Forsense \\ 2021-02-05
Adatvédelmi és adatkezelési szabályzat

Készült az EU 2016/679 sz. Általános Adatvédelmi Rendelet (GDPR)

ajánlásai alapján

Készítette:

dr. Nagy Gábor László

adatvédelmi tisztviselő

T.: +36 30/919 60 01

Jóváhagyta:

Tóth Zsolt

ügyvezető igazgató

Dátum: 2021.02.05.

I. Az adatvédelmi és adatkezelési szabályzat alkalmazása

A szervezet megnevezése: Forsense 2.0 korlátolt felelősségű társaság

„Forsense 2.0 kft”

A szervezet székhelye: 1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.
Levelezési cím 1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.
Irattározás helye 1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.
Cégjegyzékszám: Cg. 01-09-183499
Adószám: 13642299-7320-113-01
KSH száma 13642299-7320-113-01
Honlap: http://www.forsense.hu
E-mail cím: iroda@forsense.hu
A szabályzat hatályba lépésének dátuma: 2021. február 05.

Ez a szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.

Adatvédelmi tisztviselő kijelölési kötelezettség kiterjed minden olyan szervezetekre, amelyek a személyes adatok különleges kategóriáit nagy számban kezelik.

A Forsense 2.0 kft. adatvédelmi tisztviselőt alkalmaz.

Adatvédelmi tisztviselő határozatlan időtartamra:

Neve:

Címe: 1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.

Telefonszáma:

E-mail címe:

II. A szabályzat hatálya

E szabályzat visszavonásig érvényes, hatálya kiterjed a szervezet tisztségviselőire, ügyvezetőire, alkalmazottakra vagyis a Forsense 2.0 kft. minden munkavállalójára valamint a szervezet adatvédelmi tisztviselőjére.

III. A szabályzat célja, a Forsense 2.0 kft. feladatai

E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében a szervezet egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését.

A Forsense 2.0. kft. jogelődjét azok a társadalom- és közvélemény-kutatással, piackutatással és informatikai fejlesztéssel foglalkozó magyar szakemberek hozták létre 2002-ben, akik már többnyire a 90-es évek második felétől együtt dolgoztak a cég előzményének tekinthető vállalkozásokban. Így ez a csapat az országban az elsők között hozott létre a mai értelemben is korszerűnek tekinthető, digitálisan vezérelt call centert 1998-ban, majd kezdte el a fejlesztését egy olyan adatgyűjtő rendszernek, amely lehetővé teszi a többcsatornás vagy integrált (különböző adatgyűjtési módokon történő) adatgyűjtést és az adatok valós időben, online történő biztonságos továbbítását a terepről egy központi szerverre.

A fejlesztéssel párhuzamosan, 2005 tavaszától már mobil eszközökön, elsősorban laptopokon történt a személyes adatgyűjtés, ezzel együtt az adatfelvevői munka szervezése, a címek kiosztása, valamint a folyamatos monitoring. Az elmúlt évek során a Forsense 2.0 kft. munkatársai több mint 500 felmérésben, több mint 500 000 ember lekérdezését megvalósítva fejlesztik, csiszolják és tesztelik a kérdezői infrastruktúrát, gyűjtik a tapasztalatokat. Az időközben elvégzett munkák és megvalósított projektek alkalmával bankok, magyar és nemzetközi nagyvállalatok, minisztériumok, állami intézmények, önkormányzatok és médiumok tapasztalhatták meg a biztonságos és megbízható, ugyanakkor az ügyféligényekhez rugalmasan alkalmazkodó rendszer működését.

A Forsense 2.0 kft. működésének fontos eleme az új technológiák használata és a segítségükkel megvalósítható innováció, valamint olyan módszerek és eszközök fejlesztése, amelyek hatékonyabbá, áttekinthetőbbé és a teljesítmény szempontjából ellenőrizhetőbbé teszik az adatfelvételre épülő vizsgálatokat. 2011-től a cég személyes kérdezői tableteken dolgoznak a terepen, és a fejlesztések fókuszában is az új mobileszközök adta lehetőségek kihasználása áll.

A Forsense 2.0 kft. és jogelődei lassan 20 éve kínál megrendelőinek piac- és közvélemény-kutatási, társadalomkutatási, elemzési, szakértői- és tanácsadói szolgáltatásokat.

Az adatfelvételi és adatelemzési módszerek széles skáláját alkalmazza munkáiban, legyen az on-line, telefonos, vagy személyes megkérdezéses survey kutatás, teljes körű adatgyűjtés, adatbázis-építés, statisztikai adatelemzés, in-hall, illetve mélyinterjú, vagy fókuszcsoportos vizsgálat.

A cégen belüli fejlesztői tevékenység mára különvált a piac- és társadalom-kutatástól. A jelenleg folyó, illetve előkészületben lévő fejlesztések célja, hogy az adatgyűjtő rendszert és a felhalmozott módszertani tudást az élet más területein is jól alkalmazhatóvá tegye.

A Forsense 2.0 kft. tevékenysége során teljes mértékben meg kíván felelni a személyes adatok kezelésére vonatkozó jogszabályi előírásoknak. Jelen Szabályzat a Forsense 2.0 kft. adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.

A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával a szervezet alkalmazottai képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.

A Szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való megfelelés a Forsense 2.0 kft. általi igazolására szolgáljon.

IV. Lényeges fogalmak, meghatározások

  • a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete
  • adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  • adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  • adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
  • személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
  • profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; (cégünk profilalkotást nem végez)
  • harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  • az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  • az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
  • álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
  • nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  • adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
  • Közeli hozzátartozó: a házastárs, az egyenes ágbeli rokon, az örökbe fogadott, a mostoha és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs.
  • Kezelt különleges adatok: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
  • Egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőkkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
  • Személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;

V. Adatvédelmi nyilvántartások

A Forsense 2.0 kft. a rendelet szerinti adatvédelmi nyilvántartásait a következő dokumentumokban vezeti:

  • Adatkezelési tevékenységek nyilvántartása
  • Adatvédelmi incidensek nyilvántartása
  • Adatfeldolgozók nyilvántartása
  • Adatkezelési események nyilvántartása

VI. Az adatkezelés irányelvei

  1. jogszerűség, tisztességes eljárás és átláthatóság
  2. korlátozott tárolhatóság
  3. pontosság, naprakészség
  4. integritás és bizalmas jelleg
  5. adattakarékosság
  6. célhoz kötöttség
  7. elszámoltathatóság

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, erről a munkaszerződések módosításával és titoktartási nyilatkozatok aláíratásával gondoskodunk.

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A célokat az arra megfelelő nyomtatványon az adatfelvételkor meghatározzuk.

A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet.

A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul töröljük az évenként tartandó felülvizsgálatkor.

A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.

A Forsense 2.0 kft. adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

Titoktartás:

A társaság minden alkalmazottja köteles a munkája során tudomására jutott munkavállalók és más, harmadik személyek személyes adatait megőrizni. Senki nem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott tudomására, és amelynek közlése a munkáltatóra vagy más személyre hátrányos következménnyel járna. A munkavállaló az üzleti titok megsértéséért munkaügyi felelősséggel tartozik.

Személyes adatnak minősülnek különösen:

  • munkaügyi iratok és adatok
  • személyes és különleges adatok minden kategóriája

Adatkezelést végző munkavállalók és a kezelt adatok körei, munkakörök szerint:

Munkakör Munkakör célja Munka során a felsoroltak esetén kezelhet személyes adatokat is tartalmazható dokumentumokat:
Irodai adminisztrátor Irodai, adminisztratív és dokumentációs jellegű feladatok ellátása A céghez beérkező dokumentumok, iratok, levelek átvétele, rögzítése, továbbítása az illetékes ügyintéző felé, másolása, lefűzése, postázás előkészítése, dokumentumok tárolása, archiválása, a nyilvántartások ellenőrzése, kérdezők munkájának segítése, kutatási munkatársakkal való együttműködés.
Kutatási munkatárs A személyes és telefonos, vagy elektronikus adatfelvételek előkészítése, kérdezések bonyolítása, elemzések készítése, adatfeldolgozás A kérdezőkkel való kapcsolatfelvétel, a kérdezők betanítása, munkájuk figyelemmel kísérése, a telefonszámok kezelése, számítógépes ellenőrzése, az adatfelvételek, kérdezések felügyelete, elemzések készítése, a kutatások során az adatközlők személyes adatainak felvétele, ismerete és elkülönítése, anonimizálása
Bér és TB. ügyintéző Bérekkel kapcsolatos információk gyűjtése, a munkavállalóknak járó bérek, juttatások kiszámítása. A munkavállalókra vonatkozó adatok, melyek bérelszámoláshoz szükségesek: munkaidő beosztások, letiltások, előlegek, gyerektartás.

Új belépő munkavállalóknál: adatok bérszámfejtő programban való rögzítése, kedvezmények kezelése.

Kilépő munkavállalóknál bérszámfejtés, kilépő papírok, TB kiskönyv kiadása a munkavállalónak, munkabér és egyéb járandóság kifizetésének előkészítése

Nyilvántartás vezetése a munkavállalói jelenlétről, a szabadságról, személyi anyagokról.

Cégvezető gazdasági szervezet működésével összefüggő szerződéskezelési, kapcsolattartási, pénzügyi adminisztratív feladatokat ellátása Elvégzi a szerződések kezelését, nyilvántartását, a bankszámlaforgalom ellenőrzését, az alvállalkozókkal való kapcsolattartást, bejövő és kimenő számlák egyeztetéseit a nyilvántartások alapján és adókötelezettséghez kapcsolódó feladatai is vannak. A munkaviszonyhoz kapcsolódó dokumentumok: orvosi igazolások, táppénzes papírok, orvosi szakvélemények, munkavállalóktól történő begyűjtése, és továbbítása.
Ügyvezető irányítási és ellenőrzési feladatok ellátása a kutatási folyamatok érdekében és a szervezet működtetése érdekében. A cég erőforrásához kapcsolódó adminisztratív feladatok, munkaügyi feladatok.

Kutatási tervek készítése.

A kutatók, elemzők összefogása, instruálása, a kérdezők felkészítése, az elemzések menetének meghatározása, stratégiaalkotás.

VII. Személyes adatok kezelése hozzájárulással

Mivel a természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, ezért ezek az adatok egyéb információkkal összekapcsolva alkalmasak és felhasználhatók a természetes személyek azonosítására.

Az adatkezelésre csak akkor kerülhet sor, ha az érintett személy egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatok kezeléséhez.

Az adatkezeléshez való hozzájárulásnak minősül az is, ha az érintett személy az internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.

Hozzájárulásnak minősül az is, ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot illetve cselekedet tesz, amely az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak:

  • a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat;
  • az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától.

A személyes és különleges adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tenni.

A kezelt adatokat részletesen az adatkezelési tevékenységek nyilvántartása és a formanyomtatványok elemzése című dokumentáció tartalmazza.

VIII. Az adatkezelés jogszerűsége

A személyes adatok kezelése akkor jogszerű, ha az alábbiak valamelyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez írásban rögzítve aláírással igazolva kell kérni.
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre, viszont már az irányelvben is közvetlen hatálya volt). Például a munkáltató jogos érdeke jogalappal kezet adatok, ez esetben érdekmérlegelési tesztet kell végezni.

A fentiek értelmében az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie.

Az adatkezelést jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.

Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.

Személyes adatok közvetlen üzletszerzési célú kezelését a Forsense 2.0 kft. végzi.

A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e ésszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.

A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését.

A személyes adatok hatóságok általi, hivatalosan elismert vallási szerveztek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében történő kezelése közérdeken alapulónak minősül.

A Forsense 2.0 kft. a következő jogalapokkal és céllal kezel különleges adatokat:

  • az érintett kifejezett hozzájárulását adta a szenzitív adatok egy vagy több konkrét célból történő kezeléséhez
  • az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
  • az adatkezelés bármely nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára
  • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása érdekében szükséges.
  • az adatkezelés a közérdekű statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

Jogszabályi háttér:

A következő jogszabályok alapján kezelheti a kft. az adatokat:

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
  • évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
  • A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény.
  • A közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet.
  • A Munka Törvénykönyvéről szóló 2012. I. számú törvény (Mt.)
  • évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
  • évi C. törvény az elektronikus hírközlésről.
  • A foglalkoztatás elősegítéséről szóló 1991. évi IV. törvény (Flt.), különösen 4. § 54. § és az 58. § (5) bekezdése

IX. Az érintett személy hozzájárulása, feltételek

  • Amennyiben az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
  • Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell közölni.
  • Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
  • Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
  • Az egészségügyi adatok kezelése tilos, kivéve, ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez.

X. Az adatkezelés jogszerűsége egészségügyi adatok esetén

Az adatkezelésre csak akkor kerülhet sor, ha az érintett személy egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatok kezeléséhez.

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról.

Az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy diagnosztikai teszt.

A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tenni.

Az egészségügyi adatkezelés célja: az egészségügyi és személyazonosító adatok a következő célok elérése érdekében kezelhetőek:

  • munkaviszony létesítése, vagy a munkáltató által elrendelt, a foglalkoztatáshoz szükséges vizsgálat elvégzése

Egészségügyi adatokkal, dokumentációkkal kapcsolatos adatkezelés

  1. Adatkezelő az érintettek alkalmazása során egészségügyi adatot kezelhet.
  2. Érintett egészségügyi adatait, dokumentációját önkéntesen adja át.

A következő célokból lehet egészségügyi és személyazonosító adatot kezelni:

  • a társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik,
  • a munkavégzésre való alkalmasság megállapítása,
  • munkanélküli ellátás, foglalkoztatás elősegítése, valamint az ezzel összefüggő ellenőrzés.

Adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges.

Azonosítást nem igénylő adatkezelés

Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni.

Ha az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja.

XI. Az érintett személy tájékoztatása, jogai

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.

Erről a cég a holnapra feltöltött adatvédelmi tájékoztatóval gondoskodik. Az adatvédelmi formanyomtatványok alkalmazásával, mindennemű munkavállalói és partneri szerződés adatvédelmi kiegészítésével is hozzájárul ehhez.

Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Erre szolgál az adatvédelmi tájékoztató, mely tartalmazza ennek a belső szabályzatnak a rövidített közérthető változatát, mely elérhető a honlapon is.

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani.

Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és ésszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik,

Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléséhez adott hozzájárulásukat.

A személyes adatok kezelése közvetlen üzletszerzés érdekében is történik, harmadik országba vagy nemzetközi szervezet részére történő továbbítására nem kerül sor.

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

XII. A személyes adatok felülvizsgálata

Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

  1. A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: Az iratok selejtezését az ügyvezető által kijelölt 3 tagú selejtezési bizottság javaslata alapján lehet elvégezni az Irattári tervben meghatározott idő leteltével.
  2. Munkavállalók esetén a személyes adatok tárolásának időtartama: a társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) – 2018. december 23-tól hatályos – módosítása (új 99/A. §) előírja, hogy a foglalkoztató a biztosított, illetve volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra irányadó öregségi nyugdíjkorhatártól számított öt évig kell megőrizni.
  3. Szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából a személyes adatok tárolásának időtartama: a szerződés megszűnését követő 10 év.
  4. Felvétel: a ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta. A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
  5. GPS-n rögzített helymeghatározási adatok 2 (két) hónapig lekérdezhetők, valamint lementhetők. Az eszköz nem kikapcsolható.
  6. Az adózáshoz kapcsolódó bizonylatokat, iratokat általánosan az adó megállapításához való jog elévüléséig kell megőrizni, amely annak a naptári évnek az utolsó napjától számított 5 év elteltével évül el, amelyben az adóról bevallást, bejelentést kellett volna tenni, illetve annak hiányában az adót meg kellett volna fizetni, azonban az elévülés további 6 hónappal meghosszabbodik, ha az adóbevallás késedelmes benyújtásakor az adómegállapításhoz való jog elévüléséig kevesebb mint 6 hónap van hátra. [Art. 47. § (3) bekezdés, 164. § (1) bekezdés]
  7. A számvitelről szóló törvény hatálya alá tartozó adózóknak azonban az üzleti évről készített beszámolót, az üzleti jelentést, valamint az azokat alátámasztó leltárt, értékelést, főkönyvi kivonatot, illetve a naplófőkönyvet, vagy más, a törvény követelményeinek megfelelő nyilvántartást olvasható formában a jogszabály előírása alapján legalább 8 évig kell megőrizni. [Szt. 169. § (1) bekezdés]
  8. A számvitelről szóló törvény hatálya alá tartozó adózóknak a fentieken kívül a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatokat, ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is, valamint a szigorú számadású bizonylatok rontott példányait is, szintén legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni. [Szt. 169. § (2)-(3) bekezdés]
  9. Az általános forgalmi adóról szóló törvény hatálya alá tartozó adózók számára a jogszabály előírja, hogy a számla kibocsátásának időpontjától a számla megőrzésére vonatkozó időszak végéig 8 évig biztosítani kell a számla eredetének hitelességét, adattartalma sértetlenségét és olvashatóságát. [Áfa. tv. 168/A. § (1) bekezdés]
  10. A közbeszerzési eljárás eredményeként megkötött szerződés teljesítésével kapcsolatos összes iratot a szerződés teljesítésétől számított öt évig meg kell őrizni, azonban ha a közbeszerzéssel kapcsolatban jogorvoslati eljárás indult, az iratokat annak, illetve bírósági felülvizsgálat esetén a felülvizsgálatnak, a jogerős befejezéséig, de legalább az említett 10 évig kell megőrizni. [Kbt. 34. § (2) bekezdés]

Irat típusa Megőrzési idő

Személyügyi, munkaviszonnyal kapcsolatos nyilvántartások

Bérnyilvántartó lapok, bérkartonok

Társadalombiztosítási, nyugdíj ügyek

Jelenléti ívek, munkalapok, bérfizetési jegyzékek

Munkáltatói és kereseti igazolások

Munkabaleseti jegyzőkönyvek

Szerződések

Számviteli, pénztári bizonylatok

Statisztikai adatszolgáltatások

Költségvetési támogatási szerződés, támogatás elszámolására vonatkozó dokumentumok

Kutatási adatsorokhoz tartozó személyes adatok

irányadó öregségi nyugdíjkorhatár betöltését követő öt évig 5 év

5 év

10 év

10 év

10 év

10 év

10 év

5 év

XIII. Az adatkezelő feladatai

Az adatkezelő a jogszerű adatkezelés érdekében megfelelő belső adatvédelmi szabályokat alkalmaz. Ez a szabályozás kiterjed az adatkezelő hatáskörére és felelősségére.

A Forsense 2.0 kft. mindent megtesz annak érdekében, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek.

Ezt a szabályozást az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével alkottuk meg. Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre. E szabályzat alapján az egyéb belső szabályzatokat felülvizsgálja és szükség esetén naprakésszé teszi. Ezeket az intézkedéseket az adatvédelmi hatásvizsgálat és az adatbiztonsági fejezet tartalmazza.

Az adatkezelő megfelelő nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről (Adatkezelési Tevékenységek Nyilvántartása). Minden adatkezelő és adatfeldolgozó köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

XIV. Az adatkezeléssel kapcsolatos jogok

A tájékoztatás kéréshez való jog

Az érintett kérésére tájékoztatást ad arról, hogy az általa kezelt személyes adataira vonatkozóan a Forsense 2.0 kft. folytat-e adatkezelést és amennyiben igen, hozzáférést ad számára a személyes adatokhoz, valamint tájékoztatja őt a következő információkról:

  • az adatkezelés célja(i);
  • az adatkezeléssel érintett személyes adatok fajtái;
  • Az Érintett személyes adatainak továbbítása esetén az adattovábbítás jogalapja és címzettje(i);
  • az adatkezelés tervezett időtartama;
  • Az Érintett jogai a személyes adatok helyesbítésével, törlésével és kezelésének korlátozásával, valamint a személyes adatok kezelése elleni tiltakozásával összefüggésben;
  • a Hatósághoz való fordulás lehetősége;
  • az adatok forrása;
  • az adatfeldolgozók nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.

A Forsense 2.0 kft. az adatkezelés tárgyát képező személyes adatok másolatát díjmentesen az érintett rendelkezésére bocsátja. Az Érintett által kért további másolatokért a Forsense 2.0 kft. az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

A Forsense 2.0 kft. köteles indokolatlan késedelem nélkül, de legkésőbb a kérelem benyújtásától számított egy hónapon belül, közérthető formában, az érintett kérelmére megadni a tájékoztatást. Az érintett a hozzáférés iránti kérelmét a meghatározott elérhetőségeken nyújthatja be. Amennyiben a Forsense 2.0 kft. adatkezelése nem az érintett hozzájárulásán alapul, hanem az adatkezelést harmadik személy visszaélésszerűen kezdeményezte, az érintett személyazonosságának és a személyes adattal fennálló kapcsolatának megfelelő igazolása mellett megkeresést intézhet az kft.-hez (adattörlés, zárolás, helyesbítés, tiltakozás, az adatkezeléssel kapcsolatos tájékoztatás).

A helyesbítéshez való jog

Bármely személy a megadott elérhetőségeken keresztül kérheti bármely adatának módosítását. Erről kérelmére haladéktalanul, de legfeljebb 30 napon belül intézkedni kell és a megadott elérhetőségre tájékoztatást kell küldeni.

Az érintett jogosult kérni a személyes adatai helyesbítését, illetve a hiányos adatok kiegészítését (megjelölve a helyes adatokat) az adatkezelés céljának figyelembevételével a tájékoztatóban meghatározott elérhetőségein, mindkét esetben személyazonosságának igazolásával. A Forsense 2.0 kft. a helyesbítést indokolatlan késedelem nélkül elvégzi a nyilvántartásában, és ennek megtörténtéről írásban értesíti az érintettet.

A törléshez való jog

Az Érintett kérelmezheti a meghatározott elérhetőségeken személyazonosságának igazolásával, hogy a Forsense 2.0 kft. indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Forsense 2.0 kft. pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. b) Az Érintett visszavonja hozzájárulását és az adatkezelésnek más jogalapja nincs;
  3. c) Az Érintett tiltakozik személyes adatai kezelése miatt;
  4. d) a személyes adatok kezelése jogellenesen történt;
  5. e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. f) a személyes adatok hozzájáruláson alapuló gyűjtésére az információs társadalommal összefüggő szolgáltatások gyermekek részére történő kínálásával kapcsolatosan került sor.

Az Érintett személyes adatait szankciószerűen az alapszabályban meghatározott esetekben törölheti az kft.

A zároláshoz, korlátozáshoz való jog

Bármely személy a megadott elérhetőségeken keresztül kérheti adatának zárolását. A zárolás addig tart, amíg a megjelölt indok szükségessé teszi az adatok tárolását. A kérelemre ezt haladéktalanul, de legfeljebb 30 napon belül meg kell tenni és a megadott elérhetőségre tájékoztatást kell küldeni.

  • Az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;
  • az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • Az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az adathordozhatósághoz való jog

Az Érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

  • az adatkezelés hozzájáruláson alapul; és
  • az adatkezelés automatizált módon történik.

A tiltakozáshoz való jog

Bármely személy a megadott elérhetőségeken keresztül tiltakozhat az adatkezelés ellen. A tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül meg kell vizsgálni, annak megalapozottsága kérdésében döntést kell hozni és a döntésről a megadott elérhetőségre tájékoztatást kell küldeni.

Az Érintett abban az esetben tiltakozhat személyes adatának kezelése ellen, ha az adatkezelés

  • közérdekű vagy a kft.-re ruházott közhatalmi jogosítvány gyakorlásának keretében végzett
  • feladat végrehajtásához szükséges; a Forsense 2.0 kft. vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Az Érintett tiltakozása esetén a Forsense 2.0 kft. a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az Érintett a saját helyzetével kapcsolatos okból bármikor tiltakozhat személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a személyes adatok nem kezelhetők tovább, kivéve, ha a Forsense 2.0 kft. bizonyítja, hogy az adatkezelést olyan az ő oldalán fellépő jogos érdek indokolja, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az Érintettet nem illeti meg a tiltakozás joga:

  • hozzájáruláson
  • szerződés teljesítésén
  • jogi kötelezettség teljesítésén
  • létfontosságú érdek védelmén alapuló tiltakozás esetén.

E-mail címről, valamint írásban benyújtott megkeresés esetén szükséges, hogy az Érintett igazolja személyazonosságát és az adattal fennálló kapcsolatát.

Minden fentiekben felsorolt jog teljesítése írásban kérhető a következő elérhetőségek egyikén:

Forsense 2.0 kft”

1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.

www.forsense.hu

iroda@forsense.hu

Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1530 Budapest, Pf.: 5.

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400 Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu
URL https://naih.hu
koordináták: É 47°30’56”; K 18°59’57”

Az érintett a jogainak megsértése esetén az adatátvevő az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

A felügyeleti hatóságnál történő panasztételhez való jog

  1. Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
  2. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

  1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
  2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
  3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
  4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni. (Rendelet 78. cikk).

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

  1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
  2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

XV. Munkaviszonnyal, és a kérdezőkkel létesített megbízási viszonnyal kapcsolatosan kezelt adatok

A Társaságnak a munkavállalók személyes adatait illetően folytatott adatkezelése vagy

  • a GDPR 6. cikk (1) bekezdésének b) pontján – azaz szerződés teljesítéséhez szükséges adatkezelésen – (pl. munkaszerződés megkötéséhez), vagy
  • a GDPR 6. cikk (1) bekezdés c) pontján – azaz jogi kötelezettség teljesítéséhez szükséges adatkezelésen – (pl. a munkavállalók adatainak bejelentése az Art. alapján a NAV felé) vagy
  • a GDPR 6. cikk (1) bekezdés f) pontján – azaz a Társaság jogos érdekének érvényesítéshez szükséges adatkezelésen – (pl. kutatási vagy munkavégzési célú IT eszközök használatának ellenőrzése) alapul.

Amennyiben a munkáltató jogos érdekre kíván hivatkozni, az adatkezelés céljának jogszerűnek kell lennie; a választott módszernek/technológiának szükségesnek és arányosnak kell lennie, és azt úgy kell alkalmazni, hogy a lehető legkisebb mértékben hatoljon be a magánszférába; továbbá a munkáltatónak képesnek kell lennie igazolni azt, hogy megfelelő intézkedéseket tett az egyensúly biztosítására a munkavállalók alapvető jogai és szabadságai tekintetében.

Az adatkezelési műveleteknek meg kell felelniük továbbá az átláthatóság követelményeinek, és a munkavállalókat egyértelműen és teljes körűen tájékoztatni kell a személyes adataik kezeléséről, beleértve az esetleges megfigyelés alkalmazását; továbbá megfelelő műszaki és szervezeti intézkedéseket kell alkalmazni az adatkezelés biztonságának biztosítására.

A Forsense 2.0 kft. munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait: (részletesen lásd adatkezelési tevékenységek nyilvántartás)

  • természetes személyazonosító adatait: név, születési hely és idő, neme, anyja neve,
  • lakó- és tartózkodási helyét, értesítési címét
  • állampolgárságát, bevándorolt, letelepedett, menekült vagy oltalmazott jogállását,
  • társadalombiztosítási azonosító jelét, adóazonosító jelét,
  • nyugdíjas törzsszámát (nyugdíjas munkavállaló esetén),
  • munkába lépésének kezdő és befejező időpontja
  • iskolai végzettségére, szakképzettségére, egyéb végzettségére, jártasságára vonatkozó adatokat,
  • önéletrajz
  • munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok, bankszámlaszám,
  • a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
  • a munkaviszony megszűnésének módja, indokai,
  • a munkaköri alkalmassági vizsgálatok eredménye,
  • munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat,
  • betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog vagy kötelezettség teljesítése céljából kezel,
  • előző munkahelyről kiadott kilépő papírok: munkáltatói igazolás a jogviszony megszűnésekor, adatlap a bírósági végzéssel meghatározott tartási kötelezettségekről,
  • Igazolvány a biztosítási jogviszonyról és az egészségbiztosítási ellátásokról,
  • a Forsense 2.0 kft. – nél kutatásellenőrzési célból alkalmazott helymeghatározó és rögzítő rendszerek által rögzített adatokat.

Az érintettek köre: minden munkavállaló.

A személyes adatok címzettjei: A munkáltató vezetője, munkáltatói jogkör gyakorlója, a munkáltató munkaügyi, bérügyi, gazdasági (számviteli) feladatokat ellátó megbízottai. Beosztás szerint: ügyvezető igazgató, kutatásvezető, tirkárságvezető, call center vezető, könyvelő, koordinátor.

Az adatkategóriák törlésére előirányzott határidők: társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) – 2018. december 23-tól hatályos – módosítása (új 99/A. §) előírja, hogy a foglalkoztató a biztosított, illetve volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.

A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen szabályzatnak megfelelő tartalommal tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogokról.

A megbízási jogviszonnyal összefüggő alkalmazás esetén:

A Társaságnak a megbízottak személyes adatait illetően folytatott adatkezelése vagy

  • a GDPR 6. cikk (1) bekezdésének b) pontján – azaz szerződés teljesítéséhez szükséges adatkezelésen – (pl. megbízási szerződés megkötéséhez), vagy
  • a GDPR 6. cikk (1) bekezdés c) pontján – azaz jogi kötelezettség teljesítéséhez szükséges adatkezelésen – (pl. a megbízottak adatainak bejelentése az Art. alapján a NAV felé) vagy
  • a GDPR 6. cikk (1) bekezdés f) pontján – azaz a Társaság jogos érdekének érvényesítéshez szükséges adatkezelésen – (pl. kutatási vagy munkavégzési célú IT eszközök használatának ellenőrzése) alapul.

Amennyiben a megbízó jogos érdekre kíván hivatkozni, az adatkezelés céljának jogszerűnek kell lennie; a választott módszernek/technológiának szükségesnek és arányosnak kell lennie, és azt úgy kell alkalmazni, hogy a lehető legkisebb mértékben hatoljon be a magánszférába; továbbá a megbízónak képesnek kell lennie igazolni azt, hogy megfelelő intézkedéseket tett az egyensúly biztosítására a megbízók alapvető jogai és szabadságai tekintetében.

Az adatkezelési műveleteknek meg kell felelniük továbbá az átláthatóság követelményeinek, és a megbízottakat egyértelműen és teljes körűen tájékoztatni kell a személyes adataik kezeléséről, beleértve az esetleges megfigyelés alkalmazását; továbbá megfelelő műszaki és szervezeti intézkedéseket kell alkalmazni az adatkezelés biztonságának biztosítására.

A Forsense 2.0 kft. megbízási jogviszony létesítése, teljesítése vagy megszűnése céljából kezeli a megbízottak alábbi adatait: (részletesen lásd adatkezelési tevékenységek nyilvántartás)

  • természetes személyazonosító adatait: név, születési hely és idő, neme, anyja neve,
  • lakó- és tartózkodási helyét, értesítési címét
  • állampolgárságát, bevándorolt, letelepedett, menekült vagy oltalmazott jogállását,
  • társadalombiztosítási azonosító jelét, adóazonosító jelét,
  • megbízási jogviszony kezdő és befejező időpontja
  • iskolai végzettségére, szakképzettségére, egyéb végzettségére, jártasságára vonatkozó adatokat,
  • önéletrajz
  • megbízási díj, és a kifizetéshez szükséges bankszámlaszám
  • balesetek jegyzőkönyveiben rögzített adatokat,
  • a Forsense 2.0 kft. – nél kutatásellenőrzési célból alkalmazott helymeghatározó és rögzítő rendszerek által rögzített adatokat.

Az érintettek köre: minden megbízott.

A személyes adatok címzettjei: A cég vezetője és a kutatások megszervezésében és lebonyolításában érintettek. Beosztás szerint: ügyvezető igazgató, kutatásvezető, tirkárságvezető, call center vezető, könyvelő, koordinátor.

Az adatkategóriák törlésére előirányzott határidők: a szerződés megszűnésétől számítva az általános 5 éves elévülési időn belül, mely az esetleges igényérvényesítéshez szükséges.

A cég a megbízási szerződés megkötésével egyidejűleg a jelen szabályzatnak megfelelő tartalommal tájékoztató átadásával tájékoztatja a megbízottat személyes adatainak kezeléséről és személyhez fűződő jogokról.

XVI. A Forsense 2.0 kft. feladatai a megfelelő adatvédelem érdekében

  • Az adatvédelmi tudatosság. Biztosítani kell a szakmai felkészültséget a jogszabályoknak való megfeleléshez. Elengedhetetlen a munkatársak szakmai felkészítése és a szabályzat megismerése.
  • Át kell tekinteni az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Az adatvédelmi és adatkezelési szabályzattal összhangban kell biztosítani jogszerű adatkezelést és adatfeldolgozást.
  • Az adatkezelésben érintett személy megfelelő tájékoztatása. Figyelni kell arra, hogy – ha az adatkezelés az érintett hozzájárulásán alapul, – kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett személy hozzájárult.
  • Az érintett személynek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni.
  • Az átlátható adatkezelés követelménye, hogy az érintett személy tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni és a tájékoztatáshoz való jog az adatkezelés során annak megszűnéséig megilleti az érintettet.
  • Az adatkezelésben érintett személy főbb jogai a következők:
  • a rá vonatkozó személyes adatokhoz való hozzáférés;
  • a személyes adatok helyesbítése;
  • a személyes adatok törlése;
  • a személyes adatok kezelésének korlátozása;
  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
  • az adathordozhatósághoz való jog. Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettség biztosítható egy olyan biztonságos online rendszer üzemeltetésével, amelyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.
  • Át kell tekinteni a Forsense 2.0 kft. által végzett adatkezeléseket, biztosítani kell az információs önrendelkezési jog érvényesülését. Az érintett személy kérésére adatait késedelem nélkül törölni kell, amennyiben az érintett személy visszavonja az adatkezelés alapját képező hozzájárulást.
  • Az érintett személy hozzájárulásából félreérthetetlenül ki kell derülnie, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.
  • A személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelőnek indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, – meg kell tenni a bejelentést a felügyeleti hatóságnak, kivéve akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogait tekintve.
  • A Forsense 2.0 kft. olyan adatkezelői tevékenységet végez, amely adatvédelmi hatásvizsgálat lefolytatását szükségessé teszi. Az adatkezelési műveletek valószínűsíthetően nem járnak magas kockázattal.

XVII. Adatbiztonság

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A papíralapú tárolás esetén zárható irodahelyiség vagy zárható szekrény biztosítja az adatok védelmét. Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

A Forsense 2.0 kft-nek a honlapja fenntartásához és kezeléséhez adatfeldolgozót vesz igénybe, aki az IT szolgáltatásokat (tárhelyszolgáltatás) biztosítja, és ennek keretében – a vele fennálló szerződés tartamáig – kezeli a honlapon megadott személyes adatokat, az általa végzett művelet a személyes adatok tárolása a szerveren.

A honlapra vonatkozó adattárolás módja, biztonsága

Az adatkezelő honlapjait kiszolgáló szerverek a Magyar Hosting kft-nél találhatók.

1132 Budapest, Victor Hugo utca 18-22.

Cg. 01-09-968314

www.mhosting.hu

Az adattárolás

Az adatkezelő a szoftvereit és az informatikai eszközeit úgy választja meg és üzemelteti, hogy a kezelt adat:

  • az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
  • hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
  • változatlansága igazolható (adatintegritás);
  • a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.

Az adatkezelő olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodjon az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

  1. b) Adatbiztonság

Az adatkezelő az adatkezelés során megőrzi

  • a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
  • a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
  • a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek.

Az ilyen fenyegetésektől megvédendő a szolgáltató megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.

Szabályok

  • A személyes adatokat csak az arra jogosult személyek ismerhetik meg, azokhoz harmadik személyek nem férhetnek hozzá, erről a kulcsok kiosztásánál figyelemmel kell lenni.
  • Kulccsal zárható szekrények használata, és munkaidőn kívül a kulcs biztonságos helyen tárolása
  • A munkaidő után személyes adatot, jelszavakat tartalmazó irat, feljegyzés még saját takarító személyzet esetén sem maradhat hozzáférhető, nyílt felületen.
  • Iratmegsemmisítő beszerzése és tudatos használata. A rendelet nem ír elő fokozott biztonsági besorolású eszközt, közepes finomságú (konfetti, vagy 3-4 mm vágási csík szélességű) és teljesítményű gép megfelel.
  • A dokumentumokat biztonságos, jól zárható száraz helyiségben kell elhelyezni.
  • Papír iratanyagok tárolásához tűzbiztos szekrény beszerzése, de minimum a tároló helyek közvetlen közelében tűzoltó készülék elhelyezése.
  • Az adatkezelő épülete és helyiségei tűzvédelmi és vagyonvédelmi berendezéssel javasolt ellátni.
  • Az adatkezelő adatkezelést végző munkatársa a munkavégzése során csak úgy hagyhatja el azt a helyiséget, ahol adatkezelés folyik, hogy a rá bízott adathordozókat elzárja, vagy az adott helyiséget bezárja.

Digitális tárolás szabályai

Amennyiben a papíralapon kezelt személyes adatok digitalizálására kerül sor, akkor a digitálisan tárolt dokumentumokra irányadó szabályokat kell alkalmazni. A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

Elektronikus védelem:

A hálózatra csatlakoztatott számítógépek mindegyike induláskor jelszót kér. A jelszót kötelező évente megváltoztatni. A gépek 15 perc inaktív használat után automatikusan újra belépést kérnek. A gépeket a menedzselésük végett a rendszergazda a belső hálózaton keresztül eléri külön adminisztrátori hozzáféréssel. Megosztott mappáik nincsenek, mindenki az erre a célra felállított fájlszervert használja. A fájlszerverhez való hozzáférés mindenki számára felhasználó névvel és jelszóval van biztosítva. A szerver az alkalmazott technológiának köszönhetően üzembiztos. Külön szünetmentes áramforrás gondoskodik a folyamatos üzemhez. A gépeken a NOD32 biztosítja a vírusoktól való védelmet. A routerben, és a gépeken található Windows alapértelmezett tűzfala gondoskodik a külső betörések elleni védelméről. A használatos adathordozókon (pendrive, külső merevlemez), a céges adatokat titkosítva tárolják. A gépeken futó programoknak a tulajdonosai és a rendszergazda ismerik a belépéshez szükséges adatokat. A felhasználók az email címeiket saját gépeiken kezelik, a hálózaton keresztül SSL titkosítást használnak küldésre,- és fogadásra.

A cég az adatkezelés jellege, hatóköre, körülményei és célja, valamint a személyes adat jogosulja jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása céljából, hogy a személyes adatok kezelése a jelen Szabályzattal, valamint a mindenkor hatályos jogszabályokkal összhangban történjen.

XVIII. Az adatvédelmi tisztviselő jogállása

Az adatvédelmi tisztviselő kijelölése

A rendelet a következő esetben teszi kötelezővé az adatvédelmi tisztviselő kijelölését:

  1. Az adatkezelést közhatalmi vagy egyéb közfeladatot ellátó szerv végzi.
  2. Az olyan adatkezelések esetében, amikor az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése történik. Nagymértékű megfigyelésnek minősülnek az általános adatvédelmi rendelet (91) preambulum-bekezdése szerint például:
  • ha jelentős mennyiségű személyes adat kezelése történik regionális, nemzeti vagy szupernacionális szinten,
  • ha az érintettek száma jelentős,
  • új technológia nagy arányú alkalmazása valósul meg,
  • amennyiben a profilalkotás alapján az érintettek értékelése történik.
  • A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik. A rendszeres, szisztematikus és nagymértékű megfigyelés alatt nem csupán a szó hétköznapi értelmében vett megfigyelést, például kamerázást kell érteni, hanem a felhasználói magatartást nagy részletességgel rögzítő, naplózó tevékenységeket is, mint például a számlázási célból végzett tevékenység.
  • Akkor, amikor az adatkezelő vagy adatfeldolgozó fő tevékenysége során nagy számban kezel különleges vagy bűnügyi személyes adatokat.

A cég ezek közül több tevékenységet is végez így külön adatvédelmi tisztviselőt kötelező kineveznie.

Amennyiben alkalmaz adatvédelmi tisztviselőt, kötelező közzétenni az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal is közölni kell.

A dokumentációt összeállításával megbízott adatvédelmi tisztviselő feladatai

Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére.

Ellenőrzi az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést az átvilágításkor.

Elkészíti a hatásvizsgálatot és az adatvédelmi dokumentációt, kiegészíti a szükséges formanyomtatványokat.

Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges források rendelkezésre álljanak.

Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval sem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak, a szerződésben feltüntetettek szerint.

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

Az adatvédelmi tisztviselő más feladatokat is elláthat, de a feladatokkal kapcsolatban összeférhetetlenség ne álljon fenn.

XIX. Adatvédelmi incidens

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést.

Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani lehet, hogy az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az érintett személyt késedelem nélkül tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.

A Forsense 2.0 kft. munkavállalói kötelesek jelenteni a Forsense 2.0 kft. vezetőjének, vagy a munkáltatói jogok gyakorlójának az igazgatósági tagoknak, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

Adatvédelmi incidens bejelenthető:

Forsense 2.0 kft.”

1137 Budapest, Radnóti Miklós utca 40. 2. emelet 9.

www.forsense.hu

Adatvédelmi incidens bejelentése esetén a Forsense 2.0 kft. vezetője haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:

  • az incidens bekövetkezésének időpontját és helyét,
  • az incidens leírását, körülményeit, hatásait,
  • az incidens során kompromittálódott adatok körét, számosságát,
  • a kompromittálódott adatokkal érintett személyek körét,
  • az incidens elhárítása érdekében tett intézkedések leírását,
  • a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Adatvédelmi incidensek nyilvántartása

Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

  1. a) az érintett személyes adatok körét,
  2. b) az adatvédelmi incidenssel érintettek körét és számát,
  3. c) az adatvédelmi incidens időpontját,
  4. d) az adatvédelmi incidens körülményeit, hatásait,
  5. e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
  6. f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 1. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fent említett feltételek valamelyikének teljesülését.

XX. Ügyviteli és nyilvántartás célú adatkezelés

A Forsense 2.0 kft. a tevékenységéhez tartozó esetekben illetve ügyviteli és nyilvántartási célból személyes adatokat is kezelhet.

Az adatkezelés alapjául az érintett személy megfelelő tájékoztatásán alapuló önkéntes és határozott hozzájárulás szolgál. A részletes tájékoztatás – amely kiterjed az adatkezelés céljára, jogalapjára és időtartamára valamint az érintett személy jogaira – után az érintettet figyelmeztetni kell az adatkezelés önkéntes jellegére. Az adatkezeléshez való hozzájárulást írásban rögzíteni kell.

Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:

  • a Forsense 2.0 kft-vel megbízási jogviszonyban álló személyek adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból;
  • a Forsense 2.0 kft-vel üzleti kapcsolatban álló más szervezetek, intézmények és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;

A Forsense 2.0 kft-hez írásos formában eljuttatott – személyes adatokat is tartalmazó – dokumentumok (például önéletrajz, álláskeresési jelentkezés, egyéb beadvány, stb.) esetében az érintett személy hozzájárulását vélelmezni kell. Az ügy lezárulta után – további felhasználásra vonatkozó hozzájárulás hiányában – az iratokat meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.

Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart.

Az ügyviteli és nyilvántartási célból történő adatkezelést – annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, – évente felül kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell.

Az ügyviteli és nyilvántartási célból történő adatkezelés esetében is biztosítani kell a jogszabályoknak való megfelelést.

XXI. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés

A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.

Az alkalmassági vizsgálatot előíró jogszabály a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet.

E rendelet alkalmazásában: munkaköri alkalmassági vizsgálat: annak megállapítása, hogy egy meghatározott munkakörben és munkahelyen végzett tevékenység által okozott megterhelés a vizsgált személy számára milyen igénybevételt jelent és annak képes-e megfelelni. A munkaköri alkalmasság vizsgálata és véleményezése a 8. §-ban meghatározott esetekben záróvizsgálattal egészül ki.

A munkaköri alkalmasság orvosi vizsgálata lehet előzetes, időszakos és soron kívüli, szerződött üzemorvosaink végzik.

A munkaköri alkalmasság vizsgálatának célja annak elbírálása, hogy a munkavállaló, illetve a tanuló vagy a hallgató, az álláskereső:

  1. a) a munkavégzésből és a munkakörnyezetből eredő megterhelés által okozott igénybevétele
  2. aa) egészségét, testi, illetve lelki épségét nem veszélyezteti-e,
  3. ab) nem befolyásolja-e egészségi állapotát kedvezőtlenül,
  4. ac) nem okozhatja-e utódai testi, szellemi, pszichés fejlődésének károsodását;
  5. b) esetleges idült betegsége vagy fogyatékossága a munkakör ellátása, illetőleg a szakma elsajátítása és gyakorlása során nem idéz-e elő baleseti veszélyt;
  6. c) a járványügyi szempontból kiemelt jelentőségű munkakörökben történő munkavégzés esetén személyi higiénés és egészségi állapota nem veszélyezteti-e mások egészségét, foglalkoztatható-e az adott munkakörben;
  7. d) milyen munkakörben és milyen feltételek mellett foglalkoztatható állapotrosszabbodás veszélye nélkül, amennyiben átmenetileg vagy véglegesen megváltozott munkaképességű;
  8. e) foglalkoztatható-e tovább jelenlegi munkakörében;
  9. f) szenved-e olyan betegségben, amely miatt munkaköre ellátása során rendszeres foglalkozás-egészségügyi ellenőrzést igényel.

A munkaköri, szakmai, illetve személyi higiénés alkalmasság vizsgálata, valamint a foglalkoztathatóság szakvéleményezése nem terjed ki a munkaképesség változás mértékének, a rokkantság fokának meghatározására, valamint a szellemi képesség és az elmeállapot véleményezésére.

A vizsgálat eszközei és módszerei: általános üzemorvosi vizsgálat.

A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.

Az adatkezelés jogalapja: jogszabályi kötelezettség (33/1998. (VI. 24.) NM rendelet)

A személyes adatok címzettjei: a vizsgált munkavállalók, illetve a vizsgálatot végző szakember (pl üzemorvos) ismerhetik meg, az eredményt pedig a vezetőség iktatja. A személyes adatok kezelésének időtartama: nem selejtezhető.

Adatkezelés módja: a munkáltató kitölti a 33/1998. (VI.24.) NM rendelet 14. számú melléklete szerinti formanyomtatványt (Beutalás munkaköri orvosi alkalmassági vizsgálatra), mely alapján az üzemorvos kiállítja az Elsőfokú munkaköri orvosi alkalmassági véleményt. A formanyomtatvány tartalmazza a munkavállaló nevét, születési helyét és idejét, lakcímét, munkakörét, FEOR számát és TAJ számát, valamint a munkakör (munkahely) főbb egészségkárosító kockázatait.

Az adatkategóriák törlésére előirányzott határidők: a munkaviszony tartama alatt, illetve annak megszűnését követően még a vonatkozó jogszabályokban meghatározott ideig kezelje, (nyugdíjkorhatár betöltését követő öt évig).

XXII. Felvételre jelentkező munkavállalók, adatfelvevők adatainak kezelése, pályázatok, önéletrajzok

A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).

A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés, vagy megbízási szerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.

Az adatkezelés jogalapja: az érintett hozzájárulása.

A személyes adatok címzettjei, illetve a címzettek kategóriái: a munkáltató vezetője.

A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta.

A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.

XXIII. Munkavállalókkal kapcsolatos további adatbiztonsági feladatok, jogok, célok

E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés

A Forsense 2.0 kft. e-mail fiókot bocsát a lent felsorolt munkakör szerinti munkavállalói rendelkezésére – ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.

A munkavállaló az e-mail fiókot személyes célra is használhatja, a fiókban személyes leveleket tárolhat, azonban a munkáltató jogosult az e-mail fiók teljes tartalmát és használatát ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az email fiók használatát a Munkáltató ellenőrizheti, amennyiben valószínűsíthető az üzleti érdekeinek sérelme, vagy szabálysértés, bűncselekmény elkövetése.

Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult. Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.

Az ellenőrzés előtt tájékoztatni kell a munkavállalót a következőkről:

  • milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést,
  • milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása)
  • az eljárás menetéről
  • milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából állapítandó meg, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.

A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az Érintett jogairól szóló fejezetében írt jogokkal élhet.

Az adatkezelés céljai: az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése

Az érintettek köre: Munkavállalók, akik céges email-címmel rendelkeznek.

A személyes adatok kategóriái: a küldő vagy fogadó fél neve, e-mail címe esetleg egyéb további személyes adata

A személyes adatok címzettjei: ügyvezetés.

Az adatkategóriák törlésére előirányzott határidők: ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig

Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés

A Forsense 2.0 kft. által a munkavállalók, és a megbízott adatfelvevők részére munkavégzés céljára rendelkezésre bocsátott számítógépet, a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Forsense 2.0 kft. megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti, és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti.

Ellenőrzés menete: A számítógép használatát a Munkáltató ellenőrizheti, amennyiben valószínűsíthető az üzleti érdekeinek sérelme, szabálytalan adatfelvétel, adatrögzítés vagy szabálysértés, bűncselekmény elkövetése. Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, a cég biztosítja hogy a munkavállaló és az adatfelvevő jelen lehessen az ellenőrzés során. Ellenőrzés során az adatkezelés jogalapja a munkáltató jogos érdeke.

Az ellenőrzést a Munkáltató által kijelölt személy végzi. Amennyiben a kijelölt személy eljárása közben, vagy azzal összefüggésben azt követően személyes adatok sérülnek, úgy az érintett panasszal fordulhat az eljáró személy elöljárójához, vagy élhet az „Érintett jogairól” szóló fejezetében meghatározott jogorvoslati eszközökkel.

Az ellenőrzés előtt tájékoztatni kell a munkavállalót és az adatfelvevőt a következőkről:

  • milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést,
  • milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása)
  • az eljárás menetéről
  • milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

Az ellenőrzés során a fokozatosság elvét kell alkalmazni, ha bebizonyosodik hogy a munkavállaló vagy az adatfelvevő a számítógépet személyes célra használta, fel kell szólítani, hogy a személyes adatokat haladéktalanul törölje. Szabálytalan adatfelvétel esetén a szabálytalanság megtörténtének igazolásához mentést kell végezni. A munkavállaló, adatfelvevő távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törölheti. A munkavállaló, adatfelvevő az ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az „Érintett jogairól” szóló fejezetében írt jogokkal élhet.

Az adatkezelés céljai: a céges számítógép használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése

Az érintettek köre: Munkavállalók, akik céges számítógéppel rendelkeznek.

A személyes adatok kategóriái: a számítógépre magáncélú felhasználásra lementett mappák, dokumentumok, fényképek és személyes adatokat tartalmazó fájlok, valamint az adatfelvételi rendszerek szöveges és hang file-jai.

A személyes adatok címzettjei: a vezetőség.

Az adatkategóriák törlésére előirányzott határidők: ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig.

A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés

A munkavállaló elsősorban a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató abban a körben engedélyezi, hogy az nem irányulhat jogszabályba, vagy etikai szabályba ütköző, a cég eszközeit lehetséges módon károsító oldalak felkeresésére. Az adatfelvevők gépein az internetezés tilos, a szabály betartása érdekében a cég az internet telepítését megakadályozó alkalmazást telepíthet a gépekre. A munkaköri feladatként a Forsense 2.0 kft. nevében elvégzett internetes regisztrációk jogosultja a Forsense 2.0 kft.., a regisztráció során a Forsense 2.0 kft-re utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Forsense 2.0 kft..

Ellenőrzési jog:

Az internethasználat ellenőrzése esetén – mint más munkáltatói ellenőrzéseknél is – szintén a munkáltatói jogos érdek lesz az adatkezelés jogalapja. Az internet használatát a Munkáltató ellenőrizheti, amennyiben valószínűsíthető az üzleti érdekeinek sérelme, vagy szabálysértés, bűncselekmény, vírus vagy hekker támadás elkövetése. Az ellenőrzés előtt tájékoztatni kell a munkavállalót a következőkről:

– milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az internethasználat ellenőrzésére

– a munkáltató részéről ki végezheti az ellenőrzést

– milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete,

– milyen jogai és jogorvoslati lehetőségeik vannak a munkavállalóknak, adatfelvevőknek az internet használatának ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

Az ellenőrzés csak az ahhoz szükséges személyes adatok megismerésére terjed ki. Ha például a munkáltató bizonyos honlapok látogatását blokkolja, és az ellenőrzése pusztán arra terjed ki, hogy megállapítsa azt, hogy munkavállaló, adatfelvevő betartotta-e ezt a munkáltatói rendelkezést, akkor elegendő a honlap címének a megismerése és feljegyzése, és nem szükséges a munkavállaló tevékenységének részletes feltérképezése (mit is csinált a honlapon, milyen felhasználó nevet és jelszavat mentett el, esetleg milyen fájlokat mentett le a honlapról).

Az adatkezelés céljai: az internet használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése

Az érintettek köre: Munkavállalók, akik céges internet elérhetőséggel rendelkeznek.

A személyes adatok kategóriái:

  • a munkavállaló által meglátogatott weboldal neve,
  • a számítógépre rögzített és lementett információk (pl. elmentett felhasználónév, jelszó)
  • a munkavállaló által meglátogatott oldalak gyakorisága
  • IP cím, egyéb online azonosítók stb.

A személyes adatok címzettjei: vezetőség.

Az adatkategóriák törlésére előirányzott határidők: ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig.

 

Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés

A munkáltató engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon nem csak munkavégzéssel összefüggő célokra használható, de a munkavállalónak elérhetőnek kell lennie a céges mobilon és a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti. A céges telefon használatát a Munkáltató ellenőrizheti, amennyiben valószínűsíthető az üzleti érdekeinek sérelme, vagy szabálysértés, bűncselekmény elkövetése. Az adatfelvevők nem használhatják az adatfelvételhez kapott céges mobiltelefont magáncélokra.

Ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.

Egyebekben az ellenőrzésre és jogkövetkezményire az E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés rendelkezései irányadók.

Az adatkezelés céljai: az céges telefon használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése

Az érintettek köre: Munkavállalók, akik céges telefonnal rendelkeznek.

A személyes adatok kategóriái:

  • a magáncélból hívott felek neve, telefonszáma, a hívás időpontja
  • a munkavállaló által meglátogatott weboldalak neve,
  • a mobiltelefonra rögzített és lementett információk (pl. elmentett felhasználónév, jelszó)
  • a munkavállaló által meglátogatott oldalak gyakorisága
  • egyéb online azonosítók

A személyes adatok címzettjei: vezetőség

Az adatkategóriák törlésére előirányzott határidők: ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig.

GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés

A Forsense 2.0 kft. tulajdonában álló gépjárművekbe és a cég tulajdonában álló adafelvevői mobil eszközökbe szerelt GPS helymeghatározásra alkalmas eszközökben működő SIM kártyák találhatók, azaz lényegében a gépjárművek és adatfelvevő eszközök helymeghatározási adatai kerülnek kezelésre, mely adatok azonban egyúttal a járműben tartózkodó személy, valamint az adatfelvevő eszközt magánál tartó személy személyes adatnak minősülő helymeghatározási (mozgási) adatai is. A helymeghatározási adatok GPS nyomkövető szolgáltatás nyújtására, illetve annak a Forsense 2.0 kft. által történő igénybevétele céljára kerülnek kezelésre.

Az ellenőrzés csak munkaidőben történik, illetve akkor, amikor adatfelvétel történik és nem ellenőrzi a cég a munkavállalók, adatfelvevők földrajzi helyzetét munkaidőn kívül. A GPS nyomkövető szolgáltatás során a gépjárművek, adatfelvevő eszközök tartózkodási helye meghatározható és WEB-es felületen utca részletességű elektronikus térképen megjeleníthető. Az eszköz nem kikapcsolható.

Az adatkezelés jogalapja: GPS rendszer alkalmazásának jogalapja a munkáltatói jogos érdeke

Az adatkezelés céljai: munkaszervezés, logisztika, munkavállalói, adatfelvevői kötelezettségek teljesítésének ellenőrzése, vagyonvédelem, helymeghatározás, annak figyelése, hogy a gépjármű/eszköz elhagyta-e az országot, illetve áramkör megszakítására (lopásra) jelez. A felhasználói felület fő funkciói: aktuális pozíció megjelenítése, riasztások, riportok, útvonalak készítése, nyomtatása.

Az érintettek köre: munkavállalók, adatfelvevők

A személyes adatok kategóriái:

  • gépkocsi/adatfelvevő eszköz azonosító adatai,
  • a munkavállaló/adatfelvevő munkaidő alatt megismerhető tartózkodási adatai

A személyes adatok címzettjei: A felhasználói felülethez hozzáférő személyeket a Forsense 2.0 kft. vezetője határozza meg. A GPS adatokhoz való hozzáférhetőség a következő személyek számára biztosított: ügyvezető, kutatási vezető, adminisztratív vezető.

Az adatkategóriák törlésére előirányzott határidők: ellenőrzésről készített jegyzőkönyvek kiállításától számított 5 évig. A helymeghatározási adatok 2 (két) hónapig lekérdezhetők, valamint lementhetők.

XXIV. Szerződéshez kapcsolódó adatkezelések

Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása

A Forsense 2.0 kft. szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói igazolvány számát, személyi igazolvány számát, székhely, telephely címét, telefonszámát, e-mail címét, bankszámlaszámát.

Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

A személyes adatok címzettjei: vezetőség és a Forsense 2.0 kft. adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói, könyvelői.

A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 10 év.

Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére nem adjuk át.

Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai

A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.

A személyes adatok kezelésének célja: a Forsense 2.0 kft. jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.

Jogalapja: GDPR 6. cikk (1) (f) pontja szerint a szerződéses partner jogos érdeke. (az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.)

A személyes adatok címzettjei, illetve a címzettek kategóriái: vezetőség és a kft. adózási, könyvviteli, feladatait ellátó munkavállalói, könyvelő.

A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 10 évig.

Az adatfelvételi lap mintáját jelen Szabályzat tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával tudomásul veszi személyes adatainak jogos érdeken alapuló kezelését. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.

Kutatásokkal kapcsolatos adatkezelések

A Forsense 2.0 kft a kutatásokkal kapcsolatosan a személyes adatokat elkülönítve kezeli az adatok elemzésétől, és technikailag lehetetlenné teszi ezek összekapcsolását. Az adatok így anonimizáltak, így személyes adatnak már nem tekinthetők.

A kutatások elvégzéséhez a következő adatkat kérheti a cég:

  • név
  • születési dátum
  • lakcím irányítószám
  • legmagasabb iskolai végzettség
  • nem
  • életkor
  • foglalkozás
  • politikai preferenciák
  • vallási meggyőződés
  • egyéb, speciális kutatásokhoz tartozó témák.

A személyes adatok gyűjtésének jogalapja: GDPR 6. cikk (1) bekezdés b) és f) pont, azaz a kutatási szerződés teljesítése, és a kutató cég jogos érdeke.

A telefonszámokat és e-mail címeket a cég nyilvános adatbázisokból vásárolja.

A kutatási adatközlés önkéntes, azaz ha valaki nem akar válaszolni, azt minden jogkövetkezmény nélkül megteheti.

XXV. Látogatói adatkezelés a Forsense 2.0 kft. honlapján – Tájékoztatás sütik (cookie) alkalmazásáról

A Forsense 2.0 kft. honlapjához bárki, kiléte felfedése és személyes adatai megadása nélkül hozzáférhet, a honlapon és az ahhoz kapcsolt oldalakon szabadon és korlátozás nélkül szerezhet információkat. Nem személyhez kötött információkat azonban korlátlanul és automatikusan gyűjt a weblap a látogatókról. Ezekből az adatokból személyes adat azonban nem nyerhető, így az Infotv. vagy a GDPR hatálya alá tartozó adatkezelést nem valósít meg.

Sütik használata a weboldalon

A sütik olyan apró szöveges adatfájlok, amelyek az érintett webböngészőjén keresztül a weboldalt meglátogatva a számítógép merevlemezén tárolódnak. A sütik bizonyos információkat (például egyedi oldal vagy nyelvi beállításokat) tárolnak el, amelyeket a felhasználó webböngészője – a sütik élettartamától függően – továbbít, amikor a felhasználó ismét felkeresi a weboldalt. A „cookie” a webszerver által küldött, változó tartalmú, betűkből és számokból álló fájl, amely a felhasználó számítógépén rögzül és előre meghatározott ideig tárolódik. A cookie lehetővé teszi, hogy a cég webszervere felismerje a böngészésre használt eszközét, a weboldalon folytatott böngészési előzményeit. A cookie-k segítségével képet lehet kapni az adott felhasználó honlap-látogatási-, internet használati szokásairól, történetéről. A cookie-k nem tartalmaznak olyan adatot, amely által a weboldal látogatói azonosíthatóak, azok kizárólag a felhasználó számítógépének felismerésére alkalmasak.

A honlapra látogatásakor a felhasználó egy kattintással elfogadhatja, hogy a honlap a jelen-, illetve az adatvédelmi szabályzatunkkal összhangban – személyek azonosítására alkalmatlan – sütiket használ: utmb, utmt, utmz, utmc, utma.

Közösségi irányelvek / Adatkezelés a Forsense 2.0 kft. Facebook oldalán

A Forsense 2.0 kft. termékei, szolgáltatásai megismertetése, népszerűsítése, álláshirdetés, kapcsolatfelvétel céljából Facebook oldalt tart fenn.

A Forsense 2.0 kft. Facebook oldalon felett kérdés nem minősül hivatalosan benyújtott panasznak.

A Forsense 2.0 kft. Facebook oldalán a látogatók által közzétett személyes adatokat a Forsense 2.0 kft. nem kezeli. A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.

Jogellenes, vagy sértő tartalom publikálása esetén a Forsense 2.0 kft. előzetes értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását.

A Forsense 2.0 kft. nem felel a Facebook felhasználók által közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. A Forsense 2.0 kft. nem felel semmilyen, a Facebook működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.

XXVI. Jogi kötelezettségen alapuló adatkezelések

Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

A Forsense 2.0 kft. jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.

A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

A személyes adatok címzettjei: a Forsense 2.0 kft. adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói, megbízottai.

Kifizetői adatkezelés

A Forsense 2.0 kft. jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Forsense 2.0 kft. kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.

A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.

A személyes adatok címzettjei: a Forsense 2.0 kft. munkáltató vezetője, munkáltatói jogkör gyakorlója, a kft. munkaügyi adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó feladatokat ellátó munkavállalói.

XXVII. A szabályzathoz tartozó egyéb dokumentumok

Az adatvédelmi és adatkezelési szabályzathoz kell kapcsolni és azzal együtt kezelni azokat a dokumentumokat és szabályozásokat, amelyek például az adatkezeléshez hozzájáruló írásbeli nyilatkozatot tartalmazzák.

FŐDOKUMENTUMOK

  1. Adatvédelmi és Adatkezelési Szabályzat
  2. Adatkezelési Tevékenységek Nyilvántartása

III. Formanyomtatványok vizsgálata kiegészítése GDPR szerint

  1. Adatkezelési tájékoztató az érintett természetes személy jogairól személyes adatai kezelése vonatkozásában (weben és telephelyek irodáiban elérhető nyilvános tájékoztató)
  2. Adatvédelmi hatásvizsgálat és kockázat elemzés, intézkedési terv
  3. Adatvédelmi Tájékoztató Munkavállalók részére


XXVIII. Részletes tájékoztatás az érintett jogairól

Előzetes tájékozódáshoz való jog

Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon

A) Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik

  1. Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

  1. Az 1. pontban említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

4. Az 1-3. pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

(Rendelet 13. cikk)

B) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

1. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) az érintett személyes adatok kategóriái;

e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

2. Az 1. pontban említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b) ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;

c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

g) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

3. Az adatkezelő az 1. és 2. pont szerinti tájékoztatást az alábbiak szerint adja meg:

a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a 2. pontban említett minden releváns kiegészítő információról.

Az 1-5. pontot nem kell alkalmazni, ha és amilyen mértékben:

a) az érintett már rendelkezik az információkkal;

b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

(Rendelet 14. cikk)

Az érintett hozzáférési joga

1. Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.

3. Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

(Rendelet 15. cikk)

A törléshez való jog („az elfeledtetéshez való jog”)

1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi 1. pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

3. Az 1. és 2. pont nem alkalmazandó, amennyiben az adatkezelés szükséges:

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c) a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d) a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

(Rendelet 17. cikk)

Az adatkezelés korlátozásához való jog

1. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

2. Ha az adatkezelés az 1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

3. Az Adatkezelő az érintettet, akinek a kérésére az 1. pont alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

(Rendelet 18. cikk)

Az adathordozhatósághoz való jog

1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és

b) az adatkezelés automatizált módon történik.

2. Az adatok hordozhatóságához való jog 1. pont szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.

3. E jog gyakorlása nem sértheti a Rendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

4. Az 1. pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait.(Rendelet 20. cikk)

A tiltakozáshoz való jog

  1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
  2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
  3. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
  4. Az 1. és 2. pontokban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
  5. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
  6. Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

(Rendelet 21. cikk)

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

2. Az 1. pont nem alkalmazandó abban az esetben, ha a döntés:

a) az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b) meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c) az érintett kifejezett hozzájárulásán alapul.

3. A 2. pont a) és c) pontjában említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

4. A 2. pontban említett döntések nem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésében említett kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

(Rendelet 22. cikk)

Korlátozások

1. Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a) nemzetbiztonság;

b) honvédelem;

c) közbiztonság;

d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

f) a bírói függetlenség és a bírósági eljárások védelme;

g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

i) az érintett védelme vagy mások jogainak és szabadságainak védelme;

j) polgári jogi követelések érvényesítése.

2. Az 1. pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b) a személyes adatok kategóriáira,

c) a bevezetett korlátozások hatályára,

d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e) az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,

f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g) az érintettek jogait és szabadságait érintő kockázatokra, és

h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

XXIX. Az érintett kérelmének előterjesztése, az adatkezelő intézkedései

  1. Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
  2. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
  3. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
  4. Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
  5. Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) 5.000,-Ft összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

  1. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
Facebook
© 2024 Forsense 2.0 Kft. | Minden jog fentartva