásban engedélyezi.
2.§ A SZEMÉLYES ADATOK KEZELÉSE
(1) Az adatkezelés alapelvei
a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
b) célhoz kötöttség elve: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
c) adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
d) pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
e) korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
f) integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
g) elszámoltathatóság elve: az adatkezelő felelős az említett alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
(2) Az adatkezelés jogalapja
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
(3) Különleges személyes adatok
Személyes adatok különleges kategóriái csak rendkívül korlátozott és indokolt esetben, és csak abban az esetben kezelhetőek, amennyiben:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez (kifejezett hozzájárulás az írásbeli vagy szóbeli, az adatkezelésre vonatkozó egyértelmű jóváhagyás, a ráutaló magatartás ez esetben nem elegendő)
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha ezt a vonatkozó jogszabály lehetővé teszi;
c) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása jogszabály alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, vagy
d) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátása és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
e) egyéb, a Rendeletben meghatározott okok.
Munkavállalók különleges személyes adatait a munkaviszonnyal összefüggésben meghatározott célból és mértékben a munkáltató kezeli. Különleges adat a megváltozott munkaképességű személyek ellátásairól szóló törvényben szabályozott körben, mértékben és ideig kezelhető. Kezelhető továbbá a munkahelyi balesettel, betegellátással kapcsolatos adat.
A Munkavállalók személyes adatainak kezeléséről szóló tájékoztatót a Munkavállalók számára (beleértve az új belépőket is) mindig elérhetővé kell tenni, és gondoskodni kell arról, hogy annak tartalmát a Munkavállalók megismerhessék. A Munkavállalók személyes adatainak kezeléséről szóló tájékoztató a Munkavállalóknak kerül átadásra.
(4) Adatbiztonság követelményei
a) A STEELVENT Zrt. az adatkezelési feladatokat úgy tervezi meg és hajtja végre, hogy azok során biztosítsa az érintettek magánszférájának védelmét.
b) A STEELVENT Zrt. által kezelt, – vagy a STEELVENT Zrt. feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az ezen rendelkezést megsértő munkatárs fegyelmi vétséget követ el.
c) A STEELVENT Zrt. , illetve tevékenységi körében az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása, valamint az érintettek alapvető jogainak érvényesülése érdekében, köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni a kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv., Rendelet, továbbá jelen szabályzat, valamint az egyéb adat- és titokvédelemi szabályok érvényre juttatásához szükségesek, annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
d) Az adatokat védeni kell különösen a jogosulatlan hozzáféréstől, megváltoztatástól, továbbítástól, nyilvánosságra hozataltól, törléstől vagy megsemmisítéstől, valamint a véletlen megsemmisüléstől és sérüléstől, továbbá az alkalmazott technológia megváltozásából fakadó hozzáférhetetlenné válástól.
e) A STEELVENT Zrt. különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldásokkal biztosítja, hogy a nyilvántartásokban tárolt adatok a különböző adatok kezelésnek céljától eltérő célra vagy feladatai ellátásához nem szükséges módon – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
f) Az adatbiztonsági szabályoknak való megfelelés érdekében minden munkavállaló köteles a jelen Szabályzat előírásait maradéktalanul betartani és betartatni, mind a fizikai, mind az elektronikus módon kezelt személyes adatok biztonsága érdekében.
(5) Adatok törlése
Ha az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatokat törölni kell. A törlés az adatok felismerhetetlenné tétele oly módon, hogy helyreállításuk már nem lehetséges. A törlés során, az adatkezelés megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni.
3.§ A SZEMÉLYES ADATOK KEZELÉSÉNEK ELJÁRÁSRENDJE
(1) Az adatok nyilvántartása
A STEELVENT Zrt. a személyes adatokról nyilvántartást vezet mind a Munkavállalók, mind a Külső Partnerek vonatkozásában.
(2) Adatkezelés
Adatkezelés a jelen szabályzatban foglaltak betartásával történhet.
A személyes adatok jogszerű kezeléséért a STEELVENT Zrt. vezérigazgatója felelős, aki a szervezeten belül gondoskodik az adatok biztonságának megteremtéséről, továbbá megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat a belső eljárási szabályokat, amelyek a GDPR rendelet, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az érintett kérésére dönt az érintett személyes adatainak helyesbítéséről, zárolásáról, megjelöléséről, törléséről, vagy az érintett tiltakozás iránti kérelméről jelen Szabályzat 5.§ Érintettek kérelmei című fejezetének figyelembevételével.
A társaságnál a munkaügyi, ügyfélkapcsolati területen az adatkezelési feladatok a Pénzügyi Vezető feladatkörébe tartoznak, egyéb adatkezelési feladatokat a Titkárságvezető lát el.
(3) A kezelt adatok köre
Munkavállalókra vonatkozóan kezelt adatok körét a munkavállalói adatkezelési tájékoztató tartalmazza.
Külső Partnerek személyes közreműködőjére vonatkozóan kezelt adatok köre:
a) név, titulus;
b) munkakör
c) telefonos elérhetőség
d) e-mail elérhetőség
e) magánszemélyek esetén az adószám
Külső Partnerek vonatkozásában az adatkezelés a kapcsolattartás, tájékoztatás, valamint a Partnerekkel megkötött szerződések teljesítése céljából történik. Az adatokat a külső Partner bocsátja a STEELVENT Zrt. rendelkezésére. Amennyiben a Partner természetes személy közreműködőjének közreműködői szerepe – ezáltal a kapcsolattartás és tájékoztatás indokoltsága – megszűnik, a Partner természetes személy közreműködője az info@steelvent.hu címre küldött e-mailben kérheti személyes adatainak törlését.
(4) Adatkezelési tájékoztató előkészítése, közzététele
a) Olyan tevékenység/munkafolyamat/szerződés/intézkedés esetén, melyhez személyes adatok kezelése kapcsolódik (pl. rendezvény tartása, játéksorsolás, új adatfeldolgozók igénybevétele) a STEELVENT Zrt. vezérigazgatója által erre kijelölt munkavállaló elkészíti a kapcsolódó adatkezelési tájékoztatót.
b) A STEELVENT Zrt. vezérigazgatója véglegesíti az adatkezelési tájékoztatót, szükség esetén egyeztet az adatkezeléssel járó intézkedéssel megbízott munkavállalóval, ezt követően a végleges tájékoztatót visszaküldi a megbízott munkavállalónak, aki gondoskodik annak közzétételről.
c) A közzétételnek az érintettek által könnyen hozzáférhetőnek kell lennie.
(5) Adattovábbítás
A STEELVENT Zrt. vezérigazgatója dönt a személyes adatok másik adatkezelőnek történő továbbításáról, vagy adatfeldolgozó igénybevételéről és az adatkezeléssel összefüggő tevékenységéről.
d) Adattovábbítás belföldre vagy EGT államba, harmadik személy részére:
A STEELVENT Zrt. személyes adatokat harmadik személy részére megfelelő jogalap és tájékoztatás birtokában továbbíthat. Amennyiben a jogalap a Munkáltató jogos érdeke, úgy a személyes adatok kezeléséhez a munkáltatói jogkörgyakorló által kijelölt munkatárs írásbeli érdekmérlegelési tesztet készít.
e) Adattovábbítás harmadik országban adatkezelést folytató adatkezelő részére:
Személyes adatot a STEELVENT Zrt. harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha az adattovábbítás a GDPR rendelet által meghatározott feltételeknek megfelel. Az adattovábbítás jogszerűségéről a vezérigazgató dönt. Adatszolgáltatás harmadik országba STEELVENT Zrt. részéről nem történik.
(6) Adatfeldolgozók
a) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR rendelet, jelen Szabályzat, valamint az adatkezelésre vonatkozó törvények keretei között a STEELVENT Zrt. határozza meg.
b) Az adatfeldolgozó csak a STEELVENT Zrt. vezérigazgatója jóváhagyása alapján csak a szerződésben rögzítettek szerint vehet igénybe további adatfeldolgozót.
c) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a STEELVENT Zrt. rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a STEELVENT Zrt. rendelkezései szerint köteles tárolni és megőrizni.
d) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozási szabályok az alapul szolgáló szerződésbe is foglalhatóak.
e) Az adatfeldolgozónak a STEELVENT Zrt. csak és kizárólag a megbízásban rögzített feladatának elvégzéséhez elengedhetetlenül szükséges személyes adatokat adja át, a teljesítéshez szükséges formában.
f) Az adatfeldolgozó az adatokat kizárólag célhoz kötötten, a szerződés teljesítése során az abban meghatározott feladatai ellátása érdekében használhatja fel.
g) Az adatfeldolgozó az adatfeldolgozás során felmerült adatvédelmi incidensekről köteles a társaságot haladéktalanul, de legkésőbb a tudomásra jutástól számított 1 munkanapon belül értesíteni.
(7) Kapcsolattartás a Hatósággal
A STEELVENT Zrt. együttműködik a Nemzeti Adatvédelmi és Információszabadság Hatósággal (továbbiakban: Hatóság, NAIH) a személyes adatkezelés felügyeletének végrehajtása során. A NAIH-tól származó, a STEELVENT Zrt-hez érkező, az adatkezelési gyakorlatra vonatkozó, az adatkezelések törvényességével kapcsolatos megkeresések, esetleges hatósági eljárásról szóló értesítések, határozatok, ajánlások tárgyában a szükséges intézkedésekről 3 munkanapon belül dönt a STEELVENT Zrt. vezérigazgatója. A NAIH nevében telefonon érkezett vagy egyéb szóbeli megkeresések esetén – a STEELVENT Zrt. együttműködési szándékának hangsúlyozása mellett – az adatkezelési gyakorlatra vonatkozó tájékoztatás megadását megelőzően írásbeli megkeresést szükséges kérni.
Szükség esetén a jelen bekezdésben foglalt intézkedések megtétele érdekében a STEELVENT Zrt. jogi szolgáltatót vesz igénybe.
(8) Ellenőrzés
Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását a STEELVENT Zrt. vezérigazgatója, vagy az általa kijelölt munkavállaló folyamatosan ellenőrzi.
A STEELVENT Zrt. munkavállalója törvénysértés vagy a szabályzat rendelkezései megsértésének észlelése esetén haladéktalanul intézkedik annak a vezető felé jelentéséről, valamint annak megszüntetéséről. Különösen súlyos vagy ismételten elkövetett visszaélés fegyelmi eljárás megindítását vonhatja maga után.
4.§ INCIDENSKEZELÉS
(1) Általános szabályok
Azokat az adatvédelmi incidenseket, amelyek valószínűsíthetően kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek be kell jelentenie az illetékes felügyeleti hatóságnak, magas kockázat esetén pedig az adatvédelmi incidenssel érintett természetes személyt is értesíteni kell. A STEELVENT Zrt. , mint adatkezelőnek ezért megfelelő folyamatokat kell kialakítania, hogy az adatvédelmi incidenseket felismerje és káros hatásaikat megfékezze, a kockázatok súlyosságát felmérje, és ennek megfelelően bejelentse az incidenst a felügyeleti hatóságnak, szükség szerint az érintetteket is értesítse (kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettekre nézve).
Az adatvédelmi incidenst indokolatlan késedelem nélkül, lehetőség szerint az adatkezelő tudomásszerzésétől számított legkésőbb 72 órával be kell jelenteni. Tudomásszerzésnek minősül az, amikor az adatkezelő észszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek. Ha a bejelentés 72 órán túl történik, mellékelni kell a késedelem igazolására szolgáló indokokat is.
A STEELVENT Zrt. a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljon. Az adatvédelmi incidens időben történő felismerésének, kezelésének és jelentésének képessége alapvető fontosságú eleme ezeknek az intézkedéseknek. A kockázatot esetről esetre kell értékelni.
(2) Az adatvédelmi incidens
Az adatvédelmi incidens kezelésének legelső lépése az, hogy az adatkezelő felismerje az incidenst. A GDPR 4. cikkének 12. pontja szerint adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
(3) Kockázatértékelés
A kockázatértékelés során figyelembe kell venni az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát is, valamint a kockázatot objektív értékelés alapján kell felmérni. Az értékelést a STEELVENT Zrt-nél kijelölt, a Pénzügyi Vezető és a Titkárságvezető együttesen végzi.
(4) Bejelentés
A bejelentésben:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit (pl. munkavállaló, kiskorú, stb.) és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet az alábbi feltételek teljesülése esetén nem kell értesíteni:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
e) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
f) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fent említett feltételek valamelyikének teljesülését.
Az incidenskezeléssel kapcsolatos feladatokat a STEELVENT Zrt-nél az erre kijelölt, a Titkárságvezető végzi.
Incidenskezelés folyamata:
Folyamatlépés
Tevékenység leírás
Felelős
0
Potenciális incidens észlelése
Az érintett vagy egyéb személy potenciális adatvédelmi incidenst észlel.
1
Észlelt incidens bejelentése
Incidenst észlelő e-mailben bejelentést tesz a rendelkezésére álló adatok alapján a vezető felé.
Incidenst észlelő
2
Bejelentés vizsgálata
A vezető megbizonyosodik arról, hogy a rendelkezésre álló adatok alapján megállapítható-e incidens megtörténte. Hiányosság esetén az észlelőtől további információt kérhet. (szükség esetén adatvédelemben jártas szakértő bevonása)
vezető
3
Hiányzó információk pótlása
A bejelentő megküldi a hiányzó információkat és továbbítja e-mailben.
Incidenst észlelő
4
Informatikai biztonsági incidens történt?
A vezető az IT segítségével megvizsgálja, hogy informatikai biztonsági incidens történt-e.
vezető
6
Informatikai biztonsági incidenskezelés
Amennyiben a rendelkezésre álló adatokból megállapítható, hogy informatikai biztonsági incidens (is) történt, az IT haladéktalanul intézkedik az incidens kezeléséről és a lehetséges károk felmérésről.
IT szolgáltató
7
Adatvédelmi incidens történt?
Az összes információ birtokában a vezető, szükség esetén szakértő bevonása mellett eldönti, hogy történt-e adatvédelmi incidens. A döntést a hiánytalan bejelentés rögzítésétől számított 12 órán belül kell meghozni.
vezető
8
Kockázatértékelés elvégzése
A kijelölt, Pénzügyi Vezető és Titkárságvezető feladata, hogy 24 órán belül elvégezze a kockázatértékelést az előre meghatározott értékelési szempontok és súlyozás szerint. Az értékelés alapján dönti el, hogy az adatvédelmi incidens alacsony/közepes/magas kockázatot jelent-e az érintett természetes személy vagy személyek jogai és szabadságai tekintetében.
Pénzügyi Vezető és Titkárságvezető munkavállaló
9
Az érintett értesítése
Amennyiben az incidens magas kockázatú besorolást kapott, a vezető haladéktalanul tájékoztatja az érintettet/érintetteket. Ezt követően haladéktalanul értesíti a NAIH-ot.
vezető
10
A hatóság értesítése
Amennyiben az incidens közepes kockázatú besorolást kapott, vezető tájékoztatja a NAIH az incidensről, illetve a bejelentéstől eltekint amennyiben annak törvényes indokai fennállnak.
vezető
11
Dokumentáció
Az adatvédelmi incidensekről nyilvántartást kell vezetni. Ha alacsony kockázatú az incidens incidenst nyilvántartásba kell venni. Amennyiben közepes vagy magas kockázatú, az incidenst – a hatóság és esetlegesen az érintett tájékoztatását követően – nyilvántartásba kell venni. A mögöttes dokumentáció tárolási ideje 10 év.
Titkárságvezető
5.§ ÉRINTETTEK KÉRELMEI
(1) Az érintetti jogok
a) az érintett hozzáférési joga;
b) a tiltakozáshoz való jog;
c) tiltakozás automatizált döntéshozatal, valamint profilalkotás ellen;
d) az adatkezelés korlátozása;
e) adathordozhatóság;
f) helyesbítéshez való jog;
g) a törléshez való jog.
Amennyiben a magánszemély (érintett) a fenti jogokkal kapcsolatos kérelmet terjeszt elő, a Társaság minden ilyen kérelmet az alkalmazandó adatvédelmi jogszabályokkal és szabályzatokkal összhangban köteles kezelni. Ezt díjmentesen kell biztosítani, kivéve, ha az érintett kérelme egyértelműen megalapozatlan, vagy – különösen ismétlődő jellege miatt – túlzó. Amennyiben ez bebizonyosodik, a STEELVENT Zrt.:
a) észszerű összegű (a felmerülő adminisztratív, kommunikációs, a szükséges intézkedések költségeinek figyelembevételével kalkulált) díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
Az érintettek kérelmük alapján, valamint személyazonosságuk sikeres megállapítása esetén, az alábbi információkhoz férhetnek hozzá személyes adataikkal összefüggésben:
a) az adatkezelés és adatgyűjtés célja, személyes adataik tárolása, felhasználása, jogalapja;
b) személyes adataik forrása, amennyiben nem az érintettől szerezték meg;
c) a tárolt személyes adatok kategóriái;
d) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
e) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
f) tájékoztatás automatizált döntéshozatal, beleértve a profilalkotás alkalmazásáról, ha van ilyen.
Minden kérelmet beérkezéskor rögzíteni kell és indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatni kell az érintettet az alábbiak szerint:
a) Az érintetti kérelemnek elektronikus (e-mail) útján kell megérkeznie a STEELVENT Zrt-hez.
b) A STEELVENT Zrt. Pénzügyi Vezetője a beérkezett kérelem alapján elvégzi az érintett azonosítását. Amennyiben ez a beérkezett e-mail alapján nem lehetséges, úgy felhívja erre az érintettet.
c) Sikertelen azonosítás esetén a kérelem nem teljesíthető és az Érintettet tájékoztatni kell ennek tényéről.
d) Sikeres azonosítás esetén az érintettnek joga van tájékoztatást kapni a kérelemmel kapcsolatos eljárásokról. Amennyiben a kérelem egyértelműen megalapozatlan, illetve – különösen ismétlődő jellege miatt – túlzó, észszerű összegű díj számítható fel a felmerülő adminisztratív, kommunikációs, vagy szükséges intézkedésekhez szükséges költségek figyelembevételével.
e) A kérelmet a beérkezéstől számított 15 naptári napon belül érdemben meg kell vizsgálni.
f) Szükség esetén a kérelem teljesítésére megszabott határidő, figyelembe véve a kérelem összetettségét és a STEELVENT Zrt-hez beérkezett kérelmek számát, 30 nappal meghosszabbítható.
g) A STEELVENT Zrt-nek a kérelem beérkezésétől számított egy hónapon belül kell elektronikus úton tájékoztatnia az Érintettet a meghosszabbításról, a meghosszabbítás időtartamáról és annak okáról.
h) A kérelem teljesítése érdekében az adatokat elő kell készíteni, azt ki kell nyerni az azt tartalmazó rendszerből. Hozzáférési kérelem esetén az előkészítés azt jelenti, hogy csak az érintettre vonatkozó személyes adatok legyenek elérhetők, láthatók. Az adatokon módosítani nem lehet, akkor sem, ha azok között pontatlan, vagy a STEELVENT Zrt-re nézve negatív tartalom szerepel.
i) Ha az érintett helyesbítést, törlést, hozzáférés-korlátozást kért, vagy tiltakozik az adatkezeléssel szemben, a STEELVENT Zrt-nek az IT bevonásával meg kell tenni a szükséges intézkedéseket ennek megfelelően.
j) Az adatokat hozzáférhető, olvasható formátumban kell rendelkezésre bocsátani.
k) Ha a kérelem akár technikai, akár egyéb okból nem teljesíthető, az érintettet tájékoztatni kell erről.
l) Ha kérelemmel érintett adatok nem találhatók a rendszerekben, vagy azokat nem lehet belőlük kinyerni, a STEELVENT Zrt. az IT tájékoztatása alapján nyilatkozatot készít és ezt haladéktalanul megküldi az érintettnek.
m) Amennyiben a kérelem teljesítésének nincs akadálya, úgy a tájékoztatást meg kell küldeni az érintettnek. A tájékoztatást olyan nyelven kell kiküldeni, amilyen nyelven az érintett a kérelmet benyújtotta. Ha az adatok kódoltak, magyarázatot is kell mellékelni a megérthetőség érdekében.
6. § KAMERÁS RENDSZERREL KAPCSOLATOS ADATKEZELÉS
A STEELVENT Zrt. székhelyén és telephelyein kamerás megfigyelő rendszer működik.
Az adatkezelés jogalapja, célja: a 0-24 órás kamerás megfigyelés elsődlegesen vagyonvédelmi célból, betartva az Infotv.-ben, valamint a Rendeletben megfogalmazott alapelveket.
Az adatkezelő a kamerával történő megfigyelés során az érintettek arcképmását kezeli. Az elhelyezett kamerák olyan minőségű felvétel készítésére és rögzítésére alkalmasak, amely lehetővé teszi a STEELVENT Zrt. épületén belül és területén tartózkodók egyedi azonosítását.
Az elektronikus megfigyelőrendszer a hét minden napján, 24 órában üzemel.
Az adatkezelés időtartama: a rögzített felvételek a jogszabályi kivételektől eltekintve a rögzítést követően az alábbi határidőkkel kerülnek törlésre:
Miskolc: 3527 Miskolc, Besenyői u. 8. – 15 nap
Bátonyterenye 1,2: 3070 Bátonyterenye, Bolyoki út 2-4. – 1. telephely: 5 nap
2. telephely: 15 nap
Dűlő: 3529 Miskolc, Görgey Artúr utca 10. – 11 nap
A kamerával megfigyelt területek:
Beltéri kamerák a STEELVENT Zrt. épületeinek közösségi tereiben (folyosók, közlekedők, aulák, egyéb közösségi területek), az irodákban, csarnokokban, valamint az épületeken kívül kerültek telepítésre. Kültéri kamerák a bejáratokat figyelik.
Adatbiztonsági intézkedések: a felvétel jelszóval védett és vírusvédelemmel ellátott zárt rendszerben, számítógépen kerül rögzítésre és tárolásra. Az adatokhoz a STEELVENT Zrt. jogosultsággal rendelkező munkatársai, így a vezérigazgató és az üzemelési területek vezetői férnek hozzá, valamint műszaki meghibásodás, karbantartás esetén a STEELVENT Zrt-vel szerződéses kapcsolatban álló vagyonvédelmi cég (Multi Alarm Zrt.; székhely: 1106 Budapest, Fátyolka utca 8.)
A kamerás megfigyelő és rögzítő rendszer tárolt felvételeibe kizárólag az emberi élet, testi épség és vagyon sérelmére elkövetett jogsértések bizonyítása és az elkövető azonosítása, illetve az életet vagy testi épséget érintő egyéb események, balesetek feltárása érdekében tekinthetnek be az arra jogosultsággal rendelkező személy.
7.§ WEBÁRUHÁZZAL KAPCSOLATOS ADATKEZELÉS
A STEELVENT Zrt. a www.steelventshop.hu oldalon webáruházat üzemeltet. A Webáruház működtetéshez/szolgáltatás igénybevételéhez kapcsolódó adatkezelést az alábbiak szerint határozza meg.
(1) Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:
(2) Az érintettek köre: A webshop weboldalon regisztrált/vásárló valamennyi érintett. Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon.
(3) Az adatkezelés időtartama, az adatok törlésének határideje: Ha a GDPR 17. cikk (1) bekezdésében foglalt feltételek valamelyike fennáll, úgy az érintett törlési kérelméig tart. Az érintett által megadott bármely személyes adat törléséről az adatkezelő a GDPR 19. cikke alapján, elektronikus úton tájékoztatja az érintettet. Ha az érintett törlési kérelme kiterjed az általa megadott e-mail címre is, akkor az adatkezelő a tájékoztatást követően az e-mail címet is törli. Kivéve a számviteli bizonylatok esetében, hiszen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni ezeket az adatokat. Az érintett szerződéses adatai a polgárjogi elévülési idő leteltével törölhetőek az érintett törlési kérelme alapján.
A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.
(4) Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő, továbbá az arra feljogosított munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
(5) A Webáruházi Adatkezelési Tájékoztató az alábbi linken érhető el: https://steelventshop.hu/adatkezelesi-tajekoztato
8.§ Záró rendelkezések
(1) Jelen szabályozót a vezérigazgató az MU 170B számú munkautasításával adta ki.
(2) Jelen szabályzat közzétételéről a/az Titkárságvezető a helyben szokásos módon gondoskodik.
(3) Jelen szabályzat elérési útvonala: fizikálisan a székhely titkárságán, elektronikusan: U meghajtó/GDPR menüpont alatt.
1.sz. melléklet: Az adatvédelem alapfogalmai és elvei
1. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
1a. azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható;
2. személyes adat: az érintettre vonatkozó bármely információ;
3. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
3a. biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;
3b. egészségügyi adat: egy természetes személy testi, vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
7. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely − törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között − önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
8. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
9. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
9a. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
9b. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;
10. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
11. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
12. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölés útján;
13. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
14. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely − törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel − az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
15. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
16. adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;
17. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
18. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;
19. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
20. profilalkotás: személyes adat bármely olyan . automatikus módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciához vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
21. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
22. álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezeti intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni.
23. jogos érdek: az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése az érintett adatkezelő jogos érdekének minősül.
2. sz. melléklet: A személyes adatok kezelésére vonatkozó ügyiratkezelési eljárásrend
(1) Személyes adatok kezelése csak az arra munkakörüknél vagy vezetői megbízásuk okán jogosultak által történhet. Személyes adatokat tartalmazó dokumentumokba az arra munkakörüknél, vagy vezetői megbízásuk okán jogosultak tekinthetnek be meghatározott céllal, így
- vezérigazgató
- Pénzügyi Vezető és a Titkárságvezető;
(2) Az adatkezelést végző és a személyes adatokat tartalmazó dokumentumokba betekintésre jogosult munkavállalók kötelesek az általuk megismert személyes adatokat hivatali titokként megőrizni. Ilyen munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot tett.
(3) Személyes adatokat zárható szekrényben, ennek hiányában zárható helyiségben kell tárolni.
(4) A személyes adatokat tartalmazó iratokba való betekintési jogosultságot igazolni kell.
(5) A személyes adatokat tartalmazó dokumentumok elektronikus úton történő továbbítása kizárólag a Társaság levelező rendszerén keresztül történhet, más levelező rendszer üzleti ügyek továbbítására nem vehető igénybe. Ezen adatok elektronikus tárolása oly módon lehetséges, hogy az ahhoz való hozzáférés csak az arra munkakörüknél vagy vezetői megbízásuk okán jogosultak részére legyen biztosított.
3. sz. melléklet: Az adatok védelmében megtett informatikai intézkedésekről
Az adatok védelme érdekében megtett informatikai biztonsági intézkedésekről a Társaság Informatikai Szabályzata rendelkezik.
4. sz. melléklet: Tájékoztató kamerarendszer működésről (minta dokumentum)
A STEELVENT Zrt. (továbbiakban: STEELVENT Zrt. ) székhelyén, telephelyén, állandó, vagy ideiglenes munkavégzési helyén, ahol kamerarendszer működik az alábbi tájékoztatót szükséges alkalmazni és közzétenni.
„Tájékoztatjuk tisztelt Partnereinket, hogy a STEELVENT Zrt. területén az épületeken belül, illetve az épületeken kívül elektromos vagyonvédelmi megfigyelő rendszer (továbbiakban: kamerarendszer) működik, mellyel személyes adatokat tartalmazó képfelvételek készülnek.
Az adatkezeléshez történő hozzájárulás önkéntes, ráutaló magatartással, a Társaság területére történő belépéssel történik. Ön a STEELVENT Zrt. területére történő belépéssel és az itt tartózkodással hozzájárulását adja a képfelvétellel kapcsolatos adatkezeléshez. A megfigyelésnek és a képfelvételek rögzítésének célja a STEELVENT Zrt. területén tartózkodó személyek életének, testi épségének, valamint a STEELVENT Zrt. tulajdonában, illetve használatában álló vagyontárgyak védelme. Ennek keretében cél a prevenció, a jogsértések észlelése, az elkövető tettenérése, e jogsértő cselekmények megelőzése, továbbá, hogy ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra.
A kamerák pontos elhelyezéséről és az általuk megfigyelt területről a info@steelvent.hu címre küldött adatigényléssel tájékozódhat.
A kezelt adatok köre: a területen tartózkodók képfelvételeken látszódó arcképmása, egyéb személyes adatai.
Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül, vagy közvetve – azonosítható természetes személy kérelmezheti
a) tájékoztatását személyes adatai kezeléséről,
b) személyes adatainak helyesbítését, valamint
c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását.
A kérelmeket a STEELVENT Zrt. vezérigazgatója felé a info@steelvent.hu címen kell benyújtani. A STEELVENT Zrt. adatkezelési szabályzata elérhető a Társaság székhelyén. Adatkezeléssel kapcsolatos ügyekben a info@steelvent.hu e-mail címen kérhet tájékoztatást,
Adatkezelő: STEELVENT Zrt.
Felügyelő hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1055 Budapest, Falk Miksa u. 9-14., 1363 Budapest, Pf. 9., ugyfelszolgalat@naih.hu)
6. sz. melléklet: Adatfeldolgozási megállapodás
Az alábbi adatfeldolgozói megállapodás (a továbbiakban: "Megállapodás"), amely létrejött a STEELVENT Csavar és Húzottáru Ipari Kereskedelmi Zártkörűen Működő Részvénytársaság (Továbbiakban: STEELVENT Zrt.) (Cg.: 05-10-000337; székhely: 3527 Miskolc, Besenyői u. 8.; adószám: 11883995-2-05; képviseli: Czél Péter István vezérigazgató), mint Adatkezelő és a/az …………………… (Továbbiakban: …………..) (Cg.: ………………..; székhely: …………………..; adószám: ………………….; képviseli: …………………………….), mint Adatfeldolgozó között (a továbbiakban közösen: "Felek”, külön-külön: "Fél”)
ELŐZMÉNYEK
A Felek rögzítik, hogy közöttük megállapodás jött létre az Adatfeldolgozó által az Adatkezelő részére …………………… ("Szolgáltatás") kapcsán. Tekintettel arra, hogy a Szolgáltatás nyújtása során az Adatfeldolgozó az Adatkezelő adatfeldolgozójának minősül, a Felek jelen Megállapodással tesznek eleget az alkalmazandó adatvédelmi jogszabályokban, különös tekintettel a GDPR 28. cikkének (3) bekezdésében foglalt, a szerződéskötésre vonatkozó kötelezettségüknek, és rögzítik az adatfeldolgozási megállapodásuk részleteit.
1. A Megállapodásban használt fogalmak
Alkalmazandó Szabályok: a GDPR és a vonatkozó magyar jogszabályok;
Személyes Adat(ok): a Szolgáltatás nyújtása céljából az Adatkezelő által az Adatfeldolgozónak átadott és az Adatfeldolgozó által felvett személyes adatok;
GDPR: Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
További Adatfeldolgozó: az Adatkezelő által engedélyezett, illetve a jövőben esetlegesen engedélyezett, az adatfeldolgozási tevékenységbe az Adatfeldolgozó által bevont adatfeldolgozó.
A Felek rögzítik, hogy az Adatfeldolgozó a Szolgáltatás szerinti feladatok kapcsán adatfeldolgozónak, míg az Adatkezelő adatkezelőnek minősül.
2. A (Megállapodás) adatkezelés tárgya
Az Adatkezelő jelen Megállapodás aláírásával megbízást ad az Adatfeldolgozó részére, hogy az Adatkezelő érdekében és az utasításainak megfelelően, a Szolgáltatás nyújtása céljából
2022. ………. – 2022. ………… időtartam között ………………………………………………………….. konkrét célból az alábbiakban felsorolt adatok körét/típusát:
………………………..
………………………..
………………………..
………………………..
………………………..
kezelje és adatfeldolgozási tevékenységet folytasson.
Az Adatfeldolgozó kötelezettséget vállal arra, hogy a részére átadott adatok feldolgozását a GDPR előírásainak megfelelően végzi és maradéktalanul eleget tesz a GDPR rendelkezéseinek.
Tekintettel arra, hogy a fenti tevékenység során az Adatfeldolgozó az Adatkezelő adatfeldolgozójának minősül, Felek jelen megállapodással, mint jogi aktussal tesznek eleget az alkalmazandó adatvédelmi jogszabályokban, különös tekintettel a GDPR 28. cikkének (3) bekezdésében foglalt kötelezettségnek, és rögzítik az adatfeldolgozással kapcsolatos kötelezettségvállalás részleteit.
3. Adatkezelésben Érintett
(továbbiakban: Érintett): A STEELVENT Zrt-vel, mint adatkezelővel munkaviszonyban álló, felső vezető Munkavállaló.
4. Adatfeldolgozással kapcsolatos kötelezettségek
4.1. Az Adatkezelő általános kötelezettségei:
Az Adatkezelő köteles írásban tájékoztatni az Adatfeldolgozót az adatkezeléssel kapcsolatos utasításairól (ideértve, de nem kizárólagosan a Személyes Adatok esetleges továbbítását is). Az utasítás módja a következő eljárásrend szerint alakul: az Adatkezelő az adatfeldolgozással kapcsolatos utasításait az Adatfeldolgozó számára e-mail útján továbbítja az alábbi e-mail címre: ……………………….
Az Adatkezelő köteles megfelelő időn belül továbbítani az Adatfeldolgozó részére az utasításokat, lehetővé téve azok megfelelő időben történő végrehajtását.
4.2. Adatfeldolgozó:
(a) köteles az adatokat kizárólag az Adatkezelő írásbeli utasításai alapján, azoknak mindenben megfelelően kezelni, kivéve, ha vonatkozó jogszabályok eltérően rendelkeznek;
(b) köteles eleget tenni a GDPR-ban és egyéb szabályozókban foglalt rendelkezéseknek;
(c) csak és kizárólag az Adatkezelő előzetes írásbeli engedélyével továbbíthatja az adatokat harmadik személynek és/ vagy harmadik országba.
5. A Személyes Adatok kezelésére jogosult személyek:
Az Adatfeldolgozó kötelezettséget vállal arra, hogy megtesz minden szükséges intézkedést annak érdekében, és minden esetben biztosítja azt, (I) hogy a Személyes Adatokhoz az adatfeldolgozás során csak és kizárólag azon személyek férjenek hozzá, akiknek szigorúan szükséges és nélkülözhetetlen a Szolgáltatás nyújtása céljából, azt, (II) hogy a Személyes Adatokhoz hozzáféréssel rendelkező személyek feladataik teljesítése során mindig az Alkalmazandó Szabályokban foglaltaknak megfelelően járjanak el, ideértve, (III) hogy ezen személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak, valamint, hogy (IV) ezen személyek kizárólag az Adatkezelő utasításainak megfelelően kezeljék a Személyes Adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
6. Az adatkezelés biztonsága
6.1. Az Adatfeldolgozó kötelezettséget vállal, hogy a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve többek között, adott esetben, a GDPR 32. cikk (1) bekezdésében meghatározott intézkedéseket.
6.2. Felek rögzítik, hogy a biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
6.3. Az Adatfeldolgozó a jelen pontban foglaltak alapján az alábbi technikai és szervezési intézkedéseket vállalja végrehajtani:
(a) a tárolt Személyes Adatokhoz kizárólag a jogosult személyek, egyedül az adatkezelési cél(ok) érdekében férjenek hozzá;
(b) az adatfeldolgozáshoz használt technikai eszközök szükséges és rendszeres karbantartása, esetleg fejlesztése;
(c) a Személyes Adatokat tároló technikai eszköz zárt helyiségben történő elhelyezése, annak fizikai védelme.
7. További Adatfeldolgozó igénybevétele
7.1. További Adatfeldolgozó igénybevételére csak az Adatkezelő előzetes hozzájárulása alapján van lehetőség.
7.2. Amennyiben az Adatfeldolgozó mégis További Adatfeldolgozót kíván igénybe venni, illetve a korábban engedélyezett További Adatfeldolgozó(ka)t cserélni kívánja, úgy az Adatfeldolgozó vállalja, hogy a További Adatfeldolgozó igénybevételével, vagy cseréjével kapcsolatos szándékáról megfelelő időn belül előzetesen, írásban tájékoztatja az Adatkezelőt. A tájékoztatásnak ki kell terjednie minden, a További Adatfeldolgozó által ellátandó adatfeldolgozói tevékenységre. Adatkezelő ebben az esetben megtagadhatja a További Adatfeldolgozó igénybevételét (megtagadásnak minősül az is, ha az Adatkezelő 5 munkanapon belül nem jelzi a hozzájárulását, külön értesítés nélkül is), vagy azt további feltételek teljesüléséhez kötheti.
7.3. További Adatfeldolgozó – Adatkezelő által előzetesen adott hozzájárulásával történő - igénybevétele esetén az Adatfeldolgozó még a Személyes Adatok További Adatfeldolgozó általi feldolgozása megkezdését megelőzően köteles:
(a) megfelelő átvilágítási vizsgálatot lefolytatni annak érdekében, hogy felmérje és megállapítsa, hogy a További Adatfeldolgozónál biztosított-e a Személyes Adatok megfelelő szintű védelme, valamint, hogy a További Adatfeldolgozó által végzett adatfeldolgozás megfelelne-e a GDPR (az Alkalmazandó Szabályok) követelményeinek;
(b) biztosítani, hogy az Adatfeldolgozó, valamint a További Adatfeldolgozó között létrejött, az adatfeldolgozásra irányuló írásbeli szerződés a További Adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepítse, mint amelyek a jelen kötelezettségvállalásban szerepelnek.
7.4. Az Adatfeldolgozó köteles gondoskodni arról, hogy a További Adatfeldolgozó a jelen kötelezettségvállalás adatfeldolgozásra irányuló rendelkezéseit ugyanúgy betartsa, mintha a További Adatfeldolgozó szerződéses partner lenne a jelen Megállapodásban.
8. Együttműködési kötelezettség
8.1. Felek megállapodása alapján az Adafeldolgozó köteles az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíteni az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett (GDPR III. fejezetében foglalt) jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
8.2. Az adatfeldolgozás jellegének figyelembevételével Adatfeldolgozó vállalja, hogy a 9.1. pontban foglaltak végrehajtása céljából az alábbi technikai és szervezési intézkedéseket teszi meg:
(a) az Adatfeldolgozó köteles haladéktalanul tájékoztatni az Adatkezelőt amennyiben az Érintettől a Személyes Adatok kapcsán megkeresés érkezik hozzá;
(b) az Adatfeldolgozó az Érintettől érkezett megkeresés megválaszolására csak az Adatkezelő előzetes írásbeli hozzájárulása esetén jogosult, vagy abban az esetben, ha erre valamely Alkalmazandó Szabály kötelezi, azonban utóbbi esetben, amennyiben erre az Alkalmazandó Szabály feljogosítja, az Adatfeldolgozó a megkeresés megválaszolását megelőzően köteles tájékoztatni az Adatkezelőt;
(c) amennyiben az Adatkezelő így rendelkezik, az Adatfeldolgozó köteles az Érintettre vonatkozó személyes adatot az Érintett kérése szerint helyesbíteni, törölni vagy feldolgozni, kivéve, ha erre vonatkozóan a tagállami vagy az európai uniós jogszabályt mást írt elő.
8.3. Az adatkezelés jellegének, valamint az Adatfeldolgozó rendelkezésére álló információk figyelembevételével az Adatfeldolgozó köteles segítséget nyújtani az Adatkezelő részére a GDPR 32. – 36. cikkeiben részletezett bármely, a felügyeleti vagy más hatáskörrel és illetékességgel rendelkező hatóságok által lefolytatott adatvédelmi hatásvizsgálat és előzetes konzultáció, az adatvédelmi incidensek bejelentése, valamint az adatkezelés biztonsága kapcsán, amit az Adatfeldolgozó vállal.
8.4. Amennyiben az Adatfeldolgozó, vagy bármely További Adatfeldolgozó tudomást szerez bármilyen, a Személyes Adatokkal kapcsolatos adatvédelmi incidensről, köteles erről az Adatkezelőt minden szükséges információ átadásával haladéktalanul tájékoztatni, hogy az Adatkezelő minden, az adatvédelmi incidenst kapcsán őt terhelő bejelentési és tájékoztatási kötelezettségnek megfelelő időben, a vonatkozó jogszabályokban foglaltaknak megfelelően eleget tehessen, amit az Adatfeldolgozó vállal.
8.5. Az Adatfeldolgozó és/ vagy bármely További Adatfeldolgozó köteles együttműködni az Adatkezelővel az adatvédelmi incidens kivizsgálása, annak következményei enyhítése, valamint a helyreállítás kapcsán, amit az Adatfeldolgozó vállal.
9. Személyes Adatok törlése és visszajuttatása
9.1. Az Adatfeldolgozó az adatfeldolgozási szolgáltatás nyújtásának befejezését követően köteles a Személyes Adatokat (ideértve azok másolatait is) minden esetben haladéktalanul, de legkésőbb a szolgáltatásnyújtás befejezését követő 5 munkanapon belül, véglegesen törölni, vagy azok törlése iránt intézkedni, vagy az Adatkezelő diszkrecionális döntésétől függően, az adatfeldolgozási szolgáltatás megszűnését követő 5 munkanapon belül biztonságos adatátvitelt biztosító módon visszajuttatni az Adatkezelő részére, az Adatkezelő által észszerűen meghatározott formában az összes, a Személyes Adatokkal kapcsolatos tejes dokumentációt, valamint törölni az azokról készült összes másolatot.
9.2. A 9.1. pontjában foglaltak alól csak az az eset jelent kivételt, ha az Alkalmazandó Szabályok a Személyes Adatok tárolását írják elő az Adatfeldolgozó számára. Adatfeldolgozó az utóbbi esetben is csak az Alkalmazandó Szabályokban előírt mértékben és időtartamban jogosult tárolni a Személyes Adatokat, valamint ebben az esetben is köteles biztosítani a Személyes Adatok bizalmas, valamint csak az Alkalmazandó Szabályok által előírt célból történő kezelését.
9.3. Az Adatfeldolgozó az adatfeldolgozási tevékenység megszűnését követő 10 munkanapon belül, külön felszólítás nélkül köteles írásban igazolást adni az Adatkezelő részére arról, hogy a jelen pontban foglalt kötelezettségeinek, az Adatkezelő döntésének, valamint az Alkalmazandó Szabályoknak az adatfeldolgozási szolgáltatás megszűnését követő 5 munkanapon belül mindenben eleget tett, és azoknak megfelel.
10. Ellenőrzési jogosultság
10.1. Az Adatfeldolgozó, az Adatkezelő kérésére köteles az Adatkezelő rendelkezésére bocsátani az összes olyan információt, ami szükséges a jelen kötelezettségvállalásban foglalt kötelezettségeknek való megfelelés vizsgálata céljából. Ezen túlmenően az Adatfeldolgozó az Adatkezelő kérésére köteles az Adatkezelő rendelkezésére bocsátani az összes olyan információt, ami szükséges, illetve lehetővé teszi az Adatkezelő (vagy az Adatkezelő által megbízott auditor által) végzett auditokat (beleértve a helyszíni vizsgálatokat is), valamint együttműködni az Adatkezelő, vagy az Adatkezelő által egyoldalúan kiválasztott és megbízott auditor által lefolytatott, az adatfeldolgozási tevékenységhez kapcsolódó vizsgálat(ok) során.
10.2. A kötelezettségvállalás jelen pontjával kapcsolatban az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t vagy a tagállami adatvédelmi rendelkezéseket.
10.3. Az Adatkezelő megfelelő időben köteles tájékoztatni az Adatfeldolgozót a 10.1 pontban foglalt vizsgálat lefolytatásáról, valamint minden ésszerű intézkedést megtenni annak érdekében, hogy a vizsgálat (ideértve az Adatkezelő által kijelölt auditor által lefolytatott vizsgálatot is) a lehető legkisebb korlátozással és hátránnyal járjon az Adatfeldolgozó részére. Az Adatfeldolgozó a vizsgálat lefolytatása céljából köteles belépést biztosítani az adatfeldolgozás helyéül szolgáló ingatlanokba az Adatkezelő (vagy az általa kijelölt auditor) részére, kivéve az alábbi esetekben:
(a) amennyiben az ellenőrzést lefolytatni kívánó személy megfelelő módon nem igazolja kilétét, valamint a vizsgálat lefolytatására való jogosultságát. Megfelelő igazolásként kell elfogadni önmagában a személy azonosítására szolgáló igazolvány bemutatását is, amennyiben az Adatkezelő az Adatfeldolgozót az auditor kilétéről előzetesen, írásban tájékoztatta;
(b) munkavégzési időn kívüli ellenőrzés esetén, kivéve, ha az ellenőrzésre kivételesen, sürgősségi alapon kerül sor, és a vizsgálat ilyen jellegéről az Adatkezelő az Adatfeldolgozót a vizsgálat megkezdése előtt tájékoztatta;
(c) amennyiben az ellenőrzés visszaélésszerűen történik, az Adatfeldolgozó nem hivatkozhat visszaélésszerű joggyakorlásra abban az esetben, ha a vizsgálatra az Adatfeldolgozó jogszerűtlen és/vagy jelen kötelezettségvállalással ellentétes adatfeldolgozási tevékenységével kapcsolatos megalapozott gyanú miatt, vagy a hatáskörrel és illetékességgel rendelkező adatvédelmi hatóság előírása alapján kerül sor.
10.4. Utóbbi esetekben az Adatkezelő a vizsgálatra vonatkozó tájékoztatásában köteles tájékoztatni az Adatfeldolgozót a jogsértéssel és/vagy szerződésszegéssel kapcsolatban felmerült gyanúról, illetve a kötelezettséget előíró kérésről, határozatról, kötelezésről.
11. Adatok továbbítása
Adatfeldolgozó vállalja, hogy amennyiben jövőben adattovábbításra is sor kerülne, erre vonatkozólag tájékoztatja Adatkezelőt, illetve gondoskodik arról, hogy az adattovábbítás megfeleljen jelen kötelezettségvállalásnak, valamint a GDPR rendelkezéseinek.
12. A Megállapodás megszűnése
12.1. A jelen Megállapodás foglalt rendelkezéseket a Felek - előzetes szóbeli megállapodásuk alapján - ………………-től alkalmazzák egymás közötti viszonyukban. Felek jelen Megállapodás aláírásával előzetes szóbeli megállapodásukat írásban megerősítik, egyúttal a Megállapodás hatályának lejáratát határozatlan időtartamban határozzák meg.
12.2. Bármelyik Fél jogosult a jelen Megállapodást a másik Félhez intézett írásbeli értesítéssel, 30 (harminc) napos felmondási idő mellett egyoldalúan felmondani.
12.3. Bármelyik Fél súlyos szerződésszegése esetén a másik Fél jogosult a jelen Megállapodást azonnali hatállyal írásban felmondani
13. Egyéb rendelkezések
13.1 A Felek vállalják, hogy a jelen Megállapodás teljesítése során, illetve az ezzel kapcsolatban általuk megkötött szerződéses jogviszonyokban minden tőlük elvárhatót megtesznek annak érdekében, hogy a másik fél üzleti jó hírneve ne sérüljön, és cégneve ne szerepeljen jó erkölcsbe ütköző, ízléstelen, sértő, vagy bármely, a másik félre vagy bármely közvetett vagy közvetlen tulajdonosára hátrányos módon vagy összefüggésben.
13.2 A Felek a Megállapodás teljesítése során vagy azzal kapcsolatban tudomásukra jutott üzemi (üzleti) titkot, valamint ebben a körben és ezen túlmenően is minden, a másik Félre, illetve annak tevékenységére vonatkozó információt és adatot kötelesek bizalmasan kezelni és megőrizni; ezen információkat és adatokat sem közvetve sem közvetlenül, sem egyedül, sem pedig másik személy, társaság, egyesület, cég, vállalkozás vagy más jogi személy révén semmilyen formában nem használhatják fel és nem közölhetik, továbbá nem engedhetik azok semmilyen formában történő használatát, illetve közlését és kötelesek minden tőlük telhetőt megtenni ezen információk és adatok kiszivárgásának megakadályozása érdekében.
13.4 A Megállapodásban nem érintett kérdések tekintetében a Szerződés (tekintet nélkül annak jelen Megállapodástól korábbi megszűnésére), a Polgári törvénykönyvről szóló 2013. évi V. törvény ("Ptk."), a GDPR, valamint a személyes adatok kezelésével kapcsolatos egyéb jogszabályok vonatkozó rendelkezéseit tekintik irányadónak. A Felek a Ptk. 6:63. § (5) bekezdése kapcsán kijelentik, hogy a jelen Megállapodás részét nem képezik azon szokások, illetve az általuk kialakított azon gyakorlat(ok), amelynek alkalmazásában a Felek korábbi üzleti kapcsolatuk során megegyeztek.
13.5 A Felek bármilyen esetleges jogvitára Magyarország joghatóságát kötik ki.
A Felek jelen Megállapodást annak elolvasását és közös értelmezését követően, mint szándékaikkal teljesen megegyezőt írják alá.
Kelt.: Miskolc, 2023. július 01.