Privacy Policy

ADATVÉDELMI SZABÁLYZAT PDF - BEN

Nagy Sportágválasztó, BBU Sportrendezvény Szervező Iroda Nonprofit Korlátolt Felelősségű Társaság
(1106 Budapest, Maglódi út 12/B.)

Budapest, 2018. május 23.

Adatkezelő megnevezése:

Adatkezelő cégjegyzékszáma: Adatkezelő székhelye: Adatkezelő elektronikus címe: Adatkezelő képviselője:

Nagy Sportágválasztó, BBU Sportrendezvény Szervező Iroda Nonprofit Korlátolt Felelősségű Társaság
Cégjegyzékszám:
01-09-994624
1106 Budapest, Maglódi út 12/B.

info@bbu.hu
Szemán Róbert ügyvezető

Preambulum

A Nagy Sportágválasztó, BBU Sportrendezvény Szervező Iroda Nonprofit Korlátolt Felelősségű Társaság (a továbbiakban: Társaság) belső adatkezelési folyamatai jogszerűségének és az érintettek jogainak biztosítása céljából az alábbi adatvédelmi tájékoztatót alkotja.

Jelen rendelkezéseket a Társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és a bármely más, jelen szabályzat hatálybalépése előtt hatályba lépett szabályzat előírásai között, abban az esetben jelen rendelkezések az irányadóak.

1. Jelen szabályzat készítése során figyelembe vett jogszabályok

1.1. A szabályzat elsősorban az alábbi jogszabályok figyelembe vételével készült:

  • –  az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.),
  • –  a Munka törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.),
  • –  a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól

    szóló 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.),

  • –  az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban:

    Rendelet),

  • –  egyéb személyes adatok kezelésére vonatkozó jogszabályok.

2. A szabályzat célja

  1. 2.1.  A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a személyes adatok kezelésére, továbbítására, feldolgozására és védelmére vonatkozó jogszabályok érvényesülését a működése során.
  2. 2.2.  Jelen szabályzat célja egyrészt, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság, illetve a Társaság által megbízott adatfeldolgozók által kezelt adatokról, valamint az adatkezelés, illetve adatfeldolgozás szabályairól, jellemzőiről. Jelen szabályzat célja továbbá, hogy meghatározza a Társaság adatkezelési műveleteire, tevékenységeire vonatkozó szabályokat és irányt mutasson a munkavállalók részére a személyes adatok kezelése során.
  3. 2.3.  Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

3. A szabályzat hatálya

3.1.  Jelen szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul.

3.2.  Jelen szabályzat személyi hatálya kiterjed a Társaság minden munkavállalójára, valamint a Társasággal megbízási jogviszonyban álló olyan személyekre, akik személyes adatokatkezelnek.

3.3.  Jelen szabályzat hatálya kifejezetten kiterjed azon további személyekre, akik magukranézve a Társasággal történő együttműködés során kötelezőnek elfogadják.

3.4.  A szabályzat hatálya kiterjed a munkavállalók, valamint egyéb természetes személyek személyes adatainak kezelésére.

3.5.  Jelen szabályzat 2018. május 23. napján lép hatályba.

4. Fogalmak

4.1. A jelen szabályzat fogalmi rendszere megfelel a Rendelet 4. cikkében meghatározott értelmező fogalommagyarázatoknak, így különösen:

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi,gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés,rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetvemegsemmisítés;

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól,hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, azadatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetesszemély egészségi állapotáról;

„üzleti partner”: azon gazdasági szereplő, amellyel a Társaság szerződéses jogviszonyban áll.

4.2.  Amennyiben a mindenkori hatályos adatvédelmi jogszabály fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadóak.

4.3.  Amennyiben a jelen szabályzat, vagy a Társaság egyéb, személyes adatok kezelését szabályozó dokumentuma adatkezelésre, vagy adatokra hivatkozik, azon személyes adat kezelését, illetve személyes adatokat kell érteni.

5. Az adatkezelés elvei

5.1. Adatkezelés célhoz kötöttsége

5.1.1.  Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a Társaság jogalap hiányában nem kezeli ezekkel a célokkal össze nem egyeztethető módon. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

5.1.2.  AmeghatározottcélbólkezeltszemélyesadatotaTársaságegyébcélbólcsakmegfelelő jogalap esetén kezeli.

5.1.3.  Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és kezelésük ezekkel a célokkal össze nem egyeztethető módon nem történik.

 

5.1.4.  A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható, tehát bármely közvetlen vagy közvetett módon a személyes adatból az érintett személye azonosítható.

5.1.5.  A Társaság gondoskodik arról, hogy a személyes adatokhoz csak olyan munkavállalói, illetve adatfeldolgozói férhessenek hozzá, akik, vagy amelyek adatkezelése, adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósultnak tekinthető. A célhoz kötöttség elvének megvalósulása biztosítása minden esetben a Társaság ügyvezetőjének a felelőssége.

5.1.6.  Az adatkezelési cél megvalósulását, vagy az adatkezelési időtartam lejártát követően a kezelt személyes adatok törlésre kerülnek. Az adott adatkezelési célhoz kapcsolódóan a Társaság az adatkezelés megkezdésekor megállapítja az adatkezelés időtartamát. Amennyiben a cél megvalósult, vagy az adatkezelési időtartam lejárt, a Társaság nem törli azon személyes adatokat, amelyek kezelésére más célból is sor kerül, és azon cél tekintetében a jogszerű adatkezelés feltételei fennállnak.

5.2.  Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

A Társaság nem él vissza helyzetével, és az adatokat nem kezeli a jogszabályban meghatározottakkal ellentétesen, vagy rosszhiszeműen. Az átláthatóság elvének érvényesítése során a Társaság tájékoztatja az érintettet az adatkezelés lényeges jellemzőiről és rögzíti is ezen jellemzőket. A Társaság a személyes adatok kezelését kizárólag ezen tájékoztatóban írtak szerint végzi.

5.3.  Adattakarékosság elve

5.3.1.  Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához megfelelő, releváns és szükséges. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

5.3.2.  A meghatározott adatkezelési cél eléréséhez szükséges személyes adatok körét, valamint azok kezelésének idejét minden esetben az ügyvezető határozza meg.

5.4. Pontosság

  1. 5.4.1.  A Társaság által kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. A Társaság minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.
  2. 5.4.2.  A Társaság az érintettet minden esetben tájékoztatja arról, hogy köteles a személyes adatai megváltozását késedelem nélkül bejelenteni.
  3. 5.4.3.  A Társaságnak amikor van lehetősége, így különösen az érintettel történő személyes kapcsolatteremtés során, egyezteti a kezelt személyes adatait az adatok pontosságának biztosítása érdekében.

5.5. Korlátozott tárolhatóság elve

5.5.1.  A személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

5.5.2.  A személyes adatok 5.5.1. pontban írtnál hosszabb ideig történő kezelésére (tárolására) csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor.

5.5.3.  Az adatkezelés időtartamát a cél eléréséhez szükséges mértékben az ügyvezető állapítjameg minden adatkezelési cél esetében.

5.5.4.  A Társaság a korlátozott tárolhatóság elvének maradéktalan érvényesítése érdekében minden év december hónapjában ellenőrzést végez annak biztosítása érdekében, hogy a törlendő személyes adatok törlése valóban megtörtént-e. Az ellenőrzésről jegyzőkönyv készül, melyben rögzíti, hogy hány és milyen típusú személyes adat törlésére került sor az ellenőrzés során, valamint a törlés okát.

5.6. Elszámoltathatóság elve

5.6.1.  A Társaság a személyes adatok kezelése során a Rendeletben foglaltaknak történő megfelelést biztosítja. A Társaság a megfelelést, valamint az ehhez szükséges és általamegtett intézkedéseket oly módon hajtja végre, hogy azt minden esetben igazolni tudja a későbbiekben az érintett, valamint az illetékes hatóságok felé.

5.6.2.  A Társaság a személyes adatok jogszerű kezelésével kapcsolatos minden lényeges körülményt, a különböző előírásoknak történő megfelelés érdekében tett intézkedéseket, az elvégzett hatásvizsgálatokat, érdekmérlegeléseket, az adatkezeléssel kapcsolatosdöntéseinek a jogi indokát, valamint minden egyéb olyan körülményt, mely aRendeletben foglaltak teljesítése érdekében szükséges, írásban rögzíti.

5.6.3.  A Társaság az 5.6.1. pontban foglaltak biztosítása érdekében szervezési és technikaiintézkedéseket tesz.

6. Adatbiztonság

6.1.  A Társaság az adatkezelés során mindvégig gondoskodik a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról. A Társaság az adatkezelési műveleteit oly módon végzi, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmi jelleg). A Társaság továbbá a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A Társaság ennek biztosítása érdekében többek között a 6.11. pontban írtak szerint biztonsági másolatokat készít.

6.2.  A Társaság az adatkezelési műveleteit úgy tervezi meg és hajtja végre, hogy az adatkezelésre vonatkozó jogszabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

 

6.3.  A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet, valamint az egyéb személyes adatvédelmi szabályok érvényre juttatásához szükségesek.

6.4.  A Társaság az adatkezelés időtartama alatt az adatok biztonságos tárolása, az időtartam lejártával az adatállomány végleges és visszaállíthatatlan törlése, fizikai megsemmisítése érdekében megteszi a szükséges intézkedéseket.

6.5.  Az ügyvezető ellenőrzi, hogy a kezelt adatok továbbításukat követően is olyan adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki, vagy amely az adatok biztonságos kezeléséről megfelelően gondoskodik.

6.6.  A személyes adatok kezelése során a Társaság biztosítja:

a)  a jogosulatlan adatbevitel megakadályozását,

b)  az adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását tűzfal alkalmazásával.

6.7.  A papír alapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

a)  azadatokatcsakazarrajogosultakismerikmeg,azokhozmásnemférhozzá,más számára fel nem tárható;

b)  a dokumentumokat jól zárható, száraz, tűzriasztó és vagyonvédelmi berendezéssel ellátott helyiségben őrzi;

c)  a folyamatos aktív kezelésben lévő iratokhoz csak az illetékeseknek biztosít hozzáférést;

d)  az adatkezelést végző munkavállaló a nap folyamán csak úgy hagyja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;

e)  az adatkezelést végző munkatárs a munkavégzés befejeztével az általa használt papíralapú adathordozót elzárja;

f)  amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, adigitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza,

g)  a személyes adatokat tartalmazó papír alapú dokumentumok megsemmisítése oly módon történik, hogy később semmilyen módszerrel ne lehessen azok adattartalmát visszaállítani (iratmegsemmisítés).

6.8.  A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

a)  az adatkezelés során a munkavállalók elsősorban olyan eszközöket vesznek igénybe,melyek a társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a társaság,

b)  a Társaság informatikai rendszerére kívülről történő rácsatlakozás biztonságosan, kizárólag felhasználónévvel és jelszóval lehetséges,

c) a számítógépen található adatokhoz érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen gondoskodik;

d)  amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adat visszaállíthatatlanul törlésre kerül;

e)  a Társaság munkavállalói a munkavégzés céljából rendelkezésükre bocsátott eszközökön saját személyes adataikat nem tárolják;

f)  a Társaság munkavállalói munkavégzésükkel összefüggésben kizárólag a Társaság által biztosított @bbu.hu végződésű e-mail-címet jogosultak használni;

g)  az f) pont szerinti e-mail-címet a munkavállalók magáncélra nem jogosultak használni;

h)  a Társaság a személyes adatokat kezelő hálózaton a vírusvédelemről és tűzfalvédelemről folyamatosan gondoskodik; a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.

6.9.  A Társaság az adattovábbítások során különös figyelemmel jár el az adatbiztonságelvének biztosítása érdekében, és kizárólag olyan csatornánk végez adattovábbítást, mely megbízható. Ha ezzel kapcsolatban valamely munkavállalónak kétsége merül fel, kötelesaz ügyvezetőtől utasítást kérni.

6.10.  A Társaság az adatbiztonság biztosítása érdekében tett technikai és szervezési intézkedéseit 2 évente felülvizsgálja, ezzel biztosítva, hogy azok a technika mindenkori állásához igazodnak.

6.11.  A Társaság rendszeres biztonsági mentésekkel gondoskodik arról, hogy fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáférést és az adatokrendelkezésre állását kellő időben vissza tudja állítani. Amennyiben a biztonsági mentésből visszaállítás történik, a Társaság gondoskodik róla, hogy törölt, vagy helyesbített személyes adat ne kerülhessen visszaállításra. A Társaság a biztonsági mentések adatkezelési időtartamát 15 napban határozza meg.

6.12.  A Társaság elektronikusan kezelt személyes adatokat kizárólag olyan esetben nyomtat ki, amikor ez kifejezetten szükséges valamilyen jog gyakorlásához, vagy kötelezettség teljesítéséhez.

7. Beépített és alapértelmezett adatvédelem

7.1.  A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig azadatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, szabályok érvényesítése, másrészt a Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

7.2.  A Társaság megfelelő technikai és szervezési intézkedéseket hajt végre annakbiztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések azt biztosítják, hogy a személyes adatok alapértelmezés szerint természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

7.3.  A Társaság biztosítja, hogy a személyes adatok különböző kategóriáihoz kizárólag azokban a munkakörökben foglalkoztatott munkavállalók férnek hozzá, akiknek a munkaköri feladata az adott személyes adatok kezeléséhez kapcsolódik. A munkavállalók saját jelszóval és felhasználói fiókkal rendelkeznek a számítástechnikai rendszerekhez, ezzel biztosítva a jogosulatlan hozzáférés megelőzését. A személyes adatokat tartalmazó papír alapú iratok tárolása akként történik, hogy az iratokhoz csak azon munkavállalók férnek hozzá, akik jogosultak a személyes adatok kezelésére.

7.4.  A Társaság biztosítja, hogy a személyes adatok különböző kategóriáit kizárólag olyan adatfeldolgozók részére kerüljenek továbbításra, akik az adatkezelést a 7.1. és 7.2. pontban írtak szerint végzik.

8. Érintettek jogai

8.1. Tájékoztatáshoz való jog

8.1.1.  Amennyiben a személyes adatot a Társaság az érintettől gyűjti, úgy a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információkat:

a)  a Társaságnak a kiléte és elérhetőségei;

b)  az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)  a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,

hozzájáruláson alapuló adatkezelés esetén a hozzájárulás visszavonásának

lehetősége;

d)  a jogos érdeken alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos

érdekei;

e)  a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f)  adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi

szervezet részére kívánja továbbítani a személyes adatokat.

8.1.2.  A Társaság a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)  a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b)  az érintett azon jogáról, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, az adatok hordozását, és tiltakozhat a személyes adatok kezelése ellen;

c)  a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt ahozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d)  a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e)  arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses

kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) hasorkerülautomatizáltdöntéshozatalra,ennektényéről,ideértveaprofilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról,hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.

8.1.3.  Ha és amilyen mértékben az érintett már rendelkezik a fenti információkkal, abban a körben a 8.1.1. és 8.1.2. pont szerinti tájékoztatása nem szükséges az adatkezelés jellemzőiről.

8.1.4.  Ha a Társaság a személyes adatokat nem az érintettől szerezte meg, az érintett rendelkezésére bocsátja a következő információkat:

a)  a Társaságnak a kiléte és elérhetőségei;

b)  az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)  a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)  az érintett személyes adatok kategóriái;

e)  a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f)  adott esetben annak ténye, hogy a Társaság harmadik országba vagy nemzetközi

szervezet részére kívánja továbbítani a személyes adatokat.

8.1.5.  A Társaság annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)  a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)  a jogos érdeken alapuló adatkezelés esetén, a Társaság vagy harmadik fél jogos érdeke;

c)  az érintett azon jogáról, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint azérintett adathordozhatósághoz való jogáról;

d)  a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e)  a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

f)  a személyes adatok forrásáról,

g)  ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.6.  A Társaság a 8.1.4. és 8.1.5. pontban írt tájékoztatásokat az alábbiak szerint adja meg:

a)  személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyesadatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b)  ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

8.1.7.  A tájékoztatást nem kell megadni, amennyiben

a)  az érintett már rendelkezik az információkkal;

b)  a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy

aránytalanul nagy erőfeszítést igényelne. Ilyen esetekben a Társaságnak megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c)  az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)  a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

8.1.8.  Ha a Társaság a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

8.1.9.  A Társaság az érintetteket minden alkalommal tájékoztatja a személyes adataik kezeléséről.

8.1.10.  A Társaság a tájékoztatást az érintett részére minden esetben olyan módon nyújtja, hogy az elszámoltathatóság elvének megfelelően később igazolható legyen, így elsősorban írásban. Szóbeli tájékoztatás nem megfelelő.

8.1.11.  A Társaság minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt.

8.1.12.  A Társaság az adatvédelmi incidens bekövetkezéséről az érintettet a 17. pontban írtak szerint tájékoztatja.

8.2. Hozzáférési jog

8.2.1. Az érintett kérelmére a Társaság tájékoztatja, hogy a személyes adatainak kezelésefolyamatban van-e és ha igen, akkor a személyes adatokhoz és a következő információkhoz hozzáférést biztosít a részére:

a)  az adatkezelés céljai;

b)  az érintett személyes adatok kategóriái;

c)  azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes

adatokat közölte vagy közölni fogja, ideértve különösen a harmadik országbeli

címzetteket, illetve a nemzetközi szervezeteket;

d)  a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges,

ezen időtartam meghatározásának szempontjai;

e)  az érintett azon joga, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes

adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyenszemélyes adatok kezelése ellen;

f)  a valamely felügyeleti hatósághoz címzett panasz benyújtásának, illetve bírósági eljárás megindításának joga;

g)  haazadatokatnemazérintettőlgyűjtötte,aforrásukravonatkozómindenelérhető információ;

h)  ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.2.2. A Társaság kérelemre az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért adminisztratív költségeken alapuló, ésszerű mértékű díj kerül felszámításra. A díj meghatározása az ügyvezetőjének feladata. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk széles körben használt elektronikus formátumban kerülnek a rendelkezésére bocsátásra, kivéve, ha az érintett másként kéri. A személyes adatokrendelkezésre bocsátása nem érintheti hátrányosan mások jogait és szabadságait.

8.3. Személyes adatok helyesbítéséhez való jog

8.3.1.  Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

8.3.2.  A Társaság – összhangban a pontosság elvével – az érintettel történő kapcsolatfelvétel során amennyiben van rá lehetősége, egyezteti az érintett személyes adatait és szükség esetén helyesbíti azokat. A személyes adatok egyeztetése kizárólag biztonságos kommunikációs csatornán keresztül történik.

8.4. Személyes adatok törléséhez való jog (elfeledtetéshez való jog)

8.4.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)  a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)  az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)  az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik a közvetlen üzletszerzés céljából történő adatkezelés ellen;

d)  a személyes adatokat jogellenesen kezelték;

e)  a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt

jogi kötelezettség teljesítéséhez törölni kell;

f)  a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

8.4.2. Ha szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek a Társaság jogszerűen nyilvánosságra hozta a személyes adatot, és azt a 8.4.1. pont

8.4.3. Az 8.4.1. és 8.4.2. bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőle a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

a)  a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b)  a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;

c)  a népegészségügy területét érintő közérdek alapján;

d)  a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy

statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy

komolyan veszélyeztetné ezt az adatkezelést; vagy

e)  jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

8.4.4. Az adatok törlése végelegesen és visszaállíthatatlanul történik. A törléssel érintett személyes adatok a Társaság minden adatbázisából törlésre kerülnek. A Társaság a törlést úgy hajtja végre, hogy a jelen szabályzatban foglaltak szerint azt később igazolni tudja. A papír alapú személyes adatok törlése iratmegsemmisítő gép alkalmazásával történik. Személyes adatot tartalmazó okirat, vagy tárgy megsemmisítésére kizárólag olyan módon kerül sor, amely lehetetlenné teszi, hogy bármilyen módszerrel a személyesadat az adathordozóból újból előállítható legyen.

8.5. Tiltakozási jog a személyes adatok kezelése ellen

8.5.1.  Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen amennyiben az adatkezelés:

a)  a közérdekű, az adatkezelőre ruházott közhatalmi jogosítványon gyakorlásának keretében végzett feladat végrehajtásához szükséges,

b)  az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,

ideértve az említett rendelkezéseken alapuló profilalkotást is. Ilyen esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8.5.2.  Ha a személyes adatokat a Társaság közvetlen üzletszerzés érdekében kezeli, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

8.6. Az adatkezelés korlátozásához való jog

8.6.1.  Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a)  az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

b)  az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c)  a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d)  az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.6.2.  Hacsak

a)  az érintett hozzájárulásával,

b)  jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,

c)  más természetes vagy jogi személy jogainak védelme érdekében, vagy

d)  az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

8.6.3.  A Társaság az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

8.7. Adathordozhatósághoz való jog

8.7.1.  Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Társaság, ha

a)  az adatkezelés hozzájáruláson, vagy szerződésen alapul és

b)  az adatkezelés automatizált módon történik.

8.7.2.  Az érintett jogosult kérni, hogy személyes adatait a Társaság közvetlenül egy másik adatkezelőnek küldje meg.

8.7.3.  A Társaság az adathordozhatósághoz való jog érintett általi gyakorlása esetén a személyes adatokat fogadó adatkezelő tevékenységéért felelősséggel nem tartozik.

8.8. Jogorvoslathoz való jog

8.8.1. Az érintettet a 16.3. pont szerint megilleti a jogorvoslathoz való jog ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó jogszabályokban meghatározott előírás megsértésével kezeli.

9. Érintettek jogainak érvényesítése az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével

 

9.1.  Az érintettek a 8. pontban írt jogaik érvényesítése, az adatkezeléssel kapcsolatos észrevételeik megtétele érdekében, vagy bármilyen egyéb adatkezeléssel kapcsolatos témában az info@bbu.hu e-mail-címen, vagy személyesen és postai úton a mindenkori székhelyen vehetik fel a kapcsolatot a Társasággal.

9.2.  Az érintettek jogainak gyakorlásával kapcsolatos tájékoztatások, illetve az egyéb érintettel folytatott kommunikáció tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően kerül megfogalmazásra.

9.3.  Az érintetti jogok gyakorlása során a Társaság indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. A tájékoztatást ugyanazon csatornán szükséges megadni, amit az érintett használ a kérelem előterjesztésekor, kivéve, ha kifejezetten máshogy kéri.

9.4.  A Társaság az érintetti kérelmet a beérkezésekor rögzíti a melléklet szerinti nyilvántartásba, és a beérkezését követően legfeljebb 3 napon belül megkezdi annak teljesítését. A kérelem teljesítésére az ügyvezető jelöli ki az illetékest a munkaszervezeten belül a kérés jellege és az érintett személyes adatok figyelembe vételével. Mielőtt a Társaság a kérelmet érdemben teljesítené, azonosítja a kérelmezőt. A kérelmet érdemben a Társaság kizárólag a beazonosítást követően teljesíti. A Társaság tájékoztatást nem ad, személyes adatot nem szolgáltat ki és érintetti jog gyakorlását nem teszi lehetővé, amíg az érintett azonosítása meg nem történt. Az érintett beazonosítását követően a kérelem teljesítésére kijelölt illetékes munkavállaló késedelem nélkül, de legkésőbb a kérelem beérkezését követő 15 napon belül előterjeszti az ügyvezetőnek a kérelem teljesítésére vonatkozó, jogi szempontból alátámasztott javaslatát. A kérelem teljesítéséről, és annak pontos tartamáról a végső döntést az ügyvezető hozza meg a javaslat előterjesztését követő 5 napon belül.

9.5.  A Társaság a jogszabályokban meghatározott időtartamon belül teljesíti a kérelemben, vagy egyéb megkeresésben foglaltak, illetve tájékoztatja az érintettet a teljesítés megtagadásának indokáról.

9.6.  Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett mely hatóságnál és milyen feltételek mellett élhet panasszal, vagy bírósági jogorvoslati jogával.

9.7.  A 8.1. pont szerinti, az érintetti jogok gyakorlásával, valamint az adatvédelmi incidensekkel kapcsolatos tájékoztatást és intézkedést a Társaság díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellegemiatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre

a)  észszerű összegű díjat számíthat fel, vagy

b)  megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli. Az a) pont szerinti díj mértékét az ügyvezető határozza meg.

9.8.  Amennyiben a Társaságnak megalapozott kétségei vannak az érintetti jogok gyakorlására irányuló kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

9.9.  Az érintettet nem érheti hátrányos megkülönböztetés a jelen szabályzatban, vagyvalamely jogszabályban a személyes adatai kezelésével kapcsolatban biztosított joga gyakorlása miatt.

9.10.  A Társaság minden olyan címzettet tájékoztat az érintett személyes adatainak helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel aszemélyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.

10. Adatvédelem rendszere, felelősség

10.1. Az ügyvezető

10.1.1. A Társaság vezetője az ügyvezető. Az ügyvezető felelős a Társaság adatkezelésének jogszerűségéért. A társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre valamint az azzal összefüggő tevékenységre vonatkozó feladat-és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

10.1.2. Az ügyvezető az adatvédelemmel kapcsolatosan:

a)  felelős az érintettek jogszabályokban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;

b)  felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;

c)  felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságokvagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;

d)  személyes adatkezelési vizsgálatot rendelhet el;

e)  felelős az érintetti kérelmek teljesítéséért;

f)  képviseli a Társaságot a külső szervektől és személyektől érkező, a Társaság személyes adatokat érintő adatkezelésével összefüggő megkeresések tekintetében;

g)  elkészítteti és biztosítja a naprakészségét a Társaság Adatvédelmi szabályzatának;

h)  biztosítja, hogy a Társaság kizárólag olyan adatfeldolgozók szolgáltatásait vegye

igénybe, amelyek a személyes adatok kezelését a hatályos jogszabályok tiszteletben tartásával végzik;

i)  kijelöli (amennyiben szükséges) az adatvédelmi tisztviselőt, és biztosítja számára a megfelelő forrásokat;

j)  kialakítja a Társaság adatvédelemmel kapcsolatos belső szabályait.

10.1.3. Kijelöli a személyes adatok kezelésére vonatkozó jogosultságokat és ellenőrzi ezek betartását.

10.2. A Társaság munkatársai

10.2.1. Munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek beszemélyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy történjen, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

10.2.2.  Feladatkörükön belül felelősek az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért. Tevékenységük során amennyiben szükséges, az adatkezelési műveletet megelőzően egyeztetnek az ügyvezetővel.

10.2.3.  Kezelik és megőrzik a feladataik, illetve munkakörük ellátása során birtokukba kerültadatokat.

10.2.4.  Kötelesek részt venni a Társaság által szervezett adatvédelmi oktatáson.

10.2.5.  Az adatkezeléssel kapcsolatosan feltárt visszásságot kötelesek haladéktalanul jelenteni és szükség esetén részt venni a megszüntetésükben.

10.2.6.  Munkájuk során betartják az adatkezelésre vonatkozó jogszabályokat, valamint jelen szabályzatot.

10.2.7.  A személyes adatok kezelését elsősorban a Társaság által kijelölt technikai eszközökön és a Társaság által meghatározott szoftverekkel kötelesek végezni. Egyéb hard-, és szoftverek használata kizárólag az ügyvezető engedélyével lehetséges.

10.2.8.  Személyes adatot tartalmazó adatállományt kizárólag biztonságos csatornán jogosultak továbbítani. Amennyiben a használni kívánt kommunikációs csatorna biztonságának megfelelősége felől kétségük merül fel, az adattovábbítást megelőzően kötelesek az ügyvezető utasítását kérni az ügyben.

10.2.9.  PIN kód és telefonzár használata kötelező azon mobiltelefon esetében, melyben személyes adatok kezelése (tárolása) történik a munkavállalók által. Jelszavas védelemhasználata kötelező valamennyi személyes, vagy üzleti adatok kezelésére használt eszközesetében.

10.2.10.  Ha lehetőségük nyílik rá, az érintettel történő kommunikáció során adategyeztetést végeznek, amennyiben a kommunikációs csatorna megfelelő biztonságú.

11. Adatkezelés jogalapja

11.1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)  az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)  az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett azegyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)  az adatkezelés a Társaságra vonatkozó uniós, vagy nemzeti jogi kötelezettség teljesítéséhez szükséges;

d)  az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

 

e)  az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f)  azadatkezelésaTársaságvagyegyharmadikféljogosérdekeinekérvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

11.2. Ha adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikustársadalomban a Rendelet 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, a Társaság hatásvizsgálatot végez, és többek között figyelembe veszi:

a)  a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)  a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az Társaság közötti kapcsolatokra;

c)  a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-eszó;

d)  azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)  megfelelő garanciák meglétét. az adatgyűjtés céljától eltérő célból kezel személyes adatot a Társaság, és az

11.3. Ha később képes legyen annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, és hozzájárulása az akaratának az adatkezelés hozzájáruláson alapul, a Társaság a hozzájárulást úgy szerzi be, hogy

a)  önkéntes,

b)  konkrét és megfelelő tájékoztatáson alapuló,

c)  egyértelmű kinyilvánítása,

d)  amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

11.4.  Ha az érintett hozzájárulását olyan írásbeli szerződésben, vagy egyéb nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet,kötelező erővel nem bír.

11.5.  A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben történik, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

11.6.  Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon teszi lehetővé a Társaság, mint annak megadását.

11.7.  Valamely szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül nem szabható olyan személyes adat kezeléséhez való hozzájárulást, amely nem szükséges a szerződés teljesítéséhez.

11.8.  A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint atermészetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése kizárólag abban az esetben lehetséges, ha

a)  az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez,

b)  az adatkezelés a Társaságnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges,

c)  az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d)  az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

e)  az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

f)  az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy nemzeti jog

alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

g)  az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján;

h)  az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

11.9.  A munkáltatói adatkezelés a jogviszony természetéből eredő alá-, fölérendeltségi viszonyból következően hozzájáruláson kivételesen, kizárólag akkor alapulhat, ha azadatkezelési művelet természetéből következően a munkavállalónak valóban van lehetősége a hozzájárulás megtagadására.

11.10.  Amennyiben az adatkezelés jogalapja a 11.1. c) pont szerint a Társaságra vonatkozó jogszabályi kötelezés, a Társaság az érintettet tájékoztatja a konkrét jogszabályhelyről, mely az adatkezelést előírja.

11.11.  A 11.1. f) pont szerinti, az adatkezelő vagy harmadik személy jogos érdekén alapuló adatkezelés esetén adatkezelés megkezdése előtt a Társaság érdekmérlegelési tesztetvégez annak megállapítására, hogy a társaság jogos érdeke mennyiben érinti hátrányosan az érintettek jogait és szabadságait. A tesztben a Társaság:

a)  megvizsgálja, hogy valóban szükséges-e az adatkezelés,

b)  meghatározza a saját, vagy a harmadik személy jogos érdekét,

c)  meghatározza az érintettek védendő érdekeit,

d)  meghatározza az érintett érdekeinek védelme érdekében tett intézkedéseket, biztosítékokat

e)  összeveti a saját maga és az érintettek jogos érdekeit.

11.12.  Az érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait – hatörvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek – ideértve a közérdekű adatok nyilvánosságát is – nem sérthetik, illetve korlátozhatják.

12. Adatkezelési tevékenységek
12.1. Kamerarendszer üzemeltetése

12.1.1. Általános rendelkezések

A Társaság az 1106 Budapest, Maglódi út 12/B. alatti székhelyén kamerás megfigyelést folytat, valamint a jelen szabályzatban írt időtartamban rögzíti a kamerák felvételét. A megfigyelés érinti a munkavállalókat és érinthet bármely egyéb személyt, aki a Társaság székhelyén a kamerák látószögében tartózkodik. A kamerarendszer a Társaság a 1106Budapest, Maglódi út 12/B. szám alatti Társasházzal (székhely: 1106 Budapest, Maglódi út 12/B. szám) közösen üzemelteti. A két jogalany a kamerafelvételek tekintetében közös adatkezelőnek minősül.

A Társaság kizárólag magánterületet figyel meg, közterület megfigyelésére nem kerül sor.

A Társaság nem alkalmaz kamerás megfigyelést olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, a munkavállaló pihenőidejének, munkaközi szünetének eltöltésére szolgáló helyiségben. A munkavállaló magánélete nem ellenőrizhető.

A kamerás megfigyelés jellemzőinek meghatározás során a jelen szabályzatban foglaltakat a Társaság tiszteletben tartja. A kamerás megfigyelés során a célhoz kötöttség elvének érvényesülése érdekében a kamerák látószögét a Társaság úgy állítja be, hogy kizárólag a megfigyelés céljával összhangban álló területre fokuszáljon.

Jelen szabályzat melléklete tartalmazza a Társaság által üzemeltetett kamerarendszerre vonatkozó adatvédelmi tájékoztatót. A tájékoztatóban bejelölésre került a kamerákpontos helye, a látószögük, valamint minden kamera vonatkozásában a rögzített kép.

A Társaság nem használ olyan kamerát, amely valamely munkavállalót, és az általa végzett tevékenységet figyeli meg. A Társaságnak a kamerarendszer üzemeltetésével nem célja a munkavállalók munkahelyi viselkedésének a befolyásolása.

12.1.1.7. A Társaság a kamerák élő képét folyamatosan figyelemmel követi, valamint a jelen szabályzatban meghatározott munkakörben foglalkoztatott munkavállalók hozzáféréssel rendelkeznek a kamerák élő képéhez, így felhasználónévvel és jelszóval történő azonosítást követően lehetőségük van bármikor betekinteni azokba.

12.1.1.8. A rögzített felvételek visszanézésére kizárólag nyilvántartásban dokumentáltan van lehetőség, indokolt esetben. A felvétel visszanézésére kizárólag jogszabálysértés, annak gyanúja, illetve személyi sérülés bekövetkezése szolgálhat indokul. A jegyzőkönyvben rögzíteni kell a visszanézés célját, okát, idejét, a felvételt megtekintők pontos személyét, és a megtekintés alapján tett intézkedéseket.

12.1.1.9. A kamerák működtetése folyamatosan történik. A kamerákat kikapcsolni, eltakarni vagy bármely módon a rögzítést akadályozni tilos.

12.1.1.10.A Társaság az adatkezelés lényeges, jogszabályban meghatározott jellemzőiről tájékoztatja az érintetteket figyelemfelhívó táblák elhelyezésével, valamint részletes adatkezelési tájékoztató rendelkezésre bocsátásával.

12.1.1.11.A kamerák által megfigyelt terület kijelölése, valamint az alkalmazott kamerák típusa és mennyisége a személyes adatok kezelésére vonatkozó jogszabályok, és különösen a célhoz kötöttség, az adattakarékosság, a jogszerűség elvének figyelembe vételével kerül meghatározásra.

12.1.1.12.Az adatkezeléssel érintett személyes adat az érintettek képmása.

Kamerarendszer üzemeltetésének célja

A Társaság célja a kamerarendszer üzemeltetésével a vagyonvédelem a célja, e körbenpedig a jogsértések észlelése, az elkövető tettenérése, e jogsértő cselekmények megelőzése, a bekövetkezett személyi sérülések körülményeinek felderítése, valamint, hogy a felvételek ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra.

A kamerarendszer alkalmazásának további célja a jogsértő cselekmények megelőzése a rendszer alkalmazásának preventív hatását kihasználva.

Kamerarendszer üzemeltetésének jogalapja

A személyes adatok kezelésének jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja szerint a Társaság jogos érdeke. A Társaság jogos érdeke a vagyonvédelemhez kapcsolódóan elsősorban:

  1. a)  jogsértések megelőzése,
  2. b)  jogsértések, szabálysértések és bűncselekmények észlelése,
  3. c)  az elkövető tettenérése,
  4. d)  jogsértés elkövetése esetén az elkövető beazonosítása,
  5. e)  a kamerafelvétel felhasználása hatósági, és/vagy bírósági eljárásban,

A kamerarendszer üzemeltetése a vagyonvédelmet továbbá annyiban szolgálja, hogy a rendszer üzemeltetésének a ténye is jelentős visszatartó hatással bír.

22

12.1.3.3. A kamerarendszer alkalmazásához kapcsolódóan a Társaság érdekmérlegelés tesztet készített, mely jelen szabályzat mellékletét képezi.

12.1.4. Felvétel tárolása, felhasználása

12.1.4.1. A felvételeket felhasználás hiányában a Társaság legfeljebb 3 munkanapig őrzi. A felvétel törlése automatikusan történik.

12.1.4.2. A felvételek a Társaság székhelyén található adattárolón kerülnek tárolásra.

12.1.4.3. Felhasználásnak az minősül, ha a rögzített felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.

12.1.4.4. Az, akinek jogát vagy jogos érdekét a felvétel érinti, annak rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot a Társaság ne semmisítse meg, illetve ne törölje. A kérelem elbírálására az ügyvezetőjogosult.

12.1.4.5. Bíróság vagy más hatóság megkeresésére a rögzített felvételt haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített felvételt meg kell semmisíteni.

12.1.5. Adatkezelési jogosultság

12.1.5.1. A kamerák képének élőben történő megtekintésére jogosultak:

a) ügyvezető
b) a Társaság székhelyén a bejáratnál tartózkodó két adminisztratív munkatárs, akik

munkakörébe tartozik a kamerák elő képének ellenőrzése.12.1.5.2. A rögzített felvétel megtekintésére jogosultak:

a) ügyvezető

12.1.5.3. Az élő kép állandó figyelemmel követésére a jelen szabályzatban meghatározott személyek jogosultak.

12.1.5.4. A rögzített felvétel megtekintésére kizárólag akkor kerül sor, ha vagyon elleni jogsértés, vagy annak gyanúja merült fel.

12.1.5.5. Kizárólag az ügyvezető jogosult dönteni a felvétel megtekintéséről, felhasználásáról, illetve továbbításáról.

12.1.6. Adatbiztonsági intézkedések

12.1.6.1. A Társaság szervezési és technikai intézkedéseket is hoz a felvételek biztonsága érdekében.

12.1.6.2. Az élő képhez, és a tárolt felvételekhez hozzáférés csak biztonságos módon és akként történik, hogy az adatkezelő személye azonosítható legyen. A rögzített felvételek

23

visszanézését és a felvételekről készített mentést a Társaság dokumentálja. A rögzített felvételek visszanézésére kizárólag indokolt és nyilvántartásban rögzített esetben kerül sor. A nyilvántartásban rögzítésre kerül a visszanézés célja, oka, ideje, a felvételtmegtekintők pontos személye, és a visszanézés alapján végrehajtott cselekmények.

12.1.6.3. A felvétel továbbításáról a Társaság nyilvántartást vezet, mely tartalmazza az alábbiakat:

  1. a)  továbbítás címzettje,
  2. b)  ideje,
  3. c)  módja,
  4. d)  célja,
  5. e)  jogalapja.

12.2. Munkáltatói adatkezelés
12.2.1. Álláshirdetésre jelentkezők adatainak a kezelése
12.2.1.1. A Társaság a megüresedett állásait álláshirdetések útján tölti be.

12.2.1.2. Az adatkezelés célja a Társaság által meghirdetett állás betöltéséhez szükséges kiválasztási folyamat lebonyolítása. A kiválasztás során szükséges a jelentkezők szakmai és emberi jellemzőinek, iskolai végzettségének, korábbi munkatapasztalatának a megismerése abból a célból, hogy a Társaság megtalálja a megüresedett pozíció betöltésére leginkább alkalmas személyt. Ezen cél érdekében a Társaság kizárólag ajelentkező által rendelkezésre bocsátott adatokat kezeli.

12.2.1.3. A Társaság által kezelt személyes adatok: pályázók önéletrajza, motivációs levele,esetlegesen a végzettségét és képzettségét igazoló okmányok másolata. Amennyiben azérintett további személyes adatokat küld a Társaság részére, akkor azok kezelése is a jelen szabályzatban írtak szerint történik. Amennyiben az állásjelentkezésének elbírálásához valamely, az érintett által megküldött dokumentumra vagy adatra nincs a Társaságnak szüksége, vagy azok kezelése ellentétes a célhoz kötöttség elvével, úgy azokat töröli, vagy megsemmisíti.

12.2.1.4. A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés a) pontja szerint az érintett hozzájárulása.

12.2.1.5. A Társaság az általa feladott álláshirdetésre történő jelentkezés, valamint az álláshirdetés hiányában a részére önkéntesen megküldött jelentkezés esetén a személyes adatokat ajelen szabályzat, illetve a vonatkozó jogszabályok előírásai szerint kezeli. A Társaság amennyiben bármilyen módon állásjelentkezést kap, az érintettet a jelen mellékletében található adatkezelési tájékoztató útján tájékoztatja az adatkezelés jellemzőiről.

12.2.1.6. A Társaság a részére megküldött jelentkezéseket és pályázatokat a meghirdetett pozíció betöltéséhez szükséges ideig, legfeljebb azonban a személyes adatok rendelkezésére bocsátásától számított 1 évig kezeli.

12.2.1.7. Amennyiben az érintett álláshirdetés hiányában jelentkezik a Társasághoz, az adatkezelés megkezdését megelőzően a Társaság a hozzájárulást beszerzi az érintettől. Azadatkezelésére ilyen esetben legfeljebb a jelentkezése elbírálásához szükséges ideig kerülsor.

24

12.2.2. Munkaviszony létesítéséhez, teljesítéséhez, módosításához, megszüntetéséhez kapcsolódó személyes adatkezelés

12.2.2.1. A munkaviszonnyal kapcsolatos adatkezelés célja elsősorban a munkaviszony létesítése, teljesítése, módosítása és megszüntetése, és az ehhez kapcsolódó jogszabályi és egyéb kötelezettségek teljesítése.

12.2.2.2. A Társaság adatkezelésének jogalapja általánosságban a Rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (1) és (3) bekezdése, mely lehetővé teszi a munkavállalóiadatok 12.2.2. pont céljából történő kezelését. A Társaság a jelen pont szerinti általános felhatalmazást adó jogszabályhelyeken felül a konkrét adatkezelési műveletet előíró jogszabályhelyet is megjelöli az adatkezelés jogalapjaként az adatvagyon-leltárában. A Társaság a munkavállalók személyes adatait hozzájárulás alapján kizárólag olyan esetbenkezeli, amikor a munkavállalónak valóban van lehetősége arra, hogy önkéntesen, szabadbelátása szerint döntsön a hozzájárulás megadásáról.

12.2.2.3. A Társaság a jelen ponthoz kapcsolódó célból a munkavállalóknak elsősorban az alábbi személyes adatait kezeli:

  1. a)  neve, születési neve,
  2. b)  születési helye és ideje,
  3. c)  állampolgársága,
  4. d)  anyja születési neve,
  5. e)  lakóhelyének, tartózkodási helyének címe,
  6. f)  magán-nyugdíjpénztári

    o tagság ténye,
    o belépés ideje (év, hó, nap),o bank neve és kódja,

  7. g)  adóazonosító és társadalombiztosítási azonosító jele,
  8. h)  bankszámla száma,
  9. i)  munkaviszony kezdő napja, valamint a foglalkoztatás időtartamával kapcsolatos

    további adatok,

  10. j)  biztosítási jogviszony típusa,
  11. k)  heti munkaórák száma, jelenléti ív,
  12. l)  rendes és rendkívüli munkaidő, készenlét, szabadság, pótszabadság, rendkívüli

    szabadság, táppénz, baleseti táppénz, betegszabadság időtartama,

  13. m)  telefonszáma, e-mail-címe,
  14. n)  családi állapota,
  15. o)  végzettséget igazoló okmány másolati példánya,
  16. p)  munka-alkalmassági egészségügyi igazolás, orvosi alkalmasság ténye,
  17. q)  munkaköre,
  18. r)  főálláson kívüli munkavégzés esetén

    o jogviszony jellege,
    o munkáltató neve és székhelye,
    o a főálláson kívüli munkahelyen teljesített havi átlagos munkaidő,o elvégzendő tevékenység,

  19. s)  az elszámolást követően a munkaköri alkalmassági záró orvosi vizsgálat elvégzésének ténye,
  20. t)  az Mt. 120. § alapján járó pótszabadság igénybevételével kapcsolatosan:

25

o a rehabilitációs szakértői szerv egészségkárosodás megállapítását igazoló okmánya,

o fogyatékossági támogatásra jogosultságot igazoló okmány fénymásolata,

o vakok személyi járadékára jogosultságot igazoló okmány fénymásolata,
u) pótszabadság, családi adókedvezmény, adómentes iskolakezdési támogatás igény

bevétele céljából a munkavállaló hozzátartozójánako születési helye és ideje,
o lakcíme,
o anyja neve,

o társadalombiztosítási azonosító jele (TAJ szám),o adóazonosító jele,
o érvényes diákigazolvány meglétének ténye,

v) első házasok adókedvezményének igénybevétele esetén a házastárs vagy bejegyzett élettárs

o neve,
o adóazonosító jele,
o házasságkötés időpontja.

12.2.2.4.A Társaság munkavállalói harmadik személyek (hozzátartozó, eltartott, élettárs, házastárs, stb.) személyes adatait kizárólag az érintet előzetes felhatalmazása alapján jogosultak átadni. A személyes adatok átadásával a munkavállalók szavatolják, hogy felhatalmazással rendelkeztek az adatok átadására, és az adatok a valóságnakmegfelelnek.

12.2.2.5. A Társaság kezelheti továbbá

  1. a)  végrehajtói letiltás esetén az ehhez kapcsolódó személyes adatokat,
  2. b)  a céges gépkocsi használata kapcsán a menetlevélen szereplő, valamint a gépkocsi

    használattal kapcsolatos egyéb információkat,

  3. c)  fegyelmi eljárások lefolytatása esetén az ezzel kapcsolatos személyes és egyéb

    adatokat,

  4. d)  az üzemorvos által a munkaalkalmasság körében kiadott igazolásokat,
  5. e)  különböző munkahelyi oktatásokkal kapcsolatos adatokat,
  6. f)  munkaruha biztosítása esetén a munkaruha méretével, típusával, valamint az

    átadásával kapcsolatos adatokat,

  7. g)  munkabaleset bekövetkezése esetén a balesettel kapcsolatos törvényben

    meghatározott adatokat, mely magában foglalja a Társaság döntését a baleset

    minősítésével kapcsolatban,

  8. h)  a Társaság által gyermek születése, vagy közeli hozzátartozó halála esetén nyújtott

    támogatás folyósításával kapcsolatos személyes adatokat,

  9. i)  céges telefon, SIM kártya, gépjármű rendelkezésre bocsátása esetén az ezzel

    kapcsolatos adatokat,

  10. j)  munkáltatói támogatások esetén az ezzel kapcsolatos adatokat,
  11. k)  a munkavállalók, vagy hozzátartozójuk betegsége, vagy valamilyen ellátás

    folyósítása esetén az ezzel kapcsolatos adatok,

  12. l)  a munkavállaló támogatás vagy pályázat keretében történő alkalmazásakor az ezzel

    kapcsolatos adatokat.

12.2.2.6. A Társaság jogszabályi kötelezés alapján a munkavállalók személyes adatait továbbíthatja a jogszabályban meghatározott címzettek felé elsősorban, de nem kizárólagosan az alábbiak szerint:

26

  1. a)  NAV részére a munkavállalók bejelentése és kijelentése kapcsán megküldendő nyomtatvány (T1041),
  2. b)  NAV részére havonta megküldendő adóbevallási nyomtatvány (T1808),
  3. c)  táppénz, gyermekgondozási díj, csecsemőgondozási díj, gyermek ápolás címén igényelt táppénz, baleseti táppénz igénylése esetén a nyomtatványban

    meghatározott személyes adatok továbbítása a NEAK felé,

  4. d)  letiltásfoganatosításaeseténazehhezkapcsolódóadatokmegküldéseavégrehajtó

    felé, valamint ellátás igénybevétele esetén a NEAK felé;

  5. e)  üzemi baleset bekövetkezése esetén a jegyzőkönyv és a munkáltató által hozott

    határozat megküldése a NEAK-nak, a jegyzőkönyv megküldése a munkavédelmi

    hatóság, valamint a szükséges iratok megküldése a Társaság biztosítója felé,

  6. f)  cafetéria juttatás esetén a cafetéria szolgáltató felé a juttatáshoz szükséges

    személyes adatok,

  7. g)  támogatás, vagy pályázat útján foglalkoztatott munkavállalók esetén a

    foglalkoztatással kapcsolatos, jogszabályokban meghatározott személyes adatok

    továbbítása a folyósító felé,

  8. h)  a nyugdíjbiztosítási szerv megkeresése alapján a munkavállalók foglalkoztatására

    vonatkozó személyes adatok,

  9. i)  gyermek születésekor az apát megillető pótszabadsággal összefüggő költségek

    elszámolása kapcsán a Magyar Államkincstár részére.

12.2.2.7. A személyes adatok továbbítására általánosságban a Rendelet 6. cikk (1) bekezdés c) pontja alapján az Mt. 10. § (2) bekezdése ad jogalapot a Társaságnak. A Társaság az egyes adattovábbításokat a jelen pontban foglaltakon túl a konkrét adattovábbítást előíró jogszabályok kötelezése alapján végzi.

12.2.2.8. A Társaság a 12.2.2. pontban írt célból az adatkezelést az adó, társadalombiztosítási, nyugdíjbiztosítási, egészségbiztosítási, munka, munkavédelmi, számviteli, a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló, és valamennyi egyéb, azegyes iratok őrzési idejére vonatkozó jogszabályok előírásai szerint végzi.

12.2.3. Munkavállaló kijelölése szerződéses kapcsolattartónak, valamint a személyes adatai (név, telefon, e-mail) átadása üzleti partnerek részére

12.2.3.1. A Társaság a gazdasági tevékenysége folytatása során szerződéses kapcsolatba kerül más természetes és jogi személyekkel. A szerződés tárgyához kapcsolódóan a szerződő felek kijelölnek kapcsolattartókat abból a célból, hogy a szerződés teljesítése során felmerülő kérdésekkel egymáshoz forduljanak tájékoztatásért, valamint, hogy a szerződés minél hatékonyabb és gyorsabb teljesítése, és a teljesítés közben fellépő problémák mielőbbi megoldása érdekében együttműködjenek.

12.2.3.2. A Társaság szerződéses kapcsolattartónak olyan személyt jelöl ki, akinek a munkaköréhez kapcsolódik a szerződés tárgya.

12.2.3.3. A Társaság az érintett munkavállalót előzetesen tájékoztatja azon szándékáról, hogy kapcsolattartónak kívánja valamelyik szerződésben kijelölni, és lehetőséget biztosít a részére az azonnali tiltakozásra ezzel szemben.

12.2.3.4. A Társaság által átadásra kerülő személyes adatok az érintett neve, céges e-mail-címe, és céges telefonszáma. A Társaság a munkavállaló személyes e-mail-címét, vagy

27

telefonszámát semmilyen körülmények között nem adja át harmadik fél részére. Amennyiben a munkavállaló nem rendelkezik céges telefonnal, úgy a Társaság vonalas telefonszáma kerül átadásra, melyen az érintett munkavállaló elérhető.

12.2.3.5. A Társaság jogalapja az adatok átadására a Rendelet 6. cikk (1) bekezdés f) pontja szerint a jogos érdeke. A Társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a szerződéses kapcsolatban levő jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdasági érdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse és jogait minél hatékonyabban érvényesítse.

12.2.3.6. A szerződéses partner az érintett személyes adatait legfeljebb a szerződés teljesítéséhez szükséges időtartamban, valamint azt követően a szerződésből eredő igények elévülési idejének végéig jogosult kezelni.

12.2.3.7. A kapcsolattartói személyes adatok jogos érdekből történő kezeléséhez kapcsolódóan a Társaság érdekmérlegelés tesztet készített, mely jelen szabályzat mellékletét képezi.

12.2.4. Munkáltatói adatkezelési tájékoztató

12.2.4.1. Jelen szabályzat melléklete tartalmazza a Társaság részletes munkáltatói adatkezelési tájékoztatóját.

12.3. Számlakezelés

  1. 12.3.1.  A Társaság abból a célból, hogy
    1. a)  elegettegyenazáltalánosforgalmiadórólszóló2007.éviCXXVII.törvény(Áfatv.) 159. § (1) bekezdésében foglalt kötelezettségnek, mely szerint az adóalany (jelen esetben a Társaság) köteles a termékértékesítéséről, szolgáltatásnyújtásáról a termék beszerzője, szolgáltatás igénybevevője részére számla kibocsátásáról gondoskodni,valamint hogy
    2. b)  eleget tegyen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdésében foglalt kötelezettségének, mely szerint a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot legalább 8 évig őriznie kell,

    kezeli az általa kiállított, illetve befogadott számlákon szereplő személyes adatokat. Az adatkezelés célja tehát a számlák kiállítása a gazdasági tevékenysége folytatása során, valamint a Társaság által és a Társaság részére kiállított számlák őrzése a jogszabályi kötelezettségeknek megfelelően.

  2. 12.3.2.  A számlákon szeplő adattartalom és ezáltal a kezelt személyes adatok lehetséges köre a törvény által pontosan meghatározásra került az Áfatv. 169. § -ban.
  3. 12.3.3.  Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés c) pontja szerint jogszabályi kötelezettség teljesítése. A Társaság a számla kiállításával a 12.3.1. pont a) alpontja szerinti törvényi kötelezettségét teljesíti, a számlák őrzésével pedig a 12.3.1. pont b)alpont szerinti törvényi kötelezettségét teljesíti.

28

  1. 12.3.4.  A kiállított számlákat a Társaság a Számvitelről szóló 2000. évi C. törvény. 169. § (2) bekezdése szerinti ideig, a számla kiállításától számított 8. évig őrzi.
  2. 12.3.5.  A Társaság törvényi kötelezettsége a számlák átadása ellenőrzés céljából az államiadóhatóság részére.

12.4. Weblapon keresztül és e-mailben történő kommunikáció

  1. 12.4.1.  A Társaság a mai felgyorsult világban a kapcsolatot elsősorban elektronikus úton tartja a partnereivel, illetve a fogyasztóival. Az érintettek felvehetik a kapcsolatot a Társasággale-mailben, valamint a www.bbu.hu weblapon üzemeltetett üzenetküldési menüpont használatával, vagy közvetlen e-mail küldésével. A különböző ügyekhez kapcsolódóan lefolytatott kommunikáció során kezelt személyes adatokat az adott cél megvalósulásáig kezeli a Társaság.
  2. 12.4.2.  Az elektronikus kommunikáció során megadott személyes adatokat kizárólag a cél megvalósulásához szükséges ideig és mértékben kezeli a Társaság.
  3. 12.4.3.  A kezelt személyes adatok elsősorban az érintett neve, e-mail-címe, valamint az általa a Társaság részére megküldött azon személyes adatok, melyek az ügye elintézéshez szerinte szükségesek.
  4. 12.4.4.  A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés b) pontja, tehát az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben azérintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
  5. 12.4.5.  Az elektronikus kommunikáció során a Társaság a tudomására hozott személyes adatokat az adott szerződéshez kapcsolódóan kezeli, legfeljebb az elévülési idő lejártáig. Amennyiben a szerződéskötést megelőző adatkezelést követően nem jön létre szerződés vagy megállapodás a Társaság és az érintett között, akkor az üzenete(ke)t a kommunikáció lezárását követően a Társaság törli.

12.5. Szerződéses partnerek kapcsolattartói személyes adatainak a kezelése

  1. 12.5.1.  A Társaság az egyes szerződések teljesítése érdekében a 12.2.3.1. pont szerinti céllal kezeli a szerződéses partnerei által kijelölt kapcsolattartók meghatározott személyes adatait.
  2. 12.5.2.  A Társaság az üzleti partnere által megadott kapcsolattartói személyes adatokat kizárólag abban az esetben kezeli, ha a szerződő fél írásban szavatol azért, hogy a személyes adatok átadására jogszerű felhatalmazással rendelkezik.
  3. 12.5.3.  A Társaság kizárólag a szerződéses partner által megadott személyes adatokat kezeli, mely azonban nem terjeszkedik túl az érintett nevén, telefonszámán és e-mail-címén.
  4. 12.5.4.  A Társaság jogalapja a személyes adatok kezelésére a Rendelet 6. cikk (1) bekezdés f)pontja alapján a Társaság jogos érdeke. A Társaság jogos érdeke, hogy a szerződéses kapcsolatai zökkenőmentesek legyenek, és a jogi személyek képviselői bármikor késedelem nélkül kapcsolatba tudjanak lépni egymással. A Társaság elemi gazdaságiérdeke továbbá a szerződéses partnerrel történő szoros, közvetlen, és állandó

29

együttműködés biztosítása annak érdekében, hogy a vállalt kötelezettségeit minél gyorsabban teljesítse és jogait minél hatékonyabban érvényesítse.

  1. 12.5.5.  A Társaság a személyes adatokat a szerződés teljesítését követően az elévülési időhözigazodva, legfeljebb a teljesítést követő 5 évig kezeli.
  2. 12.5.6.  A szerződéses partnerek kapcsolattartói személyes adatainak jogos érdek alapján történő kezeléséhez kapcsolódóan a Társaság érdekmérlegelési tesztet készített, mely jelen szabályzat mellékletét képezi.

12.6. Rendezvényszervezésekkel kapcsolatos adatkezelés

  1. 12.6.1.  A Társaság egyik alaptevékenysége, hogy különböző sportrendezvényeket szervez és ennek során az azon sikeresen résztvevőket megjutalmazhatja. A rendezvényeken elért eredményekkel kapcsolatban a Társaság személyes adatot kezel, abból a célból, hogy a sportrendezvényen részt vevőket adott esetben díjazza.
  2. 12.6.2.  A rendezvényekkel kapcsolatos személyes adatok köre az érintett neve, anyja neve,lakcíme és e-mail-címe, továbbá a verseny-azonosító szám, valamint a versennyel kapcsolatos kritériumrendszer adatai (pl: elnyert pontszámok stb.).
  3. 12.6.3.  A Társaság jogalapja az adatkezelésre a Rendelet 6. cikk (1) bekezdés a) pontja, tehát az érintett hozzájárulása.
  4. 12.6.4.  Az adatkezelés a hozzájárulás visszavonásáig, de legfeljebb a rendezvénysorozat befejezéséig történik. Az érintett bármikor jogosult visszavonni a hozzájárulását, e-mail-üzenetben, illetve a weblapon található linken keresztül.

12.7. Hírlevél (marketing levél)

  1. 12.7.1.  A Társaság az aktuális híreiről, szolgáltatásairól tájékoztató hírlevelet (marketing levelet) küld a szolgáltatásra feliratkozott érintettek részére. A hírlevélre történő feliratkozás ahttps://www.bbu.hu/hirlevel webcímen, vagy közvetlen e-mail küldésével történik. Az érintett által a feliratkozás során megadott adatokat kizárólag a hírlevél küldéséhez használjuk.
  2. 12.7.2.  A hírlevél küldéshez kezelt személyes adatok az érintettek neve, valamint e-mail-címe
  3. 12.7.3.  A Társaság jogalapja az adatkezelésre a Rendelet 6. cikk (1) bekezdés a) pontja, tehát az érintett hozzájárulása.
  4. 12.7.4.  A Társaság a hírlevél szolgáltatását (és a weblapja működtetését) adatfeldolgozóval üzemelteti.
  5. 12.7.5.  Az adatkezelés a hozzájárulás visszavonásáig (hírlevélről történő leiratkozás időpontjáig) történik. Az érintett bármikor jogosult leiratkozni a hírlevélről az üzenetben, illetve a weblapon található linken keresztül.

12.8. Társaság által üzemeltetett weblapon (www.bbu.hu) történő adatkezelések

30

  1. 12.8.1.  A Társaság a weblapja üzemeltetéséhez különböző cookie-kat használ. A cookie egy információcsomag (apró szöveges fájl), amelyet a honlap küld az érintett webböngészőjének, majd a böngésző visszaküldi a honlap szervernek minden, a szerver felé irányított kérés alkalmával. A sütiket maga a webszerver hozza létre a böngésző segítségével az érintett gépén, ahol azok egy elkülönített könyvtárban kerülnek tárolásra.
  2. 12.8.2.  A cookiek az érintett bizonyos böngészési adatait tárolják egy-egy látogatás során. Aböngészőprogramok ezeket az adatokat minden megnyitáskor kommunikálják a weboldalt kiszolgáló szerver felé, ezáltal lehetséges, hogy az érintett számára “személyre szabottan” jelenjen meg egy-egy oldal az újabb és újabb megnyitásokkor. Így kényelmesebbé és gyorsabbá teszik a weboldal használatát.
  3. 12.8.3.  A cookiek alkalmazásával a Társaság célja a weboldal böngészési élményének a javítása, valamint a honlap látogatási szokások vizsgálata.
  4. 12.8.4.  A Társaság a weboldalra látogatókat tájékoztatja a cookiek használatáról, és lehetőséget biztosít a számukra, hogy azok használatához hozzájáruljanak, vagy megtiltsák azok használatát.
  5. 12.8.5.  A cookiek alkalmazására, és így az adatkezelésre a társaság részére a jogalapot a Rendelet6 cikk (1) bekezdés a) pontja alapján az érintett hozzájárulása képezi.
  6. 12.8.6.  A cookiek alkalmazásához történő érintetti hozzájárulás alapján a Társaság az adatkezelést a hozzájárulás visszavonásáig végzi.

12.9. Közbeszerzés során felmerülő adatkezelés

12.9.1. A Társaság rendszeresen veszt részt közbeszerzési eljárásokban, ajánlatkőként, melynek lebonyolításához közbeszerzési jogászt, mint adatfeldolgozót vesz igénybe.

12.9.2. A közbeszerzési eljárások során a Társaság személyes adatot kezel, a közbeszerzésekről szóló 2015. évi CXIII. törvény (továbbiakban Kbt.) alapján. A köbszerzési ajánlatban, illetve a végleges szerződésben szükséges megjelölni az igénybe vett alvállalkozókat (Kbt. 66. § (6) bek. b) pont) és a kapacitás rendelkezésre bocsátását biztosító személyt-szervezetet (Kbt. 65. § (7) bek.) is, ideérve az eljáró személyek lakcímeit is (Kbt. 43. § (3) bek.), továbbá – a szerződés teljesítése érdekében, nyertes ajánlat esetében – annakelérhetőségeit is, ide értve továbbá az elektronikus és telefonos elérhetőségi adatokat[munkahelyi e-mail és telefonszám]. A Kbt. szerinti ajánlatkérőnek ellenőriznie szükséges továbbá – uniós és nemzeti eljárásrend szerinti eljárásban – valamennyiajánlattevőt, illetve alvállalkozót, valamint nemzeti eljárásrendben a bírálat és értékelés fordított sorrendjének szabályai esetében (Kbt. 81. § (5) bek.) az értékelés szerinti legjobb ajánlattevőt a Kbt. 62. §-a szerinti kizáró okok szempontjából, mely alapján a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) 3. § 38. a) b) és d) pontja szerinti tényleges tulajdonostmeg kell tudni ismernie. Ezzel kapcsolatban természetes személyazonosító adatokat közöl az ajánlattevő (ellenőrzési igény esetében), továbbá nem lehet megtagadni lakóhely nyilvánosságra hozatalát sem, amennyiben ezen adatok értékelésre kerülnek az eljárásban (Kbt. 43. § (3) bekezdés). Végezetül amennyiben az ajánlattevő alvállalkozót vesz igénybe vagy más személy kapacitására támaszkodik szakember útján, úgy nem

31

tagadható meg a szakemberre vonatkozó adatok (pl. önéletrajz) nyilvánosságra hozatalasem (Kbt. 44. § (2) bek. cb) pont).

  1. 12.9.3.  A Társaság a Kbt-nek történő megfelelés céljából az ajánlattevővel kapcsolatban kezelszemélyes adatot.
  2. 12.9.4.  A kezelt adatok köre az ajánlattevő(k) természetes személyek személyazonosító adatai illetve egyéni vállalkozók esetében nevük, lakcímük, a Kbt. 44. § (2) bekezdés cb) pontszerinti szakemberek esetében természetes személyazonosító adataik [pénzmosási előírásokhoz kapcsolódóan] és önéletrajzuk.
  3. 12.9.5.  A Társaság a fenti adatokat a törvény által kötelezően meghatározott ideig, de legalább 5évig kezeli (Kbt. 46. § (2) bek.; 43. § (5) bekezdés).
  4. 12.9.6.  A Társaság az adatkezelés jogalapjának a Rendelet 6. cikk (1) bekezdés c) pontját határozza meg (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges) figyelemmel arra, hogy az adatkezelést a törvény kötelezővé teszi a közbeszerzési eljárás jogszabályok szerinti lefolytatása érdekében.

12.10. Új személyes adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását megelőzően követendő eljárásrend

12.10.1. 12.10.2.

12.10.3. 12.10.4. 12.10.5.

Új adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamatmegváltoztatását kizárólag az ügyvezető rendelheti el.

Azon munkavállaló, akinek a munkakörét érintő feladat teljesítéséhez kapcsolódóan új adatkezelési folyamat bevezetésére vonatkozó igény merül fel, köteles ezt jelezni az ügyvezetőnek.

Azon munkavállaló, akinek a munkakörét érintő adatkezelési folyamat megváltoztatására vonatkozó igény merül fel, köteles ezt jelezni az ügyvezetőnek.

Új adatkezelési folyamat bevezetésére vagy adatkezelés folyamatok megváltoztatásáraakkor kerül sor, ha az nem ütközik a jelen Szabályzat előírásaiba.

Új adatkezelési folyamat bevezetése vagy adatkezelés folyamatok megváltoztatása előtt szükséges meghatározni az adatkezelés fontosabb jellemzői, így elsősorban

  1. a)  az adatkezelés célját,
  2. b)  az adott cél más adatkezelési művelettel elérhető-e,
  3. c)  az adatkezelés jogalapját,
  4. d)  az érintettek körét,
  5. e)  az érintettekre vonatkozó adatok leírását,
  6. f)  az adatok forrását,
  7. g)  az adatok kezelésének időtartamát,
  8. h)  a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a

    harmadik országokba irányuló adattovábbításokat is,

  9. i)  az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés,

    illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel

    összefüggő tevékenységét,

  10. j)  az alkalmazott adatfeldolgozási technológia jellegét.

32

12.10.6. Új adatkezelési folyamat bevezetésekor, vagy már meglévő adatkezelési folyamat megváltoztatásakor az ügyvezető gondoskodik a személyes adatok kezelésére vonatkozó szerződések, nyilvántartások, szabályzatok aktualizálásáról és arról, hogy a módosított, aktualizált adatvédelemmel kapcsolatos dokumentumokat az illetékes személyek megismerjék. Jelen pont szerinti tevékenységét az ügyvezető igazolható módon dokumentálja.

13. Adattovábbítás

  1. 13.1.  A Társaság személyes adatot csak megfelelő jogalap alapján továbbít, a célhoz kötöttség elvének maradéktalan érvényesítésével. A Társaság csak olyan személyes adatot továbbít, amelynek jogszerű adatkezelője.
  2. 13.2.  Az adattovábbítás feltételeit az adott terület működéséért felelős vezető munkavállaló minden esetben ellenőrizni köteles.
  3. 13.3.  Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.
  4. 13.4.  Az adattovábbításokról jelen szabályzat 2. számú mellélete szerint a Társaság nyilvántartást vezet.
  5. 13.5.  Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – atörvényben kötelezően előírt adattovábbítás esetét kivéve – az ügyvezető hatáskörébe tartozik. Az adattovábbítási kérelem abban az esetben teljesíthető, ha az tartalmazza
    1. a)  az adattovábbítást kérő minden kétséget kizáró azonosításához szükséges adatokat,
    2. b)  az adattovábbítás célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos

      megjelölését),

    3. c)  a kért adatok körének pontos meghatározását,
    4. d)  az érintett személy azonosításához szükséges adatokat.
  6. 13.6.  A Társaság az Európai Unión kívüli országba személyes adatot nem továbbít.
  7. 13.7.  A Társaság nyilvántartást vezet az adattovábbításairól.

14. Adatfeldolgozók

  1. 14.1.  A Táraság kizárólag olyan adatfeldolgozóval köt adatfeldolgozásra irányuló szerződést, amely megfelelő garanciákat nyújt arra vonatkozóan, hogy az adatkezelés a Rendelet követelményeinek megfelelően és az érintettek jogainak védelmét biztosítva történik.
  2. 14.2.  Az adatfeldolgozás megkezdését megelőzően a Társaság meggyőződik arról, hogy az adatfeldolgozó a mindennapi tevékenysége során az adatvédelem megfelelő szintjéhez szükséges technikai és szervezési intézkedéseket megtette.
  3. 14.3.  Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a Társaság határozza meg. A Társaság felel az általa adott utasítások jogszerűségéért.

33

  1. 14.4.  Az adatfeldolgozó kizárólag a Társaság előzetes írásos engedélye alapján vehet igénybe további adatfeldolgozót.
  2. 14.5.  Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság utasításai szerint kezelheti, saját céljára azadatokat nem használhatja, továbbá a személyes adatokat a Társaság rendelkezéseiszerint köteles tárolni és megőrizni.
  3. 14.6.  Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
  4. 14.7.  A Társaság nyilvántartást vezet az adatfeldolgozóiról a jelen szabályzat melléklete szerint, mely nyilvántartás tartalmazza az adatfeldolgozás alábbi jellemzőit:
    1. a)  célja,
    2. b)  jogalapja,
    3. c)  adatfeldolgozóadatai,
    4. d)  feldolgozásra kerülő adatok köre,
    5. e)  adatok törlése kezelésének jellemzői,
    6. f)  az adatfeldolgozó igénybe vesz-e további adatfeldolgozót, ha igen, ennek adatai.
  5. 14.8.  A Társaság az adatfeldolgozói szerződésekben a jelen szabályzat mellékletében szereplő szerződési feltételeket alkalmazza, valamint meggyőződik arról, hogy az adatfeldolgozó valóban a jogszabályi előírások szerint kezeli a személyes adatokat.

15. Adatvagyon-leltár és egyéb nyilvántartások

15.1. Adatvagyon-leltár

15.1.1. A Társaság a Rendelet 30. cikkének történő megfelelés érdekében létrehozza az adatvagyon-leltárát, mely tartalmazza a Társaság valamennyi adatkezelési célját és folyamatát, valamint azok legfontosabb jellemzőit.

15.1.2. Az

adatvagyon leltár az egyes adatkezelési műveletek kapcsán az alábbiakat tartalmazza:

  1. a)  adatkezelési cél,
  2. b)  kezelt adatok köre,
  3. c)  adatok forrása,
  4. d)  érintett személye,
  5. e)  adatkezelés jogalapja,
  6. f)  a személyes adatokhoz hozzáférők meghatározása,
  7. g)  adatfeldolgozók, valamint azok megjelölése, akik részére az adat továbbításra kerül,
  8. h)  adatkezelés időtartama,
  9. i)  adatkezelés helye,
  10. j)  tartalmaz-e különleges adatokat,
  11. k)  Rendelet szerinti jogalap,
  12. l)  egyéb megjegyzések.

15.1.3. A Társaság minden munkavállalójának kötelessége a személyes adat kezelési tevékenysége során az adatvagyon-leltár naprakészen tartása.

34

  1. 15.1.4.  Az adatvagyon-leltár tartalmazza a Társaság valamennyi adatkezelési folyamatát.
  2. 15.1.5.  Az adatvagyon-leltárt jelen szabályzat melléklete tartalmazza.

15.2. További nyilvántartások

  1. 15.2.1.  A Társaság nyilvántartást vezet az adattovábbításairól, az igénybe vett adatfeldolgozókról, az adatkezelési tevékenységeiről (adatvagyon-leltár), és azok jellemzőiről, az érintetti jogok gyakorlásáról, valamint az adatvédelmi incidensekről.
  2. 15.2.2.  A személyes adatok 8.4. pont szerinti törlésekor az adatokat a különböző adatvédelemmel kapcsolatos nyilvántartásokból is törli a Társaság.
  3. 15.2.3.  A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza
    1. a)  az általa kezelt személyes adatok továbbításának időpontját,
    2. b)  az adattovábbítás jogalapját és címzettjét,
    3. c)  a továbbított személyes adatok körének, és érintettjeinek meghatározását,
    4. d)  az adattovábbítás módját, csatornáját, valamint
    5. e)  az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

15.2.4. Az
munkavállalójának kötelessége. Az adattovábbítást végző munkavállaló haladéktalanul rögzíti az adattovábbítást a nyilvántartásban.

adattovábbítási nyilvántartás naprakész vezetése a Társaság minden

  1. 15.2.5.  A 8. pont szerinti jogok gyakorlására, illetve az ahhoz kapcsolódó kérelmek teljesítésére vonatkozó nyilvántartás tartalmazza
    1. a)  érintett személyére vonatkozó adatok,
    2. b)  azonosítása megtörtént, vagy sem,
    3. c)  kérelem tárgya (gyakorolt jog megnevezése),
    4. d)  kérelem beérkezésének időpontja,
    5. e)  kérelem teljesítésének a határideje,
    6. f)  kérelem előterjesztésének módja, csatornája,
    7. g)  a kérelem alapján tett intézkedéseket,
    8. h)  kérelem teljesítésének az időpontja,
    9. i)  a kérelem alapján tett intézkedésekről szóló tájékoztatás érintett részére történő

      megadásának időpontját.

  2. 15.2.6.  Amennyiben az érintett kérelme a személyes adatai törlésére irányult, úgy a 15.2.5. pont szerinti nyilvántartás a) alpontja törlésre kerül. A nyilvántartásban szereplő személyesadatokat (15.2.5. a) alpont) a Társaság korlátozás nélkül őrzi, azok törlésére a személyes adatok végleges törlésekor kerül sor.
  3. 15.2.7.  A Társaság minden munkavállalója gondoskodik a személyes adatok kezelésével kapcsolatos nyilvántartások naprakész vezetéséről.

16. Felelősség, jogorvoslat, jogérvényesítés

35

16.1. A Társaság felelőssége

  1. 16.1.1.  A Társaság felelősséggel tartozik a személyes adatok kezeléséért. Az érintett, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, azelszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
  2. 16.1.2.  A bírósági jogorvoslathoz való jogának érvényesítése érdekében az érintett a Társaság,illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.
  3. 16.1.3.  Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a Rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
  4. 16.1.4.  Ha a Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett sérelemdíjat követelhet.
  5. 16.1.5.  Az érintettel szemben a Társaság felel az általa igénybe vett adatfeldolgozó által okozottkárért és a Társaság köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
  6. 16.1.6.  Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

16.2. A Társaság munkavállalóinak felelőssége

  1. 16.2.1.  A Társaság munkavállalója munkajogi, polgári jogi és büntetőjogi felelősséggel tartozik a munkája során végzett adatkezelési műveletek jogszerűségéért és a jelen Szabályzatban foglaltak betartásáért.
  2. 16.2.2.  Vétkes kötelezettségszegésnek minősül amennyiben a munkavállaló nem tartja be a jelen szabályzatban, illetve a személyes adatok kezelésére vonatkozó jogszabályokban foglalt kötelezettségeit. A munkavállalóval szemben ilyen esetben a munkaszerződésében írt hátrányos jogkövetkezmények alkalmazhatóak.
  3. 16.2.3.  A munkavállaló a jelen szabályzatban, valamint a jogszabályokban foglalt személyes adatok kezelésére vonatkozó kötelezettségének megszegésével okozott kárt köteles megtéríteni, ha nem úgy járt el, ahogy az adott helyzetben általában elvárható.

36

  1. 16.2.4.  A kártérítés mértéke nem haladhatja meg a munkavállaló négyhavi távolléti díjának összegét. Szándékos vagy súlyosan gondatlan károkozás esetén a teljes kárt kell megtéríteni.
  2. 16.2.5.  Nem kell megtéríteni azt a kárt, amelynek bekövetkezése a károkozás idején nem volt előrelátható, vagy amelyet a munkáltató vétkes magatartása okozott, vagy amely abból származott, hogy a munkáltató kárenyhítési kötelezettségének nem tett eleget.

16.3. Az érintettek jogorvoslathoz való joga

  1. 16.3.1.  Az érintett a jogainak megsértése esetén a Társasággal szemben bírósághoz fordulhat. Abíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
  2. 16.3.2.  Az érintett a 16.1. pontban foglaltak szerint kártérítésre, illetve sérelemdíjra lehetjogosult.
  3. 16.3.3.  A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) bejelentéssel a Társasággal szemben bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, illetve, hogy a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, korlátozáshoz, törléshez, jogorvoslathoz való jogainak érvényesítését a Társaság korlátozza, vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja. A bejelentést az alábbi elérhetőségek valamelyikén lehet megtenni:

    Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) Posta cím: 1530 Budapest, Pf.: 5.
    Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
    Telefon: +36 (1) 391-1400

    Fax: +36 (1) 391-1410
    E-mail: ugyfelszolgalat@naih.hu URL: http://naih.hu

  4. 16.3.4.  Az érintett bármilyen, a személyes adatai kezelésével kapcsolatos kérdéssel, észrevétellel, kérelemmel, panasszal a Társasághoz fordulhat az info@bbu.hu e-mail-címen, vagy postai úton, illetve személyesen a Társaság mindenkori székhelyén. Ilyen esetben a Társaság az ügyet legfeljebb 30 napon belül kivizsgálja, és tájékoztatja az érintettet avizsgálat eredményéről.

16.4. A személyes adatok kezelésével kapcsolatos jogok érvényesítése az érintett halálát követően

16.4.1. Az érintett halálát követő öt éven belül a hozzáféréshez, helyesbítéshez, törléshez, azadatkezelés korlátozásához és tiltakozáshoz való jogát az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személy jogosult érvényesíteni.

  1. 16.4.2.  Ha az érintett nem tett 16.4.1. pontnak megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult a helyesbítéshez és tiltakozáshoz, valamint – ha az adatkezelés már az érintett életében isjogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt – a törléshez és az adatkezelés korlátozásához való jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak jelen pont szerinti érvényesítésére az a közeli hozzátartozójogosult, aki ezen jogosultságát elsőként gyakorolja.
  2. 16.4.3.  Az érintett jogait a jelen pont alapján érvényesítő személyt e jogok érvényesítése -így különösen a Társasággal szembeni, valamint a Hatóság, illetve bíróság előtti eljárás -során az érintett részére megállapított jogok illetik és kötelezettségek terhelik.

16.4.5. Az érintett jogait jelen pont alapján érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát és hozzátartozói minőségét közokirattal igazolja.

17. Adatvédelmi incidensek

  1. 17.1.  Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is.
  2. 17.2.  A bejelentésben legalább:
    1. a)  ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – azérintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
    2. b)  közölni kell a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
    3. c)  ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
    4. d)  ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  3. 17.3.  A Társaság nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmiincidenshez kapcsolódó fontosabb tényeket, körülményeket az alábbiak szerint:
    1. a)  időpont,
    2. b)  incidens leírása,
    3. c)  incidens hatása az érintettekre,
    4. d)  érintettek száma,
    5. e)  érintettek kategóriái,
    6. f)  érintett személyes adatok köre, száma,
    7. g)  incidens következményei,
    8. h)  incidens következményeinek orvoslására tett intézkedések,
    9. i)  érintettek tájékoztatása megtörtént-e, és ha igen, mikor.

38

  1. 17.4.  Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásnak ki kell terjednie legalább a 17.2. pont b), c), d) alpontjaiban foglaltakra.
  2. 17.5.  Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
    1. a)  a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszikaz adatokat;
    2. b)  a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
    3. c)  a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
  3. 17.6.  Adatvédelmi incidens bekövetkezése esetén a Társaságnak azonnal megkezdi annakkivizsgálását. Az adatvédelmi incidenst elsőként érzékelő munkavállaló köteles aztazonnal jelenteni az ügyvezetőnek. Ezzel egyidejűleg a munkavállalónak haladéktalanul meg kell tennie mindent annak érdekében, hogy az incidens következményeit enyhítse, atovábbi károkat elhárítsa.
  4. 17.7.  Incidens bekövetkezése esetén az ügyvezető az incidens körülményeinek felderítéséhez, és a következmények enyhítéséhez szükséges szakértelemmel rendlelkező jogi és informatikai szakértők bevonásával haladéktalanul megkezdi az incidens kivizsgálását és megszüntetését.

18. Adatvédelmi hatásvizsgálat

  1. 18.1.  Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetőenmagas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
  2. 18.2.  A hatásvizsgálat kiterjed legalább:
    1. a)  a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
    2. b)  az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
    3. c)  az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
    4. d)  a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek

39

és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

  1. 18.3.  A hatásvizsgálat kiterjed legalább:
    1. e)  a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben a Társaság által érvényesíteni kívánt jogos érdeket;
    2. f)  az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
    3. g)  az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
    4. h)  a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági

      intézkedéseket és mechanizmusokat.

  2. 18.4.  A Társaság adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagyképviselőik véleményét a tervezett adatkezelésről.
  3. 18.5.  A Társaság szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
  4. 18.6.  A hatásvizsgálat eredménye alapján a Társaság dönt az adatkezelési bevezetéséről. Amennyiben a hatásvizsgálat megállapítja, hogy az adatkezelés a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal.
  5. 18.7.  A Társaság a hatósággal folytatott konzultáció során a hatóságot tájékoztatja:
    1. a)  adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;
    2. b)  a tervezett adatkezelés céljairól és módjairól;
    3. c)  azérintettekerendeletértelmébenfennállójogainakésszabadságainakvédelmében

      hozott intézkedésekről és garanciákról;

    4. d)  adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;
    5. e)  a hatásvizsgálatról; és
    6. f)  a felügyeleti hatóság által kért minden egyéb információról.
  6. 18.8.  A Társaság a hatósággal folytatott konzultáció lezártáig nem kezdi meg ahatásvizsgálattal érintett adatkezelést.

Mellékletek:

1. számú melléklet: Adatvagyon-leltár
2. számú melléklet: Adattovábbítási nyilvántartás
3. számú melléklet: Érintetti kérelmek, joggyakorlások nyilvántartása 4. számú melléklet: Adatvédelmi incidens nyilvántartás
5. számú melléklet: Adatfeldolgozók nyilvántartása

40

6. számú melléklet: Kamera felvétel visszanézési nyilvántartás (minta)
7. számú melléklet: Általános adatkezelési tájékoztató
8. számú melléklet: Munkáltatói adatkezelési tájékoztató
9. számú melléklet: Álláshirdetéssel kapcsolatos adatkezelési tájékoztató
10. számú melléklet: Sportrendezvény-szervezéssel kapcsolatos adatkezelési tájékoztató11. számú melléklet: Kamerarendszer érdekmérlegelési teszt

12. számú melléklet: Szerződéses kapcsolattartók adatainak kezelésére vonatkozó érdekmérlegelési teszt

page42image1177904976

Budapest, 2018. május 23.

Nagy Sportágválasztó Kft.

Szemán Róbert ügyvezető

41

Comments are closed.