Kanapetisztito.hu

Adatvédelmi Szabályzat

Hatályos 2025. 02.02. napjától

A Kanapetisztito.hu (székhely: 1141 Budapest Szugló u. 82. a továbbiakban: Társaság) önálló képviseleti joggal rendelkező vezető tisztségviselőjeként és a munkáltatói jogkör gyakorlójaként a Társaság adatvédelmi szabályzatát az alábbiak szerint állapítom meg:

· Preambulum

  • Az Európai Parlement és a Tanács (EU) 2016/679. számú Általános Adatvédelmi Rendeletére (továbbiakban: GDPR.) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), valamint az idevágó ágazati jogszabályok rendelkezéseire tekintettel, az azoknak való megfelelés érdekében belső adatvédelmi szabályzat elfogadása vált szükségessé.

  • A Társaság tevékenysége során az adatkezelési gyakorlatát a GDPR. 5. cikkében, valamint az Infotv. 4. §-ában foglalt alapelvek (továbbiakban: alapelvek) szerint köteles kialakítani.

  • A Társaság mindenkor köteles vizsgálni, hogy adatkezelési gyakorlata az alapelveknek, valamint a mindenkori adatvédelmi előírásoknak megfelel-e. Eltérés esetén a Társaság köteles megtenni a megfelelő intézkedéséket annak érdekében, hogy az alapelvek, a mindenkori adatvédelmi előírások és az adatkezelési gyakorlat összhangba kerüljenek. A megfelelő intézkedések megtétele érdekében a Társaság szükség esetén külső tanácsadót vonhat be adatkezelési gyakorlatának felülvizsgálatára, valamint a jogszabályban meghatározottak szerint az adatvédelmi hatóságtól állásfoglalást kérhet.

· Értelmező rendelkezések:

  • személyes adat: azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosíthat,

  • adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés,

  • adatbázis: a Társaság által kezelt személyes adatok rendszerezett, papíralapú vagy elektronikus gyűjteménye,

  • adatkezelési gyakorlat: a Társaság személyes adatkezelésére vonatkozó belső rendje, ideértve különösen, de nem kizárólagosan a személyes adatok tárolására, feldolgozására, felhasználására, közlésére, törlésére vonatkozó belső szabályokat,

  • adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja,

  • közös adatkezelők: azon adatkezelők, akik az adatkezelés céljait és eszközeit közösen határozzák meg,

  • adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel,

  • címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak,

  • harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak,

  • a társaság nevében eljáró személy: a Társaság önálló vagy együttes képviseleti joggal rendelkező vezető tisztségviselője, továbbá mindazon személy, aki egy adott jogügylet, tevékenység vonatkozásában megfelelő felhatalmazás alapján a Társaság nevében jár el,

  • általános szerződési feltétel: az a szerződési feltétel, amelyet az alkalmazója több szerződés megkötése céljából egyoldalúan, a másik fél közreműködése nélkül előre meghatározott, és amelyet a felek egyedileg nem tárgyaltak meg,

  • egyedi szerződése feltétel: az a szerződési feltétel, amelyet a szerződő felek egymással a szerződés megkötése előtt egyedileg tárgyaltak meg,

  • üzleti titok: a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja,

  • know-how: az üzleti titoknak minősülő, azonosításra alkalmas módon rögzített, műszaki, gazdasági vagy szervezési ismeret, megoldás, tapasztalat vagy ezek összeállítása

  • adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi

  • különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

· Eljárás az adatfeldolgozókkal kötendő szerződések esetén

  • Adatfeldolgozóval kötendő szerződések esetén a Társaság nevében eljáró személy köteles gondoskodni arról, hogy a mindenkori adatvédelmi előírásoknak megfelelő, az érintettek jogainak érvényesülését, személyes adataik védelmét garantáló szerződéseket kössön.

  • A 2.1. pontban foglalt cél érvényesülése érdekében a Társaság nevében eljáró személy köteles

  • gondoskodni arról, hogy a kötendő szerződés a GDPR. 28. és 29. cikkében foglaltak megfeleljen,

  • az adatfeldolgozó által alkalmazott általános szerződési feltéltelek vagy egyedi szerződési feltételek adatvédelmi szempontú vizsgálatának elvégzésére,

  • az adatfeldolgozó által alkalmazott általános szerződési feltételektől vagy egyedi szerződési feltételektől eltérő, a mindenkori adatvédelmi előírásoknak megfelelő egyedi szerződési feltételek megtárgyalásának kezdeményezésére, amennyiben azok a mindenkori adatvédelmi előírásoknak nem felelnek meg,

  • az adatfeldolgozó adatkezelési gyakorlatának átvilágítására,

  • meggyőződni arról harmadik országba történő adattovábbítás esetén, hogy az adattovábbítás célországa tekintetében megfelelőségi határozat van-e hatályban, ennek hiányában köteles az adatfeldolgozótól a GDPR. 46. cikkében meghatározott megfelelő garanciákat beszerezni, e garanciák hiányában megvizsgálni, hogy a GDPR. 49 cikke alapján az adattovábbítás engedélyezett-e,

  • a szükséges, üzleti titkot, know-how-t nem sértő mértékben tájékoztatni az érintettet a harmadik személlyel kötött szerződés nyomán a Társaság adatvédelmi gyakorlatában beálló változásról.

  • A 2.3. pontban e. alpontján foglalt tájékoztatásnak a Társaság nevében eljáró személy az adatkezelővel kötendő szerződés által érintett adatkezelésre vonatkozó tájékoztató módosításával, a módosított adatvédelmi tájékoztatónak a Társaság honlapján való közzétételével, és adatvédelmi tájékoztató módosításáról szóló tájékoztatásnak az érintett részére írásban történő megküldésével tesz eleget.

· Eljárás közös adatkezelés esetén

  • Amennyiben a Társaság más személlyel közösen kezel személyes adatokat, és ennek okán ezzel a személlyel közös adatkezelőnek minősülnek, úgy a Társaság nevében eljáró személy köteles olyan írásbeli megállapodást kötni ezzel a személlyel, amely megfelel a GDPR. 26. cikkében foglaltaknak.

  • A megállapodás megkötése során a Társaság nevében eljáró személy a 3. pontban foglalt rendelkezések értelemszerű, a közös adatkezelés sajátosságait figyelembe vevő alkalmazásával köteles eljárni.

· Eljárás harmadik fél részére történő adattovábbítás esetén

  • Harmadik fél részére történő adattovábbítás esetén, az adattovábbítást megelőzően Táraság nevében eljáró személy köteles meggyőződni arról, hogy az adattovábbítás nem ütközik a mindenkori adatvédelmi előírásokba, azok alapján az adattovábbításra megfelelő jogcímmel rendelkezik. Amennyiben az adattovábbítás bármilyen okból tilalmazott, a Társaság nevében eljáró személynek az adattovábbítást meg kell tagadnia, és erről, valamint a megtagadás okairól a harmadik felet írásban tájékoztatnia kell.

  • Harmadik fél részére történő adattovábbítás esetén az érintettet az adattovábbítás tényéről írásban tájékoztatni kell. Ezen tájékoztatás az érintett részére az általános adatvédelmi tájékoztatóban is megadható. Kivételt képez ez alól, ha jogszabály az érintett tájékoztatását kifejezetten tiltja.

  • Harmadik fél részére személyes adatot a lehető legszűkebb körben lehet továbbítani, fokozatosan vizsgálni azt, hogy az adattovábbítás feltétlenül szükséges-e, annak igazolható célja van-e.

· A személyes adatok kezelésének rendje

  • A Társaság által kezelt személyes adatok papíralapon vagy elektronikusan kerülnek tárolásra.

  • A papíralapú adatbázisokat áttekinthetően, pontosan és naprakészen kell vezetni.

  • Az egyes elektronikus adatbázisok a Társaság által használt szoftvereken, felhő alapú szolgáltatásokon, belső szervereken keresztül kerülnek kialakításra, ügyelve arra, hogy ezen adatbázisok áttekinthetőek, pontosak és naprakészek legyenek.

  • Gondoskodni kell arról, hogy a Társaság munkavállalóinak, tagjainak, a Társasággal egyéb munkavégzésre irányuló jogviszonyban álló személyek személyes adatai, a Társaság üzleti tevékenységével összefüggésben kezelt személyes adatok, valamint a könyveléssel, számlázással összefüggésben kezelt személyes adatok egymástól elkülönülő adatbázisokban kerüljenek rendszerezésre.

  • A Társaság munkaeszközein tárolt magánjellegű személyes adatokat a Társaság tevékenységével összefüggésben kezelt személyes adatoktól elkülönülten kell tárolni. Munkáltatói ellenőrzés során a Társaság nevében eljáró személy kizárólag a munkaviszonnyal összefüggő adatokba tekinthet bele. Az ellenőrzést az ellenőrzést elszenvedő személy jelenlétében kell elvégezni, az ellenőrzésről jegyzőkönyvet kell felvenni.

  • A kezelt személyes adatokhoz munkakörüknek megfelelően, feladataik elvégzéséhez szükséges mértékben a Társaság munkavállalói férhetnek hozzá, akik kötelesek gondoskodni arról, hogy az adatkezelés során a személyes adatok jogosulatlan személyekhez ne kerüljenek, kötelesek tartózkodni a személyes adatok bármilyen módon történő jogosulatlan közzétételétől, továbbításától. Személyes adatokhoz a Társaság szerződés partnerei is hozzáférhetnek kötelezettségeik teljesítéséhez szükséges mértékben. E partnerek a Társaság munkavállaóival azonos módon kötelesek eljárni az adatkezelés során.

  • Munkavállalók esetén a Társaság munkakörökre lebontva köteles meghatározni, hogy az adott munkakört betöltő munkavállaló mely személyes adatokhoz jogosult hozzáférni, mely személyes adatokat jogosult kezelni. A Társaság köteles gondoskodni arról, hogy az egyes munkakörökhöz történő hozzáférések mindenkor naprakészek legyenek, és amennyiben valamely személy hozzáférési jogosultsága változik vagy megszűnik, úgy ezen változás haladéktalanul átvezetésre kerüljön a hozzáférési jogosultságokban.

  • A Társaság valamennyi munkafolyamata során köteles úgy eljárni, hogy a minimálisan szükséges személyes adatot kezelje. Az esetleges jogszabályi előírásokon és szerződéskötéshez szükséges adatkezelésen történő túlterjeszkedés esetén fokozottan vizsgálni kell az adatkezelés jogalapját és célját, és az adatkezelés csak abban az esetben engedélyezett, ha az elkerülhetetlenül szükséges.

  • Az adatkezelés során törekedni kell arra, hogy személyes okmányokról, egyéb az érintettel kapcsolatban álló hatósági bizonyítványról, okiratról készült másolatot mint személyes adatot a Társaság csak akkor kezeljen, ha erre jogszabályi előírás kifejezetten lehetőséget ad. Jogszabályi előírás hiánya esetén fénymásolat kezelése helyett az okmány, hatósági bizonyítvány, egyéb okirat megtekintésének tényét szükséges rögzíteni az esetleges megtekintett okiratra vonatkozó megjegyzéssel. Ezen okiratok bármilyen sorszámát, egyéb azonosítóját jogszabályi rendelkezés hiányában kizárólag abban az esetben lehet rögzíteni, ha az a Társaság jogos érdekének érvényesítéséhez feltétlenül szükséges, és a jogos érdekre mint jogalap alkalmazására vonatkozó valamennyi feltétel fennáll.

  • Különleges adat kezelésére csak különösen indokolt esetben kerülhet sor, és ebben az esetben az adatkezelés jogalapját és célját fokozottan vizsgálni szükséges, továbbá törekedni kell arra, hogy a személyes adat kezelése a lehető legrövidebb időtartamban valósuljon meg. Különleges adat kezelése esetén fokozott figyelmet kell arra fordítani, hogy a különleges adathoz való hozzáférés minél szűkebb körben, a feltétlenül szükséges mértékben valósuljon meg.

  • A Társaság által kezelt bármely személyes adat esetén meg kell vizsgálni, hogy jogszabályi rendelkezés az adatkezelés kötelező időtartamát meghatározza-e. Amennyiben igen, úgy ezen személyes adatok kezelésére ezen időtartamban kell végezni. Jogszabályi előírás hiányában a személyes adatok kezelésére elsősorban az érintettel fennálló szerződéses jogviszony fennállása ideje alatt kerülhet sor. Ezen időtartamon túl kizárólag abban az esetben történhet adatkezelés, ha az érintettel szemben igényérvényesítés látszik szükségesnek. Ez esetben az igényérvényesítésre nyitva álló elévülési időn belül vagy az igényérvényesítés körében kezdeményezett hatósági, bírósági, végrehajtási eljárás jogerős lezárultáig kerülhet sor. A Társaságnak törekednie kell arra, hogy az érintettel szembeni igényérvényesítést minél hamarabb kezdeményezze annak érdekében, hogy a személyes adatok kezelésének időtartama minél rövidebb legyen.

· Az adatkezelés biztonsága

  • A Társaság a kezelt személyes adatok biztonságát az alábbi fizikai intézkedésekkel biztosítja:

  • a Társaság minden olyan helyisége, ahol bármilyen formában személyes adatot kezelnek, megfelelő mechanikai védelemmel kerül ellátásra (biztonsági zár, riasztó, zárható szekrények és fiókok),

  • a Társaság minden olyan helyiségeben, ahol személyes adatot kezelnek, olyan személy, aki e személyes adatokhoz hozzáférési jogosultsággal nem rendelkezik, csak felügyelet mellett tartózkodhat,

  • a Társaság tevékenysége során fokozottan ügyel a "clean desk policy" megtartására, azaz a Társaság munkavállalói kötelesek gondoskodni arról, hogy a személyes adatokat tartalmazó, papíralapú okiratokat a velük összefüggő munkafeladatok elvégzését követően haladéktalanul visszahelyezzék azok kijelölt tárolóhelyére,

  • a papíralapon tárolt személyes adatok megsemmisítése során olyan iratmegsemmisítő gépet kell alkalmazni, amely garantálja, hogy a megsemmisített adatok fizikai vagy bárminemű visszaállítása lehetetlen.

  • A Társaság a kezelt személyes adatok biztonságát az alábbi számítástechnikai intézkedésekkel biztosítja:

  • a Társaság tulajdonát képező, a Társaság tevékenysége során használt számítástechnikai eszközök (továbbiakban: számítástechnikai eszközök) jelszavas védelemmel vannak ellátva,

  • a számítástechnikai eszközökön kizárólag jogtiszta, megbízható forrásból származó szoftverek kerülnek telepítésre,

  • a számítástechnikai eszközök vírusvédelemmel vannak ellátva,

  • valamennyi tevékenység során használt szoftverhez, felhőalapú szolgáltatáshoz kapcsolódó, a Társaság kezelésében álló felhasználói fiók jelszavas védelemmel rendelkezik,

  • a Társaság által kezelt elektronikus személyes adatok adathordozóra történő mentése esetén kizárólag olyan adathordozó kerül felhasználásra, amely megfelelő titkosítással, jelszavas védelemmel rendelkezik,

  • a Társaság gondoskodik arról, hogy a számítástechnikai eszközök rendeltetésszerű használatra alkalmasak legyenek, a hibaelhárítást, karbantartást a Társaság a kellő gondosság tanúsítása mellett szervezi meg,

  • a számítástechnikai eszközök selejtezése során a Társaság gondoskodik arról, hogy az azokon tárolt adatok olyan módon kerüljenek törlésre, hogy azok későbbi visszaállítása ne legyen lehetséges. Ez történhet fizikai megsemmisítés vagy olyan szoftver alkalmazása útján, amely megfelelő minősétessel rendelkező adattörlési módszert használ. Az adatok törlésére a Társaság speciálisan ezzel foglalkozó, Társaságon kívüli személynek is adhat megbízást a 3. pontban foglalt eljárás rend alkalmazásával,

  • a Társaság minden olyan számítástechnikai eszközéről, amely személyes adatok kezelésére alkalmasak, köteles pontos leltár vezetni, amelyben rögzítésre kerül az eszköz márkája, típusa, sorozatszáma, az arra való utalás, hogy az eszköz aktív használatban áll-e vagy sem, selejtezésére belátható időn belül sor kerül-e,

  • a munkavállalók részére átadatott olyan eszközökről amelyeket személyes adatok kezelésére alkalmas és amelyeket a munkavállalók jogosultak a Társaság székhelyéről, telephelyeiről, fióktelepéről és/vagy a munkavállaló munkaszerződésben vagy más okiratban, munkáltatói jognyilatkozatban megjelölt munkavégzés helyéről elvinni köteles olyan nyilvántartást vezetni, amely tartalmazza, hogy mely eszköz (márka, típus, sorozatszám pontossággal megjelölve) mely munkavállaló részére (név, lakóhely pontossággal megjelölve) került átadásra. Az átadás-átvételről a munkavállalóval írásbeli jegyzőkönyvet kell felvenni.

· Adatvédelmi incidensek

  • A GDPR. 33. cikkében foglaltakra figyelemmel a társaság nevében eljáró személy az adatvédelmi incidens ismertté válását követően haladéktalanul elvégzi az incidens kockázati szempontú elemzését. Az elemzés eredményéről a társaság vezető tisztségviselőit írásban rövid úton tájékoztatni kell, és a tájékoztatásban az eredménytől függően meg kell tenni az intézkedési javaslatokat.

  • Az elemzésben ismertetni kell az adatvédelmi incidens jellegét, fokozottan vizsgálni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket.

  • Amennyiben az elemzés alapján szükségesnek mutatkozik, a vezető tisztségviselő haladéktalanul megteszi az incidensről szóló bejelentést a GDPR. 33. cikk (3) bekezdésben foglalt tartalommal a Nemzeti Adatvédelmi és Információszabadság Hatóság felé.

  • Ha az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóság felé a Társaság köteles bejelenteni, úgy a bejelentéssel egyidejűleg az érintettet a Társaság az adatvédelmi incidensről tájékoztatja a GDPR. 34. cikk (2) bekezdésben foglalt tartalommal. Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, úgy a Társaság tájékoztatási kötelezettségének akként tesz eleget, hogy a tájékoztatást nyilvánosan elérhető felületein teszi közzé.

  • Az adatvédelmi incidensekről minden esetben nyilvántartás kell vezetni a GDPR. 33. cikk (5) bekezdése szerinti tartalommal.

  • A Társaság munkavállalóit fokozottan terheli azon kötelezettség, hogy a számukra ismertté vált adatvédelmi incidenst legalább közvetlen felettesük részére haladéktalanul és lehetőleg írásban bejelentsék. A bejelentést kapó közvetlen felettes köteles az adatvédelmi incidensről a társaság nevében eljáró személyt vagy a társaság adatvédelmi tisztviselőjét lehetőleg írásban tájékoztatni.

· A munkavállalók képzése

  • A Társaság köteles gondoskodni arról, hogy a munkavállalói részére olyan képzéseket tartson, amely a Társaság munkavállalóit megismerteti az adatvédelmi szabályozás alapjaival (így különösen, de nem kizárólag a személyes adatok és az adatkezelés fogalmával, az adatkezelés jogalapjaival, az adatvédelmi incidens fogalmával), a Társaság adatvédelmi gyakorlatával, az adatkezelés során felmerülő kockázatokkal, továbbá olyan számítástechnikai, informatikai ismeretek nyújt a munkavállalók részére, amelyekkel az adatvédelmi incidensek bekövetkezésének kockázata csökkenthető.

  • A képzések megszervezésébe, tematikájának és tartalmának kidolgozásába, tényleges lebonyolításába a Társaság az adatvédelemmel és/vagy a Társaság adatvédelmi gyakorlatával kapcsolatban megfelelő ismerettel, szaktudással rendelkező harmadik személyeket is jogosult bevonni.

  • A Társaság munkavállalói számára meghirdetett képzéseken való részvétel kötelező. A képzéseket oly módon kell megszervezni, hogy azok a munkavállalók rendes munkaidejébe essenek. A képzéseken való részvételt úgy kell tekinteni, hogy a részvétel időtartama alatt a munkavállaló munkát végez.

  • A képzések történhetnek személyesen és online úton is. Minden esetben a képzéseket oly módon kell megszervezni, hogy a munkavállaló képzésen történő részvétéle igazolható legyen.

  • A képzéseket lehetőleg olyan időközöllel meg kell ismételni, amely biztosítja azt, hogy a munkavállalók a Társaság adatvédelmi gyakorlatában bekövetkező változásokkal naprakész ismeretekkel rendelkezzenek, továbbá megszerezzék azokat az ismereteket is, amelyek az adatkezelés kockázatai, az adatkezelés során alkalmazott számítástechnikai, informatikai megoldásokkal kapcsolatos ismeretek, kockázatok tekintetében a munkavállalók tudásának naprakészségét segítik elő.

  • A képzések megszervezésére gondot kell fordítani arra is, hogy a munkavállalók a rájuk vonatkozó adatkezeléssel összefüggésben szükséges ismereteket, az ezzel kapcsolatos jogosultságaikat megismerjék, azokról átfogó képet nyerjenek.

· Az adatkezelésről szóló tájékoztatás

  • A Társaság köteles gondoskodni arról, hogy a Társaság által végzett valamennyi adatkezelés érintettjei a szükséges tájékoztatásokat megkapják.

  • A Társaság adatvédelmi tájékoztatóiban különösen, de nem kizárólagosan köteles felsorolni azoknak a személyes adatoknak a körét, amelyeket kezel, köteles az adatkezelés célját és annak jogalapját megjelölni, köteles laikus személy számára is érthető tájékoztatást nyújtani az érintettek jogairól, azok érvényesítésének módjáról, az adatkezeléssel kapcsolatos jogorvoslati lehetőségekről, köteles legalább körülírással meghatározni azon harmadik személyeket, akik részére adattovábbítás történik.

  • A Társaság a tájékoztatást az érintettel való tényleges kapcsolatba kerülést követően haladéktalanul köteles az érintett részére megadni, lehetőleg írásban.

  • A Társaság a hatályos adatvédelmi tájékoztatóit köteles honlapján is közzétenni, továbbá köteles az e-mailezéskor használatos e-mail aláírásban is elhelyezni az adatvédelmi tájékoztatókhoz vezető linket.

  • A munkavállalói adatkezelésre vonatkozó tájékoztatást a munkavállaló részére a munkaszerződés aláírásakor meg kell adni az erre vonatkozó adatvédelmi tájékoztató papíralapú átadásával. A tájékoztatás átvételének tényéről írásbeli igazolást kell felvenni.

  • A munkavállalói adatkezelésre vonatkozó tájékoztatást, továbbá a jelen adatvédelmi szabályzatot papíralapon a Társaságnál szokásos módon közölni kell a munkavállalókkal.

· Az adatvédelmi gyakorlat felülvizsgálata

  • A Társaság adatvédelmi gyakorlatát legalább évente köteles felülvizsgálni annak érdekében, hogy biztosítsa a mindenkori adatvédelmi előírásoknak való megfelelését, továbbá az adatkezelés megfelelőségét.

  • A felülvizsgálatban résztvevők személyét, a felülvizsgálat keretében elvégzett munkafolyamatokat, továbbá felülvizsgálat időtartamát, a felülvizsgálat megállapításait írásban dokumentálni szükséges.

  • A felülvizsgálat keretében a hatályban lévő adatvédelmi tájékoztatókat, adatvédelmi szabályzatot, alkalmazott szerződési feltételeket, az adatbázisok naprakészségét, az alkalmazott fizikai és informatikai védelmi intézkedéseket, továbbá minden adatkezeléssel kapcsolatos munkafázist át kell tekinteni.

  • A felülvizsgálatba be kell vonni a Társaságnál működő adatvédelmi tisztviselőt, a szabályzatokat, tájékoztatásokat megalkotó személyeket, az informatikai, és más, személyes adatokat kezelő rendszereket üzemeltető személyeket. A felülvizsgálatba a Társaság megfelelő szakértelemmel rendelkező auditáló szervezetet is jogosult bevonni.

  • A felülvizsgálat során fel kell tárni a fennálló adatvédelmi gyakorlatban rejlő kockázatokat, azokat alacsony-közepes-magas kategóriákba kell sorolni. A kockázati besorolást követően a vizsgálatban résztvevő személyeknek ki kell dolgozniuk – amennyiben szükséges – az adatvédelmi gyakorlat hatékonyság növelő javaslataikat, amelyet a Társaság vezetőségének meg kell küldeni.

  • A Társaság vezetősége a vizsgálatban résztvevők javaslatainak kézhezvételét követő 60 napon belül dönt a szükséges intézkedések megtételéről, amelyeket a döntés meghozatalától számított 3 hónapon belül végre kell hajtani. A végrehajtásra nyitva álló határidő egy alkalommal további 3 hónappal meghosszabbítható.

  • A felülvizsgálatról készült dokumentációt a Társaság jogszabály eltérő rendelkezése hiányában 5 évig köteles megőrizni.

Budapest, 2025.02.02