Adatkezelési tájékoztató, Adatvédelmi és Adatbiztonsági Szabályzat és Adattovábbítási Nyilatkozat

ADATKEZELÉSI TÁJÉKOZTATÓ

Tartalomjegyzék

Az adatkezelési tájékoztató célja
Az adatkezelő adatai

2.1 Adatvédelmi tisztviselő

2.2 A tájékoztató személyi és tárgyi hatálya

2.3 Fogalmak

A kezelt személyes adatok köre

3.1. Technikai adatok

3.2 Cookie-k (Sütik)

3.2.1 A sütik feladata

3.2.2 Feltétlenül szükséges, munkamenet (session) cookie-k

3.2.3. Harmadik fél által elhelyezett cookie-k (analitika)

3.2.4. Az adatkezelő weboldalain szereplő cookie-k listája

4 Általános adatkezelési irányelvek, adatkezelés neve, felhasználása, jogalap és megőrzési idő

4.1 Online megrendeléshez kapcsolódó adatok

4.2 Online ügyintézéshez kapcsolódó adatok

4.3 Telefonos ügyintézéshez kapcsolódó adatok

4.4 Hírlevél / eDM-hez kapcsolódó adatok

4.5 Ügyfél kapcsolati adatok

4.6 Számlázáshoz kapcsolódó adatok

4.7 Regisztráció során megadandó személyes adatok

4.8. Vásárlás során megadandó személyes adatok

4.9. Garanciális ügyintézés

4.10 Fogyasztóvédelmi panaszok kezelése

5 Az adatok fizikai tárolási helyei

6 Adattovábbítás, adatfeldogozás, az adatokat megismerők köre

7 Érintett jogai és jogérvényesítési lehetőségei

7.1 Tájékoztatáshoz való jog

7.2 Az érintett hozzáféréshez való joga

7.3 Helyesbítés joga

7.4 Törléshez való jog

7.5 Az adatkezelés korlátozásához való jog

7.6 Adathordozáshoz való jog

7.7 Tiltakozás joga

7.8 Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

7.9 Visszavonás joga

7.10 Bírósághoz fordulás joga

8 Egyéb rendelkezések

1. AZ ADATKEZELÉSI TÁJÉKOZTATÓ CÉLJA

"VETKER" Kereskedelmi Korlátolt Felelősségü Társaság (Székhely: 7020 Dunaföldvár, Ady Endre utca 5-9.; Cégjegyzékszám: 17-09-002023; Adószám: 11285115-2-17; Európai Egyedi Azonosító: HUOCCSZ.17-09-002023; Statisztikai számjele: 11285115-4646-113-17; Képv.: dr. Varga Péter ügyvezető), a továbbiakban: szolgáltató, adatkezelő mint adatkezelő, magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát.

Kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.

Jelen adatkezelési tájékoztató az alábbi domain-re terjed ki:

www.vetker.hu

Adatkezelő adatkezeléseivel kapcsolatosan felmerülő adatvédelmi irányelvek folyamatosan elérhető az https://vetker.hu/adatvedelmi-tajekoztato oldalon.

Adatkezelő fenntartja magának a jogot jelen tájékoztató bármikori módosítására. A változásokról az érintettek kellő időben tájékoztatásra kerülnek.

Amennyiben kérdése lenne jelen közleményhez kapcsolódóan, kérjük, írja meg és megválaszoljuk kérdését.

Adatkezelő elkötelezett ügyfelei és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. Adatkezelő a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.

Adatkezelő az alábbiakban ismerteti adatkezelési gyakorlatát.

2. Az Adatkezelő Adatai

Amennyiben megkeresné a vállalkozást, az info@vetker.hu, a titkarsag@dunavet.hu, kelemen.dorottya@dunavet.hu email címeken és a 0675/542-940 telefonszám elérhetőségeken léphet kapcsolatba az adatkezelővel.

Név: "VETKER" Kereskedelmi Korlátolt Felelősségü Társaság
Székhely: 7020 Dunaföldvár, Ady Endre utca 5-9.

Adószám: 11285115-2-17

Cégjegyzék szám: 17-09-002023
Telefonszám: 0675/542-940
E-mail: info@vetker.hu

2.1 Adatvédelmi Tisztviselő

Adatkezelő nem végez olyan tevékenységet, mely indokolttá tenné adatvédelmi tisztviselő kijelölését.

2.2       A Tájékoztató Személyi És Tárgyi Hatálya

A tájékoztató tárgyi hatálya kiterjed a jelen Weboldallal, illetve a www.vetker.hu domain nevet (cégnevet) tartalmazó e-mail címekre érkező ajánlatkéréssel, illetve kapcsolatfelvétellel összefüggésben folytatott adatkezelésekben érintett természetes személyekre.

 2.3       FOGALMAK

 személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

 adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

 adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

 harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

 az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

 IP cím: az IP cím olyan számsorozat, mellyel az internetre fellépő felhasználók számítógépei, mobil eszközei egyértelműen azonosíthatók. Az IP címek segítségével akár földrajzilag is lokalizálható az adott számítógépet használó látogató. A meglátogatott oldalak címe, valamint a dátum, időpont adatok önmagukban az érintett azonosítására nem alkalmasak, azonban egyéb (pl. regisztráció során megadott) adatokkal összekapcsolva alkalmasak arra, hogy segítségükkel a felhasználóra vonatkozó következtetéseket lehessen levonni.

3. A Kezelt Személyes Adatok Köre

3.1. Technikai Adatok

Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:

az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
változatlansága igazolható (adatintegritás);
a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.

Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés ellen.

Adatkezelő olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

Adatkezelő az adatkezelés során megőrzi a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét; a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

3.2 Cookie-K (Sütik)

3.2.1 A Sütik Feladata

A sütik információkat gyűjtenek a látogatókról és eszközeikről; megjegyzik a látogatók egyéni beállításait, amelyek felhasználásra kerül(het)nek pl. online tranzakciók igénybevételekor, így nem kell újra begépelni őket; megkönnyítik a weboldal használatát; minőségi felhasználói élményt biztosítanak, továbbá részt vesznek néhány látogatói statisztikai információ gyűjtésében.

A testre szabott kiszolgálás érdekében a felhasználó számítógépén kis adatcsomagot, ún. sütit (cookie) helyez el és a későbbi látogatás során olvas vissza. Ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében.

A sütik egy része nem tartalmaz az egyéni felhasználó azonosításra alkalmas, személyes információkat, egy részük tartalmaz egy titkos, véletlenszerűen generált számsort, melyet a felhasználó eszköze eltárol és a felhasználó azonosíthatóságát biztosítja.

3.2.2 Feltétlenül Szükséges, Munkamenet (Session) Cookie-K

Ezen sütik célja, hogy a látogatók maradéktalanul és zökkenőmentesen böngészhessék a www.vetker.hu weboldalát, használhassák annak funkcióit, és az ott elérhető szolgáltatásokat. Az ilyen típusú sütik érvényességi ideje a munkamenet (böngészés) befejezéséig tart, a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépről, illetve a böngészésre használt más eszközről.

3.2.3. Harmadik Fél Által Elhelyezett Cookie-K (Analitika)

A www.vetker.hu weboldalán alkalmazza a Google Analytics mint harmadik fél sütijeit is. A Google Analytics statisztikai célú szolgáltatás használatával az www.vetker.hu weboldalai információkat gyűjtenek azzal kapcsolatban, hogy a látogatók hogyan használják a weboldalakat. Az adatot a honlap fejlesztésének és a felhasználói élmény javításának céljával használja fel. Ezen sütik szintén lejáratukig a látogató számítógépén vagy böngészésre használt más eszközén, annak böngészőjében maradnak, illetve amíg a látogató nem törli őket.

3.2.4. A Cookie Kezelés Jogalapja

A cookie kezelés jogalapja a weboldal látogatójának hozzájárulása, a vonatkozó Rendelet 6. cikk (1) bekezdés a) pontja alapján.

Amennyiben nem fogadja el a cookie-k használatát, akkor a 3.2.3. pontban felsorolt weboldalak bizonyos funkciói nem lesznek elérhetőek a weboldalak használata során, illetve előfordulhat, hogy bizonyos funkciók hibásan működnek.

A cookie-k törléséről bővebb információt a gyakoribb böngészők tekintetében az alábbi linkeken találhat:

Firefox: Weboldalak által elhelyezett sütik törlése a számítógépről
Chrome: Clear cache & cookies
Safari: Manage cookies and website data in Safari on Mac
Edge: https://support.microsoft.com/hu-hu/topic/cookie-k-t%C3%B6rl%C3%A9se-%C3%A9s-kezel%C3%A9se-168dab11-0753-043d-7c16-ede5947fc64d

4. Általános Adatkezelési Irányelvek, Adatkezelés Neve, Felhasználása, Jogalap És Megőrzési Idő

A "VETKER" Kft., mint adatkezelő felelős az alábbi alapelvek tiszteletben tartásáért, illetve érvényre juttatásáért:

a személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kezeli („jogszerűség, tisztességes eljárás és átláthatóság”);
a személyes adatokat csak meghatározott, egyértelmű és jogszerű célból gyűjti és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
a kezelt személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lennie és a szükséges mértékre kell korlátozódniuk („adattakarékosság”);

gondoskodik róla, hogy a személyes adatok pontosak és szükség esetén naprakészek legyenek, és minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse („pontosság”);
a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
a személyes adatokat oly módon kezeli, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
Adatkezelő tevékenységének adatkezelései önkéntes hozzájáruláson, illetve törvényi felhatalmazáson alapulnak. Az önkéntes hozzájáruláson alapuló adatkezelések esetében az érintettek e hozzájárulásukat az adatkezelés bármely szakában visszavonhatják.
Bizonyos esetekben a megadott adatok egy körének kezelését, tárolását, továbbítását jogszabályok teszik kötelezővé, melyről külön értesítjük ügyfeleinket. Felhívjuk Adatkezelő részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelessége az érintett hozzájárulásának beszerzése. Adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal: 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információ-szabadságról (Infotv.);

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR); 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.); 2000. évi C. törvény – a számvitelről (Számv. tv.); 2017. évi LIII. törvény – a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.); 2013. évi CCXXXVII. törvény – a hitelintézetekről és a pénzügyi vállalkozásokról (Hpt.).
Az adatkezelő adattérképet készített, ennek alapján meghatározásra került a kezelt adatok köre, azok felhasználása, jogalapja és megőrzési ideje.

4.1 Online Rendeléshez Kapcsolódó Adatok

A weboldalon keresztül lehetőség van szolgáltatások megrendelésére, a megrendelés során elkért személyes adatok:

Név (kötelező mező)

Cégnév (kötelező mező)

Email cím (kötelező mező)

Telefonszám (kötelező mező)

Adószám

Praxis engedély

ORFK nyilvántartásba vételi engedély

Kamarai azonosító

Bizonyos szolgáltatások esetében, úgymint weboldal karbantartás, további személyes adatok is átadásra kerülhetnek.

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: Az adatok a megrendelés teljesítésére kerülnek felhasználásra.

Az adatkezelés jogalapja szerződéses megbízás.
Megőrzési idő: üzleti kapcsolat időtartama, vagy törlési kérelem.

4.2 Online Ügyintézéshez Kapcsolódó Adatok

A kapcsolatfelvétel során elkért személyes adatok:

Név (kötelező mező)

Email cím (kötelező mező)

Telefonszám (kötelező mező)

Praxis engedély

ORFK nyilvántartásba vételi engedély

Kamarai azonosító

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: Az adatok kapcsolatfelvétel és a megrendelés teljesítésére kerülnek felhasználásra.

Az adatkezelés jogalapja önkéntes hozzájárulás.
Megőrzési idő: üzleti kapcsolat időtartama, vagy törlési kérelem.

4.3 Telefonos Ügyintézéshez Kapcsolódó Adatok

A kapcsolatfelvétel során elkért személyes adatok:

Név (kötelező mező)

Telefonszám  (kötelező mező)
A kezelt adatok tervezett felhasználása: Az adatok kapcsolatfelvétel és a megrendelés teljesítésére kerülnek felhasználásra.

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: Az adatok kapcsolatfelvétel és a megrendelés teljesítésére kerülnek felhasználásra.

Az adatkezelés jogalapja önkéntes hozzájárulás.
Megőrzési idő: üzleti kapcsolat időtartama, vagy törlési kérelem.

4.5 Ügyfél Kapcsolati Adatok

Az ügyfelek cégvezetőinek és kapcsolattartóinak alábbi személyes adatait és elérhetőségeit tárolom:

Név

Email cím

Telefonszám

Adószám

Praxis engedély

ORFK nyilvántartásba vételi engedély

Kamarai azonosító

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: Az adatok kapcsolatfelvétel és kapcsolattartás céljából kerülnek felhasználásra.

Az adatkezelés jogalapja jogos érdek.
Megőrzési idő: üzleti kapcsolat időtartama, vagy törlési kérelem.

4.6 Regisztráció Során Megadandó Személyes Adatok

A weboldal webshop moduljában regisztrációra van lehetőség, mely megkönnyíti a további szolgáltatás igénybevételt azzal, hogy nem szükséges az adatok ismételt megadása. A regisztráció során kezelt személyes adatok:

Név

Email cím

Cím

Telefonszám

Adószám

Praxis engedély

ORFK nyilvántartásba vételi engedély

Kamarai azonosító

Vásárlási információ (termék, időpont stb.)

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: számlázás.

Az adatkezelés jogalapja önkéntes hozzájárulás.

Megőrzési idő: visszavonásig.

4.7. Vásárlás Során Megadandó Személyes Adatok

Amennyiben a webshop modulban rendelést szeretne leadni, úgy a vásárlás során az adatkezelés és az adatok megadása a szerződés teljesítéséhez nélkülözhetetlen.

Név

Email cím

Cím

Telefonszám

Adószám

Praxis engedély

ORFK nyilvántartásba vételi engedély

Kamarai azonosító

Vásárlási információ (termék, időpont stb.)

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: szerződéses megbízás teljesítés.

Az adatkezelés jogalapja szerződéses megbízás.

Megőrzési idő: jogszabályi előírás alapján tárgyév + 5 év

4.8 Számlázáshoz Kapcsolódó Adatok

Adatkezelő ügyfeleivel a megrendelt szolgáltatásokról szerződést köt, melynek során az alábbi adatokat tárolja:

Név

Email cím

Cím

Adószám

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: számlázás.

Az adatkezelés jogalapja: jogszabályi előírás.

Megőrzési idő: jogszabályi előírás alapján tárgyév + 5 év

4.9. Garanciális Ügyintézés

Amennyiben garanciális ügyintézést kezdeményez, az adatkezelés és az adatok megadása az ügyintézéshez nélkülözhetetlen.

Név

Email cím

Telefonszám

Panasz

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: garanciális ügyintézés.

Az adatkezelés jogalapja önkéntes hozzájárulás.

Megőrzési idő: fogyasztóvédelemről szóló törvény alapján tárgyév + 5 év

4.10 Fogyasztóvédelmi Panaszok Kezelése

Amennyiben fogyasztóvédelmi panaszt nyújt be, az adatkezelés és az adatok megadása az ügyintézéshez nélkülözhetetlen.

Név

Email cím

Telefonszám

Panasz

Az adatkezelés célja, a kezelt adatok tervezett felhasználása: fogyasztóvédelmi panasz ügyintézés.

Az adatkezelés jogalapja önkéntes hozzájárulás.

Megőrzési idő: fogyasztóvédelemről szóló törvény alapján tárgyév + 5 év

5. Az Adatok Fizikai Tárolási Helyei

Személyes adatai (vagyis azok az adatok, amelyek az Ön személyével kapcsolatba hozhatók) a következő módon kerülhetnek a kezelésünkbe:

egyfelől az internetes kapcsolat fenntartásával összefüggésben az Ön által használt számítógéppel, böngészőprogrammal, internetes címmel, a látogatott oldalakkal kapcsolatos technikai adatok automatikusan képződnek számítógépes rendszerünkben,

másfelől Ön is megadhatja nevét, elérhetőségét vagy más adatait, ha a honlap használata során személyes kapcsolatba kíván lépni velünk. A rendszer működtetése során technikailag rögzítésre kerülő adatok: az érintett bejelentkező számítógépének azon adatai, melyeket a www.vetker.hu domain rendszerei a technikai folyamatok automatikus eredményeként rögzít.

Az automatikusan rögzítésre kerülő adatot a rendszer az érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza.

Ezen adat egyéb személyes felhasználói adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolható. Az adathoz kizárólag a www.vetker.hu domain férnek hozzá.

6. Adattovábbítás, Adatfeldogozás, Az Adatokat Megismerők Köre

Adatkezelő vállalkozási tevékenysége keretében az alábbi adatfaldolgozókat veszi igénybe:

Tárhelyszolgáltatás:
SigmaNET Kft.
Cím: Budapest, Victor Hugo u. 18-22, 1132

Ügyfélszolgálat (munkanap 9-17): +3620 388-7038, +3620 553-2217
E-mail: info@sigmanet.hu
Megismert adatok köre: www.vetker.hu található weboldal tartalma, ezen domain-re alapuló email címekre érkező emailek.

Számlázás/ Könyvelés:
Dunavet-B Zrt.

Cím: 7020, Dunaföldvár Ady Endre utca 5-9.
Email: risko.cynthia@dunavet.hu
Tel: 0675/542-955
Megismert adatok köre: kiállított számlák

Google Analytics:
Google Inc., Mountain View, California, USA
Megismert adatok köre: a www.vetker.hu látogatóinak – anonimizált, személyhez nem köthető – IP címe.

Facebook oldal:
Facebook Inc.
Menlo Park, California, USA
Adatkezelési tájékoztató: https://www.facebook.com/about/privacy/update
Megismert adatok köre: felhasználónév, hozzászólás.

7. Érintett Jogai És Jogérvényesítési Lehetőségei

Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél jelzett módon, illetve az adatkezelő fenti elérhetőségein.

7.1 Tájékoztatáshoz Való Jog

Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.

7.2 Az Érintett Hozzáféréshez Való Joga

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

az adatkezelés céljai;

az érintett személyes adatok kategóriái;
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
a személyes adatok tárolásának tervezett időtartama;
a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga;
a felügyeleti hatósághoz címzett panasz benyújtásának joga;

az adatforrásokra vonatkozó információ;
az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Az adatkezelő a kérelem benyújtásától számított legfeljebb egy hónapon belül adja meg a tájékoztatást.

7.3 Helyesbítés Joga

Az érintett kérheti Adatkezelő által kezelt, rá vonatkozó pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.

7.4 Törléshez Való Jog („Elfelejttetéshez Való Jog”)

Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat: személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre; a személyes adatokat jogellenesen kezelték; a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges: a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából; a népegészség-ügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján; vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

7.5 Az Adatkezelés Korlátozásához Való Jog

Az érintett kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül: az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését; az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

7.6 Adathordozáshoz Való Jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa.

7.7 Tiltakozás Joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

7.8 Automatizált Döntéshozatal Egyedi Ügyekben, Beleértve A Profilalkotást

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

7.9 Visszavonás Joga

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja.

7.10 Bírósághoz Fordulás Joga

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. 8.11 Adatvédelmi hatósági eljárás Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C. Levelezési cím: 1530 Budapest, Pf.: 5. Telefon: 0613911400 Fax: 0613911410

E-mail: ugyfelszolgalat@naih.hu Honlap: http://www.naih.hu

8. Egyéb Rendelkezések

E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást. Tájékoztatjuk ügyfeleinket, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt. Adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

Adatvédelmi és Adatbiztonsági Szabályzat

A "VETKER" Kereskedelmi Korlátolt Felelősségű Társaság (Székhely: 7020 Dunaföldvár, Ady Endre utca 5-9.; Cégjegyzékszám: 17-09-002023; Adószám: 11285115-2-17; Európai Egyedi Azonosító: HUOCCSZ.17-09-002023; Statisztikai számjele: 11285115-4646-113-17; Képv.: dr. Varga Péter ügyvezető) (továbbiakban „Adatkezelő”) az Európai Parlament és a Tanács (EU) 2016/679 Rendeletében (Általános Adatvédelmi Rendelet, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben foglalt adatkezelési elvek, az információs önrendelkezési jog érvényesülése, valamint az adatbiztonság követelményének való megfelelés érdekében, az Adatkezelőnél zajló adatkezelésekre vonatkozóan, az Adatkezelő munkavállalóira kötelező érvényű belső szervezeti és eljárási szabályok megalkotása és technikai intézkedések megvalósítása céljából a jelen Adatvédelmi és Adatbiztonsági Szabályzatot fogadták el („Szabályzat”).

1. BEVEZETŐ RENDELKEZÉSEK

1. A Szabályzat célja és hatálya

1.1. A Szabályzat célja, hogy meghatározza az Adatkezelőnél zajló adatkezelések törvényes kereteit, biztosítsa a személyes adatok kezelésére vonatkozó alapelvek és az információs önrendelkezési jog érvényesülését, elősegítse a kockázat mértékének megfelelő szintű adatbiztonságot, továbbá megakadályozza a jogosulatlan adatkezelést.

1.2. A fenti célok elérése érdekében a jelen Szabályzat meghatározza az adatvédelem és adatbiztonság szempontjából belső szervezeti és eljárási szabályokat, feladatokat és felelősségi viszonyokat.

1.3. A Szabályzat hatálya kiterjed a Kft. vállalkozáscsoport tagjaira.

1.4. A Szabályzat hatálya kiterjed az Adatkezelő egyes szervezeti egységei közötti, illetve az Adatkezelő által igénybevett adatfeldolgozók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelőkkel való személyes adatokat érintő kommunikációra.

1.5. A Szabályzat hatálya kiterjed az Adatkezelő székhelyén folyó valamennyi adatkezelésre és adattovábbításra, valamint az adatkezelés, adattovábbítás tárgyát képező adat üzleti titokként történő kezelésével és védelmével kapcsolatos tevékenységekre.

1.6. A Szabályzat személyi hatálya kiterjed az Adatkezelő valamennyi szervezeti egységére, minden munkavállalójára, valamint az Adatkezelővel szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyekre.

1.7. A Szabályzat tárgyi hatálya kiterjed az Adatkezelő szervezeti egységei, munkavállalói által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

2. Jogszabályi háttér

A Szabályzat jogszabályi hátterét a következő törvények, rendeletek jelentik:

Magyarország Alaptörvénye;

2013. évi V. törvény a Polgári Törvénykönyvről („Ptk.”);
2012. évi I. törvény a munka törvénykönyvéről („Mt.”);
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról („Infotv.”);
az Európai Parlament és a Tanács (EU) 2016/679 Rendeletében (Általános Adatvédelmi Rendelet, „GDPR”),

2. ADATVÉDELEM

1. A személyes adatok kezelésére vonatkozó alapelvek

1.1. Jogszerűség

Az Adatkezelőnek a személyes adatok felvételét és kezelését jogszerű módon kell végezni.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a GDPR 6. cikk (1) bekezdésében meghatározott alábbi jogalapok legalább egyike teljesül:

az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Ha az adatkezelés hozzájáruláson alapul, az érintett hozzájárulásának önkéntesnek, határozottnak, és megfelelő tájékoztatáson alapulónak kell lennie.

A hozzájárulás akkor önkéntes, ha az érintett szabadon dönthet arról, hogy az adatkezeléshez megadja-e a hozzájárulását vagy sem. A szerződés teljesítésének (szolgáltatások nyújtásának) feltételéül nem szabható olyan személyes adatok kezeléséhez való hozzájárulás megadása, amelyek a szerződés teljesítéséhez (szolgáltatás nyújtásához) nem szükségesek.

A hozzájárulás akkor határozott, hogy az érintett egyértelmű, aktív, tevőleges magatartással kinyilvánítja, hogy az adatkezeléshez hozzájárulását adja.

Az érintett az adatkezeléshez való hozzájárulását kizárólag részletes előzetes tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.

Az érintett hozzájárulását megadhatja írásban, elektronikus úton és ráutaló magatartással is, azonban az Adatkezelőnek mindenkor képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Az Adatkezelőnek – figyelembe véve az elérhető technológiát – minden észszerű erőfeszítést meg kell tennie, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

1.2. Tisztességes és átlátható adatkezelés

Az Adatkezelőnek a személyes adatok kezelését tisztességes és átlátható módon kell végeznie.

Ennek érdekében az érintettet tájékoztatni kell az adatai kezelésével kapcsolatos minden információról, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő melyik jogalapon kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell az érintett számára nyújtani.

1.3. Célhoz kötöttség

Az Adatkezelő személyes adatot kizárólag meghatározott, egyértelmű és jogszerű célból gyűjthet, és azokat nem kezelheti e célokkal össze nem egyeztethető módon.

Az adatkezelés célja csak társadalmilag indokolt, jog gyakorlása vagy kötelezettség teljesítése lehet. Az adatkezelésnek minden szakaszában, így például az adattovábbítás esetén is meg kell felelnie az adatkezelés céljának.

Az adatkezelés célját előre meg kell határozni és közölni az érintettel, aki ily módon megfelelően gyakorolhatja információs önrendelkezési jogát.

Amennyiben az adatkezelés célja teljesült, akkor a kezelt személyes adatokat törölni kell.

1.4. Adattakarékosság

Az Adatkezelő által végzett adatkezeléseknek a szükséges mértékűre kell korlátozódnia, vagyis az adatkezelés céljára tekintettel csupán a legszűkebb körű személyes adatok kezelésére kerülhet sor, amelyek az adatkezelés céljának megvalósulásához elengedhetetlenek, és e cél elérésére alkalmasak, megfelelőek és relevánsak.

Az Adatkezelő nem gyűjthet személyes adatokat „készletezésre”, azaz olyan adatok felvételére nem kerüljön sor, amelyeknél az adatkezelés célja csak a későbbiekben kerülne meghatározásra.

1.5. Pontosság

Az Adatkezelő pontosan és naprakészen köteles a személyes adatokat kezelni, és minden észszerű intézkedést meg kell tennie annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.

1.6. Korlátozott tárolhatóság

Az Adatkezelő a személyes adatokat kizárólag az adatkezelés céljainak eléréséhez szükséges ideig tárolja, illetve az érintettek azonosítását legfeljebb eddig teszi lehetővé.

1.7. Integritás és bizalmas jelleg megőrzése

Az Adatkezelő megfelelő technikai és szervezési intézkedések alkalmazásával köteles biztosítani a személyes adatok megfelelő biztonságát, ideérve különösen a jogosulatlan hozzáféréssel, az adatok jogellenes megváltoztatásával, továbbításával, nyilvánosságra hozatalával, törlésével vagy megsemmisítésével, valamint a véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmét.

1.8. Elszámoltathatóság

Az Adatkezelő felelős a fentebb meghatározott alapelveknek való megfelelésért, és az Adatkezelőnek képesnek kell lennie e megfelelés igazolására.

1.9. Az érintett jogainak érvényesülése

Az Adatkezelőnek hozzáférést kell biztosítania az érintett számára a kezelt személyes adataihoz. Az érintett kérheti adatai helyesbítését, adatai átadását vagy másik szolgáltatónak történő továbbítását, valamint – a GDPR 17. cik (1) bekezdésében meghatározott esetekben – a személyes adatai törlését, továbbá tiltakozhat személyes adatai kezelése ellen.

2. Az adatvédelmi tisztviselő

2.1. Adatkezelő nem végez olyan tevékenységet, mely indokolttá tenné adatvédelmi tisztviselő kijelölését.

2.2. Az adatvédelmi tisztviselő feladatai különösen a következők:

tájékoztatást és szakmai tanácsot ad az Adatkezelő ügyvezetője és alkalmazottai részére a GDPR, valamint az egyéb adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
ellenőrzi a GDPR, valamint az egyéb adatvédelmi rendelkezéseknek, továbbá a jelen Szabályzatnak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
ellenőrzi a jelen Szabályzat betartását;

évente felülvizsgálja a jelen Szabályzatot, és szükség esetén az Adatkezelő ügyvezetőjénél a módosítását kezdeményezi;
szakmai segítséget nyújt az Adatkezelő ügyvezetőjének az adatok biztonságához szükséges szervezési intézkedések meghozatalában, eljárási szabályok kialakításában;
felelős a személyes adatokkal összefüggő feladatok végrehajtásáért;
fogadja és kivizsgálja a bejelentéseket, és intézkedéseket kezdeményez az Adatkezelő ügyvezetőjénél;
vezeti a belső adatkezelési nyilvántartást;

vezeti az adatvédelmi incidensek nyilvántartását;
összeállítja és az érintettek rendelkezésére bocsátja az adatkezelési tájékoztatókat;
oktatást tart az adatvédelmi ismeretekről;
beszámol az Adatkezelő ügyvezetője részére az adatvédelemmel és adatbiztonsággal összefüggő témákban;
külső és belső adatvédelmi ellenőrzések megállapításait értékeli, és szükség esetén intézkedéseket kezdeményez az Adatkezelő ügyvezetőjénél;

bejelenti az adatvédelmi incidenseket a felügyeleti hatóságnak;
együttműködik a felügyeleti hatósággal; és
az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

2.3. Az Adatkezelő ügyvezetője biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódhasson.

2.4. Az Adatkezelő ügyvezetője támogatja az adatvédelmi tisztviselőt fentebb említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

2.5. Az Adatkezelő ügyvezetője biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el.

2.6. Az Adatkezelő ügyvezetője az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja.

2.7. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő ügyvezetőjének tartozik felelősséggel.

2.8. Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

2.9. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség és az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

2.10. Az adatvédelmi tisztviselő más feladatokat is elláthat, azonban az Adatkezelő ügyvezetője köteles biztosítani, hogy e feladatokból ne fakadjon összeférhetetlenség.

3. Belső adatvédelmi nyilvántartások

3.1. Az adatvédelmi tisztviselő az Adatkezelő. által végzett adatkezelési műveletekről, társaságonként külön-külön az alábbi belső nyilvántartásokat köteles írásban vagy elektronikus formátumban vezetni, és megkeresés esetén a felügyeleti hatóság rendelkezésére bocsátani.

3.2. Adatkezelési nyilvántartás

Az adatkezelési nyilvántartás az Adatkezelő által saját felelősségi körébe tartozóan végzett egyes személyes adatkezelések nyilvántartása. A nyilvántartásban haladéktalanul rögzíteni kell az egyes szervezeti egységek által bevezetett összes meglévő és új adatkezeléseket, valamint a korábbi adatkezelések változásait. A nyilvántartás a következő információkat tartalmazza:

az adatkezelő neve és elérhetősége,

közös adatkezelő neve és elérhetősége,
az adatvédelmi tisztviselő neve és elérhetősége;
az adatkezelés céljai;
az érintettek kategóriái
személyes adatok kategóriái;

címzettek kategóriái;
bevont adatfeldolgozók;
érintett IT rendszerek;
a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk,
az adatok törlésére előirányzott határidők;

az adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása

3.3. Adatfeldolgozási nyilvántartás

Az adatfeldolgozási nyilvántartás az Adatkezelő által más adatkezelő megbízásából adatfeldolgozóként végzett adatkezelési műveletek nyilvántartása. A nyilvántartás a következő információkat tartalmazza:

adatkezelő neve és elérhetőségei, akinek a nevében az adatfeldolgozó eljár,
az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
az érintettek kategóriái
személyes adatok kategóriái;

címzettek kategóriái;
bevont adatfeldolgozók;
érintett IT rendszerek;
a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása,
az adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása.

3.4. Adattovábbítási nyilvántartás

Az adatvédelmi tisztviselő a kezelt személyes adat harmadik fél részére történő továbbításáról nyilvántartást vezet, amely tartalmazza:

az adattovábbítás célját, jogalapját, időpontját;
az adatigénylő harmadik fél és az érintett azonosításához szükséges adatokat;
a továbbított adatfajták megnevezését.

Az adattovábbítási nyilvántartásba betekinthet, abból adatot igényelhet:

a Nemzeti Adatvédelmi és Információszabadság Hatóság („Adatvédelmi Hatóság”), a bíróság, nyomozó hatóság, a nemzetbiztonsági szerv, törvényben meghatározott feladatai ellátásához;
az Adatkezelő ügyvezetője, vagy az általa meghatalmazott személy, továbbá az adatvédelmi tisztviselő;
saját adatai tekintetében az érintett, ha a tájékoztatás jogát törvény nem zárja ki.

Az adattovábbítási nyilvántartásba való betekintést, az abból történő adattovábbítást szintén dokumentálni kell.

Az adattovábbítási nyilvántartást és a betekintési nyilvántartást 5 évig, különleges adat továbbítása esetében 20 évig kell visszakereshető módon megőrizni.

3.5. Adatvédelmi incidensek nyilvántartása

Az adatvédelmi tisztviselő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. A nyilvántartás a következő információkat tartalmazza:

az adatvédelmi incidens bekövetkezésének időpontja,
a tudomásszerzés időpontja;

az adatvédelmi incidens jellege;
az érintettek kategóriái és hozzávetőleges száma;
az incidenssel érintett adatok kategóriái és hozzávetőleges száma;
az adatvédelmi incidensből eredő, valószínűsíthető következmények;
az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések.

3.6. Adatkezelési tájékoztatók nyilvántartása

Az adatvédelmi tisztviselő köteles az Adatkezelő által végzett adatkezelési tevékenységekre vonatkozó részletes információkat tartalmazó adatkezelési tájékoztatók szövegét összeállítani, és megfelelően gondoskodni arról, hogy a személyes adatok megszerzésének időpontjában - vagy a GDPR által meghatározott későbbi időpontban – a tájékoztatók az érintettek rendelkezésére álljanak.

Az adatkezelési tájékoztatók a belső adatvédelmi nyilvántartások részét képezik, megőrzésükről az adatvédelmi tisztviselő gondoskodik.

4. Az adatok tárolása

4.1. A kezelt személyes adatokat úgy kell tárolni, hogy azokhoz illetéktelen személyek – ideértve azon munkavállalókat is, akik munkakörüknél fogva nem jogosultak ezen adatok megismerésére, kezelésére – ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával.

4.2. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

5. Az adatok felhasználása

5.1. A kezelt személyes adatok kizárólag a GDPR és az Infotv. vagy más jogszabályok rendelkezéseinek megfelelően, illetve az aktuális adatkezelési tájékoztatóban meghatározott célokra használhatók fel.

5.2. Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, felhasználók betanítására, illetve oktatási célra valós személyi adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) tesztkörnyezetekben gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált adatok közötti kapcsolat technikai úton ne legyen visszaállítható.

5.3. A kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha ahhoz az érintett előzetesen kifejezetten hozzájárulását adta.

5.4. Az előző pontban foglalt tilalom nem érinti az Adatkezelőről szóló statisztikai adatokat, melyek korlátozás nélkül nyilvánosságra hozhatók.

6. Az adatok feldolgozása

6.1. A kezelt személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.

6.2. Az Adatkezelő más adatkezelő kezelésében lévő személyes adatokon – amennyiben e tevékenysége során érdemi döntési jogkörrel nem rendelkezik – adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.

6.3. Az Adatkezelő köteles az érintetteket tájékoztatni – lehetőleg már az adatfelvételkor – az igénybe vett adatfeldolgozók személyéről.

6.4. Az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak GDPR követelményeinek való megfelelésre és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

6.5. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. A szerződésnek a következő elemeket kell tartalmaznia:

az adatkezelő és az adatfeldolgozó megnevezését;

az adatfeldolgozási tevékenység megnevezését;
az átadandó személyes adatok körét;
automatizált adatfeldolgozás esetén az alkalmazott módszert és lényegét;
az adatkezelő szavatosságvállalását az átadott személyes adatok jogszerű kezeléséért;
az adatfeldolgozó nyilatkozatát, hogy kizárólag az adatkezelő írásbeli utasításai alapján végzi az adatok feldolgozását;

az adatfeldolgozónak a saját és a szerződésben foglaltaktól eltérő célú adatfelhasználásának tilalmát;
az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
az adatfeldolgozó vállalja, hogy meghozza a kockázat mértékének megfelelő szintű adatbiztonságot garantáló technikai és szervezési intézkedéseket,
azt az előírást, hogy az adatfeldolgozó tevékenysége ellátása során az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe;
az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

segíti az adatkezelőt az adatbiztonsággal kapcsolatos kötelezettségei teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is;
mindezekért való anyagi felelősségvállalást.

6.6. Az adatfeldolgozó részére csak olyan személyes adatok adhatók át, amelyek szerepelnek az adatfeldolgozói szerződésben, és a konkrét adatkezelésre vonatkozó adatkezelési tájékoztatóban.

6.7. Az adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az adatfeldolgozó a birtokában lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az adatfeldolgozónak nyilatkoznia kell.

7. Adattovábbítás, hatósági adatszolgáltatás

7.1. Személyes adatot Magyarországon belül, illetve EU/EGT tagállamba továbbítani kizárólag a jelen Szabályzat II. fejezetének 1.1. pontjában meghatározott valamely jogalap alapján lehet.

7.2. AZ EU/EGT tagállamba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.

7.3. Az EU/EGT tagállamon kívüli országban lévő harmadik személy vagy nemzetközi szervezet részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha az megfelel a GDPR 44. cikkében foglalt rendelkezéseknek, vagyis ahhoz az érintett kifejezetten hozzájárult, vagy az adatkezelés jogalapja a jelen Szabályzat II. fejezetének 1.1. pontjában meghatározott egyéb jogalapon biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.

A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha az Európai Unió kötelező jogi aktusa azt megállapítja, vagy a harmadik ország vagy nemzetközi szervezet és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban.

7.4. Amennyiben valamely hatóságtól adatszolgáltatási kérelem érkezik, az adatszolgáltatás teljesítésére jogosult személy a következő eljárást köteles alkalmazni:

8. A személyes adatok törlése, korlátozása, zárolása, helyesbítése

8.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, illetve manuális nyilvántartás esetén megsemmisítse, ha az alábbi indokok valamelyike fennáll:

a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, d) a személyes adatokat jogellenesen kezelték;
a személyes adatokat az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;

a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások gyermekeknek kínálásával kapcsolatosan került sor;
ha az adatkezelésre a tájékoztatóban, illetve jogszabályban előírt határidő eltelt, vagy
az Adatvédelmi Hatóság vagy bíróság jogerős határozattal elrendelte.

8.2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

8.3. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.4. Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

8.5. Törlés helyett zárolni kell az adatot, ha az érintett ezt kéri, vagy ha a törlés sértené az érintett jogos érdekeit. Amennyiben az adatkezelés célja megszűnt, a zárolt adat törlendő. A zárolást oly módon kell megvalósítani, hogy az adatkezelést egyébként munkaköri kötelezettségeként végző személy, illetve az ugyanezen célból hozzáféréssel rendelkező személy ne férhessen hozzá a zárolt személyes adatokhoz. A zárolt személyes adatokhoz kizárólag az adatok technikai tárolását végző személy férhessen hozzá, a zárolás feloldása vagy a zárolt adat törlése céljából.

8.6. Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén – a rendelkezésre álló dokumentumok vagy közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően – az Adatkezelő a hibás adatot helyesbíti.

8.7. Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja miatt nem lehetséges, akkor az adatot megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen zárolni kell.

8.8. Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve - amennyiben a hibás adatot az Adatkezelő kijavította - a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatási kötelezettség az adatok zárolása és törlése esetén is fennáll.

8.9. A tájékoztatás mellőzhető, ha ez az adat jellegére, az adatkezelés céljára, az időmúlásra, illetve az adatkezeléssel összefüggő más körülményeire tekintettel az érintett, illetve a korábbi adattovábbítás címzettjének jogos érdekét nem sérti.

8.10. Az érintett e fejezetben tárgyalt jogainak gyakorlása esetén az Adatkezelő 25 napon belül köteles az ügyet elintézni.

8.11. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani.

8.12. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.

9. Az érintett hozzáférési joga

9.1. Az érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, valamint azokba betekintést nyerhet, a személyes adatokhoz hozzáférést kapjon. E jogát oly módon kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg.

9.2. Az érintett kérelmére az Adatkezelő – az adatvédelmi tisztviselő véleményének kikérését követően – tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. Az érintett rá vonatkozó kivonatot kaphat a jelen Szabályzat II. fejezetének 3.4. pontjában ismertetett Adattovábbítási nyilvántartásból.

9.3. Amennyiben az érintett a rá vonatkozó, vele kapcsolatos, az ő személyes adatait tartalmazó bármilyen formátumú adathordozón tárolt adatokról kér másolatot, úgy ezt az érintett hozzáférési jogának gyakorlásaként kell értékelni, és az adatairól a másolatot számára ki kell adni.

9.4. A tájékoztatást (a másolat kiadását) a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 25 napon belül, közérthető formában kell teljesíteni. Amennyiben az érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.

9.5. A tájékoztatás megadása, a másolat készítése, és ezek továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben reális mértékű költségtérítés kérhető.

9.6. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:

az érintett nem a saját adataira vonatkozóan kér tájékoztatást;
a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel érintett személy;
amennyiben törvény a tájékoztatást kizárja;
ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az érintett tájékoztatási jogának korlátozását.

9.7. A felvilágosítás megtagadása esetén tájékoztatni kell az érintettet a bírósághoz és az Adatvédelmi Hatósághoz fordulás jogáról.

10. Tiltakozás a személyes adatok kezelése ellen

10.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő vagy egy harmadik fél jogos érdekein alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

10.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

10.3. Az érintett tiltakozását szóban, írásban és elektronikus úton is kifejezheti.

10.4. A tiltakozási kérelmet haladéktalanul, de legfeljebb 30 napon belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt írásban vagy elektronikus úton tájékoztatja.

10.5. Ha az Adatkezelő egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, az adatokat zárolja, és a tiltakozásról, illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította, és egyben intézkedésre kötelesek a tiltakozási jog érvényesítése érdekében.

11. Az adatkezelési folyamatok megváltozása, új adatkezelések bevezetése

11.1. Adatkezelő az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően köteles a kijelölt adatvédelmi tisztviselőhöz fordulni a változtatás, illetve az új adatkezelés jogszerűségének, megfelelőségének, célszerűségének és hatékonyságának vizsgálata tárgyában. Az adatvédelmi tisztviselő véleményezési jogkörrel vesz részt a folyamatban.

11.2. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően szükséges azok jelen Szabályzatnak való megfelelőségét vizsgálni és azok csak abban az esetben vezethetők át a gyakorlatba, ha nem ütköznek jelen Szabályzat előírásaiba.

11.3. Az adatkezelési folyamatok megváltoztatása esetén vizsgálni kell, hogy az eredeti adatkezelés keretein belüli-e a változás, vagy egy más, új adatkezelés jön létre általa.

11.4. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az alábbiakat kell megvizsgálni:

az adatkezelés célját,

az adatkezelés jogalapját,
az érintettek körét,
az érintettekre vonatkozó adatok leírását,
az adatok forrását,
az adatok kezelésének időtartamát,

a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
az alkalmazott adatfeldolgozási technológia jellegét.

11.5. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően meg kell határozni az azzal érintettek körét és el kell végezni a szükséges dokumentummódosításokat.

11.6. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az igénybe venni kívánt adatfeldolgozókkal adatfeldolgozói szerződést kell kötnie az Adatkezelőnek.

11.7. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően a megváltozott vagy az új adatkezelést be kell vezetni az adatkezelési nyilvántartásba.

12. Felelősség az adatvédelmi szabályok betartásáért

12.1. Az ügyvezető, valamint a társaságoknál működő egyes szervezeti egységek vezetője:

felelős az irányítása alá tartozó társaság vagy szervezeti egység adatkezeléseinek jogszabályoknak és jelen Szabályzatnak való megfelelőségéért;

felelős azért, hogy az általa vezetett szervezeti egység adatkezelései során a jelen Szabályzatban foglalt adatbiztonsági előírások maradéktalanul teljesüljenek;
ellenőrzi az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseink betartását;
az adatvédelmi tisztviselő segítségét kéri, amennyiben a személyes adatok, üzleti titkok, közérdekű adatok kezelésével összefüggésben kérdésük merül fel;
együttműködnek az adatvédelmi tisztviselővel az adatvédelemmel kapcsolatos szabályok érvényesülése érdekében;
biztosítja, hogy beosztottjai az adatvédelmi tisztviselő által szervezett, illetve tartott adatvédelemmel kapcsolatos képzéseken részt vehessenek.

12.2. Amennyiben valamelyik társaság vagy szervezeti egység új adatkezelési tevékenységet kíván elhatározni, vagy a meglévőt kívánja módosítani vagy megszüntetni, úgy a szervezeti egység vezetője az adatvédelmi jogszabályoknak való megfelelőséget vizsgáló konzultáció, és az adatkezelési nyilvántartásba való bevezetés vagy törlés céljából értesíti az adatvédelmi tisztviselőt.

12.3. Az Adatkezelő munkaszervezetén belül adatkezelést végző munkavállaló a munkakörén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért.

12.4. Az Adatkezelő munkaszervezetébe tartozó minden munkavállaló személyes felelősséggel tartozik a jelen Szabályzatban foglalt adatvédelmi és adatbiztonsági előírások betartásáért.

12.5. Az adatkezelést végző munkavállaló a munkakörébe tartozó feladatok ellátása során köteles:

a feladata ellátása során birtokába kerülő személyes adatokat megőrizni;

az adatokat kizárólag a jogszabályi rendelkezéseknek, a jelen Szabályzatban foglaltaknak megfelelően, az Adatkezelő utasításai szerint kezelni;
ügyelni a személyes adatokat biztonságos tárolására;
gondoskodni arról, hogy az általa kezelt adatokhoz jogosulatlan személy ne férhessen hozzá;
betartani az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
részt venni az adatkezeléssel, adatvédelemmel összefüggő oktatásokon;

haladéktalanul jelezni vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy az adatvédelmi tisztviselő segítségére szorul;

13. Adatvédelmi oktatásban való részvétel

Az adatvédelem személyi feltételeinek kialakítása érdekében a szervezeti rendszer minden tagját, aki munkaköri feladatai ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni. Az oktatás megszervezése az adatvédelmi tisztviselő feladata.

14. Titoktartási kötelezettség

14.1 Az Adatkezelő közvetlen irányítása alatt álló, a személyes adatok megismerésére jogosult személyek kötelesek a tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni.

14.2. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön belül, a személyes adatok és üzleti titok védelmére vonatkozó jogszabályi rendelkezéseknek megfelelően, a jelen Szabályzatban foglalt előírások betartásával, az Adatkezelő utasításai szerint jogosultak a személyes adatokat kezelni.

14.3. A munkavállalók a személyes adatok megismerésére való jogosultságuk megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – a személyes adatot és az üzleti titkot tartalmazó minden náluk lévő adathordozót kötelesek az Adatkezelőnek haladéktalanul átadni.

14.4. Minden személyes adatot, üzleti titkot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles írásban feltétlen titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen Szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének mind büntetőjogi, mind polgári jogi következményeivel tisztában van.

15. Jelentéstételi kötelezettség

15.1. Az Adatkezelő valamennyi munkavállalója munkavégzése során köteles saját szakterületén jelen Szabályzat rendelkezéseinek, előírásainak érvényt szerezni.

15.2. Valamennyi munkavállaló kötelezettsége annak bejelentése, ha a Szabályzat megkerüléséről vagy megsértéséről szerez tudomást, vagy ennek gyanúja merül fel. Bejelentés elsődlegesen a szokásos bejelentési csatornákon teendő, vagyis a közvetlen munkahelyi felettes vezető, a szervezeti egység szerinti felsővezető, vagy az adatvédelmi tisztviselő megkeresésével.

16. A Munkáltató által rendelkezésre bocsátott informatikai eszközök magáncélú használatának kizárása

Az Adatkezelő által a munkavállaló rendelkezésére bocsátott informatikai eszközöket, így különösen a céges email fiókot (leggyakrabban név@cégnév.hu felépítésű e-mail címeket), számítógépet, laptopot, mobiltelefont a munkavállaló kizárólag a munkavégzéssel összefüggő célokra, munkaköri feladatainak ellátására vagy a többi munkavállalóval, az Adatkezelő ügyfeleivel, egyéb személyekkel vagy szervezetekkel való kapcsolattartás céljából használhatja. Az Adatkezelő által rendelkezésre bocsátott informatikai eszközöket a munkavállalók saját, személyes céljaikra nem használhatják.

Az Adatkezelő az informatikai eszközök magáncélú használatának tilalmára vonatkozó feni rendelkezések be nem tartását akár felmondással is szankcionálhatja.

Az Adatkezelő a Munka Törvénykönyvének 11. §-ában foglalt jogával élve - a munkaviszonyhoz fűződő jogos érdekének valószínűsítése mellett – az informatikai eszközökön tárolt adatokat - jogos érdekének valószínűsítése esetén, érdekmérlegelés elvégzését követően - ellenőrizheti, illetve azokról biztonsági mentést készíthet.

3. ADATBIZTONSÁG

1. Az adatkezelés biztonságát szolgáló intézkedések

1.1. Az Adatkezelő megfelelő technikai és szervezési intézkedések alkalmazásával köteles biztosítani a kockázatnak megfelelő szintű adatbiztonságot, ideértve különösen a jogosulatlan hozzáférés és a jogellenes adatkezelés, valamint a véletlen adatvesztés, megsemmisülés és károsodás elleni védelmet.

1.2. Az Adatkezelőnek az adatbiztonságot szolgáló technikai intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, amennyiben ez nem jelent aránytalan nehézséget az Adatkezelőnek.

2. Automatizált adatkezelések

2.1. A személyes adatok automatizált feldolgozása során biztosítani kell:

a jogosulatlan adatbevitel megakadályozását;
az érintett IT rendszerek jogosulatlan személyek általi használatának megakadályozását;

az érintett IT rendszerek és adatállományok üzemzavar esetén történő helyreállíthatóságát.

2.2. A fenti célok elérése érdekében az Adatkezelő az adatkezelések során - az adatkezelés jellegétől függően - az érintett IT rendszerek következő védelmi módszereit alkalmazza:

Ügyviteli védelem: az érintett IT rendszerek felelősének kijelölése, és az adatkezeléssel kapcsolatos tevékenységek adminisztratív módon történő nyomon követése, a felelősség körülhatárolása, amely kiterjed a hozzáférési jogosultságok beállítására, a betekintések dokumentálására, és az adathordozók kezelésére is.

Fizikai védelem: azoknak a helyiségeknek a fizikai védelme megfelelő eszközökkel, ahol az adatkezeléssel érintett IT rendszerek találhatóak. Az IT rendszerek mellett védelemben kell részesíteni az adathordozókat is.

Szoftveres védelem: Szoftver alapján működő védelem, amely az egyedi számítógépen és a hálózaton is lehetővé teszi a felhasználó azonosítását, a jogosultság ellenőrzését.

2.3. Az Adatkezelő az adatok bizalmas jellegének megőrzése érdekében a fizikai védelem megteremtéséhez az alábbi konkrét intézkedéseket alkalmazza:

Az érintett IT rendszerek elhelyezésére szolgáló helyiségeket (épületeket, épületrészeket) úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
Azokba a helyiségekbe, ahol adatkezelés folyik, a személyek belépését - a minősítéstől függően - korlátozni és ellenőrizni kell. A belépésre adott felhatalmazásnak összhangban kell lennie az adott személy munkaköri feladataival, illetőleg az ott kezelt adatokhoz történő hozzáférési jogosultságával.
A számítástechnikai eszközzel olvasható és a manuális adathordozók tárolását, hozzáférését és felhasználását ellenőrizni kell. Különös figyelmet kell fordítani arra, hogy a biztonságos területről kivitt eszközök maradványadatokat ne tartalmazzanak.

Az adathordozókról és mozgásukról, azok tartalmáról és felhasználásáról nyilvántartást kell vezetni.
Annak érdekében, hogy lecsökkenjen a jogosulatlan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül, bevezetésre kerül az „üres asztal” szabály a papíralapú anyagokra és a hordozható adattárolókra, valamint a „zárolt képernyő” szabály az információ-feldolgozó eszközökre. E szabályok részletesen:
a papíranyagokat és a számítógépek adathordozóit megfelelő, zárható szekrényben vagy más, hasonlóan biztonságos bútorban kell tárolni, amikor éppen nincsenek használatban, különösen a munkaidőn kívüli időszakokban;
személyi számítógépeket, munkaállomásokat, nyomtatókat és fénymásolókat nem szabad „bejelentkeztetni”, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel, jelszavakkal vagy más óvintézkedésekkel legyenek védve (munkanap végén kikapcsolás).

2.4. Az Adatkezelő az adatok bizalmas jellegének és integritásának megőrzése érdekében az ügyviteli védelem megteremtéséhez az alábbi konkrét intézkedéseket alkalmazza:

pontosan meg kell határozni munkakörönként, illetve személyenként az egyes adatfajtákhoz való hozzáférési jogosultságokat;
a munkavállalók hozzáférési jogosultságait az Adatkezelő ügyvezetőjének utasításai szerint a rendszergazda állítja be;

2.5. Az Adatkezelő az adatok bizalmas jellegének és integritásának megőrzése érdekében a szoftveres védelem megteremtéséhez az alábbi konkrét intézkedéseket alkalmazza:

az érintett IT rendszerek felhasználónévvel és jelszóval védettek;
az adatbevitel során a bevitt adatok helyességét ellenőrizni kell.

2.6. Az Adatkezelő az érintett IT rendszerek rendelkezésre állásának és ellenálló képességének megőrzése érdekében az alábbi intézkedéseket alkalmazza:

az érintett IT rendszerek üzemeltetéséért felelős személyek (rendszergazda) kijelölése,
Az IT eszközöket üzemeltető személyek feladatait egyértelműen meg kell határozni. Egyéb, a feladatoktól eltérő tevékenységet csak külön, erre irányuló egyedi vezetői felhatalmazás alapján lehet végezni.
Az adatkezelő eszközök előre nem látható üzemzavara esetére olyan tervet kell kidolgozni, amellyel annak hatása ellensúlyozható.

Az adatkezelést végző eszközök felhasználói kötelesek az aktív keresési folyamatok lezárására, ha a munka befejeződött, hacsak alkalmas reteszelő mechanizmussal nem tehetők biztonságossá, például jelszóval védett képernyővédővel;
az adathordozó eszközöket a jogosulatlan használattal szemben biztonságossá tenni úgy, hogy kulcsra zárják azokat.

3. Manuális adatkezelések

3.1. A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni.
A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá.
A manuális kezelésű iratok archiválását rendszeres időközönként el kell végezni, és a meghatározott adatkezelési határidő elteltével haladéktalanul át kell adni megsemmisítésre.

4. A JOGELLENES ADATKEZELÉS KÖVETKEZMÉNYEI

1. Adatvédelmi Hatóság eljárása

Minden érintett jogosult arra, hogy panaszt tegyen az Adatvédelmi Hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a GDPR vagy az Infotv. előírásait.

Az Infotv. alapján az Adatvédelmi Hatóság a személyes adatok kezelésével kapcsolatos jogsérelem esetén felszólíthatja az adatkezelőt a jogsérelem orvoslására a szükséges intézkedések megjelölésével. Amennyiben a jogsérelem orvoslására a felszólítás alapján nem került sor, az Adatvédelmi Hatóság jelentést készíthet, és adatvédelmi hatósági eljárást indíthat.

Az Adatvédelmi Hatóság az eljárás során hozott határozatában elrendelheti a személyes adatok helyesbítését, zárolását, törlését, megsemmisítését, megtilthatja az adatok jogellenes kezelését, feldolgozását, külföldre történő továbbítását vagy átadását, elrendelheti az érintett tájékoztatását, valamint adatvédelmi bírságot szabhat ki, akár ismételten is.

Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

Ha az Adatvédelmi Hatóság eljárása során fegyelmi vétség, szabálysértés vagy bűncselekmény elkövetésének alapos gyanúját észleli, fegyelmi, szabálysértési vagy büntető eljárást köteles kezdeményezni.

2. Polgári per

Minden olyan személy, aki a személyes adatok védelméhez való jog megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

A Ptk. 2:51 – 2:53. §-ai szerint a személyiségi jogok megsértése esetén az érintett fél a következő polgári jogi igényeket is támaszthatja:

a jogsértés megtörténtének bírósági megállapítását;
a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;

azt, hogy a jogsértő adjon megfelelő elégtételt, és ennek biztosítson saját költségén megfelelő nyilvánosságot;
a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását és a jogsértéssel előállított dolog megsemmisítését vagy jogsértő mivoltától való megfosztását;
azt, hogy a jogsértő vagy jogutódja a jogsértéssel elért vagyoni előnyt engedje át javára a jogalap nélküli gazdagodás szabályai szerint;
sérelemdíjat követelhet az őt ért nem vagyoni sérelemért.

3. Büntetőeljárás

Az adatvédelmi szabályokat megsértő munkavállaló közvetlenül büntetőjogi felelősségre vonásra is kerülhet.

A Btk. 219. §-a szerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy az adatok biztonságát szolgáló intézkedést elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

A fentiek szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.

A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges személyes adatra követik el.

A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

4. Rendkívüli felmondás

A Mt. rendelkezései alapján a munkáltató az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat rendelkezéseinek be nem tartását akár rendkívüli felmondással is szankcionálhatja, illetve a vétkesség függvényében a bekövetkezett teljes kár megfizetésére is igényt tarthat a munkavállalóval szemben.

5. A SZABÁLYZAT FELÜLVIZSGÁLATA, MÓDOSÍTÁSA, ELÉRHETŐSÉGE

Jelen Szabályzat legalább évente felülvizsgálatra kerül. A Szabályzat valamennyi munkavállaló számára papír alapon az adatvédelmi tisztviselőnél elérhető.

Budapest, 20….. . ………..

________________________________________

"VETKER" Kft.

Varga Péter

ügyvezető

(Adatkezelő)

Adattovábbítási Nyilatkozat

Tudomásul veszem, hogy a "VETKER" Kereskedelmi Korlátolt Felelősségű Társaság (Székhely: 7020 Dunaföldvár, Ady Endre utca 5-9.) adatkezelő által a(z) [Fizetési Elfogadóhely webcíme] felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerülnek az OTP Mobil Kft., mint adatfeldolgozó részére. Az adatkezelő által továbbított adatok köre az alábbi: pl.: vezetéknév, keresztnév, irányítószám, település, utca, házszám, telefonszám, e-mail cím. Az adatfeldolgozó által végzett adatfeldolgozási tevékenység jellege és célja a SimplePay Adatkezelési tájékoztatóban, az alábbi linken tekinthető meg: http://simplepay.hu/vasarlo-aff .

I acknowledge the following personal data stored in the user account of "VETKER" Kereskedelmi Korlátolt Felelősségű Társaság (Company address: Székhely: HU-7020 Dunaföldvár, Ady Endre utca 5-9.) in the user database of [Paying Acceptance Web site] will be handed over to OTP Mobil Kft. and is trusted as data processor. The data transferred by the data controller are the following: eg: last name, first name, postal code, town, street, phone number, e-mail . The nature and purpose of the data processing activity performed by the data processor in the SimplePay Privacy Policy can be found at the following link: http://simplepay.hu/vasarlo-aff

Adatkezelési tájékoztató, Adatvédelmi és Adatbiztonsági Szabályzat és Adattovábbítási Nyilatkozat