Adatkezelési tájékoztató
A
CLEAR ’97 GYORSÉTTEREM KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG
Adatvédelmi és Adatbiztonsági Szabályzata
Bevezetés:
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság (a továbbiakban: Adatkezelő, Társaság) üzleti, gazdasági tevékenysége során fokozottan ügyel a személyes adatok védelmére, a kötelező jogi rendelkezések betartására, a biztonságos és tisztességes adatkezelésre. A CLEAR ’97 Gyorsétterem Kft. ezért a jelen szabályzatban foglaltak szerint a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát és az adatvédelmi, adatbiztonsági előírások érvényesülését garantálja. Az Adatkezelő fontosnak tartja a Munkavállalói, az Ügyfelei és a Partnerei továbbá minden egyéb érintett természetes személy (a továbbiakban: Érintett) adatkezeléshez kapcsolódó jogának tiszteletben tartását és érvényre juttatását.
Az Adatkezelő ezért kötelezettséget vállal arra, hogy szolgáltatásával kapcsolatos adatkezelése megfelel a jelen szabályzatban és a hatályos jogszabályokban meghatározott elvárásoknak. A CLEAR ’97 Gyorsétterem Kft. az érintettek személyes adatainak kezelése, nyilvántartása, feldolgozása és továbbítása során az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), valamint a 2016/679/EU Rendelet (továbbiakban: GDPR Rendelet) vonatkozó rendelkezései, illetve az egyéb és vonatkozó törvényi előírások rendelkezései szerint és azok betartása mellett jár el.
A jelen szabályzat a következő hatályos jogszabályok alapján került kialakításra:
- Magyarország Alaptörvénye
- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról
(a továbbiakban: Infotv.), - 2016/679/EU Rendelet (GDPR – 2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről,
- 2012. évi I. törvény – a munka törvénykönyvéről (új Mt.),
- 2013. évi V. törvény – a Polgári Törvénykönyvről (új Ptk.),
- 2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről,
- 2005.évi CXXXIII. törvény a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól,
- Európai Adatvédelmi Testület 3/2019. számú iránymutatása a személyes adatok videoeszközökkel történő kezeléséről.
Jelen Adatvédelmi és Adatbiztonsági Szabályzat az Adatkezelő minden olyan belső szabályzataihoz kapcsolódik és azokkal együttesen értelmezendő, amelyeknek van adatvédelemi vonatkozása.
Az Adatkezelő adatai:
CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság
Cégjegyzékszáma: 18-09-103048
Székhely: 9700 Szombathely, Semmelweis u. 2. 1. em. 12.
Adószám: 11319481-2-18
Adatkezelő e-elérhetősége: clear@clear97.hu
Adatkezelő képviselője: Komondi István Tamás ügyvezető
Telefonszám: +36 94/506-126
E-mail cím: clear@clear97.hu
Honlap: https://clear97.hu
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság (a továbbiakban: Adatkezelő, Társaság) a rendelkezésére bocsátott személyes adatokat minden esetben a hatályos magyar és európai jogszabályoknak és etikai elvárásoknak eleget téve kezeli, minden esetben megteszi azokat a technikai és szervezési-, biztonsági intézkedéseket, amelyek a megfelelő biztonságos adatkezeléshez szükségesek, amelyek az adatok biztonságát megóvják.
Az Adatkezelő vállalja a Jelen Szabályzat egyoldalú betartását és kéri, hogy foglalkoztatottai is fogadják el a szabályzat rendelkezéseit.
Az adatvédelmi szabályzat mindenkor hatályos változata elérhető a helyben szokásos módon a vendégkönyv mellett kifüggesztve, illetve a belső – minden munkavállaló által elérhető – belső intranet rendszeren.
Jelen Szabályzat érvényes, aktuális változatának kizárólag a legutolsó jóváhagyott és az érintettek részére elérhető helyen publikált változata tekinthető.
A Társaság kiemelten fontosnak tartja a tevékenységével összefüggésben megvalósuló adatkezelés magyarországi jogszabályi feltételeinek való megfelelést és fenntartja magának a jogot jelen szabályzat megváltoztatására.
A dokumentum belső használatra készült, az erről készített nyomtatások, másolatok információs célból készíthetők az érvényben lévő titoktartási és adatvédelmi szempontok figyelembevételével. Harmadik fél részére ez a dokumentum a Társaság előzetes írásos engedélye nélkül át nem adható.
A Szabályzattal és annak értelmezésével kapcsolatos, illetve a CLEAR ’97 Gyorsétterem Kft. szolgáltatásainak igénybevétele során felmerült kérdésekről, esetleges problémákról tájékoztatást elektronikus formában az clear@clear97.hu e-mail címre megküldve tehetők fel.
Az adatvédelem általános szabályai
II.1. Az adatvédelem célja, hatálya
Az Adatvédelmi és Adatbiztonsági Szabályzat célja, hogy meghatározza az Adatkezelőnél, mint a McDonald’s kft. (1095 Budapest, Soroksári út 30-34., a továbbiakban: McDonald’s) franchise partnereként az általa végzett étterem-üzemeltetéssel kapcsolatos üzleti tevékenysége során zajló adatkezelések törvényes kereteit, biztosítsa az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegítse az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést. A jelen Adatvédelmi és Adatbiztonsági Szabályzat kialakítja az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat az adatbiztonságban.
Jelen Szabályzat hatálya kiterjed és a benne foglalt szabályok irányadóak a Clear ’97 Gyorsétterem Kft., mint Adatkezelő által igénybe vett adatfeldolgozók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelőkkel való személyes adatokat érintő kommunikációra is.
Eszerint a jelen Szabályzat személyi hatálya kiterjed az Adatkezelőre, az alkalmazottaira, valamint a vele szerződéses vagy egyéb kapcsolatban álló személyes adatkezelést, adatfeldolgozást végző személyekre, gazdasági társaságokra.
A Szabályzat hatálya a jogi személyekre, illetve a jogi személyeknek nem minősülő szervezetek adataival kapcsolatos adatkezelésre, adatfeldolgozásra nem terjed ki.
Jelen szabályzat hatálya kiterjed továbbá az Adatkezelő székhelyén és telephelyein, fióktelephelyein folyó – kizárólag természetes személyeket (foglalkoztatottakat, ügyfeleket, szerződéses kapcsolatban állókat, vendégeket) érintő – valamennyi adatkezelésre, adattovábbításra, információ átadásra, az ezen adatkezelés, információátadás tárgyát képező adat jelen Szabályzatban meghatározottak szerinti, üzleti titokként való kezelésével és védelmével kapcsolatos tevékenységekre.
A Szabályzat tárgyi hatálya kiterjed az Adatkezelő által kezelt valamennyi – természetes személyhez köthető – személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
IRÁNYÍTÁS/FELÜGYELET: A jelen Szabályzatot a CLEAR ’97 Gyorsétterem Kft. ügyvezetője hagyja jóvá és tárolja. A Szabályzat legalább évente felülvizsgálatra és jóváhagyásra kerül.
FELELŐSSÉG ÉS JELENTÉS: A jelen Szabályzat végrehajtásáért az ügyvezető felelős. Valamennyi foglalkoztatott kötelezettsége annak bejelentése, ha a Szabályzat megkerüléséről vagy megsértéséről szerez tudomást, vagy ennek gyanúja merül fel. Bejelentés elsődlegesen a szokásos bejelentési csatornákon teendő, vagyis az adatvédelemért felelős vezető megkeresésével.
ADATVÉDELMET ÉRINTŐ BELSŐ SZABÁLYOZÁS ELFOGADÁSA VAGY SZERZŐDÉSEK MEGKÖTÉSE: Olyan belső szabályozás előkészítése során, amely személyes adatok kezelésével kapcsolatos rendelkezést tartalmaz, a szabályozás kidolgozásáért és karbantartásáért felelős vezetőnek már a szabályozás előkészítése során egyeztetnie kell a javasolt rendelkezéseket az ügyvezető igazgatóval. Az ügyvezető igazgató az adatvédelmi törvény és más adatvédelmi jogszabályok rendelkezései, valamint a vonatkozó adatvédelmi biztosi, továbbá a NAIH által kialakított gyakorlat, és a bírósági gyakorlat figyelembevételével véleményezi a belső szabályozás jogszerűségét. A szabályozás csak az ügyvezető igazgató utasítására léptethető hatályba. Ezt a rendelkezést kell alkalmazni a Társaság által kötött szerződések adatvédelmi rendelkezéseire, a személyes adatok kezeléséről szóló tájékoztatókra, valamint a hozzájáruló nyilatkozatokra is.
II.2. Adatkezelési alapelvek és az adatkezelés jogalapja
Adatkezelés Alapelvei:
Célhoz kötöttség elve – személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető.
Tisztességes adatkezelés elve – az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Adatminimalizálás elve – csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
Szükségesség elve – a személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
Adatminőség elve – az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét.
Adatvédelem elve – az adatkezelő, illetve tevékenységi körében az adatfeldolgozó egyrészről köteles biztosítani az érintettek magánszférájának védelmét, másrészről pedig gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info tv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Adatkezelés jogalapja:
Személyes adat tehát a felsorolt alapelvek figyelembevételével kezelhető, a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges az adatkezelés;
- az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.
Törvény közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. Az érintett a hozzájárulását az Adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik.
II.3. Adatkezelés alapjai
Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, akkor a személyes adatok kezeléséhez szükséges előzetes és kifejezett hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, tehát
- az önkéntességet,
- a határozottságot (egyértelműséget) és
- a tájékozottságot is teljesíti.
A hozzájáruláson alapuló adatkezelés esetén az Érintett hozzájárulását személyes adatai kezeléséhez írásban kell kémi. Az adatkezeléshez való hozzájárulás megadható az Érintett erre vonatkozó írásbeli nyilatkozatával, vagy az Adatkezelő erre rendszeresített formanyomtatványának kitöltésével és aláírásával. Az adatkezeléshez való hozzájárulásnak minősül bármely olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az Érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hozzájárulás a megadás módjától függetlenül az ugyanazon cél(ok) érdekében végzett valamennyi adatkezelési tevékenységre kiterjed. Amennyiben az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást valamennyi adatkezelési célra vonatkozóan meg kell adni.
Ha az Érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az Érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR-rendeletet, nem bír kötelező erővel.
Az Adatkezelő jogügylet létrehozását, szerződés megkötését, teljesítését nem kötheti olyan személyes adat kezeléséhez való hozzájáruláshoz, amely a jogügylet létrehozásához, szerződés megkötéséhez, teljesítéséhez nem szükségesek.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti.
Az Adatkezelő adatkezelési tájékoztatót tesz közzé a honlapján, a belső intranet hálózaton, valamint a székhelyén és telephelyein a helyben szokásos módon kifüggesztve, amely részletesen tájékoztatja az Érintetteket az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, továbbá arról, ha az Érintett személyes adatait az adatkezelő jogos érdek alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A tájékoztató elérhetőségéről az Érintetteket tájékoztatni kell.
Személyes adat akkor is kezelhető, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetők.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában, a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
Egyes esetekben az adatkezelés, hozzájárulás hiányában egyéb jogalapon a GDPR rendelet 6. cikkén nyugszik.
II.4. Az adatok tárolása
A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek ne férhessenek hozzá.
Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani.
Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve, ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flasch (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.
II.5. Az Érintettek jogai:
Az Érintett jogosult az Adatkezelőtől bármikor tájékoztatást kémi az Adatkezelő által kezelt, rá vonatkozó személyes adatokról, a személyes adatainak helyesbítését kérni, személyes adatainak – a kötelező adatkezelés kivételével – törlését, visszavonását, az adatkezelés korlátozását kémi, továbbá jogosult adathordozási-, tiltakozási- és jogorvoslati jogával élni az Adatkezelő jelen szabályzatban rögzített e-mail címére küldött levél útján, az alábbiak szerint:
Adatszolgáltatási nyilvántartás
A tájékoztatási kötelezettsége teljesíthetőségéhez a Társaság minden szervezeti egysége köteles saját nyilvántartást vezetni az általa teljesített adatszolgáltatásokról. A nyilvántartások egy példányát a tárgyévet követő január 20-áig a szervezeti egységek kötelesek átadni a vezérigazgató részére. Az adatszolgáltatási nyilvántartás az Érintett ismert természetes személy azonosító adatain kívül tartalmazza a szolgáltatott, továbbított adatok körét, az adatszolgáltatás, adattovábbítás időpontját, valamint azon harmadik személy nevét és székhelyét, akinek vagy amelynek részére az adatszolgáltatás, adattovábbítás történt. Az adatszolgáltatási nyilvántartásból kizárólag az Érintett, vagy meghatalmazottja részére nyújtható tájékoztatás az Érintettre vonatkozó körben. A tájékoztatás feltétele, hogy — írásbeli kérelem esetén — a tájékoztatás kérés teljes bizonyító erejű magánokiratban érkezzen, és szükség esetén az iratból a meghatalmazotti jogosultság kitűnjön, illetve – szóbeli tájékoztatás kérés esetén – hogy az Érintett személyazonosságát, a meghatalmazott ezen jogosultságát hitelt érdemlően igazolja.
II.5.1. Előzetes tájékoztatáshoz való jog
Az Érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. (GDPR rendelet 13-14. cikk)
A.) Rendelkezésre bocsátandó információk, ha a személyes adatokat az Érintettől gyűjtik:
Az újonnan megkezdett adatkezelés esetében, amennyiben az Érintettre vonatkozó személyes adatokat az Adatkezelő az Érintett-től gyűjti, a személyes adatok megszerzésének időpontjában, – amennyiben az Érintett utólag kér tájékoztatást, ezen tájékoztatás megadásakor is – az Érintett rendelkezésére kell bocsátani az alábbi információkat:
1. az Adatkezelő és amennyiben ilyen kijelölésre kerül, képviselőjének kiléte és elérhetőségei;
2. az adatvédelmi tisztviselő (adatvédelemért felelős személy) elérhetőségei;
3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja
4. ha az adatkezelés jogos érdeken alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
5. a személyes adatok címzettjei, amennyiben van ilyen, a címzettek kategóriái;
6. adott esetben annak a ténye, ha az Adatkezelő harmadik országba, vagy nemzetközi szervezet részére kívánja az adatokat továbbítani, a vonatkozó megfelelőségi határozat léte vagy hiánya, vagy ilyen adattovábbítás esetén megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy azok elérhetőségére való hivatkozás;
7. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
8. az Érintett azon jogáról történő tájékoztatása, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, vagy kezelésének korlátozását (zárolás), és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogát;
9. amennyiben az adatkezelés az Érintett hozzájárulásán alapul, az arról való tájékoztatást, hogy hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
10. az Érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtására;
11. azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
12. amennyiben ez releváns, az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó közlés, hogy az ilyen adatkezelés milyen jelentőséggel és az Érintettre nézve milyen várható következményekkel bír.
B.) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az Érintett-től szerezték meg
Ha az Érintettre vonatkozó személyes adatokat az Adatkezelő nem az Érintett-től gyűjti, a személyes adatok megszerzésének időpontjában, illetőleg a tájékoztató elkészítésekor az Érintett rendelkezésére bocsátja a fenti információkat, továbbá azokon túl a személyes adatok forrását és azt, hogy az adatok nyilvánosan hozzáférhető forrásból származnak-e.
Az előzetes tájékoztatás-adás rendje:
Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt személyes adatairól, továbbá a fentiekről. A tájékoztató az Adatkezelő jelen szabályzatban megjelölt e-mail címen kérhető.
Az adatkezelő köteles
1. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől, illetve a kérelem benyújtásától számított ésszerű határidőn belül, de legfeljebb 1 hónapon belül,
2. ha a személyes adatokat az Érintett-tel való kapcsolattartás céljára használják, legalább az Érintett-tel való első kapcsolatfelvétel alkalmával; vagy
3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor közérthető formában, az Érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
A tájékoztatást az Érintett által kért módon kell az Érintetthez eljuttatni, erre irányuló kifejezett kérés hiányában elsősorban email-en keresztül, másodsorban postai küldeményként kell megadni, amennyiben az Adatkezelő számára rendelkezésre áll a kommunikációs forma használatához szükséges adat és amennyiben az Érintett személyazonossága kétséget kizáróan megállapítható. Ha az Érintett kétséget kizáró módon nem azonosítható, erről lehetőség szerint őt az Adatkezelő megfelelő módon tájékoztatja. Ilyen esetekben az Érintett jogait az Adatkezelő akkor biztosítja, ha az Érintett abból a célból, hogy a jogát gyakorolja az azonosítását lehetővé tevő kiegészítő információkat nyújt.
Amennyiben az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő további célból adatkezelést kíván végezni és erre lehetősége van, a GDPR rendelet vonatkozó szabályaira tekintettel a további adatkezelést megelőzően tájékoztatja az Érintettet erről az eltérő célról és minden, a fenti pontokban megfogalmazott információkról.
Az Érintett tájékoztatását az adatkezelő csak a jogszabályban meghatározott esetekben és mértékben
tagadhatja meg, így, ha és amilyen mértékben:
1. az Érintett már rendelkezik az információkkal;
2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a vonatkozó feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben ezen kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
A tájékoztatás megtagadása esetén az Adatkezelő írásban közli az Érintett-tel, hogy a felvilágosítás megtagadására mely jogszabály, mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az Adatkezelő tájékoztatja az Érintettet a bírósági jogorvoslat, továbbá a hatósághoz fordulás lehetőségéről.
A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben, továbbá, amennyiben a kérelem egyértelműen megalapozatlan, vagy különösen ismétlődő jellege miatt – túlzó, költségtérítés állapítható meg, vagy az Adatkezelő megtagadhatja a kérelem alapján történő további intézkedést.
A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
II.5.2. Az Érintett hozzáféréshez való joga
Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes
adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
1. az adatkezelés céljai;
2. az Érintett személyes adatok kategóriái;
3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes
adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
5. az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
7. ha az adatokat nem az Érintett-től gyűjtötték, a forrásukra vonatkozó minden elérhető
információ;
8. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.
9. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az Érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan előírt garanciákról.
II.5.3. Helyesbítéshez való jog
Az Érintett bármikor jogosult a helytelenül vagy pontatlanul rögzített adatainak helyesbítését kémi.
Amennyiben az Érintett jelzi, hogy az Adatkezelő által kezelt bármely adata nem felel meg a valóságnak, az adatvédelemért felelős személy azonosítja az Érintettet és gondoskodik az adat helyesbítéséről, az adat helyesbítésére vonatkozó igényt az Adatkezelő érintett informatikai rendszerének rendszergazdája felé jelzi, megjelölve a helyes adatot.
Ha az adatkezelés időtartama alatt az Érintett adatainak változását bejelenti, vagy az adatok megváltozását a Társaság észleli, az adatokat a változásnak megfelelően haladéktalanul módosítani kell, illetve ki kell egészíteni. Ebben az esetben a módosításra kerülő korábbi, valamint a módosítást, kiegészítést követő új adatokat egyaránt fel kell tüntetni a nyilvántartásban, oly módon azonban, hogy a nyilvántartásból az adat aktív, illetve inaktív állapota egyértelműen megállapítható legyen.
Amennyiben a helyes adat nem áll rendelkezésre, az adatvédelemért felelős személy az Érintett-től kér felvilágosítást a helyes adatról. Ha a helyes adat nem állapítható meg, az adatvédelemért felelős személy gondoskodik a helytelen adat zárolásáról, valamint értesíti az érintetett, hogy az adat helyesbítésére a helyes adat hiányában nincs mód, de az adat zárolásra került.
II.5.4. Törléshez való jog (,,az elfeledtetéshez való jog”)
A.) Az Érintett jogosult kémi, hogy az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll;
1. a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték;
2. az Érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását és az adatkezelésnek más Jogalapja nincs;
3. az Érintett a közérdekű, valamint az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett a közvetlen üzletszerzés céljából beszerzett adatainak kezelése ellen tiltakozik;
4. a személyes adatokat jogellenesen kezelte az Adatkezelő;
5. a személyes adatokat az Adatkezelő-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
6. a személyes adatok gyűjtésére a Rendelet szerinti, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
B.) A törlést nem kell teljesíteni, amennyiben az adatkezelés
1. véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges,
2. jogi kötelezettség teljesítése miatt szükséges,
3. népegészségügy területét érintő közérdek alapján,
4. közérdekű archiválás, tudományos, vagy történelmi kutatás, statisztikai célból szükséges és az adattörlés lehetetlenné tenné, vagy komolyan veszélyeztetné az adatkezelés céljának teljesítését.
5. jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges.
Adatkezelő továbbá törli, vagy anonimizálja az Érintettre vonatkozó, az informatikai rendszereiben, valamint papír alapú dokumentációiban szereplő személyes adatokat, ha jogszabály máshogy nem rendelkezik és a személyes adat kezeléséhez fűződő cél megszűnt.
C.) Amennyiben a személyes adat törlése nem valósítható meg az azt tartalmazó irat sérelme nélkül:
1. amennyiben az irat megőrzéséhez az Adatkezelő, vagy harmadik személy jogos érdeke fűződik, az iratot az Adatkezelő az iratkezelési szabályok szerinti időtartamig megőrzi törlési kérelem esetén az iratot zártan kezeli és erről az Érintettet értesíti, és az iratot a személyes adattal együtt az iratkezelési szabályban meghatározott időtartam lejártát követően megsemmisíti,
2. amennyiben az irat megőrzéséhez az Adatkezelőnek és harmadik személynek sem fűződik jogos érdeke, az iratot a személyes adattal együtt megsemmisíti.
Az adatok törlése iránt minden esetben az adatvédelemért felelős személy a személyes adat kezelésével kapcsolatban Érintett szervezeti egységgel, informatikai rendszer rendszergazdájával együttműködésben intézkedik.
Az Adatkezelő informatikai rendszereiből a személyes adatot, amennyiben lehetséges, visszaállíthatatlanul törli, továbbá gondoskodik arról, hogy az informatikai rendszer archivált változatában is átvezetésre kerüljön a személyes adat törlése. A törlésért az informatikai rendszerért felelős személy felel.
Amennyiben a helyreállíthatatlan törlés informatikai okból nem kivitelezhető, Adatkezelő az adat logikai törlését hajtja végre. A logikai törlés keretében a személyes adatot olyan azonosítóra kell lecserélni, amely megakadályozza, hogy a személyes adathoz tartozó további adatok a későbbiekben kapcsolatba hozhatók legyenek az Érintett-tel.
A papír alapú dokumentációk esetében azok jegyzőkönyvvel rögzített megsemmisítéséről kell gondoskodni. A jegyzőkönyvben rögzíteni kell: a megsemmisített iratok típusát, a megsemmisített iratok beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén a külső partner nevét.
Amennyiben az adatok törlése jogszabályi előírás, de az az Érintett jogos érdeke miatt nem lehetséges, a személyes adatot, illetve a személyes adatot tartalmazó elektronikus, vagy papír alapú dokumentációt zárolni kell. Ez esetben az informatikai rendszerben tárolt adathoz, illetve dokumentumhoz csak az informatikai rendszer rendszergazdája vagy az adatvédelemért felelős személy rendelkezhet hozzáféréssel. Papír alapú dokumentációk esetén pedig a dokumentum őrzését zárható szekrényben kell megvalósítani. A papír alapú dokumentációk belső rendszerbe feltöltött elektronikus példányához az Adatkezelő a felhasználók hozzáférését megszünteti.
II.5.5. Az adatkezelés elleni tiltakozáshoz való jog
Az Érintett részére biztosítani kell, hogy bármikor tiltakozhasson személyes adatának a GDPR-rendelet 6.cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy t) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen.
Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ilyen esetben a személyes adatok a továbbiakban e célból nem kezelhetők.
A fenti jogokra legkésőbb az Érintett-tel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Az Érintett a tiltakozását – jogszabály eltérő rendelkezése hiányában – e-mail útján közölheti az Adatkezelővel. Az adatvédelemért felelős személy a legrövidebb időn belül azonosítja az Érintettet, a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt tájékoztatja.
II.5.6. Az adatkezelés korlátozásához való jog
Az Érintett jogosult arra, hogy kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
1. az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az Adatkezelő ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
4. az Érintett tiltakozott az adatkezelés ellen, de az Adatkezelő jogos érdeke is megalapozhatja az adatkezelést, ez esetben, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben, az adatkezelést korlátozni kell.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Adatkezelő az Érintettet, akinek a kérésére az adatkezelést korlátozták, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
II.5.7. Az adathordozhatósághoz való jog
Az Érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik
Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
1. az adatkezelés hozzájáruláson vagy szerződésen alapul és
2. az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog gyakorlása során az Érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.
E jog gyakorlása nem sértheti a törléshez való jogra vonatkozó rendelkezéseket, nem érintheti hátrányosan mások jogait és szabadságait és nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
II.5.8. Automatizált döntéshozatallal, profilalkotással kapcsolatos Érintetti jogok
Az Érintett jogosult kérni, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy öt hasonlóképpen jelentős mértékben érintené, kivéve, ha a döntés:
1. az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
2. meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
3. az Érintett kifejezett hozzájárulásán alapul.
Az 1. és 3. pontokban említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az Érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
II.5.9. Helyesbítéshez, törléséhez, az adatkezelés korlátozásához kapcsolódó értesítés
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezeléskorlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
II.5.10. Az Érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Érintettet az adatvédelmi incidensről.
A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, közölni kell a tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit, ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket és az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az Érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
1. az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által Érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása-, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
2. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Ilyen esetekben az Érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.
Amennyiben az Adatkezelő még nem értesítette az Érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja, hogy fennáll olyan feltétel, amely alapján tájékoztatás nem szükséges.
II.5.11. Jogorvoslathoz való jog
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az Érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha a megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az Érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden Érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR rendeletnek nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait.
Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz vagy az adatvédelmi hatósághoz fordulhat. Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóság alábbi elérhetőségein lehet élni:
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.,
Telefon: +36 (30) 683-5969/+36 (30) 549-6838/+36 (1) 391 1400,
Fax: +36 (1) 391-1410,
E-mail: ugyfelszolgalat@naih.hu
Weboldal: www.naih.hu
II.5.12. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
Az Adatkezelő elősegíti az Érintett e fejezetben és jogszabályban rögzített jogainak gyakorlását. Az Érintett jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
Az Adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétöl számított 30 napon belül tájékoztatja az Érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet.
A tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 30 napon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Adatkezelő a személyes adatkezelésre vonatkozó információkat, az Érintett jogairól szóló tájékoztatást és az intézkedést díjmentesen biztosítja. Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
1. díjat számíthat fel, vagy
2. megtagadhatja a kérelem alapján történő intézkedést.
A felszámítható díj 3.000.- Ft/adatkérés.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
II.5.13. ADATKEZELÉS SORÁN ALKALMAZANDÓ INTÉZKEDÉSEK
Az Adatkezelő informatikai rendszerének felhasználói, valamint a személyes adatokkal egyéb módon kapcsolatba kerülő személyek a személyes adatok védelme érdekében kötelesek megtartani az alábbi előírásokat.
A munkavégzés során keletkezett személyes adatot is tartalmazó dokumentumokat csak a munkavégzés céljára szolgáló számítástechnikai eszközökön nyithatják meg. A munkavégzés céljára szolgáló eszközök hozzáférési kódjait a munkavállalók bizalmasan kötelesek kezelni.
A munkavégzés céljára szolgáló mobiltelefonokra érkező, személyes adatot is tartalmazó dokumentumot is tartalmazó levelek esetén a dokumentumot lehetőség szerint csak asztali számítógépen megnyitni. Amennyiben a mobiltelefonon keresztüli megnyitás szükséges, akkor a mobiltelefonról a helyi másolatot minden esetben törölni kell. A munkavégzésre használt mobiltelefont, amelyen az Adatkezelő által kezelt, vagy feldolgozott személyes adat is megtalálható, minden esetben a mobiltelefonba épített ábrás, vagy kódos védelemmel kell használni.
A munkavégzés céljára átadott notebook-ok és egyéb munkaállomások esetében az eszközöket csak a felhasználók használhatják, hozzátartozóik, vagy más személy számára nem engedélyezett a használat.
A papír alapú munkadokumentumokat, ha azok használata már nem szükséges olyan módon kell megsemmisíteni (pi: irat ledarálásával), hogy a megsemmisítést követően ne lehessen azok tartalmát megállapítani.
A munkavállaló jogviszonya megszűnése esetén minden személyes adatot is tartalmazó papír alapú és elektronikus iratot, adatot köteles a jogviszonya utolsó napját megelőzően az Adatkezelő részére visszaszolgáltatni, azokról másolatot nem tarthat magánál.
Tilos magánhasználatú eszközön az Adatkezelő kezelésében vagy feldolgozásában lévő személyes adatot tárolni, kivéve, ha a tárolás a munkavégzéshez elengedhetetlenül szükséges, arra az Adatkezelő képviselője engedélyt adott és a tárolást a munkavégzést követően haladéktalanul és helyrehozhatatlanul megszüntetik.
Minden munkavállaló köteles az általa használt munkaterületet olyan módon használni, hogy azon az Adatkezelő kezelésében, vagy feldolgozásában lévő, személyes adatot is tartalmazó dokumentumok lehetőség szerint szabadon ne legyenek hozzáférhetők. Ilyen intézkedésnek minősül különösen: számítástechnikai eszközök jelszavas védelme, az irodahelyiség zárása, az iratok elhelyezése védett helyre.
Személyes adatok csak biztonságos kommunikációs csatorna alkalmazásával, vagy megfelelő titkosítási megoldással adhatók át más személynek. Ellenkező jelzésig az Adatkezelő belső levelezési rendszerén belüli adatáramlás biztonságos kézbesítési csatornának tekintendő. Külső adatátadás során gondoskodni kell a személyes adatok titkosításáról, papír alapon pedig zárt borítékon keresztüli átadással.
Amennyiben az Adatkezelő más Adatkezelőtől, az adathoz kapcsolódó rendelkezéssel fogad személyes adatot, valamennyi, az adattal érintkező felhasználónak kötelessége az adattovábbító rendelkezéseit figyelembe venni.
Személyes adat továbbítása esetén 3 munkanapon belül az adatvédelemért felelős személy számára elektronikus levélben el kell juttatni mindazokat az információkat, amelyek az adattovábbítási nyilvántartás vezetéséhez szükségesek.
Nem adható át külső személynek személyes adat.
III. A CLEAR ’97 Gyorsétterem Kft. adatvédelmi rendszere
Az Adatkezelő üzleti, gazdasági tevékenységére és az azzal kapcsolatos egyéb feladatellátásaira is figyelemmel határozza meg a Társaságon belüli adatvédelem szervezetét, valamint az azzal összefüggő tevékenyégre vonatkozó egyedi feladat- és hatásköröket, és kijelöli az adatkezelés, adatvédelem felügyeletét ellátó személyt.
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság adatvédelmi rendszerének felügyeletét az Ügyvezető látja el.
Hatáskörök ÉS FELADATOK az adatvédelemmel kapcsolatosan
A CLEAR ’97 Gyorsétterem Kft. Ügyvezetője az adatvédelemmel kapcsolatosan:
- felelős az érintetteknek a GDPR-ban, illetve az Info. tv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
- felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
- felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
- vizsgálatot rendelhet el;
- kiadja a Társaság adatvédelemmel, adatbiztonsággal kapcsolatos belső szabályait és utasításait;
- különösen súlyos törvénysértés esetén a munkajogi szabályok alapján fegyelmi eljárást indít a személyes adatot jogszabálysértő módon kezelő személy ellen;
- közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
- irányítja az adatvédelmi ellenőrzéseket, vizsgálatokat és ellenőrzi a Szabályzatban foglaltak betartását,
- tájékoztatja a Társaság más szervezeti egységeit a Szabályzat és a kapcsolódó külön szabályzatok gyakorlati alkalmazásáról, segítségét nyújt a gyakorlati tapasztalatok összegzésében,
- figyelemmel kíséri az adatvédelmi jogszabályok változását, szükség esetén javaslatot tesz a Szabályzat módosítására,
figyelemmel kíséri az érintetteknek nyújtott tájékoztatás rendszerét, - vezeti a Szabályzat szerinti nyilvántartásokat,
- kivizsgálja a személyes adatok kezelésével (feldolgozásával, továbbításával) kapcsolatban hozzá érkezett bejelentéseket és panaszokat,
- fogadóórát köteles tartani, ahol előzetes bejelentéseket követően lehet a vezérigazgatóval egyéni konzultációt folytatni,
- jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót,
- szükség szerint megszervezi a Szabályzat alkalmazásával kapcsolatos adatvédelmi oktatást és azadatvédelmi tárgyú tájékoztató kiadványok kibocsátását,
- együttműködik a Társaság szervezeteivel a felmerülő adatvédelmi tárgyú kérdések megoldásában gyakorolja a Szabályzat által megállapított egyéb feladat és hatásköröket.
Üzemeltetési vezető: A Társaság munkavállalóinak és pályázóknak személyes adatai kezelése a munkaszerződések teljesítése céljából
Pénz- és munkaügyi vezető: A Társaság munkavállalóinak és pályázóknak személyes adatai kezelése a munkaszerződések teljesítése, illetve a meghirdetett álláspályázatok céljából
Étteremvezető és étteremvezető helyettes, I. és II., műszakvezető: A Társaság munkavállalóinak és pályázóknak személyes adatai kezelése a munkaszerződések teljesítése céljából
Főpénztáros: A Társaság munkavállalóival és szerződéses partnereinek adataival kapcsolatos adatkezelések, kamerarendszer felügyelete.
Az adatkezelésben érintett munkatársak
- kötelesek a jelen Szabályzat előírásai szerint kezelni a személyes adatokat;
- felelősek feladatkörükben eljárva a személyes adatok a jelen Szabályzat szerinti feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért;
- amennyiben szükséges, előzetesen egyeztetnek a felettesükkel a személyes adatok kezelését érintő ügyekben;
- a tudomásukra jutott adatkezeléssel kapcsolatos jogsértésekről haladéktalanul tájékoztatják a felettesüket.
IV. Adatvédelmi nyilvántartások, adatkezelési tevékenységek és azok megvalósulása a CLEAR ’97 Gyorsétterem Kft-nél és azok alapja, jogalapja, az ahhoz való hozzájárulás és a meglévő adatok tárolása, megsemmisítése.
IV.1. Adatvédelmi nyilvántartás
Személyes adatok kezelésének megkezdése és a nyilvántartó rendszer alkalmazásba vétele előtt az adatkezelésért felelős szervezeti egység vezetőjének értesítenie kell a tervezett adatkezelésről az ügyvezető igazgatót.
Az értesítésben meg kell jelölni
– a kezelendő adatok meghatározását;
– a tervezett adatkezelés célját és jogalapját;
– a tervezett adatkezelés időtartamát;
– a tervezett nyilvántartó rendszer informatikai jellemzőit;
– azt a tényt, hogy a tervezett rendszer vagy adatkezelés valamely korábbi rendszer vagy adatkezelés helyébe lép.
Az ügyvezető igazgató az értesítés nyomán megvizsgálja, hogy a tervezett adatkezelés vagy nyilvántartó rendszer jogalapja, a cél meghatározása megfelel-e az adatvédelmi jogszabályok előírásainak, és szükséges-e az adatkezelésnek az adatvédelmi nyilvántartásba történő bejelentése vagy az adatvédelmi törvény szerint az előzetes ellenőrzéshez kapcsolódó bejelentés megtétele.
Ha az ügyvezető igazgató szerint az adatkezelés céljának meghatározása, jogalapja, vagy más ok miatt nem felel meg az adatvédelmi törvény vagy más adatvédelmi jogszabályok előírásainak, értesíti az érintett szervezeti egység vezetőjét, és egyeztetést kezdeményez. Az egyeztetés sikeres lezárásáig az adatkezelés nem kezdhető meg, illetve a nyilvántartó rendszer nem vehető alkalmazásba. Ha az egyeztetés sikertelen, a döntést a vezérigazgató hozza meg, a Társaság által megbízott jogi szakértő véleményének figyelembevételével. Ez a hatásköri szabály alkalmazandó minden, az ezen Szabályzat alkalmazása során felmerülő belső jogalkalmazási vita eldöntésénél is.
Ha az ügyvezető igazgató álláspontja szerint az adatkezelés – különösen a cél meghatározása és a jogalap – megfelel az adatvédelmi törvény és más adatvédelmi jogszabályok előírásainak, szükség esetén megteszi a szükséges bejelentést az adatvédelmi nyilvántartásba, ill. értesíti az új adatállomány feldolgozásáról vagy az új adatfeldolgozási technológia alkalmazásáról az érintett munkavállalókat és szükség esetén a Hatóságot.
Valamely személyes adatkezelés vagy nyilvántartó rendszer megszüntetése esetén az adatkezelésért felelős szervezeti egység vezetőjének értesítenie kell az ügyvezető igazgatót. Az ügyvezető igazgató feltünteti a belső adatkezelési nyilvántartásban az adatkezelés megszűnését, és szükség esetén megteszi a szükséges bejelentést a NAIH által vezetett adatvédelmi nyilvántartásba.
A Társaság részére az ügyvezető igazgató adatvédelmi nyilvántartást, amelyben rögzíti:
a) az adatkezelés célját,
b) az adatkezelés jogalapját,
c) az érintettek körét,
d) az érintettekre vonatkozó adatok leírását,
e) az adatok forrását,
f) az adatok kezelésének időtartamát,
g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
h) a Társaság, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
i) az alkalmazott adatfeldolgozási technológia jellegét,
j) a vezérigazgató alkalmazása esetén annak nevét és elérhetőségi adatait.
Az adatkezelési adatlapok és nyilvántartásának (belső adatvédelmi nyilvántartás) vezetése az ügyvezető igazgató feladata. A nyilvántartás elektronikus formában is vezethető. A nyilvántartásba bejegyzést csak az ügyvezető igazgató tehet. A javítás, törlés oly módon történik, hogy a javított, illetve törölt bejegyzés olvasható módon a nyilvántartás része marad.
A továbbított adatokról az adattovábbítás jogszerűségének ellenőrzése, valamint az arról való tájékoztatás lehetőségének érdekében a Társaság – ha léteznek ilyen adatok – adattovábbítási nyilvántartást vezet. Az adattovábbítási nyilvántartás tartalmazza a Társaság által kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adattovábbítási nyilvántartás vezetése a vezérigazgató feladata. A nyilvántartás elektronikus formában is vezethető. Az adattovábbítási nyilvántartás az adatkezelések nyilvántartásával összevontan is vezethető.
IV.2. Az adatkezelési tevékenységek nyilvántartása
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság egyes személyes adatkezeléseinek, adatkezelési tevékenységeinek a központi nyilvántartása, amelyben rögzíteni kell a meglévő és új adatkezeléseket, és a korábbi adatkezelések változásait, míg a megszűnt adatkezeléseket törölni kell a nyilvántartásból. Az itt felsorolt adatkezelési folyamatok, tevékenységek részletes leírását és az érintett, kezelt személyes adatok tételes felsorolását, valamint annak ismérveit a jelen Adatvédelmi és Adatbiztonsági Szabályzat elválaszthatatlan részét és 2. számú mellékletét képező adatkezelési tevékenységek nyilvántartása elnevezésű dokumentum tartalmazza.
Adatkezelési tevékenységek:
A CLEAR ’97 Gyorsétterem Kft-nél, mint Adatkezelőnél a McDonald’s Kft. (1095 Budapest, Soroksári út 30-34., a továbbiakban: McDonald’s) franchise partnereként az alábbi adatkezelési tevékenységek folynak a McDonald’s étterem-üzemeltetéssel kapcsolatos üzleti tevékenysége során.
IV.2.1.) Foglalkoztatotti jogviszony (munkajogviszony) kapcsán folyó adatkezelések:
- álláspályázatok útján begyűjtött és kezelt adatok,
- munkajogviszony létesítése során begyűjtött és kezelt adatok,
- munkajogviszony fennállása alatt kezelt adatok
- munkavállalók adatainak nyilvántartása
- személyi iratok és személyi iratanyag kezelése
- foglalkozás egészségügyi okból történő és hatósági vizsgálati ellenőrzéssel összefüggő egészségi adatkezelés
- munkaszerződés módosítás,
- szakmai továbbképzés (tréningek, oktatások, szakmai képzések),
- munkavédelemmel kapcsolatos adatkezelés (egészségügyi alkalmasság, munkabaleseti nyilvántartás)
- fénykép – és videófelvételekkel kapcsolatos adatkezelések
- elégedettségmérés
- auditok
- MCDCARD
- irodai, étteremi WIFI
- személyzeti fogyasztás
- munkavállalói ellenőrzés (internetforgalom, levelezés, böngészés, telefonhasználat)
- visszaélés bejelentési rendszer
- vagyonvédelem (elektronikus megfigyelőrendszer)
- munkajogviszony megszűnése során kezelt adatok
Ahol jelen szabályzat munkajogviszonyt, foglalkoztatotti jogviszonyt említ, az ott leírtakat megfelelően kell alkalmazni a Munkáltatóval munkaviszonyban nem álló, de az iskolaszövetkezeti tagsági jogviszony alapján a tagi megállapodás szerinti külső szolgáltatást nyújtó munkatársakra is, figyelembe véve az egyes adatkezeléseknél az iskolaszövetkezeti tagokra vonatkozó, külön jelzett eltéréseket. Az iskolaszövetkezeti jogviszony keretében foglalkoztatott munkatársak az iskolaszövetkezetről és annak adatkezeléséről a velük tagsági viszonyban álló iskolaszövetkezettől kapnak tájékoztatást.
A Társasághoz munkára jelentkezők (álláspályázók) személyes adataihoz kapcsolódó adatkezelési tevékenység: Az Adatkezelő elkötelezett tevékenységének fejlesztése iránt, így a munkafolyamatokat a feladat ellátására legalkalmasabb foglalkoztatottakkal kívánja elvégeztetni. A munkaerőkeresés, toborzás keretében a Társaság személyes adatokat kezel. Az adatkezelési tájékoztató elérhetőségét az álláshirdetésben mindig rögzíteni kell, az adatkezelő vállalja, hogy az a Társaság székhelyén, telephelyein, fióktelephelyein mindig elérhető és az állásra jelentkező kérése esetén, azt részére elektronikus formában is biztosítja.
Az anonimizált álláshirdetések közzététele tilos. A betöltendő álláshelyek esetében a Társaság, mint Foglalkoztató nevét fel kell tüntetni.
Az Adatkezelőhöz érkező önéletrajzokat, az állásra történő jelentkezéssel összefüggő egyéb iratokat az önéletrajzok benyújtására nyitva álló idő elteltéig a HR munkatárs zárható szekrényben a munkaerő kereséssel nem érintettek személyes adataitól elkülönülten tárolja, továbbá a benyújtott önéletrajzokat és az állásra történő jelentkezéssel összefüggő egyéb iratokat elektronikus formában az irodájában található számítógépen jelszóval védett mappában tárolja. A Társasághoz megérkező önéletrajzokat és az állásra történő jelentkezéssel összefüggő egyéb iratokat az önéletrajzok benyújtására nyitva álló idő elteltét követő 30. (harmincadik) napig a Társaság HR munkatársa és/vagy a Társaság ügyvezetője és tulajdonosai áttekintik. Az állásajánlatokra érkező anyagokról feljegyzések, az érintettről levont következtetések nem készülnek.
A kiválasztás lezárását követően a HR-es munkatárs a ki nem választott pályázókat 30 (harminc) napon belül értesíti, mely értesítési napot követő 60. (hatvanadik) napon az önéletrajzokat az egyéb jelentkezési anyagokkal együtt meg kell semmisíteni, az elektronikus fájlokat törölni kell oly módon, hogy azok ne legyenek helyreállíthatók. A ki nem választott jelentkezők részére értesítést kell küldeni.
A Társasággal foglalkoztatási jogviszonyban álló természetes személyek adatainak kezelésével kapcsolatos tevékenység: A Társaság, mint Foglalkoztató a Munka Törvénykönyve alapján a Foglalkoztatottól csak olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges.
A Társaság, mint Foglalkoztató jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti, ezen belül okirat bemutatása követelhető, de a személyes adatokat igazoló okmányok másolására a Társaságot a Munka Törvénykönyve nem hatalmazza fel, ezeket az okmányokat a Társaság külön törvényi felhatalmazás nélkül nem másolhatja le és a másolatokat nem tárolhatja.
A munkavállalókkal szemben olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
Jogszabályi felhatalmazás nélkül, az érintett hozzájárulása alapján kezeli a Társaság a foglalkoztatottak fényképét kiadványaiban, prezentációiban, honlapján.
A Társaság, mint Foglalkoztató az adatkezeléséről, annak körülményeiről az érintettet (foglalkoztatottakat) írásban tájékoztatja a munkaszerződés megkötése előtt.
A Társasággal foglalkoztatotti jogviszonyban álló természetes személyek alkalmassági vizsgálataival kapcsolatos adatok kezelése: A foglalkoztatottal szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet a jogviszonyra vonatkozó szabály ír elő, vagy amely a jogviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A foglalkoztatottak egészségügyi orvosi vizsgálaton vesznek részt. A foglalkoztatottak esetében kizárólag az alkalmasság tényének -azaz „alkalmas”, „nem alkalmas” vagy „feltételekkel alkalmas” – orvosi vélemény kerül nyilvántartásba. Az eredményeket a vizsgált foglalkoztatottak, illetve a vizsgálatot végző szakember (orvos) ismerhetik meg. Az Adatkezelő (Munkáltató/Foglalkoztató) csak azt az információt kaphatja meg tehát, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban nem ismerheti meg.
A Társaság, mint Foglalkoztató és Adatkezelő a COVID járvánnyal összefüggésben kizárólag a védettségi igazolványban, valamint az applikációban szereplő adatokat ismerheti meg, csak az igazolvány vagy az applikáció felmutatását kérheti, azokat nem rögzítheti, ugyanakkor az ellenőrzés tényének megtörténtét, valamint a védettség időpontját rögzíteni lehet.
A Társasággal által munkavégzéshez biztosított eszközök (számítógép, laptop, céges e-mail fiók, mobiltelefon) használatának ellenőrzésével kapcsolatos adatok kezelése: A Foglalkoztatott a Munka Törvénykönyve szerint a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a Társaság, mint Foglalkoztató technikai eszközt is alkalmazhat, erről és az adatkezelés körülményeiről a Foglalkoztatottat előzetesen írásban tájékoztatja.
A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. A Társaság, mint Foglalkoztató a használat ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Ezen ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a magáncélú használati korlátozás betartásának ellenőrzéséhez szükséges adat, ez vonatkozik arra az esetre is, ha a felek külön megállapodása alapján a Foglalkoztatott a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.
A Társaság, mint Foglalkoztató „céges e-mail fiókot” bocsát egyes Foglalkoztatottak rendelkezésére annak érdekében, hogy a Foglalkoztatottak ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. A Társaság, mint Foglalkoztató adatvédelmi megfontolásból nem engedélyezi a céges e-mail fiók magáncélú használatát. A levelezőprogramot, internetet kizárólag a munkaviszonyból eredő kötelezettségek teljesítése érdekében, azzal összefüggő céllal lehet használni. A Munkáltató informatikai rendszere, a vállalati hálózat nem vehető igénybe magánjellegű üzleti és politikai tevékenység céljából. A Társaság üzleti titkainak, bizalmas információinak védelme, valamint ezen szabályzatban meghatározott munkáltatói utasítások betartásának ellenőrzése érdekében a Munkáltató ellenőrizheti a „céges e-mail fiók” tartalmát és a Foglalkoztatottak által folytatott levelezést. Az e-mail fiók tartalmának ellenőrzése előtt közölnie kell a Foglalkoztatottal, hogy pontosan milyen érdeke miatt kerül sor a munkáltatói intézkedésre. Az ellenőrzés első lépése: az e-mail cím és a levél tárgyának az ellenőrzése, hiszen bizonyos esetekben már pusztán az e-mail cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mail cím lesz, és ezért nem szükséges megismerni az e-mail tartalmát. A magánjellegű tartalmakat a Társaság, mint Foglalkoztató nem jogosult megismerni. Ezt követően kerülhet sor az e-mail fiók használatának magasabb szintű, részletekbe menő ellenőrzésére, azonban itt is ügyelni kell a fokozatosságra és az arányosságra, illetve arra, hogy milyen információk állnak a Társaság, mint Foglalkoztató rendelkezésére a konkrét jogsértéssel kapcsolatban. Az ellenőrzést és az azzal összefüggő biztonsági mentést a Társaság IT munkatársa végzi. A mentett adatok 30 (harminc) napig kerülnek megőrzésre, utána az IT munkatárs törli azokat. Az adatokat az ellenőrzéstől számított 30 (harminc) napig, szabálysértés vagy bűncselekmény elkövetésének gyanúja esetén az azzal kapcsolatos hivatalos eljárás jogerős befejezéséig kezeli a Társaság. Az e-mail fiók használatánál főszabályként biztosítani kell a Társaság, mint Foglalkoztató jelenlétét. A munkáltatói ellenőrzés e formájánál ugyanis a Foglalkoztatott és harmadik személyek különböző személyes adatai lehetnek benne a levelezőrendszerben, amelyek megismerésére a Társaság, mint Foglalkoztató nem jogosult. Ha ez ellenőrzésnél a Foglalkoztatott jelen van, és jelezheti valamely email tartalmának megtekintése előtt, hogy azok személyes adatokat tartalmaznak, akkor ezzel biztosítható, hogy a Társaság, mint Foglalkoztató ne sértse meg ezt a tilalmat. A céges e-mail fiók használatának ellenőrzésével kapcsolatos adatkezelésről szóló tájékoztatást az erről szóló adatkezelési tájékoztató megismertetésével és tudomásul vételével kell teljesíteni.
A Társaság bizonyos munkakörben dolgozó Foglalkoztatottak számára „céges” laptopot, számítógépet biztosít a munkájuk elvégzéséhez. A Társaság, mint Foglalkoztató adatvédelmi megfontolásból nem engedélyezi a céges laptop, számítógép magáncélú használatát. A Társaság üzleti titkainak, bizalmas információinak védelme, valamint ezen szabályzatban meghatározott munkáltatói utasítások betartásának ellenőrzése érdekében a Munkáltató ellenőrizheti a „céges” számítógép és laptop tartalmát és a Foglalkoztatottak által folytatott levelezést a Foglalkoztatott munkaköréhez igazodóan. Az ellenőrzést és az azzal összefüggő biztonsági mentést a Társaság IT munkatársa végzi. A mentett adatok 30 (harminc) napig kerülnek megőrzésre, utána az IT munkatárs törli azokat. Az adatokat az az ellenőrzéstől számított 30 (harminc) napig, szabálysértés vagy bűncselekmény elkövetésének gyanúja esetén az azzal kapcsolatos hivatalos eljárás jogerős befejezéséig kezeli a Társaság. A laptopon, számítógépen tárolt adatokról készített biztonsági mentés során, mind a laptopon és számítógépen tárolt adatok ellenőrzése során az Adatkezelőnek kiemelt figyelmet kell fordítania arra, hogy a Foglalkoztatottak magánélettel kapcsolatos személyes adatait nem kezelheti. Az Adatkezelőnek a laptop, számítógép tartalmának ellenőrzése előtt közölnie kell a Foglalkoztatottal, hogy pontosan milyen érdeke miatt kerül sor a munkáltatói intézkedésre. Másrészt az Adatkezelőnek a fokozatosság és arányosság elvére figyelemmel lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve, hogy az ellenőrzés minél kisebb mértékben érintse a Foglalkoztatottak magánszféráját. A laptop, számítógép adat tartalmának az ellenőrzése során ezért főszabályként biztosítani kell a Foglalkoztatottak jelenlétét, tekintettel arra, hogy a Foglalkoztatottak és harmadik személyek különböző személyes adatai lehetnek a laptopon, amelyek megismerésére az Adatkezelő nem jogosult. Ha az ellenőrzésnél a Foglalkoztatott jelen van, és jelezheti valamely email tartalmának megtekintése előtt, hogy azok személyes adatokat tartalmaznak, akkor ezzel biztosítható, hogy a Társaság, mint Foglalkoztató ne sértse meg ezt a tilalmat. A „céges” számítógép, laptop csak munkavégzéssel összefüggő célokra használható, így a Társaság, mint Foglalkoztató a Foglalkoztatott valamennyi, a számítógépen, laptopon tárolt adatait ellenőrizheti. Azonban a Társaság, mint Foglalkoztató pusztán azt a tényt rögzítheti, hogy a Foglalkoztatott a laptopon, számítógépen – a jelen szabályzat előírásai ellenére – személyes adatokat tárolt, azonban ezen túlmenően a Társaság, mint Foglalkoztató nem kezelhet személyes adatokat. A Társaság, mint Foglalkoztatónak előzetesen részletes tájékoztatást kell biztosítania az ellenőrzésről a Foglalkoztatottak számára, melyben ki kell térnie többek között arra, hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az laptop, számítógép ellenőrzésére, ki végezheti az ellenőrzést, milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, milyen jogai és jogorvoslati lehetőségei vannak a Foglalkoztatottaknak a laptop, számítógép ellenőrzésével együtt járó adatkezeléssel kapcsolatban. A céges laptop, számítógép használatának ellenőrzésével kapcsolatos adatkezelésről szóló tájékoztatást az erről szóló adatkezelési tájékoztató megismertetésével és tudomásul vételével kell teljesíteni.
A Társaság „céges” mobiltelefont biztosít bizonyos munkakörökben a Foglalkoztatottak számára. A Társaság, mint Foglalkoztató engedélyezi ezen céges mobiltelefonok magáncélú használatát is, de kifejezetten azzal, hogy az ilyen eszközökön történő bármely adatvesztés vagy adatvédelmi incidens vonatkozásában a felelősségét kizárja. Az Adatkezelő a Társaság üzleti titkainak, bizalmas információinak védelme céljából ellenőrizheti a Foglalkoztatott rendelkezésre bocsátott mobiltelefont. A Társaság, mint Foglalkoztató nem ismerheti meg, hogy a Foglalkoztatott magáncélból kit és mikor hívott fel, mert ennek megismerése már nem elengedhetetlenül szükséges az ellenőrzés céljához, illetve az Mt. 11. § (1) bekezdése is kimondja azt, hogy a munkavállaló magánélete nem ellenőrizhető. A Munkáltató munkavállalói részére mobiltelefont biztosít, mely a munkavégzés támogatását szolgáló munkaeszköz. A mobiltelefonok magánhasználata engedélyezett, pozíciótól függően meghatározott keretösszeget használhat fel a dolgozó. A keretösszeg túllépése esetén a munkavállaló béréből kerül levonásra a többlet használat díja. A munkáltató hívásrészletezőt nem, csak az összesített hívásadatokat (hívások perc mennyisége és költsége a különböző irányokra lebontva, üzenetek mennyisége és költsége, adatforgalom mennyisége és költsége és a roaming során felhasznált percek, adatmennyiségek és költségek) ismeri meg. A Foglalkoztatottak számára biztosított céges mobiltelefonok két különböző SIM kártyával használhatóak, a hivatalos és a magáncélú hívások megkülönböztetése céljából. A hivatalos, céges kártyán folytatott beszélgetésekkel összefüggő telefonszámokat a Társaság, mint Foglalkoztató megismerheti, hiszen azokat a foglalkoztatott a foglalkoztatotti jogviszonyához kapcsolódó feladatvégzésével összefüggésben hívta fel. A céges telefonkártyák kizárólag telefonálás és üzenetküldés céljából használhatóak, A magáncélú telefonhasználattal összefüggő költségeket a Társaság nem fizeti. A hivatalos hívások adatait a Társaság, mint Foglalkoztató megismerheti, a magáncélú hívások adatait nem. Az Adatkezelő előzetesen részletes tájékoztatást kell biztosítson a Foglalkoztatott számára, melyben ki kell térnie többek között arra, hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor a „céges mobiltelefon” használatának ellenőrzésére, ki végezheti az ellenőrzést, milyen szabályok szerint kerülhet sor ellenőrzésre és mi az eljárás menete, milyen jogai és jogorvoslati lehetőségei vannak a Foglalkoztatottaknak a „céges mobiltelefon” ellenőrzésével együtt járó adatkezeléssel kapcsolatban. A céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelésről szóló tájékoztatást jelen az erről szóló adatkezelési tájékoztató megismertetésével és tudomásul vételével kell teljesíteni.
Tilos mobiltelefont és egyéb, internet kapcsolatra alkalmas készüléket (pl. iPad, tablet, stb.) a munkavégzés helyére bevinni, mivel munkaidő alatti használatuk nagymértékben zavarja a Munkavállalók által végzendő munka eredményességét. A készülékeket az öltözőben, illetve a dolgozók részére biztosított saját, zárható szekrényben kell elhelyezni. Mobiltelefon tehát kizárólag a munkavégzés helyén kívül, a munkaközi szünetekben használható. A munkavállaló szükség esetén, az étteremvezetőnél lévő szolgálati készüléken tarthat kapcsolatot hozzátartozóival, ismerőseivel, oly módon, hogy a Munkavállaló megadhatja az étteremvezetőnél lévő szolgálati mobiltelefon telefonszámát a napi kapcsolatainak is (hozzátartozók, bölcsőde, óvoda, iskola, illetve folyamatban lévő hivatalos/hatósági ügyeiben eljáró ügyintézőinek).
Jogszabályi felhatalmazás nélkül, az érintett hozzájárulása alapján kezeli a Társaság a foglalkoztatottak fényképét kiadványaiban, prezentációiban, honlapján az adatkezelési tevékenységek nyilvántartása szerint.
A foglalkoztatottakkal kapcsolatos adatkezelés kapcsán az adatcsoportokat és az adott adatcsoporttal összefüggő adatkezelési körülményeket jelen szabályzat 2. számú mellékletében található Adatkezelési tevékenységek nyilvántartása tartalmazza részletesen.
IV.2.2.) Szerződéses partnerekkel (alvállalkozókkal, beszállítókkal) kapcsolatos adatkezelések:
- ügyfélkapcsolatok, partnerkapcsolatok kezelése, természetes személyekkel kapcsolatos adatnyilvántartások, ügykezelések, panaszkezelések,
- kapcsolattartással és kommunikációs feladatok ellátásával összefüggő adatkezelések,
- pénztári kifizetések, banki tranzakciók, bizonylatolások, számlázás során végzett adatkezelési tevékenységek.
A Társaság foglalkoztatottjai a feladataik teljesítése során a jogszabályok, a szakmai protokoll és a belső szabályzatok előírásait betartva kötelesek eljárni. A Társasággal kapcsolatba kerülő ügyfelet azonosítani szükséges.
A Társaság szolgáltatásait igénybe vevőket megilleti személyes adatainak védelme, valamint a magánéletükkel kapcsolatos titokvédelem. Az adatkezelési eljárás során különös figyelmet kell fordítani arra, hogy az Ügyfelek adataihoz csak az arra jogosult személyek férjenek hozzá.
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság valamennyi foglalkoztatottja a munka törvénykönyvéről szóló 2012. évi I. törvény 8. § (4) bekezdése alapján köteles jelen Adatvédelmi és Adatbiztonsági Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül – tehát a foglalkoztatotti jogviszony megszűnését követően is – megőrizni. A foglalkoztatottak személyes adatokat kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg.
A személyes adatok tárolása és hozzáférhetősége, valamint az integritás és a bizalmas jelleg alapelvének érvényre juttatása érdekében az adatkezelő köteles eljárni és intézkedéseket tenni annak érdekében, hogy bizonyos személyes adatokat és adott adatbázisokat csak azon munkavállalók vagy alvállalkozók ismerjenek meg, akiknek a hozzáférés szükségszerűen, munkakörük ellátásával merül fel.
Ezen túlmenően illetéktelen személynek és szervnek nem adhat tájékoztatást olyan tényekről, amelyek tevékenysége során jutottak tudomására és kiszolgáltatásuk a Társaság, munkatársa vagy Ügyfél számára hátrányos vagy jogellenesen előnyös következményekkel járna.
Az Adatkezelő az ügyfelekkel kapcsolatos szerződéses adatkezelésről, annak körülményeiről az ügyfeleket (partnereket) írásban tájékoztatja az adott szerződésben, azzal, hogy a Társaság a szerződött partnerek (alvállalkozók) adatait a GDPR 6. cikk (1) bekezdés b) pontja alapján kezeli azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; a szerződött partnerek kapcsolattartóinak adatait a GDPR 6. cikk (1) bekezdés f) pontja alapján kezeli, azaz az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Eszerint tehát az adatkezelés célja és jogalapja, az érintett adatok köre és az adatok kezelésére, megőrzésére vonatkozó rendelkezések a szerződésben rögzítettek, azzal, hogy ezen adatokat kizárólag a szerződés fennállása alatt illetve annak megszűnését követő – polgári jogi elévülési időig – azaz legfeljebb 5 évig kezeli a Társaság. A megkötött szerződések mellékleteként a Társaság minden esetben tájékoztatja a szerződött partnereket a velük összefüggő adatkezelési körülményekről. A Társasággal szerződéses kapcsolatban álló jogi személyek és természetes személyek (pl. egyéni vállalkozó beszállítók, alvállalkozók) adatainak kezelése során az ezen szerződések személyes adatállományát elkülönített partner nyilvántartásban kell nyilvántartani (partner nyilvántartás). Az ügyfelekkel, szerződéses partnerekkel (alvállalkozókkal) kapcsolatos adatkezelések kapcsán az adatcsoportokat és az adott adatcsoporttal összefüggő adatkezelési körülményeket jelen szabályzat 2. számú mellékletében található Adatkezelési tevékenységek nyilvántartása tartalmazza részletesen. Az ügyfelekkel, szerződéses partnerekkel (alvállalkozókkal) összefüggő adatkezelésekkel kapcsolatos adatkezelésről szóló tájékoztatást az adott szerződésben található nekik szóló adatkezelési tájékoztató megismertetésével kell teljesíteni.
IV.2.3.) Vendégekkel kapcsolatos adatkezelések:
- Vásárlással kapcsolatos adatokkal összefüggő adatkezelés
- Rendezvények tartásával összefüggő adatkezelés (rendezvények szervezeése, dokumentálása, lebonyolítása, illetve a rendezvényeken készült fénykép- és videofelvételekkel összefüggő adatkezelés)
- Minőségi kifogások, értékelések kezelésével összefüggő adatkezelés
- Vásárlók könyvével, panaszkezeléssel, jegyzőkönyv felvételével összefüggő adatkezelés
- Rendkívüli eseményekkel, balesetekkel összefüggő adatkezelés
- Talált tárgyak kezelésével összefüggő adatkezelés
- Éttermi Wifi szolgáltatással összefüggő adatkezelés
- Marketing és piackutatással összefüggő adatkezelés
- Elektronikus megfigyelőrendszer alkalmazásával összefüggő adatkezelés
A vendégekkel kapcsolatos adatkezelés kapcsán az adatcsoportokat és az adott adatcsoporttal összefüggő adatkezelési körülményeket jelen szabályzat 2. számú mellékletében található Adatkezelési tevékenységek nyilvántartása tartalmazza részletesen. Ezen adatkezelési tájékoztatók megtekinthetőek minden Társaság üzemeltetésében lévő étteremben a Vásárlók könyve mellett kifüggesztve/lefűzve.
IV.2.4.) Elektronikus megfigyelőrendszerek működtetéséből fakadó, ahhoz tapadó adatkezelések:
Az Adatkezelő által üzemeltetett éttermekben elektronikus megfigyelő- és rögzítőrendszer működik, melynek részeként kamerák kerültek elhelyezésre az éttermek területén. A kamerák pontos elhelyezkedésére és a megfigyelt területekre vonatkozó további információk az étteremben a Vásárlók Könyve mellett kihelyezett kamera tájékoztatóban olvashatók.
Az Adatkezelő az elektronikus megfigyelőrendszer (kamerarendszer) használatáról szóló külön szabályzattal és adatkezelési tájékoztatóval rendelkezik. Az elektronikus megfigyelőrendszerekkel kapcsolatos tájékoztatást a foglalkoztatottaknak a munkaszerződés vagy egyéb munkavégzésre irányuló szerződés megkötésével egyidejűleg meg kell adni és azt velük tudomásul kell vetetni.
A látogatóknak (eseti látogatók), vendégeknek, a szolgáltatást igénybe vevőknek a kamerarendszerrel összefüggő tájékoztatás megismerhető a székhelyen, telephelyein, fióktelephelyein kifüggesztve. Az Adatkezelőnek az Elektronikus Megfigyelőrendszer alkalmazásáról az épület bejáratánál, valamint a kamerákkal megfigyelt helyiségekben kifüggesztett első szintű tájékoztatást biztosító figyelmeztető tábla útján kell felhívni a foglalkoztatottak, vendégek, partnerek figyelmét, hogy a nevezett területeken Elektronikus Megfigyelőrendszer működik. A tájékoztatást úgy kell kihelyezni, hogy az érintett a megfigyelt területre való belépés előtt könnyen felismerhesse a megfigyelés körülményeit (megközelítőleg szemmagasságban). Nem szükséges közölni a kamera helyét, amennyiben nincs kétség azzal kapcsolatosan, mely területek állnak megfigyelés alatt, és a megfigyelés körülményeit egyértelműen tisztázzák. Az érintettnek fel kell tudnia mérni, mely területet figyeli kamera, hogy elkerülhesse a megfigyelést, vagy szükség esetén ahhoz igazíthassa viselkedését.
Az első szintű tájékoztatásnak (figyelmeztető tábla) általában a legfontosabb információkat kell tartalmaznia, így például az adatkezelés céljaira, az adatkezelő kilétére és az érintett jogainak meglétére vonatkozó részletes tudnivalókat, valamint az adatkezelés legnagyobb hatásaival kapcsolatos információkat. Ide tartozhatnak például az adatkezelő (vagy harmadik fél) jogos érdekei és (adott esetben) az adatvédelmi tisztviselő elérhetőségei. Emellett utalni kell a részletesebb, második szintű tájékoztatásra, valamint elérhetőségének helyére és módjára. – A fényképek alapján itt csak egy ábrás piktogram van.
A második szintű tájékoztatást is az érintett számára könnyen hozzáférhető helyen kell rendelkezésre bocsátani, például központi helyen (pénztárnál) kihelyezett teljes körű tájékoztató lap vagy könnyen észrevehető plakát formájában. A fentieknek megfelelően az első szintű figyelmeztető táblának egyértelműen utalnia kell a második szintű tájékoztatásra. A második szintű tájékoztatásnak a megfigyelt területre való belépés nélkül is rendelkezésre kell állnia. Bármilyen formában is nyújtják a tájékoztatást, annak tartalmaznia kell az általános adatvédelmi rendelet 13. cikke értelmében kötelező összes információt, úgy mint adatkezelő neve és elérhetősége, adatkezelés célja, az adatkezelés jogalapja, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá a GDPR rendelet által biztosított az érintettek jogérvényesítési lehetőségeiről, tájékoztatót kell készíteni és kifüggeszteni. – a második szintű tájékoztatásnak felel meg a megküldött Tájékoztató a kamerarendszer működéséről elnevezésű dokumentum az alábbi hiányosságok mellett.
IV.2.5.) Honlappal kapcsolatos adatkezelések:
A honlap a látogatók tájékoztatását szolgálja, kapcsolatfelvételre alkalmas, regisztrációra és hírlevél küldésére, valamint munkaerőfelvétellel, munkavállalók jelentkezésének fogadásával kapcsolatos adatkezelések történnek rajta, amely az érintettek előzetes hozzájárulása alapján lehetséges. A honlapon megtalálható a honlappal kapcsolatos Adatkezelési tájékoztató.
IV.2.6.) Közösségi oldal használatával összefüggő adatkezelés
A Társaság a következő közösségi médiákat alkalmazza: Facebook, Instagram, Google Adwords. A platformüzemeltetők adatkezelésére Társaságunknak csak korlátozottan van befolyása. Azokon a helyeken, ahol befolyásolhatjuk azt, a rendelkezésünkre álló lehetőségek körében elősegítjük az adatvédelmi szempontból megfelelő adatkezelését. A legtöbb esetben azonban nem tudjuk befolyásolni az üzemeltető tevékenységét, így nincsenek információink arról, hogy mely adatokat kezelnek pontosan. A platform üzemeltetője üzemelteti a szolgáltatás teljes informatikai infrastruktúráját, saját adatkezelési tájékoztatója van és fenntartja az érintettel a saját felhasználói kapcsolatát (feltéve, hogy az érintett a közösségi oldal regisztrált felhasználója). Ezen túlmenően az üzemeltető kizárólagos felelősséggel tartozik az érintett felhasználói profiljában kezelt adatokkal kapcsolatos minden olyan kérdésért, amelyhez Társaságunk nem fér hozzá. Az adatkezelés célja, hogy az ügyfeleket/vendégeket ajánlatokról, étlapról, itallapról, heti menüről, éttermünk szolgáltatásairól, Társaságunkat érintő újdonságokról tájékoztassuk, valamint álláshirdetéseket tegyünk közzé és e témákban kapcsolatba léphessünk, valamint válaszoljunk vendégeink, illetve az érdeklődők esetleges kérdéseikre. Fenntartjuk a jogot a tartalom törlésére például a jogsértő vagy illegális, gyűlöletkeltő, azt sugalmazó megjegyzéseknél vagy a feltöltött mellékleteknél (pl. képek vagy videók), amelyek sérthetik a szerzői jogokat, a személyiségi jogokat, a jogszabályokat.
IV.2.7.) Panaszkezeléssel (fogyasztóvédelmi panasz), közérdekű bejelentések kezelésével kapcsolatos adatkezelés és belső visszaélés-bejelentő rendszer:
Az Adatkezelő biztosítja a bejelentés, panasz lehetőségét, az Adatkezelő által nyújtott szolgáltatásokkal kapcsolatosan. A vásárlók könyvébe beírt bejegyzéseket az Adatkezelő a jelen szabályzatban foglaltak és a fogyasztóvédelmi törvény előírásai szerint kezeli és vizsgálja ki. Az Adatkezelő biztosítja továbbá a bejelentés lehetőségét, amennyiben a foglalkoztatottjainak vagy a szerződött partnereinek panasza, minőségi kifogása merülne fel vagy közérdekű bejelentést tennének. Az Adatkezelő a foglalkoztatottjait és szerződött partnereit érintő és feltételezett visszaélések bejelentésére szolgáló rendszert is működtet figyelemmel a 2023. évi XXV. törvényben foglalt kötelezettségére is és annak érdekében, hogy a feltételezett visszaélések kivizsgálása biztosított legyen. A visszaélés-bejelentési rendszer célja, a jogellenes vagy jogellenesnek feltételezett cselekményekkel vagy mulasztásokkal, illetve egyéb visszaélésekkel kapcsolatos bejelentett információk vizsgálata a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényben (továbbiakban: Panasztörvény) foglalt követelményeknek megfelelően. A belső visszaélés-bejelentési rendszert a vállalkozás szervezetén belül az adminisztratív háttértámogatást biztosító panaszbejelentéssel foglalkozó terület (továbbiakban panaszkezelési terület) működteti. A bejelentő ezen panaszkezelési terület felé – és Folmeg Mónikának címzetten – a bejelentés írásban vagy szóban tehető meg. A szóbeli bejelentést személyesen lehet megtenni. A visszaélés-bejelentési rendszerrel összefüggő adatkezelési szabályokra a Társaság honlapján közzétett és elérhető mindenkor hatályos tájékoztató és eljárásrend vonatkozik.
IV.3.) Adatfeldolgozás
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely szerv, amely az Adatkezelő nevében személyes adatokat kezel. A Társaság az általa kezelt adatok feldolgozására külső adatfeldolgozót abban az esetben vehet igénybe, ha az adatfeldolgozó tevékenysége, illetve az adatfeldolgozás során használt rendszer a jelen Szabályzatban meghatározott adatvédelmi és adatbiztonsági követelményeknek megfelel. Így a Társaság és az adatfeldolgozó között létrejövő szerződésnek vagy egyéb dokumentumnak (megfelelőségi nyilatkozat) részét kell, hogy képezze azon rendelkezés, hogy az adatvédelmi és adatbiztonsági jogszabályi előírásokat és jelen Szabályzatban foglalt rendelkezéseit tudomásul veszi, azokat a tevékenysége során betartja, illetve azt is, hogy ennek ellenőrzésére az Adatkezelő Társaság jogosult.
Felelősség az adatfeldolgozásért: Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen Szabályzat, valamint a vonatkozó jogszabályok keretei között az adatkezelő határozza meg. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozók munkaköri leírásában, vagy az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának, valamint büntetőjogi felelősségre vonás kezdeményezésének is alapjául szolgálhat. A jogellenes adatkezelésért való felelősség megállapítására irányuló panaszok kivizsgálása a vezérigazgató feladata. Az Adatfeldolgozó igénybevételéhez nem kell az érintett(ek) előzetes beleegyezése, de szükséges a tájékoztatásuk.
IV.4.) Adattovábbítás
Adattovábbítás szervezeten belül: A Társaság szervezetén belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog. Amennyiben az adatok a Társaságon belül, de osztályok, üzletágak, szolgáltató központok között kerülnek továbbításra, a vezérigazgatót tájékoztatni kell a továbbítás tényéről, a továbbított adatkörökről, adatcsoportokról, a továbbítás céljáról és körülményeiről, illetve az adattovábbítás célját megvalósító adatkezelés helyéről és várható időtartamáról. Rendszeres adattovábbítás esetén a tájékoztatást elégséges az első adattovábbításkor megadni, az adattovábbítások gyakoriságával együtt.
Adattovábbítás külföldre: Személyes adatot a Társaság harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha ahhoz az Érintett kifejezetten hozzájárult, vagy az adatkezelésnek az Infotörvényben előírt feltételei teljesülnek, és a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor biztosított, ha az Európai Unió kötelező jogi aktusa azt megállapítja, vagy a harmadik ország és Magyarország között az Érintettek jogai érvényesítésére, a jogorvoslati jogbiztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban. Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben – a személyes adatok védelmére vonatkozó feltételek hiányában is – továbbíthatók harmadik országba. Az EGT-részes államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
IV.5.) Adatbiztonság
A Társaság, mint Adatkezelő gondoskodik az adatok biztonságáról, és megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a vonatkozó adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az Adatkezelő a személyes adatokat védi a jogosulatlan hozzáféréstől; jogosulatlan megváltoztatástól; jogosultan továbbítástól; jogosulatlan nyilvánosságra hozataltól; jogosulatlan vagy véletlen törléstől, megsemmisítéstől; sérüléstől; valamint az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válástól.
A CLEAR ’97 Kft., mint Adatkezelő:
- az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen,
- a személyes adatokat bizalmas adatként minősíti és kezeli, így a munkavállalókkal a személyes adatok kezelésére vonatkozó titoktartási kötelezettséget ír elő,
- a személyes adatokhoz való hozzáférést jogosultsági szintek megadásával korlátozza,
- az informatikai rendszereit tűzfallal védi és vírusvédelemmel látja el,
- az elektronikus adatfeldolgozást, nyilvántartás számitógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. Így a program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzötten és csak azon személyes férjenek hozzá, akiknek a munkakörük, feladatuk ellátásához érdekében erre szükségük vagy felhatalmazásuk van,
- a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről,
- az általa kezelt személyes adatokat a székhelyén fizikai védelemmel ellátott szerveren tárolja, amely szerverhez való elektronikus hozzáférés kizárólag egyedi azonosító név és jelszó megadását követően lehetséges,
- biztosítja az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
- A belső szerver az internetről le van választva, csak belső hálózatról működik, az összes munkaállomás nem alapszintű vírusvédelemmel van ellátva. U.n. internet security védelemmel és tűzfallal rendelkezik, és egyéb típusú behatolások ellen véd, úgy, mint pl. zsarolóvírusok stb. Router szinten is emelt szintű tűzfalat alkalmazunk, külső támadások ellen. Elszeparált vendéghálózatot használunk wi-fi-n, ami teljesen külön IP körben futtatja a külső felhasználókat, aminek nincs lehetősége a belső hálózattal kommunikálni,
- a folyamatban lévő munkavégzés, feldolgozás alatt lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti-, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tárolni.
A papíralapon kezelt és tárolt személyes adatok biztonsága érdekében a CLEAR ’97 Kft-nél az alábbi intézkedéseket alkalmazza:
- az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók,
- az iratokat, dokumentumokat jól zárható, száraz és tűzvédelmi berendezéssel ellátott helyiségben helyezik el, a zárható szekrényekben tárolt iratokhoz való hozzájutás a korlátozott, így a folyamatos és aktív kezelésben lévő iratokhoz csak az arra – feladat- vagy munkavégzése, illetve munkaköre alapján – illetékesek férhetnek hozzá,
- az aktuális adatkezelést végző munkatárs a nap folyamán csak úgy hagyhatja el a helyiséget, ahol az adatkezelés folyik, hogy az irodát bezárja, vagy a rá bízott iratokat elzárja, a munka-, feladatvégzés befejeztével pedig az adatkezelés alapjául szolgáló iratokat elzárja,
- amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, úgy a digitálisan, elektronikusan tárolt dokumentumokra és elektronikus adatkezelésre vonatkozó informatikaibiztonsági szabályok alkalmazása az irányadó.
A számítógépen, illetve belső hálózaton tárolt személyes adatok biztonsága érdekében az alábbi intézkedéseket alkalmazza a Társaság:
- az adatkezelés során használt személyi számítógépek és laptopok (együttes említésük a továbbiakban: számítógépek) a Társaság tulajdonát képezik vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír,
- a számítógépeken található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal, felhasználói névvel és jelszóval lehet hozzáférni, a jelszavak cseréjéről szükség esetén a Társaság gondoskodik,
- az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül,
- a hálózati kiszolgáló gépen (továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és kizárólag a Társaságnál az arra kijelölt személyek férhetnek hozzá,
- a személyes adatokat tartalmazó adatbázisok aktív adataiból napi/heti/havi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik, amely adathordozókat az erre a célra kialakított (tűzbiztos) páncélszekrényben tárolják,
- a személyes adatokat kezelő hálózaton a Társaság folyamatosan gondoskodik a vírusvédelemről,
- amennyiben az adatkezelés célja megvalósult, vagy az adatkezelés határideje letelt, úgy az adatokat tartalmazó fájl(ok) visszaállíthatatlanul törlésre kerülnek, az adatok újra vissza nem nyerhetőek,
- a rendelkezésre álló számítástechnikai eszközökkel, illetve azok alkalmazásával megakadályozza a Társaság az illetéktelen személyek hálózati hozzáférését.
A CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság továbbá az általa kezelt személyes adatokat a Társaság székhelyén fizikai védelemmel és ún. duplaszerveres mentéssel, duplikált módon tárolja, amely szerverhez való elektronikus hozzáférés kizárólag egyedi azonosító név és jelszó megadását követően lehetséges. Az adatbiztonságot szolgálja továbbá a különálló szerverre történő időszakos biztonsági mentés is.
IV.5.1.) Az adatbiztonság alapelvei
Bizalmasság elve: Az adatok bizalmasságának megvédése, annak garanciája, hogy az adatokhoz jogosulatlanul vagy illetéktelenül nem juthatnak hozzá.
Sértetlenség elve: Az adatok sértetlensége (integritása) azt jelenti, hogy azokat csak az arra jogosultak változtathatják meg.
Rendelkezésre állás elve: Annak a biztosítása, hogy az adatok mindig elérhetőek legyenek, jogtalanul ne semmisítsék meg, ne töröljék azokat.
IV.5.2.) Az adatbiztonsági ellenőrzés
A Társaság az általa kezelt személyes adatok biztonságának megteremtéséhez szükség szerint, de évente legalább egy alkalommal adatbiztonsági ellenőrzést hajt végre, melynek keretében az adatok biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságát tesztelni, felmérni és értékelni szükséges. Az adatbiztonsági ellenőrzést az IT munkatárs vezeti.
Az ellenőrzésről jegyzőkönyv felvételére kerül sor. A jegyzőkönyvet az ellenőrzés során jelen lévő személyek aláírásukkal látják el. A jegyzőkönyv alapján az IT munkatárs értékelést és intézkedési tervet készíttet, melyet átad az Társaság vezetőjének.
Az adatbiztonsági ellenőrzés folyamata:
A.) A védelmi igény feltárása:
ki kell választani az Társaság lényeges adatkezeléssel érintett rendszereit, amelyeket a Társaság védeni akar. A társasági adatkezelés védelme három összetevőjű, fizikai védelemből, eljárásvédelemből és informatikai védelemből áll.
A fizikai védelem a helyiségek, objektumok védelméből, valamint a papír alapú és más hagyományos dokumentumok védelméből áll.
Az eljárásvédelem az adatvédelmi és adatbiztonsági szabályok meghatározása, betartása és betartásának ellenőrzését, a Társasági foglalkoztatottjai tudatosságának fejlesztését foglalja magában.
Az informatikai védelem a hardver és szoftvervédelemből áll.
B.) Fenyegetettség-elemzés:
Azoknak a fenyegető tényezőknek a feltárása, amelyek a védendő adatokra, alkalmazásokra veszélyesek lehetnek. Az adatbiztonsági ellenőrzési jegyzőkönyvben a fenyegető tényezőket rögzíteni kell.
Az adatbiztonságot veszélyeztető főbb kockázati elemek:
A külső fenyegető tényezők:
a) természeti katasztrófa;
b) külső személy által elkövetett erőszakos cselekmény;
c) közműellátási zavarok;
d) külső személy tartózkodása az objektumban;
e) védelmi berendezések technikai hibája, vészhelyzet (pl. rövidzárlat, tűz, csőtörés).
A hardvereszközök fenyegetettsége:
a) műszaki jellegű hibák, rendellenességek;
b) káros környezeti hatás (feszültségingadozás, szennyeződés, elektromágneses sugárzás, elektrosztatikus feltöltődés);
c) a berendezések kezelésével, karbantartásával kapcsolatos hibák;
d) perifériákhoz való illetéktelen hozzáférés;
e) a berendezések manipulálása, rongálása, lopás;
f) az eszköz elhelyezésére szolgáló helyiség vagy munkahely helytelen kiválasztása.
Az adathordozók veszélyeztetettsége:
a) gyártási hiba;
b) károsodás nem szabályszerű tárolás vagy kezelés miatt;
c) ismeretlen vagy kétes eredetű adathordozó alkalmazása;
d) kontroll nélküli hozzáférés az adathordozókhoz, másolás;
e) saját adathordozó ellenőrzés nélküli alkalmazása szolgálati vagy magáncélra (vírusveszély, illegális másolás).
Az iratokhoz, informatikai dokumentációkhoz kapcsolódó kockázati elemek:
a) a rendszerdokumentáció teljes vagy részleges hiánya;
b) az iratok követhető rendszerezettségének hiánya;
c) az aktualitás hiánya;
d) jogosulatlan, hibás, ismeretlen eredetű változtatás;
e) kontroll nélküli hozzáférés, sokszorosítás.
A szoftverekhez kapcsolódó veszélyforrások:
a) nem jogtiszta, ismeretlen szoftver alkalmazása;
b) szoftverhiba;
c) jogosulatlan hozzáférés, másolás lehetősége;
d) szoftver ellenőrizetlen bevitele az informatikai rendszerbe;
e) vírusveszély;
f) szándékos vagy gondatlan kezelési, karbantartási hiba;
g) a szoftver sérülése, károsodása hardverhiba miatt;
h) dokumentációk hiánya, sérülése.
Az alkalmazói tevékenységgel, adatokkal összefüggő kockázati elemek:
a) adatvesztés, károsodás hardver-vagy szoftverhiba miatt;
b) teljes vagy részleges adatvesztés hibás adathordozó miatt;
c) a jogosult adatkezelő által szándékosan vagy tévedésből végzett adattörlés, módosítás;
d) jogosulatlan adatkezelő által végzett másolás, törlés, módosítás;
e) hibás adatkezelés ismerethiány miatt;
f) kezelési előírások be nem tartása, oktatás hiánya.
Fenyegető tényezők a kommunikáció területén:
a) jogosulatlanok bejutása a hálózatba nem ellenőrizhető csatlakozás révén;
b) hálózati hardverek és szoftverek szándékos vagy gondatlan manipulálása;
c) adatforgalom lehallgatása;
d) váratlan forgalmazási akadályok, az átvitelt zavaró befolyások;
e) üzenetvesztés, üzenet megváltoztatása;
f) az adatátviteli eszközök sérülése, károsodása.
Személyhez fűződő veszélyforrások:
a) hibás adatkezelés ismerethiány vagy fáradtság, figyelmetlenség miatt;
b) az adatkezelésre vonatkozó előírások figyelmen kívül hagyása hiányos „biztonságtudat” miatt, a fenyegetettség lebecsülése;
c) szándékosan hibás adatkezelés belső késztetés vagy külső ráhatás következményeként;
d) jogosulatlan hozzáférés;
e) az ellenőrzés hiánya
C.) Kockázatelemzés: a fenyegető tényezők hatását kell megvizsgálni az informatikai rendszerre, meghatározni a lehetséges károk bekövetkezésének gyakoriságát és a kárértékeket. Meg kell határozni mindazokat a lehetséges intézkedéseket, melyekkel a kockázat minimálisra csökkenthető. Az intézkedések végrehajtására határidőt kell megjelölni. Az Ügyvezető intézkedik a szükséges intézkedések végrehajtásának megtervezése és kivitelezése iránt.
Az előbbi fejezetben meghatározott tényezők összevetése és a tudomány mindenkori állásának megfelelő előfordulásának meghatározása. Az előfordulási lehetőségét a valószínűsége szerint 4 csoportba osztjuk.
- nem fordulhat elő rendes ügymenetben (pl. háború, államcsőd)
- kismértékű előfordulási lehetőség (pl. áramszünet, viharkár)
- reális előfordulási lehetőség (pl. betörés, vírusfertőzés)
- minden bizonnyal be fog következni (pl. téves adatfelvétel)
Az adatbiztonság ellenőrzési jegyzőkönyvben meghatározott fenyegető tényezőket értékelni kell az előző bekezdés szerinti besorolás szerint. A kockázat értékelésére külső szakember igénybe vehető, az informatikai szempontú kockázatok értékelését a Társaság informatikusa, rendszergazdája végzi.
A személyes adatok automatizált feldolgozása során biztosítani kell:
- a jogosulatlan adatbevitel megakadályozását;
- a rendszerek jogosulatlan személyek általi használatát;
- annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
- annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
- a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát.
D.) Kockázatkezelés: a megfelelő intézkedések kiválasztása és értékelése a károk csökkentésére.
IV.6.) Az adatkezelés időtartama
A Társaság személyes adatokat kizárólag jogszerű célokból, az ezen célok megvalósításához szükséges ideig kezeli. Ha a továbbiakban már nincs szükség a személyes adatra, akkor azokat biztonságos módon és dokumentáltan meg kell semmisíteni. A törlési jegyzőkönyveket 10 évig kell megőrizni.
IV.7.) Titoktartás, adatvédelem:
A CLEAR ’97 Gyorsétterem Kft. valamennyi foglalkoztatottja a Munka Törvénykönyvéről szóló 2012. évi I. törvény 8. § (4) bekezdése alapján köteles jelen Adatvédelmi és Adatbiztonsági Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül – tehát a foglalkoztatotti jogviszony megszűnését követően is – megőrizni. A foglalkoztatottak személyes adatokat kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg.
A CLEAR ’97 Gyorsétterem Kft. kiemelt hangsúlyt fektet arra, hogy a feladatköréből és szolgáltatási köréből fakadó titoktartási kötelezettségének teljes mértékben eleget tegyen, ezen kötelezettséget pedig a foglalkoztatottjaival, illetve partnereivel, támogatóival, kedvezményezettjeivel, ügyfeleivel és megbízottjaival is betartassa.
A CLEAR ’97 Gyorsétterem Kft. foglalkoztatottjai, illetve személyes felkeresői (ügyfelek, partnerek), vendégei kizárólag a személyes adatok azon meghatározott köréhez férnek hozzá, amelyek vonatkozásában megkereséseket végeznek. Az iménti személyek korlátozott jogokkal rendelkeznek a személyes adatok módosítására, törlésére, archiválására vonatkozóan, ugyanis módosítási joguk kizárólag az elérhetőségi adatokra terjed ki, míg törlési és archiválási jogokkal nem rendelkeznek. A személyes adatok teljes köréhez a CLEAR ’97 Gyorsétterem Kft. ügyvezetője rendelkezik korlátlan hozzáférési jogosultsággal. Ezen jogosultságba beletartozik a személyes adatok módosítása, helyesbítése, törlése, archiválása.
Az adatkezelést végző személy a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért. Az adatkezelést végző személy tevékenysége során: kezeli és megőrzi a feladata ellátása során birtokába került adatokat; ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására; gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá; betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat; részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.
IV.8.) Adatvédelmi incidensek kezelése
Az Adatkezelő minden munkatársa köteles a tudomására jutott adatvédelmi incidenst haladéktalanul jelenteni a kijelölt adatvédelemért felelős személynek. A jelentésnek az alábbi adatokat tartalmaznia kell:
-
- az adatvédelmi incidenst észlelő vagy azt jelentő személy nevét,
- az adatvédelmi incidens rövid leírását,
- valamint annak tényét, hogy az észlelt adatvédelmi incidens érinti-e az Adatkezelő informatikai rendszerét vagy sem.
Adatvédelmi incidens kivizsgálása
Az adatvédelemért felelős személy megvizsgálja a jelentést és amennyiben szükséges, a bejelentőtől további adatokat kér az incidensre vonatkozóan.
Az adatvédelemért felelős személy az alábbi információkat (amennyiben azok a jelentésből nem derülnek ki) lehetőségéhez mérten köteles felderíteni:
-
- az adatvédelmi incidens bekövetkezésének időpontja és helye,
- az adatvédelmi incidens által érintett adatok köre,
- az adatvédelmi incidenssel érintett személyek köre és száma.
Ezen adatokból az adatvédelemért felelős személy összegzést készít az adatvédelmi incidens várható hatásairól és cselekvési tervet készít a következményeinek enyhítése érdekében. Az adatvédelemért felelős személy munkájába bevonhatja az adatvédelmi incidenssel érintett szervezeti egységek vezetőit és a szervezeti egységek munkatársait, akik kötelesek együttműködni az adatvédelemért felelős személy. A vizsgálatot legkésőbb az adatvédelemért felelős személy érkezéstől számított három munkanapon belül be kell fejezni és a vizsgálat eredményéről az adatvédelemért felelős személy tájékoztatja az Ügyvezetőt.
Adatvédelmi incidens értékelése
Az Adatkezelő az adatvédelmi incidenst az alábbi szempontok szerint értékeli:
- az incidens típusa (bizalmassági, integritási vagy elérhetőségi),
- a személyes adatok jellege (személyes adat / különleges kategória),
- a személyes adatok száma,
- az érintett személyek száma,
- az érintett természetes személyek kategóriái,
- az érintett természetes személyek azonosíthatósága,
- a természetes személyre nézve fennálló következmények valószínűsége és súlyossága;
- az érintett adatkezelés jogalapja.
Az Adatkezelő az alábbi feltételek fennállása esetén minősíti kockázatosnak az adatvédelmi incidenst:
- az incidensben érintett adatok között találhatóak a személyes adatok különleges kategóriáiba eső adatok,
- az incidensben érintett személyes adatok száma meghaladja a 100 darabot,
- az incidensben érintett természetes személyek között találhatóak 16. életévüket be nem töltött természetes személyek,
az incidensben érintett természetes személyek száma meghaladja a 100 főt, - az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre
- a személyes adatok alkalmasak az érintett természetes személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
- az incidensben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.
Az Adatkezelő, akkor minősíti az adatvédelmi incidenst valószínűsíthetően alacsony kockázatúnak, ha a fentiekbenpontban felsorolt feltételek közül legalább egy fennáll és az Adatkezelő nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezte óta nem sérült.
Az Adatkezelő akkor minősíti az adatvédelmi incidenst valószínűsíthetően magas kockázatúnak, ha fentiekben felsorolt feltételek közül legalább kettő fennáll és az Adatkezelő nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezte óta nem sérült.
Adatvédelmi incidens bejelentése a NAIH-nak
Amennyiben az adatvédelmi incidens veszélyének súlyossága minimum alacsony, úgy az adatvédelemért felelős személy az értékelés megtörténtét követően (de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott), az adatvédelmi incidenst bejelenti a NAIH-nak.
Az érintettek tájékoztatása az adatvédelmi incidensről
Amennyiben az adatvédelmi incidens veszélyességének súlyossága valószínűsíthetően magas kockázattal jár az érintett személyek jogaira nézve, az Adatkezelő a kockázati értékelés elvégzését követően azonnal tájékoztatja az az adatvédelmi incidensben érintetteket. Az érintetteket írásban elektronikus vagy postai úton kell tájékoztatni, amely kizárólag akkor mellőzhető, ha az érintett elérhetősége ismeretlen. Az érintetteket úgy kell tájékoztatni minden esetben, hogy annak ténye, tartalma és a tájékoztatott érintetti kör bizonyítható legyen.
Az adatvédelmi incidensek nyilvántartása
Az Adatkezelő tudomásul veszi, hogy az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai vagyoni, vagy nem vagyoni kárt okozhat természetes személyeknek. Az adatvédelmi incidensek kezelése érdekében adatvédelmi incidens naplót vezet, melybe az adatvédelmi incidens körülményeit az adatvédelmi megbízott az incidens jelentését követő maximum 72 órán belül jegyzőkönyvezi. Az adatvédelmi incidensről az adatvédelemért felelős személy nyilvántartást vezet.
A nyilvántartás tartalmazza:
-
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját,
- az adatvédelmi incidens körülményeit,
- az adatvédelmi incidens hatásait,
- az elhárítására megtett intézkedéseket,
- az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket.
IV.9.) Érdekmérlegelés és az érdekmérlegelési teszt elvégzése
Amennyiben az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (pl. elektronikus megfigyelőrendszer, munkavállalóknak munkavégzéshez biztosított elektronikai eszközök ellenőrzése, stb.) az adatkezelés megkezdése előtt az érintettek magánszférájának, érdekeinek és alapvető jogainak biztosítása érdekében érdekmérlegelési teszt elvégzése szükséges.
Az érdekmérlegelési teszt az alábbiakra terjed ki
a) kezelni kívánt személyes adat meghatározása
b) annak a személynek a meghatározása, akinek a jogos érdekében az adatkezelés szükséges,
c) a jogos érdek bemutatása
d) annak vizsgálata, hogy az adatkezelés feltétlenül szükséges-e a feltárt jogos érdek érvényesítéséhez,
e) annak vizsgálata, hogy a jogos érdek érvényesíthető e más folyamattal
f) amennyiben a jogos érdek más folyamattal nem érvényesíthető, annak vizsgálata, hogy az adatkezelés esetén az érintett érdekei, alapjogai mennyiben korlátozódnak vagy sérülnek,
g) a jogos érdek és az érintetti alapjogi korlátozás összevetése,
h) az érdekmérlegelési teszt eredménye,
i) az érdekmérlegelési teszt elvégzésének dátum
j) amennyiben az érdekmérlegelési teszt eredményeként a személyes adat kezelhető, úgy az adatkezelési folyamat bevezetésének időpontjának meghatározása.
Az érdekmérlegelési teszt felépítése:
a) érdekmérlegelési teszt elvégzésének oka,
b) a Társaság, mint adatkezelő jogos érdeke,
c) az érintett érdekei, alapjogai,
d) a Társaság és az érintett érdekeinek összevetése,
e) biztosítékok,
f) tiltakozás joga,
g) az érdekmérlegelési teszt eredménye.
Amennyiben az érdekmérlegelési teszt eredményeként az Adatkezelő megállapítja, hogy az adatkezeléssel érintett jogos érdekekkel szemben elsőbbséget élveznek az érintett érdekei és alapvető jogai, a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítése adatkezelési jogalapot nem alkalmazza.
IV.10.) Adatvédelmi hatásvizsgálat
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
b) a személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése;
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
A hatásvizsgálat kiterjed legalább:
a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
c) az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a GDPR rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
IV.11.) Kiskorúak személyes adatainak kezelésére vonatkozó speciális előírás
A GDPR 8. cikke értelmében a gyermekek személyes adatainak kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, amennyiben azt a gyermek feletti szülői felügyeletet gyakorló engedélyezte. Az engedély beszerzése az Adatkezelő feladata és kötelessége.
V. Záró rendelkezések
Jelen szabályzat hatálytalanít minden korábbi szabályzatot, tájékoztatót az adatvédelem területén és a jelen szabályzat valamely pontjának érvénytelensége a teljes Szabályzat hatályát nem érinti. Jelen szabályzat hatálybalépésének ideje: 2024. február 01. napja. Jelen szabályzat a CLEAR ’97 Gyorsétterem Korlátolt Felelősségű Társaság valamennyi foglalkoztatottja számára kötelező érvényű. A Munka Törvénykönyvéről szóló 2012. évi I. törvény vonatkozó rendelkezései szerint a Foglalkoztatói szabályzatot közöltnek kell tekinteni, ha azt a helyben szokásos és általában ismert módon közzéteszik.
Kelt: Szombathely, 2024. február 01.
Clear ’97 Gyorsétterem Korlátolt Felelősségű Társaság
képv.: Komondi István Tamás ügyvezető, vezető tisztségviselő
-Adatkezelő –
Mellékletek:
- számú melléklet: értelmező rendelkezések, fogalomtár
- számú melléklet: adatvédelmi tevékenységek nyilvántartása
- számú melléklet: iratminták, szövegszerű javaslatok a szabályzatban hivatkozott tájékoztatókra, nyilatkozatokra
- számú melléket: Adatfeldolgozók listája
1. számú melléklet:
Értelmező rendelkezések, fogalomtár:
érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
személyes adat: az érintettre vonatkozó bármely információ;
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
közös adatkezelő: az az adatkezelő, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
harmadik ország: minden olyan állam, amely nem EGT-állam;
adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;